Thursday, May 23, 2024
การเปิดเผยข้อมูลสุขภาพให้ฝ่ายกฎหมายพิจารณาเมื่อเกิดกรณีพิพาท ระหว่างโรงพยาบาล และผู้มารับบริการ
Tuesday, May 21, 2024
DPA or DSA or NDA?
คำถามที่มักถูกถามเกี่ยวกับการรักษาความลับของข้อมูลกรณีที่มีการจ้าง Vendor หรือมีการแลกเปลี่ยนข้อมูลกับหน่วยงานภายนอก มันจะต้องทำอะไร DPA or DSA or NDA?
กรณีการให้หน่วยงานภายนอกประมวลข้อมูลประเภทลับขึ้นไป แต่ไม่รวมถึงข้อมูลส่วนบุคคล
> กำหนดการรักษาความลับในเอกสารสัญญา/TOR
กรณีการให้หน่วยงานภายนอกประมวลผลข้อมูลส่วนบุคคล (Controller - Processor)
> ให้จัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (DPA) *มาตรา 40 พรบ.คุ้มครองข้อมูลส่วนบุคคล
กรณีที่มีการแลกเปลี่ยนการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน (Controller - Controller)
> ให้จัดทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล (DSA) *** ไม่ได้มีข้อบังคับตามกฎหมาย แต่ทำไว้ก็ดี
กรณีบุคคลภายนอกที่มีความเสี่ยงในการเข้าถึงข้อมูลประเภทลับขึ้นไป (นักศึกษาฝึกงาน, จิตอาสา, ผู้เยี่ยมสำรวจ, ฯลฯ)
> ให้ลงนามข้อตกลงไม่เปิดเผยความลับ (Non-Disclosure Agreement) *บุคลากรภายในจะกำหนดเป็นนโยบาย หรือจะให้เซ็นต์แล้วแต่องค์กรพิจารณา
Monday, January 8, 2024
เบอร์โทรศัพท์เป็นข้อมูลส่วนบุคคลหรือไม่?
![]() |
https://copilot.microsoft.com/images/... |
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 6 ได้ให้นิยามของ ข้อมูลส่วนบุคคลไว้ว่า
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
ดังนั้น เมื่อจะพิจารณาว่าเบอร์โทรศัพท์เป็นข้อมูลส่วนบุคคลหรือไม่? ต้องพิจารณาว่า เบอร์โทรศัพท์ทำให้สามารถระบุตัวบุคคลได้หรือไม่? ไม่ว่าจะเป็นทางตรงหรือทางอ้อม ....
คำตอบคือ ... เป็นไปได้ทั้งสองแบบ
เพราะ?
- ข้อมูลเบอร์โทรศัพท์ที่เมื่อเชื่อมโยงกับข้อมูลอื่น ๆ เช่น Prompt pay, True wallet, บัญชีธนาคาร หรืออื่น ๆ แล้วทำให้สามารถระบุตัวบุคคลได้ ก็หมายความว่ามันเป็น "ข้อมูลส่วนบุคคล"
- แต่ในกรณีที่เบอร์โทรนั้นไม่สามารถเชื่อมโยงได้ว่าเป็นใคร มันก็ไม่ใช่ข้อมูลส่วนบุคคล เช่น เบอร์โทรบริษัทฯ แต่ก็อาจมีกรณีที่เบอร์โทรสำนักงาน หรือเบอร์โทรศัพท์ของบริษัท เป็นเบอร์ประจำห้องส่วนตัว เบอร์นี้ก็จะกลายเป็นข้อมูลส่วนบุคคลทันที เพราะสามารถระบุตัวบุคคลได้
ดังนั้นโดยสรุป เบอร์โทรศัพท์จะเป็นข้อมูลส่วนบุคคลหรือไม่ ต้องดูบริบทของเบอร์โทรศัพท์นั้น ๆ ด้วย
---
Tuesday, December 12, 2023
PDPA Self Check - ทำครบหรือยัง?
- แต่งตั้งเจ้าหน้าที่คุัมครองข้อมูลส่วนบุคคล (Data Protection Officer | DPO)
- จัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activity | RoPA)
- การแจ้งคำประกาศการประมวลผลข้อมูลส่วนบุคคล (Privacy Notice)
- จัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูล (Security Measure)
- จัดให้มีกระบวนการในการขอใช้สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล
- จัดให้มีกระบวนการในการตอบสนองต่ออุบัติการณ์และการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล (Data Breach Response)
- การจัดทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล (Data Sharing Agreement | DSA) หรือข้อตกลงในการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement | DPA) --- ถ้ามี
- การจัดทำหลักเกณฑ์/ข้อตกลง การคุ้มครองข้อมูลส่วนบุคคล กรณีที่ส่งหรือโอนข้อมูลไปต่างประเทศ (Cross Border Transfer)
- พระราชกฤษฎีกากำหนดลักษณะ กิจการ หรือหน่วยงาน ที่ได้รับการยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางส่วนมาใช้บังคับ
- ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566
- ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นหน่วยงานของรัฐ ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566
- ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565
- ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565
- ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
- ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565
Wednesday, December 6, 2023
Wednesday, June 1, 2022
Tuesday, November 30, 2021
ตัวอย่างแนวทางปฏิบัติเบื้องต้นเพื่อควบคุมข้อมูลส่วนบุคคลในโรงพยาบาล
ตัวอย่างแนวทางปฏิบัติเบื้องต้นในการคุ้มครองข้อมูลส่วนบุคคลในโรงพยาบาลฉบับย่อ เพื่อสื่อสารกับเจ้าหน้าที่ เพื่อให้เกิดความเข้าใจและดำเนินการไปในทิศทางเดียวกัน
นิยาม
“ข้อมูลส่วนบุคคล”
หมายถึง
ข้อมูลเกี่ยวกับบุคคลที่สามารถทำให้ระบุถึงตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม
แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“บุคลากร” หมายถึง บุคลากรทุกระดับชั้นของโรงพยาบาล ตั้งแต่ผู้บริหาร เจ้าหน้าที่ ลูกจ้าง พนักงานสัญญาจ้าง พนักงานโครงการ และบุคคลภายไต้การควบคุมดูแลของหน่วยงานตามสัญญาจ้าง
แนวทางการดำเนินการ
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยบุคลากร ให้พิจารณาดำเนินการตามแนวทางปฏิบัติเพื่อควบคุมข้อมูลส่วนบุคคล ดังนี้
1. การเก็บรวบรวมข้อมูล
ในการเก็บข้อมูลส่วนบุคคลที่อยู่นอกเหนือจากพันธะกิจการให้บริการทางการแพทย์ฯ ตามที่ได้ประกาศไว้ในคำประกาศ (Privacy Notice) บุคลากรจะต้อง
1.1 แจ้งให้เจ้าของข้อมูลรับทราบเกี่ยวกับ (1) วัตถุประสงค์ความจำเป็นของการใช้ข้อมูล (2) ผลกระทบ (3) ระยะเวลาการจัดเก็บ (4) ช่องทางในการติดต่อเพื่อขอยกเลิกการใช้งานข้อมูลส่วนบุคคล
1.2 ไม่เก็บข้อมูลส่วนบุคคลที่เป็นข้อมูลละเอียดอ่อนโดยไม่จำเป็น (ข้อมูลสุขภาพ, ข้อมูลความเชื่อ, ศาสนา,เชื้อชาติ, ความคิดเห็นทางการเมือง, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลชีวภาพ)
1.3 การเก็บข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมจากเจ้าของข้อมูล ในกรณีข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน จะต้องจัดทำเอกสารเพื่อขอความยินยอมอย่างชัดแจ้ง
1.4 ไม่อนุญาติให้เก็บ/รวบรวมข้อมูลส่วนบุคคลที่ไม่ทราบแหล่งที่มา, ไม่ได้มาจากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่เป็นข้อมูลที่ได้รับการยกเว้นตามมาตรา 24 หรือ 26
1.5 เก็บข้อมูลได้เท่าที่จำเป็น (มีเหตุผลการใช้ข้อมูล)
1.6 กำหนดระยะเวลาการใช้งานข้อมูล
1.7 กำหนดรูปแบบการใช้ข้อมูล และวิธีการจัดเก็บข้อมูล
1.8 กำหนดผู้รับผิดชอบข้อมูล
1.9 กำหนดช่องทางในการติดต่อเพื่อขอยกเลิกการใช้งานข้อมูลส่วนบุคคล
1.10 กำหนดให้เอกสารที่มีข้อมูลส่วนบุคคล เป็นเอกสารลับเข้าถึงได้เฉพาะผู้ที่เกี่ยวข้อง
2. การนำข้อมูลไปใช้/การวิเคราะห์ข้อมูล
2.1 ข้อมูลผู้ป่วย
2.1.1 ไม่เข้าถึง ใช้งาน วิเคราะห์ผล ข้อมูลผู้ป่วยที่ไม่ใช่ผู้ป่วยที่อยู่ภายใต้การรักษาพยาบาลของตน
2.1.2 ในการเข้าถึง ใช้งาน วิเคราะห์ผล ข้อมูลผู้ป่วยเพื่อการวิจัยงานวิจัย นั้นจะต้องผ่านการรับรองจากคณะกรรมการจริยธรรมการวิจัยในคน (IRB) และได้รับอนุญาตจากผู้อำนวยการฯ
2.1.3 การเข้าถึง ใช้งาน วิเคราะห์ผล ข้อมูลสถิติผู้ป่วยเพื่อการดำเนินงานหรือเพื่อการพัฒนากระบวนการทำงาน จะต้องสอดคล้องกับพันธกิจของหน่วยงาน และให้ใช้เท่าที่จำเป็น มีกำหนดระยะเวลาการรวบรวมวิเคราะห์ผล และจัดให้มีวิธีการจัดเก็บข้อมูลที่เหมาะสม
2.2 ข้อมูลส่วนบุคคล
2.1 ไม่ประมวล/วิเคราะห์ข้อมูลส่วนบุคคลที่ไม่ทราบแหล่งที่มา, ไม่ได้มาจากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่เป็นข้อมูลที่ได้รับการยกเว้นตามมาตรา 24 หรือ 26
3. การเผยแพร่ข้อมูลส่วนบุคคล
3.1 ไม่เผยแพร่ข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม หรือเผยแพร่ตามวัตถุประสงค์อื่นตามที่ได้แจ้งกับเจ้าของข้อมูล
3.2 การเผยแพร่ข้อมูลต้องทำในภาพรวมและไม่สามารถระบุผู้เป็นเจ้าของข้อมูลแต่ละคนได้
Monday, November 15, 2021
สิทธิ์ของเจ้าของข้อมูล (Data subject rights)
สิทธิ์ในการดำเนินการตามกฏหมายคุ้มครองข้อมูลส่วนบุคคล ดังนี้
- สิทธิ์ในการขอถอนความยินยอม (Right to withdraw consent)
- สิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคล (Right to access)
- สิทธิ์ในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to rectification)
- สิทธิ์ในการให้โอนย้ายข้อมูลส่วนบุคคล (Right to data portability)
- สิทธิ์ในการขอให้ลบข้อมูลส่วนบุคคล (Right to erasure)
- สิทธิ์ในการห้ามมิให้ประมวลผลข้อมูลส่วนบุคคล (Right to restriction of processing)
- สิทธิ์ในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to object)
- สิทธิ์ในการร้องเรียน (Right to lodge a complaint)
Tuesday, February 9, 2021
ผู้เยาว์ ตามประมวลกฎหมายแพ่งและพาณิชย์
มาตรา 19 บุคคลย่อมพ้นจากภาวะผู้เยาว์และบรรลุนิติภาวะเมื่อมีอายุยี่สิบปีบริบูรณ์
มาตรา 20 ผู้เยาว์ย่อมบรรลุนิติภาวะเมื่อทำการสมรส หากการสมรสนั้นได้ทำตามบทบัญญัติมาตรา 1448
มาตรา 21 ผู้เยาว์จะทำนิติกรรมใด ๆ ต้องได้รับความยินยอมของผู้แทนโดยชอบธรรมก่อน การใด ๆ ที่ผู้เยาว์ได้ทำลงปราศจากความยินยอมเช่นว่านั้นเป็นโมฆียะ เว้นแต่จะบัญญัติไว้เป็นอย่างอื่น
มาตรา 22 ผู้เยาว์อาจทำการใด ๆ ได้ทั้งสิ้น หากเป็นเพียงเพื่อจะได้ไปซึ่งสิทธิอันใดอันหนึ่ง หรือเป็นการเพื่อให้หลุดพ้นจากหน้าที่อันใดอันหนึ่ง
มาตรา 23 ผู้เยาว์อาจทำการใด ๆ ได้ทั้งสิ้น ซึ่งเป็นการต้องทำเองเฉพาะตัว
มาตรา 24 ผู้เยาว์อาจทำการใด ๆ ได้ทั้งสิ้น ซึ่งเป็นการสมแก่ฐานานุรูปแห่งตนและเป็นการอันจำเป็นในการดำรงชีพตามสมควร
มาตรา 25 ผู้เยาว์อาจทำพินัยกรรมได้เมื่ออายุสิบห้าปีบริบูรณ์
มาตรา 26 ถ้าผู้แทนโดยชอบธรรมอนุญาตให้ผู้เยาว์จำหน่ายทรัพย์สินเพื่อการอันใดอันหนึ่งอันได้ระบุไว้ ผู้เยาว์จะจำหน่ายทรัพย์สินนั้นเป็นประการใดภายในขอบของการที่ระบุไว้นั้นก็ทำได้ตามใจสมัคร อนึ่ง ถ้าได้รับอนุญาตให้จำหน่ายทรัพย์สินโดยมิได้ระบุว่าเพื่อการอันใดผู้เยาว์ก็จำหน่ายได้ตามใจสมัคร
มาตรา 27 ผู้แทนโดยชอบธรรมอาจให้ความยินยอมแก่ผู้เยาว์ในการประกอบธุรกิจทางการค้าหรือธุรกิจอื่น หรือในการทำสัญญาเป็นลูกจ้างในสัญญาจ้างแรงงานได้ ในกรณีที่ผู้แทนโดยชอบธรรมไม่ให้ความยินยอมโดยไม่มีเหตุอันสมควร ผู้เยาว์อาจร้องขอต่อศาลให้สั่งอนุญาตได้
ในความเกี่ยวพันกับการประกอบธุรกิจหรือการจ้างแรงงานตามวรรคหนึ่งให้ผู้เยาว์มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้ว
ถ้าการประกอบธุรกิจหรือการทำงานที่ได้รับความยินยอมหรือที่ได้รับอนุญาตตามวรรคหนึ่ง ก่อให้เกิดความเสียหายถึงขนาดหรือเสื่อมเสียแก่ผู้เยาว์ ผู้แทนโดยชอบธรรมอาจบอกเลิกความยินยอมที่ได้ให้แก่ผู้เยาว์เสียได้หรือในกรณีที่ศาลอนุญาต ผู้แทนโดยชอบธรรมอาจร้องขอต่อศาลให้เพิกถอนการอนุญาตที่ได้ให้แก่ผู้เยาว์นั้นเสียได้
ในกรณีที่ผู้แทนโดยชอบธรรมบอกเลิกความยินยอมโดยไม่มีเหตุอันสมควรผู้เยาว์อาจร้องขอต่อศาลให้เพิกถอนการบอกเลิกความยินยอมของผู้แทนโดยชอบธรรมได้
การบอกเลิกความยินยอมโดยผู้แทนโดยชอบธรรมหรือการเพิกถอนการอนุญาตโดยศาล ย่อมทำให้ฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วของผู้เยาว์สิ้นสุดลง แต่ไม่กระทบกระเทือนการใดๆ ที่ผู้เยาว์ได้กระทำไปแล้วก่อนมีการบอกเลิกความยินยอมหรือเพิกถอนการอนุญาต