จะทำอย่างไร ถ้าท่านเป็นผู้บริหารของโรงพยาบาลที่ข้อมูลผู้ป่วยไปปรากฎบนถุงขนมเบื้อง

จะทำอย่างไร ถ้าท่านเป็นผู้บริหารของโรงพยาบาลที่ข้อมูลผู้ป่วยไปปรากฎบนถุงขนมเบื้อง
i- PDPA Article

i-PDPA

2 ธันวาคม 2567

ในช่วงปลายเดือนกันยายนที่ผ่านมา ได้เกิดเหตุมีคนไปซื้อขนมเบื้องจากรถเข็นขายขนมเบื้องในตลาดแห่งหนึ่งในกรุงเทพมหานคร แล้วพบว่า ถุงขนมเบื้องที่ตนไปซื้อมารับประทานนั้น มีข้อมูลผู้ป่วยทั้งชื่อ นามสกุล อายุ อาการป่วยที่เป็น ประวัติการรักษา และประวัติการจ่ายยา แน่นอนว่า ข้อมูลเหล่านี้คือ ข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามที่ PDPA ระบุไว้ ที่ได้รับการคุ้มครองเป็นพิเศษทั้งการเก็บรวบรวม ใช้ เปิดเผย พร้อมกำหนดโทษหากเกิดเหตุละเมิดที่เข้มข้นกว่าการเกิดเหตุละเมิดข้อมูลส่วนบุคคลทั่วไป

              เมื่อการรั่วไหลของข้อมูลดังกล่าวไปในรูปของถุงใส่ขนมเบื้อง ถือว่าการละเมิดได้เกิดขึ้นแล้ว สิ่งที่ตามมาก็คือ หากท่านเป็นผู้บริหารสถานพยาบาลในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล ท่านได้มีความเสี่ยงต่อการกระทำผิดต่อ PDPA แล้ว ดังนั้น ท่านควรทำอย่างไรให้สอดคล้องกับ PDPA ในบทความนี้ ผมขอนำเสนอแนวทางบนพื้นฐานว่า เจ้าของข้อมูลส่วนบุคคลที่ปรากฎข้อมูลของตนเองบนถุงขนมเบื้องเป็นผู้แจ้งเหตุละเมิดต่อโรงพยาบาลที่ทำข้อมูลหลุดออกมา

              และเมื่อผู้บริหารโรงพยาบาลได้รับทราบ ต้องดำเนินการตามขั้นตอน ดังนี้

ขั้นตอนที่หนึ่ง : หากมี DPO ให้แจ้ง DPO ให้เรียกประชุมทีมเผชิญเหตุ (Emergency Response Team) โดยทันที หากไม่มีท่านต้องมอบหมายให้คนที่ดูแล PDPA เรียกทีมเผชิญเหตุ (Emergency Response Team)

              หากเจ้าของข้อมูลส่วนบุคคลที่ปรากฏอยู่นั้น มีการแจ้งเหตุรั่วไหลของข้อมูลดังกล่าวไปที่โรงพยาบาล การเตรียมการที่สำคัญข้อหนึ่งคือ การตั้งทีมเผชิญเหตุเอาไว้เป็นการล่วงหน้า ซึ่งควรจะประกอบด้วย DPO (ถ้ามี) หรือถ้าไม่มีก็ให้เป็นผู้รับผิดชอบด้าน PDPA เป็นหัวหน้าทีม และมีทีมที่มาจาก HR, IT, กฎหมาย และ Compliance ถ้ามี การตั้งทีมไว้ล่วงหน้า ก็เพื่อเวลาเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคล เราจะสามารถระดมคนได้ทันที

ขั้นตอนที่สอง : สอบสวนข้อเท็จจริงเพื่อให้ทราบประเภทและชนิดของข้อมูล ปริมาณข้อมูล และผู้รับผิดชอบ (Process Owner)  

สิ่งแรกที่ต้องทำคือ หาว่าข้อมูลส่วนบุคคลดังกล่าวรั่วไหลไปที่ใด เพื่อจะหาต่อไปได้ว่าใครเป็นคนรับผิดชอบพื้นที่ตรงนั้นที่เรียกว่า Process Owner ซึ่งจุดจุดตั้งต้นสำคัญคือ การเข้าไปดูบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคล หรือ ที่เราคุ้นกับคำว่า ROPA (Record Of Processing Activities) เพื่อดูว่า ข้อมูลส่วนบุคคลที่มีความอ่อนไหวที่หลุดออกไปนั้น มีการเดินทางในองค์กรอย่างไร ผ่านมือใครบ้าง แล้วสอบหาข้อเท็จจริงเพิ่มเติมเจาะลงไปตามที่ปรากฏข้อมูลอยู่ใน ROPA

โดยการสอบหาข้อเท็จจริงในขั้นตอนนี้ เราจะต้องทราบว่าใครเป็น Process Owner มีข้อมูลที่รั่วไหลออกไปปริมาณเท่าใด มีประเภทและชนิดของข้อมูลส่วนบุคคลอะไรบ้างที่นอกเหนือจากที่ปรากฏในถุงกล้วยแขก  

ขั้นตอนที่สาม : ประเมินว่า ข้อมูลที่รั่วไหลออกไปนั้นมีความไม่เสี่ยง หรือ เสี่ยง หรือ เสี่ยงสูงที่จะกระทบกับสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล

              ขั้นตอนนี้เป็นขั้นตอนที่สำคัญ โดยเมื่อได้ข้อมูลจากขั้นตอนที่สองแล้ว ทีมเผชิญเหตุต้องประเมินว่า ข้อมูลส่วนบุคคลที่ได้รั่วไหลออกไปมีความไม่เสี่ยง หรือ เสี่ยง หรือเสี่ยงสูง ที่จะกระทบต่อสิทธิและเสรีภาพของเจ้าของข้อมูล โดยให้พิจารณาจากเกณฑ์ที่สำนักงานคุ้มครองข้อมูลส่วนบุคคลกำหนดในประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลเรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565 เช่น ดูปริมาณ ดูว่าได้มีการนำไปใช้จนเกิดเหตุที่ทำให้เจ้าของข้อมูลส่วนบุคคลมีความเสียหายแล้วหรือยัง

              กรณีหากประเมินว่า ไม่เสี่ยง

ไม่ต้องแจ้งใคร แต่ควรดำเนินการปรับปรุงกระบวนการภายใน และมีการให้ความรู้สร้างความตระหนักเพิ่มเติมกว่าเด

              กรณีหากหากประเมินว่า “เสี่ยง”

ให้แจ้งแก่สำนักงานคุ้มครองข้อมูลส่วนบุคคลภายโดยไม่ชักช้าภายใน 72 ชั่วโมงนับตั้งแต่ทราบเหตุโดยในการแจ้งเหตุการละเมิดข้อมูล โดยจะต้องมีรายละเอียดดังนี้

  1. ข้อมูลโดยสังเขปเท่าที่จะสามารถระบุได้เกี่ยวกับลักษณะและประเภทของการละเมิดข้อมูลส่วนบุคคล โดยอาจบรรยายถึงลักษณะและจำนวนเจ้าของข้อมูลส่วนบุคคล หรือลักษณะและจำนวนรายการ ของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด
  2. หากมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)ให้ระบุชื่อ สถานที่ติดต่อ และวิธีการติดต่อของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
  3. หากไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ให้ระบุชื่อ สถานที่ติดต่อ และวิธีการติดต่อบุคคลที่ได้รับมอบหมายให้ทำหน้าที่ประสานงานและให้ข้อมูลเพิ่มเติม
  • ข้อมูลเกี่ยวกับผลกระทบที่อาจเกิดขึ้นจากเหตุการณ์ละเมิดข้อมูลส่วนบุคคล
  • ข้อมูลเกี่ยวกับมาตรการที่โรงพยาบาลใช้หรือจะใช้เพื่อป้องกัน ระงับ หรือแก้ไขเหตุการละเมิดข้อมูลส่วนบุคคล หรือเยียวยาความเสียหาย โดยอาจใช้มาตรการทางบุคลากร กระบวนการ หรือเทคโนโลยี หรือมาตรการอื่นใดที่จำเป็นและเหมาะสม

              กรณีหากประเมินว่า “เสี่ยงสูง”

ให้แจ้งแก่เจ้าของข้อมูลส่วนบุคคลภายโดยไม่ชักช้านับตั้งแต่ทราบเหตุ โดยจะต้องมีเนื้อหาสำคัญ ดังนี้

  1. ข้อมูลโดยสังเขปเกี่ยวกับลักษณะของการละเมิดข้อมูลส่วนบุคคล
  2. หากมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)ให้ระบุชื่อ สถานที่ติดต่อ และวิธีการติดต่อของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
  3. หากไม่มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ให้ระบุชื่อ สถานที่ติดต่อ และวิธีการติดต่อบุคคลที่ได้รับมอบหมายให้ทำหน้าที่ประสานงานและให้ข้อมูลเพิ่มเติม
  4. ข้อมูลเกี่ยวกับผลกระทบที่อาจเกิดขึ้นกับเจ้าของข้อมูลส่วนบุคคลจากเหตุการณ์ละเมิดข้อมูลส่วนบุคคล
  5. แนวทางการเยียวยาความเสียหายของเจ้าของข้อมูลส่วนบุคคล
  6. ข้อมูลโดยสังเขปเกี่ยวกับมาตรการที่โรงพยาบาลใช้หรือจะใช้เพื่อป้องกัน ระงับ หรือแก้ไขเหตุการละเมิดข้อมูลส่วนบุคคล โดยอาจใช้มาตรการทางบุคลากร กระบวนการ หรือเทคโนโลยี หรือมาตรการอื่นใดที่จำเป็นและเหมาะสม รวมถึงข้อแนะนำเกี่ยวกับมาตรการที่เจ้าของข้อมูลส่วนบุคคลอาจดำเนินการเพิ่มเติมเพื่อป้องกัน ระงับ หรือแก้ไขเหตุการละเมิดข้อมูลส่วนบุคคล หรือเยียวยาความเสียหาย

และเมื่อได้ดำเนินการครบถ้วนแล้ว ก็ควรแจ้งทั้งสำนักงานคุ้มครองข้อมูลส่วนบุคคลให้ได้รับทราบ และแจ้งเจ้าของข้อมูลส่วนบุคคลเพื่อความเข้าใจ  และพึงพอใจในการดำเนินการ ก่อนจะจบกระบวนการ

อย่างไรก็ดี ภายในของโรงพยาบาลเอง ก็ควรจะมีการปรับปรุงการทำงานภายในเพื่อปิดจุดอ่อนไม่ให้เกิดเหตุรั่วไหลซ้ำอีกต่อไป