เราอาจจะได้ยินคำว่า PDPA กันมาหลายครั้ง อย่างน้อยเราก็รู้สิทธิขั้นต้นว่าคือการที่กฎหมายช่วยปกป้องข้อมูลสิทธิส่วนบุคคล หากช่วงนี้ใครไปพบแพทย์จะต้องเจอการเซ็นเอกสารเพื่อขออนุญาต PDPA เช่นกัน
วันนี้ เรามาดูรายละเอียดกันว่า กฎหมาย PDPA ที่วงการแพทย์ขออนุญาตเราทุกครั้งก่อนเข้าพบหมอนั้น มีความคุ้มครองในเรื่องอะไรบ้าง แล้วข้อควรระวังก่อนเซ็นเอกสารที่ผู้ป่วยควรรู้
PDPA หรือ Personal Data Protection Act B.E 2562 เป็น พ.ร.บ ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคลถูกร่างขึ้น เพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต
คำว่าข้อมูลส่วนบุคคลนั้น จะถูกแบ่งออกเป็น 2 ประเภท คือ ข้อมูลส่วนบุคคล กับ ข้อมูลส่วนบุคคลที่อ่อนไหว
สำหรับผู้ที่มีส่วนเกี่ยวข้องกับกฎหมาย PDPA จะแบ่งเป็น 3 ประเภท
- เจ้าของข้อมูลส่วนบุคคล คือ บุคคลที่ข้อมูลสามารถระบุไปถึงได้ ทั้งทางตรงและทางอ้อม
- ผู้ควบคุมข้อมูลส่วนบุคคล คือ บุคคลหรือนิติบุคคลที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
- ผู้ประมวลผลข้อมูลส่วนบุคคล คือ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลตามคำสั่งหรือในนามของผู้ควบคุม แต่บุคคลหรือนิติบุคคลที่ดำเนินการไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
การขอความยินยอม
การขออนุญาตหรือคำยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลหรือนำข้อมูลส่วนบุคคลไปใช้ หรือนำไปเปิดเผยไม่ว่าจะใช้ในวัตถุประสงค์ใดก็ตาม
RoPA หรือ Record of Processing Activity
การบันทึกกิจกรรมการประมวลผลขององค์กร ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
โรงพยาบาล ต้องเข้าใจ PDPA ให้มากขึ้น
ในช่วงชีวิตของทุกคนจะต้องเคยเข้าโรงพยาบาลตั้งแต่เกิดจนตาย ดังนั้นโรงพยาบาลจึงถือว่าเป็นสถานที่ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของคนมาทุกช่วงชีวิต
รวมทั้งโรงพยาบาลถือว่าเป็นศูนย์กลางของข้อมูลขนาดใหญ่ที่เก็บข้อมูลส่วนบุคคลในเรื่องของการรักษา และยังเก็บข้อมูลที่อ่อนไหว เช่น กรุ๊ปเลือด ประวัติการใช้ยา ประวัติเกี่ยวกับประกัน ซึ่งข้อมูลเหล่านี้ เป็นข้อมูลที่สำคัญเพราะระบุตัวตนของบุคคลทั้งทางตรงและทางอ้อม
ดังนั้น โรงพยาบาลจึงถือว่าเป็นหน่วยงานที่ต้องปกป้องข้อมูลรั่วไหลหรือถูกโจรกรรม
พรบ.สุขภาพแห่งชาติ 2550
ย้อนกลับไปอ้างอิงเรื่องความคุ้มครองข้อมูลของคนไข้ที่เข้ารับบริการในโรงพยาบาล จะได้รับความคุ้มครองด้วยพรบ.สุขภาพแห่งชาติ พ.ศ.2550 ตามมาตรา 7
“ข้อมูลสุขภาพส่วนบุคคลเป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยในประการที่น่าจะทำให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดนตรง หรือมีกฎหมายบัญญัติเฉพาะให้ต้องเปิดเผย”
ความหมายของข้อมูลตามกฎหมาย PDPA จะแบ่งเป็น
- Data Subject : คนไข้หรือผู้มาใช้บริการ
- Data Controller : โรงพยาบาล
- Data Processor : หน่วยงานประกันสังคม หรือ บริษัทประกัน
หากมีการส่งต่อข้อมูลกันระหว่างโรงพยาบาล จะมีการสลับตำแหน่งกัน เช่น โรงพยาบาลที่รับเคสคนไข้เป็น Data Controller โรงพยาบาลที่รับเคสต่อ จะกลายเป็น Data Processor ทันที
สิ่งที่โรงพยาบาลต้องทำตาม PDPA
- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO (DATA Protection Officer) เพื่อทำหน้าที่ดูแลเกี่ยวกับข้อมูลส่วนบุคคลทั้งภายในองค์กรและภายนอก (ผู้ใช้บริการ) ของบริษัท
- จัดทำประกาศนโยบายความเป็นส่วนตัวและประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคลให้คนไข้ หรือผู้มาใช้บริการ รวมถึงบุคลากรภายในองค์กรได้ทราบว่าโรงพยาบาลมีการเก็บข้อมูลส่วนบุคคลอะไรบ้าง นำข้อมูลเหล่านั้นไปทำอะไร มีมาตรการดูแลรักษาข้อมูลอย่างไร มีระยะเวลาในเก็บข้อมูลเท่าไหร่ หรือส่งต่อข้อมูลให้แก่องค์กรใดบ้าง ฯลฯ
- จัดทำ Consent Management ระบบบริหารจัดการข้อมูลส่วนบุคคลก่อนที่โรงพยาบาลจะดำเนินกิจกรรมใด ๆ ที่เกี่ยวข้องกับการใช้หรือประมวลข้อมูลส่วนบุคคล
- ระบบ Consent Management ที่ครอบคลุมการขอความยินยอม ต้องมีการเพิกถอนความยินยอมของเจ้าของข้อมูลหรือ Consent Form ด้วย
- จัดทำ RoPA (Record of Processing Activities) โดยเริ่มจากการสำรวจข้อมูลส่วนบุคคลที่มีการจัดเก็บโดยองค์กร ระบุวัตถุประสงค์การใช้ข้อมูลส่วนบุคคลอย่างละเอียด พร้อมระบุระยะเวลาในการจัดเก็บข้อมูล
- การจัดทำ RoPA จะถูกใช้เมื่อเจ้าของข้อมูล (Data Subject) ขอทราบกระบวนการ RoPA หรือในกรณีที่มีการตรวจสอบโดยเจ้าหน้าที่จากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
การทำ PDPA ในส่วนของโรงพยาบาลจำเป็นต้องทำอย่างครอบคลุมและรอบคอบ ทีมที่รับผิดชอบเรื่องข้อมูลจึงต้องใส่ใจและชัดเจนเพื่อป้องกันการรั่วไหลของข้อมูล
แหล่งข้อมูล
