t-reg PDPA Platform

ป้ายข้อมูล PDPA โรงพยาบาล ความท้าทายใหม่หลังการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พร้อมภาพหมอถือปากกาและกระดาษ

PDPA โรงพยาบาล ความท้าทายใหม่หลังการบังคับใช้ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล

เนื้อหาในบทความ

PDPA โรงพยาบาล เป็นสิ่งที่ถูกพูดถึงไม่น้อยในแวดวงสุขภาพและสาธารณสุข นับตั้งแต่กฏหมาย PDPA ได้มีผลบังคับใช้เมื่อวันที่ 1 มิถุนายน 2565 เป็นต้นมา หลาย ๆ องค์กรทั้งภาคเอกชนและรัฐวิสาหกิจเริ่มตื่นตัวกับการบังคับใช้ของกฏหมาย ด้วยการศึกษา ค้นคว้าข้อมูลเกี่ยวกับกฎหมายนี้ และเริ่มปรับใช้แล้วในบางองค์กร

พ.ร.บ คุ้มครองข้อมูลส่วนบุคคลนี้ นอกจากจะคุ้มครองข้อมูลในระบบดิจิทัล เครือข่ายออนไลน์ ภาคธุรกิจและภาคอุตสาหกรรมแล้ว ยังครอบคลุมถึงข้อมูลเกี่ยวกับสุขภาพและสาธารณะสุขอีกด้วย ครั้งนี้เราจึงอยากชวนทุกคนมาทำความเข้าใจเกี่ยวกับ กฏหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ในโรงพยาบาลและระบบประกันสุขภาพกัน

ทำความเข้าใจ PDPA เบื้องต้น

PDPA หรือ Personal Data Protection Act B.E 2562 (2019) เป็น พ.ร.บ ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคล ถูกร่างขึ้นเพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต รวมทั้งควบคุมดูแลกิจกรรมใด ๆ ก็ตามที่ทำกับข้อมูลส่วนบุคคล

ทำความเข้าใจสาระสำคัญของกฎหมาย PDPA

ในบทความนี้เราจะพูดถึงเนื้อหาเกี่ยวกับ PDPA ที่กำลังเป็นประเด็นใหญ่อยู่ในขณะนี้ อาจมีคำศัพท์หรือข้อความที่มีศัพท์เฉพาะทาง จึงขอเริ่มด้วยการทำความเข้าใจคำศัพท์ที่เกี่ยวข้องกับกฎหมายนี้กันก่อน

อินโฟกราฟิกอธิบายศัพท์เฉพาะที่ควรรู้เกี่ยวกับกฎหมาย PDPA ในโรงพยาบาล เช่น ข้อมูลส่วนบุคคล การขอความยินยอม และผู้ที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคล

PDPA โรงพยาบาล เรื่อง (ไม่) ใหม่ที่ต้องทำความเข้าใจให้มากขึ้น

โรงพยาบาล เป็นองค์กรที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของคน ตั้งแต่เกิด แก่ เจ็บ หรือแม้แต่ตอนตาย อาทิ การแจ้งเกิดของทารก โดยพ่อแม่หรือผู้ปกครองจะต้องดำเนินการแจ้งเกิดกับที่ว่าการอำเภอโดยใช้ข้อมูลจากทางโรงพยาบาล หรือในกรณีที่มีบุคคลเสียชีวิต จะต้องนำข้อมูลจากโรงพยาบาลเพื่อใช้จัดทำใบมรณบัตร

โรงพยาบาลถือเป็นศูนย์กลางของข้อมูลขนาดใหญ่ที่เก็บข้อมูลส่วนบุคคลของคนไข้ที่เข้ารับบริการ และยังจัดเก็บข้อมูลอ่อนไหว (Sensitive Personal Data) ไว้จำนวนมาก อาทิ การทำประวัติคนไข้หรือเวชระเบียน การใช้ประวัติการรักษาพยาบาลย้อนหลังของคนไข้ในการวินิจฉัยอาการหรือโรค การเก็บข้อมูลกรุ๊ปเลือด ประวัติการใช้ยา ประวัติการผ่าตัด ข้อมูลเกี่ยวกับประกันสุขภาพ ข้อมูลเกี่ยวกับประกันสังคม ฯลฯ ข้อมูลเหล่านี้เป็นข้อมูลสำคัญที่ระบุตัวตนของบุคคลได้ทั้งทางตรงและทางอ้อม ซึ่งจำเป็นต้องมีการนำข้อมูลมาประมวลผลอยู่บ่อยครั้ง เพื่อประกอบการเข้ารับการรักษา ดังนั้นกิจกรรมการใช้ข้อมูลในโรงพยาบาลเกิดขึ้นทุกวันอย่างหลีกเลี่ยงไม่ได้ และเสี่ยงที่จะเกิดการรั่วไหลหรือถูกโจรกรรมอย่างเลี่ยงไม่ได้เช่นกัน

พ.ร.บ.สุขภาพแห่งชาติ พ.ศ 2550 และ กฎหมาย PDPA

เดิมทีก่อนที่กฏหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA จะมีผลบังคับใช้ ข้อมูลของคนไข้ที่เข้ารับบริการในโรงพยาบาล ได้รับการคุ้มครองด้วย พ.ร.บ.สุขภาพแห่งชาติ พ.ศ 2550 ตามมาตรา 7 ซึ่งระบุว่า

“ข้อมูลสุขภาพส่วนบุคคลเป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยในประการที่น่าจะทำให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดนตรง หรือมีกฎหมายบัญญัติเฉพาะให้ต้องเปิดเผย”

การมีอยู่และการบังคับใช้กฎหมาย PDPA เปรียบเสมือนการสร้างกำแพงป้องกันกำแพงที่ 2 เพื่อคุ้มครองข้อมูลของคนไข้ให้มีความปลอดภัยและอำนวยความสะดวกในขั้นตอนต่าง ๆ ที่เกี่ยวข้องกับการถ่ายโอนข้อมูลที่จำเป็นต่อการรักษาพยาบาลอีกด้วย แนวปฏิบัติเกี่ยวกับข้อมูลอ่อนไหวที่ถูกกำหนดเพิ่มในกฎหมาย PDPA มีส่วนที่ช่วยขยายการคุ้มครองเพิ่มเติมจาก พ.ร.บ.สุขภาพแห่งชาติ พ.ศ 2550 อาทิ ข้อกำหนดในการประมวลผลข้อมูลอ่อนไหวเพื่อการดูแลรักษาสุขภาพและสังคม (Health or Social Care) ครอบคลุมการจัดการข้อมูลสุขภาพของสถานพยาบาลมีส่วนที่ช่วยขยายการคุ้มครองเพิ่มเติมจาก พ.ร.บ.สุขภาพแห่งชาติ พ.ศ 2550 อาทิ ข้อกำหนดในการประมวลผลข้อมูลอ่อนไหวเพื่อการดูแลรักษาสุขภาพและสังคม (Health or Social Care) ครอบคลุมการจัดการข้อมูลสุขภาพของสถานพยาบาล

มองโรงพยาบาล ในบทบาทผู้ควบคุมข้อมูลส่วนบุคคล

หากแบ่งบทบาทของหน่วยงานตามกรอบผู้ที่มีส่วนเกี่ยวข้องกับข้อมูลส่วนบุคคล ตามกฏหมาย PDPA

คนไข้ หรือ ผู้มาใช้บริการโรงพยาบาล คือ Data Subject

โรงพยาบาล ถือเป็น Data Controller 

หน่วยงานประกันสังคม หรือบริษัทประกัน คือ Data Processor

(ในบางกรณีที่มีการส่งต่อข้อมูลระหว่างโรงพยาบาล โรงพยาบาลที่รับเคสคนไข้เป็น Data Controller โรงพยาบาลที่รับเคสต่อ ถือเป็น Data Processor)

กิจกรรมหรือการกระทำใดของโรงพยาบาลที่เกี่ยวข้องกับการเก็บข้อมูลส่วนบุคคล ประมวลผล ข้อมูลส่วนบุคคลหรือเผยแพร่ข้อมูลส่วนบุคคล จำเป็นต้องได้รับคำยินยอม (Consent) จากเจ้าของข้อมูลด้วย สำหรับโรงพยาบาลที่มักมีการประมวลผลข้อมูลอ่อนไหว มักมีกรณีที่ได้รับการยกเว้นการขอคำยินยอม หรือไม่ต้องขอคำยินยอม อาทิ

  • การประมวลข้อมูลอ่อนไหวเพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย สุขภาพของเจ้าของข้อมูล เช่น ในกรณีที่เจ้าของข้อมูลส่วนบุคคลประสบอุบัติเหตุ ไร้สติสัมปชัญญะ สามารถทำการเก็บข้อมูลอ่อนไหวได้
  • การประมวลผลข้อมูลอ่อนไหวเพื่อการดูแลรักษาสุขภาพและสังคม ซึ่งครอบคลุมการวินิจฉัยโรคทางการแพทย์ การรักษาทางการแพทย์ การจัดการด้านสุขภาพ ฯ เช่น การเรียกดูประวัติการใช้ยา ประวัติการรักษาโดยแพทย์เจ้าของเคส
  • การประมวลผลข้อมูลอ่อนไหวเพื่อประโยชน์สาธารณะด้านสาธารณสุข ซึ่งครอบคลุมการป้องกันด้านสุขภาพจากโรคติดต่ออันตรายหรือโรคระบาด เช่น การเก็บข้อมูลไทม์ไลนย้อนหลังของคนไข้ที่ติดเชื้อโควิด-19 เป็นต้น

เวชระเบียน หัวใจของโรงพยาบาล

ประสบการณ์ที่ต้องเจอเมื่อคุณไปใช้บริการโรงพยาบาล ก้าวแรกของหลาย ๆ คนมักเริ่มที่แผนกข้อมูลที่ชื่อว่า แผนกเวชระเบียน โดยจะเก็บข้อมูลส่วนตัวสำคัญของผู้เข้ารับการรักษา คลอบคลุมทั้งชื่อ ที่อยู่ เลขประจำตัวประชาชน ข้อมูลเพศ กรุ๊ปเลือด วันเดือนปีเกิด อายุ และข้อมูลอื่นๆ ที่จำเป็นต่อการรับการรักษา เวชระเบียนจึงเป็นหัวใจของโรงพยาบาลในฐานะคลังข้อมูลที่เชื่อมต่อกับอีกหลายแผนกในโรงพยาบาล นอกจากข้อมูลของคนไข้ในโรงพยาบาลแล้ว ข้อมูลของบุคลกรภายใน อาทิแพทย์ พยาบาล เจ้าหน้าที่ประจำแผนกต่าง ๆ ลูกจ้าง ฯ ถือเป็นข้อมูลส่วนบุคคลที่หมุนเวียนอยู่ในระบบข้อมูลของโรงพยาบาลเช่นกัน ด้วยเหตุนี้โรงพยาบาลจำเป็นต้องดำเนินการจัดเก็บข้อมูลส่วนบุคคลให้สอดคล้องกับข้อบังคับใช้ของกฎหมาย PDPA ตามขั้นตอนเบื้องต้นที่ปรากฎในหัวข้อถัดไป

Checklist สำคัญที่โรงพยาบาลต้องทำ ให้ตรงตามกฎหมาย PDPA

First, DO NO HARM เป็นหลักการแรกของการรักษา ที่บุคลกรทางการแพทย์ต้องคำนึงถึง นอกเหนือไปจากการไม่ทำอันตรายต่อคนไข้ ยังต้องไม่ทำอันตรายต่อข้อมูลส่วนบุคคลอีกด้วย โรงพยาบาลต้องดำเนินการอย่างไร? เพื่อให้สอดคล้องกับกฎหมาย PDPA สามารถสรุปคร่าว ๆ ได้ดังนี้

  • จัดทำประกาศนโยบายความเป็นส่วนตัว หรือ Privacy Notice และ ประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล หรือ Privacy Policy ให้กับคนไข้หรือผู้มาใช้บริการ รวมถึงบุคลากรภายในองค์กรได้ทราบว่าโรงพยาบาลมีการเก็บข้อมูลส่วนบุคคลอะไรบ้าง นำข้อมูลเหล่านั้นไปทำอะไร มีมาตรการดูแลรักษาข้อมูลอย่างไร มีระยะเวลาในเก็บข้อมูลเท่าไหร่ หรือส่งต่อข้อมูลให้แก่องค์กรใดบ้าง ข้อมูลที่ติดต่อได้ของผู้ควบคุมข้อมูล รวมถึงสิทธิ์ของเจ้าของข้อมูล
    อ่านเพิ่มเติมเรื่อง ทำไม?ต้องมี Privacy Notice
    อ่านเพิ่มเติมเรื่อง Privacy Notice กับ Privacy Policy แตกต่างกันอย่างไร?
  • จัดทำ Consent Management ระบบบริหารจัดการข้อมูลส่วนบุคคล ก่อนที่โรงพยาบาลจะดำเนินกิจกรรมใด ๆ ที่เกี่ยวข้องกับการใช้หรือประมวลข้อมูลส่วนบุคคล ขั้นตอนที่จำเป็นต้องมีคือ การขอความยินยอม (Consent)จากเจ้าของข้อมูล (Data Subject) ก่อนเสมอ ด้วยเหตนี้กฎหมาย PDPA จึงระบุอย่างชัดเจนว่าให้ทุกองค์กรจัดทำระบบ Consent Management ที่ครอบคลุมการขอความยินยอม การเพิกถอนความยินยอมของเจ้าของข้อมูลด้วย Consent Form ซึ่งอาจทำในรูปแบบของหนังสือ หรือระบบอิเล็กทรอนิกส์ก็ได้
    อ่านเพิ่มเติมเกี่ยวกับ Consent Form
  • จัดทำข้อตกลงการประมวลผลในกรณีที่มีการจ้างผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) กรณีที่โรงพยาบาลมีการส่งต่อข้อมูลส่วนบุคคลให้กับหน่วยงานอื่น อาทิ โรงพยาบาล สำนักงานประกันสังคม หรือบริษัทประกัน กฎหมาย PDPA ระบุว่าผู้ควบคุมข้อมูลส่วนบุคคลต้องจัดให้มี ข้อตกลงระหว่างกัน เพื่อควบคุมการดำเนินงานตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล สัญญาดังกล่าวต้องระบุหน้าที่ของผู้ประมวลข้อมูลอย่างชัดเจน พร้อมระบุวัตถุประสงค์การใช้งาน จัดเก็บ หรือเผยแพร่ข้อมูลและกิจกรรมใด ๆ ที่เกิดขึ้นกับข้อมูลส่วนบุคคลอย่างเป็นลายลักษณ์อักษร
  • จัดทำ RoPA (Record of Processing Activities) กฎหมาย PDPA ระบุไว้ชัดเจนว่าผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกรายการกิจกรรมการประมวผล หรือเรียกว่าการทำ Records of Processing Activities (RoPA) โดยเริ่มจากการสำรวจข้อมูลส่วนบุคคลที่มีการจัดเก็บโดยองค์กร ระบุวัตถุประสงค์การใช้ข้อมูลส่วนบุคคลอย่างละเอียด พร้อมระบุระยะเวลาในการจัดเก็บข้อมูล สำรวจแหล่งจัดเก็บข้อมูลทั้งที่อยู่ในรูปเอกสารที่สามารถจับต้องได้ หรือข้อมูลในระบบอิเล็กทรอนิกส์ ระบุมาตรการการคุ้มครองข้อมูลส่วนบุคคลที่มีการจัดเก็บ การจัดทำ RoPA จะถูกใช้เมื่อเจ้าของข้อมูล (Data Subject) ขอทราบกระบวนการ RoPA หรือในกรณีที่มีการตรวจสอบโดยเจ้าหน้าที่จากสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

จะเห็นว่าขั้นตอนในการจัดเก็บข้อมูลส่วนบุคคลให้สอดคล้องกับข้อบังคับใช้ของกฎหมาย PDPA หรือการทำ PDPA นั้นมีกระบวนการทำงานที่ต้องอาศัยความละเอียดรอบคอบ และนอกจากขั้นตอนที่ยกมาอธิบายในบทความนี้แล้ว ยังมีขั้นตอนและรายละเอียดปลีกย่อยอีกมากพอสมควร ขั้นตอนที่ถือว่าเป็นงานหนัก เพราะมีรายละเอียดปลีกย่อยอย่างมากในการทำ PDPA คือการทำ Record of Processing Activities หรือการทำ RoPA นั่นเอง

RoPA (Record of Processing Activities) ศึกหนักของโรงพยาบาล

กิจกรรมการประมวลผลข้อมูลที่เกิดขึ้นในโรงพยาบาลมีมากมายมหาศาล และต้องอาศัยระบบการจัดการที่ซับซ้อน ขั้นตอนการทำ RoPA จึงเป็นงานหินที่โรงพยาบาลหลายแห่งต้องมีระบบบริหารจัดการที่เป็นรัดกุมเพื่อให้การประมวลผลหรือการตรวจสอบมีประสิทธิภาพ

RoPA คือการบันทึกกิจกรรมการประมวลผลขององค์กรที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
มีผลโดยตรงต่อความสำเร็จในการทำ PDPA ภายในองค์กร องค์กรใดที่ทำ RoPA ได้ดี องค์กรนั้นจะสามารถวางแผนในการดำเนินการเกี่ยวกับ PDPA ทั้งหมดขององค์กรได้อย่างถูกต้องครบถ้วน เปรียบเทียบให้เห็นภาพง่าย ๆ ก็คือ RoPA เปรียบเสมือนแผนในการรบ หากแผนการรบดี กองทัพจะมีชัยชนะได้ไม่ยาก

ขั้นตอน RoPA (Record of Processing Activities) ที่ว่ายาก ต้องดำเนินการอย่างไรบ้าง

  • สำรวจข้อมูลส่วนบุคคล หรือ Data Recording คือการสำรวจข้อมูลส่วนบุคคลที่องค์กรมีการจัดเก็บและรวบรวม เพื่อใช้หรือเปิดเผย ครอบคลุมข้อมูลทั่วไปและข้อมูลอ่อนไหวของบุคลากรที่อยู่ภายในโรงพยาบาลหรือข้อมูลของผู้มาใช้บริการของโรงพยาบาล อาทิ ข้อมูลสุขภาพ ประวัติการรักษา ข้อมูลพันธุกรรม ข้อมูลชีวภาพ อายุ ประวัติการใช้ยาหรือแพ้ยา เป็นต้น
  • กำหนดวัตถุประสงค์ กฎหมาย PDPA ระบุอย่างชัดเจนว่า องค์กรที่ควบคุมข้อมูลส่วนบุคคล จะต้องกำหนดวัตถุประสงค์ในทางกฏหมาย ของการรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคลของคนในโรงพยาบาลหรือผู้ใช้บริการของโรงพยาบาลโดยชี้แจงอย่างครบถ้วนว่าข้อมูลส่วนบุคคลถูกนำไปใช้หรือเผยแพร่เพื่อวัตถุประสงค์อะไร วัตถุประสงค์จะเป็นกรอบและขอบเขตที่ช่วยป้องกันไม่ให้เกิดการใช้ข้อมูลที่ผิดไปจากวัตถุประสงค์
  • กำหนดระยะเวลาการจัดเก็บหรือรักษาข้อมูล แจกแจงรายละเอียดของการจัดเก็บดูแลรักษาในแต่ละกิจกรรม โดยอ้างอิงจากหลักเกณฑ์ กฎหมาย กฎระเบียบที่น่าเชื่อถือ
    หากพ้นระยะเวลาการจัดเก็บหรือไม่มีความจำเป็นในการจัดเก็บข้อมูลแล้วจะต้องทำลายข้อมูลที่เหล่านั้นทันที
  • สำรวจแหล่งที่มาของข้อมูล ระบุที่มาที่ไปของข้อมูลทั้งที่เป็นข้อมูลของคนในองค์กรหรือนอกองค์กร อาทิ ได้ข้อมูลเกี่ยวกับที่อยู่ของเจ้าของข้อมูลมาจากการสัมภาษณ์ หรือการกรอกเอกสารโดยที่เจ้าของข้อมูลเป็นคนกรอกเอง โดยอาจอ้างอิงที่มาของข้อมูลจากแผนกหรือส่วนงานที่มีอยู่ในองค์กร อาทิ ข้อมูลจากแผนกบุคคล ข้อมูลจากแผนกการเงิน
  • สำรวจมาตรการคุ้มครอง กระบวนการ หรือวิธีการที่มารองรับการคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคลที่องค์กร รวมถึงควบคุมและจัดทำบันทึกข้อตกลงการประมวลผลข้อมูลส่วนบุคคลเมื่อมีการส่งต่อข้อมูลไปยังหน่วยงานอื่น หรือส่งต่อไปยังองค์กรในต่างประเทศ
    อ่านเพิ่มเติมเกี่ยวกับขั้นตอนการทำ RoPA โดยละเอียด

ทำยาก แต่ยังต้องมี RoPA

แม้จะมีขั้นตอนที่ยุ่งยาก แต่ขั้นตอน Record of Processing Activities หรือ RoPA เป็นขั้นตอนที่ทุกองค์กรต้องมีเพื่อให้บรรลุเป้าหมายตามข้อบังคับของ PDPA และขั้นตอน RoPA ต่างก็มีข้อดี อาทิ

  • ข้อดีของการทำ RoPA คือ ช่วยให้ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) มองเห็นภาพรวมของกิจกรรมใด ๆ ที่เกี่ยวข้องกับการประมวลหรือเปิดเผยข้อมูลภายในแผนกทั้งหมด ยิ่งมองเห็นภาพรวมชัดเจนเท่าไหร่ การดำเนินการหรือวางแผนใช้ จัดเก็บ เผยแพร่
    ส่งต่อหรือกิจกรรมอื่นใด ขององค์กรสามารถทำได้อย่างถูกต้อง
    ครบถ้วนและมีประสิทธิภาพ
  • RoPA ช่วยชี้ช่องโหว่ของกิจกรรมที่คาดไม่ถึงหรือเกิดขึ้นบ่อย
    ในการรวบรวมข้อมูลกิจกรรมในแผนก อาจมีกิจกรรมบางอย่างที่ตกหล่นหรือตกขบวนสำรวจ เหตุเพราะ บางกิจกรรมไม่ได้เกิดขึ้นเป็นประจำ เช่น  การจัดทำประวัติทารกแรกเกิด  หรืออาจเป็นกิจกรรมที่คนในองค์กรไม่ได้ตระหนักว่ามีการใช้ข้อมูลส่วนบุคคล เช่น
    โรงพยาบาล มีการไปออกบูธในงานต่าง ๆ และมีการเก็บข้อมูลคนไข้ที่ Walk in มาใช้บริการ
  • เพื่อจัดทำ HR Privacy Policy ได้อย่างครอบคลุม
    การทำ RoPA เปรียบได้กับการทำพิมพ์เขียวของข้อมูลส่วนบุคคลทั้งหมดในองค์กร
    การมีพิมพ์เขียวช่วยทำให้องค์กรสามารถวางแผนในการดำเนินการเกี่ยวกับ PDPA ทั้งหมดขององค์กรได้อย่างถูกต้องครบถ้วน และยังส่งผลดีต่อการร่างนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) เพื่อกำกับดูแลข้อมูลของคนในองค์กร ช่วยผ่อนแรงฝ่ายบุคคลในการดำเนินกิจกรรมเพื่อสร้างความตระหนักรู้เกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลให้แก่บุคคลากรภายในองค์กร (PDPA Awareness Training) ที่มีการสัมผัสข้อมูลส่วนบุคคลภายในองค์กรได้ครบทุกคน หรือทำให้วางมาตรการคุ้มครองข้อมูลส่วนบุคคลครอบคลุมสินทรัพย์ (Asset) ทั้งหมดภายในองค์กร
  • เพื่ออำนวยความสะดวกในการออกแบบและจัดทำ Consent Form และ Privacy Policy ได้อย่างตรงจุด
    เมื่อมีบันทึกที่ระบุได้ชัดเจนว่าองค์กรมีการจัดเก็บหรือใช้ข้อมูลส่วนบุคคลอะไรบ้าง
    ใช้ข้อมูลเหล่านั้นเพื่ออะไร จัดเก็บอย่างไร จัดเก็บที่ไหน และใครเป็นผู้จัดเก็บ
    การขอความยินยอมด้วย Consent Form และ กิจกรรมอื่น ๆ ที่เกี่ยวข้องกับ Consent Managemant  จะดำเนินการได้มีประสิทธิภาพและตรงจุด ไม่ต้องเสียเวลาตามหาข้อมูลหรือรวบรวมใหม่

สรุปความท้าทายใหม่ที่โรงพยาบาลต้องเผชิญ

ขั้นตอนการปฏิบัติให้เป็นไปตามที่กฎหมาย PDPA กำหนดนั้นอาจเป็นเรื่องที่ท้าทายสำหรับ องค์กรขนาดใหญ่ หรือองค์กรที่มีการรวบรวม ใช้ หรือส่งต่อข้อมูลเป็นจำนวนมาก สำหรับโรงพยาบาล การทำ RoPA ถือเป็นความท้าทายใหม่ที่หลีกเลี่ยงได้ยาก

เพราะนอกจากโรงพยาบาลจะเป็นศูนย์กลางของข้อมูลส่วนบุคคลขนาดใหญ่ ที่มีการเก็บข้อมูลส่วนบุคคลทั่วไปและข้อมูลอ่อนไหวจำนวนมากแล้ว ยังมีกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอีกจำนวนมาก อาทิ การส่งต่อข้อมูลของคนไข้เมื่อมีการส่งต่อเคสการรักษาให้โรงพยาบาลอื่น
การส่งต่อข้อมูลสุขภาพและสาธารณะสุขให้หน่วยงานประกันสังคม บริษัทประกัน หน่วยงานวิจัย การประมวลข้อมูลเพื่อทำสถิติ การประมวลข้อมูลสถิติการเข้ารับการรักษาเพื่อกำหนดนโยบายของโรงพยาบาล ฯลฯ

หากโรงพยาบาลมีระบบบริหารจัดการข้อมูลส่วนบุคคลที่มีประสิทธิภาพ นอกจากจะช่วยให้การรวบรวม การใช้ การส่งต่อข้อมูลทำได้สะดวกมากขึ้นแล้ว ยังมีส่วนช่วยให้การบริการหรือการรักษาพยาบาล สะดวกและรวดเร็ว ย่นระยะเวลาในการให้บริการได้ เพิ่มโอกาสการช่วยชีวิตคนไข้ได้มากขึ้น นอกจากนี้ยังช่วยเพิ่มความน่าเชื่อถือของโรงพยาบาลแก่คนไข้ที่เข้ามารับบริการ คนไข้จะสามารถมั่นใจได้ว่า แม้แต่ข้อมูลส่วนบุคคลยังสามารถรักษาให้ปลอดภัยได้แล้ว การรักษาสุขภาพก็สามารถทำได้ดีเช่นกัน

ดังนั้นการมีผู้ช่วยอย่าง t-reg ในการทำ PDPA โรงพยาบาลอย่างครบวงจร จะช่วยให้โรงพยาบาลสามารถปฏิบัติตาม ขั้นตอนที่ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคลกำหนดไว้ได้อย่างครบถ้วน และตรงตามระยะเวลาที่กำหนด

หากทางโรงพยาบาลของท่านยังมีคำถาม
ข้อสงสัยหรือไม่มั่นใจในขั้นตอนที่ได้ดำเนินการในขั้นตอนการทำ
PDPA  สามารถเข้ามาตรวจสอบขั้นตอนที่ถูกต้องได้ฟรี ไม่มีค่าใช้จ่าย ที่เว็บไซต์ t-reg.co

ติดตามเนื้อหาใหม่ ๆ ได้ที่ Facebook Fanpage: PDPA Platform By t-reg

หากมีข้อสงสัยเพิ่มเติมเกี่ยวกับการใช้งาน หรือสนใจใช้บริการของ t-reg

โทร 089-698-2591

รับชมบริการของเราได้ที่ t-reg.co

FREE EVENT
ร่วมรับฟังแนวทางการรับมือเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล เพื่อเตรียมความพร้อมสำหรับองค์กรของท่านในการรับมือกับเหตุละเมิดที่อาจเกิดขึ้น โดยผู้เชี่ยวชาญผู้มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิทัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection
RELATED POST
General Data Protection Regulation คือ
Case Study

Lesson Learned แอป Grindr สังเวยค่าปรับ 239 ล้าน เหตุขายข้อมูลผู้ใช้งานโดยไม่ได้รับอนุญาต

Grindr แอพลิเคชั่นหาคู่ของชาวสีรุ้ง ถูกเจ้าหน้าที่การปกป้องข้อมูลแห่งประเทศนอร์เวย์ยื่นฟ้องร้อง ฐานขายข้อมูลส่วนตัวของผู้ใช้แอปให้กับบริษัทโฆษณาไปหลายร้อยแห่ง โดยที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้การยินยอม กรณีของ Grindr ถูก

อ่านต่อ »
ภาพอินโฟกราฟิกอธิบาย PDPA คืออะไร พร้อมข้อความ "รู้สิทธิก่อนข้อมูลส่วนตัวถูกละเมิด" และภาพสัญลักษณ์ความยุติธรรม
t-reg knowledge

PDPA คือกฎหมายอะไร PDPA คุ้มครองอะไรบ้าง? เข้าใจสิทธิของคุณก่อนถูกละเมิด

ในยุคที่ข้อมูลส่วนบุคคลกลายเป็นทรัพย์สินสำคัญ การปกป้องข้อมูลจึงไม่ใช่แค่เรื่องของเทคโนโลยี แต่คือเรื่องของกฎหมายและสิทธิขั้นพื้นฐานของทุกคน กฎหมายที่มีบทบาทสำคัญในเรื่องนี้คือ PDPA หรือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.

อ่านต่อ »
อินโฟกราฟิก PDPA อธิบาย Data Controller, Processor และ Data Subject พร้อมชายกำลังคิดและข้อความ “เข้าใจ PDPA ในบทความเดียว”
t-reg knowledge

Data Subject, Data Controller และ Data Processor คืออะไร? เข้าใจ PDPA ในบทความเดียว

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) เป็นกฎหมายสำคัญที่ทุกองค์กรในประเทศไทยต้องเข้าใจ โดยเฉพาะบทบาทหลัก 3 ส่วน ได้แก่ Data

อ่านต่อ »
5 ตัวอย่างคดีละเมิด PDPA กับกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดย t-reg แพลตฟอร์มกำกับดูแลข้อมูลในไทย
t-reg knowledge

5 ตัวอย่างคดี PDPA ที่มีการละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล

เมื่อกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA เริ่มมีผลบังคับใช้อย่างเต็มรูปแบบในประเทศไทย หลายองค์กรก็เริ่มตื่นตัวมากขึ้น แต่ถึงอย่างนั้น ก็ยังมีหลายกรณีที่ละเมิดกฎหมายโดยรู้เท่าไม่ถึงการณ์ หรือเกิดจากความประมาทของบุคลากรในองค์กร

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่