Now!
Solution ด้านการคุ้มครองข้อมูลส่วนบุคคลที่ตอบโจทย์ SMEs ได้ทุกคำถาม

PDPA สำหรับโรงพยาบาล ประมวลผลข้อมูลส่วนบุคคลของคนไข้อย่างไร ให้สอดคล้องตามกฎหมาย

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

PDPA สำหรับโรงพยาบาล ประมวลผลข้อมูลส่วนบุคคลของคนไข้อย่างไร ให้สอดคล้องตามกฎหมาย

แชร์

อ่าน

ครั้ง

โดย : pornpilast.su

PDPA แบ่งออกเป็น 2 ประเภท คือ ข้อมูลส่วนบุคคล (PII) ที่สามารถระบุตัวตนบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม และอีกประเภทคือ ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive PII) คือ ข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อ ศาสนา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองม่านตา ข้อมูลจำลองลายนิ้วมือ) และข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด ซึ่งโรงพยาบาลมีการประมวลผลข้อมูลส่วนบุคคล (PII)  และข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive PII) รวมถึงข้อมูลการรักษาพยาบาล ที่เสี่ยงต่อการผิด PDPA 

 

ตัวอย่างข้อมูลการรักษาพยาบาล หมายถึง ข้อมูลดังต่อไปนี้

  • วัน/เดือน/ปี ที่เข้ารับการรักษา
  • ประวัติแพ้ยาและประวัติผลข้างเคียงจากยา
  • ประวัติแพ้อาหาร
  • ชื่อโรคที่ได้รับการวินิจฉัย ชื่อหัตถการ และชื่อการผ่าตัด
  • ผลเลือด ผลตรวจทางห้องปฏิบัติการ ผลตรวจชิ้นเนื้อทางพยาธิวิทยา ภาพถ่ายทางรังสีวิทยา และรายงานผลการ ทางรังสีวิทยา
  • รายการยาที่แพทย์ได้สั่ง
  • ข้อมูลอื่น เช่น อาการ คำแนะนำของแพทย์ และรายละเอียดการวินิจฉัยโรค เป็นต้น

 

ข้อมูลส่วนบุคคลที่โรงพยาบาลเก็บรวบรวมจากเจ้าของข้อมูล

  1. ข้อมูลระบุตัวตน (Personal data) เช่น ชื่อ นามสกุล เลขที่บัตรประชาชน ID รูปถ่ายใบหน้า เพศ วัน/เดือน/ปี หนังสือเดินทาง หรือหมายเลขที่ระบุตัวตนอื่น ๆ
  2. ข้อมูลสำหรับการติดต่อ (Contact data) เช่น ที่อยู่ หมายเลขโทรศัพท์ อีเมล
  3. ข้อมูลการเงิน (Financial data) เช่น ข้อมูลการเรียกเก็บเงิน ข้อมูลบัตรเครดิตหรือเดบิต ข้อมูลใบเสร็จ ข้อมูลใบราคา
  4. ข้อมูลการสมัครข่าวสารและการเข้าร่วมกิจกรรมทางการตลาด (Marketing Data)เช่น ข้อมูลที่ใช้ในการลงทะเบียนเพื่อรับข่าวสารและเข้าร่วมกิจกรรมทางการตลาด
  5. ข้อมูลจากการเข้าใช้เว็บไซต์ (Technical data) เช่น หมายเลข IP Address ของคอมพิวเตอร์ ชนิดของบราวเซอร์ ข้อมูล Cookies การตั้งค่าเรื่องเขตเวลา (time zone) ระบบปฏิบัติการ แพลตฟอร์มและเทคโนโลยีของอุปกรณ์ที่ใช้เข้าเว็บไซต์ และ Online Appointment System
  1. ข้อมูลด้านสุขภาพ (Health data) เช่น ข้อมูลการรักษาพยาบาล รายงานที่เกี่ยวกับสุขภาพกายและสุขภาพจิต การดูแลสุขภาพของผู้รับบริการ ผลการทดสอบจากห้องทดลอง การวินิจฉัย ชื่อโรคที่ได้รับการวินิจฉัย ข้อมูลที่เกี่ยวข้องกับการใช้ยาและแพ้ยา ประวัติแพ้อาหาร ผลเลือด ผลตรวจทางห้องปฏิบัติการ ผลตรวจชิ้นเนื้อทางพยาธิวิทยา ภาพถ่ายทางรังสีวิทยา และรายงานผลการตรวจทางรังสีวิทยารายการยาที่แพทย์ได้สั่ง ข้อมูลที่จำเป็นต่อการให้บริการทางการแพทย์ ข้อมูล Feedback และผลการรักษา

 

5 พื้นฐานโรงพยาบาลต้องทำให้สอดคล้อง PDPA

โรงพยาบาลต้องดำเนินการอย่างไร? เพื่อให้สอดคล้องกับกฎหมาย PDPA สามารถสรุปคร่าว ๆ ได้ดังนี้

  • แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO (DATA Protection Officer) เพื่อทำหน้าที่ดูแลเกี่ยวกับข้อมูลส่วนบุคคลของพนักงานในองค์กรและผู้ใช้บริการโรงพยาบาล ตั้งแต่กระบวนการเก็บรวบรวม ใช้งาน เปิดเผย รวมไปถึงการกำหนดทิศทางการใช้ข้อมูลส่วนบุคคลให้ปลอดภัย สอดคล้องตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
    • จัดทำประกาศนโยบายความเป็นส่วนตัว หรือ Privacy Notice  และประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล หรือ Privacy Policy  ให้กับคนไข้หรือผู้มาใช้บริการ รวมถึงบุคลากรภายในองค์กรได้ทราบว่าโรงพยาบาลมีการเก็บข้อมูลส่วนบุคคลอะไรบ้าง นำข้อมูลเหล่านั้นไปทำอะไร มีมาตรการดูแล และเก็บรักษาข้อมูลอย่างไร ใช้ฐานทางกฎหมายอะไรในการประมวลผล มีระยะเวลาในเก็บข้อมูลเท่าไหร่ และส่งต่อข้อมูลให้แก่องค์กรใดบ้าง ข้อมูลที่ติดต่อได้ของผู้ควบคุมข้อมูล รวมถึงสิทธิ์ของเจ้าของข้อมูล 
    • จัดทำ Consent Management ระบบบริหารจัดการข้อมูลส่วนบุคคล ก่อนที่โรงพยาบาลจะดำเนินกิจกรรมใด ๆ ที่เกี่ยวข้องกับการใช้หรือประมวลผลข้อมูลส่วนบุคคล ขั้นตอนที่จำเป็นต้องมี คือการขอความยินยอม (Consent) จากเจ้าของข้อมูล (Data Subject) ก่อนเสมอ ด้วยเหตนี้กฎหมาย PDPA จึงระบุอย่างชัดเจนว่าให้ทุกองค์กรจัดทำระบบ Consent Management ที่ครอบคลุมการขอความยินยอม และการเพิกถอนความยินยอมของเจ้าของข้อมูลด้วย Consent Form ซึ่งอาจทำในรูปแบบของหนังสือ หรือระบบอิเล็กทรอนิกส์ก็ได้
    • จัดทำข้อตกลงการประมวลผลในกรณีที่มีการจ้างผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) กรณีที่โรงพยาบาลมีการส่งต่อข้อมูลส่วนบุคคลให้กับหน่วยงานอื่น อาทิ โรงพยาบาลอื่น  สำนักงานประกันสังคม หรือบริษัทประกัน ต้องระบุหน้าที่ของผู้ประมวลข้อมูลอย่างชัดเจน พร้อมระบุวัตถุประสงค์การใช้งาน การจัดเก็บ หรือเผยแพร่ข้อมูลและกิจกรรมใด ๆ ที่เกิดขึ้นกับข้อมูลส่วนบุคคลอย่างเป็นลายลักษณ์อักษร
  • จัดทำ RoPA (Record of Processing Activities)  กฎหมาย PDPA ระบุไว้ชัดเจนว่าผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกรายการกิจกรรมการประมวผล หรือ Records of Processing Activities (RoPA) เป็นเหมือนการจดบันทึกที่บอกว่าแผนกไหนในองค์กรทำอะไรบ้าง ทำด้วยวัตถุประสงค์อะไร และอยู่บนฐานกฎหมายข้อไหนที่อนุญาตให้ทำ จุดประสงค์หลักในการจดบันทึก คือป้องกันการละเมิดข้อมูลส่วนบุคคลที่อาจเกิดขึ้นในองค์กรเพื่อที่จะสามารถตรวจสอบกระบวนการจัดการได้อย่างรวดเร็วตามกฎหมาย PDPA นอกจากนี้การบันทึก RoPA เราสามารถใช้ RoPA เป็นเสมือน Checklist ไว้ให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” และ “ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)” ได้เขียน และทบทวนกิจกรรมที่ทำอยู่นั้นมีการใช้ข้อมูลส่วนบุคคลหรือไม่ สามารถวิเคราะห์ได้ฐานอะไร และใครเป็น Data Controller หรือ Data Processor ของกิจกรรมนี้ ดังนั้นหากมีการจดบันทึกข้อมูล RoPA อย่างละเอียด จะสามารถลดความผิดพลาดในการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้

 

โรงพยาบาล หรือ คลินิก มีการประมวลผลข้อมูลส่วนบุคคลประเภทอ่อนไหว (Sensitive PII)เป็นหลัก เพราะมีการประมวลผลข้อมูลเกี่ยวกับสุขภาพ ดังนั้นถือว่าการจัดการด้านการคุ้มครองข้อมูลส่วนบุคคลจำเป็นต้องมีการปลอดภัย รัดกุม เป็นพิเศษ และหากเกิดเหตุการรั่วไหลขึ้นมาอาจทำให้มีการฟ้องร้องถือขั้นโดนปรับอย่างมหาศาลได้ 

หากท่านเป็นผู้บริหารองค์กร หรือ เป็นผู้ที่รับผิดชอบในเรื่อง PDPA ของโรงพยาบาล แต่ยังไม่ได้ทำ? ทำแล้วแต่ไม่ชัวร์ว่าถูกต้องหรือไม่?   PDPAThailand ช่วยคุณได้ด้วยบริการให้คำปรึกษาทางด้านกฎหมาย การบริหารจัดการ กระบวนการทำงาน และซอฟต์แวร์ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล โดย Digital Business Consult (DBC) >>> คลิก ! 

Share :

บทความที่เกี่ยวข้อง

Copyright © 2022 Digital Business Consult, All Rights Reserved.

ลงทะเบียน

เข้าสู่ระบบ