Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)

1
Privacy & PDPA Awareness Training for
Ramathibodi Residents
นพ.นวนรรน ธีระอัมพรพันธุ์
5 ตุลาคม 2566
http://www.slideshare.net/nawanan

2
2546 แพทยศาสตรบัณฑิต (รามาธิบดีรุ่นที่ 33)
2554 Ph.D. (Health Informatics), Univ. of Minnesota
รองคณบดีฝ่ายปฏิบัติการ
อาจารย์ ภาควิชาระบาดวิทยาคลินิกและชีวสถิติ
คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี
ความสนใจ: Health IT, Social Media, Security & Privacy
nawanan.the@mahidol.ac.th
SlideShare.net/Nawanan
Nawanan Theera-Ampornpunt
Line ID: NawananT
แนะนาตัว นพ.นวนรรน ธีระอัมพรพันธุ์

3
Disclaimer: เป็นความเห็นทางวิชาการส่วนบุคคล
ไม่ผูกพันการทาหน้าที่ในบทบาทใดในปัจจุบัน
หรืออนาคต

4
Outline
• ทาไมเราต้องแคร์เรื่อง Privacy?
• Security & Privacy กับข้อมูลผู้ป่วย
• กฎหมายและแนวปฏิบัติด้าน Privacy ของข้อมูล
ส่วนบุคคล

5
ทาไมเราต้องแคร์
เรื่อง Privacy?

6
ภัย Privacy กับโรงพยาบาล
http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

7
“Green” Organization & Privacy

8
เรื่องเล่าจากรามาธิบดี #1: Public Figure’s Privacy

9
เรื่องเล่าจากรามาธิบดี #1: Public Figure’s Privacy
การเข้าถึงข้อมูลของบุคคลสาธารณะ
ที่มารับการรักษาที่รามาธิบดี
ด้วยความอยากรู้อยากเห็น
โดยไม่มีเหตุผลอันสมควร

10
Security & Privacy
กับข้อมูลผู้ป่วย

11
Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House

12
▪ Privacy: “The ability of an individual or group
to seclude themselves or information about
themselves and thereby reveal themselves
selectively.” (Wikipedia)
▪ Information Security: “Protecting information
and information systems from unauthorized
access, use, disclosure, disruption, modification,
perusal, inspection, recording or destruction”
(Wikipedia)
Security & Privacy

13
▪ Confidentiality (ข้อมูลความลับ)
▪ Integrity (การแก้ไข/ลบ/เพิ่มข้อมูลโดยมิชอบ)
▪ Availability (ระบบล่ม ใช้การไม่ได้)
สิ่งที่เป็นเป้าหมายการโจมตี Security: CIA Triad

14
Line เสี่ยงต่อการละเมิด Privacy ผู้ป่วยได้อย่างไร?
• ข้อความใน Line group มีคนเห็นหลายคน
• ถูก capture หรือ forward ไป share ต่อได้
• ข้อมูล cache ที่เก็บใน mobile device อาจถูกอ่านได้
(เช่น ทาอุปกรณ์หาย หรือเผลอวางเอาไว้)
• ข้อมูลที่ส่งผ่าน network อาจไม่ได้เข้ารหัส
• บริษัท Line เข้าถึงได้ และอาจถูก hack ได้
• มีคนเดา Password ได้
• ส่งผิดกลุ่ม

15
ทางออกสาหรับการ Consult Case ผู้ป่วย
• ใช้ช่องทางอื่นที่ไม่มีการเก็บ record ข้อมูล หากทาได้ ยกเว้นจาเป็น
• ปกปิดชื่อ, HN, เลขที่เตียง หรือข้อมูลที่ระบุตัวตนผู้ป่วยได้ (รวมทั้ง
ในภาพ image) หากไม่มีความจาเป็น (เช่น เพื่อการแลกเปลี่ยน
เรียนรู้)
• แต่กรณีที่จาเป็น เช่น การสื่อสาร consult case ผู้ป่วย การสั่งการ
รักษา ให้ระบุตัวตนของผู้ป่วยเพื่อป้องกันข้อผิดพลาด
• Limit คนที่เข้าถึง (เช่น ไม่คุยเรื่อง case ผู้ป่วยผ่าน Line group
แต่คุยส่วนตัวเท่านั้น)
• ใช้อย่างปลอดภัย (ไม่แชร์ต่อแก่ผู้ไม่เกี่ยวข้อง, Password,
ดูแลอุปกรณ์ไว้กับตัว, ตรวจสอบ malware ฯลฯ)

16
เรื่องเล่าจากชาวพันทิป: Privacy
http://pantip.com/topic/35330409/

17
กฎหมายและแนวปฏิบัติด้าน
Privacy ของข้อมูลส่วนบุคคล

18
หลักจริยธรรมทางการแพทย์ที่เกี่ยวกับ Privacy
• Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย)
• Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย)
• Non-maleficence (หลักการไม่ทาอันตรายต่อผู้ป่วย)
“First, Do No Harm.”

19
Hippocratic Oath
...
What I may see or hear in the course of
treatment or even outside of the treatment
in regard to the life of men, which on no
account one must spread abroad, I will keep
myself holding such things shameful to be
spoken about.
...
http://en.wikipedia.org/wiki/Hippocratic_Oath

20
ตัวอย่างแนวทางการคุ้มครอง Privacy
• Informed consent
• Privacy notice
• Privacy culture
• User awareness building & education
• Organizational policy & regulations
▪ Enforcement
▪ Ongoing privacy & security assessments,
monitoring, and protection

21
เหตุผลในการประกาศใช้
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

22
• หมวด 1 คณะกรรมการคุ้มครอง
ข้อมูลส่วนบุคคล
• หมวด 2 การคุ้มครองข้อมูลส่วน
บุคคล
– ส่วนที่ 1 บททั่วไป
– ส่วนที่ 2 การเก็บรวบรวมข้อมูล
– ส่วนที่ 3 การใช้หรือเปิดเผยข้อมูล
• หมวด 3 สิทธิของเจ้าของข้อมูลส่วน
บุคคล
• หมวด 4 สานักงานคณะกรรมการ
คุ้มครองข้อมูลส่วนบุคคล
• หมวด 5 การร้องเรียน
• หมวด 6 ความรับผิดทางแพ่ง
• หมวด 7 บทกาหนดโทษ
– ส่วนที่ 1 โทษอาญา
– ส่วนที่ 2 โทษทางปกครอง
• บทเฉพาะกาล

23
เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA
1. PDPA ไม่ได้มา “ยกเลิก” กฎหมายอื่นที่
เกี่ยวข้องกับข้อมูลส่วนบุคคล เพียงแต่กาหนด
หลักการเพิ่มเติม เงื่อนไขและหน้าที่ที่ต้อง
ปฏิบัติ และสิทธิที่เจ้าของข้อมูลส่วนบุคคลมี

24
ประมวลกฎหมายอาญา
มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็นเจ้าพนักงาน
ผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร คนจาหน่ายยา นางผดุง
ครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วยในการประกอบอาชีพนั้น แล้ว
เปิดเผยความลับนั้นในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้อง
ระวางโทษจาคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจาทั้งปรับ
ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผยความลับของผู้อื่น
อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น ในประการที่น่าจะเกิดความ
เสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษเช่นเดียวกัน

25
ข้อบังคับแพทยสภา ว่าด้วยการรักษาจริยธรรม
แห่งวิชาชีพเวชกรรม พ.ศ. 2565
วิชาชีพอื่นๆ ด้านสุขภาพ และคณะกรรมการประกอบโรคศิลปะ มีข้อบังคับใน
ทานองเดียวกัน

26
คาประกาศสิทธิและข้อพึงปฏิบัติของผู้ป่วย
7. ผู้ป่วยมีสิทธิได้รับการปกปิดข้อมูลของตนเอง เว้นแต่
ผู้ป่วยจะให้ความยินยอมหรือเป็นการปฏิบัติตามหน้าที่
ของผู้ประกอบวิชาชีพด้านสุขภาพเพื่อประโยชน์โดยตรง
ของผู้ป่วยหรือตามกฎหมาย

27
พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550
มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะ
นาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การ
เปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมาย
เฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจ
หรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่น
เพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้

28
พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540
“เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น”
มาตรา 15 ข้อมูลข่าวสารของราชการที่มีลักษณะอย่างหนึ่งอย่างใดดังต่อไปนี้
หน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐอาจมีคาสั่งมิให้เปิดเผยก็ได้ โดยคานึงถึง
การปฏิบัติหน้าที่ตามกฎหมาย...ประกอบกัน...
(5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคลซึ่งการเปิดเผยจะเป็นการ
รุกล้าสิทธิส่วนบุคคลโดยไม่สมควร
(6) ข้อมูลข่าวสารของราชการที่มีกฎหมายคุ้มครองมิให้เปิดเผย...

29
กฎหมายเฉพาะ
• พ.ร.บ.โรคติดต่อ พ.ศ. 2558

30
• พ.ร.บ.สุขภาพจิต พ.ศ. 2551

31
• พ.ร.บ.สุขภาพจิต พ.ศ. 2551

32
2. PDPA วางหลักการทั่วไปของการเก็บรวบรวม ใช้
และเปิดเผยข้อมูลส่วนบุคคล
เก็บรวบรวม
(Collection)
ใช้ (Use)
เปิดเผย
(Disclosure)
กระบวนการเกี่ยวกับข้อมูลส่วนบุคคล
ประมวลผล (Processing) = เก็บรวบรวม + ใช้ + เปิดเผย (+ จัดเก็บ/เก็บรักษา +
วิเคราะห์ + แสดงผล + ทารายงาน + แก้ไข + ลบ/ทาลาย ฯลฯ)

33
3. ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลเกี่ยวกับบุคคล
ซึ่งทาให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ แบ่งเป็น 2
ประเภท
• ข้อมูลส่วนบุคคลทั่วไป (General/Non-Sensitive
Personal Data)
• ข้อมูลส่วนบุคคลอ่อนไหว/ละเอียดอ่อน (Sensitive
Personal Data)

34
Sensitive
Personal Data
Reference: PDPA ม.26
“ข้อมูลชีวภาพ” ตาม PDPA คือ
Biometric Data (ที่ถูก คือ ข้อมูล
ชีวมาตร/ชีวมิติ) ใน พ.ร.บ. ใช้คาผิด
แต่คาอธิบายใน พ.ร.บ. หมายถึง
Biometric Data

35
4. ใครเป็นใคร ใน PDPA
• Data Subject (เจ้าของข้อมูลฯ)
• Controller (เก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อ
วัตถุประสงค์ในกิจการของตน)
• Processor (ทาตามสั่ง/ในนาม
ของ Controller)

36
5. PDPA กาหนดว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จะต้อง
ทา “เท่าที่จาเป็น” (ตามหลักการ Data Minimization)
• การเก็บรวบรวม ใช้ หรือเปิดเผยเกินความจาเป็น เป็นความเสี่ยงของทั้ง
controller และ data subject
• แต่ไม่ได้แปลว่าถ้าจาเป็นแล้วจะเก็บรวบรวม ใช้ หรือเปิดเผยไม่ได้
• “จาเป็น” -> มี “ฐานทางกฎหมาย” (lawful basis) 1 ใน 7 ฐาน ซึ่งไม่ใช่
ว่าต้องขอความยินยอมก่อนเสมอไป ความยินยอมเป็นเพียง “ฐานทาง
กฎหมาย” (lawful basis) เดียวจากทั้งหมด 7 ฐานเท่านั้น โดยแต่ละฐาน
จะมีเงื่อนไขและสถานการณ์ที่ควรนามาใช้แตกต่างกัน

37
ฐานทางกฎหมายใน PDPA
(กรณีไม่ใช่ข้อมูลส่วนบุคคลที่ sensitive)
1. การจัดทาเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือการ
ศึกษาวิจัยหรือสถิติ (Archiving, Research or Statistics)
2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (Vital Interest)
3. เป็นการจาเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลฯ เป็นคู่สัญญา หรือเพื่อใช้ใน
การดาเนินการตามคาขอก่อนเข้าทาสัญญา (Contractual Performance)
4. เป็นการจาเป็นเพื่อการปฏิบัติหน้าที่ในการดาเนินภารกิจเพื่อประโยชน์สาธารณะ หรือ
ในการใช้อานาจรัฐ (Public Task)
5. เป็นการจาเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย เว้นแต่ประโยชน์ดังกล่าวมี
ความสาคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลฯ
(Legitimate Interest)
6. เป็นการปฏิบัติตามกฎหมาย (Legal Obligation)
7. ได้รับความยินยอม (Consent)

38
ฐานการประมวลผลข้อมูล
(Lawful Basis in PDPA)
สาหรับข้อมูลส่วนบุคคลที่
ไม่ใช่ Sensitive Personal Data

39
สาหรับ Sensitive
Personal Data

40
สาหรับ Sensitive
Personal Data

41
• ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้รับความ
ยินยอมโดยชัดแจ้ง (มาตรา 26)
(1) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่ง
เจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใดก็ตาม
(2) เป็นการดาเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสม
ของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรที่มีวัตถุประสงค์เกี่ยวกับ
การเมือง ศาสนา ปรัชญา หรือสหภาพแรงงานให้แก่สมาชิก ผู้ซึ่งเคยเป็นสมาชิก
หรือผู้ซึ่งมีการติดต่ออย่างสม่าเสมอกับมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหา
กาไรตามวัตถุประสงค์ดังกล่าวโดยไม่ได้เปิดเผยข้อมูลส่วนบุคคลนั้นออกไป
ภายนอกมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรนั้น

42
(3) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของ
เจ้าของข้อมูลส่วนบุคคล
(4) เป็นการจาเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติ
ตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิ
เรียกร้องตามกฎหมาย

43
(5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ
(ก) เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทางาน
ของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม
การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการให้บริการด้าน
สังคมสงเคราะห์ ทั้งนี้ ในกรณีที่ไม่ใช่การปฏิบัติตามกฎหมายและข้อมูลส่วนบุคคลนั้น
อยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้มีหน้าที่รักษาข้อมูลส่วน
บุคคลนั้นไว้เป็นความลับตามกฎหมาย ต้องเป็นการปฏิบัติตามสัญญาระหว่างเจ้าของ
ข้อมูลส่วนบุคคลกับผู้ประกอบวิชาชีพทางการแพทย์

44
(ข) ประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจากโรคติดต่อ
อันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือการควบคุม
มาตรฐานหรือคุณภาพของยา เวชภัณฑ์ หรือเครื่องมือแพทย์ ซึ่งได้จัดให้มีมาตรการที่
เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
โดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่หรือตามจริยธรรมแห่ง
วิชาชีพ

45
(ค) การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการ
เกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจากรถ
หรือการคุ้มครองทางสังคม ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นสิ่งจาเป็นในการ
ปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วนบุคคล
โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของ
เจ้าของข้อมูลส่วนบุคคล

46
(ง) การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะ
อื่น ทั้งนี้ ต้องกระทาเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จาเป็นเท่านั้น และได้
จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของ
ข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกาหนด
(จ) ประโยชน์สาธารณะที่สาคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิ
ขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

47
6. ใน PDPA เราไม่ใช้ “ความยินยอม” (consent) เป็น “เหตุผลแรก” (ฐานแรก) ใน
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล แต่เราจะพิจารณาว่ามีฐานทาง
กฎหมายอื่นที่เข้าได้ก่อนหรือไม่ หากไม่มี จึงค่อยใช้ “ฐานความยินยอม” (Consent
should be the last resort.)
• เหตุผล ฐานความยินยอมตาม PDPA ใช้เมื่อเจ้าของข้อมูลฯ มีความเป็นอิสระในการ
ตัดสินใจ (ไม่ได้ถูกผูกมัดด้วยเงื่อนไขอื่น อยู่ก่อน) และ PDPA วางหลักการเรื่อง
consent ที่มีเงื่อนไขค่อนข้างเยอะ เพื่อรองรับหลักการความเป็นอิสระในการ
ตัดสินใจ
• หมายเหตุ การไม่ใช้ฐานความยินยอมใน PDPA หมายถึงเฉพาะเรื่องการเก็บ
รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล แต่ไม่รวมกรณีที่โรงพยาบาล/แพทย์ ต้อง
ขอ consent ในการลงทะเบียนผู้ป่วย/เข้ารักษา/admit/ทาหัตถการ หรือการทา
วิจัย ซึ่งเป็นไปตามหลักเกณฑ์จริยธรรมในเรื่องนั้น ๆ และนโยบายขององค์กร

49
• ความยินยอม (มาตรา 19)
– ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หาก
เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่ง พ.ร.บ.นี้
หรือกฎหมายอื่นบัญญัติให้กระทาได้
– การขอความยินยอมต้องทาโดยชัดแจ้ง เป็นหนังสือหรือทาโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดย
สภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้
– ในการขอความยินยอม... ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือ
ข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทาให้
เข้าใจผิดในวัตถุประสงค์ดังกล่าว...
– ในการขอความยินยอม...ผู้ควบคุมข้อมูลส่วนบุคคลต้องคานึงอย่างถึงที่สุดในความเป็นอิสระของ
เจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทาสัญญาซึ่งรวมถึงการให้บริการใด ๆ
ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความ
จาเป็นหรือเกี่ยวข้องสาหรับการเข้าทาสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ

50
• ความยินยอม (มาตรา 19)
– เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความ
ยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจากัดสิทธิในการถอนความ
ยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การ
ถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน
บุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตามที่กาหนดไว้ใน
หมวดนี้
– ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด
ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจาก
การถอนความยินยอมนั้น
– การขอความยินยอมที่ไม่เป็นไปตามที่กาหนด ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคค
และไม่ทาให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทาการเก็บรวบรวม ใช้ หรือเปิดเผย

51
7. เมื่อมีเหตุผลความจาเป็น (ฐานทางกฎหมาย) ที่จะเก็บ
รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลแล้ว controller ต้อง
• แจ้ง Privacy Notice แก่เจ้าของข้อมูลฯ ก่อนหรือในขณะ
เก็บรวบรวมข้อมูล
• ใช้ตามวัตถุประสงค์เท่าที่ได้แจ้งไป (ไม่พูดอย่าง ทาอย่าง)
• ถ้าจะเอาข้อมูลที่มีอยู่ไปใช้ในวัตถุประสงค์อื่น ต้องวนลูป
กลับไปวิเคราะห์ฐานทางกฎหมาย และแจ้ง Privacy Notice
ใหม่

52
การแจ้งวัตถุประสงค์และ
รายละเอียดให้เจ้าของข้อมูล
ส่วนบุคคลทราบ
(Privacy Notice)

53
8. ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล controller มีหน้าที่
• ดูแล Security ให้ดี
• มีมาตรการป้องกันไม่ให้ผู้อื่นใช้หรือเปิดเผยข้อมูลโดยมิชอบ
• ลบหรือทาลายข้อมูล เมื่อหมดความจาเป็นในการเก็บ (Data Retention Policy)
• แจ้งเหตุการละเมิดข้อมูล (Breach Notification) ให้ สคส. หรือ data subject ทราบ
• จัดทาบันทึกรายการ (Record of Processing Activities: ROPA) ไว้ให้ตรวจสอบ
• พิจารณาเงื่อนไขการส่งหรือโอนข้อมูลไปต่างประเทศให้สอดคล้องกับ PDPA
• พิจารณาเงื่อนไขการเก็บรวบรวมข้อมูลจากแหล่งอื่น (นอกจาก subject) ให้ถูกต้อง
• ทาสัญญา/ข้อตกลง เป็นคาสั่งที่กาหนดเงื่อนไขการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
ของ processor ที่ประมวลผลข้อมูลตามคาสั่งหรือในนามของ controller
• แต่งตั้ง DPO หากเข้าหลักเกณฑ์ (เช่น process sensitive data หรือมีข้อมูลจานวน

54
Data Controller
Responsibilities
1. Security
2. Preventing Unauthorized
Processing
3. Data Retention
4. Breach Notification
5. Record of Processing
Activities (ROPA)
6. International Data Transfer
7. Secondary Data Collection
8. Data Processing Agreement
(DPA)
9. Data Protection Officer
(DPO)

55
หน้าที่ของ Controller (บางส่วน)

56

57

58
หน้าที่ของ Processor (บางส่วน)

59
หน้าที่ของ Controller & Processor (บางส่วน)

60

61

62
9. Controller ต้องจัดให้มีช่องทางให้เจ้าของข้อมูลฯ ขอใช้สิทธิต่าง ๆ ได้
สิทธิของเจ้าของข้อมูลส่วนบุคคล
• Right to be informed
(Privacy Notice)
• Right of Access
• Right to Data Portability
• Right to Object
• Right to be Forgotten
• Right to Restrict Processing
• Right of Rectification

63
10. ข้อมูลที่เก็บรวบรวมไว้แล้วก่อนกฎหมายบังคับใช้ สามารถ
ใช้ต่อไปได้ตามวัตถุประสงค์เดิม
• ถ้าใช้ฐานความยินยอม ต้องมีช่องทางให้ data subject
ถอนความยินยอมได้
• ข้อมูลที่เก็บรวบรวมหลังจากวันที่กฎหมายบังคับใช้แล้ว ต้อง
ดาเนินการตาม PDPA เต็มรูป
• ถ้านาข้อมูลที่เก็บรวบรวมไว้ก่อนแล้วไปใช้ในวัตถุประสงค์อื่น
(repurpose) ต้องดาเนินการตาม PDPA เต็มรูป

64
Scenario ที่พบบ่อยในทางการแพทย์
A. การรักษาผู้ป่วยฉุกเฉิน
Lawful Basis: Vital Interest
Notes: เมื่อผู้ป่วยรู้ตัวและไม่ได้อยู่ในภาวะฉุกเฉิน ควรพิจารณาแจ้ง Privacy Notice ให้
ทราบ
B. การรักษาผู้ป่วย non-emergency (รวมถึงการปฏิบัติหน้าที่ของ นศ. ในฐานะส่วน
หนึ่งของทีมดูแลรักษาผู้ป่วย)
Lawful Basis:
- Health Professional Service Contract ม.26 (5) (ก)
- Legal Obligation (Preventive or Occupational Medicine) กรณีตรวจสุขภาพตาม
กฎหมายแรงงานหรือการรักษาที่มีกฎหมายกาหนด เช่น พ.ร.บ.การแพทย์ฉุกเฉิน
พ.ร.บ.สุขภาพจิต พ.ร.บ.ระบบสุขภาพปฐมภูมิ
- การบันทึกข้อมูลในเวชระเบียน เป็น Legal Obligation ตาม พ.ร.บ.สถานพยาบาล

65
C. การรักษา/ถ่ายภาพ/เปิดเผยข้อมูลผู้ป่วยคดี
Lawful Basis: Legal Obligation (Substantial Public Interest) หรืออาจได้รับ
ยกเว้นการบังคับใช้ PDPA หากเป็นส่วนหนึ่งของกระบวนการพิจารณาคดีทางอาญา
D. การถ่ายภาพ/ขอเปิดเผยข้อมูลผู้ป่วยเพื่อการเรียนรู้/ประโยชน์ทางวิชาการ
(ไม่ใช่วิจัย)
Lawful Basis:
- ดาเนินการได้เลย หากไม่สามารถระบุตัวตนได้ (ไม่ใช่ข้อมูลส่วนบุคคล)
- กรณีที่ระบุตัวตนได้ ควรขอ Consent
- กรณีที่ระบุตัวตนได้ และใช้เพื่อประชาสัมพันธ์/marketing ต้องขอ Consent และ
ให้ระวังความผิดฐานโฆษณาสถานพยาบาลหรือโฆษณาผู้ประกอบวิชาชีพฯ ด้วย

66
E. การวิจัย
Lawful Basis: Archiving, Scientific or Historical Research
Notes: ควรปฏิบัติตามมาตรฐานของ Ethics Committee ขององค์กรด้วย
และรอติดตามประกาศตาม PDPA เกี่ยวกับมาตรการคุ้มครองเจ้าของข้อมูลฯ
ในการวิจัย
F. การส่งข้อมูลเพื่อเบิกจ่ายค่ารักษาพยาบาลกับกองทุนของรัฐ เช่น สปสช.
สปส. กรมบัญชีกลาง
Lawful Basis:
- Health or Social Care System ม.26 (5) (ค)

67
G. การส่งข้อมูลสุขภาพให้บริษัทประกันเอกชน
Lawful Basis: Explicit Consent
H. การแจ้งข้อมูลที่เป็นการปฏิบัติตามกฎหมาย เช่น โรคติดต่ออันตราย การ
แจ้งข้อมูล post-market surveillance ของยา เครื่องมือแพทย์ หรือ
ผลิตภัณฑ์สุขภาพ
Lawful Basis: Legal Obligation (Public Health)

68
Do’s and Don’ts ของ PDPA
สาหรับบุคลากรทางการแพทย์
Do’s
• คิดถึงความจาเป็นก่อนเก็บ ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลของ
ผู้ป่วย
• ในการเก็บ ใช้ หรือเปิดเผยข้อมูล
ของผู้ป่วย หากไม่ต้องระบุตัวตน
ด้วยชื่อ HN หรือสิ่งอื่นได้ ก็จะลด
ความเสี่ยงและไม่ต้องทาตาม
PDPA (แต่ระวังความเสี่ยงด้านอื่น
เช่น misidentification)
Don’ts
• เก็บ ใช้ หรือเปิดเผยข้อมูลส่วน
บุคคลของผู้ป่วยโดยไม่คิดหน้าคิด
หลัง
• เข้าใจผิดว่า ข้อมูลที่ไม่มีชื่อ มี
เพียง HN หรือ ID บางอย่าง ไม่ใช่
ข้อมูลส่วนบุคคล และสามารถทา
อะไรกับมันก็ได้

69
Do’s
• เก็บรักษาข้อมูลที่อยู่ในความดูแล
ให้ปลอดภัย และลบทิ้งเมื่อหมด
ความจาเป็นต้องใช้
• หากผู้ป่วยขอสาเนา ขอแก้ไข ขอ
คัดค้านการเก็บ ใช้ หรือเปิดเผย
ข้อมูล หรือขอลบข้อมูล ให้ผู้ป่วย
ติดต่อที่หน่วยงานที่เกี่ยวข้อง เช่น
แผนกเวชระเบียน หรือสานักงาน
ฝ่ายบริหารของ รพ.
Don’ts
• เก็บข้อมูลใน USB drive หรือ
media ต่างๆ ไว้เรี่ยราด ไม่ใส่ใจ
เมื่ออุปกรณ์สูญหายหรือข้อมูลรั่วก็
ส่งผลกระทบ
• เมื่อผู้ป่วยขอใช้สิทธิตาม PDPA ก็
ปฏิเสธไปในทันที โดยไม่ได้
ตรวจสอบข้อกฎหมายให้รอบคอบ

70
Do’s
• ในกรณีที่จาเป็น เปิดเผยข้อมูลให้
หน่วยงานภายนอกตามปกติ เพียงแต่
ให้ตรวจสอบความจาเป็นและดูแลให้
รัดกุม
• ขอ Consent ในการเก็บ ใช้ หรือ
เปิดเผยข้อมูล เฉพาะกรณีที่พิจารณา
แล้วไม่เข้า ฐานทางกฎหมาย อื่น ๆ
• หากต้องขอ Consent ในการเก็บ ใช้
หรือเปิดเผยข้อมูล ปฏิบัติเรื่อง
Consent ให้ถูกต้องตามมาตรา 19
Don’ts
• อ้าง PDPA ในการไม่เปิดเผยข้อมูลที่
จาเป็นต้องเปิดเผย (เช่น ให้กองทุน
ประกันสุขภาพ หรือหน่วยงานที่มี
อานาจตามกฎหมาย)
• ขอ Consent ในการเก็บ ใช้ หรือ
เปิดเผยข้อมูลส่วนบุคคลของผู้ป่วย
ทุกสิ่งอย่าง ทาให้มีปัญหาเมื่อผู้ป่วย
ขอถอน Consent หรือขอลบข้อมูล
• บังคับ/mislead ผู้ป่วยให้ Consent

71
Do’s
• เมื่อทราบว่าข้อมูลรั่ว หรือมี
เหตุการละเมิดข้อมูลส่วนบุคคล
(data breach) ให้รีบแจ้ง
ผู้รับผิดชอบในองค์กร เพื่อการ
แก้ไขปัญหาได้ทันการณ์
(ไม่เช่นนั้นอาจมีโทษ)
Don’ts
• ข้อมูลรั่ว เราอยู่เงียบๆ ยิ่งคนอื่น
ไม่รู้ยิ่งดี องค์กรจะเกิดความ
เสียหายหรือมีโทษจากการไม่
แจ้ง เราไม่สน

72
Do’s
• จะสื่อสารข้อมูลผู้ป่วยผ่านแอป
พลิเคชันต่าง ๆ เช่น LINE ก็ทา
ได้ แค่ขอให้ดูแลให้รัดกุม
เปิดเผยให้รู้เท่าที่จาเป็น
(need-to-know) และปฏิบัติ
ตามนโยบายขององค์กร
Don’ts
• ส่งข้อมูลผู้ป่วยเข้าในกลุ่ม LINE
ที่มีคนอื่นที่ไม่จาเป็นต้องรู้ข้อมูล
ผู้ป่วยอยู่เป็นจานวนมาก โดยไม่
มีเหตุผลอันสมควร

73
Do’s
• เวลามี Celeb หรือ Public
Figure มารักษาที่ รพ. ก็ปฏิบัติ
เหมือนผู้ป่วยทุกคน รักษา
ความลับ เข้าถึงข้อมูลเฉพาะใน
การปฏิบัติหน้าที่ และไม่
เปิดเผยข้อมูลให้คนที่ไม่มีความ
จาเป็นต้องทราบ
Don’ts
• เมื่อทราบว่ามี Celeb มารักษา
ฉันขอ “เผือก” เข้าไปดูข้อมูล
ด้วย และฉันต้องเป็นคนแรก ๆ
ที่รายงานข่าวให้เพื่อน ๆ ของ
ฉันทราบ

74
ประกาศคณะกรรมการฯ เรื่อง มาตรการรักษาความมั่นคง
ปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565

75

76

77

78

79

80
สรุปสิ่งที่ขอเน้นย้าแก่บุคลากรเป็นพิเศษ
• ไม่เข้าถึงข้อมูลผู้ป่วย/บุคคลอื่น โดยไม่มีหน้าที่/ไม่มีเหตุอันควร
• ไม่ส่งต่อข้อมูลผู้ป่วย/บุคคลอื่น ที่มีชื่อ/HN/บาร์โค้ด/ใบหน้า หรือถ่ายรูปติดผู้ป่วย/
หน้าจอ/เอกสาร/X-ray ที่ปรากฏชื่อ/HN/บาร์โค้ด/ใบหน้า ให้ผู้อื่น โดยไม่มีเหตุจาเป็น
(ยกเว้นกรณีรักษาพยาบาลที่จาเป็น)
• ทาลายเอกสารผู้ป่วย/บุคคลอื่นที่ไม่ใช้แล้ว ไม่ Reuse/Recycle
• หลีกเลี่ยงการ upload ไฟล์ข้อมูลผู้ป่วย/นศ./บุคคลอื่น ที่ระบุตัวตนได้ ให้เข้าถึงได้
จากสาธารณะ โดยไม่มีเหตุจาเป็นหรือไม่ปรึกษาก่อน
• ดูแล security ของระบบสารสนเทศให้ดี (“ใช้ไอทีอย่างปลอดภัย”)
• เมื่อทราบว่าข้อมูลผู้ป่วย/บุคคลอื่นรั่ว/ถูกละเมิด รีบแจ้ง IT Call Center

83
Privacy & PDPA Awareness Training for
Ramathibodi Residents
นพ.นวนรรน ธีระอัมพรพันธุ์
5 ตุลาคม 2566
http://www.slideshare.net/nawanan

Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)

More Related Content

What's hot

Similar to Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)

More from Nawanan Theera-Ampornpunt

Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)