PDPA กับข้อมูลสุขภาพ: สิ่งที่คลินิกต้องรู้ในปี 2568
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) มีผลบังคับใช้แล้ว คลินิกและโรงพยาบาลต้องปฏิบัติตามอย่างไรเพื่อหลีกเลี่ยงบทลงโทษ
PDPA คืออะไรและทำไมถึงสำคัญกับคลินิก?
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) มีผลบังคับใช้อย่างเต็มรูปแบบตั้งแต่วันที่ 1 มิถุนายน 2565 ข้อมูลสุขภาพถูกจัดเป็น "ข้อมูลอ่อนไหว" ที่ต้องได้รับการคุ้มครองเป็นพิเศษ
คลินิกและโรงพยาบาลที่ฝ่าฝืนมีโทษสูงสุดถึง 5 ล้านบาท หรือจำคุกไม่เกิน 1 ปี
ข้อมูลใดบ้างที่ถือเป็นข้อมูลสุขภาพ?
- ประวัติการรักษาและการวินิจฉัยโรค
- ผลการตรวจเลือดและผลแล็บ
- ภาพ X-ray, MRI, CT Scan
- บันทึกการใช้ยา
- ข้อมูลสุขภาพจิต รวมถึงบันทึกการรักษา TMS
6 สิ่งที่คลินิกต้องทำเพื่อให้สอดคล้องกับ PDPA
1. ขอความยินยอมอย่างชัดเจน
ผู้ป่วยต้องให้ความยินยอมโดยชัดแจ้งก่อนที่คลินิกจะเก็บหรือใช้ข้อมูลสุขภาพ ฟอร์มยินยอมต้องระบุวัตถุประสงค์การใช้ข้อมูลอย่างชัดเจน
2. จัดทำนโยบายความเป็นส่วนตัว
คลินิกต้องมีนโยบายความเป็นส่วนตัวที่เขียนด้วยภาษาที่ผู้ป่วยเข้าใจได้ และแสดงให้เห็นได้ง่าย
3. กำหนดสิทธิ์การเข้าถึงข้อมูล
ไม่ใช่ทุกคนในคลินิกควรเห็นข้อมูลผู้ป่วยทุกคน ระบบควรกำหนดระดับการเข้าถึงตามหน้าที่
4. เข้ารหัสข้อมูลและสำรองข้อมูล
ข้อมูลต้องถูกเก็บในรูปแบบที่เข้ารหัส ทั้งระหว่างการส่งข้อมูลและเมื่อจัดเก็บ
5. มีแผนรับมือเมื่อข้อมูลรั่วไหล
หากเกิดการรั่วไหลของข้อมูล คลินิกต้องแจ้ง PDPC ภายใน 72 ชั่วโมง
6. กำหนดระยะเวลาการเก็บข้อมูล
ข้อมูลที่ไม่จำเป็นต้องถูกลบหรือทำลายตามระยะเวลาที่กำหนด
ระบบ ChivaCare TMS ออกแบบมาเพื่อให้สอดคล้องกับ PDPA ตั้งแต่ต้น พร้อม audit log ครบถ้วน การเข้ารหัสระดับ AES-256 และระบบจัดการความยินยอมที่ใช้งานง่าย
เขียนโดย
ทีมกฎหมาย ChivaCare