Tuesday, November 30, 2021

ตัวอย่างแนวทางปฏิบัติเบื้องต้นเพื่อควบคุมข้อมูลส่วนบุคคลในโรงพยาบาล

ตัวอย่างแนวทางปฏิบัติเบื้องต้นในการคุ้มครองข้อมูลส่วนบุคคลในโรงพยาบาลฉบับย่อ เพื่อสื่อสารกับเจ้าหน้าที่ เพื่อให้เกิดความเข้าใจและดำเนินการไปในทิศทางเดียวกัน

นิยาม

ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลที่สามารถทำให้ระบุถึงตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

บุคลากร” หมายถึง บุคลากรทุกระดับชั้นของโรงพยาบาล ตั้งแต่ผู้บริหาร เจ้าหน้าที่ ลูกจ้าง พนักงานสัญญาจ้าง พนักงานโครงการ และบุคคลภายไต้การควบคุมดูแลของหน่วยงานตามสัญญาจ้าง

แนวทางการดำเนินการ

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยบุคลากร ให้พิจารณาดำเนินการตามแนวทางปฏิบัติเพื่อควบคุมข้อมูลส่วนบุคคล ดังนี้


1. การเก็บรวบรวมข้อมูล

          ในการเก็บข้อมูลส่วนบุคคลที่อยู่นอกเหนือจากพันธะกิจการให้บริการทางการแพทย์ฯ ตามที่ได้ประกาศไว้ในคำประกาศ (Privacy Notice) บุคลากรจะต้อง

1.1  แจ้งให้เจ้าของข้อมูลรับทราบเกี่ยวกับ (1) วัตถุประสงค์ความจำเป็นของการใช้ข้อมูล (2) ผลกระทบ (3) ระยะเวลาการจัดเก็บ (4) ช่องทางในการติดต่อเพื่อขอยกเลิกการใช้งานข้อมูลส่วนบุคคล

1.2 ไม่เก็บข้อมูลส่วนบุคคลที่เป็นข้อมูลละเอียดอ่อนโดยไม่จำเป็น (ข้อมูลสุขภาพ, ข้อมูลความเชื่อ, ศาสนา,เชื้อชาติ, ความคิดเห็นทางการเมือง, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลชีวภาพ)

1.3 การเก็บข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมจากเจ้าของข้อมูล ในกรณีข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน จะต้องจัดทำเอกสารเพื่อขอความยินยอมอย่างชัดแจ้ง

1.4  ไม่อนุญาติให้เก็บ/รวบรวมข้อมูลส่วนบุคคลที่ไม่ทราบแหล่งที่มา, ไม่ได้มาจากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่เป็นข้อมูลที่ได้รับการยกเว้นตามมาตรา 24 หรือ 26

1.5  เก็บข้อมูลได้เท่าที่จำเป็น (มีเหตุผลการใช้ข้อมูล)

1.6  กำหนดระยะเวลาการใช้งานข้อมูล

1.7    กำหนดรูปแบบการใช้ข้อมูล และวิธีการจัดเก็บข้อมูล

1.8    กำหนดผู้รับผิดชอบข้อมูล

1.9    กำหนดช่องทางในการติดต่อเพื่อขอยกเลิกการใช้งานข้อมูลส่วนบุคคล

1.10  กำหนดให้เอกสารที่มีข้อมูลส่วนบุคคล เป็นเอกสารลับเข้าถึงได้เฉพาะผู้ที่เกี่ยวข้อง

 

2. การนำข้อมูลไปใช้/การวิเคราะห์ข้อมูล

2.1 ข้อมูลผู้ป่วย

2.1.1  ไม่เข้าถึง ใช้งาน วิเคราะห์ผล ข้อมูลผู้ป่วยที่ไม่ใช่ผู้ป่วยที่อยู่ภายใต้การรักษาพยาบาลของตน  

2.1.2 ในการเข้าถึง ใช้งาน วิเคราะห์ผล ข้อมูลผู้ป่วยเพื่อการวิจัยงานวิจัย นั้นจะต้องผ่านการรับรองจากคณะกรรมการจริยธรรมการวิจัยในคน (IRB) และได้รับอนุญาตจากผู้อำนวยการฯ

2.1.3  การเข้าถึง ใช้งาน วิเคราะห์ผล ข้อมูลสถิติผู้ป่วยเพื่อการดำเนินงานหรือเพื่อการพัฒนากระบวนการทำงาน จะต้องสอดคล้องกับพันธกิจของหน่วยงาน และให้ใช้เท่าที่จำเป็น มีกำหนดระยะเวลาการรวบรวมวิเคราะห์ผล และจัดให้มีวิธีการจัดเก็บข้อมูลที่เหมาะสม

2.2 ข้อมูลส่วนบุคคล

2.1  ไม่ประมวล/วิเคราะห์ข้อมูลส่วนบุคคลที่ไม่ทราบแหล่งที่มา, ไม่ได้มาจากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่เป็นข้อมูลที่ได้รับการยกเว้นตามมาตรา 24 หรือ 26

 

3. การเผยแพร่ข้อมูลส่วนบุคคล

3.1  ไม่เผยแพร่ข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม หรือเผยแพร่ตามวัตถุประสงค์อื่นตามที่ได้แจ้งกับเจ้าของข้อมูล

3.2  การเผยแพร่ข้อมูลต้องทำในภาพรวมและไม่สามารถระบุผู้เป็นเจ้าของข้อมูลแต่ละคนได้

Monday, November 15, 2021

สิทธิ์ของเจ้าของข้อมูล (Data subject rights)

สิทธิ์ในการดำเนินการตามกฏหมายคุ้มครองข้อมูลส่วนบุคคล ดังนี้

  1. สิทธิ์ในการขอถอนความยินยอม (Right to withdraw consent)
  2. สิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคล (Right to access)
  3. สิทธิ์ในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to rectification)
  4. สิทธิ์ในการให้โอนย้ายข้อมูลส่วนบุคคล (Right to data portability)
  5. สิทธิ์ในการขอให้ลบข้อมูลส่วนบุคคล (Right to erasure)
  6. สิทธิ์ในการห้ามมิให้ประมวลผลข้อมูลส่วนบุคคล (Right to restriction of processing)
  7. สิทธิ์ในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to object)
  8. สิทธิ์ในการร้องเรียน (Right to lodge a complaint)