
กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA (Personal Data Protection Act, พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) เป็นกฎหมายสำคัญที่คลินิกทุกแห่งต้องปฏิบัติตาม เนื่องจากคลินิกมีการเก็บรวบรวม ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) เช่น ประวัติการรักษา ข้อมูลสุขภาพ และข้อมูลทางการแพทย์ ซึ่งหากมีการละเมิดกฎหมาย อาจส่งผลต่อความเชื่อมั่นของลูกค้าและนำไปสู่บทลงโทษทางกฎหมายที่รุนแรง
ดังนั้น คลินิกควรมีมาตรการที่เข้มงวดในการจัดการข้อมูลผู้ป่วยให้สอดคล้องกับ PDPA เพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้น และเพื่อสร้างความเชื่อมั่นให้กับผู้ใช้บริการ
การปฏิบัติตาม กฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA)
ในคลินิกต้องคำนึงถึงหลักการสำคัญเกี่ยวกับการจัดเก็บ ใช้ และเปิดเผยข้อมูลของผู้ป่วยและบุคคลที่เกี่ยวข้อง เพื่อให้เป็นไปตามกฎหมายและป้องกันการละเมิดสิทธิ์ของเจ้าของข้อมูลส่วนบุคคล

1. การเก็บรวบรวมข้อมูลส่วนบุคคล
ขอความยินยอม (Consent)
คลินิกต้องขอความยินยอมจากผู้ป่วยก่อนเก็บข้อมูล ยกเว้นในกรณีที่กฎหมายอนุญาต เช่น เพื่อการรักษาพยาบาล หรือเหตุผลด้านสาธารณสุข
กำหนดวัตถุประสงค์ (Purpose Specification)
แจ้งให้ผู้ป่วยทราบถึงวัตถุประสงค์ในการเก็บข้อมูลให้ชัดเจน และไม่สามารถใช้ข้อมูลนอกเหนือจากที่แจ้งไว้
เก็บข้อมูลเท่าที่จำเป็น (Data Minimization)
หลีกเลี่ยงการเก็บข้อมูลที่ไม่จำเป็น เช่น หมายเลขบัตรประชาชน ควรเก็บเฉพาะข้อมูลที่เกี่ยวข้องกับการรักษาเท่านั้น
2 การใช้และเปิดเผยข้อมูลส่วนบุคคล
ใช้ข้อมูลตามวัตถุประสงค์ที่แจ้งไว้กับผู้ป่วย
ห้ามนำข้อมูลไปใช้ในเชิงพาณิชย์หรือเพื่อวัตถุประสงค์อื่น ๆ โดยไม่ได้รับความยินยอม
รักษาความลับของข้อมูล
จำกัดการเข้าถึงข้อมูลเฉพาะบุคคลที่เกี่ยวข้อง เช่น แพทย์ พยาบาล และเจ้าหน้าที่ที่ได้รับอนุญาต
การเปิดเผยข้อมูลให้บุคคลที่สาม: ต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน เว้นแต่มีเหตุจำเป็น เช่น ตามกฎหมายหรือเหตุฉุกเฉินทางการแพทย์
3 การรักษาความปลอดภัยของข้อมูล
ใช้มาตรการรักษาความปลอดภัย (Security Measures)
เช่น การเข้ารหัสข้อมูล (Encryption) และการกำหนดสิทธิ์การเข้าถึง (Access Control)
ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
ใช้ระบบยืนยันตัวตน (Authentication) เพื่อป้องกันการเข้าถึงข้อมูลโดยมิชอบ
สำรองข้อมูลและป้องกันการสูญหาย
จัดให้มีระบบสำรองข้อมูลที่ปลอดภัย และป้องกันการสูญหายของข้อมูล
4 สิทธิของเจ้าของข้อมูลส่วนบุคคล
ผู้ป่วยมีสิทธิในการเข้าถึงและจัดการข้อมูลส่วนบุคคลของตนเอง เช่น:
สิทธิขอเข้าถึงข้อมูล (Right to Access): ขอสำเนาข้อมูลส่วนบุคคลที่คลินิกจัดเก็บ
สิทธิขอแก้ไขข้อมูล (Right to Rectification): ขอแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่เป็นปัจจุบัน
สิทธิขอให้ลบข้อมูล (Right to Erasure): ขอให้ลบข้อมูลที่ไม่จำเป็นต่อการรักษา
สิทธิในการคัดค้านการใช้ข้อมูล (Right to Object): สามารถคัดค้านการใช้ข้อมูลส่วนบุคคลได้ในบางกรณี
กฎหมายที่เกี่ยวข้อง

นอกจาก พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) คลินิกยังต้องปฏิบัติตามกฎหมายอื่น ๆ ที่เกี่ยวข้อง ได้แก่:
พ.ร.บ. สถานพยาบาล พ.ศ. 2541
กำหนดให้คลินิกต้องรักษาข้อมูลของผู้ป่วยเป็นความลับ และต้องไม่เปิดเผยข้อมูลโดยไม่ได้รับความยินยอม
ต้องเก็บข้อมูลเวชระเบียนผู้ป่วย ไม่น้อยกว่า 5 ปี ตามข้อกำหนดของกระทรวงสาธารณสุข
พ.ร.บ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544
กำหนดมาตรฐานในการเก็บรักษาข้อมูลอิเล็กทรอนิกส์ เช่น ระบบเวชระเบียนอิเล็กทรอนิกส์ (EMR)
ต้องมีมาตรการสำรองข้อมูลและการกู้คืนข้อมูลในกรณีฉุกเฉิน
พ.ร.บ. คอมพิวเตอร์ พ.ศ. 2560
ห้ามเข้าถึงหรือเปิดเผยข้อมูลผู้ป่วยโดยไม่ได้รับอนุญาต
กำหนดโทษสำหรับการเข้าถึงข้อมูลโดยมิชอบ เช่น จำคุกสูงสุด 2 ปี หรือปรับสูงสุด 40,000 บาท
มาตรการที่คลินิกควรดำเนินการ
เพื่อให้เป็นไปตาม PDPA คลินิกควรดำเนินการดังนี้:
นโยบายและแนวปฏิบัติ
ติดป้ายแจ้งเกี่ยวกับ PDPA ที่จุดรับบริการให้ผู้ป่วยรับทราบ
จัดทำ แบบฟอร์มขอความยินยอม (Consent Form) ให้ผู้ป่วยลงนามก่อนการรักษา
ใช้ระบบจัดเก็บข้อมูลที่ปลอดภัย เช่น โปรแกรมคลินิกที่รองรับ PDPA
กำหนดนโยบายการใช้ข้อมูล และแจ้งให้พนักงานปฏิบัติตาม
การอบรมบุคลากร
อบรมพนักงานเกี่ยวกับ PDPA และแนวทางปฏิบัติที่ถูกต้อง
กำหนดบทบาทหน้าที่ของเจ้าหน้าที่ที่เกี่ยวข้องกับข้อมูลผู้ป่วย
การรับมือกรณีข้อมูลรั่วไหล
มีแผนรับมือเหตุการณ์ข้อมูลรั่วไหล และช่องทางแจ้งหน่วยงานที่เกี่ยวข้อง
แจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง
แจ้งเจ้าของข้อมูลหากมีความเสี่ยงสูงที่กระทบต่อสิทธิและเสรีภาพของบุคคล
บทลงโทษหากไม่ปฏิบัติตามกฎหมาย PDPA

หากคลินิกไม่ปฏิบัติตาม PDPA อาจมีบทลงโทษดังนี้
โทษทางปกครอง : ปรับสูงสุด 5 ล้านบาท
โทษทางแพ่ง : ชดใช้ค่าเสียหายตามที่ศาลกำหนด
โทษทางอาญา : จำคุกสูงสุด 1 ปี หรือปรับสูงสุด 1 ล้านบาท (ในกรณีร้ายแรง)
สรุป
การปฏิบัติตาม PDPA ในคลินิกเป็นสิ่งสำคัญเพื่อปกป้องข้อมูลส่วนบุคคลของผู้ป่วย ลดความเสี่ยงทางกฎหมาย และสร้างความเชื่อมั่นให้กับผู้รับบริการ คลินิกควรมี นโยบายที่ชัดเจน อบรมพนักงาน และใช้มาตรการรักษาความปลอดภัยของข้อมูลให้เป็นไปตามข้อกำหนดของกฎหมาย
Comments