PDPA กับธุรกิจ ‘คลินิก’ ควรจัดการข้อมูลส่วนบุคคลของลูกค้าอย่างไร ?

แชร์

อ่าน

ครั้ง

โดย : PDPA Thailand

PDPA กับธุรกิจ ‘คลินิก’ ควรจัดการข้อมูลส่วนบุคคลของลูกค้าอย่างไร ?

แชร์

อ่าน

ครั้ง

โดย : PDPA Thailand

คลินิก สถานให้บริการสุขภาพ การดูแลตกแต่ง และการรักษาโรคที่ดำเนินการโดยนิติบุคคล ซึ่งตามข้อบัญญัติของกฎหมาย PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีสถานะเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ที่ต้องมีการดำเนินการหลาย ๆ ด้านตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด

ขณะเดียวกัน คลินิกยังมีจุดที่ต้องระมัดระวัง เนื่องจากมีการเก็บข้อมูลส่วนบุคคลทั่วไป (Personal Data) ที่เป็นข้อมูลประวัติส่วนตัวของลูกค้า เช่น ชื่อ นามสกุล เบอร์โทร อีเมล ที่อยู่ ทะเบียนรถ ธุรกรรมการเงิน และมีการเก็บข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data) เช่น ข้อมูลสุขภาพ ข้อมูลพันธุกรรม และข้อมูลชีวภาพ ‘เป็นจำนวนมาก’ ซึ่งตามกฎหมาย การจะเก็บ รวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ก็ต่อเมื่อ ‘ได้รับความยินยอม’ จากเจ้าของข้อมูล เนื่องจากอาจส่งผลกระทบต่อร่างกายและจิตใจของบุคคลนั้นได้ง่าย หรือเกิดการละเมิดข้อมูลส่วนบุคคล

ด้วยเหตุนี้ การดำเนินกิจการภายใต้กฎหมาย PDPA ของคลินิกจึงมีหลายแง่มุมที่น่าสนใจในการวิเคราะห์เพื่อหาทางออกที่ถูกต้อง ภายใต้ในการดำเนินธุรกิจให้ถูกต้องตามกฎหมายฉบับใหม่ที่ได้บังคับเป็นที่เรียบร้อยแล้ว ในวันที่ 1 มิถุนายน พ.ศ.2565 ปีที่ผ่านมา

ข้อมูลส่วนบุคคลอ่อนไหวที่ ‘คลินิก’ มักเก็บใช้ มีอะไรบ้าง

1. ข้อมูลสุขภาพ (Health Information) คือ ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับสุขภาพร่างกายหรือจิตใจของบุคคล รวมถึงการเข้ารับบริการด้านสุขภาพ ซึ่งบางครั้งอาจมีความจำเป็นต้องเก็บใช้หรือเปิดเผยข้อมูลเกี่ยวกับสถานะสุขภาพของแต่ละบุคคล เช่น เวชระเบียนผู้ป่วย หรือประวัติด้านการรักษา ข้อมูลการแพ้ยา ผลตรวจเลือด ภาพอัลตร้าซาวด์ ความพิการ

2. ข้อมูลทางพันธุกรรม (Genetic Information) คือ ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับลักษณะทางพันธุกรรมที่สืบทอดกันมา เช่น ปัจจุบันมีการเก็บข้อมูล DNA ข้อมูลยีนส์ (Gene) เพื่อประโยชน์ในการตรวจสอบป้องกันและรักษาโรคของผู้ให้บริการทางการแพทย์ การปฏิสนธิภายนอกร่างกาย หรือการทำเด็กหลอดแก้ว รวมถึงข้อมูลชาติพันธุ เป็นต้น

3. ข้อมูลชีวภาพ (Biometrics) คือ ข้อมูลด้านสรีรวิทยา เช่น สีผิว ส่วนสูง น้ำหนัก สีผม สีตา โครงสร้างกระดูก ฟัน ลายนิ้วมือ ม่านตา จุดที่เป็นลักษณะพิเศษเฉพาะบุคคล เช่น ปาน ไฝ แผลเป็น รวมถึงพฤติกรรมเฉพาะที่เป็นเอกลักษณ์และสามารถระบุถึงตัวบุคคลนั้นได้ เช่น เสียงพูด

โดยจะเห็นว่า ข้อมูลส่วนบุคคลอ่อนไหวที่ยกตัวอย่างมาทั้ง 3 ข้อเป็นข้อมูลที่คลินิกที่มักเก็บข้อมูลลูกค้าอยู่เสมอ ซึ่งตามข้อมูลที่ระบุในข้างต้นว่าต้องได้รับความยินยอมจากเจ้าของข้อมูล หรือหากเป็นผู้เยาว์ที่ยังไม่บรรลุนิติภาวะจะต้องขอความยินยอมจากผู้ปกครองตามกฎหมาย แต่หากเป็นบุคคลไร้ความสามารถหรือเสมือนไร้ความสามารถจะต้องได้รับความยินยอมจากผู้อนุบาลหรือผู้พิทักษ์ตามกฎหมาย

กรณีไหนบ้างที่ ‘คลินิก’ สามารถเก็บใช้ข้อมูลส่วนบุคคลอ่อนไหวได้โดยไม่ต้องขอความยินยอม

หากว่าตามข้อบังคับแพทยสภาว่าด้วยการรักษาจริยธรรมแห่งวิชาชีพเวชกรรม พ.ศ. 2549 ผู้ป่วยมีสิทธิได้รับการปกปิดข้อมูลของตนเอง เว้นแต่ผู้ป่วยจะให้ความยินยอมหรือเป็นการปฏิบัติตามหน้าที่ของผู้ประกอบวิชาชีพด้านสุขภาพเพื่อประโยชน์โดยตรงของผู้ป่วยหรือตามกฎหมาย
ขณะที่ พระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. 2550 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล จะนำไปเปิดเผยจนทำให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การ เปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือชอบด้วยกฎหมาย

แต่อย่างไรก็ตามจะอาศัยสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้ ยกเว้นว่าเจ้าของข้อมูลได้ยินยอม

ทั้งนี้ ‘ความยินยอม’ ในการเก็บข้อมูลสุขภาพตามกฎหมายหรือข้อบังคับต่างๆ ก่อนมีกฎหมาย PDPA ยังเป็นขอบเขตกว้างๆ แต่ยังไม่ได้กำหนดหลักเกณฑ์การจัดเก็บ ประมวลผล หรือเงื่อนไขในการปฏิบัติงานไว้ชัดเจน รวมทั้งยังไม่ได้ระบุถึงข้อมูลส่วนบุคคลอ่อนไหวบางข้อเช่น ข้อมูลสรีรวิทยา ข้อมูล DNA ลักษณะเฉพาะบุคคล ซึ่งตามกฎหมาย PDPA ระบุว่าหากเก็บใช้จะต้องได้รับความยินยอมอย่างชัดเจน หรือเป็นการดำเนินการโดยชอบตามกฎหมายเท่านั้น เว้นแต่จะมีเหตุจำเป็นในการปกป้องหรือระงับอันตรายอย่างร้ายแรงต่อชีวิต ร่างกาย หรือสุขภาพอนามัยของบุคคลนั้นๆ

อย่างไรก็ตาม ล่าสุดได้มี ประกาศกระทรวงสาธารณสุข เรื่อง การเปิดเผยข้อมูลส่วนบุคคลตามพระราชบัญญัติควบคุมโรค จากการประกอบอาชีพและโรคจากสิ่งแวดล้อม พ.ศ. 2562 พ.ศ. 2565 โดยมีการกำหนดหลักเกณฑ์ วิธีการ และเงื่อนไขในการเปิดเผยข้อมูลส่วนบุคคล จากการเฝ้าระวัง การสอบสวนโรค การแจ้ง หรือการรายงาน ตาม พ.ร.บ. ควบคุมโรคฯ เพื่อให้การเก็บหรือประมวลผลข้อมวลส่วนบุคคลจากการประกอบอาชีพและโรคจากสิ่งแวดล้อม สามารถเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ป่วยได้ใน 2 กรณี ซึ่งคลินิกและสถานบริการทางการแพทย์ที่เป็นนิติบุคคลสามารถดำเนินการตามนี้ได้เช่นกัน ดังนี้

 

1. ดำเนินการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ต้องทำโดยชัดแจ้งเป็นหนังสือหรือทำโดยผ่านระบบ อิเล็กทรอนิกส์ แต่หากมีการ ‘ขอความยินยอมด้วยวาจา’ ถ้าเจ้าของข้อมูลส่วนบุคคลได้ร้องขอ คลินิกต้องปฏิบัติการตาม พ.ร.บ. ต้องยืนยันคำขอนั้นเป็นหนังสือแจ้งให้แก่เจ้าของข้อมูลส่วนบุคคลและต้องดำเนินการ ภายใน 7 วัน โดยในหนังสือขอความยินยอมจะต้องประกอบด้วย

• วัน เดือน และปีที่ทำคำขอ
• ข้อมูลส่วนบุคคลที่จะขอเปิดเผย และวิธีการในการเปิดเผยข้อมูลส่วนบุคคล
• วัตถุประสงค์ในการเปิดเผยข้อมูลส่วนบุคคล
• ข้อกฎหมายที่อ้างอิง
• ชื่อและลายมือชื่อของผู้ซึ่งมีหน้าที่ปฏิบัติการตาม พ.ร.บ.ที่ทำคำขอ

 

2. ไม่ต้องขอความยินยอมจากเจ้าของข้อมูล หากการดำเนินการดังกล่าวมีความจำเป็นเพื่อประโยชน์สาธารณะ เป็นการปฏิบัติการตามกฎหมาย หรือเป็นเหตุจำเป็น เช่น เพื่อป้องกันหรือระงับอันตรายอย่างร้ายแรงต่อชีวิต ร่างกาย สุขภาพอนามัย หรือประโยชน์สาธารณะในการเฝ้าระวัง การป้องกัน และ การควบคุมโรค เป็นต้น

 

ด้วยเหตุนี้ จะเห็นว่าสถานบริการทางการแพทย์ และคลินิกเฉพาะทางต่างๆ ที่มีการเก็บข้อมูลส่วนบุคคล และข้อมูลส่วนบุคคลอ่อนไหวเป็นจำนวนมาก จึงต้องรีบดำเนินการก่อนกฎหมาย PDPA บังคับใช้ เนื่องจากมีความเสี่ยงสูงที่จะก่อให้เกิดผลกระทบต่อร่างกายและจิตใจของบุคคลนั้น และอาจนำไปสู่เหตุการณ์ฟ้องร้องคลินิกจะต้องโดนโทษทั้งทางแพ่ง โทษอาญาและโทษทางปกครองหากไม่ดำเนินการตามที่กฎหมายกำหนด

กระนั้น ในบางกรณี การเก็บข้อมูลอาจจะทำได้โดยใช้ฐานกฎหมายที่ระบุว่าเป็นการดำเนินการโดยชอบ หรือเป็นเหตุจำเป็นเพื่อปกป้องชีวิต ป้องกันโรคติดต่อ หรือประโยชน์สาธารณะส่วนรวม

แต่อย่างไรก็ตาม ด้วยสถานะที่คลินิก เป็นผู้ควบคุมข้อมูลส่วนบุคคลตามกฎหมาย รวมทั้งอาจเป็นผู้ประมวลผลข้อมูลส่วนบุคคลในบางกรณี ทั้งมีการเก็บข้อมูลเป็นจำนวนมาก คือ มีการจัดเก็บข้อมูลบุคคลทั่วไปที่สามารถระบุตัวตนของเจ้าของข้อมูล 50,000 ราย หรือมีข้อมูลอ่อนไหวของเจ้าของข้อมูล 5,000 ราย จะต้องมีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) ซึ่งกฎหมายบังคับหากคุณสมบัติตรงตามหลักเกณฑ์นี้ เพื่อให้การดำเนินการต่างๆ ถูกต้องตามที่กฎหมายกำหนด และยังช่วยให้ลดความเสี่ยงกรณีละเมิดข้อมูลส่วนบุคคลของลูกค้าได้อีกด้วย แต่คงต้องรีบแล้ว เพราะเส้นตายของกฎหมาย PDPA ใกล้เข้ามาทุกขณะ

Share :