ปัญหาการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในโรงพยาบาลของรัฐ

Article Sidebar

PDF
เผยแพร่แล้ว: เม.ย. 30, 2025
คำสำคัญ:
การคุ้มครองข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล การแจ้งเหตุละเมิดข้อมูลส่วน บุคคล พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

Main Article Content

ศิริกร สีสดดี
กระทรวงสาธารณสุข สำนักงานสาธารณสุขจังหวัดฉะเชิงเทรา โรงพยาบาลพุทธโสธร

บทคัดย่อ

            ปัจจุบันเทคโนโลยีที่เข้ามามีบทบาทต่อการเก็บรวบรวมข้อมูลส่วนบุคคล และการดำเนินงานในองค์กรภาครัฐ รัฐวิสาหกิจ และเอกชน โดยเฉพาะอย่างยิ่งในโรงพยาบาลของรัฐซึ่งเป็นหน่วยงานที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคลด้านสุขภาพของผู้รับบริการ ที่ได้รับการคุ้มครองตามความในมาตรา 7 แห่งพระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. 2550 ซึ่งแต่เดิมหลักเกณฑ์ในการคุ้มครองข้อมูลส่วนบุคคลยังถูกกำหนดให้อยู่ภายใต้บังคับ             มาตรา 24 แห่งพระราชบัญญัติข้อมูลข่าวสารของทางราชการ พ.ศ. 2540 จนกระทั่งประเทศไทยได้ตระหนักถึงสิทธิแห่งความเป็นส่วนตัว (Right to Privacy) ในข้อมูลส่วนบุคคล อันเป็นสิทธิซึ่งได้รับการยอมรับในกฎหมายสิทธิมนุษยชนระหว่างประเทศโดยเฉพาะอย่างยิ่งปฏิญญาสากลว่าด้วยสิทธิมนุษยชน (UDHR) และกติการะหว่างประเทศว่าด้วยสิทธิพลเมืองและสิทธิทางการเมือง (ICCPR) อีกทั้งยังเป็นสิทธิมนุษยชนขั้นพื้นฐานตามที่บัญญัติไว้ในรัฐธรรมนูญแห่งราชอาณาจักรไทย พ.ศ. 2560 จึงได้ตราพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ขึ้นมาบังคับใช้ โดยมีวัตถุประสงค์เพื่อการคุ้มครองสิทธิเกี่ยวกับข้อมูลส่วนบุคคลที่หมายความรวมถึงข้อมูลส่วนบุคคลด้านสุขภาพอันเป็นข้อมูลที่มีความเกี่ยวข้องกับการรับบริการทางการแพทย์และการสาธารณสุขของบุคคล และสภาวะทางสุขภาพอนามัยของบุคคลเป็นสำคัญ จึงเป็นข้อมูลส่วนบุคคลเฉพาะตัวที่มีความละเอียดอ่อน        ดังนั้นการดำเนินการต่าง ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลโรงพยาบาลในกำกับของรัฐจึงเป็นหน่วยงานที่ต้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562


          ในขณะเดียวกันพบปัญหาที่เกิดขึ้นจากบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562     กับโรงพยาบาลของรัฐทางปหอยู่หลายประการ ได้แก่ 1) ปัญหาการไม่มีบทนิยามความหมายของข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal data)” และ “ข้อมูลสุขภาพ” ที่ชัดเจนนำมาสู่ปัญหาการตีความกฎหมาย                  2) ปัญหาการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลซึ่งยังไม่มีหลักเกณฑ์ที่ใช้ในการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล 3) ปัญหาการกำหนดอำนาจหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลในการประเมินความเสี่ยงของผลกระทบจากการประมวลผลข้อมูล และ 4) ปัญหาเกี่ยวกับการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลที่ไม่ได้กำหนดให้มีการบันทึกรายละเอียดเหตุละเมิดข้อมูลส่วนบุคคลไว้เป็นหลักฐานส่งผลให้ยากต่อการตรวจสอบ                    ซึ่งปัญหาดังกล่าวส่งผลกระทบโดยตรงต่อการปฏิบัติงานในโรงพยาบาลของรัฐซึ่งหากปราศจากมาตรการทางกฎหมายที่มีความรัดกุมอาจนำไปสู่การเกิดเหตุการณ์ไม่พึงประสงค์เกี่ยวกับข้อมูลส่วนบุคคลของผู้รับบริการ                ในโรงพยาบาลของรัฐได้ จึงเป็นการสมควรแก้ไขเพิ่มพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562                      โดย 1) กำหนดนิยามความหมายของข้อมูลส่วนบุคคลที่อ่อนไหว และข้อมูลด้านสุขภาพให้ชัดเจน 2) กำหนดคุณสมบัติของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลให้มีมาตรฐานเดียวกัน 3) กำหนดเพิ่มเติมให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ในการประเมิณผลกระทบของความเสี่ยงก่อนการประมวลผลข้อมูลเพื่อประโยชน์ของการจัดการและวางแผนในกระบวนการคุ้มครองข้อมูลส่วนบุคคล และ 4) กำหนดให้มีแนวปฏิบัติในการบันทึกรายละเอียดเหตุละเมิดข้อมูลส่วนบุคคลไว้เป็นหลักฐานที่สามารถตรวจสอบได้เพื่อประโยชน์ในการแสวงหาพยานหลักฐานอันเกี่ยวกับเหตุละเมิดข้อมูลส่วนบุคคล และกระบวนการตรวจสอบการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

Article Details

How to Cite
สีสดดี ศ. (2025). ปัญหาการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในโรงพยาบาลของรัฐ. วารสารกฎหมายและสังคมรังสิต, 7(1), 16–34. สืบค้น จาก https://so07.tci-thaijo.org/index.php/RJL/article/view/6256
ฉบับ
ปีที่ 7 ฉบับที่ 1 (2025): มกราคม - เมษายน 2568
บท
บทความวิชาการ
Creative Commons License

This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

References

กลุ่มงานนิติการ สำนักอำนวยการ. (1 กรกฎาคม 2565). บทความกฎหมายน่ารู้: ความรู้กฎหมาย PDPA เบื้องต้น. เข้าถึงได้จาก สวสพ. สถาบันวิจัยและพัฒนาพื้นที่สูง (องค์การมหาชน) : https://www.hrdi.or.th/InternalRules/Detail/1529

คณาธิป ทองรวีวงศ์. (2564). คำอธิบายหลักกฎหมายคุ้มครองข้อมูลส่วนบุคคล. กรุงเทพมหานคร: นิติธรรม.

คำสั่งสำนักงานปลัดกระทรวงสาธารณสุข ที่1480/2565. (30 มิถุนายน 2565). เรื่อง แต่งตั้งเจ้าหน้าที่ประสานงานคุ้มครองข้อมูลส่วนบุคคล. เข้าถึงได้จาก https://ict.moph.go.th/upload_file/files/720aa15f55f44e10de248e63b62583d4.pdf

จุมพต สายสุนทร. (2550). กฎหมายระหว่างประเทศ เล่ม 1. พิมพ์ครั้งที่ 7. กรุงเทพมหานคร: วิญญูชน.

ชาติชาย มิตรกูล. (2558). เวชระเบียนผู้ป่วยภายใต้พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540. เข้าถึงได้จาก กรมการแพทย์:http://www.dms.moph.go.th/dmsweb/dmsweb_v2_2/content/org/webpageJDMS_30 /demo/ data/2558/2558-05/original%20article%202558-5-6.pdf

ธัญญานุช ตันติกุล. (2560). บทแนะนำหนังสือ: The New Digital Age และ Mostly Cloudy อนาคตในโลกยุคดิจิทัล โอกาส ความหวัง และความท้าทาย. ดุลพาห, 64(3), 210-227.

บรรเจิด สิงคะเนติ, นนทวัชร์ นวตระกูลพิสุทธิ์ และเรวดี ขวัญทองยิ้ม. (2558). ปัญหาและมาตรการทางกฎหมายในการรับรองและคุ้มครองสิทธิใน ความเป็นอยู่ส่วนตัว (Right to Privacy). กรุงเทพมหานคร: สำนักงานคณะกรรมการสิทธิมนุษยชนแห่งชาติ.

พบประกาศขายข้อมูลคนไข้ของ สธ. ล่าสุดลิงค์หายไปแล้ว. (7 กันยายน 2564). ไทยโพสต์. เข้าถึงได้จาก https://www.thaipost.net/main/detail/115865

พระราชบัญญัติการจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ. (2560). ราชกิจจานุเบกษา เล่มที่ 134 ตอนที่ 24 ก.

พระราชบัญญัติข้อมูลข่าวสารของทางราชการ. (2540). ราชกิจจานุเบกษา เล่ม114 ตอนที่ 46 ก.

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล. (2562). ราชกิจจานุเบกษา เล่มที่ 136 ตอนที่ 69 ก.

พระราชบัญญัติสุขภาพแห่งชาติ. (2550). ราชกิจจานุเบกษา เล่ม 124 ตอนที่ 16 ก.

รพ.สระบุรีโดนมัลแวร์เรียกค่าไถ่ ระบบคอมฯ พัง ต้องซักประวัติใหม่ทำล่าช้า. (9 กันยายน 2563). ไทยรัฐ. เข้าถึงได้จาก https://www.thairath.co.th/news/local/central/1926639

รัฐธรรมนูญแห่งราชอาณาจักรไทย. (2560). ราชกิจจานุเบกษา เล่ม 134 ตอนที่ 40 ก.

สำนักงานปลัดกระทรวงสาธารณสุข หนังสือที่ สธ 0202.3.6/ว1915. (2563). เรื่อง มอบอำนาจให้ผู้ว่าราชการจังหวัดปฏิบัติราชการแทนปลัดกระทรวงสาธารณสุข.

แสวง บุญเฉลิมวิภาส. (2554). การคุ้มครองข้อมูลส่วนบุคคลด้านสุขภาพและความเข้าใจเกี่ยวกับมาตรา 7 พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550. กรุงเทพมหานคร: ศูนย์กฎหมายสุขภาพและจริยศาสตร์ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์.

อลิซอน, แอล. และคณะ. (2544). พฤติกรรมที่เน้นความซาดิสม์และมาโซคิสม์: ความหลากหลายในการปฏิบัติและความหมาย. อาร์ชเซ็กซ์บีฮาฟ.

American Nurses Association. (2018). ANA Position Statement: Nursing Advocacy for LGBTQ+Population. OJIN: The Online Journal of Issues in Nursing, 24(1).

Bundesministerium fur Gesundheit. (2024). Patient Rights. Retrieved from Gesund.bund de: https://gesund.bund.de/en/topics/patient-rights

European Data Protection Board. (2022). Health Data Breach: Dedalus Biologie Fined 1.5 Million Euros. Retrieved from EDPB: https://www.edpb.europa.eu/news/national-news/2022/health-data-breach-dedalus-biologie-fined-15-million-euros_en

Lynskey, O. (2016). The Foundations of EU Data Protection Law. Oxford: Oxford University Press.

Rubemfeld, J. (1989). The Right of Privacy. Harvard Law Review, 102(4), 737-807.