‘เวชระเบียน’ เอกสารทางการแพทย์ทุกประเภทที่ใช้บันทึกและเก็บรวบรวมประวัติของผู้ป่วย อาทิ ทั้งประวัติการรักษาที่เกิดขึ้นในอดีตและปัจจุบัน การแพ้ยา และประวัติการใช้ยา ถือเป็น ‘ข้อมูลส่วนบุคคลอ่อนไหว’ (Sensitive Data) การจะเก็บ รวบรวมใช้ หรือเปิดเผยได้ก็ต่อเมื่อ ‘ได้รับความยินยอม’ จากเจ้าของข้อมูลส่วนบุคคลตามบทบัญญัติในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ กฎหมาย PDPA
ซึ่งเป็นที่ทราบดีว่า ‘เวชระเบียน’ ถือเป็นข้อมูลสุขภาพ และเป็นข้อมูลส่วนบุคคลอ่อนไหว หากบุคคล หรือนิติบุคคลนำไปเปิดเผยอาจนำไปสู่การละเมิดร้ายแรงทั้งด้านร่างกาย และจิตใจ เช่น กรณีตัวอย่างการเปิดเผยไทน์ไลน์ หรือประวัติการรักษาผู้ป่วยติดเชื้อโควิด-19 ด้วยเหตุนี้ สถานพยาบาล โรงงานพยาบาล หน่วยงานและเจ้าหน้าที่ด้านสาธารณะสุขต่างๆ หากจะนำข้อมูลผู้ป่วยไปเก็บรวบรวม หรือประมวลผลจะต้องดำเนินการตาม ‘ฐานความยินยอม’ ของเจ้าของข้อมูล เนื่องจากข้อมูลสุขภาพไม่อาจจะใช้ฐานสัญญาแบบทั่วไปได้
ขณะที่ฐานกฎหมาย และฐานประโยชน์โดยชอบในการปฏิบัติงานตามหน้าที่ของเจ้าหน้าที่รัฐ และฐานของประโยชน์สาธารณะ ก็ยังดู ‘ก้ำกึ่ง’ หากการดำเนินการเปิดเผยข้อมูลผู้ป่วยนำไปสู่การละเมิด ทั้งด้านร่างกาย อาทิ การเลือกปฏิบัติ หรือได้รับการปฏิบัติอย่างไม่เป็นธรรม และด้านจิตใจ เช่น สร้างความเกลียดชัง เสียชื่อเสียง ถูกดูหมิ่น หรือการกระทำใดๆ ที่ส่งผลกระทบกระทบต่อเจ้าของข้อมูล อันเป็นผลมาจากการเปิดเผยข้อมูลสุขภาพ หรือเวชระเบียนของผู้ป่วย และสถานพยาบาล หน่วยงานและเจ้าหน้าที่ด้านสาธารณะสุข อาจจะถูกฟ้องร้องเรียกค่าเสียหายจากการกระทำดังกล่าวได้เช่นกัน
โดยเรื่องทำนองนี้เคยเกิดขึ้นในต่างประเทศ อาทิ ในยุโรป และสหรัฐอเมริกา ที่บังคับกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่บังคับใช้ในสหภาพยุโรป หรือ GDPR (General Data Protection Regulation) มาตั้งแต่ปี พ.ศ.2561
เนื่องจากพ.ร.บ.คุ้มครองข้อมูลฯ เป็นกฎหมายใหม่ที่มีวัตถุประสงค์เพื่อคุ้มครองสิทธิข้อมูลส่วนบุคคล และยังถือเป็นกฎเกณฑ์ใหม่มากๆ สำหรับทุกองค์กร ขณะเดียวกันข้อกฎหมายในบางมาตรา ยังต้องอาศัยการวิเคราะห์ และตีความ เนื่องจากยังต้องรอการออก ‘กฎหมายลูก’ เพื่อบัญญัติข้อบังคับตามกฎหมายให้ละเอียดและครอบคลุมมากขึ้น ดังเช่นกรณีที่ระบุไว้ในข้างต้น ซึ่งการดำเนินการบางอย่าง ‘สุ่มเสี่ยง’ ต่อการละเมิดข้อมูลส่วนบุคคลของผู้ป่วยและอาจนำไปสู่การฟ้องร้องเรียกค่าสินไหมได้
อย่างไรก็ตาม ‘ข่าวดี’ คือ ล่าสุดได้มีประกาศกระทรวงสาธารณสุข เรื่อง การเปิดเผยข้อมูลส่วนบุคคลตามพระราชบัญญัติควบคุมโรค จากการประกอบอาชีพ และโรคจากสิ่งแวดล้อม พ.ศ. 2562 พ.ศ. 2565 ซึ่งออกมาเพื่อ ‘กำจัดจุดอ่อน’ หรือความสุ่มเสี่ยงในการละเมิดข้อมูลส่วนบุคคลของผู้ป่วย และผู้ติดเชื้อโรคติดต่อร้ายแรงอย่าเช่น โควิด-19 โดยเฉพาะ
โดยประกาศกระทรวงฯ ดังกล่าวได้มีการกำหนดให้มีหลักเกณฑ์ วิธีการ และเงื่อนไขในการเปิดเผยข้อมูลส่วนบุคคล จากการเฝ้าระวัง การสอบสวนโรค การแจ้ง หรือการรายงาน ตาม พ.ร.บ. ควบคุมโรคฯ เพื่อให้การเก็บหรือประมวลผลข้อมวลส่วนบุคคลจากการประกอบอาชีพและโรคจากสิ่งแวดล้อมที่มีความ ‘จำเป็น’ เป็นประโยชน์แก่สังคม หรือสาธารณชนทั่วไป ทำให้สามารถเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ป่วยได้ใน 2 กรณี ดังนี้
1. ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
ต้องทำโดยชัดแจ้งเป็นหนังสือหรือทำโดยผ่านระบบ อิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้ โดยรายละเอียดส่วนนี้ก็ไม่แตกต่างจากการขอความยินยอมตามกฎหมาย PDPA แต่จากประกาศกระทรวงฯ ได้มีส่วนที่เพิ่มเติมขึ้นมา คือ ให้ผู้ซึ่งมีหน้าที่สามารถขอความยินยอมด้วยวาจา หรือการสื่อความหมายในรูปแบบอื่นก็ได้ ถ้าเจ้าของข้อมูลส่วนบุคคลได้ร้องขอ และการร้องขอต้องกระทำภายใน 7 วัน นับแต่วันที่เจ้าของข้อมูลส่วนบุคคลให้ความยินยอม ผู้ซึ่งมีหน้าที่ปฏิบัติการตาม พ.ร.บ. ต้องยืนยันคำขอนั้นเป็นหนังสือ ให้แก่เจ้าของข้อมูลส่วนบุคคล โดยในหนังสือขอความยินยอมจะต้องประกอบด้วย
- วัน เดือน และปีที่ทำคำขอ
- ข้อมูลส่วนบุคคลที่จะขอเปิดเผย และวิธีการในการเปิดเผยข้อมูลส่วนบุคคล
- วัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล
- ข้อกฎหมายที่อ้างอิง
- ชื่อ และลายมือชื่อของผู้ซึ่งมีหน้าที่ปฏิบัติการตาม พ.ร.บ.ที่ทำคำขอ
ทั้งนี้หากเจ้าของข้อมูลเป็นผู้เยาว์ที่ยังไม่บรรลุนิติภาวะ จะต้องขอความยินยอมจากผู้ปกครองที่มีอำนาจกระทำแทน รวมทั้งกรณีบุคคลไร้ความสามารถ หรือเสมือนไร้ความสามารถ จะต้องขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำแทน หรือผู้สืบสันดานซึ่งบรรลุนิติภาวะแล้ว
2. ไม่ต้องขอความยินยอมจากเจ้าของข้อมูล
หากการดำเนินการดังกล่าวมีความจำเป็นเพื่อประโยชน์สาธารณะ โดยผู้มีหน้าที่ปฏิบัติการตามกฎหมาย อาจเปิดเผยข้อมูลส่วนบุคคล โดยอาศัย ‘ฐานกฎหมาย’ ตาม พ.ร.บ.ควบคุมโรคฯ ทำได้โดยมีเงื่อนไข ดังนี้
- เปิดเผยข้อมูลส่วนบุคคลต่อหน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐโดยอาศัยอำนาจเพื่อรักษาความมั่นคงของรัฐ หรือเพื่อรักษาความสงบ
เรียบร้อยหรือ ศีลธรรมอันดีของประชาชน
- เปิดเผยข้อมูลส่วนบุคคลต่อเจ้าหน้าที่ของรัฐเพื่อการป้องกันการฝ่าฝืนหรือไม่ปฏิบัติ ตาม พ.ร.บ.ควบคุมโรคฯ
- เพื่อป้องกันหรือระงับอันตรายอย่างร้ายแรงต่อชีวิต ร่างกาย หรือสุขภาพอนามัยของประชาชน
- เพื่อประโยชน์สาธารณะในการเฝ้าระวัง การป้องกัน และการควบคุมโรค
- มีความจำเป็นเร่งด่วนหากปล่อยเนิ่นนานไป หรืออาจก่อให้เกิดความเสียหายแก่ชีวิตหรือร่างกายของประชาชน หรือก่อหรืออาจก่อให้เกิดความเสียหาย ต่อความปลอดภัยสาธารณะหรือประโยชน์สาธารณะ
โดยประกาศกระทรวงฯ ฉบับล่าสุดนี้ ให้อำนาจแก่ อธิบดีกรมควบคุมโรครักษาการตามประกาศนี้ ในกรณีที่มีปัญหาเกี่ยวกับการดำเนินการ ให้อธิบดีกรมควบคุมโรคเป็นผู้วินิจฉัยชี้ขาด และให้คำสั่งหรือข้อวินิจฉัย ของอธิบดีกรมควบคุมโรคถือเป็นที่สุด
ทั้งนี้ สิ่งที่ควรทราบอีกประการ คือประกาศดังกล่าวไม่ได้มีผลต่อเอกชนที่ดำเนินธุรกิจด้านการแพทย์ และสถานพยาบาล ดังนั้น กิจกรรมทางการค้า การบริการที่เป็นลักษณะหารายได้หรือแบ่งปันผลกำไร จึงไม่เข้าข่ายความจำเป็น หรือประโยชน์สาธารณะ สถานพยาบาลและรักษาของเอกชนจึงไม่สามารถนำประกาศกระทรวงฯ มาเป็นฐานโดยชอบธรรมเพื่อเก็บข้อมูลส่วนบุคคลผู้ป่วยโดยไม่ได้รับความยินยอมได้ เว้นแต่เป็นการปฏิบัติตามคำขอให้ดำเนินการโดยหน่วยงานหรือเจ้าหน้าที่รัฐเท่านั้น
.
.
