PDPA วงการแพทย์ โรงพยาบาลต้องเตรียมพร้อมเรื่องอะไรบ้าง

วันนี้ เรามาดูรายละเอียดกันว่า กฏหมาย PDPA ที่วงการแพทย์ขออนุญาตเราทุกครั้งก่อนเข้าพบหมอนั้น มีความคุ้มครองในเรื่องอะไรบ้าง แล้วข้อควรระวังก่อนเซ็นเอกสารที่ผู้ป่วยควรรู้

PDPA หรือ Personal Data Protection Act B.E 2562 เป็น พ.ร.บ ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคลถูกร่างขึ้น เพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต

คำว่าข้อมูลส่วนบุคคลนั้น จะถูกแบ่งออกเป็น 2 ประเภท คือ ข้อมูลส่วนบุคคล กับ ข้อมูลส่วนบุคคลที่อ่อนไหว

สำหรับผู้ที่มีส่วนเกี่ยวข้องกับกฏหมาย PDPA จะแบ่งเป็น 3 ประเภท

• เจ้าของข้อมูลส่วนบุคคล คือ บุคคลที่ข้อมูลสามารถระบุไปถึงได้ ทั้งทางตรงและทางอ้อม
• ผู้ควบคุมข้อมูลส่วนบุคคล คือ บุคคลหรือนิติบุคคลที่มีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
• ผู้ประมวลผลข้อมูลส่วนบุคคล คือ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลตามคำสั่งหรือในนามของผู้ควบคุม แต่บุคคลหรือนิติบุคคลที่ดำเนินการไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

การขอความยินยอม

การขออนุญาตหรือคำยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลหรือนำข้อมูลส่วนบุคคลไปใช้ หรือนำไปเปิดเผยไม่ว่าจะใช้ในวัตถุประสงค์ใดก็ตาม

RoPA หรือ Record of Processing Activity

การบันทึกกิจกรรมการประมวลผลขององค์กร ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

อ่านข่าวอื่นๆ เพิ่มเติม

• PDPA พลเมืองดีถ่ายรูป-คลิปได้ เป็นหลักฐานให้ตำรวจได้ อย่าโพสต์-แชร์เอง
• ไขข้อสงสัย PDPA ถ่ายคลิปการทำงานของตำรวจ ทำได้แค่ไหน?
• สื่อมวลชน - ผู้ผลิตสื่อ ต้องทำข่าวหรือคอนเทนต์อย่างไร ภายใต้ PDPA

โรงพยาบาล ต้องเข้าใจ PDPA ให้มากขึ้น

ในช่วงชีวิตของทุกคนจะต้องเคยเข้าโรงพยาบาลตั้งแต่เกิดจนตาย ดังนั้นโรงพยาบาลจึงถือว่าเป็นสถานที่ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของคนมาทุกช่วงชีวิต 

รวมทั้งโรงพยาบาลถือว่าเป็นศูนย์กลางของข้อมูลขนาดใหญ่ที่เก็บข้อมูลส่วนบุคคลในเรื่องของการรักษา และยังเก็บข้อมูลที่อ่อนไหว เช่น กรุ๊ปเลือด ประวัติการใช้ยา ประวัติเกี่ยวกับประกัน ซึ่งข้อมูลเหล่านี้ เป็นข้อมูลที่สำคัญเพราะระบุตัวตนของบุคคลทั้งทางตรงและทางอ้อม 

ดังนั้น โรงพยาบาลจึงถือว่าเป็นหน่วยงานที่ต้องปกป้องข้อมูลรั่วไหลหรือถูกโจรกรรม

พรบ.สุขภาพแห่งชาติ 2550 

ย้อนกลับไปอ้างอิงเรื่องความคุ้มครองข้อมูลของคนไข้ที่เข้ารับบริการในโรงพยาบาล จะได้รับความคุ้มครองด้วยพรบ.สุขภาพแห่งชาติ พ.ศ.2550 ตามมาตรา 7 

“ข้อมูลสุขภาพส่วนบุคคลเป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยในประการที่น่าจะทำให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดนตรง หรือมีกฎหมายบัญญัติเฉพาะให้ต้องเปิดเผย”

ความหมายของข้อมูลตามกฏหมาย PDPA จะแบ่งเป็น

• Data Subject : คนไข้หรือผู้มาใช้บริการ
• Data Controller : โรงพยาบาล
• Data Processor : หน่วยงานประกันสังคม หรือ บริษัทประกัน

หากมีการส่งต่อข้อมูลกันระหว่างโรงพยาบาล จะมีการสลับตำแหน่งกัน เช่น โรงพยาบาลที่รับเคสคนไข้เป็น Data Controller โรงพยาบาลที่รับเคสต่อ จะกลายเป็น Data Processor ทันที

สิ่งที่โรงพยาบาลต้องทำตาม PDPA

• แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO (DATA Protection Officer) เพื่อทำหน้าที่ดูแลเกี่ยวกับข้อมูลส่วนบุคคลทั้งภายในองค์กรและภายนอก (ผู้ใช้บริการ) ของบริษัท
• จัดทำประกาศนโยบายความเป็นส่วนตัวและประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคลให้คนไข้ หรือผู้มาใช้บริการ รวมถึงบุคลากรภายในองค์กรได้ทราบว่าโรงพยาบาลมีการเก็บข้อมูลส่วนบุคคลอะไรบ้าง นำข้อมูลเหล่านั้นไปทำอะไร มีมาตรการดูแลรักษาข้อมูลอย่างไร  มีระยะเวลาในเก็บข้อมูลเท่าไหร่ หรือส่งต่อข้อมูลให้แก่องค์กรใดบ้าง ฯลฯ
• จัดทำ Consent Management ระบบบริหารจัดการข้อมูลส่วนบุคคลก่อนที่โรงพยาบาลจะดำเนินกิจกรรมใด ๆ ที่เกี่ยวข้องกับการใช้หรือประมวลข้อมูลส่วนบุคคล
• ระบบ Consent Management ที่ครอบคลุมการขอความยินยอม ต้องมีการเพิกถอนความยินยอมของเจ้าของข้อมูลหรือ Consent Form ด้วย
• จัดทำ RoPA (Record of Processing Activities) โดยเริ่มจากการสำรวจข้อมูลส่วนบุคคลที่มีการจัดเก็บโดยองค์กร ระบุวัตถุประสงค์การใช้ข้อมูลส่วนบุคคลอย่างละเอียด พร้อมระบุระยะเวลาในการจัดเก็บข้อมูล 
• การจัดทำ RoPA จะถูกใช้เมื่อเจ้าของข้อมูล (Data Subject) ขอทราบกระบวนการ RoPA หรือในกรณีที่มีการตรวจสอบโดยเจ้าหน้าที่จากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

การทำ PDPA ในส่วนของโรงพยาบาลจำเป็นต้องทำอย่างครอบคลุมและรอบคอบ ทีมที่รับผิดชอบเรื่องข้อมูลจึงต้องใส่ใจและชัดเจนเพื่อป้องกันการรั่วไหลของข้อมูล

 

ที่มา : t-reg, แพทยสภา, พระราชบัญญัติ, สถาบันสิรินธรเพื่อการฟื้นฟูสมรรถภาพทางการแพทย์แห่งชาติ