การเปิดเผยข้อมูลสุขภาพให้ฝ่ายกฎหมายพิจารณาเมื่อเกิดกรณีพิพาท ระหว่างโรงพยาบาล และผู้มารับบริการ

 คำพิพากษาศาลฎีกาที่ 4632/2565 

ตามมาตรา 7 แห่ง พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 แสดงให้เห็นว่า แม้กฎหมายบัญญัติยืนยันสถานะข้อมูลด้านสุขภาพเป็นความลับส่วนบุคคล ซึ่งผู้ที่รู้ข้อมูลหรือปฏิบัติงานเกี่ยวข้องกับข้อมูลดังกล่าวต้องให้ความสำคัญต่อการรักษาข้อมูลดังกล่าวให้เป็นความลับและห้ามเปิดเผย เว้นแต่จะเป็นไปเพื่อประโยชน์ในการตรวจรักษาตามความประสงค์ของเจ้าของข้อมูล หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย ทั้งยังไม่ให้อ้างบทบัญญัติแห่งกฎหมายว่าด้วยข้อมูลข่าวสารของทางราชการหรือกฎหมายอื่นเพื่อขอข้อมูลก็ตาม แต่เมื่อได้ความว่า ภายหลังจากโจทก์ผู้เป็นเจ้าของข้อมูลเข้ารับการรักษากับจำเลยที่ 1 ที่โรงพยาบาลของจำเลยที่ 4 แล้ว โจทก์ได้ไปรักษาตัวที่โรงพยาบาลอื่น และการมาขอข้อมูลการรักษาของโจทก์จากจำเลยที่ 4 ได้มีการเรียกร้องค่าเสียหายเข้ามาด้วย ซึ่งอยู่ในขั้นตอนการไกล่เกลี่ยกัน อันเป็นการแสดงว่ามีข้อพิพาทเกิดขึ้นแล้ว จำเลยที่ 1 ซึ่งเป็นผู้ตรวจรักษาโจทก์ บันทึกและล่วงรู้ข้อมูลด้านสุขภาพของโจทก์ และจำเลยที่ 4 ผู้มีหน้าที่เก็บรักษาสิ่งที่บันทึกข้อมูลด้านสุขภาพของโจทก์ ได้นำข้อมูลด้านสุขภาพ คือ เวชระเบียนและคลิปวีดีโอการผ่าตัดเข้าหารือโดยเปิดเผยข้อมูลดังกล่าวในการประชุมกับพนักงานฝ่ายกฎหมายของจำเลยที่ 4 ซึ่งเป็นบุคลากรภายในที่เกี่ยวข้องเพื่อจะให้ฝ่ายกฎหมายทราบข้อเท็จจริงที่เกิดขึ้นและกลั่นกรองงานภายในโรงพยาบาลของจำเลยที่ 4 ตามปกติ เพื่อแก้ไขปัญหา เมื่อฝ่ายกฎหมายของจำเลยที่ 4 เป็นบุคลากรภายในที่เกี่ยวข้องกับเรื่องดังกล่าว ไม่ถือว่าเป็นบุคคลภายนอก แต่เป็นการเปิดเผยเพื่อให้พนักงานฝ่ายกฎหมายทราบข้อเท็จจริงตามปกติเมื่อเกิดข้อพิพาทขึ้น จึงไม่ใช่เป็นการเปิดเผยข้อมูลตามความหมายของบทบัญญัติตามมาตรา 7 จึงไม่เป็นการกระทำโดยละเมิดต่อโจทก์

ฉบับเต็ม

https://drive.google.com/file/d/1dXl2J3mab9mS7A4uH7rjUFTVIwbTj8PK/view?usp=sharing

ที่มา 

• สืบค้นฎีกา 2015 (supremecourt.or.th)

DPA or DSA or NDA?

คำถามที่มักถูกถามเกี่ยวกับการรักษาความลับของข้อมูลกรณีที่มีการจ้าง Vendor หรือมีการแลกเปลี่ยนข้อมูลกับหน่วยงานภายนอก มันจะต้องทำอะไร  DPA or DSA or NDA?

1. กรณีการให้หน่วยงานภายนอกประมวลข้อมูลประเภทลับขึ้นไป แต่ไม่รวมถึงข้อมูลส่วนบุคคล

> กำหนดการรักษาความลับในเอกสารสัญญา/TOR 

2. กรณีการให้หน่วยงานภายนอกประมวลผลข้อมูลส่วนบุคคล (Controller - Processor)
   > ให้จัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (DPA) *มาตรา 40 พรบ.คุ้มครองข้อมูลส่วนบุคคล

3. กรณีที่มีการแลกเปลี่ยนการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน (Controller - Controller)
   > ให้จัดทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล (DSA) *** ไม่ได้มีข้อบังคับตามกฎหมาย แต่ทำไว้ก็ดี

4. กรณีบุคคลภายนอกที่มีความเสี่ยงในการเข้าถึงข้อมูลประเภทลับขึ้นไป (นักศึกษาฝึกงาน, จิตอาสา, ผู้เยี่ยมสำรวจ, ฯลฯ)

> ให้ลงนามข้อตกลงไม่เปิดเผยความลับ (Non-Disclosure Agreement) *บุคลากรภายในจะกำหนดเป็นนโยบาย หรือจะให้เซ็นต์แล้วแต่องค์กรพิจารณา

เบอร์โทรศัพท์เป็นข้อมูลส่วนบุคคลหรือไม่?

https://copilot.microsoft.com/images/...

ก่อนอื่น ต้องเข้าใจก่อนว่า ข้อมูลส่วนบุคคล คืออะไร?

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 6 ได้ให้นิยามของ ข้อมูลส่วนบุคคลไว้ว่า

“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

 

ดังนั้น เมื่อจะพิจารณาว่าเบอร์โทรศัพท์เป็นข้อมูลส่วนบุคคลหรือไม่? ต้องพิจารณาว่า เบอร์โทรศัพท์ทำให้สามารถระบุตัวบุคคลได้หรือไม่? ไม่ว่าจะเป็นทางตรงหรือทางอ้อม .... 

คำตอบคือ ... เป็นไปได้ทั้งสองแบบ

เพราะ?

• ข้อมูลเบอร์โทรศัพท์ที่เมื่อเชื่อมโยงกับข้อมูลอื่น ๆ เช่น Prompt pay, True wallet, บัญชีธนาคาร หรืออื่น ๆ แล้วทำให้สามารถระบุตัวบุคคลได้ ก็หมายความว่ามันเป็น "ข้อมูลส่วนบุคคล"
• แต่ในกรณีที่เบอร์โทรนั้นไม่สามารถเชื่อมโยงได้ว่าเป็นใคร มันก็ไม่ใช่ข้อมูลส่วนบุคคล เช่น เบอร์โทรบริษัทฯ แต่ก็อาจมีกรณีที่เบอร์โทรสำนักงาน หรือเบอร์โทรศัพท์ของบริษัท เป็นเบอร์ประจำห้องส่วนตัว เบอร์นี้ก็จะกลายเป็นข้อมูลส่วนบุคคลทันที เพราะสามารถระบุตัวบุคคลได้

ดังนั้นโดยสรุป เบอร์โทรศัพท์จะเป็นข้อมูลส่วนบุคคลหรือไม่ ต้องดูบริบทของเบอร์โทรศัพท์นั้น ๆ ด้วย

---

• https://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF

PDPA Self Check - ทำครบหรือยัง?

PDPA Self Check

1. แต่งตั้งเจ้าหน้าที่คุัมครองข้อมูลส่วนบุคคล (Data Protection Officer | DPO)
2. จัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activity | RoPA)
3. การแจ้งคำประกาศการประมวลผลข้อมูลส่วนบุคคล (Privacy Notice)
4. จัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูล (Security Measure)
5. จัดให้มีกระบวนการในการขอใช้สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล
6. จัดให้มีกระบวนการในการตอบสนองต่ออุบัติการณ์และการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล (Data Breach Response)
7. การจัดทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล (Data Sharing Agreement | DSA) หรือข้อตกลงในการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement | DPA) --- ถ้ามี
8. การจัดทำหลักเกณฑ์/ข้อตกลง การคุ้มครองข้อมูลส่วนบุคคล กรณีที่ส่งหรือโอนข้อมูลไปต่างประเทศ (Cross Border Transfer)

---

ประกาศที่เกี่ยวข้อง:

• พระราชกฤษฎีกากำหนดลักษณะ กิจการ หรือหน่วยงาน ที่ได้รับการยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางส่วนมาใช้บังคับ
• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566 
• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นหน่วยงานของรัฐ ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566
• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565
• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565
• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565

Update ประกาศอื่น ๆ > กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม MDES

CCTV Notice -- ตัวอย่างการจัดทำประกาศความเป็นส่วนตัวสำหรับกล้องโทรทัศน์วงจรปิด

 

คำประกาศความเป็นส่วนตัว(Privacy notice) บริการทางการแพทย์ฯ --- ศิริราช

 

---

Link: https://si.mahidol.ac.th/th/privacy-notice-for-patients.asp

ตัวอย่างแนวทางปฏิบัติเบื้องต้นเพื่อควบคุมข้อมูลส่วนบุคคลในโรงพยาบาล

ตัวอย่างแนวทางปฏิบัติเบื้องต้นในการคุ้มครองข้อมูลส่วนบุคคลในโรงพยาบาลฉบับย่อ เพื่อสื่อสารกับเจ้าหน้าที่ เพื่อให้เกิดความเข้าใจและดำเนินการไปในทิศทางเดียวกัน

นิยาม

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลที่สามารถทำให้ระบุถึงตัวบุคคลได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“บุคลากร” หมายถึง บุคลากรทุกระดับชั้นของโรงพยาบาล ตั้งแต่ผู้บริหาร เจ้าหน้าที่ ลูกจ้าง พนักงานสัญญาจ้าง พนักงานโครงการ และบุคคลภายไต้การควบคุมดูแลของหน่วยงานตามสัญญาจ้าง

แนวทางการดำเนินการ

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยบุคลากร ให้พิจารณาดำเนินการตามแนวทางปฏิบัติเพื่อควบคุมข้อมูลส่วนบุคคล ดังนี้

1. การเก็บรวบรวมข้อมูล

          ในการเก็บข้อมูลส่วนบุคคลที่อยู่นอกเหนือจากพันธะกิจการให้บริการทางการแพทย์ฯ ตามที่ได้ประกาศไว้ในคำประกาศ (Privacy Notice) บุคลากรจะต้อง

1.1  แจ้งให้เจ้าของข้อมูลรับทราบเกี่ยวกับ (1) วัตถุประสงค์ความจำเป็นของการใช้ข้อมูล (2) ผลกระทบ (3) ระยะเวลาการจัดเก็บ (4) ช่องทางในการติดต่อเพื่อขอยกเลิกการใช้งานข้อมูลส่วนบุคคล

1.2 ไม่เก็บข้อมูลส่วนบุคคลที่เป็นข้อมูลละเอียดอ่อนโดยไม่จำเป็น (ข้อมูลสุขภาพ, ข้อมูลความเชื่อ, ศาสนา,เชื้อชาติ, ความคิดเห็นทางการเมือง, พฤติกรรมทางเพศ, ประวัติอาชญากรรม, ข้อมูลชีวภาพ)

1.3 การเก็บข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมจากเจ้าของข้อมูล ในกรณีข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน จะต้องจัดทำเอกสารเพื่อขอความยินยอมอย่างชัดแจ้ง

1.4  ไม่อนุญาติให้เก็บ/รวบรวมข้อมูลส่วนบุคคลที่ไม่ทราบแหล่งที่มา, ไม่ได้มาจากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่เป็นข้อมูลที่ได้รับการยกเว้นตามมาตรา 24 หรือ 26

1.5  เก็บข้อมูลได้เท่าที่จำเป็น (มีเหตุผลการใช้ข้อมูล)

1.6  กำหนดระยะเวลาการใช้งานข้อมูล

1.7    กำหนดรูปแบบการใช้ข้อมูล และวิธีการจัดเก็บข้อมูล

1.8    กำหนดผู้รับผิดชอบข้อมูล

1.9    กำหนดช่องทางในการติดต่อเพื่อขอยกเลิกการใช้งานข้อมูลส่วนบุคคล

1.10  กำหนดให้เอกสารที่มีข้อมูลส่วนบุคคล เป็นเอกสารลับเข้าถึงได้เฉพาะผู้ที่เกี่ยวข้อง

 

2. การนำข้อมูลไปใช้/การวิเคราะห์ข้อมูล

2.1 ข้อมูลผู้ป่วย

2.1.1  ไม่เข้าถึง ใช้งาน วิเคราะห์ผล ข้อมูลผู้ป่วยที่ไม่ใช่ผู้ป่วยที่อยู่ภายใต้การรักษาพยาบาลของตน  

2.1.2 ในการเข้าถึง ใช้งาน วิเคราะห์ผล ข้อมูลผู้ป่วยเพื่อการวิจัยงานวิจัย นั้นจะต้องผ่านการรับรองจากคณะกรรมการจริยธรรมการวิจัยในคน (IRB) และได้รับอนุญาตจากผู้อำนวยการฯ

2.1.3  การเข้าถึง ใช้งาน วิเคราะห์ผล ข้อมูลสถิติผู้ป่วยเพื่อการดำเนินงานหรือเพื่อการพัฒนากระบวนการทำงาน จะต้องสอดคล้องกับพันธกิจของหน่วยงาน และให้ใช้เท่าที่จำเป็น มีกำหนดระยะเวลาการรวบรวมวิเคราะห์ผล และจัดให้มีวิธีการจัดเก็บข้อมูลที่เหมาะสม

2.2 ข้อมูลส่วนบุคคล

2.1  ไม่ประมวล/วิเคราะห์ข้อมูลส่วนบุคคลที่ไม่ทราบแหล่งที่มา, ไม่ได้มาจากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่เป็นข้อมูลที่ได้รับการยกเว้นตามมาตรา 24 หรือ 26

 

3. การเผยแพร่ข้อมูลส่วนบุคคล

3.1  ไม่เผยแพร่ข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม หรือเผยแพร่ตามวัตถุประสงค์อื่นตามที่ได้แจ้งกับเจ้าของข้อมูล

3.2  การเผยแพร่ข้อมูลต้องทำในภาพรวมและไม่สามารถระบุผู้เป็นเจ้าของข้อมูลแต่ละคนได้

สิทธิ์ของเจ้าของข้อมูล (Data subject rights)

สิทธิ์ในการดำเนินการตามกฏหมายคุ้มครองข้อมูลส่วนบุคคล ดังนี้

1. สิทธิ์ในการขอถอนความยินยอม (Right to withdraw consent)
2. สิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคล (Right to access)
3. สิทธิ์ในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to rectification)
4. สิทธิ์ในการให้โอนย้ายข้อมูลส่วนบุคคล (Right to data portability)
5. สิทธิ์ในการขอให้ลบข้อมูลส่วนบุคคล (Right to erasure)
6. สิทธิ์ในการห้ามมิให้ประมวลผลข้อมูลส่วนบุคคล (Right to restriction of processing)
7. สิทธิ์ในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to object)
8. สิทธิ์ในการร้องเรียน (Right to lodge a complaint)

ผู้เยาว์ ตามประมวลกฎหมายแพ่งและพาณิชย์

มาตรา 19 บุคคลย่อมพ้นจากภาวะผู้เยาว์และบรรลุนิติภาวะเมื่อมีอายุยี่สิบปีบริบูรณ์

มาตรา 20 ผู้เยาว์ย่อมบรรลุนิติภาวะเมื่อทำการสมรส หากการสมรสนั้นได้ทำตามบทบัญญัติมาตรา 1448

มาตรา 21 ผู้เยาว์จะทำนิติกรรมใด ๆ ต้องได้รับความยินยอมของผู้แทนโดยชอบธรรมก่อน การใด ๆ ที่ผู้เยาว์ได้ทำลงปราศจากความยินยอมเช่นว่านั้นเป็นโมฆียะ เว้นแต่จะบัญญัติไว้เป็นอย่างอื่น

มาตรา 22 ผู้เยาว์อาจทำการใด ๆ ได้ทั้งสิ้น หากเป็นเพียงเพื่อจะได้ไปซึ่งสิทธิอันใดอันหนึ่ง หรือเป็นการเพื่อให้หลุดพ้นจากหน้าที่อันใดอันหนึ่ง

มาตรา 23 ผู้เยาว์อาจทำการใด ๆ ได้ทั้งสิ้น ซึ่งเป็นการต้องทำเองเฉพาะตัว

มาตรา 24 ผู้เยาว์อาจทำการใด ๆ ได้ทั้งสิ้น ซึ่งเป็นการสมแก่ฐานานุรูปแห่งตนและเป็นการอันจำเป็นในการดำรงชีพตามสมควร

มาตรา 25 ผู้เยาว์อาจทำพินัยกรรมได้เมื่ออายุสิบห้าปีบริบูรณ์

มาตรา 26 ถ้าผู้แทนโดยชอบธรรมอนุญาตให้ผู้เยาว์จำหน่ายทรัพย์สินเพื่อการอันใดอันหนึ่งอันได้ระบุไว้ ผู้เยาว์จะจำหน่ายทรัพย์สินนั้นเป็นประการใดภายในขอบของการที่ระบุไว้นั้นก็ทำได้ตามใจสมัคร อนึ่ง ถ้าได้รับอนุญาตให้จำหน่ายทรัพย์สินโดยมิได้ระบุว่าเพื่อการอันใดผู้เยาว์ก็จำหน่ายได้ตามใจสมัคร

มาตรา 27 ผู้แทนโดยชอบธรรมอาจให้ความยินยอมแก่ผู้เยาว์ในการประกอบธุรกิจทางการค้าหรือธุรกิจอื่น หรือในการทำสัญญาเป็นลูกจ้างในสัญญาจ้างแรงงานได้ ในกรณีที่ผู้แทนโดยชอบธรรมไม่ให้ความยินยอมโดยไม่มีเหตุอันสมควร ผู้เยาว์อาจร้องขอต่อศาลให้สั่งอนุญาตได้

     ในความเกี่ยวพันกับการประกอบธุรกิจหรือการจ้างแรงงานตามวรรคหนึ่งให้ผู้เยาว์มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้ว

     ถ้าการประกอบธุรกิจหรือการทำงานที่ได้รับความยินยอมหรือที่ได้รับอนุญาตตามวรรคหนึ่ง  ก่อให้เกิดความเสียหายถึงขนาดหรือเสื่อมเสียแก่ผู้เยาว์ ผู้แทนโดยชอบธรรมอาจบอกเลิกความยินยอมที่ได้ให้แก่ผู้เยาว์เสียได้หรือในกรณีที่ศาลอนุญาต  ผู้แทนโดยชอบธรรมอาจร้องขอต่อศาลให้เพิกถอนการอนุญาตที่ได้ให้แก่ผู้เยาว์นั้นเสียได้

      ในกรณีที่ผู้แทนโดยชอบธรรมบอกเลิกความยินยอมโดยไม่มีเหตุอันสมควรผู้เยาว์อาจร้องขอต่อศาลให้เพิกถอนการบอกเลิกความยินยอมของผู้แทนโดยชอบธรรมได้

     การบอกเลิกความยินยอมโดยผู้แทนโดยชอบธรรมหรือการเพิกถอนการอนุญาตโดยศาล  ย่อมทำให้ฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วของผู้เยาว์สิ้นสุดลง แต่ไม่กระทบกระเทือนการใดๆ ที่ผู้เยาว์ได้กระทำไปแล้วก่อนมีการบอกเลิกความยินยอมหรือเพิกถอนการอนุญาต