นโยบายการคุ้มครองข้อมูลส่วนบุคคลของ โรงพยาบาลวชิระภูเก็ต: สำนักงานปลัดกระทรวงสาธารณสุข

Privacy Policy of VachiraPhuket Hospital: Ministry of public health

 

1. บทนำ โรงพยาบาลวชิระภูเก็ต ในสังกัดสำนักงานปลัดกระทรวงสาธารณสุข ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) จึงได้จัดทำนโยบายฉบับนี้ขึ้น เพื่อกำหนดหลักเกณฑ์ แนวทาง และมาตรการในการเก็บรวบรวม ใช้ เปิดเผย และประมวลผลข้อมูลส่วนบุคคลของทุกภาคส่วนที่เกี่ยวข้องกับการดำเนินงานของโรงพยาบาล เพื่อให้เป็นไปตามกฎหมายและมาตรฐานสากล

2. ขอบเขตของนโยบาย นโยบายนี้ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลทั้งหมดที่โรงพยาบาลเก็บรวบรวมจาก:

  • ผู้ป่วยและญาติ
  • บุคลากรของโรงพยาบาล (แพทย์ พยาบาล เจ้าหน้าที่)
  • ผู้สมัครงาน
  • คู่ค้า ผู้รับเหมา และผู้ให้บริการ
  • ผู้มาติดต่อและบุคคลทั่วไปที่เข้ามาในพื้นที่โรงพยาบาล รวมถึงข้อมูลที่ประมวลผลทั้งในรูปแบบอิเล็กทรอนิกส์และเอกสาร

3. คำจำกัดความ

  • ข้อมูลส่วนบุคคล: ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
  • ข้อมูลส่วนบุคคลอ่อนไหว: ข้อมูลส่วนบุคคลตามมาตรา 26 แห่ง PDPA (เช่น ข้อมูลสุขภาพ, เชื้อชาติ, ศาสนา)
  • เจ้าของข้อมูลส่วนบุคคล: บุคคลธรรมดาที่เป็นเจ้าของข้อมูลส่วนบุคคล
  • ผู้ควบคุมข้อมูลส่วนบุคคล: โรงพยาบาล [ชื่อโรงพยาบาล]
  • ผู้ประมวลผลข้อมูลส่วนบุคคล: บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

4. หลักการประมวลผลข้อมูลส่วนบุคคล โรงพยาบาลจะดำเนินการประมวลผลข้อมูลส่วนบุคคลตามหลักการดังต่อไปนี้:

  • การประมวลผลโดยชอบด้วยกฎหมาย: มีฐานทางกฎหมายที่รองรับการประมวลผล (เช่น ความยินยอม, สัญญา, กฎหมาย, ประโยชน์โดยชอบด้วยกฎหมาย, ประโยชน์สาธารณะ, การป้องกัน/ระงับอันตรายต่อชีวิต)
  • การเก็บรวบรวมเท่าที่จำเป็น: เก็บข้อมูลเท่าที่จำเป็นและเกี่ยวข้องกับวัตถุประสงค์ที่ได้แจ้งไว้
  • ความถูกต้องของข้อมูล: ตรวจสอบให้ข้อมูลมีความถูกต้อง เป็นปัจจุบัน และสมบูรณ์
  • การจำกัดวัตถุประสงค์: ประมวลผลข้อมูลตามวัตถุประสงค์ที่ได้แจ้งไว้เท่านั้น
  • การจำกัดระยะเวลาการเก็บรักษา: เก็บรักษาข้อมูลเท่าที่จำเป็นตามวัตถุประสงค์และกฎหมายกำหนด
  • ความปลอดภัยของข้อมูล: มีมาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อป้องกันการเข้าถึง ทำลาย ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต
  • ความโปร่งใส: แจ้งให้เจ้าของข้อมูลทราบถึงรายละเอียดการประมวลผลข้อมูลอย่างชัดเจน

5. มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล โรงพยาบาลได้จัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม ดังนี้:

  • มาตรการทางเทคนิค:
    • การเข้ารหัสข้อมูล (Encryption)
    • ระบบป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต (Firewall, Intrusion Detection System)
    • การสำรองข้อมูล (Backup)
    • การตรวจสอบและบันทึกการเข้าถึงข้อมูล (Audit Log)
  • มาตรการทางองค์กร:
    • การกำหนดสิทธิ์การเข้าถึงข้อมูลตามหน้าที่ความรับผิดชอบ (Role-based access control)
    • การฝึกอบรมบุคลากรเกี่ยวกับ PDPA และนโยบายการคุ้มครองข้อมูลส่วนบุคคล
    • การจัดทำข้อตกลงการรักษาความลับ (NDA) กับบุคลากรและผู้ให้บริการภายนอก
    • การตรวจสอบและประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลอย่างสม่ำเสมอ

6. บทบาทและความรับผิดชอบ

  • ผู้อำนวยการโรงพยาบาล: มีหน้าที่กำกับดูแลให้การดำเนินงานของโรงพยาบาลเป็นไปตามนโยบายนี้
  • เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO): มีหน้าที่ให้คำแนะนำ ตรวจสอบการปฏิบัติตาม PDPA และประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
  • หัวหน้าส่วนงาน/ฝ่าย: มีหน้าที่กำกับดูแลบุคลากรในความรับผิดชอบให้ปฏิบัติตามนโยบาย
  • บุคลากรทุกคน: มีหน้าที่ต้องปฏิบัติตามนโยบายนี้อย่างเคร่งครัด และแจ้งเหตุการณ์ข้อมูลรั่วไหลหรือข้อสงสัยเกี่ยวกับข้อมูลส่วนบุคคลให้ DPO ทราบทันที

7. การจัดการเหตุการณ์ข้อมูลรั่วไหล ในกรณีที่เกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหล โรงพยาบาลจะดำเนินการตามแนวปฏิบัติที่กำหนดไว้ ดังนี้:

  • แจ้งเหตุการณ์ให้ DPO ทราบทันที
  • สืบสวนหาสาเหตุและขอบเขตของการรั่วไหล
  • ประเมินความเสี่ยงและผลกระทบต่อเจ้าของข้อมูล
  • ดำเนินการแก้ไขและบรรเทาผลกระทบ
  • แจ้งเหตุการณ์ให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลทราบภายในระยะเวลาที่กฎหมายกำหนด

8. การทบทวนและปรับปรุงนโยบาย นโยบายนี้จะได้รับการทบทวนและปรับปรุงอย่างน้อยปีละหนึ่งครั้ง หรือเมื่อมีการเปลี่ยนแปลงของกฎหมาย กฎระเบียบ หรือการดำเนินงานของโรงพยาบาล

9. ช่องทางการติดต่อ

สำหรับข้อเสนอแนะ ข้อร้องเรียน หรือสอบถามเกี่ยวกับนโยบายนี้ โปรดติดต่อ: เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)  กลุ่มงานสุขภาพดิจิทัล โรงพยาบาลวชิระภูเก็ต
353 ถนนเยาวราช ตำบลตลาดใหญ่ อำเภอเมือง จังหวัดภูเก็ต โทร. 0-7636-1234 ต่อ 1913 อีเมล: vachiraphuket.h@mophegp.mail.go.th

ประกาศ ณ วันที่ 4 สิงหาคม 2565

นโยบายการคุ้มครองข้อมูลส่วนบุคคล กระทรวงสาธารณสุข

แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล สำนักงานปลัดกระทรวงสาธารณสุข

*** ท่านสามารถส่งคำร้องขอใช้สิทธิเจ้าของข้อมูลส่วนบุคคลได้ที่ 

https://gppc-app.pdpc.or.th/dynamic-dsar/e69bd418-e87b-4ad5-ba76-fe33d41b1db3

เรื่องที่เกี่ยวข้อง

เข้าชม: 10,032

ลิงค์สำหรับนำไปเผยแพร่: https://www.vachiraphuket.go.th/links/0jqq