นโยบายความเป็นส่วนตัวโรงพยาบาลนอร์ทอีสเทอร์น-วัฒนา และ โรงพยาบาลหนองคาย-วัฒนา
บริษัท วัฒนาการแพทย์ จำกัด (มหาชน) ในฐานะผู้บริหารจัดการโรงพยาบาลนอร์ทอีสเทอร์น-วัฒนา และ บริษัท 21 ศตวรรษเวชกิจ จำกัด ในฐานะผู้บริหารจัดการโรงพยาบาลหนองคาย-วัฒนา (“โรงพยาบาล”) ถือปฏิบัติอย่างเคร่งครัดในการเคารพความเป็นส่วนตัวและสิทธิในข้อมูลส่วนบุคคลของผู้ใช้บริการรักษาพยาบาล และผู้ซื้อสินค้าจากโรงพยาบาล (“ผู้ใช้บริการ”) โดยถือเป็นสิ่งที่โรงพยาบาลให้ความสำคัญสูงสุด และถือเป็นนโยบายหลักของโรงพยาบาลที่จะปกป้องและเคารพสิทธิ รวมถึงรับประกันความมั่นคงปลอดภัยของข้อมูล และความเป็นส่วนตัวของผู้ใช้บริการ ในทุกกระบวนการประมวลผลข้อมูลส่วนบุคคล โดยรับประกันการปฏิบัติตามมาตรฐานที่ดีที่สุดในกลุ่มวิชาชีพ สถานพยาบาลและผู้ให้บริการทางการแพทย์ และภายใต้กรอบกฎหมายที่เกี่ยวข้องทั้งหมดในประเทศไทย โดยเฉพาะพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และมาตรฐานอื่นระดับสากลที่เกี่ยวขัอง
นโยบายความเป็นส่วนตัว
จุดประสงค์ของนโยบายความเป็นส่วนตัว โรงพยาบาลในฐานะผู้คุ้มครองข้อมูลส่วนบุคคล ตระหนักถึงหน้าที่ตามกฎหมายในการแจ้งให้ผู้ใช้บริการ ทราบถึงนโยบายความเป็นส่วนตัว เพื่ออธิบายถึงการเก็บรวบรวม ใช้ วิเคราะห์และประมวลผล รวมถึงเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการ และสิทธิของผู้ใช้บริการในฐานะเจ้าของข้อมูลส่วนบุคคล ดังนั้น โรงพยาบาลจึงได้จัดทำและมีจุดประสงค์แจ้งนโยบายความเป็นส่วนตัวฉบับนี้ขึ้น (“นโยบาย”) โดยโรงพยาบาลจะดำเนินการประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการโดยสอดคล้องกับกฎหมายที่เกี่ยวข้อง และโดยเฉพาะนโยบายฉบับนี้
ขอบเขตการบังคับใช้ นโยบายฉบับนี้มีผลบังคับใช้เฉพาะ สำหรับการประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการโดยโรงพยาบาลในส่วนที่เกี่ยวข้องโดยตรงกับการให้บริการที่โรงพยาบาลดำเนินการให้แก่ ผู้ใช้บริการโดยตรงเท่านั้น โดยจะไม่มีผลบังคับใช้กับการประมวลผลข้อมูลส่วนบุคคลโดยบริษัทหรือบุคคลภายนอกอื่น แม้จะมีการให้บริการต่อเนื่องเชื่อมโยงมาจากบริการของโรงพยาบาลก็ตาม เนื่องด้วยโรงพยาบาลไม่มีอำนาจควบคุมการประมวลผลข้อมูลส่วนบุคคลของบุคคลดังกล่าว และโรงพยาบาลแนะนำให้ผู้ใช้บริการศึกษานโยบายการประมวลผลและคุ้มครองข้อมูลส่วนบุคคลของบุคคลภายนอกดังกล่าวแยกต่างหาก
การแก้ไขเปลี่ยนแปลงนโยบาย ทางโรงพยาบาลสงวนสิทธิ์ในการปรับปรุงนโยบายความเป็นส่วนตัวฉบับนี้ ตามแต่ละระยะเวลา เพื่อให้สอดคล้องกับกฎหมายที่เกี่ยวข้อง และรูปแบบการติดต่อ การขาย การจัดส่งสินค้า รวมถึงการให้บริการต่างๆ ของโรงพยาบาลที่ให้แก่ผู้ใช้บริการ ทั้งนี้ โรงพยาบาลจะแจ้งให้ผู้ใช้บริการทราบถึงการเปลี่ยนแปลงดังกล่าว ด้วยการประกาศนโยบายฉบับปรับปรุงใหม่ผ่านทางช่องทางการติดต่อของโรงพยาบาล
การยอมรับนโยบาย
เมื่อผู้ใช้บริการติดต่อมายังโรงพยาบาลผ่านช่องทางต่าง ๆ ให้ข้อมูลเวชระเบียน และส่งข้อมูลส่วนบุคคลต่าง ๆ ของผู้ใช้บริการให้แก่โรงพยาบาลแล้ว โรงพยาบาลจะถือว่า ผู้ใช้บริการยอมรับ รับทราบและตกลงตามนโยบายฉบับนี้ ทั้งนี้ การประมวลผลข้อมูลส่วนบุคคลตามที่กำหนดและระบุไว้ในภายใต้นโยบายฉบับนี้มีความสำคัญต่อการปฏิบัติหน้าที่สถานพยาบาลที่ให้การรักษาพยาบาลหรือให้บริการอื่นแก่ผู้ใช้บริการ ทั้งภายใต้กฎหมาย สัญญา และเพื่อการคุ้มครองสิทธิอันชอบด้วยกฎหมายของโรงพยาบาล ดังนั้นหากผู้ใช้บริการไม่ตกลงตามเงื่อนไขของนโยบายฉบับนี้ หรือฉบับแก้ไขอื่น ๆ ผู้ใช้บริการอาจไม่สามารถใช้บริการของโรงพยาบาลได้
ข้อมูลของผู้ใช้บริการที่เป็นผู้เยาว์ กรณีเจ้าของข้อมูลผู้ใช้บริการเป็นผู้เยาว์ การที่โรงพยาบาลได้รับข้อมูลส่วนบุคคลของเจ้าของข้อมูล ในเวชระเบียนและการรักษาทั้งหมดจากผู้เยาว์โดยตรงโดยได้รับการยอมรับและรับรองโดยผู้ปกครอง หรือกรณีที่ผู้ปกครองเป็นผู้ให้ข้อมูลของผู้เยาว์แก่โรงพยาบาลโดยตรง โรงพยาบาลจะถือว่า เป็นกรณีที่ผู้เยาว์ซึ่งเป็นผู้ใช้บริการดังกล่าวตกลงยอมรับให้โรงพยาบาลสามารถประมวลผลข้อมูลของผู้เยาว์ดังกล่าวได้ภายใต้นโยบายฉบับนี้ โดยถูกต้องตามกฎหมายแล้ว ทั้งนี้โรงพยาบาลไม่มีภาระหน้าที่ในการตรวจสอบความชอบด้วยกฎหมายและสิทธิของผู้ปกครองดังกล่าว
ข้อมูลส่วนบุคคล หมายถึง ข้อมูลที่สามารถระบุตัวตนของบุคคลธรรมดาคนหนึ่งนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม
แหล่งที่มาของข้อมูลส่วนบุคคลที่มีการประมวลผล
โรงพยาบาลอาจได้รับข้อมูลส่วนบุคคลของผู้ใช้บริการจาก 5 แหล่ง ได้แก่
- ได้รับโดยตรงจากผู้ใช้บริการหรือบุคคลที่เกี่ยวข้องกับผู้ใช้บริการเมื่อผู้ใช้บริการไม่สามารถให้ข้อมูลเองได้ โดยผ่านการติดต่อเข้ามายังโรงพยาบาลผ่านช่องทางต่าง ๆ การลงทะเบียนซักประวัติระหว่างการจัดทำเวชระเบียน และระหว่างทำการรักษา หรือการซื้อผลิตภัณฑ์หรือบริการจากโรงพยาบาล
- ได้รับจากสถานพยาบาล หรือผู้ให้บริการภายนอกอื่น ซึ่งผู้ใช้บริการอาจเคยเข้ารับการรักษา ซึ่งโรงพยาบาลอาจมีความจำเป็นในการเก็บ รวบรวมข้อมูลจากแหล่งดังกล่าว เพื่อประกอบการวินิจฉัยรักษาโรค รวมถึง เพื่อการป้องกันและระงับอันตรายที่อาจเกิดต่อสุขภาพและชีวิตของผู้ใช้บริการ (แล้วแต่กรณี)
- ได้รับจากหน่วยงานภายนอกหรือต้นสังกัดของผู้ใช้บริการ ซึ่งอาจส่งข้อมูลส่วนบุคคลของผู้ใช้บริการมาให้แก่โรงพยาบาล เพื่อเตรียมการให้บริการรักษาพยาบาล ซึ่งหากเป็นกรณีดังกล่าว โรงพยาบาลจะถือว่า เมื่อต้นสังกัดของผู้ใช้บริการให้ข้อมูลมา บุคคลดังกล่าวต้องให้การรับประกันแก่โรงพยาบาลว่า ได้รับสิทธิหรือความยินยอมมาจากผู้ใช้บริการเจ้าของข้อมูลโดยถูกต้องครบถ้วนแล้ว ทั้งนี้ โรงพยาบาลมีสิทธิ (แต่ไม่เป็นภาระหน้าที่) ในการตรวจสอบความถูกต้องของสิทธิการเปิดเผยดังกล่าว
- ได้รับจากผู้ให้บริการภายนอกอื่นที่อาจให้บริการเกี่ยวเนื่องกับผู้ใช้บริการ ซึ่งอาจรวมถึงแต่ไม่จำกัดเพียง บริษัทประกันภัย โรงแรมที่ผู้ใช้บริการอาจเข้าพักและจำเป็นต้องเข้ารับการตรวจโรคติดต่อ รวมถึงผู้ให้บริการภายนอกอื่นที่ผู้ใช้บริการอาจเข้าใช้บริการและให้ความยินยอมแก่ ผู้ให้บริการภายนอกดังกล่าวในการส่งต่อเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการให้แก่ โรงพยาบาล (เช่น ผู้ให้บริการระบบการซื้อขายสินค้าออนไลน์ เป็นต้น)
- เก็บรวบรวม และประมวลผลโดยโรงพยาบาลระหว่างการให้บริการ ได้แก่ ข้อมูลการวิเคราะห์ วินิจฉัยเพิ่มเติมจากกระบวนการให้บริการรักษาพยาบาลให้แก่ผู้ใช้บริการ และข้อมูลที่ได้รับจากการให้บริการต่าง ๆ ของโรงพยาบาล รวมถึงในกรณีการใช้บริการผ่านทางออนไลน์อาจรวมถึง การเก็บรวบรวมประมวลผลข้อมูลส่วนบุคคลด้วยระบบอัตโนมัติของโรงพยาบาล
ข้อมูลที่มีการประมวลผล
ในการติดต่อสอบถามข้อมูล การจัดทำเวชระเบียน การประสานงาน การติดต่อไปรับคนไข้ การนัดหมาย การรักษาพยาบาลและการให้บริการต่อเนื่องด้านสุขภาพ การซื้อผลิตภัณฑ์และใช้บริการอื่นใดของโรงพยาบาล โรงพยาบาลมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการในแต่ละขั้นตอน ดังต่อไปนี้
ขั้นตอนการติดต่อประสานงานก่อนเข้าใช้บริการ ได้แก่
- ข้อมูลชื่อนามสกุล และข้อมูลการติดต่อสื่อสาร (เช่น ที่อยู่เพื่อการรับตัว เบอร์โทรศัพท์ หรือข้อมูลอีเมล หรือ Social Media Account สำหรับการติดต่อ)
- ข้อมูลเบื้องต้นเกี่ยวกับอาการของโรค เพื่อการประเมินและวินิจฉัยเบื้องต้นก่อนการให้บริการ หรือการให้คำแนะนำ ตอบคำถามที่ผู้ใช้บริการติดต่อมายังโรงพยาบาล
- กรณีการเข้าเยี่ยมชมเว็บไซต์ของโรงพยาบาล ได้แก่ หมายเลข IP Address ของคอมพิวเตอร์, ชนิดของบราวเซอร์, การตั้งค่าเรื่องเขตเวลา (time zone), ที่ตั้ง (location), ระบบปฏิบัติการ, แพลตฟอร์มและเทคโนโลยีของอุปกรณ์ที่ใช้เข้าเว็บไซต์ รวมถึงการใช้คุกกี้ (ซึ่งผู้ใช้บริการสามารถศึกษา นโยบายการใช้คุกกี้แยกต่างหากได้)
ขั้นตอนการลงเวชระเบียนเพื่อใช้บริการรักษาพยาบาล ได้แก่
- ข้อมูลทั่วไปของผู้ใช้บริการ ได้แก่ ชื่อนามสกุล เลขบัตรประชาชน วันเดือนปีเกิด เบอร์โทรศัพท์ ที่อยู่
- ข้อมูลเอกสารแสดงตนของผู้ใช้บริการ ได้แก่ ข้อมูลบัตรประจำตัวประชาชน (ซึ่งโรงพยาบาลจะเก็บข้อมูลดังกล่าวด้วย card reader โดยอัตโนมัติ) หรือหนังสือเดินทาง และอาจรวมถึงสำเนาเอกสารแสดงตนดังกล่าว รวมถึงรูปถ่ายใบหน้าของผู้ใช้ลริการ
- ข้อมูลสุขภาพ ได้แก่อาการเบื้องต้น การวัดอุณหภูมิร่างกาย และการตรวจสัญญาณชีพ ซึ่งได้รับจากการซักประวัติเพื่อการวิเคราะห์ประเมินอาการ พร้อมกับการให้คำแนะนำการให้บริการที่เหมาะสม
- ข้อมูลการแสดงสิทธิที่เกี่ยวเนื่องของผู้ใช้บริการ ได้แก่แต่ไม่จำกัดเพียง สิทธิประกัน สิทธิประกันสังคม สิทธิการเป็นพนักงานหรือบุคคลภายใต้สังกัดของหน่วยงานต้นสังกัด (เช่น บริษัทนายจ้าง หรือโรงเรียน หรือโรงแรมที่ส่งรายชื่อแขกผู้เข้าพักให้แก่ โรงพยาบาล) เพื่อการตรวจสอบสิทธิการให้บริการต่าง ๆ แก่ผู้ใช้บริการดังกล่าว
ขั้นตอนการเข้ารับการรักษา ทั้ง On-site และ Telemedicine ได้แก่
- ข้อมูลภาพถ่ายใบหน้าของผู้ใช้บริการที่โรงพยาบาลอาจเก็บผ่านระบบกล้อง CCTV บริเวณพื้นที่ต่าง ๆ ในโรงพยาบาล หรือในระหว่างการจัดกิจกรรมต่าง ๆ ภายในพื้นที่โรงพยาบาล ทั้งนี้สำหรับการถ่ายภาพในงานกิจกรรมต่าง ๆ หากผู้ใช้บริการไม่ต้องให้มีการถ่ายภาพ สามารถแจ้งให้พนักงานของโรงพยาบาลทราบถึงจุดประสงค์การปฏิเสธการถ่ายภาพดังกล่าวได้
- ข้อมูลบันทึกการเข้ารับการบริการวินิจฉัยและรักษาพยาบาล รวมถึงการติดตามอาการของโรคและการรักษา ซึ่งอาจรวมถึงข้อมูลการตรวจร่างกาย ในรูปแบบของฟิล์มเอ็กซ์เรย์ หรือไฟล์ภาพการตรวจ ผลการวิเคราะห์และการวินิจฉัย การสั่งยารักษาหรือการให้บริการหัตถการต่างๆ เพื่อการรักษาโรคที่บุคลากรของโรงพยาบาลอาจดำเนินการ ภาพและเสียงสนทนาที่ได้มีการบันทึกในระหว่างการให้บริการ Telemedicine และอาจรวมถึงการถ่ายภาพหรือภาพเคลื่อนไหวของผู้ให้บริการเพื่อการติด ตามอาการที่อาจมีการเปลี่ยนแปลงในแต่ละครั้งที่รับการรักษา
- ข้อมูลการชำระเงินสำหรับการใช้บริการ เช่นหลักฐานการชำระเงิน บัตรเครดิต และกรณีข้อมูลการใช้สิทธิสวัสดิการ หรือประกันภัย
- ข้อมูลส่วนบุคคลอื่นๆ ที่ผู้ใช้บริการอาจให้ยินยอมหรือนำส่งให้แก่โรงพยาบาล เพื่อการประมวลผลข้อมูลส่วนบุคคลดังกล่าว เช่น ข้อมูลการติดต่อ เพื่อรับการบริการสนับสนุน หรือแจ้งเรื่องร้องเรียนผ่านช่องทางที่โรงพยาบาลกำหนด เป็นต้น
ขั้นตอนการซื้อขายสินค้า ได้แก่
- กรณีการซื้อสินค้าผ่านช่องทางออนไลน์ ได้แก่ ชื่อ นามสกุล ข้อมูลการติดต่อและจัดส่งสินค้า รวมถึงรายละเอียดธุรกรรมการซื้อสินค้าที่ดำเนินการโดยผู้ใช้บริการดังกล่าว
- กรณีผู้ใช้บริการต้องการออกใบกำกับภาษี อาจรวมถึงข้อมูลเลขบัตรประจำตัวประชาชน หรือข้อมูลเวชระเบียบของผู้ใช้บริการ เพื่อใช้ในการจัดเตรียมเอกสารดังกล่าว
ข้อมูลส่วนบุคคลของบุคคลอื่นที่เกี่ยวข้องกับผู้ใช้บริการที่โรงพยาบาลมีความจำเป็นในการประมวลผล
ในกรณีฉุกเฉินเพื่อการป้องกันหรือระงับอันตรายต่อชีวิตของผู้ใช้บริการ โรงพยาบาลอาจจำเป็นต้องทำการติดต่อบุคคลติดต่อฉุกเฉิน ที่ผู้ใช้บริการให้กับโรงพยาบาลดังกล่าว ซึ่งได้แก่แต่ไม่จำกัดเพียง ข้อมูลชื่อนามสกุล ข้อมูลการติดต่อ และเอกสารแสดงตนของบุคคลดังกล่าว
ทั้งนี้ เมื่อผู้ใช้บริการให้ข้อมูลของบุคคลอื่นดังกล่าวแก่โรงพยาบาล ทางโรงพยาบาลจะถือว่า ผู้ใช้บริการให้การรับประกันว่า ผู้ใช้บริการมีสิทธิอันชอบด้วยกฎหมายในการเปิดเผยข้อมูลส่วนบุคคลของบุคคลดังกล่าว และได้แจ้งความจำเป็นในการประมวลผลข้อมูลส่วนบุคคล และขอความยินยอมจากบุคคลดังกล่าวครบถ้วนและถูกต้องแล้ว ดังนั้นโรงพยาบาลสามารถประมวลผลข้อมูลส่วนบุคคลของบุคคลดังกล่าวได้โดยสอดคล้องกับนโยบายฉบับนี้
วัตถุประสงค์และระยะเวลาการประมวลผลข้อมูลส่วนบุคคล
โรงพยาบาลมีความจำเป็นต้องเก็บ รวบรวม ใช้ และประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการและบุคคลอื่นที่เกี่ยวข้องตามที่ระบุไว้ข้างต้น เพื่อวัตถุประสงค์ ดังนี้:
- เพื่อความจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์ของโรงพยาบาล เกี่ยวกับ การวินิจฉัยโรคทางการแพทย์ การให้บริการด้านสุขภาพ การรักษาทางการแพทย์ การจัดการด้านสุขภาพ ประโยชน์สาธารณะด้านการสาธารณสุข การจัดให้มีสวัสดิการเกี่ยวกับการรักษาพยาบาลของผู้มีสิทธิตามกฎหมาย รวมถึงการศึกษาวิจัยทางวิทยาศาสตร์ สถิติ โดยโรงพยาบาลรับประกัน จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐาน และประโยชน์ของผู้ใช้บริการในฐานะเจ้าของข้อมูลส่วนบุคคลทั้งนี้เพื่อวัตถุประสงค์และความจำเป็นในการประมวลผลตามวัตถุประสงค์ที่ระบุไว้ โรงพยาบาลจำเป็นต้องเก็บรักษาข้อมูลส่วนบุคคลของผู้ใช้บริการตลอดระยะเวลาที่จำเป็นเพื่อจุดประสงค์นั้นตามกฎหมาย
- เพื่อการปฏิบัติหน้าที่ในการให้บริการต่าง ๆ ที่โรงพยาบาลต้องดำเนินการให้แก่ผู้ใช้บริการ ซึ่งได้แก่แต่ไม่จำกัดเพียง
- การติดต่อสื่อสารกับผู้ใช้บริการ เพื่อการตอบและให้ข้อมูลที่เกี่ยวข้องกับตามการร้องขอ การนัดหมายแจ้งเตือนเวลาให้บริการ การตรวจสอบและประเมินสิทธิ รวมถึงอาการของผู้ใช้บริการก่อนให้บริการทั้งหมด
- การรักษาพยาบาล การติดตามอาการ ทั้งในกรณีที่ฉุกเฉินและไม่ฉุกเฉิน รวมถึงการให้บริการติดตามอาการต่อเนื่อง ภายหลังจากการเข้ารับการรักษาโดยตรงที่โรงพยาบาล และการให้คำแนะนำการดูแลรักษาสุขภาพ สำหรับกลุ่มผู้ป่วยโรคเรื้อรัง หรือโรคเฉพาะที่ต้องได้รับการดูแลต่อเนื่องอื่น
- การติดต่อประสานงานเพื่อการเก็บ รวมถึงตรวจสอบการชำระค่าบริการ และค่าสินค้า รวมถึงการจัดส่งสินค้า
เพื่อวัตถุประสงค์ดังกล่าวนี้ โรงพยาบาลจะเก็บรักษาข้อมูลส่วนบุคคลของผู้ใช้บริการไว้ ตลอดระยะเวลาที่โรงพยาบาลยังมีหน้าที่ในการให้บริการรักษาพยาบาล และให้บริการอื่นที่เกี่ยวข้องภายใต้สัญญาต่าง ๆ ที่อาจมีระหว่างโรงพยาบาลและผู้ใช้บริการ และ/หรือตลอดระยะเวลาที่โรงพยาบาลยังคงให้บริการอยู่
- เพื่อการปฏิบัติหน้าที่ตามกฎหมายที่โรงพยาบาลต้องดำเนินการ เช่น การจัดทำบัญชีและชำระภาษีของโรงพยาบาล โดย เฉพาะกรณีที่ผู้ใช้บริการอาจขอใบกำกับภาษีจากโรงพยาบาลจากการซื้อผลิตภัณฑ์หรือใช้บริการ การส่งข้อมูลเพื่อเบิกจ่ายยาให้แก่หน่วยงานราชการ การเก็บข้อมูลเวชระเบียนไว้ตามกำหนดมาตรฐาน โรงพยาบาลจำเป็นต้องเก็บรวบรวมข้อมูลของผู้ใช้บริการเพื่อการจัดทำเอกสารดังกล่าว ตลอดระยะเวลาตามกรอบที่กฎหมายที่เกี่ยวข้องกำหนด
- เพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของผู้ใช้บริการ ในบางกรณีที่อาจมีความเสี่ยงอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของผู้ใช้บริการแบบฉับพลัน เช่น กรณีฉุกเฉิน ซึ่งอาจอยู่นอกเหนือจากขอบเขตการใช้ข้อมูลตามหน้าที่ที่โรงพยาบาลอาจมีภายใต้กฎหมาย แต่อยู่ในสถานการณ์ที่ผู้ใช้บริการไม่สามารถให้ความยินยอมในการใช้ข้อมูล ไม่ว่าจะเป็น ข้อมูลส่วนบุคคล หรือข้อมูลส่วนบุคคลอ่อนไหว โรงพยาบาลอาจมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการเป็นกรณีพิเศษในสถานการณ์นั้นเพื่อวัตถุประสงค์การระงับอันตรายดังกล่าว
- เพื่อการดำเนินการเพื่อประโยชน์อันชอบด้วยกฎหมาย โดยไม่กระทบสิทธิลูกค้าในฐานะเจ้าของข้อมูลเกินสมควร ได้แก่
- การปกป้องสิทธิอันชอบด้วยกฎหมายของโรงพยาบาล ในกรณีเกิดข้อร้องเรียนหรือการต่อสู้ใดระหว่าง โรงพยาบาลและผู้ใช้บริการ ตามกรอบอายุความในกฎหมาย
- การบริหารจัดการความเสี่ยงของโรงพยาบาลในภาพรวม ซึ่งอาจรวมถึงการส่ง ต่อเปิดเผย ทำรายงานความเสี่ยงหรือเหตุการณ์ผิดปกติเป็นรายงานภายในขององค์กรเพื่อการรับประกันคุณภาพของการให้บริการของโรงพยาบาล
- การพิจารณาวางแผนการปรับปรุงสินค้าและบริการของโรงพยาบาลให้เหมาะสม และตรงกับความต้องการของผู้ใช้บริการ รวมถึงการปรับปรุงการให้บริการในอนาคต การปรับปรุงการสร้างความสัมพันธ์ระหว่างผู้ใช้บริการและโรงพยาบาล ผ่านการฝึกอบรมพนักงาน และการพิจารณาทบทวนการแก้ไขข้อร้องเรียนต่างๆ และการใช้ข้อมูลเพื่อติดตามการให้บริการของบุคลากรของโรงพยาบาล
เพื่อประโยชน์อันชอบด้วยกฎหมายของโรงพยาบาล โรงพยาบาลสงวนสิทธิ์ในการเก็บรักษาข้อมูลส่วนบุคคลของผู้ใช้บริการไว้เป็นระยะเวลาที่เหมาะสม เพื่อประโยชน์ทางธุรกิจของโรงพยาบาล ทั้งนี้เป็นไปตามกรอบกฎหมายที่เหมาะสม และโรงพยาบาลรับประกันไม่ให้กระทบสิทธิผู้ใช้บริการในฐานะเจ้าของข้อมูลมากเกินส่วน - ในกรณีที่ได้รับความยินยอมจากลูกค้า โรงพยาบาลอาจประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการเพื่อจุดประสงค์เฉพาะที่ผู้ใช้บริการอาจให้ความยินยอม จนกว่าลูกค้าจะยกเลิกความยินยอมที่ลูกค้าได้ให้แก่โรงพยาบาล ซึ่งรวมถึงแต่ไม่จำกัดเพียง
- การใช้ข้อมูลผลสำเร็จการรักษา หรือข้อมูลของผู้ใช้บริการในการจัดทำสื่อประชาสัมพันธ์ของโรงพยาบาล ทั้งนี้ โรงพยาบาลรับประกันไม่ให้กระทบสิทธิของผู้ใช้บริการในฐานะเจ้าของข้อมูลมาเกินสมควร และโรงพยาบาลเคารพสิทธิของผู้ใช้บริการในการให้ความเห็นเกี่ยวกับสื่อประชาสัมพันธ์ดังกล่าว
- การติดต่อไปยังผู้ใช้บริการเพื่อสื่อสารประชาสัมพันธ์ โปรโมชั่น และข่าวสารอื่นๆ ที่ผู้ใช้บริการอาจให้ความสนใจ หรือนำภาพการรักษาพยาบาล หรือผลการรับการรักษาไปจัดทำเป็นสื่อประชาสัมพันธ์ของโรงพยาบาลได้
การเปิดเผยข้อมูลส่วนบุคคล
โดยหลักการแล้ว โรงพยาบาลจะไม่เปิดเผย หรือส่งต่อข้อมูลส่วนบุคคลของผู้ใช้บริการให้แก่บุคคลภายนอก แต่ในกรณีจำเป็นโรงพยาบาลอาจมีความจำเป็นต้องเปิดเผยและส่งต่อข้อมูลส่วนบุคคลของลูกค้า ให้แก่ บุคคลดังต่อไปนี้
- ผู้ให้สวัสดิการหรือสิทธิในการรักษาพยาบาลให้แก่ผู้ใช้บริการ เนื่องจากการใช้บริการของผู้ใช้บริการบางท่านอาจได้รับการสนับสนุนภายใต้สวัสดิการที่ต้นสังกัดของผู้ใช้บริการให้ไว้ หรือเป็นกรณีที่ผู้ใช้บริการอาจเข้ารับบริการโดยใช้สิทธิภายใต้กรมธรรม์ประกันภัย เพื่อรับประกันให้โรงพยาบาลสามารถให้การให้บริการทั้งหมดแก่ผู้ใช้บริการ ได้ตามสิทธิของผู้ใช้บริการอย่างเต็มประสิทธิภาพ โรงพยาบาลย่อมมีความจำเป็นต้องส่งต่อเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการ เพื่อตรวจสอบสิทธิสวัสดิการและ/หรือการประกันภัยที่ผู้ใช้บริการอาจมีทั้งนี้ในขั้นตอนการตรวจสอบสิทธิดังกล่าวนั้นโรงพยาบาลจะจำกัดการเปิดเผยเพียงข้อมูลเท่าที่จำเป็น เพื่อการประเมินตรวจสอบสิทธิเพื่อประโยชน์ของผู้ใช้บริการเท่านั้น ภายใต้กรอบข้อตกลงการประมวลผลข้อมูลส่วนที่เหมาะสม
- ผู้ให้บริการภายนอก ที่โรงพยาบาลอาจว่าจ้างเพื่อการให้บริการต่างๆ ที่อาจจำเป็นของโรงพยาบาล ให้แก่ผู้ใช้บริการ ได้แก่แต่ไม่จำกัดเพียงบุคลากรทางการแพทย์ทั้งหมดที่เป็นผู้ประกอบวิชาชีพอิสระ ซึ่งได้รับการติดต่อเพื่อให้บริการในนามของโรงพยาบาล ผู้ให้บริการวินิจฉัยวิเคราะห์โรคเฉพาะทาง เช่น ห้องแล็ป หรือสถานบริการเอ็กซ์เรย์ ผู้ให้บริการระบบเทคโนโลยีสารสนเทศต่างๆ ที่ปรึกษาเฉพาะทางที่โรงพยาบาลอาจว่าจ้าง ซึ่งผู้ให้บริการภายนอกบางส่วนอาจจดทะเบียนจัดตั้งและประ กอบกิจการอยู่นอกประเทศสำหรับการส่งต่อเปิดเผยข้อมูลให้แก่ผู้ให้บริการภายนอกนี้ โรงพยาบาลจะกำหนดมาตรการอย่างเหมาะสมในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของผู้ใช้บริการที่จะมีการส่งต่อเปิดเผยดังกล่าว โดยต้องจัดทำมาตรการในการจำกัดการเข้าถึงข้อมูล และการจัดข้อตกลงการประมวลผลข้อมูลส่วนบุคคลที่จำกัดขอบเขตจุดประสงค์การเปิดเผย และเข้าถึงข้อมูลส่วนบุคคลดังกล่าวบนพื้นฐานที่จำเป็นเท่านั้น โดยเฉพาะกรณีการส่งต่อเปิดเผยข้อมูลไปยังต่างประเทศ บริษัทจะรับประกันมาตรการในการรักษาความปลอดภัยตามมาตรฐานที่กำหนดไว้ภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
- หน่วยงานราชการ หรือหน่วยงานกำกับดูแล ที่โรงพยาบาลอาจมีหน้าที่ภายใต้กฎหมาย กฎระเบียบหรือข้อบังคับที่เกี่ยว ข้องกำหนด รวมถึงคำสั่งของหน่วยงานราชการในการเปิดเผยและส่งต่อข้อมูลส่วนบุคคลของผู้ใช้บริการให้แก่หน่วยงานดังกล่าวเพื่อการตรวจสอบ ทั้งนี้สำหรับการส่งต่อและเปิดเผยข้อมูลภายใต้หลักการกฎหมายหรือคำสั่งดังกล่าว โรงพยาบาลรับประกันดำเนินการเพียงเท่าที่จำเป็นเพื่อการปฏิบัติหน้าที่ ที่ระบุไว้เป็นการเฉพาะเท่านั้น
- เมื่อผู้ใช้บริการให้ความยินยอม โรงพยาบาลอาจเปิดเผยข้อมูลส่วนบุคคล ให้แก่บุคคลอื่นที่ผู้ใช้บริการอาจกำหนดให้ความยินยอมให้โรงพยาบาลเปิดเผย เช่น การเปิดเผยข้อมูลส่วนบุคคลอ่อนไหวให้แก่บริษัทประกันภัย หรือโรงพยาบาลในเครือ รวมถึงโรงพยาบาล หรือสถานพยาบาลอื่นๆ เป็นต้น
มาตรการรักษาความมั่นคงปลอดภัยในข้อมูลส่วนบุคคล
โรงพยาบาลรับประกันการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ภายใต้กฎหมายที่เกี่ยวข้องเพื่อป้องกันการเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ ทั้งนี้ โรงพยาบาลจะทบทวนและปรับปรุงมาตรการในส่วนที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของโรงพยาบาลอย่างสม่ำเสมอ ให้สอดคล้องกับการประมวลผลข้อมูลส่วนบุคคลที่อาจได้รับการปรับปรุง และปรับปรุงให้ทันสมัยเหมาะสมกับเทคโนโลยีและมาตรการรักษาความมั่นคงปลอดภัยที่เปลี่ยนแปลง เพื่อรับประกันประสิทธิภาพตามมาตรฐานที่กำหนดไว้ ในระดับองค์กรและระดับเทคนิค ให้สอดคล้องกับลักษณะความอ่อนไหวของข้อมูลส่วนบุคคลของผู้ใช้บริการ โดยเฉพาะอย่างยิ่งโรงพยาบาลจะจัดให้มีการดำเนินการอบรม และสร้างความตระหนักให้พนักงาน บุคลากรการแพทย์ รวมถึงผู้ให้บริการภายนอกทั้งหมดทุกคน เพื่อให้รับทราบถึงความสำคัญของการปกป้อง และเคารพสิทธิในความเป็นส่วนตัวและข้อมูลส่วนบุคคลของผู้ใช้บริการ
สิทธิของเจ้าของข้อมูล
โรงพยาบาลเคารพสิทธิตามกฎหมายของผู้ใช้บริการในฐานะเจ้าของข้อมูลในส่วนที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของท่านที่อยู่ในการควบคุมของโรงพยาบาล ในฐานะเจ้าของข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้องมีสิทธิในการดำเนินการตามขอบเขตที่กฎหมายอนุญาตให้กระทำได้ ดังต่อไปนี้ (1) สิทธิขอถอนความยินยอม (2) สิทธิขอเข้าถึงข้อมูลที่อยู่ในความรับผิดชอบของโรงพยาบาล และขอให้โรงพยาบาลทำสำเนาข้อมูลดังกล่าวให้แก่เจ้าของข้อมูลส่วนบุคคล (3) สิทธิขอถ่ายโอนข้อมูล ที่โรงพยาบาลได้ทำให้ข้อมูลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ โดยโอนไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ เว้นแต่ไม่สามารถดำเนินการได้เพราะเหตุทางเทคนิค (4) สิทธิขอคัดค้าน หากการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่ทำขึ้นเพื่อประโยชน์โดยชอบด้วยกฎหมายของโรงพยาบาลหรือของบุคคลอื่น หรือเพื่อดำเนินการตามภารกิจเพื่อสาธารณประโยชน์ ทั้งนี้ หากลูกค้ายื่นคัดค้าน โรงพยาบาลจะยังคงดำเนินการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลต่อไปเฉพาะที่โรงพยาบาลสามารถแสดงเหตุผลตามกฎหมายได้ว่ามีความสำคัญยิ่งกว่าสิทธิขั้นพื้นฐานของเจ้าของข้อมูลส่วนบุคคล หรือเป็นไปเพื่อการยืนยันการปฏิบัติตามกฎหมาย หรือการต่อสู้ในการฟ้องร้องตามกฎหมาย ตามแต่ละกรณี (5) สิทธิขอให้ลบหรือทำลายข้อมูล หรือทำให้เป็นข้อมูลที่ไม่สามารถระบุตัวเจ้าของข้อมูลส่วนบุคคลได้ หากเจ้าของข้อมูลส่วนบุคคลเชื่อว่า ข้อมูลส่วนบุคคลของตนถูกเก็บรวบรวม ใช้ และเปิดเผยโดยไม่ชอบด้วยกฎหมายที่เกี่ยวข้อง หรือเห็นว่าโรงพยาบาลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่เกี่ยวข้องในนโยบายฉบับนี้ หรือเมื่อลูกค้าได้ใช้สิทธิขอถอนความยินยอมหรือใช้สิทธิขอคัดค้านตามที่แจ้งไว้ข้างต้นแล้ว ทั้งนี้ การใช้สิทธิดังกล่าวอาจจะส่งผลต่อกรณีการปฏิบัติตามสัญญาที่ทำไว้กับโรงพยาบาลหรือกรณีการให้บริการอื่นๆ เนื่องจากจะไม่สามารถระบุตัวตนของเจ้าของข้อมูลส่วนบุคคลได้ จึงอาจเกิดข้อจำกัดในการให้บริการในบางส่วนที่จำเป็นต้องใช้ข้อมูลส่วนบุคคล และอาจทำให้เจ้าของข้อมูลส่วนบุคคลนั้นไม่ได้รับสิทธิประโยชน์การบริการ และข่าวสารจากโรงพยาบาลต่อไป (6) สิทธิขอให้ระงับการใช้ข้อมูลชั่วคราวในกรณีที่โรงพยาบาลอยู่ระหว่างตรวจสอบตามคำร้องขอใช้สิทธิขอแก้ไขข้อมูลส่วนบุคคลหรือขอคัดค้านของเจ้าของข้อมูลส่วนบุคคล หรือกรณีอื่นใดที่โรงพยาบาลหมดความจำเป็นและต้องลบหรือทำลายข้อมูลส่วนบุคคลตามกฎหมายที่เกี่ยวข้องแต่เจ้าของข้อมูลส่วนบุคคลขอให้โรงพยาบาลระงับการใช้แทน (7) สิทธิขอให้แก้ไขข้อมูลให้ถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลดังกล่าวข้างต้นสามารถทำได้โดยกรอกแบบฟอร์มคำร้องขอใช้สิทธิและยื่นคำร้องต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล อย่างไรก็ตามการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลอาจถูกจำกัดภายใต้กฎหมายที่เกี่ยวข้อง และมีบางกรณีที่มีเหตุจำเป็นที่โรงพยาบาล อาจปฏิเสธหรือไม่สามารถดำเนินการตามคำขอใช้สิทธิข้างต้นได้ เช่น ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล เพื่อประโยชน์สาธารณะ การใช้สิทธิอาจละเมิดสิทธิหรือเสรีภาพของบุคคลอื่น เป็นต้น โดยหากโรงพยาบาล ปฏิเสธคำขอข้างต้น โรงพยาบาลจะแจ้งเหตุผลของการปฏิเสธให้เจ้าของข้อมูลส่วนบุคคลทราบด้วย
ในการนี้โรงพยาบาลได้แต่งตั้งคณะทำงานคุ้มครองข้อมูลส่วนบุคคลขึ้น เป็นส่วนหนึ่งของโครงสร้างการกำกับดูแลและบริหารจัดการการคุ้มครองการประมวลผลข้อมูลส่วนบุคคล เพื่อให้มั่นใจว่าโรงพยาบาลมีการจัดการและดำเนินการกับข้อมูลส่วนบุคคลของผู้ใช้บริการอย่างสอดคล้องกับกฎหมาย และข้อบังคับเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง รวมถึงโดยเฉพาะอย่างยิ่งเป็นไปตามนโยบายนี้ด้วย ทั้งนี้ หากท่านมีข้อสงสัยประการใดเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล หรือสิทธิของผู้ใช้บริการ ผู้ใช้บริการสามารถติดต่อคณะทำงานคุ้มครองข้อมูลส่วนบุคคลของโรงพยาบาลได้ตามรายละเอียดที่ระบุไว้
ช่องทางการติดต่อ
สำนักงานแห่งใหญ่ตั้งอยู่เลขที่ 70/7-8 ถ.ศุภกิจจรรยา ต.หมากแข้ง อ.เมือง จ.อุดรธานี 41000
โทรศัพท์ 042-219888
อีเมล admin@wattanahospital.net