เราอาจจะได้ยินคำว่า PDPA กันมาหลายครั้ง อย่างน้อยเราก็รู้สิทธิขั้นต้นว่าคือการที่กฏหมายช่วยปกป้องข้อมูลสิทธิส่วนบุคคล หากช่วงนี้ใครไปพบแพทย์จะต้องเจอการเซ็นเอกสารเพื่อขออนุญาต PDPA เช่นกัน
วันนี้ เรามาดูรายละเอียดกันว่า กฏหมาย PDPA ที่วงการแพทย์ขออนุญาตเราทุกครั้งก่อนเข้าพบหมอนั้น มีความคุ้มครองในเรื่องอะไรบ้าง แล้วข้อควรระวังก่อนเซ็นเอกสารที่ผู้ป่วยควรรู้
PDPA หรือ Personal Data Protection Act B.E 2562 เป็น พ.ร.บ ว่าด้วยการให้สิทธิ์กับเจ้าของข้อมูลส่วนบุคคลถูกร่างขึ้น เพื่อสร้างมาตรฐานการรักษาข้อมูลส่วนบุคคลให้ปลอดภัยและนำไปใช้ให้ถูกวัตถุประสงค์ตามคำยินยอมที่เจ้าของข้อมูลส่วนบุคคลอนุญาต
คำว่าข้อมูลส่วนบุคคลนั้น จะถูกแบ่งออกเป็น 2 ประเภท คือ ข้อมูลส่วนบุคคล กับ ข้อมูลส่วนบุคคลที่อ่อนไหว
สำหรับผู้ที่มีส่วนเกี่ยวข้องกับกฏหมาย PDPA จะแบ่งเป็น 3 ประเภท
การขอความยินยอม
การขออนุญาตหรือคำยินยอมในการเก็บรวบรวมข้อมูลส่วนบุคคลหรือนำข้อมูลส่วนบุคคลไปใช้ หรือนำไปเปิดเผยไม่ว่าจะใช้ในวัตถุประสงค์ใดก็ตาม
RoPA หรือ Record of Processing Activity
การบันทึกกิจกรรมการประมวลผลขององค์กร ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
อ่านข่าวอื่นๆ เพิ่มเติม
โรงพยาบาล ต้องเข้าใจ PDPA ให้มากขึ้น
ในช่วงชีวิตของทุกคนจะต้องเคยเข้าโรงพยาบาลตั้งแต่เกิดจนตาย ดังนั้นโรงพยาบาลจึงถือว่าเป็นสถานที่ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของคนมาทุกช่วงชีวิต
รวมทั้งโรงพยาบาลถือว่าเป็นศูนย์กลางของข้อมูลขนาดใหญ่ที่เก็บข้อมูลส่วนบุคคลในเรื่องของการรักษา และยังเก็บข้อมูลที่อ่อนไหว เช่น กรุ๊ปเลือด ประวัติการใช้ยา ประวัติเกี่ยวกับประกัน ซึ่งข้อมูลเหล่านี้ เป็นข้อมูลที่สำคัญเพราะระบุตัวตนของบุคคลทั้งทางตรงและทางอ้อม
ดังนั้น โรงพยาบาลจึงถือว่าเป็นหน่วยงานที่ต้องปกป้องข้อมูลรั่วไหลหรือถูกโจรกรรม
พรบ.สุขภาพแห่งชาติ 2550
ย้อนกลับไปอ้างอิงเรื่องความคุ้มครองข้อมูลของคนไข้ที่เข้ารับบริการในโรงพยาบาล จะได้รับความคุ้มครองด้วยพรบ.สุขภาพแห่งชาติ พ.ศ.2550 ตามมาตรา 7
“ข้อมูลสุขภาพส่วนบุคคลเป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยในประการที่น่าจะทำให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดนตรง หรือมีกฎหมายบัญญัติเฉพาะให้ต้องเปิดเผย”
ความหมายของข้อมูลตามกฏหมาย PDPA จะแบ่งเป็น
หากมีการส่งต่อข้อมูลกันระหว่างโรงพยาบาล จะมีการสลับตำแหน่งกัน เช่น โรงพยาบาลที่รับเคสคนไข้เป็น Data Controller โรงพยาบาลที่รับเคสต่อ จะกลายเป็น Data Processor ทันที
สิ่งที่โรงพยาบาลต้องทำตาม PDPA
การทำ PDPA ในส่วนของโรงพยาบาลจำเป็นต้องทำอย่างครอบคลุมและรอบคอบ ทีมที่รับผิดชอบเรื่องข้อมูลจึงต้องใส่ใจและชัดเจนเพื่อป้องกันการรั่วไหลของข้อมูล
ที่มา : t-reg, แพทยสภา, พระราชบัญญัติ, สถาบันสิรินธรเพื่อการฟื้นฟูสมรรถภาพทางการแพทย์แห่งชาติ