สิทธิและ “ความยินยอม” ของผู้ป่วย สำคัญอย่างไรกับสถานพยาบาล
ปัจจุบันสิทธิส่วนบุคคลเป็นสิ่งที่สำคัญอย่างมาก ด้วยเพราะมีกฎหมายต่าง ๆ ออกมารองรับมากขึ้น ทำให้การทำธุรกรรม หรือกิจกรรมต่าง ๆ มักต้องได้รับความยินยอมเป็นลายลักษณ์อักษร หรือมีหลักฐานยืนยัน ไม่เว้นแม้แต่การเข้ารับบริการในสถานพยาบาล ซึ่งมีหน้าที่ให้การรักษา หรือให้บริการด้านสาธารณสุขแก่ประชาชนก็จำเป็นต้องเข้าถึงข้อมูลส่วนบุคคลของผู้ป่วย ไม่ว่าจะเป็น ชื่อ-สกุล ประวัติการรักษา หรือข้อมูลสำคัญด้านสุขภาพ ดังนั้นความจำเป็นในการขอ ความยินยอม จึงเป็นสิ่งที่ไม่อาจละเลยได้
ทำไมต้องขอความยินยอมจากผู้เข้ารับบริการ?
สำหรับสถานพยาบาล การขอ ความยินยอม จากผู้เข้ารับบริการเป็นสิ่งที่สำคัญไม่แพ้กับการรักษาสวัสดิภาพของผู้เข้ารับบริการ เพราะหากดูตามรายละเอียดใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตราที่ 41 ซึ่งระบุไว้ว่า
“ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของตน ในกรณีดังต่อไปนี้
(1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่ คณะกรรมการประกาศกำหนด
(2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล ในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอ โดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการประกาศกำหนด
(3) กิจกรรมหลักของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลอยู่ในเครือกิจการ หรือเครือธุรกิจเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกันตามที่คณะกรรมการประกาศกำหนด ตามมาตรา 29 วรรคสอง ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าว อาจจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลร่วมกันได้ ทั้งนี้ สถานที่ทำการแต่ละแห่งของผู้ควบคุม ข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลที่อยู่ในเครือกิจการหรือเครือธุรกิจเดียวกันดังกล่าว ต้องสามารถติดต่อกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้โดยง่าย
ความในวรรคสองให้นำมาใช้บังคับแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล ส่วนบุคคลซึ่งเป็นหน่วยงานของรัฐตาม (1) ซึ่งมีขนาดใหญ่หรือมีสถานที่ทำการหลายแห่งโดยอนุโลม
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลตามวรรคหนึ่งต้องแต่งตั้ง ตัวแทนตามมาตรา 37 (5) ให้นำความในวรรคหนึ่งมาใช้บังคับแก่ตัวแทนโดยอนุโลม
ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ต้องแจ้งข้อมูลเกี่ยวกับ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อให้เจ้าของข้อมูลส่วนบุคคลแล ะ สำนักงานทราบ ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลและการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ตามพระราชบัญญัตินี้ได้
คณะกรรมการอาจประกาศกำหนดคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลได้ โดยคำนึงถึงความรู้หรือความเชี่ยวชาญเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือ ผู้ประมวลผลข้อมูลส่วนบุคคลหรือเป็นผู้รับจ้างให้บริการตามสัญญากับผู้ควบคุมข้อมูลส่วนบุคคลหรือ ผู้ประมวลผลข้อมูลส่วนบุคคลก็ได้”
ดังนั้นสถานพยาบาล ซึ่งเป็นผู้ให้บริการที่มีการเก็บข้อมูลส่วนบุคคลจำนวนมาก จึงมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่ต้องขอความยินยอมในการเก็บข้อมูลส่วนบุคคลก่อนเข้ารับบริการ ขณะที่ตามเกณฑ์มาตรฐานโรงพยาบาลและบริการสุขภาพ (HA) ก็ระบุว่า สถานพยาบาลจะต้องประกาศสิทธิของผู้ป่วย 9 ประการ และหนึ่งในนั้นคือ “สิทธิในการปกปิดข้อมูลของตนเอง เว้นแต่ผู้ป่วยจะให้ความยินยอมหรือเป็นการปฏิบัติตามหน้าที่ของผู้ประกอบวิชาชีพด้านสุขภาพ เพื่อประโยชน์โดยตรงของผู้ป่วยหรือตามกฎหมาย” จึงมีความเกี่ยวข้องกับการขอความยินยอม หรือการนำข้อมูลไปใช้
นอกจากนี้ การขอความยินยอมจากผู้ป่วยยังถือเป็นหลักฐานสำคัญ ในกรณีที่เกิดเหตุไม่คาดฝัน เช่น กรณีฟ้องร้องจากการรักษา หรือ มีการเผยแพร่ข้อมูลบางอย่างที่เกี่ยวข้องกับผู้ป่วย เป็นต้น
หากผู้ป่วยไม่ยินยอม สามารถนำข้อมูลไปใช้ได้หรือไม่
เนื่องจากกฎหมาย PDPA ระบุว่า ผู้ควบคุมข้อมูลส่วนบุคคลจะต้องมีการขอความยินยอมในการจัดเก็บ รวบรวบ นำไปใช้ หรือ ประมวลผลข้อมูลโดยตรงจากเจ้าของข้อมูล โดยการขอความยินยอมต้องทำอย่างชัดแจ้ง (ตามมาตรา 19) และจะไม่สามารถนำไปใช้ได้ หากไม่ได้รับความยินยอม เว้นเสียแต่เป็นการเข้ารับการรักษาในภาวะฉุกเฉิน โดยมีวัตถุประสงค์เพื่อระงับเหตุอันตรายที่อาจถึงแก่ชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูล ซึ่งหากผู้ควบคุมข้อมูลส่วนบุคคลซึ่งในที่นี่ คือสถานพยาบาล มีความจำเป็นก็สามารถประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับสุขภาพ หรือข้อมูลอ่อนไหวของผู้ป่วยได้โดยไม่ต้องขอความยินยอม เนื่องจากมีฐานกฎหมายรองรับ คือ ฐานประโยชน์สำคัญต่อชีวิต (Vital Interest)
จัดการกับ “ความยินยอม” อย่างไรให้ถูกต้องตามกฎหมาย
ด้วยการบริหารจัดการสถานพยาบาลในปัจจุบัน มีการแบ่งเป็นหลายแผนก บางสถานพยาบาลมีที่ตั้งหลายแห่งหลายสาขา การจะบริหารจัดการและเก็บรวบรวมความยินยอม หรือข้อมูลส่วนบุคคลจึงมักเป็นไปแบบแยกส่วนกัน บ้างมีการจัดเก็บข้อมูลที่ซ้ำซ้อน บ้างยังจัดเก็บเป็นเอกสาร จึงมักตามมาด้วยปัญหาการสูญหาย และข้อมูลรั่วไหล อันอาจส่งผลต่อการสูญเสียความเชื่อมั่น ตามมาด้วยการฟ้องร้อง ขณะที่สถานพยาบาลบางแห่งเลือกที่จะจัดเก็บข้อมูลดังกล่าวอย่างเป็นระบบ บ้างเลือกใช้แพลตฟอร์มเพิ่มประสิทธิภาพการทำงาน โดยกำหนดเป็นนโยบาย และมาตรการที่ชัดเจน ทั้งนี้ก็เพื่อทำให้การปฏิบัติตามกฎหมายเป็นไปอย่างราบรื่น
Security Pitch มองเห็นถึงปัญหาความยุ่งยาก และเพื่อช่วยให้องค์กรสามารถจัดการความยินยอม หรือข้อมูลส่วนบุคคลได้อย่างถูกต้อง รวดเร็ว และรัดกุม เราจึงได้พัฒนา OneFence แพลตฟอร์มบริหารจัดการความปลอดภัยและความเป็นส่วนตัวขึ้น เพื่อช่วยในการจัดการทุกข้อมูล ทุกความยินยอมได้อย่างเป็นระบบ ร่นระยะเวลา และภาระงานของบุคลากร รวมถึงเพื่อสร้างระบบนิเวศด้านความปลอดภัยของข้อมูลที่มีประสิทธิภาพ
