เหตุใด? สถานพยาบาลจึงจำเป็นต้องมี DPO
DPO หรือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ถือเป็นบุคลากรที่มีบทบาทสำคัญในการจัดการ และตรวจสอบการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล และยิ่งมีความจำเป็นมากขึ้นกับหน่วยงานที่มีการจัดเก็บข้อมูลส่วนบุคคลจำนวนมาก หนึ่งในนั้นคือสถานพยาบาล
สถานพยาบาลนับเป็นแหล่งเก็บรวบรวม ใช้ และประมวลข้อมูลที่มีขนาดใหญ่มากแห่งหนึ่ง เนื่องจากในแต่ละวันจะมีผู้เข้ารับการรักษา หรือเข้าไปติดต่อเพื่อทำธุรกรรมต่าง ๆ มาก ทำให้มีการจัดเก็บข้อมูลส่วนบุคคลอยู่ตลอด นอกจากนี้ยังมีกิจกรรมที่อาจมีการแก้ไข เปลี่ยนแปลง หรือเพิ่มเติมข้อมูลส่วนบุคคล ที่ควรต้องมี DPO คอยให้คำปรึกษา ตรวจสอบ และกำกับดูแลการใช้ข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมาย PDPA แม้ว่าในบางกรณีสถานพยาบาลอาจมีฐานกฎหมายรองรับให้สามารถใช้ข้อมูลส่วนบุคคลได้โดยไม่ต้องขอความยินยอม
ทั้งนี้ ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ได้ระบุไว้ในมาตรา 41 ว่า
“ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล ต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ในกรณีดังต่อไปนี้
(1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล เป็นหน่วยงานของรัฐตามที่ คณะกรรมการประกาศกำหนด
(2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมาก ตามที่คณะกรรมการประกาศกำหนด
(3) กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามมาตรา 26
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล อยู่ในเครือกิจการ หรือเครือธุรกิจเดียวกัน เพื่อการประกอบกิจการหรือธุรกิจร่วมกันตามที่คณะกรรมการประกาศกำหนด ตามมาตรา 26 วรรคสอง ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าว อาจจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลร่วมกันได้ ทั้งนี้ สถานที่ทำการแต่ละแห่งของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ที่อยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันดังกล่าว ต้องสามารถติดต่อกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้โดยง่าย
ความในวรรคสองให้นำมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล ส่วนบุคคลซึ่งเป็นหน่วยงานของรัฐตาม (1) ซึ่งมีขนาดใหญ่หรือมีสถานที่ทำการหลายแห่งโดยอนุโลม
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลตามวรรคหนึ่ง ต้องแต่งตั้งตัวแทนตามมาตรา 37 (5) ให้นำความในวรรคหนึ่งมาใช้บังคับแก่ตัวแทนโดยอนุโลม
ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ต้องแจ้งข้อมูลเกี่ยวกับ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อให้เจ้าของข้อมูลส่วนบุคคลแล ะ สำนักงานทราบ ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลและการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ตามพระราชบัญญัตินี้ได้
คณะกรรมการอาจประกาศกำหนดคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้ โดยคำนึงถึงความรู้หรือความเชี่ยวชาญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือ ผู้ประมวลผลข้อมูลส่วนบุคคลหรือเป็นผู้รับจ้างให้บริการตามสัญญากับผู้ควบคุมข้อมูลส่วนบุคคลหรือ ผู้ประมวลผลข้อมูลส่วนบุคคลก็ได้”
อย่างไรก็ตาม ปัจจุบันสถานพยาบาลหลายแห่งยังไม่มีนโยบายด้านการจัดการข้อมูลส่วนบุคคล หรือมีการจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย ซึ่งการที่โรงพยาบาลต้นทางไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะถือว่าโรงพยาบาลมีความผิด และเจ้าของข้อมูลส่วนบุคคลสามารถฟ้องร้องกับสำนักงานคณะกรรมคุ้มครองข้อมูลส่วนบุคคลได้โดยไม่ต้องรีรอ โดยมีความผิดในมาตรา 82 และ 85 ที่ว่า
มาตรา 82
“ผู้ควบคุมข้อมูลส่วนบุคคลผู้ใดไม่ปฏิบัติตามมาตรา 23 มาตรา 30 วรรคสี่ มาตรา 39 วรรคหนึ่ง มาตรา 41 วรรคหนึ่ง หรือมาตรา 42 วรรคสองหรือวรรคสาม หรือไม่ขอ ความยินยอมตามแบบหรือข้อความที่คณะกรรมการประกาศกำหนดตามมาตรา 19 วรรคสาม หรือ ไม่แจ้งผลกระทบจากการถอนความยินยอมตามมาตรา 19 วรรคหก หรือไม่ปฏิบัติตามมาตรา 23 ซึ่งได้นำมาใช้บังคับโดยอนุโลมตามมาตรา 25 วรรคสอง ต้องระวางโทษปรับทางปกครองไม่เกิน หนึ่งล้านบาท”
มาตรา 85
“ผู้ประมวลผลข้อมูลส่วนบุคคลผู้ใดไม่ปฏิบัติตามมาตรา 41 วรรคหนึ่ง หรือ มาตรา 42 วรรคสองหรือวรรคสาม ต้องระวางโทษปรับทางปกครองไม่เกินหนึ่งล้านบาท”
ดังนั้นเพื่อให้เป็นไปตามกฎหมาย PDPA สถานพยาบาลเองจะต้องมีการจัดตั้ง DPO เพราะการมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะช่วยให้องค์กรมีการใช้ข้อมูลส่วนบุคคลที่สอดคล้องกับกฎหมายมากขึ้น และมีผู้ที่สามารถรับมือในกรณีเกิดข้อมูลส่วนบุคคลรั่วไหลได้อย่างทันท่วงที
นอกเหนือจากการจัดตั้ง DPO แล้ว สถานพยาบาลเองก็ต้องจัดหาเครื่องมือ หรือระบบที่สนับสนุนการทำงานของ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ไว้ ตามมาตรา 42 ที่ว่า
“ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลต้อง สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล โดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่”ทั้งนี้ ก็เพื่อให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลสามารถดำเนินการได้โดยไม่ชักช้า
เพื่อให้สถานพยาบาลของคุณสามารถปฏิบัติได้ถูกต้องตามกฎหมาย Security Pitch ขอเสนอแพลตฟอร์ม OneFence ที่ช่วยบริหารจัดการความปลอดภัยแบบครบวงจร โดยมีโซลูชัน Privacy Management ช่วยรองรับการปฏิบัติหน้าที่ของ DPO จัดการขั้นตอนที่ยุ่งยากให้ง่ายขึ้นด้วยกระบวนการทำงานอย่างเป็นระบบ
สอบถามข้อมูลผลิตภัณฑ์ “OneFence”
Tel. : 081-972-2500
Line : @securitypitch
Email : [email protected]
บทความที่น่าสนใจ
