ข้อกำหนดการใช้งานและแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคล (PDPA)
สำหรับระบบส่งต่อข้อมูลผู้ป่วย ระหว่าง โรงพยาบาล ↔ หน่วยบริการปฐมภูมิ (รพ.สต.)
เอกสารฉบับนี้เป็นข้อกำหนดการใช้งานที่จัดทำขึ้นโดยผู้พัฒนาระบบในความร่วมมือกับหน่วยงานที่เกี่ยวข้อง เพื่อให้การส่งต่อข้อมูลผู้ป่วยเป็นไปตามหลักเกณฑ์ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และพ.ร.บ.คอมพิวเตอร์ พ.ศ. 2550 รวมถึงกฎหมายและแนวทางที่เกี่ยวข้อง
1. วัตถุประสงค์
เอกสารนี้มีวัตถุประสงค์เพื่อกำหนดหลักเกณฑ์ ข้อกำหนด และแนวปฏิบัติในการจัดเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคล โดยเฉพาะข้อมูลสุขภาพของผู้ป่วย ที่ระบบนี้ประมวลผล เพื่อให้การดูแลต่อเนื่องหลังการจำหน่ายจากโรงพยาบาลเป็นไปอย่างรวดเร็ว ปลอดภัย และสอดคล้องกับกฎหมาย
2. คำนิยามที่สำคัญ
- ข้อมูลส่วนบุคคล หมายความถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งสามารถระบุตัวบุคคลได้
- ข้อมูลสุขภาพ (Sensitive Personal Data) หมายถึง ข้อมูลที่เกี่ยวข้องกับสถานะสุขภาพ การวินิจฉัย โรค ประวัติการรักษา ผลตรวจทางห้องปฏิบัติการ และข้อมูลทางการแพทย์อื่น ๆ ซึ่งถือเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว
- Data Controller หมายถึง หน่วยงานเจ้าของข้อมูล (เช่น โรงพยาบาล) ที่กำหนดวัตถุประสงค์และวิธีการประมวลผล
- Data Processor หมายถึง ผู้พัฒนาระบบ/ผู้ให้บริการเทคโนโลยี ซึ่งประมวลผลข้อมูลในนามของ Data Controller
- ผู้ใช้ระบบ หมายถึง เจ้าหน้าที่ของโรงพยาบาลหรือหน่วยบริการปฐมภูมิ ที่ได้รับการมอบบัญชีผู้ใช้เพื่อเข้าถึงข้อมูล
3. ขอบเขตการบังคับใช้
ข้อกำหนดนี้บังคับใช้กับทุกหน่วยงาน เจ้าหน้าที่ และผู้ให้บริการที่เข้าถึงหรือประมวลผลข้อมูลผ่านระบบ รวมถึงบุคคลภายนอกที่ได้รับสิทธิ์ชั่วคราว ทั้งในระหว่างการใช้งานจริงและช่วงทดลอง (staging)
4. หลักการพื้นฐาน
- ความชอบด้วยกฎหมายและความเป็นธรรม: การเก็บหรือประมวลผลข้อมูลต้องมีฐานทางกฎหมาย เช่น ความยินยอม (consent) หรือการปฏิบัติตามหน้าที่ของหน่วยงานสาธารณสุข
- จำเป็นและจำกัดวัตถุประสงค์: เก็บและใช้ข้อมูลเฉพาะที่จำเป็นต่อการให้บริการดูแลต่อเนื่องเท่านั้น
- ความถูกต้องของข้อมูล: ต้องมีมาตรการให้สามารถแก้ไขข้อมูลได้เมื่อพบความผิดพลาด
- ความปลอดภัย: ต้องรักษาความลับและความสมบูรณ์ของข้อมูลโดยมาตรการทางเทคนิคและองค์กร
- ความโปร่งใสและสิทธิของเจ้าของข้อมูล: เจ้าของข้อมูลมีสิทธิในการเข้าถึง แก้ไข ลบ และถอนความยินยอม ตามที่ PDPA กำหนด
5. บทบาทและความรับผิดชอบ
5.1 Data Controller (โรงพยาบาลต้นทาง)
- กำหนดวัตถุประสงค์และขอบเขตของการใช้ข้อมูล
- จัดให้มีกระบวนการขอและบันทึกความยินยอมจากผู้ป่วย (กรณีจำเป็น)
- เป็นผู้รับผิดชอบตาม PDPA ต่อการละเมิดสิทธิหรือการใช้ข้อมูลผิดวัตถุประสงค์
5.2 Data Processor (ผู้พัฒนาระบบ/ผู้ให้บริการ)
- ประมวลผลข้อมูลตามคำสั่งของ Data Controller เท่านั้น
- ยอมรับและปฏิบัติตามข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement)
- จัดให้มีมาตรการรักษาความปลอดภัยทางเทคนิคและองค์กร รวมถึงการสำรองข้อมูล การเข้ารหัส และการจัดการเหตุการณ์ข้อมูลรั่วไหล
5.3 ผู้ใช้ระบบ (เจ้าหน้าที่ รพ./รพ.สต.)
- เข้าถึงและใช้ข้อมูลเพื่อวัตถุประสงค์ที่ได้รับมอบหมายเท่านั้น
- ต้องไม่แชร์บัญชีผู้ใช้หรือรหัสผ่าน และต้องปฏิบัติตามแนวทางความปลอดภัยของหน่วยงาน
- ต้องรายงานเหตุการณ์ความปลอดภัยหรือการเข้าถึงโดยไม่ได้รับอนุญาตทันที
6. ฐานทางกฎหมายสำหรับการประมวลผล
การประมวลผลข้อมูลในระบบนี้อาจมีฐานทางกฎหมายได้แก่:
- ความยินยอมของเจ้าของข้อมูล (Consent) สำหรับข้อมูลสุขภาพ เมื่อต้องการวัตถุประสงค์นอกเหนือการรักษาพยาบาลพื้นฐาน
- การประมวลผลที่จำเป็นเพื่อการปฏิบัติตามภารกิจหน้าที่ของหน่วยงานสาธารณสุข
- การประมวลผลเพื่อประโยชน์สาธารณะด้านสาธารณสุข ตามที่กฎหมายอนุญาต
7. การขอความยินยอม (Consent)
เมื่อจำเป็นต้องใช้ความยินยอมของผู้ป่วย (ตามหลัก PDPA) ต้องจัดให้มีการ:
- ให้ข้อมูลที่ชัดเจนเกี่ยวกับวัตถุประสงค์ ข้อมูลที่เก็บ ระยะเวลา และสิทธิของผู้ป่วย
- จัดทำบันทึกการให้ความยินยอมและให้สามารถยกเลิก (withdraw) ได้ง่าย
- ในกรณีที่ผู้ป่วยไม่สามารถให้ความยินยอมเอง ให้ดำเนินการตามกฎหมายและแนวปฏิบัติที่เกี่ยวข้อง
8. มาตรการทางเทคนิคและองค์การ (Technical & Organizational Measures)
- การเชื่อมต่อและการส่งข้อมูล: ทุกการเชื่อมต่อต้องผ่าน HTTPS/TLS ที่มีการตั้งค่าเป็นไปตามมาตรฐานปัจจุบัน
- การเข้ารหัส: ข้อมูลสุขภาพที่จัดเก็บต้องเข้ารหัสที่ระดับ storage (encryption at rest) และข้อมูลที่ส่งต้องเข้ารหัสระหว่างทาง (encryption in transit)
- การควบคุมการเข้าถึง: ใช้ระบบบัญชีผู้ใช้แยกบุคคล (unique account) และบทบาท (role-based access control) โดยจำกัดสิทธิ์ตามความจำเป็น
- การพิสูจน์ตัวตน: ใช้มาตรการ hashing กับรหัสผ่าน (เช่น bcrypt/argon2) และพิจารณาใช้ Multi-Factor Authentication (MFA) สำหรับบัญชีระดับบริหาร
- การป้องกันภัยคุกคามจากแอปพลิเคชัน: ป้องกัน SQL Injection, XSS, CSRF และตรวจสอบ input validation ทุกจุด
- การสำรองข้อมูลและการกู้คืน: สำรองข้อมูลเป็นประจำและทดสอบกระบวนการกู้คืนอย่างน้อยปีละหนึ่งครั้งหรือเมื่อต้องการ
- การเก็บ Log: บันทึกกิจกรรมการเข้าถึงและการเปลี่ยนแปลงข้อมูล (audit trail) และเก็บอย่างน้อยตามระยะเวลาที่กฎหมาย/นโยบายกำหนด
- การทดสอบช่องโหว่และ Penetration Test: ดำเนินการสแกนช่องโหว่และทดสอบความปลอดภัยเป็นระยะ
9. การถ่ายโอนข้อมูลระหว่างหน่วยงานและไปยังบุคคลภายนอก
การถ่ายโอนข้อมูลต้องปฏิบัติดังนี้:
- ถ่ายโอนข้อมูลเฉพาะที่จำเป็นและภายใต้ข้อตกลงการใช้ข้อมูลที่ชัดเจน
- ทำ Data Processing Agreement (DPA) ระหว่างผู้ส่ง (Data Controller) และผู้รับ (Data Processor หรือ Data Controller ของหน่วยงานปลายทาง) ระบุขอบเขตความรับผิดชอบและมาตรการความปลอดภัย
- หากมีการถ่ายโอนข้ามพรมแดน ต้องตรวจสอบให้แน่ใจว่าประเทศปลายทางมีมาตรการคุ้มครองข้อมูลเทียบเท่าหรือมีการรับประกันตามกฎหมาย
10. ระยะเวลาเก็บรักษาและการลบข้อมูล
ระบบต้องกำหนดนโยบายการเก็บรักษาข้อมูลที่ชัดเจน โดยคำนึงถึงข้อกำหนดทางกฎหมายและการรักษาสิทธิของเจ้าของข้อมูล เช่น:
- กำหนดระยะเวลาเก็บรักษาสำหรับข้อมูลผู้ป่วย (เช่น เก็บตามระยะเวลาที่หน่วยงานกำหนดหรือกฎหมายสาธารณสุขบังคับ)
- เมื่อครบกำหนดต้องลบหรือทำให้ไม่สามารถระบุตัวตนได้ (anonymize/pseudonymize) ตามนโยบาย
- หากเจ้าของข้อมูลขอให้ลบ ต้องประสานกับ Data Controller เพื่อพิจารณาการดำเนินการตามกฎหมายและข้อจำกัดด้านสาธารณสุข
11. สิทธิของเจ้าของข้อมูล
เจ้าของข้อมูลมีสิทธิภายใต้ PDPA อาทิ การขอเข้าถึง ขอคัดค้าน ขอแก้ไข ขอให้ลบ หรือถอนความยินยอม ผู้ใช้ระบบต้องปฏิบัติตามคำขอดังกล่าวภายในกรอบเวลาที่กฎหมายกำหนด และต้องมีช่องทางให้ผู้ป่วยติดต่อขอใช้สิทธิดังกล่าว
12. การจัดการเหตุการณ์ข้อมูลรั่วไหล (Data Breach)
- เมื่อพบเหตุการณ์ต้องดำเนินการตรวจสอบและระงับเหตุทันที
- แจ้งผู้ควบคุมข้อมูล (Data Controller) และหน่วยงานที่เกี่ยวข้องภายในเวลาที่กฎหมายกำหนด
- จัดทำบันทึกเหตุการณ์ รายละเอียดผลกระทบ มาตรการแก้ไข และการป้องกันเหตุซ้ำ
13. บันทึกและการตรวจสอบ (Audit)
- มีการจัดเก็บ audit log ที่ไม่สามารถแก้ไขย้อนหลังได้ และสามารถตรวจสอบได้ว่าใครเข้าถึงข้อมูลใด เมื่อใด
- กำหนดระยะเวลาการเก็บ log ตามนโยบายหรือกฎหมายที่เกี่ยวข้อง
14. ข้อตกลงด้านสัญญาและความรับผิด (DPA & Liability)
ผู้พัฒนา (Data Processor) จะต้องทำข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement) กับหน่วยงานเจ้าของข้อมูล โดยกำหนดรายละเอียดเกี่ยวกับ:
- ขอบเขตของการประมวลผล
- มาตรการรักษาความปลอดภัย
- รายละเอียดการสำรองและการลบข้อมูลเมื่อสิ้นสุดสัญญา
- ความรับผิดชอบและการชดเชยกรณีผิดพลาดหรือเหตุละเมิด
15. การอบรมและการสร้างความตระหนัก
หน่วยงานต้องจัดให้มีการอบรมผู้ใช้ระบบเป็นประจำเกี่ยวกับ PDPA แนวปฏิบัติความปลอดภัย และการรายงานเหตุ เพื่อให้การปฏิบัติงานสอดคล้องกับข้อกำหนดนี้
16. การยอมรับข้อกำหนด
การเข้าสู่ระบบถือเป็นการยอมรับข้อกำหนดและแนวปฏิบัตินี้ ผู้ใช้ต้องปฏิบัติตามมาตรการและแนวทางต่าง ๆ หากผู้ใช้ฝ่าฝืนหน่วยงานมีสิทธิดำเนินการทางวินัยหรือทางกฎหมายตามสมควร
17. ช่องทางติดต่อ
หากมีข้อสงสัย หรือต้องการขอใช้สิทธิของเจ้าของข้อมูล โปรดติดต่อผู้รับผิดชอบข้อมูลส่วนบุคคล (Data Protection Officer - DPO) ของหน่วยงานเจ้าของข้อมูลของท่าน หรือติดต่อผู้พัฒนาระบบผ่านช่องทางติดต่อที่ระบุในเว็บไซต์
18. บทสรุป
เอกสารฉบับนี้จัดทำขึ้นเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลผู้ป่วยและปกป้องผู้พัฒนาระบบ/หน่วยงานให้ปฏิบัติตามกฎหมาย PDPA และพ.ร.บ.คอมพิวเตอร์ การปฏิบัติตามข้อกำหนดนี้จะช่วยรักษาความเชื่อมั่นของผู้ป่วย ลดความเสี่ยงทางกฎหมาย และเสริมสร้างความปลอดภัยทางข้อมูลในระบบส่งต่อผู้ป่วย