top of page
Search
  • Writer's pictureSuphanut Atchanarat

6 เอกสารสำคัญที่คลินิกควรมีไว้ เพื่อใช้ร่วมกับ พรบ PDPA

หลังจากที่กฎหมาย PDPA ได้ประกาศบังคับใช้ในวันที่ 1 มิถุนายน 2565 ที่ผ่านมา อย่างที่ทราบกันดีว่า พรบ.ชุดนี้มีผลกับธุรกิจคลินิกเป็นอย่างมากในยุคที่ผู้คนหันมาให้ความสนใจเรื่องความปลอดภัยของข้อมูลของตนเอง เพราะกฎหมายชุดนี้มีผลเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ไม่ให้เก็บหรือนำไปใช้โดยไม่ได้รับอนุญาต แต่สำหรับคลินิกที่มีข้อมูลคนไข้อยู่แล้วก็จำเป็นที่จะต้องขอความยินยอมจากคนไข้ที่เป็นเจ้าของข้อมูลเพื่อยังคงจัดเก็บ และนำข้อมูลมาใช้ได้ตามปกติ

หากพูดถึงเอกสารที่เกี่ยวข้องกับกฎหมาย PDPA แล้ว หลายๆคนคงนึกถึงเอกสารอย่าง Privacy Policy กันเป็นส่วนใหญ่ แต่คุณรู้หรือไม่ว่า จริงๆแล้วยังมีเอกสารสำคัญนอกเหนือจากนี้ที่ควรจะมีไว้ เพื่อให้ข้อมูลที่คลินิกเก็บไว้ถูกต้องตามกฎหมาย และลดปัญหาทางกฎหมายต่างๆที่จะตามมาในภายหลังอีกด้วย เราจะพาทุกๆคนไปดูกันว่า เอกสารสำคัญที่คลินิกควรมีไว้ เพื่อรองรับกฎหมาย PDPA นั้น มีอะไรบ้าง


Privacy Policy เอกสารการจัดเก็บข้อมูลส่วนบุคคล

เรียกว่าเป็นหนึ่งในเอกสารที่เมื่อพูดถึง PDPA แล้วต้องนึกถึงสิ่งนี้เป็นอย่างแรกเลยก็ว่าได้ สำหรับเอกสารชุดนี้ทางคลินิกจะต้องจัดทำขึ้นเพื่อใช้ในการขอจัดเก็บข้อมูลจากเจ้าของข้อมูล แต่อีกหนึ่งประโยชน์ของนโยบายความเป็นส่วนตัว นี้ก็คือ เอกสารฉบับนี้จะช่วยสร้างความน่าเชื่อถือให้กับคลินิก สร้างความมั่นใจและไว้วางใจในการให้ข้อมูลต่างๆมากยิ่งขึ้น


HR Privacy Policy เอกสารสำหรับการทำงานของ HR

เนื่องจากกฎหมาย PDPA มีจุดประสงค์เพื่อคุ้มครองเจ้าของข้อมูลทุกคน นั่นหมายถึงไม่ได้มีแค่ลูกค้าของคลินิกเท่านั้น แต่หมายถึงตัวคุณและพนักงานในคลินิกอีกด้วย ดังนั้น เอกสารที่จะพูดถึงในหัวข้อนี้ต้องหนีไม่พ้นเอกสารสำหรับการทำงานในองค์กรณ์นั่นเอง เอกสารตัวนี้เหมาะกับผ่ายบุคคล หรือตำแหน่ง HR ของคลินิกเป็นอย่างมาก เพราะตำแหน่งนี้ต้องทำงานกับข้อมูลส่วนบุคคลของพนักงานตลอดเวลา ครอบคลุมตั้งแต่การสมัครงาน สัญญาจ้างงาน หนังสือรับรองการทำงาน ไปจนถึงหนังสือเลิกจ้าง ในความเป็นจริงแล้ว ทางคลินิกได้เก็บข้อมูลของพนักงานเอาหลากหลายกว่าที่คิดมาก นอกจากข้อมูลส่วนตัวทั่วๆไปอย่าง ชื่อ-นามสกุล ที่อยู่ แล้ว ยังมีข้อมูลที่เกี่ยวข้องกับการทำงานอย่าง ประวัติการทำงาน, หน้าที่ในปัจจุบัน, การเบิกเงินเดือน, สวัสดิการ ฯลฯ เท่านี้ยังไม่พอ ยังรวมไปถึงข้อมูลที่มีความอ่อนไหวอย่างข้อมูลสุขภาพทั้งสุขภาพกายและสุขภาพจิต ข้อมูลทางชีวภาพอย่างลายนิ้วมือ หรือประวัติอาชญากรรม

เพื่อให้คลินิกปฏิบัติตามข้อบังคับของกฎหมาย PDPA ทางคลินิกเองก็ต้องแจ้ง Privacy Policy กับพนักงานพร้อมทั้งขอความยินยอมในการเก็บข้อมูลส่วนต่างๆ โดยเอกสารในหัวข้อนี้นั้น จะมีหลักๆ 3 ส่วน โดยอาจมีมากกว่านี้เพื่อความเหมาะสมของแต่ละคลินิก ซึ่งได้แก่

  • เพื่อขอความยินยอมในการเก็บข้อมูลและนำไปใช้ในการสมัครงาน (Recruitment Privacy Policy)

  • เพื่อแจ้งพนักงานปัจจุบันของคลินิกในการเก็บข้อมูลและนำไปใช้ (HR Privacy Policy)

  • เพื่อการนำข้อมูลส่วนบุคคลอ่อนไหวไปใช้ (Employee's Consent form)


Cookies Privacy Package เอกสารสำหรับเว็บไซต์

หลายคนอาจจะงงว่าคุกกี้ที่หมายถึงนั้นคืออะไร มันคือขนมหรือเปล่า ต้องขออธิบายก่อนว่า คุกกี้(Cookies) เป็นเครื่องมือที่ใช้ในการติดตามผู้ที่เข้ามาเยี่ยมชมเว็บไซต์ของเรา โดยนำไปสามารถใช้เป็นข้อมูลเพื่อทำการตลาดได้ เมื่อกฏหมาย PDPA ประกาศใช้แล้วทำให้ทางคลินิกต้องแจ้งให้ผู้ที่เข้ามาเยี่ยมชมเว็บไซต์รับทราบและยินยอม นอกจากนี้ยังต้องให้ผู้เข้าเว็บไซต์สามารถเลือกวัตถุประสงค์ในการนำคุกกี้ไปใช้ได้อีกด้วย


CCTV Privacy Policy เอกสารการเก็บภาพบุคคล

แม้หัวข้อนี้จะมีผลเฉพาะกับคลินิกที่ติดกล้อง CCTV เท่านั้น แต่เชื่อว่าแทบจะทุกคลินิกที่มีการติดตั้งกล้อง CCTV กันทั้งสิ้น การที่กล้องของเราถ่ายเห็นบุคคลเข้า - ออกจากคลินิก แม้จะเพื่อความปลอดภัยในทรัพย์สินของเรา แต่อย่างไรก็ตาม การเก็บภาพถ่ายบุคคลอื่นนั้นก็คือข้อมูลส่วนบุคคลเช่นกัน นั่นทำให้ทางคลินิกต้องมีหน้าที่ในการแจ้งบุคคลภายนอกให้รับทราบถึงการเก็บข้อมูลจากกล้อง CCTV พร้อมทั้งขอความยินยอมด้วย


Data Processing Agreement เอกสารเปิดเผยข้อมูล

สำหรับหัวข้อนี้จะเป็นเอกสารที่พูดถึงเกี่ยวกับกรณีที่คลินิกมีความจำเป็นที่ต้องนำข้อมูลส่วนบุคคลของลูกค้าหรือพนักงานส่งต่อให้กับบุคคลภายนอกคลินิก ทั้งในแง่ของการให้บริการอย่างการส่งจัดสินค้า ไปจนถึงในกรณีที่เราจ้างบริษัทเอเจนซี่โฆษณาเข้ามาช่วยด้านการตลาดให้คลินิก แม้จะฟังดูเหมือนไม่มีอะไรแต่ก็เป็นเรื่องที่ปฏิเสธไม่ได้ว่าการนำข้อมูลออกนอกบริษัทนั้น ทำให้บริษัทตกอยู่ในความเสี่ยง หากผู้ได้รับข้อมูลได้นำข้อมูลไปใช้เกินขอบเขตที่ตกลงกันไว้ อาจส่งผลเสียให้กับคลินิกของคุณได้ในฐานะของผู้รับข้อมูลจากลูกค้าโดยตรงและส่งข้อมูลอันก่อให้เกิดความเสียหาย โดยประโยชน์เอกสารนี้คือเพื่อเป็นสัญญาข้อตกลง ในการรับประกันหน้าที่ สิทธิต่างๆ และความรับผิดชอบของทั้งสองบริษัท เพื่อจำกัดการรับผิดและลดความเสี่ยงที่จะเกิดขึ้นกับคลินิกของคุณ


DPO Working Document เอกสารสำหรับ DPO

ก่อนอื่นเราขออธิบายเกี่ยวกับ DPO ที่อยู่ในชื่อหัวข้อสักเล็กน้อย DPO คือ เจ้าหน้าที่ที่เข้ามาดูแลข้อมูลส่วนบุคคลทั้งหมดของบริษัท ไม่ว่าจะข้อมูลลูกค้าหรือข้อมูลพนักงาน โดยมีหน้าที่ในการตรวจสอบและจัดเก็บข้อมูลให้เป็นไปตามกฎหมาย รวมไปถึงให้คำแนะนำผู้ควบคุมข้อมูล โดยนอกจากจะต้องเชี่ยวชาญตัวกฎหมาย PDPA แล้วยังต้องมีความรู้พื้นฐานเกี่ยวกับไอทีด้วย ที่สำคัญไปกว่านั้นคือต้องรอบคอบและซื่อสัตย์ต่อหน้าที่ของตน โดยอาจมีทั้งแบบพนักงานประจำหรือจ้าง Outsource มาดูแลในส่วนนี้

แน่นอนว่าผู้ดูแลข้อมูลเองก็ต้องทำตาม PDPA เช่นเดียวกัน โดยเอกสารในหัวข้อนี้จะเกี่ยวกับ การปฏิบัติการต่างๆในองค์กรกรณีที่เกิดเหตุการณ์ข้อมูลรั่วไหล, เอกสารที่ใช้สำหรับการบันทึกและประเมินเหตุการณ์ข้อมูลรั่วไหล, แบบฟอร์มที่ใช้ในการรายงานต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล , แบบฟอร์มที่ใช้แจ้งต่อเจ้าของข้อมูลที่ได้รับผลกระทบจากการรั่วไหลของข้อมูล


เนื่องจาก PDPA เพิ่งประกาศใช้ได้ไม่นานนัก คลินิกของคุณอาจต้องมีการปรับตัวและมีขั้นตอนการทำงานเพิ่ม ทำให้รู้สึกยังไม่ชินในช่วงแรก แต่อยากให้เจ้าของธุรกิจทุกท่านคิดไว้เสมอว่า ทั้งหมดที่ทำลงไปเพื่อปกป้องธุรกิจของคุณจากปัญหาที่จะเกิดขึ้นในอนาคต ช่วยลดปัญหาจุกจิกกวนใจเกี่ยวกับข้อมูลส่วนบุคคล และโฟกัสกับการเติบโตของคลินิกของคุณได้ดียิ่งขึ้น อีกทั้งยังได้ภาพลักษณ์ของมืออาชีพ สร้างความมั่นใจในการใช้บริการให้กับลูกค้ามาเป็นของแถมอีกด้วย หากเราลงมือทำเพื่อรับมือกับปัญหาที่จะถาโถมเข้ามาในอนาคตตั้งแต่เนิ่นๆ เชื่อได้เลยว่า คุณจะไม่เสียใจในภายหลังอย่างแน่นอน



36 views0 comments

Comments


bottom of page