PDPA แบ่งออกเป็น 2 ประเภท คือ ข้อมูลส่วนบุคคล (PII) ที่สามารถระบุตัวตนบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม และอีกประเภทคือ ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive PII) คือ ข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา ข้อมูลจำลองลายนิ้วมือ) และข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด ซึ่งโรงพยาบาลมีการประมวลผลข้อมูลส่วนบุคคล (PII) และข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive PII) รวมถึงข้อมูลการรักษาพยาบาล ที่เสี่ยงต่อการผิด PDPA
ตัวอย่างข้อมูลการรักษาพยาบาล หมายถึง ข้อมูลดังต่อไปนี้
- วัน/เดือน/ปี ที่เข้ารับการรักษา
- ประวัติแพ้ยาและประวัติผลข้างเคียงจากยา
- ประวัติแพ้อาหาร
- ชื่อโรคที่ได้รับการวินิจฉัย ชื่อหัตถการ และชื่อการผ่าตัด
- ผลเลือด ผลตรวจทางห้องปฏิบัติการ ผลตรวจชิ้นเนื้อทางพยาธิวิทยา ภาพถ่ายทางรังสีวิทยา และรายงานผลการ ทางรังสีวิทยา
- รายการยาที่แพทย์ได้สั่ง
- ข้อมูลอื่น เช่น อาการ คำแนะนำของแพทย์ และรายละเอียดการวินิจฉัยโรค เป็นต้น
ข้อมูลส่วนบุคคลที่โรงพยาบาลเก็บรวบรวมจากเจ้าของข้อมูล
- ข้อมูลระบุตัวตน (Personal data) เช่น ชื่อ นามสกุล เลขที่บัตรประชาชน ID รูปถ่ายใบหน้า เพศ วัน/เดือน/ปี หนังสือเดินทาง หรือหมายเลขที่ระบุตัวตนอื่น ๆ
- ข้อมูลสำหรับการติดต่อ (Contact data) เช่น ที่อยู่ หมายเลขโทรศัพท์ อีเมล
- ข้อมูลการเงิน (Financial data) เช่น ข้อมูลการเรียกเก็บเงิน ข้อมูลบัตรเครดิตหรือเดบิต ข้อมูลใบเสร็จ ข้อมูลใบราคา
- ข้อมูลการสมัครข่าวสารและการเข้าร่วมกิจกรรมทางการตลาด (Marketing Data)เช่น ข้อมูลที่ใช้ในการลงทะเบียนเพื่อรับข่าวสารและเข้าร่วมกิจกรรมทางการตลาด
- ข้อมูลจากการเข้าใช้เว็บไซต์ (Technical data) เช่น หมายเลข IP Address ของคอมพิวเตอร์ ชนิดของบราวเซอร์ ข้อมูล Cookies การตั้งค่าเรื่องเขตเวลา (time zone) ระบบปฏิบัติการ แพลตฟอร์มและเทคโนโลยีของอุปกรณ์ที่ใช้เข้าเว็บไซต์ และ Online Appointment System
- ข้อมูลด้านสุขภาพ (Health data) เช่น ข้อมูลการรักษาพยาบาล รายงานที่เกี่ยวกับสุขภาพกายและสุขภาพจิต การดูแลสุขภาพของผู้รับบริการ ผลการทดสอบจากห้องทดลอง การวินิจฉัย ชื่อโรคที่ได้รับการวินิจฉัย ข้อมูลที่เกี่ยวข้องกับการใช้ยาและแพ้ยา ประวัติแพ้อาหาร ผลเลือด ผลตรวจทางห้องปฏิบัติการ ผลตรวจชิ้นเนื้อทางพยาธิวิทยา ภาพถ่ายทางรังสีวิทยา และรายงานผลการตรวจทางรังสีวิทยารายการยาที่แพทย์ได้สั่ง ข้อมูลที่จำเป็นต่อการให้บริการทางการแพทย์ ข้อมูล Feedback และผลการรักษา
5 พื้นฐานโรงพยาบาลต้องทำให้สอดคล้อง PDPA
โรงพยาบาลต้องดำเนินการอย่างไร? เพื่อให้สอดคล้องกับกฎหมาย PDPA สามารถสรุปคร่าว ๆ ได้ดังนี้
- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO (DATA Protection Officer) เพื่อทำหน้าที่ดูแลเกี่ยวกับข้อมูลส่วนบุคคลของพนักงานในองค์กรและผู้ใช้บริการโรงพยาบาล ตั้งแต่กระบวนการเก็บรวบรวม ใช้งาน เปิดเผย รวมไปถึงการกำหนดทิศทางการใช้ข้อมูลส่วนบุคคลให้ปลอดภัย สอดคล้องตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
- จัดทำประกาศนโยบายความเป็นส่วนตัว หรือ Privacy Notice และประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล หรือ Privacy Policy ให้กับคนไข้หรือผู้มาใช้บริการ รวมถึงบุคลากรภายในองค์กรได้ทราบว่าโรงพยาบาลมีการเก็บข้อมูลส่วนบุคคลอะไรบ้าง นำข้อมูลเหล่านั้นไปทำอะไร มีมาตรการดูแล และเก็บรักษาข้อมูลอย่างไร ใช้ฐานทางกฎหมายอะไรในการประมวลผล มีระยะเวลาในเก็บข้อมูลเท่าไหร่ และส่งต่อข้อมูลให้แก่องค์กรใดบ้าง ข้อมูลที่ติดต่อได้ของผู้ควบคุมข้อมูล รวมถึงสิทธิ์ของเจ้าของข้อมูล
- จัดทำ Consent Management ระบบบริหารจัดการข้อมูลส่วนบุคคล ก่อนที่โรงพยาบาลจะดำเนินกิจกรรมใด ๆ ที่เกี่ยวข้องกับการใช้หรือประมวลผลข้อมูลส่วนบุคคล ขั้นตอนที่จำเป็นต้องมี คือการขอความยินยอม (Consent) จากเจ้าของข้อมูล (Data Subject) ก่อนเสมอ ด้วยเหตนี้กฎหมาย PDPA จึงระบุอย่างชัดเจนว่าให้ทุกองค์กรจัดทำระบบ Consent Management ที่ครอบคลุมการขอความยินยอม และการเพิกถอนความยินยอมของเจ้าของข้อมูลด้วย Consent Form ซึ่งอาจทำในรูปแบบของหนังสือ หรือระบบอิเล็กทรอนิกส์ก็ได้
- จัดทำข้อตกลงการประมวลผลในกรณีที่มีการจ้างผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) กรณีที่โรงพยาบาลมีการส่งต่อข้อมูลส่วนบุคคลให้กับหน่วยงานอื่น อาทิ โรงพยาบาลอื่น สำนักงานประกันสังคม หรือบริษัทประกัน ต้องระบุหน้าที่ของผู้ประมวลข้อมูลอย่างชัดเจน พร้อมระบุวัตถุประสงค์การใช้งาน การจัดเก็บ หรือเผยแพร่ข้อมูลและกิจกรรมใด ๆ ที่เกิดขึ้นกับข้อมูลส่วนบุคคลอย่างเป็นลายลักษณ์อักษร
- จัดทำ RoPA (Record of Processing Activities) กฎหมาย PDPA ระบุไว้ชัดเจนว่าผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกรายการกิจกรรมการประมวผล หรือ Records of Processing Activities (RoPA) เป็นเหมือนการจดบันทึกที่บอกว่าแผนกไหนในองค์กรทำอะไรบ้าง ทำด้วยวัตถุประสงค์อะไร และอยู่บนฐานกฎหมายข้อไหนที่อนุญาตให้ทำ จุดประสงค์หลักในการจดบันทึก คือป้องกันการละเมิดข้อมูลส่วนบุคคลที่อาจเกิดขึ้นในองค์กรเพื่อที่จะสามารถตรวจสอบกระบวนการจัดการได้อย่างรวดเร็วตามกฎหมาย PDPA นอกจากนี้การบันทึก RoPA เราสามารถใช้ RoPA เป็นเสมือน Checklist ไว้ให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)” ได้เขียน และทบทวนกิจกรรมที่ทำอยู่นั้นมีการใช้ข้อมูลส่วนบุคคลหรือไม่ สามารถวิเคราะห์ได้ฐานอะไร และใครเป็น Data Controller หรือ Data Processor ของกิจกรรมนี้ ดังนั้นหากมีการจดบันทึกข้อมูล RoPA อย่างละเอียด จะสามารถลดความผิดพลาดในการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้
โรงพยาบาล หรือ คลินิก มีการประมวลผลข้อมูลส่วนบุคคลประเภทอ่อนไหว (Sensitive PII)เป็นหลัก เพราะมีการประมวลผลข้อมูลเกี่ยวกับสุขภาพ ดังนั้นถือว่าการจัดการด้านการคุ้มครองข้อมูลส่วนบุคคลจำเป็นต้องมีการปลอดภัย รัดกุม เป็นพิเศษ และหากเกิดเหตุการรั่วไหลขึ้นมาอาจทำให้มีการฟ้องร้องถือขั้นโดนปรับอย่างมหาศาลได้
หากท่านเป็นผู้บริหารองค์กร หรือ เป็นผู้ที่รับผิดชอบในเรื่อง PDPA ของโรงพยาบาล แต่ยังไม่ได้ทำ? ทำแล้วแต่ไม่ชัวร์ว่าถูกต้องหรือไม่? PDPAThailand ช่วยคุณได้ด้วยบริการให้คำปรึกษาทางด้านกฎหมาย การบริหารจัดการ กระบวนการทำงาน และซอฟต์แวร์ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล โดย Digital Business Consult (DBC) >>> คลิก !
