แต่งตั้ง DPO ในคลินิกอย่างไร ไม่ให้ผิดหลัก PDPA และความขัดกันแห่งหน้าที่
การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) ในธุรกิจคลินิกทางการแพทย์ ไม่ใช่เพียงแค่การคัดเลือกบุคลากรที่เก่งที่สุด มีอายุงานมากที่สุด หรืออาวุโสที่สุดมารับตำแหน่ง แต่สิ่งสำคัญคือการจัดวางโครงสร้างองค์กรเพื่อป้องกัน “ความขัดกันแห่งหน้าที่” (Conflict of Interest) ซึ่งเป็นจุดผิดพลาดทางกฎหมายที่ผู้บริหารคลินิกส่วนใหญ่มักมองข้าม หากแต่งตั้งผิดคน จะส่งผลให้กลไกการคุ้มครองข้อมูลขาดความเป็นอิสระ และถือว่าปฏิบัติไม่ถูกต้องตามเกณฑ์ของกฎหมาย PDPA
ความขัดกันแห่งหน้าที่ของ DPO คืออะไร
ในทางกฎหมายคุ้มครองข้อมูลส่วนบุคคล ภาวะความขัดกันแห่งหน้าที่ของ DPO จะเกิดขึ้นเมื่อ “บุคคลที่ได้รับแต่งตั้งให้เป็น DPO ดำรงตำแหน่งอื่นในองค์กรที่มีอำนาจหน้าที่ในการกำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคลควบคู่ไปด้วย” เนื่องจากสถานการณ์ดังกล่าวจะทำให้เกิดสภาวะการตรวจสอบงานของตัวเอง (Self-review) ซึ่งขัดแย้งกับหลักการสำคัญของ DPO ที่ต้องมีความเป็นอิสระในการตรวจสอบและให้คำแนะนำอย่างตรงไปตรงมา
ตามกฎหมาย PDPA มาตรา 42 วรรคสี่ ได้ระบุขอบเขตไว้ชัดเจนว่า DPO สามารถปฏิบัติหน้าที่หรือภารกิจอื่นภายในคลินิกได้ แต่หน้าที่หรือภารกิจดังกล่าวต้องไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตามพ.ร.บ. นี้ หลักการสำคัญที่ระลึกไว้เสมอคือ “DPO ต้องไม่เป็นบุคคลคนเดียวกับผู้ออกแบบ วางระบบ หรืออนุมัติการนำข้อมูลไปใช้”
ทำไมตำแหน่งระดับสูงในคลินิกถึงมีความเสี่ยงขัดต่อกฎหมาย
เจ้าของธุรกิจหลายแห่งมักเข้าใจผิดว่าควรเลือกบุคคลที่รู้ระบบงานหลังบ้านดีที่สุดมาเป็น DPO ซึ่งส่วนใหญ่มักจะเป็นกลุ่มผู้บริหารหรือหัวหน้าฝ่ายต่าง ๆ แต่ในความเป็นจริง ตำแหน่งระดับสูงเหล่านี้มีความเสี่ยงสูงมากที่จะเกิดความขัดกันแห่งหน้าที่ภายใต้หลักกฎหมาย PDPA:
- เจ้าของคลินิก / ผู้บริหารสูงสุด (CEO / Managing Director): เป็นบุคคลที่มีสิทธิ์ขาดในการกำหนดทิศทางนโยบายและตัดสินใจว่าคลินิกจะนำข้อมูลส่วนบุคคลลักษณะพิเศษของคนไข้ไปใช้ทำอะไร หากควบตำแหน่ง DPO ด้วย จะเท่ากับว่าต้องทำหน้าที่ตรวจสอบนโยบายที่ตัวเองเป็นผู้อนุมัติ
- ผู้จัดการคลินิก (Clinic Manager): แม้จะเข้าใจหน้างานและวงจรข้อมูลคนไข้เป็นอย่างดี แต่งานประจำมักต้องทำหน้าที่อนุมัติขั้นตอนการทำงาน (Workflow) การจัดเก็บ การใช้ และการเปิดเผยข้อมูลคนไข้ในแต่ละวัน ทำให้ไม่สามารถตรวจสอบระบบได้อย่างเป็นอิสระ
- หัวหน้าฝ่ายเทคโนโลยีสารสนเทศ (Head of IT): เป็นผู้กำหนดวิธีการประมวลผล วางระบบฐานข้อมูล และโครงสร้างความปลอดภัยทางดิจิทัลของคลินิก หากต้องมาดำรงตำแหน่ง DPO ด้วย จะเกิดสภาวะที่ต้องตรวจสอบระบบเครือข่ายและซอฟต์แวร์ที่ตนเองเป็นผู้ออกแบบและดูแลอยู่
5 สัญญาณเตือนว่าคลินิกกำลังแต่งตั้ง DPO ผิดคน
หากโครงสร้างการบริหารจัดการข้อมูลภายในคลินิกเข้าข่ายลักษณะดังต่อไปนี้ ผู้บริหารควรทบทวนและปรับเปลี่ยนการแต่งตั้ง DPO ใหม่ทันทีเพื่อความปลอดภัยทางกฎหมาย:
- ผู้ปรับปรุงนโยบายคือผู้ตรวจสอบ: DPO กลายเป็นผู้มีอำนาจเซ็นอนุมัติแผนงานจัดเก็บข้อมูลที่ตนเองเป็นคนกำหนดขึ้น
- ไม่มีอำนาจตัดสินใจอย่างเป็นอิสระ: DPO อยู่ภายใต้สายบังคับบัญชาของฝ่ายปฏิบัติการหรือฝ่ายการตลาด ทำให้ไม่สามารถตรวจสอบหรือรายงานข้อบกพร่องของผู้สั่งการได้
- ภาระงานประจำทับซ้อน: DPO ต้องใช้เวลาทั้งหมดไปกับงานบริหารหลักหรืองานรักษาพยาบาล จนไม่มีเวลาเหลือสำหรับปฏิบัติหน้าที่ตรวจสอบและประเมินความปลอดภัยของข้อมูล
- ถือครองสิทธิ์การเข้าถึงระบบสูงสุด (Super Admin): DPO มีอำนาจสั่งการเปิดเผยข้อมูลคนไข้ให้แก่บุคคลภายนอกได้โดยตรงโดยไม่มีกลไกการตรวจสอบซ้ำ
- ต้องตรวจสอบความผิดพลาดของตนเอง: เมื่อเกิดเหตุการณ์ข้อมูลคนไข้รั่วไหล DPO กลับกลายเป็นคนแรกที่ต้องถูกตั้งคณะกรรมการตรวจสอบเนื่องจากเป็นผู้วางระบบจัดเก็บข้อมูลนั้นเอง
แนวทางพิจารณาเลือก DPO เพื่อความยั่งยืนของธุรกิจคลินิก
เพื่อป้องกันช่องโหว่ทางกฎหมาย ผู้บริหารคลินิกควรเปลี่ยนเกณฑ์การคัดเลือกจากคำว่า “ใครเข้าใจระบบมากที่สุด” เป็น “ใครมีความเป็นกลางในการตรวจสอบมากที่สุด” โดยอ้างอิงจากหลักการปฏิบัติ 3 ข้อดังนี้:
- คัดเลือกจากความเป็นอิสระ: เลือกบุคลากรที่มีบทบาทหน้าที่ไม่เกี่ยวข้องกับการตัดสินใจเชิงธุรกิจ การสร้างยอดขาย หรือการออกแบบ Workflow ของระบบฐานข้อมูลคนไข้
- พิจารณาใช้บริการผู้เชี่ยวชาญภายนอก: หากคลินิกเป็นสถานพยาบาลขนาดเล็กที่มีจำนวนบุคลากรจำกัด และคนในองค์กรส่วนใหญ่มีลักษณะของ Conflict of Interest การเลือกใช้บริการผู้เชี่ยวชาญจากภายนอก (Outsourced DPO) จะเป็นทางเลือกที่คุ้มค่า ปลอดภัย และลดความเสี่ยงทางกฎหมายได้ดีกว่า
- ทบทวนโครงสร้างการกำกับดูแลสม่ำเสมอ: เมื่อคลินิกมีการเติบโต ขยายสาขา หรือพัฒนาระบบเทคโนโลยีสารสนเทศที่ซับซ้อนขึ้น ควรจัดให้มีการประเมินบทบาทของ DPO เป็นระยะเพื่อให้มั่นใจว่ายังสามารถปฏิบัติหน้าที่ได้อย่างเหมาะสมและปราศจากความขัดแย้งทางผลประโยชน์
A: ไม่ควรทำอย่างยิ่ง เนื่องจากโดยหลักการของกฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของคลินิกหรือผู้มีอำนาจกระทำการแทนคลินิกถือเป็น "ผู้ควบคุมข้อมูลส่วนบุคคล" (Data Controller) ซึ่งเป็นผู้กำหนดวัตถุประสงค์ในการใช้ข้อมูลเพื่อขับเคลื่อนธุรกิจ การแต่งตั้งตนเองเป็น DPO จะทำให้เกิดภาวะความขัดกันแห่งหน้าที่อย่างชัดเจนและขัดต่อเจตนารมณ์ของกฎหมาย
A:สิ่งสำคัญคือต้องตรวจสอบว่า "จุดประสานงานภายใน" หรือบุคคลที่ได้รับมอบหมายให้ทำหน้าที่ติดต่อประสานงานกับ DPO ภายนอก ต้องไม่ใช่คนที่มีอำนาจตัดสินใจสูงสุดในการประมวลผลข้อมูลหรือวางระบบไอที เพื่อให้กลไกการรับส่งข้อมูลและการตรวจสอบความเสี่ยงระหว่างองค์กรกับผู้เชี่ยวชาญภายนอกยังคงมีความเป็นอิสระและโปร่งใส
A:ในกรณีที่จำเป็นต้องเลือกบุคลากรภายในเนื่องจากข้อจำกัดด้านงบประมาณ คลินิกต้องทำการแยกขอบเขตหน้าที่ (Segregation of Duties) ให้ชัดเจนที่สุด โดยพนักงานที่รับหน้าที่ DPO ต้องไม่มีส่วนร่วมในการอนุมัติงบการตลาด การเลือกซอฟต์แวร์จัดเก็บข้อมูล หรือการออกแบบระบบฐานข้อมูล และผู้บริหารต้องออกกฎเกณฑ์คุ้มครองให้พนักงานคนดังกล่าวสามารถรายงานข้อบกพร่องของระบบตรงต่อผู้บริหารได้โดยไม่ถูกกลั่นแกล้งหรือลงโทษ
การแต่งตั้ง DPO ในธุรกิจคลินิกไม่ใช่เพียงการมอบหมายตำแหน่งหน้าที่ตามความสะดวก แต่คือการวางรากฐาน “ธรรมาภิบาลข้อมูล” (Data Governance) ให้แก่สถานพยาบาล การเลือกบุคคลที่ปราศจากความขัดกันแห่งหน้าที่ (Conflict of Interest) จะช่วยให้กลไกการตรวจสอบภายในทำงานได้อย่างมีประสิทธิภาพ คลินิกสามารถดำเนินธุรกิจได้อย่างมั่นใจภายใต้กรอบของกฎหมาย PDPA และที่สำคัญที่สุดคือการรักษาความไว้วางใจขั้นสูงสุดจากคนไข้ผู้มาใช้บริการในระยะยาว
เผยแพร่: 12 มิถุนายน 2569
อัปเดตล่าสุด: 12 มิถุนายน 2569
ช่องทางติดต่อ:
Facebook: PDPA Thailand
Line OA: @pdpathailand
Email: [email protected]
Website: www.pdpathailand.com
