PDPA ไม่ใช่เรื่องของข้อจำกัด แต่คือแนวทางสร้างความมั่นใจให้กับทุกคนในระบบสุขภาพ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เป็นกฎหมายที่ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ซึ่งจากการนำ PDPA ไปปฏิบัติในโรงพยาบาล ทำให้เกิดข้อสงสัยจำนวนมาก โดยมีตัวอย่างคำถามที่พบบ่อยจากการนำ PDPA ไปปฏิบัติในโรงพยาบาล
การขอข้อมูลของโรงพยาบาล ตัวอย่างสถานการณ์ อำเภอ, องค์กรปกครองส่วนท้องถิ่น (อปท.) ขอข้อมูลผู้พิการ เพื่อนำไปทำบ้านให้ข้อมูลส่วนบุคคล คือ ข้อมูลที่เกี่ยวข้องกับบุคคลทั้งทางตรง เช่น รหัสประจำตัวประชาชน รหัสประจำตัวผู้ป่วย (Hospital Number: HN) หรือทางอ้อมที่ทำให้ระบุตัวตนของเจ้าของข้อมูลได้ ซึ่งในกรณีดังกล่าวมีข้อพิจารณาคือ เป้าหมายของการใช้งาน/กิจกรรมการประมวลผลที่ชัดเจน ซึ่งผู้เกี่ยวข้องได้แก่ เจ้าของข้อมูล ผู้ควบคุม (โรงพยาบาล), ผู้ประมวลผลข้อมูล (ผู้ที่ได้รับมอบหมายหรือทำตามคำสั่ง/เห็นชอบจากผู้ควบคุมข้อมูล)
ในกรณีดังกล่าว เป็นการรับส่งข้อมูลความพิการซึ่งเป็นข้อมูลที่มีความอ่อนไหวตาม PDPA มาตรา 26 ระหว่างผู้ควบคุมข้อมูล (โรงพยาบาลที่ใช้ข้อมูล) ในฐานะเป็นผู้เปิดเผยข้อมูล และผู้ควบคุมข้อมูลข้อมูล (อำเภอ, อปท.) ในฐานะผู้รวบรวมข้อมูล มีประเด็นพิจารณาในเบื้องต้น คือ 1) ใช้ข้อมูลเพื่อประโยชน์ในการช่วยเหลือชีวิต โดยผู้พิการนั้นไม่สามารถให้ความยินยอมด้วยตนเอง 2) มีความพิการและจำเป็นต้องได้รับการดูแลที่บ้าน 3) การให้บริการทางการแพทย์การให้บริการทางสังคมสงเคราะห์ 4) การใช้ข้อมูลเพื่อให้ดำเนินการคุ้มครองทางสังคม
ตัวอย่างสถานการณ์ เจ้าหน้าที่สัสดี ขอประวัติการดูแลรักษากรณีมีผู้กระทำผิดฐานหนีทหารตามพระราชบัญญัติรับราชการทหาร พ.ศ. 2497 มาตรา 44 กรณีดังกล่าว หากผู้ขอข้อมูลดำเนินการขอข้อมูลทั่วไปประวัติการรักษากับโรงพยาบาลเพื่อใช้ประโยชน์ในการดำเนินคดีอาญา ซึ่งได้รับการยกเว้นตาม PDPA มาตรา 4(2) และมาตรา 4(5) ในฐานการปฏิบัติตามกฎหมาย โรงพยาบาลสามารถเปิดเผยข้อมูลได้โดยพิจารณาความเหมาะสมและเปิดเผยข้อมูลเท่าที่จำเป็น โดยคำนึงการเปิดเผยข้อมูล พระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. 2550 มาตรา 7
ตัวอย่างสถานการณ์ โรงพยาบาลส่งเสริมสุขภาพตำบลที่ออกนอกระบบของกระทรวงสาธารณสุขแล้ว ยังสามารถส่งข้อมูลกันได้อยู่หรือไม่ กรณีดังกล่าวเป็นการส่งต่อข้อมูลส่วนบุคคลที่ต้องปฏิบัติตามกรอบของ PDPA ซึ่งโรงพยาบาลผู้เปิดเผยข้อมูลอยู่ในฐานะผู้ควบคุมข้อมูล และโรงพยาบาลส่งเสริมสุขภาพตำบลในฐานะผู้ควบคุมข้อมูล หากเป็นการดำเนินการเพื่อการดูแลสุขภาพต่อเนื่องตามบริบทของโรงพยาบาลส่งเสริมสุขภาพตำบลที่ดำเนินการดูแลสุขภาพปฐมภูมิ สามารถดำเนินการได้ภายใต้ข้อยกเว้นตาม PDPA มาตรา 26(5)(ก) โดยคำนึงถึงความจำเป็นและการรักษาความลับของผู้ป่วย/ผู้รับบริการ
การส่งต่อข้อมูลทาง Line หรือสื่อสังคมออนไลน์อื่นๆ
ตัวอย่างสถานการณ์ การเปิดเผยหรือส่งต่อข้อมูลส่วนบุคคลในกรณีฉุกเฉิน/ไม่ฉุกเฉินการส่งข้อมูลผู้ป่วย/ผู้รับบริการภายในโรงพยาบาลเดียวกัน จะต้องคำนึงข้อปฏิบัติเพื่อการรักษาความลับของข้อมูล และความจำเป็นในการเปิดเผยข้อมูล ในกรณีดังกล่าว หากการใช้สื่อสังคมออนไลน์ เช่น Line ถูกกำหนดให้เป็นแนวทางการปฏิบัติปกติภายในโรงพยาบาล สามารถดำเนินการได้ และสามารถแจ้งผู้ป่วย/ผู้รับบริการให้ทราบว่าอาจมีใช้สื่อสังคมออนไลน์ในการส่งปรึกษาที่เกี่ยวข้องกับการดูแลรักษา โดยผู้เปิดเผยและผู้ขอรับข้อมูลมีหน้าที่ในการปฏิบัติตาม PDPA มีความมั่นคงปลอดภัย และเปิดเผยข้อมูลและผู้เกี่ยวข้องเท่าที่จำเป็น
การส่งต่อข้อมูลผู้ป่วยระหว่างโรงพยาบาล กรณีดังกล่าว หากจำเป็นต้องเปิดเผยข้อมูลผ่านสื่อสังคมออนไลน์ เช่น แอปพลิเคชัน Line จะต้องดำเนินการในลักษณะการสื่อสารระหว่างโรงพยาบาลที่ส่งต่อและโรงพยาบาลที่รับส่งต่อเท่านั้น หากเป็นการส่งต่อข้อมูลใน Line กลุ่ม ไม่สามารถปฏิบัติได้เนื่องจากขัดแย้งกับ PDPA ภายใต้หลักการส่งต่อข้อมูลเท่าที่จำเป็นและผู้เกี่ยวข้องที่จำเป็น
การเก็บข้อมูลของโรงพยาบาล ตัวอย่างสถานการณ์ มีผู้ป่วย/ผู้รับบริการขอให้แก้ไขข้อมูลการเข้ารับบริการของตนเอง กรณีดังกล่าว ให้พิจารณาตาม PDPA โดยหลักสำคัญคือ ผู้ควบคุมข้อมูลมีหน้าที่ทำให้ข้อมูลมีความถูกต้อง เมื่อเป็นการแก้ไขข้อมูลเพื่อให้เป็นไปตามความถูกต้อง สามารถดำเนินการแก้ไขได้ โดยมีการจัดทำบันทึกรายละเอียดการแก้ไขทุกครั้ง หากการแก้ไขไม่สามารถทำได้ ให้โรงพยาบาลปฏิเสธการแก้ไข โดยมีการบันทึกเหตุผลของการปฏิเสธทุกครั้ง
ตัวอย่างสถานการณ์ มีผู้ป่วย/ผู้รับบริการขอให้ลบภาพในกล้องวงจรปิดที่มีภาพของตนเอง ตาม PDPA มาตรา 33 เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอให้ผู้ควบคุมข้อมูลส่วนบุคคลดำเนินการลบหรือทำลาย โดยโรงพยาบาลควรพิจารณาว่าสามารถยินยอมให้ลบหรือจำเป็นต้องคัดค้านตาม PDPA มาตรา 32
ตัวอย่างสถานการณ์ เก็บข้อมูลไว้บนระบบ Cloud เช่น Google Drive, Dropbox, Microsoft Onedrive หรืออีเมล มีแนวทางการปฏิบัติอย่างไร และในกรณีบุคลากรที่ไม่ได้ปฏิบัติงานแล้ว เช่น ลาออก จะมีแนวทางการปฏิบัติอย่างไร
กรณีการเก็บข้อมูล หากเป็นผู้ให้บริการตามมาตรฐานชัดเจน สามารถดำเนินการจัดเก็บได้ โดยโรงพยาบาลมีหน้าที่กำหนดนโยบาย/ระเบียบ/มาตรการ/แนวทางการจัดเก็บ เปิดเผย หรือกำหนดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลตามความเหมาะสมและเท่าที่จำเป็น ในกรณีที่บุคลากรไม่ได้ปฏิบัติหน้าที่ในโรงพยาบาลแล้ว เช่น ลาออก โรงพยาบาลควรต้องมีกระบวนการทบทวนสิทธิ์การเข้าถึงข้อมูล รวมถึงมีระบบ/กระบวนการที่ทำให้มั่นใจว่าข้อมูลส่วนบุคคลที่มีการจัดเก็บหรือเปิดเผยโดยบุคลากรดังกล่าวจะไม่ถูกเปิดเผยหรือเข้าถึงโดยไม่มีเหตุอันจำเป็นหรือขัดแย้งกับ PDPA
การศึกษาและทำความเข้าใจพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ทำให้สามารถนำไปปฏิบัติในโรงพยาบาลได้อย่างถูกต้อง เหมาะสมตามกฎหมาย อีกทั้งยังช่วยลดความเสี่ยงในการถูกดำเนินคดีและปกป้องสิทธิของทั้งผู้ป่วยและเจ้าหน้าที่
แหล่งอ้างอิงข้อมูล
– พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562: https://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF
– ข้อหารือตามกฎหมาย PDPA: https://www.pdpc.or.th/consultation/
ผู้ถอดบทเรียน นายสุทธิพงศ์ คงชุม
งานพัฒนาคุณภาพการบริการ โรงพยาบาลธรรมศาสตร์เฉลิมพระเกียรติ
