top of page

รู้ทัน กฎหมาย PDPA คลินิกต้องทำอย่างไร ไม่ให้ละเมิดสิทธิ์ข้อมูลผู้ป่วย?

อัปเดตเมื่อ 6 วันที่ผ่านมา


PDPA

กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA (Personal Data Protection Act, พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) เป็นกฎหมายสำคัญที่คลินิกทุกแห่งต้องปฏิบัติตาม เนื่องจากคลินิกมีการเก็บรวบรวม ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) เช่น ประวัติการรักษา ข้อมูลสุขภาพ และข้อมูลทางการแพทย์ ซึ่งหากมีการละเมิดกฎหมาย อาจส่งผลต่อความเชื่อมั่นของลูกค้าและนำไปสู่บทลงโทษทางกฎหมายที่รุนแรง

ดังนั้น คลินิกควรมีมาตรการที่เข้มงวดในการจัดการข้อมูลผู้ป่วยให้สอดคล้องกับ PDPA เพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้น และเพื่อสร้างความเชื่อมั่นให้กับผู้ใช้บริการ


การปฏิบัติตาม กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA)

ในคลินิกต้องคำนึงถึงหลักการสำคัญเกี่ยวกับการจัดเก็บ ใช้ และเปิดเผยข้อมูลของผู้ป่วยและบุคคลที่เกี่ยวข้อง เพื่อให้เป็นไปตามกฎหมายและป้องกันการละเมิดสิทธิ์ของเจ้าของข้อมูลส่วนบุคคล


การปฏิบัติตาม  PDPA

 1. การเก็บรวบรวมข้อมูลส่วนบุคคล

  • ขอความยินยอม (Consent)

คลินิกต้องขอความยินยอมจากผู้ป่วยก่อนเก็บข้อมูล ยกเว้นในกรณีที่กฎหมายอนุญาต เช่น เพื่อการรักษาพยาบาล หรือเหตุผลด้านสาธารณสุข


  • กำหนดวัตถุประสงค์ (Purpose Specification)

แจ้งให้ผู้ป่วยทราบถึงวัตถุประสงค์ในการเก็บข้อมูลให้ชัดเจน และไม่สามารถใช้ข้อมูลนอกเหนือจากที่แจ้งไว้


  • เก็บข้อมูลเท่าที่จำเป็น (Data Minimization)

หลีกเลี่ยงการเก็บข้อมูลที่ไม่จำเป็น เช่น หมายเลขบัตรประชาชน ควรเก็บเฉพาะข้อมูลที่เกี่ยวข้องกับการรักษาเท่านั้น


2 การใช้และเปิดเผยข้อมูลส่วนบุคคล

  • ใช้ข้อมูลตามวัตถุประสงค์ที่แจ้งไว้กับผู้ป่วย

ห้ามนำข้อมูลไปใช้ในเชิงพาณิชย์หรือเพื่อวัตถุประสงค์อื่น ๆ โดยไม่ได้รับความยินยอม

  • รักษาความลับของข้อมูล

จำกัดการเข้าถึงข้อมูลเฉพาะบุคคลที่เกี่ยวข้อง เช่น แพทย์ พยาบาล และเจ้าหน้าที่ที่ได้รับอนุญาต

การเปิดเผยข้อมูลให้บุคคลที่สาม: ต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน เว้นแต่มีเหตุจำเป็น เช่น ตามกฎหมายหรือเหตุฉุกเฉินทางการแพทย์


 3 การรักษาความปลอดภัยของข้อมูล

  • ใช้มาตรการรักษาความปลอดภัย (Security Measures)

เช่น การเข้ารหัสข้อมูล (Encryption) และการกำหนดสิทธิ์การเข้าถึง (Access Control)

  • ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

ใช้ระบบยืนยันตัวตน (Authentication) เพื่อป้องกันการเข้าถึงข้อมูลโดยมิชอบ

สำรองข้อมูลและป้องกันการสูญหาย

  • จัดให้มีระบบสำรองข้อมูลที่ปลอดภัย และป้องกันการสูญหายของข้อมูล


4 สิทธิของเจ้าของข้อมูลส่วนบุคคล

  • ผู้ป่วยมีสิทธิในการเข้าถึงและจัดการข้อมูลส่วนบุคคลของตนเอง เช่น:

    • สิทธิขอเข้าถึงข้อมูล (Right to Access): ขอสำเนาข้อมูลส่วนบุคคลที่คลินิกจัดเก็บ

    • สิทธิขอแก้ไขข้อมูล (Right to Rectification): ขอแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่เป็นปัจจุบัน

    • สิทธิขอให้ลบข้อมูล (Right to Erasure): ขอให้ลบข้อมูลที่ไม่จำเป็นต่อการรักษา

    • สิทธิในการคัดค้านการใช้ข้อมูล (Right to Object): สามารถคัดค้านการใช้ข้อมูลส่วนบุคคลได้ในบางกรณี


 กฎหมายที่เกี่ยวข้อง


กฎหมายที่เกี่ยวข้องกับ PDPA  ในคลินิก

นอกจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) คลินิกยังต้องปฏิบัติตามกฎหมายอื่น ๆ ที่เกี่ยวข้อง ได้แก่:

  •  พ.ร.บ. สถานพยาบาล พ.ศ. 2541

กำหนดให้คลินิกต้องรักษาข้อมูลของผู้ป่วยเป็นความลับ และต้องไม่เปิดเผยข้อมูลโดยไม่ได้รับความยินยอม

ต้องเก็บข้อมูลเวชระเบียนผู้ป่วย ไม่น้อยกว่า 5 ปี ตามข้อกำหนดของกระทรวงสาธารณสุข


  • พ.ร.บ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544

กำหนดมาตรฐานในการเก็บรักษาข้อมูลอิเล็กทรอนิกส์ เช่น ระบบเวชระเบียนอิเล็กทรอนิกส์ (EMR)

ต้องมีมาตรการสำรองข้อมูลและการกู้คืนข้อมูลในกรณีฉุกเฉิน


  •  พ.ร.บ. คอมพิวเตอร์ พ.ศ. 2560

ห้ามเข้าถึงหรือเปิดเผยข้อมูลผู้ป่วยโดยไม่ได้รับอนุญาต

กำหนดโทษสำหรับการเข้าถึงข้อมูลโดยมิชอบ เช่น จำคุกสูงสุด 2 ปี หรือปรับสูงสุด 40,000 บาท


  • มาตรการที่คลินิกควรดำเนินการ

เพื่อให้เป็นไปตาม PDPA คลินิกควรดำเนินการดังนี้:

  • นโยบายและแนวปฏิบัติ

    •  ติดป้ายแจ้งเกี่ยวกับ PDPA ที่จุดรับบริการให้ผู้ป่วยรับทราบ

    •  จัดทำ แบบฟอร์มขอความยินยอม (Consent Form) ให้ผู้ป่วยลงนามก่อนการรักษา

    •  ใช้ระบบจัดเก็บข้อมูลที่ปลอดภัย เช่น โปรแกรมคลินิกที่รองรับ PDPA

    •  กำหนดนโยบายการใช้ข้อมูล และแจ้งให้พนักงานปฏิบัติตาม


การอบรมบุคลากร

  •  อบรมพนักงานเกี่ยวกับ PDPA และแนวทางปฏิบัติที่ถูกต้อง

  •  กำหนดบทบาทหน้าที่ของเจ้าหน้าที่ที่เกี่ยวข้องกับข้อมูลผู้ป่วย


 การรับมือกรณีข้อมูลรั่วไหล

  • มีแผนรับมือเหตุการณ์ข้อมูลรั่วไหล และช่องทางแจ้งหน่วยงานที่เกี่ยวข้อง

  •  แจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง

  •  แจ้งเจ้าของข้อมูลหากมีความเสี่ยงสูงที่กระทบต่อสิทธิและเสรีภาพของบุคคล


บทลงโทษหากไม่ปฏิบัติตามกฎหมาย PDPA


โทษของการทำไม่ทำตาม PDPA ในคลินิก

หากคลินิกไม่ปฏิบัติตาม PDPA อาจมีบทลงโทษดังนี้

  • โทษทางปกครอง : ปรับสูงสุด 5 ล้านบาท

  • โทษทางแพ่ง : ชดใช้ค่าเสียหายตามที่ศาลกำหนด

  • โทษทางอาญา : จำคุกสูงสุด 1 ปี หรือปรับสูงสุด 1 ล้านบาท (ในกรณีร้ายแรง)


สรุป

การปฏิบัติตาม PDPA ในคลินิกเป็นสิ่งสำคัญเพื่อปกป้องข้อมูลส่วนบุคคลของผู้ป่วย ลดความเสี่ยงทางกฎหมาย และสร้างความเชื่อมั่นให้กับผู้รับบริการ คลินิกควรมี นโยบายที่ชัดเจน อบรมพนักงาน และใช้มาตรการรักษาความปลอดภัยของข้อมูลให้เป็นไปตามข้อกำหนดของกฎหมาย


 

Comments


บริการทั้งหมด

สินค้า

ติดต่อสอบถาม

CLINICDECCOR

สำรวจพื้นที่ให้คำปรึกษา

ออกแบบคลินิก

ตกแต่งคลินิก

ขอใบอนุญาตคลินิก

ออกแบบโลโก้

ผลิตสื่อโซเชียลมีเดีย

เตียงทรีทเม้นท์
เฟอร์นิเจอร์
เครื่องมือแพทย์ความงาม
โคมไฟคลินิก
อุปกรณตกแต่งคลินิก

แจ้งปัญหา
ปรึกษาปัญหา
ประเมินราคาเบื้องต้น
ขั้นตอนการทำงาน

633/1 ถ.สาธุประดิษฐ์ แขวงบางโพงพาง เขตยานนาวา  กรุงเทพมหานคร 10120

Asset 5_3x.png
QR CODE

Copyright © 2020 clinicdeccor.com All Rights Reserved

bottom of page