สถานพยาบาลต้องขอ “ความยินยอม” ใดบ้าง
สถานพยาบาลเป็นหนึ่งในหน่วยงานที่มีการจัดเก็บข้อมูลหลายประเภท โดยเฉพาะข้อมูลส่วนบุคคล ที่ต้องจัดเก็บเพื่อเป็นหลักฐาน หรือ นำไปใช้ในการประมวลผลเพื่อวัตถุประสงค์ต่าง ๆ ครั้งนี้ Security Pitch จะพาทุกท่านไปดูว่า สถานพยาบาลมีการขอ ความยินยอม ใดบ้าง และในฐานะเจ้าของข้อมูลส่วนบุคคลจะสามารถถอนความยินยอมในภายหลังได้หรือไม่
เนื่องจากสถานพยาบาลมีกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล และกิจกรรมต่าง ๆ ที่ตัองได้รับความยินยอมจากผู้เข้ารับการรักษา จึงต้องมีการขอความยินยอมที่ครอบคลุมในทุก ๆ ด้าน อาทิ
- ความยินยอมในการรับการตรวจและรักษาทั่วไป
- ความยินยอมในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ต่าง ๆ
- ความยินยอมในการรักษาของผู้เยาว์
- ความยินยอมกรณีขอรับบริการการแพทย์ทางไกล (Telemedicine)
- ความยินยอมในการเข้ารับการผ่าตัด
- ความยินยอมในการส่งต่อผู้ป่วยไปรักษายังสถานพยาบาลอื่น
เมื่อสถานพยาบาลมีการขอความยินยอมหลายแบบ จึงเป็นธรรมดาที่ต้องมีการจัดเก็บข้อมูลหลายประเภท โดยหากอ้างอิงจากโรงพยาบาลในประเทศไทย จะเห็นได้ว่าข้อมูลส่วนบุคคลที่สถานพยาบาลจัดเก็บมีทั้งข้อมูลทั่วไป และข้อมูลอ่อนไหว ไม่ว่าจะเป็น
1. ข้อมูลส่วนบุคคลทั่วไป เช่น
- ชื่อ-นามสกุล
- วันเดือนปีเกิด
- เพศ
- สัญชาติ
- ที่อยู่
- หมายเลขโทรศัพท์
- อีเมล
- ข้อมูลติดต่อในกรณีฉุกเฉิน
- เลขประจำตัวประชาชน
- IP Address
- ข้อมูลสิทธิการรักษาพยาบาล ประกันสุขภาพ หรือ ประกันภัย หมายเลขกรมธรรม์
- ข้อมูลรูปภาพ หรือ วิดีโอที่เห็นใบหน้า หรือระบุตัวบุคคลได้
- หมายเลขบัตรเครดิต
2. ข้อมูลส่วนบุคคลที่อ่อนไหว เช่น
- เชื้อซาติ
- ศาสนา
- ข้อมูลพันธุกรรม
- พฤติกรรมทางเพศ
- ข้อมูลสุขภาพ เช่น ประวัติการรักษา หรือผลการตรวจร่างกาย ภาพถ่ายรอยโรค ภาพถ่ายรังสี ผลการวินิจฉัย ประวัติการใช้ยา ใบสั่งยา ใบนัดแพทย์ ใบแจ้งค่ารักษาพยาบาล เป็นต้น
และแม้ข้อมูลส่วนบุคคลบางประเภทจะมีฐานกฎหมายรองรับ เช่น ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest) โดยสถานพยาบาลสามารถนำข้อมูลส่วนบุคคลไปใช้ประมวลผลได้เลย โดยไม่ต้องขอความยินยอม ทั้งนี้ต้องเป็นไปตามข้อยกเว้นในกฎหมาย PDPA มาตรา 24(2) ที่ว่า
“ผู้ควบคุมข้อมูลส่วนบุคคลสามารถจัดเก็บ รวบรวบข้อมูลส่วนบุคคลได้โดยไม่ต้องได้รับความยินยอมก่อน ในกรณีที่ทำเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล และสามารถประมวลผลข้อมูลเกี่ยวกับสุขภาพของบุคคล หรือ ข้อมูลอ่อนไหวของผู้ป่วยได้โดยไม่ต้องขอความยินยอม”
อย่างไรก็ตาม แม้จะนำข้อมูลสุขภาพมาใช้ได้โดยไม่ต้องขอความยินยอมก่อน แต่หากผู้ป่วยกลับมาอยู่ในสภาวะที่สามารถให้ความยินยอมได้ ก็จำเป็นต้องให้ผู้เข้ารับการรักษาลงนามให้ความยินยอมในภายหลังด้วย หรือหากผู้เข้ารับการรักษามีญาติที่มีความเกี่ยวข้องโดยตรงก็สามารถให้ญาติเป็นผู้ให้ ความยินยอม แทนได้
ส่วนในเรื่องการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลเพื่อจัดการ เปลี่ยนแปง คัดค้าน หรือขอให้ลบ ข้อมูลส่วนบุคคล สถานพยาบาลก็ต้องมีช่องทางในการขอใช้สิทธิที่ชัดเจน และสามารถเข้าถึงง่าย ตามที่ระบุไว้ใน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 19 ที่ว่า
“เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้ โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือ สัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้ว โดยชอบตามที่กำหนดไว้ในหมวดนี้”
ขณะที่การยกเลิกให้ความยินยอม ในกรณีที่ผู้เข้ารับการรักษาให้ความยินยอมไปแล้ว และได้รับการรักษาจนหายเป็นปกติ หรือไม่มีกิจที่จะต้องยุ่งเกี่ยวกับสถานพยาบาลนั้น ๆ แล้ว สถานพยายามจะมีระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลไว้ได้ 5 – 10 ปี โดยหากไม่มีการนำข้อมูลเหล่านั้นไปใช้ หรือ ประมวลผล ภายในระยะเวลาดังกล่าว สถานพยาบาลสามารถลบประวัติการรักษา หรือ ข้อมูลส่วนบุคคลต่าง ๆ ได้ทันที ทั้งนี้ขึ้นอยู่กับนโยบายของสถานพยาบาลแต่ละแห่งด้วย
ทราบเช่นนี้แล้ว สถานพยาบาลแห่งไหนที่ยังไม่มีการขอความยินยอมในการจัดเก็บข้อมูลส่วนบุคคลที่ครอบคลุม หรือมีการจัดการข้อมูลส่วนบุคคลอย่างเป็นระบบ ควรต้องรีบวางแผนเพื่อเร่งดำเนินการตามกฎหมาย เพื่อที่ในอนาคตหากเกิดปัญหา หรือกรณีฟ้องร้องขึ้น จะสามารถรับมือและแก้ไขได้ทันท่วงที
Security Pitch มองเห็นความสำคัญของการความปลอดภัย และความเป็นส่วนตัว จึงได้มีการพัฒนา OneFence แพลตฟอร์มบริหารจัดการความปลอดภัยและความเป็นส่วนตัวแบบรวมศูนย์ โดยมีโซลูชัน Privacy Management ที่จะช่วยให้องค์กรของคุณบรรลุเป้าหมาย การปฏิบัติที่สอดคล้องกับกฎหมาย PDPA เพิ่มความเชื่อมั่น และความยั่งยืนให้องค์กรของคุณ ด้วยแพลตฟอร์มด้านความปลอดภัย
เชื่อมั่นในความปลอดภัย เชื่อมั่นใน OneFence
