คลินิกขนาดเล็กต้องมี DPO หรือไม่? เจาะลึกเกณฑ์ PDPA ที่ควรรู้
คำตอบทางกฎหมายที่ชัดเจนที่สุดคือ “คลินิกขนาดเล็กไม่ได้หมายความว่าได้รับการยกเว้นไม่ต้องมี DPO” เนื่องจากกฎหมาย PDPA ของประเทศไทยไม่ได้กำหนดเกณฑ์การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือ DPO (Data Protection Officer) โดยใช้จำนวนพนักงาน จำนวนสาขา หรือยอดรายได้ของธุรกิจเป็นตัวตัดสิน แต่กฎหมายพิจารณาจาก “กิจกรรมหลักขององค์กร” และ “ประเภทของข้อมูลที่ถูกประมวลผล” เป็นสำคัญ
หากคลินิกมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลสุขภาพของคนไข้เป็นแกนหลักในการให้บริการ ตามมาตรา 41(3) แห่งพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ธุรกิจสถานพยาบาลเกือบทั้งหมดจึงเข้าเกณฑ์ข้อบังคับทางกฎหมายที่จำเป็นต้องแต่งตั้ง DPO เพื่อทำหน้าที่กำกับดูแลความปลอดภัยของข้อมูล
ทำไมขนาดของคลินิกถึงไม่ใช่ตัวตัดสินการมี DPO
ผู้ประกอบการหลายท่านอาจยังมีความเข้าใจคลาดเคลื่อนว่า หากคลินิกเป็นธุรกิจขนาดเล็ก เป็นกิจการครอบครัว หรือมีพนักงานประจำเพียงไม่กี่คน จะไม่ต้องมี DPO แต่ในความเป็นจริง กฎหมายมุ่งเน้นไปที่ “ลักษณะของข้อมูล” เป็นหลัก
ข้อมูลสุขภาพ ประวัติการรักษาโรค ผลตรวจทางห้องปฏิบัติการ หรือข้อมูลทางพันธุกรรม ถูกจัดเป็น “ข้อมูลส่วนบุคคลลักษณะพิเศษ” ตามมาตรา 26 ซึ่งมีความละเอียดอ่อนและมีความเสี่ยงต่อการละเมิดสิทธิขั้นรุนแรงหากเกิดการรั่วไหล ดังนั้น ไม่ว่าคลินิกจะมีขนาดเล็กเพียงใด ตราบใดที่หัวใจหลักของการดำเนินธุรกิจคือการตรวจรักษา การจัดทำเวชระเบียน หรือการเก็บประวัติคนไข้ นั่นหมายความว่าองค์กรกำลังประมวลผลข้อมูลที่กฎหมายให้ความคุ้มครองในระดับสูงสุดอยู่ตลอดเวลา
รูปแบบคลินิกขนาดเล็กที่ “ยิ่งต้องระวัง” เรื่องข้อบังคับ DPO
แม้จะเป็นสถานพยาบาลขนาดเล็ก แต่หากคลินิกมีลักษณะการดำเนินงานหรือกิจกรรมดังต่อไปนี้ ความเสี่ยงทางกฎหมายและระบบบริหารจัดการจะสูงขึ้นทันที:
- การใช้ระบบเวชระเบียนดิจิทัล (Electronic Medical Records): การจัดเก็บประวัติคนไข้ผ่านระบบคลาวด์ (Cloud) หรือโปรแกรมบริหารงานคลินิกออนไลน์ ย่อมเพิ่มความเสี่ยงด้านภัยคุกคามทางไซเบอร์ ซึ่งจำเป็นต้องมี DPO มาช่วยกำกับดูแลมาตรฐานความปลอดภัย
- คลินิกความงามหรือคลินิกทันตกรรม: มักมีการเก็บรวบรวมภาพถ่ายใบหน้า ภาพถ่ายเปรียบเทียบก่อน-หลังรับบริการ (Before-After) และผลการเอกซเรย์ ซึ่งจัดเป็นข้อมูลลักษณะพิเศษที่สามารถระบุตัวตนและสถานะสุขภาพได้อย่างชัดเจน
- การส่งต่อข้อมูลให้ Vendor ภายนอก: การใช้ระบบนัดหมายออนไลน์ของบุคคลที่สาม การส่งตัวอย่างแล็บไปตรวจที่ศูนย์ภายนอก หรือการใช้ระบบจัดการมวลชน (CRM) ทำให้คลินิกต้องควบคุมห่วงโซ่การประมวลผลข้อมูลให้รัดกุม
- การดำเนินกิจกรรมการตลาดเชิงรุก: หากมีการจัดเก็บประวัติเพื่อนำมาวิเคราะห์ในการยิงโฆษณา ส่งข้อความส่งเสริมการขายผ่าน LINE Official Account หรือทำรีมาร์เก็ตติ้ง (Remarketing) กลุ่มคนไข้เก่า ถือเป็นการใช้ข้อมูลนอกเหนือจากการรักษาพยาบาลปกติที่ต้องมีฐานกฎหมายรองรับอย่างถูกต้อง
4 คำถามช่วยประเมินก่อนแต่งตั้ง DPO
หากคุณเป็นเจ้าของคลินิกและยังลังเลใจในการวางระบบ ให้ลองประเมินสถานพยาบาลของตนเองด้วยคำถามสำคัญเหล่านี้:
- กิจกรรมหลักขององค์กรเกี่ยวข้องกับข้อมูลสุขภาพใช่หรือไม่? (หากใช่ นี่คือสัญญาณบ่งชี้ภาคบังคับทางกฎหมายตามมาตรา 41(3))
- ข้อมูลที่จัดเก็บมีประวัติการรักษาพยาบาลหรือผลตรวจโรคใช่หรือไม่? (หากมี การเข้าถึงและการดูแลความปลอดภัยทางระบบต้องเข้มงวดกว่าข้อมูลทั่วไป)
- คลินิกมีขั้นตอน (Workflow) รองรับการใช้สิทธิของคนไข้และแผนรับมือเหตุข้อมูลรั่วไหลแล้วหรือยัง? (หากยังไม่มีระบบจัดการสิทธิหรือแผนรับมือ ถือว่าระบบธรรมาภิบาลข้อมูลยังไม่สมบูรณ์)
- มีบุคลากรในองค์กรที่สามารถรับหน้าที่นี้ได้โดยไม่เกิดผลประโยชน์ทับซ้อน (Conflict of Interest) หรือไม่? (หากพนักงานภายในทับซ้อนกับหน้าที่บริหาร การเลือกใช้ Outsourced DPO จะปลอดภัยกว่า)
ข้อผิดพลาดสำคัญที่คลินิกขนาดเล็กควรหลีกเลี่ยง
- ใช้จำนวนพนักงานเป็นเกณฑ์ยกเว้น: ไม่ควรตั้งสมมติฐานว่า “พนักงานน้อย หน่วยงานกำกับดูแลคงไม่มาตรวจสอบ” เพราะกฎหมายไม่ได้ยกเว้นโทษหรือความรับผิดชอบตามจำนวนบุคลากร
- มองข้ามความสำคัญของปริมาณข้อมูลที่น้อย: การคิดว่าคลินิกเพิ่งเปิดใหม่มีคนไข้เพียงไม่กี่รายจึงไม่สำคัญ ถือเป็นแนวคิดที่อันตราย เพราะข้อมูลสุขภาพลักษณะพิเศษเพียงชุดเดียวหากรั่วไหลออกไป ก็สามารถสร้างผลกระทบและมูลค่าความเสียหายมหาศาลให้แก่คนไข้และคลินิกได้
- รอให้ธุรกิจเติบโตก่อนค่อยวางระบบ: การสะสมความผิดพลาดในระบบจัดเก็บข้อมูลและการขอความยินยอมตั้งแต่วันแรก จะทำให้การกลับมาแก้ไขโครงสร้างฐานข้อมูลในอนาคตมีต้นทุนที่สูง ซับซ้อน และอาจสายเกินไปหากเกิดเหตุร้องเรียนขึ้นก่อน
A : หากกิจกรรมหลักของคลินิกเข้าข่ายข้อบังคับตามมาตรา 41(3) แต่ละเลยไม่แต่งตั้ง DPO หรือไม่ประกาศช่องทางติดต่อ DPO ให้คนไข้และสำนักงานทราบ คลินิกจะมีความเสี่ยงต่อบทลงโทษทางปกครอง โดยมีโทษปรับสูงสุดไม่เกิน 1,000,000 บาท ตามที่กฎหมาย PDPA กำหนดไว้
A : Outsourced DPO คือการจ้างบริการผู้เชี่ยวชาญหรือที่ปรึกษากฎหมายภายนอกมาทำหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลแทนการจ้างพนักงานประจำ รูปแบบนี้เหมาะมากสำหรับคลินิกขนาดเล็กเนื่องจากช่วยประหยัดค่าใช้จ่ายคงที่ (Fixed Cost) ขององค์กร แต่ยังได้รับคำแนะนำและการวางระบบจากผู้เชี่ยวชาญเฉพาะทางที่ถูกต้องตามกฎหมาย
A : ควรเริ่มประเมินโครงสร้างข้อมูลและแต่งตั้ง DPO ทันทีโดยไม่ต้องรอ เนื่องจากกฎหมาย PDPA มีผลบังคับใช้เต็มรูปแบบแล้ว การจัดตั้ง DPO และจัดทำช่องทางการติดต่อให้ถูกต้องจะช่วยให้คลินิกดำเนินงานได้อย่างสบายใจ ปลอดภัย และถูกต้องตามมาตรฐานตั้งแต่วันนี้
คลินิกขนาดเล็กไม่ใช่ข้อยกเว้นของกฎหมาย PDPA สิ่งสำคัญที่ผู้บริหารต้องกลับมาพิจารณาจึงไม่ใช่คำว่า “ธุรกิจของเราเล็กเกินไปไหม” แต่คือ “ธุรกิจของเราใช้ข้อมูลสุขภาพเป็นหัวใจหลักในการดำเนินงาน และเรามีระบบกำกับดูแลที่เพียงพอแล้วหรือยัง” การให้ความสำคัญกับหน้าที่ของ DPO ไม่เพียงแต่เป็นการปฏิบัติตามตัวบทกฎหมายเพื่อลดความเสี่ยงทางคดีความเท่านั้น แต่ยังเป็นกลยุทธ์สำคัญในการสร้างความเชื่อมั่น ความปลอดภัย และภาพลักษณ์ระดับมืออาชีพให้กับคลินิกในระยะยาว
เผยแพร่: 12 มิถุนายน 2569
อัปเดตล่าสุด: 12 มิถุนายน 2569
ช่องทางติดต่อ:
Facebook: PDPA Thailand
Line OA: @pdpathailand
Email: [email protected]
Website: www.pdpathailand.com
