คลินิกไม่มี DPO เริ่มต้นอย่างไรให้ถูกต้องและรวดเร็วภายใน 30 วัน
สำหรับผู้ประกอบการและผู้บริหารสถานพยาบาล การปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) เป็นเรื่องที่ไม่สามารถละเลยได้อีกต่อไป หากปัจจุบันสถานพยาบาลของคุณยังไม่มีการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) คำแนะนำที่สำคัญที่สุดคือ “อย่าเพิ่งรีบใส่ชื่อใครสักคนลงในเอกสารเพียงเพื่อให้จบงาน” แต่ควรเริ่มต้นอย่างเป็นระบบด้วยการทำความเข้าใจกิจกรรมการใช้ข้อมูล และจัดวางโครงสร้างพื้นฐานที่ใช้งานได้จริงภายในเวลา 30 วัน เพื่อให้สอดคล้องกับมาตรา 41 (3) และมาตรา 42 แห่งกฎหมาย PDPA ที่มุ่งเน้นการปฏิบัติหน้าที่จริงมากกว่าเป็นเพียงตำแหน่งบนกระดาษ
สัปดาห์ที่ 1 : ประเมินสถานะข้อมูลและค้นหาจุดสัมผัส (วันที่ 1–7)
ก่อนที่จะทำการแต่งตั้ง DPO อย่างเป็นทางการ คลินิกจำเป็นต้องทราบก่อนว่าองค์กรมีการครอบครองและประมวลผล “ข้อมูล” อะไรอยู่บ้าง ในขั้นตอนนี้ควรแต่งตั้งผู้รับผิดชอบโครงการชั่วคราว (Project Owner) ขึ้นมาเพื่อเป็นตัวแทนในการรวบรวมข้อมูล โดยทำการสำรวจและตั้งคำถามสำคัญ 5 ข้อ ดังนี้:
- คลินิกมีการจัดเก็บข้อมูลส่วนบุคคลอะไรของคนไข้ไว้บ้าง?
- ข้อมูลสุขภาพ ข้อมูลการรักษาพยาบาล (ซึ่งจัดเป็นข้อมูลส่วนบุคคลลักษณะพิเศษ) ถูกจัดเก็บไว้ที่ใดและในรูปแบบใด?
- บุคลากรคนใดบ้างที่เป็นผู้ได้รับสิทธิ์ในการเข้าถึงข้อมูลเหล่านั้น?
- หากคนไข้ต้องการใช้สิทธิตามกฎหมาย (เช่น ขอลบ ทำลาย หรือขอแก้ไขข้อมูล) ใครจะเป็นผู้รับเรื่องและดำเนินการ?
- หากเกิดเหตุการณ์วิกฤตข้อมูลรั่วไหล ใครจะเป็นเจ้าภาพหลักในการควบคุมสถานการณ์?
แนวทางปฏิบัติ: ให้จัดทำ “แผนที่การไหลเวียนของข้อมูล” (Data Mapping) เพื่อให้เห็นภาพชัดเจนว่าข้อมูลของคนไข้เชื่อมโยงกับฝ่ายใดบ้าง ตั้งแต่เจ้าหน้าที่หน้าเคาน์เตอร์ แพทย์ พยาบาล ฝ่ายไอที ฝ่ายการตลาด ตลอดจนระบบนัดหมายออนไลน์ และศูนย์แล็บวิเคราะห์โรคภายนอก
สัปดาห์ที่ 2 : เลือกโมเดล DPO และกำหนดช่องทางติดต่อ (วันที่ 8–15)
เมื่อเห็นภาพรวมและปริมาณการประมวลผลข้อมูลลักษณะพิเศษของคนไข้ทั้งหมดแล้ว ให้พิจารณาเลือกรูปแบบโครงสร้าง DPO ที่เหมาะสมกับขนาดและงบประมาณของคลินิก :
- DPO ภายในองค์กร (Internal DPO): คัดเลือกพนักงานที่มีความเข้าใจระบบงานภายใน แต่อยู่ในตำแหน่งที่ไม่มี “ความขัดแย้งทางผลประโยชน์” (Conflict of Interest) เช่น ไม่เป็นผู้มีอำนาจสั่งการหรือตัดสินใจหลักในการนำข้อมูลคนไข้ไปใช้ประโยชน์เชิงธุรกิจ
- DPO จากภายนอก (Outsourced DPO): เลือกจ้างที่ปรึกษากฎหมายหรือหน่วยงานเฉพาะทางจากภายนอก เพื่อให้ได้ผู้เชี่ยวชาญเข้ามาวางระบบและมีความเป็นอิสระในการตรวจสอบอย่างแท้จริง
- โมเดลแบบผสม: แต่งตั้งบุคลากรภายในเพื่อทำหน้าที่เป็นผู้ประสานงานหน้างาน ควบคู่ไปกับการมีที่ปรึกษากฎหมายภายนอกเป็นผู้ดูแลภาพรวม
หน้าที่สำคัญในสัปดาห์นี้ : จัดทำและประกาศช่องทางการติดต่อ DPO ตามกฎหมายมาตรา 41 วรรคสี่ เช่น การเปิดใช้อีเมลเฉพาะสำหรับงานคุ้มครองข้อมูล หรือการจัดทำแบบฟอร์มออนไลน์ เพื่อให้คนไข้และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) สามารถติดต่อได้จริง
สัปดาห์ที่ 3: สร้าง Workflow สำหรับการใช้สิทธิและเหตุละเมิด (วันที่ 16–23)
สัปดาห์นี้คือหัวใจสำคัญของการเปลี่ยนนโยบายบนกระดาษให้กลายเป็นระบบปฏิบัติการหลังบ้านที่ใช้งานได้จริง โดย DPO และทีมงานต้องร่วมกันออกแบบขั้นตอนการทำงาน (Workflow) ใน 2 มิติหลัก:
1. ขั้นตอนการจัดการสิทธิของคนไข้ (Rights Workflow)
กำหนดกระบวนการทำงานเมื่อคนไข้มาติดต่อขอใช้สิทธิตามกฎหมาย ตั้งแต่จุดแรกรับเพื่อตรวจสอบตัวตนของคนไข้ การส่งเรื่องอ้างอิงฐานกฎหมาย การรวบรวมไฟล์ข้อมูลจากระบบเวชระเบียน ไปจนถึงขั้นตอนการตอบกลับและจัดทำหลักฐานการดำเนินงานให้เสร็จสิ้นตามกรอบเวลา
2. ขั้นตอนการจัดการเหตุละเมิดข้อมูล (Breach Workflow)
จัดทำแผนเผชิญเหตุเพื่อเตรียมความพร้อมหากเกิดกรณีข้อมูลคนไข้รั่วไหล หรือระบบไอทีโดนโจมตี โดยต้องกำหนดตัวบุคคลที่จะทำหน้าที่ระงับเหตุ ประเมินระดับความรุนแรงของผลกระทบ และเตรียมเอกสารสำหรับรายงานเหตุต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงตามที่กฎหมายกำหนด
สัปดาห์ที่ 4: ทดสอบระบบหลังบ้านและเปิดใช้งานจริง (วันที่ 24–30)
ก่อนที่จะทำการประกาศใช้อย่างเป็นทางการ คลินิกควรจัดให้มีการซักซ้อมและจำลองสถานการณ์เสมือนจริง ร่วมกับพนักงานที่เกี่ยวข้อง เพื่อทดสอบความเข้าใจและหาจุดบกพร่องของระบบ โดยมีตัวอย่างสถานการณ์จำลองดังนี้:
- มีคนไข้เข้ามาติดต่อที่หน้าเคาน์เตอร์เพื่อขอสำเนาและขอลบประวัติการรักษาพยาบาลทั้งหมด
- พนักงานจัดส่งเอกสารหรือไฟล์ภาพถ่ายก่อน-หลังการรักษา (Before-After) ของคนไข้ผิดคน หรือส่งเข้าไปในกลุ่มไลน์สาธารณะ
การทดสอบจะช่วยให้ผู้บริหารเห็นช่องจุดโหว่ของ Workflow ที่วางไว้ ช่วยให้พนักงานหน้างานทราบหน้าที่ของตนเองเมื่อเผชิญเหตุการณ์จริง และเป็นการยืนยันความพร้อมก่อนเปิดระบบใช้งานอย่างเต็มรูปแบบ
A : จำเป็น เนื่องจากกิจกรรมหลักของธุรกิจคลินิกคือการให้บริการตรวจรักษาและดูแลสุขภาพ ซึ่งหลีกเลี่ยงไม่ได้ที่จะต้องมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลสุขภาพ ข้อมูลยา หรือข้อมูลชีวภาพของคนไข้ ซึ่งจัดเป็นข้อมูลส่วนบุคคลลักษณะพิเศษตามมาตรา 26 เป็นประจำและสม่ำเสมอ คลินิกจึงมีหน้าที่ตามกฎหมายมาตรา 41(3) ที่ต้องแต่งตั้ง DPO โดยไม่มีข้อยกเว้นเรื่องขนาดธุรกิจ
A : ปัญหา จะเกิดขึ้นหากพนักงานคนดังกล่าวเป็นผู้ประมวลผลข้อมูลหรือมีอำนาจบริหารจัดการข้อมูลนั้นโดยตรง เช่น การแต่งตั้งผู้บริหารสูงสุด ผู้จัดการคลินิก หรือหัวหน้าฝ่ายไอที เนื่องจากบุคคลกลุ่มนี้เป็นผู้กำหนดนโยบายหรือวางระบบจัดเก็บเอง ทำให้ไม่สามารถปฏิบัติตามหน้าที่ในการตรวจสอบ (Audit) และถ่วงดุลอำนาจได้อย่างเป็นกลางในฐานะ DPO
A : เนื่องจาก เป็นเงื่อนไขบังคับทางกฎหมายที่กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งเหตุละเมิดข้อมูลที่มีความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมงนับแต่ทราบเหตุ การรายงานที่ล่าช้าโดยไม่มีเหตุผลอันสมควรอาจทำให้คลินิกได้รับโทษปรับทางปกครองเพิ่มเติม
เป้าหมายสูงสุดของการวางระบบ DPO ภายใน 30 วันแรก ไม่ใช่เพียงแค่การได้ชื่อบุคคลมาใส่ไว้ในเอกสารนโยบายความปลอดภัย แต่คือการจัดวางโครงสร้างและขั้นตอนการทำงานทางกฎหมายที่ทำให้คลินิกสามารถปกป้องข้อมูลส่วนบุคคลลักษณะพิเศษของคนไข้ได้อย่างปลอดภัย เมื่อเกิดเหตุการณ์วิกฤตหรือมีคนไข้มาใช้สิทธิ บุคลากรทุกคนในองค์กรต้องทราบทันทีว่าตนเองมีบทบาทหน้าที่อย่างไรและต้องประสานงานต่อไปที่ใคร นี่คือมาตรฐานขั้นพื้นฐานที่แท้จริงของการเป็นสถานพยาบาลที่ใส่ใจในธรรมาภิบาลข้อมูลและความปลอดภัยของผู้รับบริการ
เผยแพร่: 15 มิถุนายน 2569
อัปเดตล่าสุด: 15 มิถุนายน 2569
ช่องทางติดต่อ:
Facebook: PDPA Thailand
Line OA: @pdpathailand
Email: [email protected]
Website: www.pdpathailand.com
