ตัวอย่างแนวทางปฏิบัติเบื้องต้นในการคุ้มครองข้อมูลส่วนบุคคลในโรงพยาบาลฉบับย่อ เพื่อสื่อสารกับเจ้าหน้าที่ เพื่อให้เกิดความเข้าใจและดำเนินการไปในทิศทางเดียวกัน
นิยาม
“ข้อมูลส่วนบุคคล”
หมายถึง
ข้อมูลเกี่ยวกับบุคคลที่สามารถทำให้ระบุถึงตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม
แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“บุคลากร” หมายถึง บุคลากรทุกระดับชั้นของโรงพยาบาล ตั้งแต่ผู้บริหาร เจ้าหน้าที่ ลูกจ้าง พนักงานสัญญาจ้าง พนักงานโครงการ และบุคคลภายไต้การควบคุมดูแลของหน่วยงานตามสัญญาจ้าง
แนวทางการดำเนินการ
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยบุคลากร ให้พิจารณาดำเนินการตามแนวทางปฏิบัติเพื่อควบคุมข้อมูลส่วนบุคคล ดังนี้
1. การเก็บรวบรวมข้อมูล
ในการเก็บข้อมูลส่วนบุคคลที่อยู่นอกเหนือจากพันธะกิจการให้บริการทางการแพทย์ฯ ตามที่ได้ประกาศไว้ในคำประกาศ (Privacy Notice) บุคลากรจะต้อง
1.1 แจ้งให้เจ้าของข้อมูลรับทราบเกี่ยวกับ (1) วัตถุประสงค์ความจำเป็นของการใช้ข้อมูล (2) ผลกระทบ (3) ระยะเวลาการจัดเก็บ (4) ช่องทางในการติดต่อเพื่อขอยกเลิกการใช้งานข้อมูลส่วนบุคคล
1.2 ไม่เก็บข้อมูลส่วนบุคคลที่เป็นข้อมูลละเอียดอ่อนโดยไม่จำเป็น (ข้อมูลสุขภาพ, ข้อมูลความเชื่อ, ศาสนา,เชื้อชาติ, ความคิดเห็นทางการเมือง, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลชีวภาพ)
1.3 การเก็บข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมจากเจ้าของข้อมูล ในกรณีข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน จะต้องจัดทำเอกสารเพื่อขอความยินยอมอย่างชัดแจ้ง
1.4 ไม่อนุญาติให้เก็บ/รวบรวมข้อมูลส่วนบุคคลที่ไม่ทราบแหล่งที่มา, ไม่ได้มาจากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่เป็นข้อมูลที่ได้รับการยกเว้นตามมาตรา 24 หรือ 26
1.5 เก็บข้อมูลได้เท่าที่จำเป็น (มีเหตุผลการใช้ข้อมูล)
1.6 กำหนดระยะเวลาการใช้งานข้อมูล
1.7 กำหนดรูปแบบการใช้ข้อมูล และวิธีการจัดเก็บข้อมูล
1.8 กำหนดผู้รับผิดชอบข้อมูล
1.9 กำหนดช่องทางในการติดต่อเพื่อขอยกเลิกการใช้งานข้อมูลส่วนบุคคล
1.10 กำหนดให้เอกสารที่มีข้อมูลส่วนบุคคล เป็นเอกสารลับเข้าถึงได้เฉพาะผู้ที่เกี่ยวข้อง
2. การนำข้อมูลไปใช้/การวิเคราะห์ข้อมูล
2.1 ข้อมูลผู้ป่วย
2.1.1 ไม่เข้าถึง ใช้งาน วิเคราะห์ผล ข้อมูลผู้ป่วยที่ไม่ใช่ผู้ป่วยที่อยู่ภายใต้การรักษาพยาบาลของตน
2.1.2 ในการเข้าถึง ใช้งาน วิเคราะห์ผล ข้อมูลผู้ป่วยเพื่อการวิจัยงานวิจัย นั้นจะต้องผ่านการรับรองจากคณะกรรมการจริยธรรมการวิจัยในคน (IRB) และได้รับอนุญาตจากผู้อำนวยการฯ
2.1.3 การเข้าถึง ใช้งาน วิเคราะห์ผล ข้อมูลสถิติผู้ป่วยเพื่อการดำเนินงานหรือเพื่อการพัฒนากระบวนการทำงาน จะต้องสอดคล้องกับพันธกิจของหน่วยงาน และให้ใช้เท่าที่จำเป็น มีกำหนดระยะเวลาการรวบรวมวิเคราะห์ผล และจัดให้มีวิธีการจัดเก็บข้อมูลที่เหมาะสม
2.2 ข้อมูลส่วนบุคคล
2.1 ไม่ประมวล/วิเคราะห์ข้อมูลส่วนบุคคลที่ไม่ทราบแหล่งที่มา, ไม่ได้มาจากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่เป็นข้อมูลที่ได้รับการยกเว้นตามมาตรา 24 หรือ 26
3. การเผยแพร่ข้อมูลส่วนบุคคล
3.1 ไม่เผยแพร่ข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม หรือเผยแพร่ตามวัตถุประสงค์อื่นตามที่ได้แจ้งกับเจ้าของข้อมูล
3.2 การเผยแพร่ข้อมูลต้องทำในภาพรวมและไม่สามารถระบุผู้เป็นเจ้าของข้อมูลแต่ละคนได้
No comments:
Post a Comment