SlideShare a Scribd company logo

Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)

Nawanan Theera-Ampornpunt
Nawanan Theera-Ampornpunt

Presented at the Faculty of Medicine Ramathibodi Hospital, Mahidol University, Bangkok, Thailand on October 5, 2023

Law
1 of 83
Download to read offline
1 Privacy & PDPA Awareness Training for Ramathibodi Residents นพ.นวนรรน ธีระอัมพรพันธุ์ 5 ตุลาคม 2566 http://www.slideshare.net/nawanan
2 2546 แพทยศาสตรบัณฑิต (รามาธิบดีรุ่นที่ 33) 2554 Ph.D. (Health Informatics), Univ. of Minnesota รองคณบดีฝ่ายปฏิบัติการ อาจารย์ ภาควิชาระบาดวิทยาคลินิกและชีวสถิติ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี ความสนใจ: Health IT, Social Media, Security & Privacy nawanan.the@mahidol.ac.th SlideShare.net/Nawanan Nawanan Theera-Ampornpunt Line ID: NawananT แนะนาตัว นพ.นวนรรน ธีระอัมพรพันธุ์
3 Disclaimer: เป็นความเห็นทางวิชาการส่วนบุคคล ไม่ผูกพันการทาหน้าที่ในบทบาทใดในปัจจุบัน หรืออนาคต
4 Outline • ทาไมเราต้องแคร์เรื่อง Privacy? • Security & Privacy กับข้อมูลผู้ป่วย • กฎหมายและแนวปฏิบัติด้าน Privacy ของข้อมูล ส่วนบุคคล
5 ทาไมเราต้องแคร์ เรื่อง Privacy?
6 ภัย Privacy กับโรงพยาบาล http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm
7 “Green” Organization & Privacy
8 เรื่องเล่าจากรามาธิบดี #1: Public Figure’s Privacy
9 เรื่องเล่าจากรามาธิบดี #1: Public Figure’s Privacy การเข้าถึงข้อมูลของบุคคลสาธารณะ ที่มารับการรักษาที่รามาธิบดี ด้วยความอยากรู้อยากเห็น โดยไม่มีเหตุผลอันสมควร
10 Security & Privacy กับข้อมูลผู้ป่วย
11 Security & Privacy http://en.wikipedia.org/wiki/A._S._Bradford_House
12 ▪ Privacy: “The ability of an individual or group to seclude themselves or information about themselves and thereby reveal themselves selectively.” (Wikipedia) ▪ Information Security: “Protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, perusal, inspection, recording or destruction” (Wikipedia) Security & Privacy
13 ▪ Confidentiality (ข้อมูลความลับ) ▪ Integrity (การแก้ไข/ลบ/เพิ่มข้อมูลโดยมิชอบ) ▪ Availability (ระบบล่ม ใช้การไม่ได้) สิ่งที่เป็นเป้าหมายการโจมตี Security: CIA Triad
14 Line เสี่ยงต่อการละเมิด Privacy ผู้ป่วยได้อย่างไร? • ข้อความใน Line group มีคนเห็นหลายคน • ถูก capture หรือ forward ไป share ต่อได้ • ข้อมูล cache ที่เก็บใน mobile device อาจถูกอ่านได้ (เช่น ทาอุปกรณ์หาย หรือเผลอวางเอาไว้) • ข้อมูลที่ส่งผ่าน network อาจไม่ได้เข้ารหัส • บริษัท Line เข้าถึงได้ และอาจถูก hack ได้ • มีคนเดา Password ได้ • ส่งผิดกลุ่ม
15 ทางออกสาหรับการ Consult Case ผู้ป่วย • ใช้ช่องทางอื่นที่ไม่มีการเก็บ record ข้อมูล หากทาได้ ยกเว้นจาเป็น • ปกปิดชื่อ, HN, เลขที่เตียง หรือข้อมูลที่ระบุตัวตนผู้ป่วยได้ (รวมทั้ง ในภาพ image) หากไม่มีความจาเป็น (เช่น เพื่อการแลกเปลี่ยน เรียนรู้) • แต่กรณีที่จาเป็น เช่น การสื่อสาร consult case ผู้ป่วย การสั่งการ รักษา ให้ระบุตัวตนของผู้ป่วยเพื่อป้องกันข้อผิดพลาด • Limit คนที่เข้าถึง (เช่น ไม่คุยเรื่อง case ผู้ป่วยผ่าน Line group แต่คุยส่วนตัวเท่านั้น) • ใช้อย่างปลอดภัย (ไม่แชร์ต่อแก่ผู้ไม่เกี่ยวข้อง, Password, ดูแลอุปกรณ์ไว้กับตัว, ตรวจสอบ malware ฯลฯ)
16 เรื่องเล่าจากชาวพันทิป: Privacy http://pantip.com/topic/35330409/
17 กฎหมายและแนวปฏิบัติด้าน Privacy ของข้อมูลส่วนบุคคล
18 หลักจริยธรรมทางการแพทย์ที่เกี่ยวกับ Privacy • Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย) • Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย) • Non-maleficence (หลักการไม่ทาอันตรายต่อผู้ป่วย) “First, Do No Harm.”
19 Hippocratic Oath ... What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about. ... http://en.wikipedia.org/wiki/Hippocratic_Oath
20 ตัวอย่างแนวทางการคุ้มครอง Privacy • Informed consent • Privacy notice • Privacy culture • User awareness building & education • Organizational policy & regulations ▪ Enforcement ▪ Ongoing privacy & security assessments, monitoring, and protection
21 เหตุผลในการประกาศใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
22 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • หมวด 1 คณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคล • หมวด 2 การคุ้มครองข้อมูลส่วน บุคคล – ส่วนที่ 1 บททั่วไป – ส่วนที่ 2 การเก็บรวบรวมข้อมูล ส่วนบุคคล – ส่วนที่ 3 การใช้หรือเปิดเผยข้อมูล ส่วนบุคคล • หมวด 3 สิทธิของเจ้าของข้อมูลส่วน บุคคล • หมวด 4 สานักงานคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคล • หมวด 5 การร้องเรียน • หมวด 6 ความรับผิดทางแพ่ง • หมวด 7 บทกาหนดโทษ – ส่วนที่ 1 โทษอาญา – ส่วนที่ 2 โทษทางปกครอง • บทเฉพาะกาล
23 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 1. PDPA ไม่ได้มา “ยกเลิก” กฎหมายอื่นที่ เกี่ยวข้องกับข้อมูลส่วนบุคคล เพียงแต่กาหนด หลักการเพิ่มเติม เงื่อนไขและหน้าที่ที่ต้อง ปฏิบัติ และสิทธิที่เจ้าของข้อมูลส่วนบุคคลมี
24 ประมวลกฎหมายอาญา มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็นเจ้าพนักงาน ผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร คนจาหน่ายยา นางผดุง ครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วยในการประกอบอาชีพนั้น แล้ว เปิดเผยความลับนั้นในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้อง ระวางโทษจาคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจาทั้งปรับ ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผยความลับของผู้อื่น อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น ในประการที่น่าจะเกิดความ เสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษเช่นเดียวกัน
25 ข้อบังคับแพทยสภา ว่าด้วยการรักษาจริยธรรม แห่งวิชาชีพเวชกรรม พ.ศ. 2565 วิชาชีพอื่นๆ ด้านสุขภาพ และคณะกรรมการประกอบโรคศิลปะ มีข้อบังคับใน ทานองเดียวกัน
26 คาประกาศสิทธิและข้อพึงปฏิบัติของผู้ป่วย 7. ผู้ป่วยมีสิทธิได้รับการปกปิดข้อมูลของตนเอง เว้นแต่ ผู้ป่วยจะให้ความยินยอมหรือเป็นการปฏิบัติตามหน้าที่ ของผู้ประกอบวิชาชีพด้านสุขภาพเพื่อประโยชน์โดยตรง ของผู้ป่วยหรือตามกฎหมาย
27 พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะ นาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การ เปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมาย เฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจ หรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่น เพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้
28 พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 “เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น” มาตรา 15 ข้อมูลข่าวสารของราชการที่มีลักษณะอย่างหนึ่งอย่างใดดังต่อไปนี้ หน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐอาจมีคาสั่งมิให้เปิดเผยก็ได้ โดยคานึงถึง การปฏิบัติหน้าที่ตามกฎหมาย...ประกอบกัน... (5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคลซึ่งการเปิดเผยจะเป็นการ รุกล้าสิทธิส่วนบุคคลโดยไม่สมควร (6) ข้อมูลข่าวสารของราชการที่มีกฎหมายคุ้มครองมิให้เปิดเผย...
29 กฎหมายเฉพาะ • พ.ร.บ.โรคติดต่อ พ.ศ. 2558
30 กฎหมายเฉพาะ • พ.ร.บ.สุขภาพจิต พ.ศ. 2551
31 กฎหมายเฉพาะ • พ.ร.บ.สุขภาพจิต พ.ศ. 2551
32 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 2. PDPA วางหลักการทั่วไปของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เก็บรวบรวม (Collection) ใช้ (Use) เปิดเผย (Disclosure) กระบวนการเกี่ยวกับข้อมูลส่วนบุคคล ประมวลผล (Processing) = เก็บรวบรวม + ใช้ + เปิดเผย (+ จัดเก็บ/เก็บรักษา + วิเคราะห์ + แสดงผล + ทารายงาน + แก้ไข + ลบ/ทาลาย ฯลฯ)
33 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 3. ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลเกี่ยวกับบุคคล ซึ่งทาให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ แบ่งเป็น 2 ประเภท • ข้อมูลส่วนบุคคลทั่วไป (General/Non-Sensitive Personal Data) • ข้อมูลส่วนบุคคลอ่อนไหว/ละเอียดอ่อน (Sensitive Personal Data)
34 Sensitive Personal Data Reference: PDPA ม.26 “ข้อมูลชีวภาพ” ตาม PDPA คือ Biometric Data (ที่ถูก คือ ข้อมูล ชีวมาตร/ชีวมิติ) ใน พ.ร.บ. ใช้คาผิด แต่คาอธิบายใน พ.ร.บ. หมายถึง Biometric Data
35 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 4. ใครเป็นใคร ใน PDPA • Data Subject (เจ้าของข้อมูลฯ) • Controller (เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อ วัตถุประสงค์ในกิจการของตน) • Processor (ทาตามสั่ง/ในนาม ของ Controller)
36 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 5. PDPA กาหนดว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จะต้อง ทา “เท่าที่จาเป็น” (ตามหลักการ Data Minimization) • การเก็บรวบรวม ใช้ หรือเปิดเผยเกินความจาเป็น เป็นความเสี่ยงของทั้ง controller และ data subject • แต่ไม่ได้แปลว่าถ้าจาเป็นแล้วจะเก็บรวบรวม ใช้ หรือเปิดเผยไม่ได้ • “จาเป็น” -> มี “ฐานทางกฎหมาย” (lawful basis) 1 ใน 7 ฐาน ซึ่งไม่ใช่ ว่าต้องขอความยินยอมก่อนเสมอไป ความยินยอมเป็นเพียง “ฐานทาง กฎหมาย” (lawful basis) เดียวจากทั้งหมด 7 ฐานเท่านั้น โดยแต่ละฐาน จะมีเงื่อนไขและสถานการณ์ที่ควรนามาใช้แตกต่างกัน
37 ฐานทางกฎหมายใน PDPA (กรณีไม่ใช่ข้อมูลส่วนบุคคลที่ sensitive) 1. การจัดทาเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือการ ศึกษาวิจัยหรือสถิติ (Archiving, Research or Statistics) 2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (Vital Interest) 3. เป็นการจาเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลฯ เป็นคู่สัญญา หรือเพื่อใช้ใน การดาเนินการตามคาขอก่อนเข้าทาสัญญา (Contractual Performance) 4. เป็นการจาเป็นเพื่อการปฏิบัติหน้าที่ในการดาเนินภารกิจเพื่อประโยชน์สาธารณะ หรือ ในการใช้อานาจรัฐ (Public Task) 5. เป็นการจาเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย เว้นแต่ประโยชน์ดังกล่าวมี ความสาคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลฯ (Legitimate Interest) 6. เป็นการปฏิบัติตามกฎหมาย (Legal Obligation) 7. ได้รับความยินยอม (Consent) Reference: PDPA ม.24
38 ฐานการประมวลผลข้อมูล (Lawful Basis in PDPA) สาหรับข้อมูลส่วนบุคคลที่ ไม่ใช่ Sensitive Personal Data Reference: PDPA ม.24
39 ฐานการประมวลผลข้อมูล (Lawful Basis in PDPA) สาหรับ Sensitive Personal Data Reference: PDPA ม.26
40 Reference: PDPA ม.26 ฐานการประมวลผลข้อมูล (Lawful Basis in PDPA) สาหรับ Sensitive Personal Data
41 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้รับความ ยินยอมโดยชัดแจ้ง (มาตรา 26) (1) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่ง เจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใดก็ตาม (2) เป็นการดาเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสม ของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรที่มีวัตถุประสงค์เกี่ยวกับ การเมือง ศาสนา ปรัชญา หรือสหภาพแรงงานให้แก่สมาชิก ผู้ซึ่งเคยเป็นสมาชิก หรือผู้ซึ่งมีการติดต่ออย่างสม่าเสมอกับมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหา กาไรตามวัตถุประสงค์ดังกล่าวโดยไม่ได้เปิดเผยข้อมูลส่วนบุคคลนั้นออกไป ภายนอกมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรนั้น Reference: PDPA ม.26
42 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้รับความ ยินยอมโดยชัดแจ้ง (มาตรา 26) (3) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของ เจ้าของข้อมูลส่วนบุคคล (4) เป็นการจาเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติ ตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิ เรียกร้องตามกฎหมาย Reference: PDPA ม.26
43 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้รับความ ยินยอมโดยชัดแจ้ง (มาตรา 26) (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ (ก) เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทางาน ของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการให้บริการด้าน สังคมสงเคราะห์ ทั้งนี้ ในกรณีที่ไม่ใช่การปฏิบัติตามกฎหมายและข้อมูลส่วนบุคคลนั้น อยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้มีหน้าที่รักษาข้อมูลส่วน บุคคลนั้นไว้เป็นความลับตามกฎหมาย ต้องเป็นการปฏิบัติตามสัญญาระหว่างเจ้าของ ข้อมูลส่วนบุคคลกับผู้ประกอบวิชาชีพทางการแพทย์ Reference: PDPA ม.26
44 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้รับความ ยินยอมโดยชัดแจ้ง (มาตรา 26) (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ (ข) ประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจากโรคติดต่อ อันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือการควบคุม มาตรฐานหรือคุณภาพของยา เวชภัณฑ์ หรือเครื่องมือแพทย์ ซึ่งได้จัดให้มีมาตรการที่ เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่หรือตามจริยธรรมแห่ง วิชาชีพ Reference: PDPA ม.26
45 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้รับความ ยินยอมโดยชัดแจ้ง (มาตรา 26) (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ (ค) การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการ เกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจากรถ หรือการคุ้มครองทางสังคม ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นสิ่งจาเป็นในการ ปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วนบุคคล โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของ เจ้าของข้อมูลส่วนบุคคล Reference: PDPA ม.26
46 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้รับความ ยินยอมโดยชัดแจ้ง (มาตรา 26) (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ (ง) การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะ อื่น ทั้งนี้ ต้องกระทาเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จาเป็นเท่านั้น และได้ จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของ ข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกาหนด (จ) ประโยชน์สาธารณะที่สาคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิ ขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล Reference: PDPA ม.26
47 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 6. ใน PDPA เราไม่ใช้ “ความยินยอม” (consent) เป็น “เหตุผลแรก” (ฐานแรก) ใน การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล แต่เราจะพิจารณาว่ามีฐานทาง กฎหมายอื่นที่เข้าได้ก่อนหรือไม่ หากไม่มี จึงค่อยใช้ “ฐานความยินยอม” (Consent should be the last resort.) • เหตุผล ฐานความยินยอมตาม PDPA ใช้เมื่อเจ้าของข้อมูลฯ มีความเป็นอิสระในการ ตัดสินใจ (ไม่ได้ถูกผูกมัดด้วยเงื่อนไขอื่น อยู่ก่อน) และ PDPA วางหลักการเรื่อง consent ที่มีเงื่อนไขค่อนข้างเยอะ เพื่อรองรับหลักการความเป็นอิสระในการ ตัดสินใจ • หมายเหตุ การไม่ใช้ฐานความยินยอมใน PDPA หมายถึงเฉพาะเรื่องการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล แต่ไม่รวมกรณีที่โรงพยาบาล/แพทย์ ต้อง ขอ consent ในการลงทะเบียนผู้ป่วย/เข้ารักษา/admit/ทาหัตถการ หรือการทา วิจัย ซึ่งเป็นไปตามหลักเกณฑ์จริยธรรมในเรื่องนั้น ๆ และนโยบายขององค์กร
48 Consent ใน PDPA
49 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ความยินยอม (มาตรา 19) – ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หาก เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่ง พ.ร.บ.นี้ หรือกฎหมายอื่นบัญญัติให้กระทาได้ – การขอความยินยอมต้องทาโดยชัดแจ้ง เป็นหนังสือหรือทาโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดย สภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้ – ในการขอความยินยอม... ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือ ข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทาให้ เข้าใจผิดในวัตถุประสงค์ดังกล่าว... – ในการขอความยินยอม...ผู้ควบคุมข้อมูลส่วนบุคคลต้องคานึงอย่างถึงที่สุดในความเป็นอิสระของ เจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทาสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความ จาเป็นหรือเกี่ยวข้องสาหรับการเข้าทาสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ
50 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ความยินยอม (มาตรา 19) – เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความ ยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจากัดสิทธิในการถอนความ ยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การ ถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน บุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตามที่กาหนดไว้ใน หมวดนี้ – ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจาก การถอนความยินยอมนั้น – การขอความยินยอมที่ไม่เป็นไปตามที่กาหนด ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคค และไม่ทาให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทาการเก็บรวบรวม ใช้ หรือเปิดเผย
51 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 7. เมื่อมีเหตุผลความจาเป็น (ฐานทางกฎหมาย) ที่จะเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลแล้ว controller ต้อง • แจ้ง Privacy Notice แก่เจ้าของข้อมูลฯ ก่อนหรือในขณะ เก็บรวบรวมข้อมูล • ใช้ตามวัตถุประสงค์เท่าที่ได้แจ้งไป (ไม่พูดอย่าง ทาอย่าง) • ถ้าจะเอาข้อมูลที่มีอยู่ไปใช้ในวัตถุประสงค์อื่น ต้องวนลูป กลับไปวิเคราะห์ฐานทางกฎหมาย และแจ้ง Privacy Notice ใหม่
52 การแจ้งวัตถุประสงค์และ รายละเอียดให้เจ้าของข้อมูล ส่วนบุคคลทราบ (Privacy Notice)
53 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 8. ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล controller มีหน้าที่ • ดูแล Security ให้ดี • มีมาตรการป้องกันไม่ให้ผู้อื่นใช้หรือเปิดเผยข้อมูลโดยมิชอบ • ลบหรือทาลายข้อมูล เมื่อหมดความจาเป็นในการเก็บ (Data Retention Policy) • แจ้งเหตุการละเมิดข้อมูล (Breach Notification) ให้ สคส. หรือ data subject ทราบ • จัดทาบันทึกรายการ (Record of Processing Activities: ROPA) ไว้ให้ตรวจสอบ • พิจารณาเงื่อนไขการส่งหรือโอนข้อมูลไปต่างประเทศให้สอดคล้องกับ PDPA • พิจารณาเงื่อนไขการเก็บรวบรวมข้อมูลจากแหล่งอื่น (นอกจาก subject) ให้ถูกต้อง • ทาสัญญา/ข้อตกลง เป็นคาสั่งที่กาหนดเงื่อนไขการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ของ processor ที่ประมวลผลข้อมูลตามคาสั่งหรือในนามของ controller • แต่งตั้ง DPO หากเข้าหลักเกณฑ์ (เช่น process sensitive data หรือมีข้อมูลจานวน
54 Data Controller Responsibilities 1. Security 2. Preventing Unauthorized Processing 3. Data Retention 4. Breach Notification 5. Record of Processing Activities (ROPA) 6. International Data Transfer 7. Secondary Data Collection 8. Data Processing Agreement (DPA) 9. Data Protection Officer (DPO)
55 หน้าที่ของ Controller (บางส่วน)
56 หน้าที่ของ Controller (บางส่วน)
57 หน้าที่ของ Controller (บางส่วน)
58 หน้าที่ของ Processor (บางส่วน)
59 หน้าที่ของ Controller & Processor (บางส่วน)
60 หน้าที่ของ Controller (บางส่วน)
61 หน้าที่ของ Controller (บางส่วน)
62 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 9. Controller ต้องจัดให้มีช่องทางให้เจ้าของข้อมูลฯ ขอใช้สิทธิต่าง ๆ ได้ สิทธิของเจ้าของข้อมูลส่วนบุคคล • Right to be informed (Privacy Notice) • Right of Access • Right to Data Portability • Right to Object • Right to be Forgotten • Right to Restrict Processing • Right of Rectification
63 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 10. ข้อมูลที่เก็บรวบรวมไว้แล้วก่อนกฎหมายบังคับใช้ สามารถ ใช้ต่อไปได้ตามวัตถุประสงค์เดิม • ถ้าใช้ฐานความยินยอม ต้องมีช่องทางให้ data subject ถอนความยินยอมได้ • ข้อมูลที่เก็บรวบรวมหลังจากวันที่กฎหมายบังคับใช้แล้ว ต้อง ดาเนินการตาม PDPA เต็มรูป • ถ้านาข้อมูลที่เก็บรวบรวมไว้ก่อนแล้วไปใช้ในวัตถุประสงค์อื่น (repurpose) ต้องดาเนินการตาม PDPA เต็มรูป
64 Scenario ที่พบบ่อยในทางการแพทย์ A. การรักษาผู้ป่วยฉุกเฉิน Lawful Basis: Vital Interest Notes: เมื่อผู้ป่วยรู้ตัวและไม่ได้อยู่ในภาวะฉุกเฉิน ควรพิจารณาแจ้ง Privacy Notice ให้ ทราบ B. การรักษาผู้ป่วย non-emergency (รวมถึงการปฏิบัติหน้าที่ของ นศ. ในฐานะส่วน หนึ่งของทีมดูแลรักษาผู้ป่วย) Lawful Basis: - Health Professional Service Contract ม.26 (5) (ก) - Legal Obligation (Preventive or Occupational Medicine) กรณีตรวจสุขภาพตาม กฎหมายแรงงานหรือการรักษาที่มีกฎหมายกาหนด เช่น พ.ร.บ.การแพทย์ฉุกเฉิน พ.ร.บ.สุขภาพจิต พ.ร.บ.ระบบสุขภาพปฐมภูมิ - การบันทึกข้อมูลในเวชระเบียน เป็น Legal Obligation ตาม พ.ร.บ.สถานพยาบาล
65 Scenario ที่พบบ่อยในทางการแพทย์ C. การรักษา/ถ่ายภาพ/เปิดเผยข้อมูลผู้ป่วยคดี Lawful Basis: Legal Obligation (Substantial Public Interest) หรืออาจได้รับ ยกเว้นการบังคับใช้ PDPA หากเป็นส่วนหนึ่งของกระบวนการพิจารณาคดีทางอาญา D. การถ่ายภาพ/ขอเปิดเผยข้อมูลผู้ป่วยเพื่อการเรียนรู้/ประโยชน์ทางวิชาการ (ไม่ใช่วิจัย) Lawful Basis: - ดาเนินการได้เลย หากไม่สามารถระบุตัวตนได้ (ไม่ใช่ข้อมูลส่วนบุคคล) - กรณีที่ระบุตัวตนได้ ควรขอ Consent - กรณีที่ระบุตัวตนได้ และใช้เพื่อประชาสัมพันธ์/marketing ต้องขอ Consent และ ให้ระวังความผิดฐานโฆษณาสถานพยาบาลหรือโฆษณาผู้ประกอบวิชาชีพฯ ด้วย
66 Scenario ที่พบบ่อยในทางการแพทย์ E. การวิจัย Lawful Basis: Archiving, Scientific or Historical Research Notes: ควรปฏิบัติตามมาตรฐานของ Ethics Committee ขององค์กรด้วย และรอติดตามประกาศตาม PDPA เกี่ยวกับมาตรการคุ้มครองเจ้าของข้อมูลฯ ในการวิจัย F. การส่งข้อมูลเพื่อเบิกจ่ายค่ารักษาพยาบาลกับกองทุนของรัฐ เช่น สปสช. สปส. กรมบัญชีกลาง Lawful Basis: - Health or Social Care System ม.26 (5) (ค)
67 Scenario ที่พบบ่อยในทางการแพทย์ G. การส่งข้อมูลสุขภาพให้บริษัทประกันเอกชน Lawful Basis: Explicit Consent H. การแจ้งข้อมูลที่เป็นการปฏิบัติตามกฎหมาย เช่น โรคติดต่ออันตราย การ แจ้งข้อมูล post-market surveillance ของยา เครื่องมือแพทย์ หรือ ผลิตภัณฑ์สุขภาพ Lawful Basis: Legal Obligation (Public Health)
68 Do’s and Don’ts ของ PDPA สาหรับบุคลากรทางการแพทย์ Do’s • คิดถึงความจาเป็นก่อนเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของ ผู้ป่วย • ในการเก็บ ใช้ หรือเปิดเผยข้อมูล ของผู้ป่วย หากไม่ต้องระบุตัวตน ด้วยชื่อ HN หรือสิ่งอื่นได้ ก็จะลด ความเสี่ยงและไม่ต้องทาตาม PDPA (แต่ระวังความเสี่ยงด้านอื่น เช่น misidentification) Don’ts • เก็บ ใช้ หรือเปิดเผยข้อมูลส่วน บุคคลของผู้ป่วยโดยไม่คิดหน้าคิด หลัง • เข้าใจผิดว่า ข้อมูลที่ไม่มีชื่อ มี เพียง HN หรือ ID บางอย่าง ไม่ใช่ ข้อมูลส่วนบุคคล และสามารถทา อะไรกับมันก็ได้
69 Do’s and Don’ts ของ PDPA สาหรับบุคลากรทางการแพทย์ Do’s • เก็บรักษาข้อมูลที่อยู่ในความดูแล ให้ปลอดภัย และลบทิ้งเมื่อหมด ความจาเป็นต้องใช้ • หากผู้ป่วยขอสาเนา ขอแก้ไข ขอ คัดค้านการเก็บ ใช้ หรือเปิดเผย ข้อมูล หรือขอลบข้อมูล ให้ผู้ป่วย ติดต่อที่หน่วยงานที่เกี่ยวข้อง เช่น แผนกเวชระเบียน หรือสานักงาน ฝ่ายบริหารของ รพ. Don’ts • เก็บข้อมูลใน USB drive หรือ media ต่างๆ ไว้เรี่ยราด ไม่ใส่ใจ เมื่ออุปกรณ์สูญหายหรือข้อมูลรั่วก็ ส่งผลกระทบ • เมื่อผู้ป่วยขอใช้สิทธิตาม PDPA ก็ ปฏิเสธไปในทันที โดยไม่ได้ ตรวจสอบข้อกฎหมายให้รอบคอบ
70 Do’s and Don’ts ของ PDPA สาหรับบุคลากรทางการแพทย์ Do’s • ในกรณีที่จาเป็น เปิดเผยข้อมูลให้ หน่วยงานภายนอกตามปกติ เพียงแต่ ให้ตรวจสอบความจาเป็นและดูแลให้ รัดกุม • ขอ Consent ในการเก็บ ใช้ หรือ เปิดเผยข้อมูล เฉพาะกรณีที่พิจารณา แล้วไม่เข้า ฐานทางกฎหมาย อื่น ๆ • หากต้องขอ Consent ในการเก็บ ใช้ หรือเปิดเผยข้อมูล ปฏิบัติเรื่อง Consent ให้ถูกต้องตามมาตรา 19 Don’ts • อ้าง PDPA ในการไม่เปิดเผยข้อมูลที่ จาเป็นต้องเปิดเผย (เช่น ให้กองทุน ประกันสุขภาพ หรือหน่วยงานที่มี อานาจตามกฎหมาย) • ขอ Consent ในการเก็บ ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลของผู้ป่วย ทุกสิ่งอย่าง ทาให้มีปัญหาเมื่อผู้ป่วย ขอถอน Consent หรือขอลบข้อมูล • บังคับ/mislead ผู้ป่วยให้ Consent
71 Do’s and Don’ts ของ PDPA สาหรับบุคลากรทางการแพทย์ Do’s • เมื่อทราบว่าข้อมูลรั่ว หรือมี เหตุการละเมิดข้อมูลส่วนบุคคล (data breach) ให้รีบแจ้ง ผู้รับผิดชอบในองค์กร เพื่อการ แก้ไขปัญหาได้ทันการณ์ (ไม่เช่นนั้นอาจมีโทษ) Don’ts • ข้อมูลรั่ว เราอยู่เงียบๆ ยิ่งคนอื่น ไม่รู้ยิ่งดี องค์กรจะเกิดความ เสียหายหรือมีโทษจากการไม่ แจ้ง เราไม่สน
72 Do’s and Don’ts ของ PDPA สาหรับบุคลากรทางการแพทย์ Do’s • จะสื่อสารข้อมูลผู้ป่วยผ่านแอป พลิเคชันต่าง ๆ เช่น LINE ก็ทา ได้ แค่ขอให้ดูแลให้รัดกุม เปิดเผยให้รู้เท่าที่จาเป็น (need-to-know) และปฏิบัติ ตามนโยบายขององค์กร Don’ts • ส่งข้อมูลผู้ป่วยเข้าในกลุ่ม LINE ที่มีคนอื่นที่ไม่จาเป็นต้องรู้ข้อมูล ผู้ป่วยอยู่เป็นจานวนมาก โดยไม่ มีเหตุผลอันสมควร
73 Do’s and Don’ts ของ PDPA สาหรับบุคลากรทางการแพทย์ Do’s • เวลามี Celeb หรือ Public Figure มารักษาที่ รพ. ก็ปฏิบัติ เหมือนผู้ป่วยทุกคน รักษา ความลับ เข้าถึงข้อมูลเฉพาะใน การปฏิบัติหน้าที่ และไม่ เปิดเผยข้อมูลให้คนที่ไม่มีความ จาเป็นต้องทราบ Don’ts • เมื่อทราบว่ามี Celeb มารักษา ฉันขอ “เผือก” เข้าไปดูข้อมูล ด้วย และฉันต้องเป็นคนแรก ๆ ที่รายงานข่าวให้เพื่อน ๆ ของ ฉันทราบ
74 ประกาศคณะกรรมการฯ เรื่อง มาตรการรักษาความมั่นคง ปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565
75 ประกาศคณะกรรมการฯ เรื่อง มาตรการรักษาความมั่นคง ปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565
76 ประกาศคณะกรรมการฯ เรื่อง มาตรการรักษาความมั่นคง ปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565
77 ประกาศคณะกรรมการฯ เรื่อง มาตรการรักษาความมั่นคง ปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565
78 ประกาศคณะกรรมการฯ เรื่อง มาตรการรักษาความมั่นคง ปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565
79 ประกาศคณะกรรมการฯ เรื่อง มาตรการรักษาความมั่นคง ปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565
80 สรุปสิ่งที่ขอเน้นย้าแก่บุคลากรเป็นพิเศษ • ไม่เข้าถึงข้อมูลผู้ป่วย/บุคคลอื่น โดยไม่มีหน้าที่/ไม่มีเหตุอันควร • ไม่ส่งต่อข้อมูลผู้ป่วย/บุคคลอื่น ที่มีชื่อ/HN/บาร์โค้ด/ใบหน้า หรือถ่ายรูปติดผู้ป่วย/ หน้าจอ/เอกสาร/X-ray ที่ปรากฏชื่อ/HN/บาร์โค้ด/ใบหน้า ให้ผู้อื่น โดยไม่มีเหตุจาเป็น (ยกเว้นกรณีรักษาพยาบาลที่จาเป็น) • ทาลายเอกสารผู้ป่วย/บุคคลอื่นที่ไม่ใช้แล้ว ไม่ Reuse/Recycle • หลีกเลี่ยงการ upload ไฟล์ข้อมูลผู้ป่วย/นศ./บุคคลอื่น ที่ระบุตัวตนได้ ให้เข้าถึงได้ จากสาธารณะ โดยไม่มีเหตุจาเป็นหรือไม่ปรึกษาก่อน • ดูแล security ของระบบสารสนเทศให้ดี (“ใช้ไอทีอย่างปลอดภัย”) • เมื่อทราบว่าข้อมูลผู้ป่วย/บุคคลอื่นรั่ว/ถูกละเมิด รีบแจ้ง IT Call Center
81 How Not to Prepare
82 How Not to Prepare
83 Privacy & PDPA Awareness Training for Ramathibodi Residents นพ.นวนรรน ธีระอัมพรพันธุ์ 5 ตุลาคม 2566 http://www.slideshare.net/nawanan

Recommended

Information Privacy & Social Media Issues in Healthcare
Information Privacy & Social Media Issues in HealthcareInformation Privacy & Social Media Issues in Healthcare
Information Privacy & Social Media Issues in HealthcareNawanan Theera-Ampornpunt
 
Ethical Issues in Health Information Privacy (October 30, 2017)
Ethical Issues in Health Information Privacy (October 30, 2017)Ethical Issues in Health Information Privacy (October 30, 2017)
Ethical Issues in Health Information Privacy (October 30, 2017)Nawanan Theera-Ampornpunt
 
The Real World for Health Records Security, Privacy & Confidentiality
The Real World for Health Records Security, Privacy & ConfidentialityThe Real World for Health Records Security, Privacy & Confidentiality
The Real World for Health Records Security, Privacy & ConfidentialityNawanan Theera-Ampornpunt
 
Information Privacy Laws in Healthcare (September 13, 2020)
Information Privacy Laws in Healthcare (September 13, 2020)Information Privacy Laws in Healthcare (September 13, 2020)
Information Privacy Laws in Healthcare (September 13, 2020)Nawanan Theera-Ampornpunt
 
Personal Healthcare and Patient Privacy (November 25, 2016)
Personal Healthcare and Patient Privacy (November 25, 2016)Personal Healthcare and Patient Privacy (November 25, 2016)
Personal Healthcare and Patient Privacy (November 25, 2016)Nawanan Theera-Ampornpunt
 
Concepts & Key Principles of PDPA Application in the Organization and Experie...
Concepts & Key Principles of PDPA Application in the Organization and Experie...Concepts & Key Principles of PDPA Application in the Organization and Experie...
Concepts & Key Principles of PDPA Application in the Organization and Experie...Nawanan Theera-Ampornpunt
 
Overview of Information Security & Privacy (February 5, 2018)
Overview of Information Security & Privacy (February 5, 2018)Overview of Information Security & Privacy (February 5, 2018)
Overview of Information Security & Privacy (February 5, 2018)Nawanan Theera-Ampornpunt
 
Privacy and Security Concerns & Consents (November 25, 2020)
Privacy and Security Concerns & Consents (November 25, 2020)Privacy and Security Concerns & Consents (November 25, 2020)
Privacy and Security Concerns & Consents (November 25, 2020)Nawanan Theera-Ampornpunt
 

Recommended

Information Privacy & Social Media Issues in Healthcare
Information Privacy & Social Media Issues in HealthcareInformation Privacy & Social Media Issues in Healthcare
Information Privacy & Social Media Issues in HealthcareNawanan Theera-Ampornpunt
 
Ethical Issues in Health Information Privacy (October 30, 2017)
Ethical Issues in Health Information Privacy (October 30, 2017)Ethical Issues in Health Information Privacy (October 30, 2017)
Ethical Issues in Health Information Privacy (October 30, 2017)Nawanan Theera-Ampornpunt
 
The Real World for Health Records Security, Privacy & Confidentiality
The Real World for Health Records Security, Privacy & ConfidentialityThe Real World for Health Records Security, Privacy & Confidentiality
The Real World for Health Records Security, Privacy & ConfidentialityNawanan Theera-Ampornpunt
 
Information Privacy Laws in Healthcare (September 13, 2020)
Information Privacy Laws in Healthcare (September 13, 2020)Information Privacy Laws in Healthcare (September 13, 2020)
Information Privacy Laws in Healthcare (September 13, 2020)Nawanan Theera-Ampornpunt
 
Personal Healthcare and Patient Privacy (November 25, 2016)
Personal Healthcare and Patient Privacy (November 25, 2016)Personal Healthcare and Patient Privacy (November 25, 2016)
Personal Healthcare and Patient Privacy (November 25, 2016)Nawanan Theera-Ampornpunt
 
Concepts & Key Principles of PDPA Application in the Organization and Experie...
Concepts & Key Principles of PDPA Application in the Organization and Experie...Concepts & Key Principles of PDPA Application in the Organization and Experie...
Concepts & Key Principles of PDPA Application in the Organization and Experie...Nawanan Theera-Ampornpunt
 
Overview of Information Security & Privacy (February 5, 2018)
Overview of Information Security & Privacy (February 5, 2018)Overview of Information Security & Privacy (February 5, 2018)
Overview of Information Security & Privacy (February 5, 2018)Nawanan Theera-Ampornpunt
 
Privacy and Security Concerns & Consents (November 25, 2020)
Privacy and Security Concerns & Consents (November 25, 2020)Privacy and Security Concerns & Consents (November 25, 2020)
Privacy and Security Concerns & Consents (November 25, 2020)Nawanan Theera-Ampornpunt
 
Overview of Information Security & Privacy (March 11, 2019)
Overview of Information Security & Privacy (March 11, 2019)Overview of Information Security & Privacy (March 11, 2019)
Overview of Information Security & Privacy (March 11, 2019)Nawanan Theera-Ampornpunt
 
Security and Privacy Management of Patient Information (October 26, 2018)
Security and Privacy Management of Patient Information (October 26, 2018)Security and Privacy Management of Patient Information (October 26, 2018)
Security and Privacy Management of Patient Information (October 26, 2018)Nawanan Theera-Ampornpunt
 
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...Nawanan Theera-Ampornpunt
 
Ethical Issues in Health Information Privacy
Ethical Issues in Health Information PrivacyEthical Issues in Health Information Privacy
Ethical Issues in Health Information PrivacyNawanan Theera-Ampornpunt
 
Health Information Privacy & Security Management: Part 1 (May 13, 2019)
Health Information Privacy & Security Management: Part 1 (May 13, 2019)Health Information Privacy & Security Management: Part 1 (May 13, 2019)
Health Information Privacy & Security Management: Part 1 (May 13, 2019)Nawanan Theera-Ampornpunt
 
Patient Privacy and Security of Health Information for Dental Students
Patient Privacy and Security of Health Information for Dental StudentsPatient Privacy and Security of Health Information for Dental Students
Patient Privacy and Security of Health Information for Dental StudentsNawanan Theera-Ampornpunt
 
S: Security & Privacy of Information and Social Media (Personnel Safety Goals...
S: Security & Privacy of Information and Social Media (Personnel Safety Goals...S: Security & Privacy of Information and Social Media (Personnel Safety Goals...
S: Security & Privacy of Information and Social Media (Personnel Safety Goals...Nawanan Theera-Ampornpunt
 
20171006 ใช้สารสนเทศอย่างไร ให้ปลอดภัยถูกกฎหมายและจริยธรรม
20171006 ใช้สารสนเทศอย่างไร ให้ปลอดภัยถูกกฎหมายและจริยธรรม20171006 ใช้สารสนเทศอย่างไร ให้ปลอดภัยถูกกฎหมายและจริยธรรม
20171006 ใช้สารสนเทศอย่างไร ให้ปลอดภัยถูกกฎหมายและจริยธรรมNawanan Theera-Ampornpunt
 
Patient Data Privacy in Hospitals (July 12, 2018)
Patient Data Privacy in Hospitals (July 12, 2018)Patient Data Privacy in Hospitals (July 12, 2018)
Patient Data Privacy in Hospitals (July 12, 2018)Nawanan Theera-Ampornpunt
 
Laws on Personal Health Information (November 23, 2018)
Laws on Personal Health Information (November 23, 2018)Laws on Personal Health Information (November 23, 2018)
Laws on Personal Health Information (November 23, 2018)Nawanan Theera-Ampornpunt
 
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...Nawanan Theera-Ampornpunt
 
Overview of Information Security & Privacy (August 10, 2016)
Overview of Information Security & Privacy (August 10, 2016)Overview of Information Security & Privacy (August 10, 2016)
Overview of Information Security & Privacy (August 10, 2016)Nawanan Theera-Ampornpunt
 
Personal Data Protection Act in Healthcare (January 21, 2021)
Personal Data Protection Act in Healthcare (January 21, 2021)Personal Data Protection Act in Healthcare (January 21, 2021)
Personal Data Protection Act in Healthcare (January 21, 2021)Nawanan Theera-Ampornpunt
 
Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)
Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)
Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)Nawanan Theera-Ampornpunt
 
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...Nawanan Theera-Ampornpunt
 
Patients, Users, and the Organization are Secure from Using the Hospital Info...
Patients, Users, and the Organization are Secure from Using the Hospital Info...Patients, Users, and the Organization are Secure from Using the Hospital Info...
Patients, Users, and the Organization are Secure from Using the Hospital Info...Nawanan Theera-Ampornpunt
 
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)Nawanan Theera-Ampornpunt
 
Ramathibodi Security Awareness Training (February 21, 2020)
Ramathibodi Security Awareness Training (February 21, 2020)Ramathibodi Security Awareness Training (February 21, 2020)
Ramathibodi Security Awareness Training (February 21, 2020)Nawanan Theera-Ampornpunt
 
Data Protection Act and Healthcare - How Hospitals Should Prepare (June 20, 2...
Data Protection Act and Healthcare - How Hospitals Should Prepare (June 20, 2...Data Protection Act and Healthcare - How Hospitals Should Prepare (June 20, 2...
Data Protection Act and Healthcare - How Hospitals Should Prepare (June 20, 2...Nawanan Theera-Ampornpunt
 
Health Tech: Technology, Health & the Law (August 24, 2017)
Health Tech: Technology, Health & the Law (August 24, 2017)Health Tech: Technology, Health & the Law (August 24, 2017)
Health Tech: Technology, Health & the Law (August 24, 2017)Nawanan Theera-Ampornpunt
 
Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)Nawanan Theera-Ampornpunt
 
Case Study PDPA Workshop (September 15, 2023)
Case Study PDPA Workshop (September 15, 2023)Case Study PDPA Workshop (September 15, 2023)
Case Study PDPA Workshop (September 15, 2023)Nawanan Theera-Ampornpunt
 

More Related Content

Similar to Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)

Overview of Information Security & Privacy (March 11, 2019)
Overview of Information Security & Privacy (March 11, 2019)Overview of Information Security & Privacy (March 11, 2019)
Overview of Information Security & Privacy (March 11, 2019)Nawanan Theera-Ampornpunt
 
Security and Privacy Management of Patient Information (October 26, 2018)
Security and Privacy Management of Patient Information (October 26, 2018)Security and Privacy Management of Patient Information (October 26, 2018)
Security and Privacy Management of Patient Information (October 26, 2018)Nawanan Theera-Ampornpunt
 
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...Nawanan Theera-Ampornpunt
 
Ethical Issues in Health Information Privacy
Ethical Issues in Health Information PrivacyEthical Issues in Health Information Privacy
Ethical Issues in Health Information PrivacyNawanan Theera-Ampornpunt
 
Health Information Privacy & Security Management: Part 1 (May 13, 2019)
Health Information Privacy & Security Management: Part 1 (May 13, 2019)Health Information Privacy & Security Management: Part 1 (May 13, 2019)
Health Information Privacy & Security Management: Part 1 (May 13, 2019)Nawanan Theera-Ampornpunt
 
Patient Privacy and Security of Health Information for Dental Students
Patient Privacy and Security of Health Information for Dental StudentsPatient Privacy and Security of Health Information for Dental Students
Patient Privacy and Security of Health Information for Dental StudentsNawanan Theera-Ampornpunt
 
S: Security & Privacy of Information and Social Media (Personnel Safety Goals...
S: Security & Privacy of Information and Social Media (Personnel Safety Goals...S: Security & Privacy of Information and Social Media (Personnel Safety Goals...
S: Security & Privacy of Information and Social Media (Personnel Safety Goals...Nawanan Theera-Ampornpunt
 
20171006 ใช้สารสนเทศอย่างไร ให้ปลอดภัยถูกกฎหมายและจริยธรรม
20171006 ใช้สารสนเทศอย่างไร ให้ปลอดภัยถูกกฎหมายและจริยธรรม20171006 ใช้สารสนเทศอย่างไร ให้ปลอดภัยถูกกฎหมายและจริยธรรม
20171006 ใช้สารสนเทศอย่างไร ให้ปลอดภัยถูกกฎหมายและจริยธรรมNawanan Theera-Ampornpunt
 
Patient Data Privacy in Hospitals (July 12, 2018)
Patient Data Privacy in Hospitals (July 12, 2018)Patient Data Privacy in Hospitals (July 12, 2018)
Patient Data Privacy in Hospitals (July 12, 2018)Nawanan Theera-Ampornpunt
 
Laws on Personal Health Information (November 23, 2018)
Laws on Personal Health Information (November 23, 2018)Laws on Personal Health Information (November 23, 2018)
Laws on Personal Health Information (November 23, 2018)Nawanan Theera-Ampornpunt
 
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...Nawanan Theera-Ampornpunt
 
Overview of Information Security & Privacy (August 10, 2016)
Overview of Information Security & Privacy (August 10, 2016)Overview of Information Security & Privacy (August 10, 2016)
Overview of Information Security & Privacy (August 10, 2016)Nawanan Theera-Ampornpunt
 
Personal Data Protection Act in Healthcare (January 21, 2021)
Personal Data Protection Act in Healthcare (January 21, 2021)Personal Data Protection Act in Healthcare (January 21, 2021)
Personal Data Protection Act in Healthcare (January 21, 2021)Nawanan Theera-Ampornpunt
 
Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)
Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)
Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)Nawanan Theera-Ampornpunt
 
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...Nawanan Theera-Ampornpunt
 
Patients, Users, and the Organization are Secure from Using the Hospital Info...
Patients, Users, and the Organization are Secure from Using the Hospital Info...Patients, Users, and the Organization are Secure from Using the Hospital Info...
Patients, Users, and the Organization are Secure from Using the Hospital Info...Nawanan Theera-Ampornpunt
 
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)Nawanan Theera-Ampornpunt
 
Ramathibodi Security Awareness Training (February 21, 2020)
Ramathibodi Security Awareness Training (February 21, 2020)Ramathibodi Security Awareness Training (February 21, 2020)
Ramathibodi Security Awareness Training (February 21, 2020)Nawanan Theera-Ampornpunt
 
Data Protection Act and Healthcare - How Hospitals Should Prepare (June 20, 2...
Data Protection Act and Healthcare - How Hospitals Should Prepare (June 20, 2...Data Protection Act and Healthcare - How Hospitals Should Prepare (June 20, 2...
Data Protection Act and Healthcare - How Hospitals Should Prepare (June 20, 2...Nawanan Theera-Ampornpunt
 
Health Tech: Technology, Health & the Law (August 24, 2017)
Health Tech: Technology, Health & the Law (August 24, 2017)Health Tech: Technology, Health & the Law (August 24, 2017)
Health Tech: Technology, Health & the Law (August 24, 2017)Nawanan Theera-Ampornpunt
 

Similar to Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023) (20)

Overview of Information Security & Privacy (March 11, 2019)
Overview of Information Security & Privacy (March 11, 2019)Overview of Information Security & Privacy (March 11, 2019)
Overview of Information Security & Privacy (March 11, 2019)
 
Security and Privacy Management of Patient Information (October 26, 2018)
Security and Privacy Management of Patient Information (October 26, 2018)Security and Privacy Management of Patient Information (October 26, 2018)
Security and Privacy Management of Patient Information (October 26, 2018)
 
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
 
Ethical Issues in Health Information Privacy
Ethical Issues in Health Information PrivacyEthical Issues in Health Information Privacy
Ethical Issues in Health Information Privacy
 
Health Information Privacy & Security Management: Part 1 (May 13, 2019)
Health Information Privacy & Security Management: Part 1 (May 13, 2019)Health Information Privacy & Security Management: Part 1 (May 13, 2019)
Health Information Privacy & Security Management: Part 1 (May 13, 2019)
 
Patient Privacy and Security of Health Information for Dental Students
Patient Privacy and Security of Health Information for Dental StudentsPatient Privacy and Security of Health Information for Dental Students
Patient Privacy and Security of Health Information for Dental Students
 
S: Security & Privacy of Information and Social Media (Personnel Safety Goals...
S: Security & Privacy of Information and Social Media (Personnel Safety Goals...S: Security & Privacy of Information and Social Media (Personnel Safety Goals...
S: Security & Privacy of Information and Social Media (Personnel Safety Goals...
 
20171006 ใช้สารสนเทศอย่างไร ให้ปลอดภัยถูกกฎหมายและจริยธรรม
20171006 ใช้สารสนเทศอย่างไร ให้ปลอดภัยถูกกฎหมายและจริยธรรม20171006 ใช้สารสนเทศอย่างไร ให้ปลอดภัยถูกกฎหมายและจริยธรรม
20171006 ใช้สารสนเทศอย่างไร ให้ปลอดภัยถูกกฎหมายและจริยธรรม
 
Patient Data Privacy in Hospitals (July 12, 2018)
Patient Data Privacy in Hospitals (July 12, 2018)Patient Data Privacy in Hospitals (July 12, 2018)
Patient Data Privacy in Hospitals (July 12, 2018)
 
Laws on Personal Health Information (November 23, 2018)
Laws on Personal Health Information (November 23, 2018)Laws on Personal Health Information (November 23, 2018)
Laws on Personal Health Information (November 23, 2018)
 
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
 
Overview of Information Security & Privacy (August 10, 2016)
Overview of Information Security & Privacy (August 10, 2016)Overview of Information Security & Privacy (August 10, 2016)
Overview of Information Security & Privacy (August 10, 2016)
 
Personal Data Protection Act in Healthcare (January 21, 2021)
Personal Data Protection Act in Healthcare (January 21, 2021)Personal Data Protection Act in Healthcare (January 21, 2021)
Personal Data Protection Act in Healthcare (January 21, 2021)
 
Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)
Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)
Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)
 
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
 
Patients, Users, and the Organization are Secure from Using the Hospital Info...
Patients, Users, and the Organization are Secure from Using the Hospital Info...Patients, Users, and the Organization are Secure from Using the Hospital Info...
Patients, Users, and the Organization are Secure from Using the Hospital Info...
 
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
 
Ramathibodi Security Awareness Training (February 21, 2020)
Ramathibodi Security Awareness Training (February 21, 2020)Ramathibodi Security Awareness Training (February 21, 2020)
Ramathibodi Security Awareness Training (February 21, 2020)
 
Data Protection Act and Healthcare - How Hospitals Should Prepare (June 20, 2...
Data Protection Act and Healthcare - How Hospitals Should Prepare (June 20, 2...Data Protection Act and Healthcare - How Hospitals Should Prepare (June 20, 2...
Data Protection Act and Healthcare - How Hospitals Should Prepare (June 20, 2...
 
Health Tech: Technology, Health & the Law (August 24, 2017)
Health Tech: Technology, Health & the Law (August 24, 2017)Health Tech: Technology, Health & the Law (August 24, 2017)
Health Tech: Technology, Health & the Law (August 24, 2017)
 

More from Nawanan Theera-Ampornpunt

Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)Nawanan Theera-Ampornpunt
 
Case Study PDPA Workshop (September 15, 2023)
Case Study PDPA Workshop (September 15, 2023)Case Study PDPA Workshop (September 15, 2023)
Case Study PDPA Workshop (September 15, 2023)Nawanan Theera-Ampornpunt
 
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)Nawanan Theera-Ampornpunt
 
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)Nawanan Theera-Ampornpunt
 
Relationship Between Thailand's Official Information Act and Personal Data Pr...
Relationship Between Thailand's Official Information Act and Personal Data Pr...Relationship Between Thailand's Official Information Act and Personal Data Pr...
Relationship Between Thailand's Official Information Act and Personal Data Pr...Nawanan Theera-Ampornpunt
 
Social Media - PDPA: Is There A Way Out? (October 19, 2022)
Social Media - PDPA: Is There A Way Out? (October 19, 2022)Social Media - PDPA: Is There A Way Out? (October 19, 2022)
Social Media - PDPA: Is There A Way Out? (October 19, 2022)Nawanan Theera-Ampornpunt
 
Do's and Don'ts on PDPA for Doctors (May 31, 2022)
Do's and Don'ts on PDPA for Doctors (May 31, 2022)Do's and Don'ts on PDPA for Doctors (May 31, 2022)
Do's and Don'ts on PDPA for Doctors (May 31, 2022)Nawanan Theera-Ampornpunt
 
Telemedicine: A Health Informatician's Point of View
Telemedicine: A Health Informatician's Point of ViewTelemedicine: A Health Informatician's Point of View
Telemedicine: A Health Informatician's Point of ViewNawanan Theera-Ampornpunt
 
การบริหารความเสี่ยงคณะฯ (February 9, 2022)
การบริหารความเสี่ยงคณะฯ (February 9, 2022)การบริหารความเสี่ยงคณะฯ (February 9, 2022)
การบริหารความเสี่ยงคณะฯ (February 9, 2022)Nawanan Theera-Ampornpunt
 
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)Nawanan Theera-Ampornpunt
 
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)Nawanan Theera-Ampornpunt
 
Digital Health Transformation for Health Executives (January 18, 2022)
Digital Health Transformation for Health Executives (January 18, 2022)Digital Health Transformation for Health Executives (January 18, 2022)
Digital Health Transformation for Health Executives (January 18, 2022)Nawanan Theera-Ampornpunt
 
Updates on Privacy & Security Laws (November 26, 2021)
Updates on Privacy & Security Laws (November 26, 2021)Updates on Privacy & Security Laws (November 26, 2021)
Updates on Privacy & Security Laws (November 26, 2021)Nawanan Theera-Ampornpunt
 
Health Informatics for Clinical Research (November 25, 2021)
Health Informatics for Clinical Research (November 25, 2021)Health Informatics for Clinical Research (November 25, 2021)
Health Informatics for Clinical Research (November 25, 2021)Nawanan Theera-Ampornpunt
 
Research Ethics and Ethics for Health Informaticians (November 15, 2021)
Research Ethics and Ethics for Health Informaticians (November 15, 2021)Research Ethics and Ethics for Health Informaticians (November 15, 2021)
Research Ethics and Ethics for Health Informaticians (November 15, 2021)Nawanan Theera-Ampornpunt
 
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...Nawanan Theera-Ampornpunt
 
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...Nawanan Theera-Ampornpunt
 
Health Information Privacy and Security (November 8, 2021)
Health Information Privacy and Security (November 8, 2021)Health Information Privacy and Security (November 8, 2021)
Health Information Privacy and Security (November 8, 2021)Nawanan Theera-Ampornpunt
 

More from Nawanan Theera-Ampornpunt (20)

Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)
 
Case Study PDPA Workshop (September 15, 2023)
Case Study PDPA Workshop (September 15, 2023)Case Study PDPA Workshop (September 15, 2023)
Case Study PDPA Workshop (September 15, 2023)
 
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
 
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
 
Relationship Between Thailand's Official Information Act and Personal Data Pr...
Relationship Between Thailand's Official Information Act and Personal Data Pr...Relationship Between Thailand's Official Information Act and Personal Data Pr...
Relationship Between Thailand's Official Information Act and Personal Data Pr...
 
Social Media - PDPA: Is There A Way Out? (October 19, 2022)
Social Media - PDPA: Is There A Way Out? (October 19, 2022)Social Media - PDPA: Is There A Way Out? (October 19, 2022)
Social Media - PDPA: Is There A Way Out? (October 19, 2022)
 
Do's and Don'ts on PDPA for Doctors (May 31, 2022)
Do's and Don'ts on PDPA for Doctors (May 31, 2022)Do's and Don'ts on PDPA for Doctors (May 31, 2022)
Do's and Don'ts on PDPA for Doctors (May 31, 2022)
 
Telemedicine: A Health Informatician's Point of View
Telemedicine: A Health Informatician's Point of ViewTelemedicine: A Health Informatician's Point of View
Telemedicine: A Health Informatician's Point of View
 
Meeting Management (March 2, 2022)
Meeting Management (March 2, 2022)Meeting Management (March 2, 2022)
Meeting Management (March 2, 2022)
 
การบริหารความเสี่ยงคณะฯ (February 9, 2022)
การบริหารความเสี่ยงคณะฯ (February 9, 2022)การบริหารความเสี่ยงคณะฯ (February 9, 2022)
การบริหารความเสี่ยงคณะฯ (February 9, 2022)
 
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
 
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)
 
Digital Health Transformation for Health Executives (January 18, 2022)
Digital Health Transformation for Health Executives (January 18, 2022)Digital Health Transformation for Health Executives (January 18, 2022)
Digital Health Transformation for Health Executives (January 18, 2022)
 
Updates on Privacy & Security Laws (November 26, 2021)
Updates on Privacy & Security Laws (November 26, 2021)Updates on Privacy & Security Laws (November 26, 2021)
Updates on Privacy & Security Laws (November 26, 2021)
 
Hospital Informatics (November 26, 2021)
Hospital Informatics (November 26, 2021)Hospital Informatics (November 26, 2021)
Hospital Informatics (November 26, 2021)
 
Health Informatics for Clinical Research (November 25, 2021)
Health Informatics for Clinical Research (November 25, 2021)Health Informatics for Clinical Research (November 25, 2021)
Health Informatics for Clinical Research (November 25, 2021)
 
Research Ethics and Ethics for Health Informaticians (November 15, 2021)
Research Ethics and Ethics for Health Informaticians (November 15, 2021)Research Ethics and Ethics for Health Informaticians (November 15, 2021)
Research Ethics and Ethics for Health Informaticians (November 15, 2021)
 
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
 
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
 
Health Information Privacy and Security (November 8, 2021)
Health Information Privacy and Security (November 8, 2021)Health Information Privacy and Security (November 8, 2021)
Health Information Privacy and Security (November 8, 2021)
 

Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)

  • 1. 1 Privacy & PDPA Awareness Training for Ramathibodi Residents นพ.นวนรรน ธีระอัมพรพันธุ์ 5 ตุลาคม 2566 http://www.slideshare.net/nawanan
  • 2. 2 2546 แพทยศาสตรบัณฑิต (รามาธิบดีรุ่นที่ 33) 2554 Ph.D. (Health Informatics), Univ. of Minnesota รองคณบดีฝ่ายปฏิบัติการ อาจารย์ ภาควิชาระบาดวิทยาคลินิกและชีวสถิติ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี ความสนใจ: Health IT, Social Media, Security & Privacy nawanan.the@mahidol.ac.th SlideShare.net/Nawanan Nawanan Theera-Ampornpunt Line ID: NawananT แนะนาตัว นพ.นวนรรน ธีระอัมพรพันธุ์
  • 4. 4 Outline • ทาไมเราต้องแคร์เรื่อง Privacy? • Security & Privacy กับข้อมูลผู้ป่วย • กฎหมายและแนวปฏิบัติด้าน Privacy ของข้อมูล ส่วนบุคคล
  • 9. 9 เรื่องเล่าจากรามาธิบดี #1: Public Figure’s Privacy การเข้าถึงข้อมูลของบุคคลสาธารณะ ที่มารับการรักษาที่รามาธิบดี ด้วยความอยากรู้อยากเห็น โดยไม่มีเหตุผลอันสมควร
  • 12. 12 ▪ Privacy: “The ability of an individual or group to seclude themselves or information about themselves and thereby reveal themselves selectively.” (Wikipedia) ▪ Information Security: “Protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, perusal, inspection, recording or destruction” (Wikipedia) Security & Privacy
  • 13. 13 ▪ Confidentiality (ข้อมูลความลับ) ▪ Integrity (การแก้ไข/ลบ/เพิ่มข้อมูลโดยมิชอบ) ▪ Availability (ระบบล่ม ใช้การไม่ได้) สิ่งที่เป็นเป้าหมายการโจมตี Security: CIA Triad
  • 14. 14 Line เสี่ยงต่อการละเมิด Privacy ผู้ป่วยได้อย่างไร? • ข้อความใน Line group มีคนเห็นหลายคน • ถูก capture หรือ forward ไป share ต่อได้ • ข้อมูล cache ที่เก็บใน mobile device อาจถูกอ่านได้ (เช่น ทาอุปกรณ์หาย หรือเผลอวางเอาไว้) • ข้อมูลที่ส่งผ่าน network อาจไม่ได้เข้ารหัส • บริษัท Line เข้าถึงได้ และอาจถูก hack ได้ • มีคนเดา Password ได้ • ส่งผิดกลุ่ม
  • 15. 15 ทางออกสาหรับการ Consult Case ผู้ป่วย • ใช้ช่องทางอื่นที่ไม่มีการเก็บ record ข้อมูล หากทาได้ ยกเว้นจาเป็น • ปกปิดชื่อ, HN, เลขที่เตียง หรือข้อมูลที่ระบุตัวตนผู้ป่วยได้ (รวมทั้ง ในภาพ image) หากไม่มีความจาเป็น (เช่น เพื่อการแลกเปลี่ยน เรียนรู้) • แต่กรณีที่จาเป็น เช่น การสื่อสาร consult case ผู้ป่วย การสั่งการ รักษา ให้ระบุตัวตนของผู้ป่วยเพื่อป้องกันข้อผิดพลาด • Limit คนที่เข้าถึง (เช่น ไม่คุยเรื่อง case ผู้ป่วยผ่าน Line group แต่คุยส่วนตัวเท่านั้น) • ใช้อย่างปลอดภัย (ไม่แชร์ต่อแก่ผู้ไม่เกี่ยวข้อง, Password, ดูแลอุปกรณ์ไว้กับตัว, ตรวจสอบ malware ฯลฯ)
  • 18. 18 หลักจริยธรรมทางการแพทย์ที่เกี่ยวกับ Privacy • Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย) • Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย) • Non-maleficence (หลักการไม่ทาอันตรายต่อผู้ป่วย) “First, Do No Harm.”
  • 19. 19 Hippocratic Oath ... What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about. ... http://en.wikipedia.org/wiki/Hippocratic_Oath
  • 20. 20 ตัวอย่างแนวทางการคุ้มครอง Privacy • Informed consent • Privacy notice • Privacy culture • User awareness building & education • Organizational policy & regulations ▪ Enforcement ▪ Ongoing privacy & security assessments, monitoring, and protection
  • 22. 22 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • หมวด 1 คณะกรรมการคุ้มครอง ข้อมูลส่วนบุคคล • หมวด 2 การคุ้มครองข้อมูลส่วน บุคคล – ส่วนที่ 1 บททั่วไป – ส่วนที่ 2 การเก็บรวบรวมข้อมูล ส่วนบุคคล – ส่วนที่ 3 การใช้หรือเปิดเผยข้อมูล ส่วนบุคคล • หมวด 3 สิทธิของเจ้าของข้อมูลส่วน บุคคล • หมวด 4 สานักงานคณะกรรมการ คุ้มครองข้อมูลส่วนบุคคล • หมวด 5 การร้องเรียน • หมวด 6 ความรับผิดทางแพ่ง • หมวด 7 บทกาหนดโทษ – ส่วนที่ 1 โทษอาญา – ส่วนที่ 2 โทษทางปกครอง • บทเฉพาะกาล
  • 23. 23 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 1. PDPA ไม่ได้มา “ยกเลิก” กฎหมายอื่นที่ เกี่ยวข้องกับข้อมูลส่วนบุคคล เพียงแต่กาหนด หลักการเพิ่มเติม เงื่อนไขและหน้าที่ที่ต้อง ปฏิบัติ และสิทธิที่เจ้าของข้อมูลส่วนบุคคลมี
  • 24. 24 ประมวลกฎหมายอาญา มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็นเจ้าพนักงาน ผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร คนจาหน่ายยา นางผดุง ครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วยในการประกอบอาชีพนั้น แล้ว เปิดเผยความลับนั้นในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้อง ระวางโทษจาคุกไม่เกินหกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจาทั้งปรับ ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผยความลับของผู้อื่น อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น ในประการที่น่าจะเกิดความ เสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษเช่นเดียวกัน
  • 25. 25 ข้อบังคับแพทยสภา ว่าด้วยการรักษาจริยธรรม แห่งวิชาชีพเวชกรรม พ.ศ. 2565 วิชาชีพอื่นๆ ด้านสุขภาพ และคณะกรรมการประกอบโรคศิลปะ มีข้อบังคับใน ทานองเดียวกัน
  • 27. 27 พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะ นาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การ เปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมาย เฉพาะบัญญัติให้ต้องเปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจ หรือสิทธิตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมายอื่น เพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่ของตนไม่ได้
  • 28. 28 พ.ร.บ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540 “เปิดเผยเป็นหลัก ปกปิดเป็นข้อยกเว้น” มาตรา 15 ข้อมูลข่าวสารของราชการที่มีลักษณะอย่างหนึ่งอย่างใดดังต่อไปนี้ หน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐอาจมีคาสั่งมิให้เปิดเผยก็ได้ โดยคานึงถึง การปฏิบัติหน้าที่ตามกฎหมาย...ประกอบกัน... (5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคลซึ่งการเปิดเผยจะเป็นการ รุกล้าสิทธิส่วนบุคคลโดยไม่สมควร (6) ข้อมูลข่าวสารของราชการที่มีกฎหมายคุ้มครองมิให้เปิดเผย...
  • 32. 32 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 2. PDPA วางหลักการทั่วไปของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เก็บรวบรวม (Collection) ใช้ (Use) เปิดเผย (Disclosure) กระบวนการเกี่ยวกับข้อมูลส่วนบุคคล ประมวลผล (Processing) = เก็บรวบรวม + ใช้ + เปิดเผย (+ จัดเก็บ/เก็บรักษา + วิเคราะห์ + แสดงผล + ทารายงาน + แก้ไข + ลบ/ทาลาย ฯลฯ)
  • 33. 33 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 3. ข้อมูลส่วนบุคคล (Personal Data) คือ ข้อมูลเกี่ยวกับบุคคล ซึ่งทาให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ แบ่งเป็น 2 ประเภท • ข้อมูลส่วนบุคคลทั่วไป (General/Non-Sensitive Personal Data) • ข้อมูลส่วนบุคคลอ่อนไหว/ละเอียดอ่อน (Sensitive Personal Data)
  • 34. 34 Sensitive Personal Data Reference: PDPA ม.26 “ข้อมูลชีวภาพ” ตาม PDPA คือ Biometric Data (ที่ถูก คือ ข้อมูล ชีวมาตร/ชีวมิติ) ใน พ.ร.บ. ใช้คาผิด แต่คาอธิบายใน พ.ร.บ. หมายถึง Biometric Data
  • 35. 35 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 4. ใครเป็นใคร ใน PDPA • Data Subject (เจ้าของข้อมูลฯ) • Controller (เก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อ วัตถุประสงค์ในกิจการของตน) • Processor (ทาตามสั่ง/ในนาม ของ Controller)
  • 36. 36 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 5. PDPA กาหนดว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จะต้อง ทา “เท่าที่จาเป็น” (ตามหลักการ Data Minimization) • การเก็บรวบรวม ใช้ หรือเปิดเผยเกินความจาเป็น เป็นความเสี่ยงของทั้ง controller และ data subject • แต่ไม่ได้แปลว่าถ้าจาเป็นแล้วจะเก็บรวบรวม ใช้ หรือเปิดเผยไม่ได้ • “จาเป็น” -> มี “ฐานทางกฎหมาย” (lawful basis) 1 ใน 7 ฐาน ซึ่งไม่ใช่ ว่าต้องขอความยินยอมก่อนเสมอไป ความยินยอมเป็นเพียง “ฐานทาง กฎหมาย” (lawful basis) เดียวจากทั้งหมด 7 ฐานเท่านั้น โดยแต่ละฐาน จะมีเงื่อนไขและสถานการณ์ที่ควรนามาใช้แตกต่างกัน
  • 37. 37 ฐานทางกฎหมายใน PDPA (กรณีไม่ใช่ข้อมูลส่วนบุคคลที่ sensitive) 1. การจัดทาเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือการ ศึกษาวิจัยหรือสถิติ (Archiving, Research or Statistics) 2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล (Vital Interest) 3. เป็นการจาเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลฯ เป็นคู่สัญญา หรือเพื่อใช้ใน การดาเนินการตามคาขอก่อนเข้าทาสัญญา (Contractual Performance) 4. เป็นการจาเป็นเพื่อการปฏิบัติหน้าที่ในการดาเนินภารกิจเพื่อประโยชน์สาธารณะ หรือ ในการใช้อานาจรัฐ (Public Task) 5. เป็นการจาเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย เว้นแต่ประโยชน์ดังกล่าวมี ความสาคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลฯ (Legitimate Interest) 6. เป็นการปฏิบัติตามกฎหมาย (Legal Obligation) 7. ได้รับความยินยอม (Consent) Reference: PDPA ม.24
  • 38. 38 ฐานการประมวลผลข้อมูล (Lawful Basis in PDPA) สาหรับข้อมูลส่วนบุคคลที่ ไม่ใช่ Sensitive Personal Data Reference: PDPA ม.24
  • 39. 39 ฐานการประมวลผลข้อมูล (Lawful Basis in PDPA) สาหรับ Sensitive Personal Data Reference: PDPA ม.26
  • 41. 41 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้รับความ ยินยอมโดยชัดแจ้ง (มาตรา 26) (1) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่ง เจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใดก็ตาม (2) เป็นการดาเนินกิจกรรมโดยชอบด้วยกฎหมายที่มีการคุ้มครองที่เหมาะสม ของมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรที่มีวัตถุประสงค์เกี่ยวกับ การเมือง ศาสนา ปรัชญา หรือสหภาพแรงงานให้แก่สมาชิก ผู้ซึ่งเคยเป็นสมาชิก หรือผู้ซึ่งมีการติดต่ออย่างสม่าเสมอกับมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหา กาไรตามวัตถุประสงค์ดังกล่าวโดยไม่ได้เปิดเผยข้อมูลส่วนบุคคลนั้นออกไป ภายนอกมูลนิธิ สมาคม หรือองค์กรที่ไม่แสวงหากาไรนั้น Reference: PDPA ม.26
  • 42. 42 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้รับความ ยินยอมโดยชัดแจ้ง (มาตรา 26) (3) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของ เจ้าของข้อมูลส่วนบุคคล (4) เป็นการจาเป็นเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติ ตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิ เรียกร้องตามกฎหมาย Reference: PDPA ม.26
  • 43. 43 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้รับความ ยินยอมโดยชัดแจ้ง (มาตรา 26) (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ (ก) เวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์ การประเมินความสามารถในการทางาน ของลูกจ้าง การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพหรือด้านสังคม การรักษาทางการแพทย์ การจัดการด้านสุขภาพ หรือระบบและการให้บริการด้าน สังคมสงเคราะห์ ทั้งนี้ ในกรณีที่ไม่ใช่การปฏิบัติตามกฎหมายและข้อมูลส่วนบุคคลนั้น อยู่ในความรับผิดชอบของผู้ประกอบอาชีพหรือวิชาชีพหรือผู้มีหน้าที่รักษาข้อมูลส่วน บุคคลนั้นไว้เป็นความลับตามกฎหมาย ต้องเป็นการปฏิบัติตามสัญญาระหว่างเจ้าของ ข้อมูลส่วนบุคคลกับผู้ประกอบวิชาชีพทางการแพทย์ Reference: PDPA ม.26
  • 44. 44 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้รับความ ยินยอมโดยชัดแจ้ง (มาตรา 26) (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ (ข) ประโยชน์สาธารณะด้านการสาธารณสุข เช่น การป้องกันด้านสุขภาพจากโรคติดต่อ อันตรายหรือโรคระบาดที่อาจติดต่อหรือแพร่เข้ามาในราชอาณาจักร หรือการควบคุม มาตรฐานหรือคุณภาพของยา เวชภัณฑ์ หรือเครื่องมือแพทย์ ซึ่งได้จัดให้มีมาตรการที่ เหมาะสมและเจาะจงเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะการรักษาความลับของข้อมูลส่วนบุคคลตามหน้าที่หรือตามจริยธรรมแห่ง วิชาชีพ Reference: PDPA ม.26
  • 45. 45 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้รับความ ยินยอมโดยชัดแจ้ง (มาตรา 26) (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ (ค) การคุ้มครองแรงงาน การประกันสังคม หลักประกันสุขภาพแห่งชาติ สวัสดิการ เกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย การคุ้มครองผู้ประสบภัยจากรถ หรือการคุ้มครองทางสังคม ซึ่งการเก็บรวบรวมข้อมูลส่วนบุคคลเป็นสิ่งจาเป็นในการ ปฏิบัติตามสิทธิหรือหน้าที่ของผู้ควบคุมข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วนบุคคล โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของ เจ้าของข้อมูลส่วนบุคคล Reference: PDPA ม.26
  • 46. 46 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ข้อยกเว้นการเก็บรวบรวมข้อมูลส่วนบุคคลที่เป็น Sensitive Data โดยไม่ได้รับความ ยินยอมโดยชัดแจ้ง (มาตรา 26) (5) เป็นการจาเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับ (ง) การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะ อื่น ทั้งนี้ ต้องกระทาเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวเพียงเท่าที่จาเป็นเท่านั้น และได้ จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของ ข้อมูลส่วนบุคคลตามที่คณะกรรมการประกาศกาหนด (จ) ประโยชน์สาธารณะที่สาคัญ โดยได้จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิ ขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล Reference: PDPA ม.26
  • 47. 47 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 6. ใน PDPA เราไม่ใช้ “ความยินยอม” (consent) เป็น “เหตุผลแรก” (ฐานแรก) ใน การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล แต่เราจะพิจารณาว่ามีฐานทาง กฎหมายอื่นที่เข้าได้ก่อนหรือไม่ หากไม่มี จึงค่อยใช้ “ฐานความยินยอม” (Consent should be the last resort.) • เหตุผล ฐานความยินยอมตาม PDPA ใช้เมื่อเจ้าของข้อมูลฯ มีความเป็นอิสระในการ ตัดสินใจ (ไม่ได้ถูกผูกมัดด้วยเงื่อนไขอื่น อยู่ก่อน) และ PDPA วางหลักการเรื่อง consent ที่มีเงื่อนไขค่อนข้างเยอะ เพื่อรองรับหลักการความเป็นอิสระในการ ตัดสินใจ • หมายเหตุ การไม่ใช้ฐานความยินยอมใน PDPA หมายถึงเฉพาะเรื่องการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล แต่ไม่รวมกรณีที่โรงพยาบาล/แพทย์ ต้อง ขอ consent ในการลงทะเบียนผู้ป่วย/เข้ารักษา/admit/ทาหัตถการ หรือการทา วิจัย ซึ่งเป็นไปตามหลักเกณฑ์จริยธรรมในเรื่องนั้น ๆ และนโยบายขององค์กร
  • 49. 49 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ความยินยอม (มาตรา 19) – ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทาการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หาก เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่บทบัญญัติแห่ง พ.ร.บ.นี้ หรือกฎหมายอื่นบัญญัติให้กระทาได้ – การขอความยินยอมต้องทาโดยชัดแจ้ง เป็นหนังสือหรือทาโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดย สภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้ – ในการขอความยินยอม... ต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ไปด้วย และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือ ข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทาให้ เข้าใจผิดในวัตถุประสงค์ดังกล่าว... – ในการขอความยินยอม...ผู้ควบคุมข้อมูลส่วนบุคคลต้องคานึงอย่างถึงที่สุดในความเป็นอิสระของ เจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทาสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความ จาเป็นหรือเกี่ยวข้องสาหรับการเข้าทาสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ
  • 50. 50 พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 • ความยินยอม (มาตรา 19) – เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความ ยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจากัดสิทธิในการถอนความ ยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การ ถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วน บุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบตามที่กาหนดไว้ใน หมวดนี้ – ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด ผู้ควบคุมข้อมูลส่วนบุคคลต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจาก การถอนความยินยอมนั้น – การขอความยินยอมที่ไม่เป็นไปตามที่กาหนด ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคค และไม่ทาให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถทาการเก็บรวบรวม ใช้ หรือเปิดเผย
  • 51. 51 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 7. เมื่อมีเหตุผลความจาเป็น (ฐานทางกฎหมาย) ที่จะเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลแล้ว controller ต้อง • แจ้ง Privacy Notice แก่เจ้าของข้อมูลฯ ก่อนหรือในขณะ เก็บรวบรวมข้อมูล • ใช้ตามวัตถุประสงค์เท่าที่ได้แจ้งไป (ไม่พูดอย่าง ทาอย่าง) • ถ้าจะเอาข้อมูลที่มีอยู่ไปใช้ในวัตถุประสงค์อื่น ต้องวนลูป กลับไปวิเคราะห์ฐานทางกฎหมาย และแจ้ง Privacy Notice ใหม่
  • 53. 53 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 8. ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล controller มีหน้าที่ • ดูแล Security ให้ดี • มีมาตรการป้องกันไม่ให้ผู้อื่นใช้หรือเปิดเผยข้อมูลโดยมิชอบ • ลบหรือทาลายข้อมูล เมื่อหมดความจาเป็นในการเก็บ (Data Retention Policy) • แจ้งเหตุการละเมิดข้อมูล (Breach Notification) ให้ สคส. หรือ data subject ทราบ • จัดทาบันทึกรายการ (Record of Processing Activities: ROPA) ไว้ให้ตรวจสอบ • พิจารณาเงื่อนไขการส่งหรือโอนข้อมูลไปต่างประเทศให้สอดคล้องกับ PDPA • พิจารณาเงื่อนไขการเก็บรวบรวมข้อมูลจากแหล่งอื่น (นอกจาก subject) ให้ถูกต้อง • ทาสัญญา/ข้อตกลง เป็นคาสั่งที่กาหนดเงื่อนไขการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ของ processor ที่ประมวลผลข้อมูลตามคาสั่งหรือในนามของ controller • แต่งตั้ง DPO หากเข้าหลักเกณฑ์ (เช่น process sensitive data หรือมีข้อมูลจานวน
  • 54. 54 Data Controller Responsibilities 1. Security 2. Preventing Unauthorized Processing 3. Data Retention 4. Breach Notification 5. Record of Processing Activities (ROPA) 6. International Data Transfer 7. Secondary Data Collection 8. Data Processing Agreement (DPA) 9. Data Protection Officer (DPO)
  • 59. 59 หน้าที่ของ Controller & Processor (บางส่วน)
  • 62. 62 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 9. Controller ต้องจัดให้มีช่องทางให้เจ้าของข้อมูลฯ ขอใช้สิทธิต่าง ๆ ได้ สิทธิของเจ้าของข้อมูลส่วนบุคคล • Right to be informed (Privacy Notice) • Right of Access • Right to Data Portability • Right to Object • Right to be Forgotten • Right to Restrict Processing • Right of Rectification
  • 63. 63 เรื่องที่บุคลากรทางการแพทย์ควรทราบ เกี่ยวกับ PDPA 10. ข้อมูลที่เก็บรวบรวมไว้แล้วก่อนกฎหมายบังคับใช้ สามารถ ใช้ต่อไปได้ตามวัตถุประสงค์เดิม • ถ้าใช้ฐานความยินยอม ต้องมีช่องทางให้ data subject ถอนความยินยอมได้ • ข้อมูลที่เก็บรวบรวมหลังจากวันที่กฎหมายบังคับใช้แล้ว ต้อง ดาเนินการตาม PDPA เต็มรูป • ถ้านาข้อมูลที่เก็บรวบรวมไว้ก่อนแล้วไปใช้ในวัตถุประสงค์อื่น (repurpose) ต้องดาเนินการตาม PDPA เต็มรูป
  • 64. 64 Scenario ที่พบบ่อยในทางการแพทย์ A. การรักษาผู้ป่วยฉุกเฉิน Lawful Basis: Vital Interest Notes: เมื่อผู้ป่วยรู้ตัวและไม่ได้อยู่ในภาวะฉุกเฉิน ควรพิจารณาแจ้ง Privacy Notice ให้ ทราบ B. การรักษาผู้ป่วย non-emergency (รวมถึงการปฏิบัติหน้าที่ของ นศ. ในฐานะส่วน หนึ่งของทีมดูแลรักษาผู้ป่วย) Lawful Basis: - Health Professional Service Contract ม.26 (5) (ก) - Legal Obligation (Preventive or Occupational Medicine) กรณีตรวจสุขภาพตาม กฎหมายแรงงานหรือการรักษาที่มีกฎหมายกาหนด เช่น พ.ร.บ.การแพทย์ฉุกเฉิน พ.ร.บ.สุขภาพจิต พ.ร.บ.ระบบสุขภาพปฐมภูมิ - การบันทึกข้อมูลในเวชระเบียน เป็น Legal Obligation ตาม พ.ร.บ.สถานพยาบาล
  • 65. 65 Scenario ที่พบบ่อยในทางการแพทย์ C. การรักษา/ถ่ายภาพ/เปิดเผยข้อมูลผู้ป่วยคดี Lawful Basis: Legal Obligation (Substantial Public Interest) หรืออาจได้รับ ยกเว้นการบังคับใช้ PDPA หากเป็นส่วนหนึ่งของกระบวนการพิจารณาคดีทางอาญา D. การถ่ายภาพ/ขอเปิดเผยข้อมูลผู้ป่วยเพื่อการเรียนรู้/ประโยชน์ทางวิชาการ (ไม่ใช่วิจัย) Lawful Basis: - ดาเนินการได้เลย หากไม่สามารถระบุตัวตนได้ (ไม่ใช่ข้อมูลส่วนบุคคล) - กรณีที่ระบุตัวตนได้ ควรขอ Consent - กรณีที่ระบุตัวตนได้ และใช้เพื่อประชาสัมพันธ์/marketing ต้องขอ Consent และ ให้ระวังความผิดฐานโฆษณาสถานพยาบาลหรือโฆษณาผู้ประกอบวิชาชีพฯ ด้วย
  • 66. 66 Scenario ที่พบบ่อยในทางการแพทย์ E. การวิจัย Lawful Basis: Archiving, Scientific or Historical Research Notes: ควรปฏิบัติตามมาตรฐานของ Ethics Committee ขององค์กรด้วย และรอติดตามประกาศตาม PDPA เกี่ยวกับมาตรการคุ้มครองเจ้าของข้อมูลฯ ในการวิจัย F. การส่งข้อมูลเพื่อเบิกจ่ายค่ารักษาพยาบาลกับกองทุนของรัฐ เช่น สปสช. สปส. กรมบัญชีกลาง Lawful Basis: - Health or Social Care System ม.26 (5) (ค)
  • 67. 67 Scenario ที่พบบ่อยในทางการแพทย์ G. การส่งข้อมูลสุขภาพให้บริษัทประกันเอกชน Lawful Basis: Explicit Consent H. การแจ้งข้อมูลที่เป็นการปฏิบัติตามกฎหมาย เช่น โรคติดต่ออันตราย การ แจ้งข้อมูล post-market surveillance ของยา เครื่องมือแพทย์ หรือ ผลิตภัณฑ์สุขภาพ Lawful Basis: Legal Obligation (Public Health)
  • 68. 68 Do’s and Don’ts ของ PDPA สาหรับบุคลากรทางการแพทย์ Do’s • คิดถึงความจาเป็นก่อนเก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของ ผู้ป่วย • ในการเก็บ ใช้ หรือเปิดเผยข้อมูล ของผู้ป่วย หากไม่ต้องระบุตัวตน ด้วยชื่อ HN หรือสิ่งอื่นได้ ก็จะลด ความเสี่ยงและไม่ต้องทาตาม PDPA (แต่ระวังความเสี่ยงด้านอื่น เช่น misidentification) Don’ts • เก็บ ใช้ หรือเปิดเผยข้อมูลส่วน บุคคลของผู้ป่วยโดยไม่คิดหน้าคิด หลัง • เข้าใจผิดว่า ข้อมูลที่ไม่มีชื่อ มี เพียง HN หรือ ID บางอย่าง ไม่ใช่ ข้อมูลส่วนบุคคล และสามารถทา อะไรกับมันก็ได้
  • 69. 69 Do’s and Don’ts ของ PDPA สาหรับบุคลากรทางการแพทย์ Do’s • เก็บรักษาข้อมูลที่อยู่ในความดูแล ให้ปลอดภัย และลบทิ้งเมื่อหมด ความจาเป็นต้องใช้ • หากผู้ป่วยขอสาเนา ขอแก้ไข ขอ คัดค้านการเก็บ ใช้ หรือเปิดเผย ข้อมูล หรือขอลบข้อมูล ให้ผู้ป่วย ติดต่อที่หน่วยงานที่เกี่ยวข้อง เช่น แผนกเวชระเบียน หรือสานักงาน ฝ่ายบริหารของ รพ. Don’ts • เก็บข้อมูลใน USB drive หรือ media ต่างๆ ไว้เรี่ยราด ไม่ใส่ใจ เมื่ออุปกรณ์สูญหายหรือข้อมูลรั่วก็ ส่งผลกระทบ • เมื่อผู้ป่วยขอใช้สิทธิตาม PDPA ก็ ปฏิเสธไปในทันที โดยไม่ได้ ตรวจสอบข้อกฎหมายให้รอบคอบ
  • 70. 70 Do’s and Don’ts ของ PDPA สาหรับบุคลากรทางการแพทย์ Do’s • ในกรณีที่จาเป็น เปิดเผยข้อมูลให้ หน่วยงานภายนอกตามปกติ เพียงแต่ ให้ตรวจสอบความจาเป็นและดูแลให้ รัดกุม • ขอ Consent ในการเก็บ ใช้ หรือ เปิดเผยข้อมูล เฉพาะกรณีที่พิจารณา แล้วไม่เข้า ฐานทางกฎหมาย อื่น ๆ • หากต้องขอ Consent ในการเก็บ ใช้ หรือเปิดเผยข้อมูล ปฏิบัติเรื่อง Consent ให้ถูกต้องตามมาตรา 19 Don’ts • อ้าง PDPA ในการไม่เปิดเผยข้อมูลที่ จาเป็นต้องเปิดเผย (เช่น ให้กองทุน ประกันสุขภาพ หรือหน่วยงานที่มี อานาจตามกฎหมาย) • ขอ Consent ในการเก็บ ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลของผู้ป่วย ทุกสิ่งอย่าง ทาให้มีปัญหาเมื่อผู้ป่วย ขอถอน Consent หรือขอลบข้อมูล • บังคับ/mislead ผู้ป่วยให้ Consent
  • 71. 71 Do’s and Don’ts ของ PDPA สาหรับบุคลากรทางการแพทย์ Do’s • เมื่อทราบว่าข้อมูลรั่ว หรือมี เหตุการละเมิดข้อมูลส่วนบุคคล (data breach) ให้รีบแจ้ง ผู้รับผิดชอบในองค์กร เพื่อการ แก้ไขปัญหาได้ทันการณ์ (ไม่เช่นนั้นอาจมีโทษ) Don’ts • ข้อมูลรั่ว เราอยู่เงียบๆ ยิ่งคนอื่น ไม่รู้ยิ่งดี องค์กรจะเกิดความ เสียหายหรือมีโทษจากการไม่ แจ้ง เราไม่สน
  • 72. 72 Do’s and Don’ts ของ PDPA สาหรับบุคลากรทางการแพทย์ Do’s • จะสื่อสารข้อมูลผู้ป่วยผ่านแอป พลิเคชันต่าง ๆ เช่น LINE ก็ทา ได้ แค่ขอให้ดูแลให้รัดกุม เปิดเผยให้รู้เท่าที่จาเป็น (need-to-know) และปฏิบัติ ตามนโยบายขององค์กร Don’ts • ส่งข้อมูลผู้ป่วยเข้าในกลุ่ม LINE ที่มีคนอื่นที่ไม่จาเป็นต้องรู้ข้อมูล ผู้ป่วยอยู่เป็นจานวนมาก โดยไม่ มีเหตุผลอันสมควร
  • 73. 73 Do’s and Don’ts ของ PDPA สาหรับบุคลากรทางการแพทย์ Do’s • เวลามี Celeb หรือ Public Figure มารักษาที่ รพ. ก็ปฏิบัติ เหมือนผู้ป่วยทุกคน รักษา ความลับ เข้าถึงข้อมูลเฉพาะใน การปฏิบัติหน้าที่ และไม่ เปิดเผยข้อมูลให้คนที่ไม่มีความ จาเป็นต้องทราบ Don’ts • เมื่อทราบว่ามี Celeb มารักษา ฉันขอ “เผือก” เข้าไปดูข้อมูล ด้วย และฉันต้องเป็นคนแรก ๆ ที่รายงานข่าวให้เพื่อน ๆ ของ ฉันทราบ
  • 80. 80 สรุปสิ่งที่ขอเน้นย้าแก่บุคลากรเป็นพิเศษ • ไม่เข้าถึงข้อมูลผู้ป่วย/บุคคลอื่น โดยไม่มีหน้าที่/ไม่มีเหตุอันควร • ไม่ส่งต่อข้อมูลผู้ป่วย/บุคคลอื่น ที่มีชื่อ/HN/บาร์โค้ด/ใบหน้า หรือถ่ายรูปติดผู้ป่วย/ หน้าจอ/เอกสาร/X-ray ที่ปรากฏชื่อ/HN/บาร์โค้ด/ใบหน้า ให้ผู้อื่น โดยไม่มีเหตุจาเป็น (ยกเว้นกรณีรักษาพยาบาลที่จาเป็น) • ทาลายเอกสารผู้ป่วย/บุคคลอื่นที่ไม่ใช้แล้ว ไม่ Reuse/Recycle • หลีกเลี่ยงการ upload ไฟล์ข้อมูลผู้ป่วย/นศ./บุคคลอื่น ที่ระบุตัวตนได้ ให้เข้าถึงได้ จากสาธารณะ โดยไม่มีเหตุจาเป็นหรือไม่ปรึกษาก่อน • ดูแล security ของระบบสารสนเทศให้ดี (“ใช้ไอทีอย่างปลอดภัย”) • เมื่อทราบว่าข้อมูลผู้ป่วย/บุคคลอื่นรั่ว/ถูกละเมิด รีบแจ้ง IT Call Center
  • 81. 81 How Not to Prepare
  • 82. 82 How Not to Prepare
  • 83. 83 Privacy & PDPA Awareness Training for Ramathibodi Residents นพ.นวนรรน ธีระอัมพรพันธุ์ 5 ตุลาคม 2566 http://www.slideshare.net/nawanan