Boutique Newcity 2025 V1
Boutique Newcity 2025
ALL Member 2025
LDC 2025
Thaivivat 2025
Spaghetti Factory 2025
SUZUKI 2025
Salad Factory 2025
SYLVAN Koh Chang 2025
Flash Express 2025
ไปรษณีย์ไทย 2025
Thai lion air 2025
BANGKOK AIRWAYS 2025
Thai VietJet Air 2025
Nok Air 2025
Air Asia 2025
Ads สมัครสมาชิก 2025
TCC Connect 2568
เลอโนท ประเทศไทย
True business
ของที่ระลึก 90 ปี หอการค้าไทย
Nok Air
โรงแรมและรีสอร์ทในเครือดุสิต
myHR Lite
N Health
เด่นหล้า บริติช (DBS)
ขอเชิญสมัครเข้าร่วมงานแสดงสินค้าอาหาร THAIFEX – Anuga Asia 2024
สถาบันอาหาร nfi
TCC Connect โฉมใหม่ 2025

เสวนาหัวข้อ PDPA น่ากลัวไหม เห็นใครเขาพูดกัน

สรุปสาระสำคัญการเสวนา 
เรื่อง “PDPA น่ากลัวไหม เห็นใครเขาพูดกัน”
งานมหกรรมรวมพลัง SME ไทย (Thailand SME Synergy Expo 2024)
วันที่ 21 มิถุนายน 2567 ณ  ศูนย์การประชุมแห่งชาติสิริกิติ์

 

คุณษมภูมิ สุขอนันต์ นิติกร สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล 

กฎหมาย PDPA (Personal Data Protection Act) เป็น พรบ.คุ้มครองข้อมูลส่วนบุคคลซึ่งถูกกำหนดขึ้นเพื่อใช้ในการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้ถูกจัดเก็บหรือนำไปใช้โดยไม่ได้แจ้งให้เจ้าของข้อมูลทราบ และได้รับความยินยอมในฐานะเจ้าของข้อมูลก่อน ทั้งนี้ กฏหมาย PDPA ได้ถอดแบบมาจากกฎหมายต้นแบบอย่างกฎหมาย GDPR (General Data Protection Regulation) ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป ทั้งนี้ ในประเทศไทยจึงมีความจำเป็นที่จะต้องมีกฎหมาย PDPA เพื่อให้เป็นกฎเกณฑ์หรือกฎระเบียบของการใช้ข้อมูลส่วนบุคคลที่ถูกต้อง ซึ่งปัจจุบันประเทศไทยได้มีการสร้างการรับรู้ และตระหนักรู้ เพื่อป้องกันข้อมูลของเจ้าของข้อมูลไม่ให้ไปตกอยู่ในมือมิจฉาชีพ ในการนำข้อมูลส่วนบุคคลไปหลอกบุคคลอื่น เพราะฉะนั้นถ้าไม่มีกฎหมายดังกล่าวก็จะไม่มีใครควบคุม 

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ที่ออกมาจะเป็นหลักเกณฑ์ที่จะทำให้ทราบว่าเราควรจะปฏิบัติตัวอย่างไรให้ถูกต้อง เช่น ช่วงแรกที่กฎหมายตัวนี้ออกมามีพูดถึงเรื่อง การถ่ายรูปลงโซเชียล แล้วติดบุคคลที่สองหรือที่สาม ถ้าบุคคลนั้นมาพบสามารถที่จะแจ้งความเอาผิดได้ ทุกคนก็กลัวไม่กล้าถ่ายรูปลงโซเชียลอยู่ช่วงหนึ่ง เป็นต้น ซึ่งก็จะเป็นหน้าที่ของสำนักงานคุ้มครองข้อมูลส่วนบุคคล (PDPC) ที่จะต้องให้ความรู้ ให้คำปรึกษา พร้อมรับเรื่องร้องเรียน ทั้งนี้ จากประเด็นดังกล่าว หากดูตามพฤติการณ์ว่าการใช้ข้อมูลเพื่อประโยชน์ส่วนตน ใช้ภายในครอบครัว ก็จะไม่มีความผิด แต่ถ้านำไปใช้แสวงหาประโยชน์ และทำให้เกิดความเสียหายก็อาจถูกร้องเรียนได้  ซึ่งการมีพฤติกรรมหรือพฤติการณ์ของการเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่เก็บรวบรวมเป็นประจำ และไม่มีระบบที่ดี  และไปทำให้เจ้าของข้อมูลเสียหายก็จะมีเหตุให้ถูกร้องเรียนและเกิดความผิดได้ โดย สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล PDPC มีหน้าที่ในการชี้แนะ หรือกำหนดแนวทางให้ผู้ประกอบการได้ปฏิบัติตามแนวทาง หรือเข้าไปช่วยตรวจสอบกำกับดูแลเท่านั้น ส่วนอำนาจในการออกกฎกมาย กฎระเบียบ พิจารณาตัดสินจะเป็นหน้าที่ของคณะกรรมการซึ่งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล PDPC ดูแลอยู่ทั้งหมด 3  คณะดังนี้ 

  • คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล : มีอำนาจหน้าที่ทางด้านนิติบัญญัติในการออกกฎ และระเบียบ เพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประกอบการได้ใช้ได้ถูกต้อง
  • คณะกรรมการกำกับสำนักงานคุ้มครองข้อมูลส่วนบุคคล : มีอำนาจหน้าที่ในการออกกฎ และระเบียบ ในการบริหารสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
  • คณะกรรมการผู้เชี่ยวชาญ : มีหน้าที่กลั่นกรองประเด็นหรือกรณีที่มีข้อร้องเรียน ว่าผิดหรือไม่ผิด
     

กฎหมาย PDPA ถ้าดูในรายละเอียด จะมีข้อยกเว้นว่า การเก็บรวบรวมถ้าหากมีการเก็บอย่างถูกวิธี ตามที่มีระบุไว้ในมาตรา 24 ที่จะบอกไว้ว่าเก็บได้จากอะไร และถ้าเอาไปใช้ตามมาตรา 27 ที่จะมีข้อยกเว้นอยู่ในบางกรณี ผู้เก็บหรือผู้ควบคุมข้อมูลส่วนบุคคลนั้นไม่ต้องขอการยินยอมทุกครั้ง แต่ทั้งนี้ทั้งนั้น การเก็บหรือการนำข้อมูลของคนอื่นไปใช้จะต้องมีฐานตามกฏหมายที่ชัดเจน ซึ่งมีข้อดีคือ เป็นการกระตุ้นให้ทางผู้ควบคุมข้อมูลมีระบบที่ดี ส่วนข้อเสียก็จะเป็นการเพิ่มขั้นตอน เพราะฉะนั้นกฎหมาย PDPA ถ้าทุกท่านทำถูกต้องก็ไม่มีความจำเป็นต้องกลัวแต่อย่างใด ทั้งนี้ ยกตัวอย่างในบางกรณีที่ภาพของผู้ร้องเรียนไปปรากฏอยู่บนสื่อหรือบนโฆษณาแล้วรู้สึกว่าไม่โอเคโดนคุกคาม ผู้ร้องเรียนมีสิทธิ์แจ้งให้กับผู้ประกอบการ หรือผู้ควบคุมข้อมูลส่วนบุคคล ลบภาพนั้นออกได้ ถึงแม้ว่าจะมีข้อยกเว้นตามกฎหมายสำหรับสื่อก็ตาม เพราะจะมีเรื่องของจรรยาบรรณ และขอบเขตหรือสิทธิตามรัฐธรรมนูญกำหนดไว้  ซึ่งผู้ประกอบการภาคเอกชนควรมีความเข้าใจ และมีความรู้เรื่องกฎหมาย PDPA เพราะเป็นเรื่องที่ทุกคนในองค์กรควรต้องรับรู้ พึงระวัง และปฏิบัติตามกฏหมายในการดูแลควบคุมข้อมูลส่วนบุคคลในองค์กร ในการดำเนินการตามกฏหมายได้อย่างถูกต้อง 

สำหรับกรณีที่มีการร้องเรียนการทำผิดมากที่สุด ในเรื่องที่เกี่ยวข้องกับด้านธุรกิจ ส่วนใหญ่จะเป็นกรณีเกี่ยวกับภาคธนาคาร ประกัน และโรงพยาบาล โดยเฉพาะโรงพยาบาล  เพราะส่วนใหญ่เกี่ยวข้องกับข้อมูล Sensitive List 

ผศ.ดร.ประพันธ์พงษ์ ขำอ่อน คณบดีคณะนิติศาสตร์ มหาวิทยาลัยหอการค้าไทย

กิจกรรมในการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลจะมีหลักการอยู่ด้วยกันทั้งหมด 6 ประการ ดังนี้

  • Lawful processing and transparency ความชอบธรรมในการประมวลผลข้อมูลส่วนบุคคลและมีความโปร่งใส
  • Necessity and Purpose Limitation ใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์และเท่าที่จำเป็น 
  • Data Accuracy ต้องทำข้อมูลส่วนบุคคลให้ถูกต้องและเป็นปัจจุบัน
  • Limitation of Storage มีระยะเวลาในการเก็บข้อมูลส่วนบุคคลที่แน่นอน จะเก็บข้อมูลตลอดไปไม่ได้ต้องมีระยะเวลาในการทำลายทิ้งเพราะยิ่งเก็บยิ่งเสี่ยง
  • Security มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม 
  • เคารพสิทธิของ Data Subject โดยดำเนินการตามคำร้องขอของ Data Subject ตามขอบเขตที่กฎหมายกำหนด 

 

หลักการของกฎหมาย PDPA คือความยินยอมของลูกค้า ลูกค้าต้องสามารถให้โดยอิสระ ซึ่งหมายถึงลูกค้ามีสิทธิ์ที่จะยินยอมหรือไม่ยินยอมก็ได้ ตัวอย่างเช่น หากท่านจะเข้าแอปพลิเคชั่น เพื่อไปซื้อของ แอปพลิเคชั่นจะขอความยินยอมจากท่านว่า ท่านยินยอมให้บริษัทส่งข้อมูลข่าวสาร โปรโมชั่น ส่วนลด หรือโทรศัพท์ไปติดต่อขายของ เป็นต้น ก็จะมีปุ่มยินยอมขึ้นมา หรือปุ่มปฏิเสธขึ้นมา แต่พอกดปฏิเสธไปกลับไม่ให้เข้าแอป กรณีนี้ถือว่าผิดตามหลักกฎหมาย PDPA เพราะเจ้าของแอปพลิเคชั่นนี้เอาเรื่องความยินยอมมาเป็นเงื่อนไขในการเข้ารับบริการ ซึ่งความยินยอมของลูกค้าจะต้องสามารถให้โดยสมัครใจ ซึ่งปัจจุบันทำแบบนี้ไม่ได้

เบื้องต้นทุกคนควรมีความรู้ในเรื่องของกฎหมาย PDPA โดยสามารถไปหาข้อมูลด้วยตนเองง่าย ๆ ได้ที่ เว็บไซต์สำนักงานคุ้มครองข้อมูลส่วนบุคคล (PDPC) https://www.pdpc.or.th ซึ่งจะมีคลังความรู้เกี่ยวกับ กฎหมาย PDPA ให้ได้ศึกษา ซึ่งทุกองค์กรไม่ว่าจะมีขนาดเล็ก ขนาดกลาง หรือขนาดใหญ่ จะต้องมีเจ้าภาพ  ดังนั้น ผู้บริหารอาจจะมอบให้แต่ละฝ่ายส่งผู้แทนและตั้งเป็นคณะทำงานขึ้นมาเพื่อดูเรื่องนี้โดยตรง และแบ่งหน้าที่กันว่าฝ่ายไหนจะดูเรื่องอะไร เช่น ฝ่ายกฎหมายรับผิดชอบในเรื่องของข้อกฎหมาย เป็นต้น  อย่างไรก็ดี คณะนิติศาสตร์มหาวิทยาลัยหอการค้าไทย มีบริการให้คำปรึกษากฏหมาย PDPA และกฎหมายอื่นๆ โดยไม่มีค่าใช้จ่าย ซึ่งสามารถเข้ารับบริการได้ตามช่องทาง E-Mail:law@utcc.ac.th หรือ โทร.02-697-6805

คุณศรัณยู ชเนศร์  กรรมการเหรัญญิก หอการค้าไทย

ที่ผ่านมาธุรกิจโรงพยาบาลมีการใช้กฎหมายคุ้มครองสิทธิข้อมูลส่วนบุคคล มาตั้งแต่ปี พ.ศ. 2550 โดยยึดตามพรบ.สุขภาพแห่งชาติ โดยมีเนื้อหาหลักคือการคุ้มครองข้อมูลของคนไข้หรือผู้เข้ามาใช้บริการ ที่ทางโรงพยาบาลจะไม่สามารถเปิดเผยข้อมูลส่วนบุคคลได้ ต่อมาเมื่อมีกฎหมาย PDPA เกิดขึ้นและได้มีการบังคับใช้อย่างเป็นทางการในเดือนมิถุนายน 2565 ธุรกิจโรงพยาบาลจึงต้องมีการศึกษา อัปเดตข้อกฎหมาย และนำมาปรับใช้ไม่ว่าจะเป็นการกำหนดนโยบาย รวมถึงมีมาตรการของโรงพยาบาลออกมาควบคุม ซึ่งต้องสร้างความตระหนักรู้ ให้ความสำคัญ และปฏิบัติตามนโยบายอย่างเคร่งครัด ตั้งแต่ผู้บริหารจนถึงบุคลากรทุกคนในองค์กร

ข้อมูลที่ทางโรงพยาบาลได้มาจากคนไข้ไม่ว่าจะเป็นข้อมูลเช่น ที่อยู่ ชื่อ-นามสกุล เลขบัตรประชาชน เพศ วันเดือนปีเกิด หรือข้อมูลในการติดต่อ ข้อมูลเหล่านี้เป็นข้อมูลที่มีคนต้องการจากโรงพยาบาลไปใช้ประโยชน์ เช่น บริษัทยาที่พยายามมาขอข้อมูลเพื่อจะได้ติดต่อไปขายยาให้กับคนไข้ แม้กระทั่งข้อมูลความลับในการรักษาก็ต้องระวัง เช่น แม่บ้านทำความสะอาดเข้าไปทำความสะอาดในห้องผู้ป่วย แต่ก่อนเข้าห้องหรือก่อนหน้าได้ยินพยาบาลคุยกับคุณหมอว่าคนไข้คนนี้เป็นมะเร็ง ซึ่งเป็นข้อมูลที่เป็นความลับ แต่กลับเข้าไปคุยหรือบอกให้คนไข้ทราบ เป็นต้น ซึ่งเป็นกรณีที่ทางโรงพยาบาลก็คาดไม่ถึงเหมือนกันว่าจะหลุดข้อมูลในกรณีแบบนี้ ซึ่งทั้งหมดนี้ก็เป็นสิ่งที่ทางโรงพยาบาลได้กำชับตั้งแต่แพทย์จนถึงระดับเจ้าหน้าที่ แม้กระทั่งแม่บ้าน รปภ. ว่ากฎหมาย PDPA สำคัญอย่างไรเพื่อไม่ให้ข้อมูลหลุดรั่วได้

การเตรียมความพร้อม ในเรื่องของ PDPA แก่บุคลากรในโรงพยาบาล

  1. ศึกษาข้อกฎหมาย โดยมีผู้เชี่ยวชาญเข้ามาเป็นที่ปรึกษาช่วยแนะนำ และในการออกนโยบายหรือมาตรการ 
  2. ประกาศนโยบาย มาตรการ โดยดึงผู้เชี่ยวชาญเข้ามาเสริมสร้างความรู้ ความเข้าใจแก่บุคลากร
  3. มีการทบทวนและอัปเดตความรู้แก่บุคลากรอย่างสม่ำเสมอ เพื่อป้องกันไม่ให้การ์ดตก

ตัวอย่างการนำ PDPA ไปปรับใช้ในธุรกิจโรงพยาบาล

  • เนื่องจากข้อมูลการวินิจฉัยหรือการรักษา ถือเป็นข้อมูลที่มีความละเอียดอ่อน โรงพยาบาบาลจึงต้องมีการปิดผนึกผลการรักษาของผู้ป่วยในทุกครั้งก่อนนำส่ง
  • Consent Form ของธุรกิจโรงพยาบาล ต้องคำนึงถึงสิทธิ์ของผู้ป่วยเป็นสำคัญ แต่อย่างไรก็ดี ต้องคำนึงถึงการรักษาชีวิตของผู้ป่วยด้วย เช่น ผู้ป่วยต้องยินยอมให้มีการถ่ายโอนเลือด แม้ว่าจะเป็นข้อห้ามทางศาสนา
     

ตามหลักการของ PDPA เจ้าของข้อมูลหรือผู้เข้ารับบริการ มีสิทธิ์ในข้อมูลส่วนบุคคลของตนเองทุกประการ กล่าวคือ เมื่อได้ข้อมูลจากโรงพยาบาลไป มีสิทธิ์ที่จะเปิดเผยหรือปกปิดข้อมูลได้ตามความประสงค์ เช่น มาโรงพยาบาลตรวจร่างกายเพื่อไปสมัครงาน คนไข้มีสิทธิ์ที่จะไม่แจ้งให้บริษัทรู้ได้ว่าเป็นโรคอะไร และบริษัทจะมาบังคับโรงพยาบาลให้เปิดเผยข้อมูล ของผู้ป่วยถึงแม้ว่าบริษัทนั้นจะเป็นคนที่จ่ายเงินเให้กับผู้ป่วย มาตรวจก็ตาม โรงพยาบาลก็ไม่สามารถเปิดเผยข้อมูลให้ได้ หากเจ้าของข้อมูลปฎิเสธไม่ยินยอมให้เปิดเผยข้อมูล

อีกทั้ง สิทธิ์ในการลบข้อมูล ในส่วนของโรงพยาบาลถ้าเป็นเรื่องที่เป็นคดีความ ทางโรงพยาบาลไม่มีสิทธิ์ที่จะไปลบข้อมูลได้ เช่น ขับรถชนและมีคดีขึ้นศาล จะมาขอให้โรงพยาบาลลบข้อมูลของผู้บาดเจ็บ โรงพยาบาลก็ไม่สามารถทำได้ ส่วนถ้าเป็นกรณีอื่น ๆ ที่ไม่ได้เป็นกรณีคดีความ ทางโรงพยาบาลไม่เปิดเผยข้อมูลอยู่แล้ว แต่ทางโรงพยาบาลจะไม่ลบข้อมูลหรือทำลายข้อมูล หากไม่ได้อยู่ภายในระยะเวลาที่กำหนดทำลายข้อมูล เพื่อเป็นการป้องกันและรักษาประวัติการรักษาของคนไข้และบุคลากรทางการแพทย์ เพราะอาจจะเกิดกรณีที่ผู้ป่วยไม่พอใจแล้วเกิดการฟ้องร้องกับทางโรงพยาบาล ทางโรงพยาบาลก็จะได้มีหลักฐานมายืนยันความบริสุทธิ์ได้ ทั้งนี้ โรงพยาบาลจะมีกำหนดทำลายเวชระเบียนคนไข้ ทุก ๆ 5 ปี หากคนไข้ไม่ได้เข้ารับบริการติดต่อกันเกิน 5 ปีแล้ว 

.......................................................................................................................................

เรียบเรียงและสรุปโดย : ฝ่ายพัฒนาสมาคมการค้า
นายกิตติพงศ์ กานดาวรวงศ์
ข้อมูล ณ วันที่ 21 มิถุนายน 2567 

Dashboard SME Big Data
สมัครสมาชิก