]
pdpa โรงพยาบาล

PDPA โรงพยาบาล ความท้าทายใหม่หลังการบังคับพ.ร.บ คุ้มครองข้อมูลส่วนบุคคล

เนื้อหาในบทความ

PDPA โรงพยาบาล เป็นสิ่งที่ถูกพูดถึงไม่น้อยในแวดวงสุขภาพและสาธารณสุข  นับตั้งแต่กฏหมาย PDPA ได้มีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 เป็นต้นมา หลาย ๆ องค์กรทั้งภาคเอกชนและรัฐวิสาหกิจเริ่มตื่นตัวกับการบังคับใช้ของกฏหมาย ด้วยการศึกษา ค้นคว้าข้อมูลเกี่ยวกับกฎหมายนี้ และเริ่มปรับใช้แล้วในบางองค์กร

พ.ร.บ คุ้มครองข้อมูลส่วนบุคคลนี้ นอกจากจะคุ้มครองข้อมูลในระบบดิจิทัล เครือข่ายออนไลน์ ภาคธุรกิจและภาคอุตสาหกรรมแล้ว ยังครอบคลุมถึงข้อมูลเกี่ยวกับสุขภาพและสาธารณะสุขอีกด้วย ครั้งนี้เราจึงอยากชวนทุกคนมาทำความเข้าใจเกี่ยวกับ กฏหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ในโรงพยาบาลและระบบประกันสุขภาพกัน

ทำความเข้าใจ PDPA เบื้องต้น

PDPA หรือ Personal Data Protection Act B.E 2562 (2019) เป็น พ.ร.บ ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล
ถูกร่างขึ้นเพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต รวมทั้งควบคุมดูแลกิจกรรมใด ๆ ก็ตามที่ทำกับข้อมูลส่วนบุคคล

ทำความเข้าใจสาระสำคัญของกฎหมาย PDPA

ในบทความนี้เราจะพูดถึงเนื้อหาเกี่ยวกับ PDPA ที่กำลังเป็นประเด็นใหญ่อยู่ในขณะนี้ อาจมีคำศัพท์หรือข้อความที่มีศัพท์เฉพาะทาง จึงขอเริ่มด้วยการทำความเข้าใจคำศัพท์ที่เกี่ยวข้องกับกฎหมายนี้กันก่อน

PDPA โรงพยาบาล

PDPA โรงพยาบาล เรื่อง (ไม่) ใหม่ที่ต้องทำความเข้าใจให้มากขึ้น

โรงพยาบาล เป็นองค์กรที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของคน ตั้งแต่เกิด แก่ เจ็บ หรือแม้แต่ตอนตาย อาทิ การแจ้งเกิดของทารก โดยพ่อแม่หรือผู้ปกครองจะต้องดำเนินการแจ้งเกิดกับที่ว่าการอำเภอโดยใช้ข้อมูลจากทางโรงพยาบาล หรือในกรณีที่มีบุคคลเสียชีวิต จะต้องนำข้อมูลจากโรงพยาบาลเพื่อใช้จัดทำใบมรณบัตร

โรงพยาบาลถือเป็นศูนย์กลางของข้อมูลขนาดใหญ่ที่เก็บข้อมูลส่วนบุคคลของคนไข้ที่เข้ารับบริการ และยังจัดเก็บข้อมูลอ่อนไหว (Sensitive Personal Data) ไว้จำนวนมาก อาทิ การทำประวัติคนไข้หรือเวชระเบียน การใช้ประวัติการรักษาพยาบาลย้อนหลังของคนไข้ในการวินิจฉัยอาการหรือโรค การเก็บข้อมูลกรุ๊ปเลือด ประวัติการใช้ยา ประวัติการผ่าตัด ข้อมูลเกี่ยวกับประกันสุขภาพ ข้อมูลเกี่ยวกับประกันสังคม ฯลฯ ข้อมูลเหล่านี้เป็นข้อมูลสำคัญที่ระบุตัวตนของบุคคลได้ทั้งทางตรงและทางอ้อม ซึ่งจำเป็นต้องมีการนำข้อมูลมาประมวลผลอยู่บ่อยครั้ง เพื่อประกอบการเข้ารับการรักษา ดังนั้นกิจกรรมการใช้ข้อมูลในโรงพยาบาลเกิดขึ้นทุกวันอย่างหลีกเลี่ยงไม่ได้ และเสี่ยงที่จะเกิดการรั่วไหลหรือถูกโจรกรรมอย่างเลี่ยงไม่ได้เช่นกัน

พ.ร.บ.สุขภาพแห่งชาติ พ.ศ 2550 และ กฎหมาย PDPA

เดิมทีก่อนที่กฏหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะมีผลบังคับใช้ ข้อมูลของคนไข้ที่เข้ารับบริการในโรงพยาบาล ได้รับการคุ้มครองด้วย พ.ร.บ.สุขภาพแห่งชาติ พ.ศ 2550 ตามมาตรา 7 ซึ่งระบุว่า
“ข้อมูลสุขภาพส่วนบุคคลเป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยในประการที่น่าจะทำให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดนตรง หรือมีกฎหมายบัญญัติเฉพาะให้ต้องเปิดเผย”

การมีอยู่และการบังคับใช้กฎหมาย PDPA  เปรียบเสมือนการสร้างกำแพงป้องกันกำแพงที่ 2 เพื่อคุ้มครองข้อมูลของคนไข้ให้มีความปลอดภัยและอำนวยความสะดวกในขั้นตอนต่าง ๆ ที่เกี่ยวข้องกับการถ่ายโอนข้อมูลที่จำเป็นต่อการรักษาพยาบาลอีกด้วย แนวปฏิบัติเกี่ยวกับข้อมูลอ่อนไหวที่ถูกกำหนดเพิ่มในกฎหมาย PDPA มีส่วนที่ช่วยขยายการคุ้มครองเพิ่มเติมจาก พ.ร.บ.สุขภาพแห่งชาติ พ.ศ 2550 อาทิ ข้อกำหนดในการประมวลผลข้อมูลอ่อนไหวเพื่อการดูแลรักษาสุขภาพและสังคม (Health or Social Care) ครอบคลุมการจัดการข้อมูลสุขภาพของสถานพยาบาล

มองโรงพยาบาล ในบทบาทผู้ควบคุมข้อมูลส่วนบุคคล

หากแบ่งบทบาทของหน่วยงานตามกรอบผู้ที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล ตามกฏหมาย PDPA

คนไข้หรือผู้มาใช้บริการโรงพยาบาล คือ Data Subject
โรงพยาบาล ถือเป็น Data Controller และ
หน่วยงานประกันสังคม หรือบริษัทประกัน คือ Data Processor
(ในบางกรณีที่มีการส่งต่อข้อมูลระหว่างโรงพยาบาล โรงพยาบาลที่รับเคสคนไข้เป็น Data Controller โรงพยาบาลที่รับเคสต่อ ถือเป็น Data Processor)

กิจกรรมหรือการกระทำใดของโรงพยาบาลที่เกี่ยวข้องกับการเก็บข้อมูลส่วนบุคคล ประมวลผล ข้อมูลส่วนบุคคลหรือเผยแพร่ข้อมูลส่วนบุคคล จำเป็นต้องได้รับคำยินยอม (Consent) จากเจ้าของข้อมูลด้วย สำหรับโรงพยาบาลที่มักมีการประมวลผลข้อมูลอ่อนไหว มักมีกรณีที่ได้รับการยกเว้นการขอคำยินยอม หรือไม่ต้องขอคำยินยอม อาทิ

  • การประมวลข้อมูลอ่อนไหวเพื่อการป้องกันหรือระงับอันตรายต่อชีวิต  ร่างกาย สุขภาพของเจ้าของข้อมูล เช่น ในกรณีที่เจ้าของข้อมูลส่วนบุคคลประสบอุบัติเหตุ ไร้สติสัมปชัญญะ สามารถทำการเก็บข้อมูลอ่อนไหวได้
  • การประมวลผลข้อมูลอ่อนไหวเพื่อการดูแลรักษาสุขภาพและสังคม ซึ่งครอบคลุมการวินิจฉัยโรคทางการแพทย์
    การรักษาทางการแพทย์ การจัดการด้านสุขภาพ ฯ เช่น  การเรียกดูประวัติการใช้ยา ประวัติการรักษาโดยแพทย์เจ้าของเคส
  • การประมวลผลข้อมูลอ่อนไหวเพื่อประโยชน์สาธารณะด้านสาธารณสุข ซึ่งครอบคลุมการป้องกันด้านสุขภาพจากโรคติดต่ออันตรายหรือโรคระบาด เช่น การเก็บข้อมูลไทม์ไลนย้อนหลังของคนไข้ที่ติดเชื้อโควิด-19 เป็นต้น

เวชระเบียน หัวใจของโรงพยาบาล

ประสบการณ์ที่ต้องเจอเมื่อคุณไปใช้บริการโรงพยาบาล ก้าวแรกของหลาย ๆ คนมักเริ่มที่แผนกข้อมูลที่ชื่อว่า แผนกเวชระเบียน โดยจะเก็บข้อมูลส่วนตัวสำคัญของผู้เข้ารับการรักษา คลอบคลุมทั้งชื่อ ที่อยู่ เลขประจำตัวประชาชน ข้อมูลเพศ
กรุ๊ปเลือด วันเดือนปีเกิด อายุ และข้อมูลอื่นๆ ที่จำเป็นต่อการรับการรักษา เวชระเบียนจึงเป็นหัวใจของโรงพยาบาลในฐานะคลังข้อมูลที่เชื่อมต่อกับอีกหลายแผนกในโรงพยาบาล นอกจากข้อมูลของคนไข้ในโรงพยาบาลแล้ว ข้อมูลของบุคลกรภายใน อาทิแพทย์ พยาบาล เจ้าหน้าที่ประจำแผนกต่าง ๆ ลูกจ้าง ฯ ถือเป็นข้อมูลส่วนบุคคลที่หมุนเวียนอยู่ในระบบข้อมูลของโรงพยาบาลเช่นกัน ด้วยเหตุนี้โรงพยาบาลจำเป็นต้องดำเนินการจัดเก็บข้อมูลส่วนบุคคลให้สอดคล้องกับข้อบังคับใช้ของกฎหมาย PDPA ตามขั้นตอนเบื้องต้นที่ปรากฎในหัวข้อถัดไป

Checklist สำคัญที่โรงพยาบาลต้องทำ ให้ตรงตามกฎหมาย PDPA

First, DO NO HARM เป็นหลักการแรกของการรักษา ที่บุคลกรทางการแพทย์ต้องคำนึงถึง นอกเหนือไปจากการไม่ทำอันตรายต่อคนไข้ ยังต้องไม่ทำอันตรายต่อข้อมูลส่วนบุคคลอีกด้วย โรงพยาบาลต้องดำเนินการอย่างไร? เพื่อให้สอดคล้องกับกฎหมาย PDPA สามารถสรุปคร่าว ๆ ได้ดังนี้

  • แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือ DPO (DATA Protection Officer)
    เพื่อทำหน้าที่ดูแลเกี่ยวกับข้อมูลส่วนบุคคลทั้งภายในองค์กร​ (พนักงานในองค์กร) และภายนอก (ผู้ใช้บริการ)
    ของบริษัท ตั้งแต่กระบวนการเก็บรวบรวม ใช้งาน เปิดเผย รวมไปถึงการกำหนดทิศทางการใช้ข้อมูลส่วนบุคคลให้ปลอดภัยและสอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
    เพิ่มเติมเกี่ยวกับหน้าที่และคุณสมบัติของเจ้าหน้าที่ DPO
  • จัดทำประกาศนโยบายความเป็นส่วนตัว หรือ Privacy Notice  และ ประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล หรือ Privacy Policy  ให้กับคนไข้หรือผู้มาใช้บริการ รวมถึงบุคลากรภายในองค์กรได้ทราบว่าโรงพยาบาลมีการเก็บข้อมูลส่วนบุคคลอะไรบ้าง นำข้อมูลเหล่านั้นไปทำอะไร มีมาตรการดูแลรักษาข้อมูลอย่างไร  มีระยะเวลาในเก็บข้อมูลเท่าไหร่ หรือส่งต่อข้อมูลให้แก่องค์กรใดบ้าง ข้อมูลที่ติดต่อได้ของ
    ผู้ควบคุมข้อมูล รวมถึงสิทธิ์ของเจ้าของข้อมูล 
    อ่านเพิ่มเติมเรื่อง ทำไม?ต้องมี Privacy Notice
    อ่านเพิ่มเติมเรื่อง Privacy Notice กับ Privacy Policy แตกต่างกันอย่างไร?
  • จัดทำ Consent Management ระบบบริหารจัดการข้อมูลส่วนบุคคล
    ก่อนที่โรงพยาบาลจะดำเนินกิจกรรมใด ๆ ที่เกี่ยวข้องกับการใช้หรือประมวล
    ข้อมูลส่วนบุคคล ขั้นตอนที่จำเป็นต้องมีคือ การขอความยินยอม (Consent)
    จากเจ้าของข้อมูล (Data Subject) ก่อนเสมอ ด้วยเหตนี้กฎหมาย PDPA จึงระบุอย่างชัดเจนว่าให้ทุกองค์กรจัดทำ
    ระบบ Consent Management ที่ครอบคลุมการขอความยินยอม การเพิกถอนความยินยอมของเจ้าของข้อมูลด้วย Consent Form
    ซึ่งอาจทำในรูปแบบของหนังสือ หรือระบบอิเล็กทรอนิกส์ก็ได้
    อ่านเพิ่มเติมเกี่ยวกับ Consent Form
  • จัดทำข้อตกลงการประมวลผลในกรณีที่มีการจ้างผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement)
    กรณีที่โรงพยาบาลมีการส่งต่อข้อมูลส่วนบุคคลให้กับหน่วยงานอื่น อาทิ โรงพยาบาล  สำนักงานประกันสังคม หรือบริษัทประกัน กฎหมาย PDPA ระบุว่าผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มี ข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล สัญญาดังกล่าวต้องระบุหน้าที่ของผู้ประมวลข้อมูลอย่างชัดเจน พร้อมระบุวัตถุประสงค์การใช้งาน จัดเก็บ หรือเผยแพร่ข้อมูลและกิจกรรมใด ๆ ที่เกิดขึ้นกับข้อมูลส่วนบุคคลอย่างเป็นลายลักษณ์อักษร
  • จัดทำ RoPA (Record of Processing Activities)  
    กฎหมาย PDPA ระบุไว้ชัดเจนว่าผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกรายการกิจกรรมการประมวผล หรือเรียกว่าการทำ Records of Processing Activities (RoPA) โดยเริ่มจากการสำรวจข้อมูลส่วนบุคคลที่มีการจัดเก็บโดยองค์กร ระบุวัตถุประสงค์การใช้ข้อมูลส่วนบุคคลอย่างละเอียด พร้อมระบุระยะเวลาในการจัดเก็บข้อมูล สำรวจแหล่งจัดเก็บข้อมูลทั้งที่อยู่ในรูปเอกสารที่สามารถจับต้องได้ หรือข้อมูลในระบบอิเล็กทรอนิกส์ ระบุมาตรการการคุ้มครองข้อมูลส่วนบุคคลที่มีการจัดเก็บ การจัดทำ RoPA จะถูกใช้เมื่อเจ้าของข้อมูล (Data Subject) ขอทราบกระบวนการ RoPA หรือในกรณีที่มีการตรวจสอบโดยเจ้าหน้าที่จากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

จะเห็นว่าขั้นตอนในการจัดเก็บข้อมูลส่วนบุคคลให้สอดคล้องกับข้อบังคับใช้ของกฎหมาย PDPA หรือการทำ PDPA นั้นมีกระบวนการทำงานที่ต้องอาศัยความละเอียดรอบคอบ และนอกจากขั้นตอนที่ยกมาอธิบายในบทความนี้แล้ว ยังมีขั้นตอนและรายละเอียดปลีกย่อยอีกมากพอสมควร ขั้นตอนที่ถือว่าเป็นงานหนัก เพราะมีรายละเอียดปลีกย่อยอย่างมากในการทำ PDPA คือการทำ Record of Processing Activities
หรือการทำ RoPA นั่นเอง

RoPA (Record of Processing Activities) ศึกหนักของโรงพยาบาล

กิจกรรมการประมวลผลข้อมูลที่เกิดขึ้นในโรงพยาบาลมีมากมายมหาศาล และต้องอาศัยระบบการจัดการที่ซับซ้อน ขั้นตอนการทำ RoPA จึงเป็นงานหินที่โรงพยาบาลหลายแห่งต้องมีระบบบริหารจัดการที่เป็นรัดกุมเพื่อให้การประมวลผลหรือการตรวจสอบมีประสิทธิภาพ

RoPA คือการบันทึกกิจกรรมการประมวลผลขององค์กรที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
มีผลโดยตรงต่อความสำเร็จในการทำ PDPA ภายในองค์กร องค์กรใดที่ทำ RoPA  ได้ดี องค์กรนั้นจะสามารถวางแผนในการดำเนินการเกี่ยวกับ PDPA ทั้งหมดขององค์กรได้อย่างถูกต้องครบถ้วน เปรียบเทียบให้เห็นภาพง่าย ๆ ก็คือ RoPA เปรียบเสมือนแผนในการรบ หากแผนการรบดี กองทัพจะมีชัยชนะได้ไม่ยาก

ขั้นตอน RoPA (Record of Processing Activities) ที่ว่ายาก ต้องดำเนินการอย่างไรบ้าง

  • สำรวจข้อมูลส่วนบุคคล หรือ Data Recording คือการสำรวจข้อมูลส่วนบุคคลที่องค์กรมีการจัดเก็บและรวบรวม เพื่อใช้หรือเปิดเผย ครอบคลุมข้อมูลทั่วไปและข้อมูลอ่อนไหวของบุคลากรที่อยู่ภายในโรงพยาบาลหรือข้อมูลของผู้มาใช้บริการของโรงพยาบาล อาทิ ข้อมูลสุขภาพ ประวัติการรักษา ข้อมูลพันธุกรรม ข้อมูลชีวภาพ อายุ ประวัติการใช้ยาหรือแพ้ยา เป็นต้น
  • กำหนดวัตถุประสงค์ กฎหมาย PDPA ระบุอย่างชัดเจนว่า องค์กรที่ควบคุมข้อมูลส่วนบุคคล จะต้องกำหนดวัตถุประสงค์ในทางกฏหมาย ของการรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลของคนในโรงพยาบาลหรือผู้ใช้บริการของโรงพยาบาลโดยชี้แจงอย่างครบถ้วนว่าข้อมูลส่วนบุคคลถูกนำไปใช้หรือเผยแพร่เพื่อวัตถุประสงค์อะไร วัตถุประสงค์จะเป็นกรอบและขอบเขตที่ช่วยป้องกันไม่ให้เกิดการใช้ข้อมูลที่ผิดไปจากวัตถุประสงค์
  • กำหนดระยะเวลาการจัดเก็บหรือรักษาข้อมูล แจกแจงรายละเอียดของการจัดเก็บดูแลรักษาในแต่ละกิจกรรม โดยอ้างอิงจากหลักเกณฑ์ กฎหมาย กฎระเบียบที่น่าเชื่อถือ
    หากพ้นระยะเวลาการจัดเก็บหรือไม่มีความจำเป็นในการจัดเก็บข้อมูลแล้วจะต้องทำลายข้อมูลที่เหล่านั้นทันที
  • สำรวจแหล่งที่มาของข้อมูล ระบุที่มาที่ไปของข้อมูลทั้งที่เป็นข้อมูลของคนในองค์กรหรือนอกองค์กร อาทิ ได้ข้อมูลเกี่ยวกับที่อยู่ของเจ้าของข้อมูลมาจากการสัมภาษณ์ หรือการกรอกเอกสารโดยที่เจ้าของข้อมูลเป็นคนกรอกเอง โดยอาจอ้างอิงที่มาของข้อมูลจากแผนกหรือส่วนงานที่มีอยู่ในองค์กร อาทิ ข้อมูลจากแผนกบุคคล ข้อมูลจากแผนกการเงิน
  • สำรวจมาตรการคุ้มครอง กระบวนการ หรือวิธีการที่มารองรับการคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคลที่องค์กร รวมถึงควบคุมและจัดทำบันทึกข้อตกลงการประมวลผลข้อมูลส่วนบุคคลเมื่อมีการส่งต่อข้อมูลไปยังหน่วยงานอื่น หรือส่งต่อไปยังองค์กรในต่างประเทศ
    อ่านเพิ่มเติมเกี่ยวกับขั้นตอนการทำ RoPA โดยละเอียด

ทำยาก แต่ยังต้องมี RoPA

แม้จะมีขั้นตอนที่ยุ่งยาก แต่ขั้นตอน Record of Processing Activities หรือ RoPA เป็นขั้นตอนที่ทุกองค์กรต้องมีเพื่อให้บรรลุเป้าหมายตามข้อบังคับของ PDPA และขั้นตอน RoPA ต่างก็มีข้อดี อาทิ

  • ข้อดีของการทำ RoPA คือ ช่วยให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) มองเห็นภาพรวมของกิจกรรมใด ๆ ที่เกี่ยวข้องกับการประมวลหรือเปิดเผยข้อมูลภายในแผนกทั้งหมด ยิ่งมองเห็นภาพรวมชัดเจนเท่าไหร่ การดำเนินการหรือวางแผนใช้ จัดเก็บ เผยแพร่
    ส่งต่อหรือกิจกรรมอื่นใด ขององค์กรสามารถทำได้อย่างถูกต้อง
    ครบถ้วนและมีประสิทธิภาพ
  • RoPA ช่วยชี้ช่องโหว่ของกิจกรรมที่คาดไม่ถึงหรือเกิดขึ้นบ่อย
    ในการรวบรวมข้อมูลกิจกรรมในแผนก อาจมีกิจกรรมบางอย่างที่ตกหล่นหรือตกขบวนสำรวจ เหตุเพราะ บางกิจกรรมไม่ได้เกิดขึ้นเป็นประจำ เช่น  การจัดทำประวัติทารกแรกเกิด  หรืออาจเป็นกิจกรรมที่คนในองค์กรไม่ได้ตระหนักว่ามีการใช้ข้อมูลส่วนบุคคล เช่น
    โรงพยาบาล มีการไปออกบูธในงานต่าง ๆ และมีการเก็บข้อมูลคนไข้ที่ Walk in มาใช้บริการ
  • เพื่อจัดทำ HR Privacy Policy ได้อย่างครอบคลุม
    การทำ RoPA เปรียบได้กับการทำพิมพ์เขียวของข้อมูลส่วนบุคคลทั้งหมดในองค์กร
    การมีพิมพ์เขียวช่วยทำให้องค์กรสามารถวางแผนในการดำเนินการเกี่ยวกับ PDPA ทั้งหมดขององค์กรได้อย่างถูกต้องครบถ้วน และยังส่งผลดีต่อการร่างนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) เพื่อกำกับดูแลข้อมูลของคนในองค์กร ช่วยผ่อนแรงฝ่ายบุคคลในการดำเนินกิจกรรมเพื่อสร้างความตระหนักรู้เกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลให้แก่บุคคลากรภายในองค์กร (PDPA Awareness Training) ที่มีการสัมผัสข้อมูลส่วนบุคคลภายในองค์กรได้ครบทุกคน หรือทำให้วางมาตรการคุ้มครองข้อมูลส่วนบุคคลครอบคลุมสินทรัพย์ (Asset) ทั้งหมดภายในองค์กร
  • เพื่ออำนวยความสะดวกในการออกแบบและจัดทำ Consent Form และ Privacy Policy ได้อย่างตรงจุด
    เมื่อมีบันทึกที่ระบุได้ชัดเจนว่าองค์กรมีการจัดเก็บหรือใช้ข้อมูลส่วนบุคคลอะไรบ้าง
    ใช้ข้อมูลเหล่านั้นเพื่ออะไร จัดเก็บอย่างไร จัดเก็บที่ไหน และใครเป็นผู้จัดเก็บ
    การขอความยินยอมด้วย Consent Form และ กิจกรรมอื่น ๆ ที่เกี่ยวข้องกับ Consent Managemant  จะดำเนินการได้มีประสิทธิภาพและตรงจุด ไม่ต้องเสียเวลาตามหาข้อมูลหรือรวบรวมใหม่

สรุปความท้าทายใหม่ที่โรงพยาบาลต้องเผชิญ

ขั้นตอนการปฏิบัติให้เป็นไปตามที่กฎหมาย PDPA กำหนดนั้นอาจเป็นเรื่องที่ท้าทายสำหรับ องค์กรขนาดใหญ่ หรือองค์กรที่มีการรวบรวม ใช้ หรือส่งต่อข้อมูลเป็นจำนวนมาก สำหรับโรงพยาบาล การทำ RoPA ถือเป็นความท้าทายใหม่ที่หลีกเลี่ยงได้ยาก

เพราะนอกจากโรงพยาบาลจะเป็นศูนย์กลางของข้อมูลส่วนบุคคลขนาดใหญ่ ที่มีการเก็บข้อมูลส่วนบุคคลทั่วไปและข้อมูลอ่อนไหวจำนวนมากแล้ว ยังมีกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอีกจำนวนมาก อาทิ การส่งต่อข้อมูลของคนไข้เมื่อมีการส่งต่อเคสการรักษาให้โรงพยาบาลอื่น
การส่งต่อข้อมูลสุขภาพและสาธารณะสุขให้หน่วยงานประกันสังคม บริษัทประกัน หน่วยงานวิจัย การประมวลข้อมูลเพื่อทำสถิติ การประมวลข้อมูลสถิติการเข้ารับการรักษาเพื่อกำหนดนโยบายของโรงพยาบาล ฯลฯ

หากโรงพยาบาลมีระบบบริหารจัดการข้อมูลส่วนบุคคลที่มีประสิทธิภาพ นอกจากจะช่วยให้การรวบรวม การใช้ การส่งต่อข้อมูลทำได้สะดวกมากขึ้นแล้ว ยังมีส่วนช่วยให้การบริการหรือการรักษาพยาบาล สะดวกและรวดเร็ว ย่นระยะเวลาในการให้บริการได้ เพิ่มโอกาสการช่วยชีวิตคนไข้ได้มากขึ้น นอกจากนี้ยังช่วยเพิ่มความน่าเชื่อถือของโรงพยาบาลแก่คนไข้ที่เข้ามารับบริการ คนไข้จะสามารถมั่นใจได้ว่า แม้แต่ข้อมูลส่วนบุคคลยังสามารถรักษาให้ปลอดภัยได้แล้ว การรักษาสุขภาพก็สามารถทำได้ดีเช่นกัน

ดังนั้นการมีผู้ช่วยอย่าง t-reg ในการทำ PDPA โรงพยาบาลอย่างครบวงจร จะช่วยให้
โรงพยาบาลสามารถปฏิบัติตาม ขั้นตอนที่ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคลกำหนดไว้
ได้อย่างครบถ้วน และตรงตามระยะเวลาที่กำหนด หากทางโรงพยาบาลของท่านยังมีคำถาม
ข้อสงสัยหรือไม่มั่นใจในขั้นตอนที่ได้ดำเนินการในขั้นตอนการทำ
PDPA  สามารถเข้ามาตรวจสอบขั้นตอนที่ถูกต้องได้ฟรี ไม่มีค่าใช้จ่าย ที่เว็บไซต์ t-reg.co

แหล่งการเรียนรู้ PDPA

Openpdpa.org เป็นแหล่งข้อมูลสำหรับองค์กรและบุคคลที่ค้นคว้าเกี่ยวกับกฎหมาย พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) คุณจะได้รับข้อมูลที่ตรงไปตรงมารวมถึงทำอย่างไรให้คุณสามารถทำ PDPA ได้ด้วยตนเอง อีกทั้งยังมีเอกสารที่จำเป็นต่อการทำ PDPA ที่สามารถดาวน์โหลดไปใช้ได้เลย ฟรี!

ส่งต่อบทความดีๆ ได้ที่นี่