PDPA คลินิกคืออะไร ควรจัดการข้อมูลอย่างไรให้มืออาชีพ

เมื่อเข้าสู่ยุคที่ข้อมูลกลายเป็นทรัพย์สินสำคัญ การคุ้มครองข้อมูลส่วนบุคคลจึงกลายเป็นเรื่องที่ทุกธุรกิจต้องใส่ใจเป็นพิเศษโดยเฉพาะคลินิกความงามที่ต้องเก็บข้อมูลลูกค้าอย่างละเอียด และดูแลข้อมูลสุขภาพของผู้ป่วยซึ่งถือเป็นข้อมูลส่วนบุคคลที่ละเอียดอ่อน กฎหมาย PDPA เริ่มบังคับใช้อย่างเต็มรูปแบบในประเทศไทย การจัดการข้อมูลอย่าง ไม่เหมาะสมอาจนำไปสู่บทลงโทษทางกฎหมายและทำลายความเชื่อมั่นของผู้ใช้บริการได้

เราจะพาเจ้าของคลินิกและผู้เกี่ยวข้องมาทำความเข้าใจว่า PDPA คืออะไร สำคัญอย่างไรกับคลินิกความงาม คลินิกควรปฏิบัติอย่างไรบ้าง เอกสารใดควรมีไว้ และแนวทางการจัดการข้อมูลอย่างมืออาชีพทำอย่างไร เพื่อให้การดำเนินงานเป็นไปอย่างถูกต้อง ปลอดภัย และน่าเชื่อถือในสายตาของลูกค้าได้

คลินิกและความปลอดภัยส่วนบุคคล ( PDPA ) มีอะไรบ้าง

สำหรับธุรกิจคลินิก ไม่ว่าจะเป็นคลินิกความงาม คลินิกทันตกรรม หรือคลินิกเฉพาะทางอื่น ๆ การเก็บและใช้ข้อมูลของผู้ป่วยถือเป็นเรื่องจำเป็นในการให้บริการ แต่ในยุคที่มี PDPA หรือพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล การจัดเก็บข้อมูลเหล่านั้นต้องเป็นไปอย่างถูกต้อง มีระบบจัดการที่ปลอดภัย และไม่ละเมิดสิทธิของเจ้าของข้อมูล

PDPA คลินิก จึงหมายถึง การที่คลินิกต้องบริหารจัดการข้อมูลส่วนบุคคลของทั้งผู้รับบริการและพนักงาน ให้สอดคล้องกับกฎหมาย PDPA ไม่ว่าจะเป็น ข้อมูลทั่วไป เช่น ชื่อ-นามสกุล เบอร์โทร หรือข้อมูลละเอียดอ่อน (Sensitive Data) เช่น ประวัติการรักษา โรคประจำตัว เลขบัตรประชาชน หรือผลตรวจสุขภาพ เพื่อให้คลินิกปฏิบัติได้อย่างถูกต้องและมืออาชีพ จึงควรมีการจัดทำระบบและเอกสารที่เกี่ยวข้อง เช่น

• นโยบายความเป็นส่วนตัว (Privacy Policy)
• ระบบการขอความยินยอม (Consent)
• การจำกัดการเข้าถึงข้อมูลเฉพาะบุคคลที่เกี่ยวข้อง
• การแต่งตั้ง DPO (Data Protection Officer) ถ้าจำเป็น
• มาตรการรักษาความปลอดภัยทั้งด้านเทคโนโลยีและการบริหาร

ข้อมูลส่วนบุคคลที่อ่อนไหวที่คลินิกจำเป็นต้องเก็บ มีอะไรบ้าง

คลินิกต่าง ๆ ไม่ว่าจะเป็นคลินิกความงาม ทันตกรรม หรือเวชกรรมทั่วไป ถือเป็นข้อมูลที่ต้องมีมาตรการจัดเก็บอย่างรัดกุม และห้ามใช้โดยปราศจากความยินยอม เว้นแต่เข้าข้อยกเว้นตามกฎหมาย โดยข้อมูลเหล่านี้มีรายละเอียดหลัก ๆ ดังต่อไปนี้

1. ข้อมูลสุขภาพ (Health Data) 

โดยข้อมูลเหล่านี้จำเป็นต่อการวินิจฉัยและให้บริการที่ถูกต้องปลอดภัย ไม่ว่าจะเป็น

• ประวัติการรักษา
• โรคประจำตัว
• อาการแพ้ยา
• ยาที่ใช้อยู่ในปัจจุบัน
• ผลตรวจวินิจฉัยจากห้องแล็บหรือแพทย์

2. ภาพถ่ายก่อน-หลังการรักษา / วิดีโอ (Visual Data)

โดยเฉพาะคลินิกความงาม ที่มักเก็บภาพก่อน-หลังเพื่อใช้ในการติดตามและเปรียบเทียบผลที่ได้จากการรักษา หรือใช้สำหรับการตลาด ซึ่งหากจะนำมาเผยแพร่ ต้องมีการขอความยินยอมชัดเจนจากเจ้าของข้อมูล ได้แก่

• ภาพถ่ายทางการแพทย์
• ภาพถ่ายการเปรียบเทียบผลลัพธ์ ทั้งก่อนและหลังทำหัตถการ
• ภาพกล้องวงจรปิด (CCTV)

3. ข้อมูลประจำตัวทางราชการ

สำหรับยืนยันตัวตน หรือจัดการด้านการเบิกจ่ายและยื่นประกัน ซึ่งถือว่าเป็นข้อมูลที่ต้องขอความยินยอมก่อน เนื่องจากมีความเสี่ยงสูงต่อการละเมิด ได้แก่

• เลขบัตรประชาชน
• เลขประกันสังคม
• หนังสือเดินทาง สำหรับลูกค้าต่างชาติ

4. ข้อมูลการชำระเงิน / บัญชีการเงิน

ส่วนนี้เป็นข้อมูลที่ PDPA ให้ความคุ้มครองและต้องมีมาตรการรักษาความปลอดภัยอย่างเคร่งครัดเช่นกัน ไม่ว่าจะเป็น

• เลขบัญชีธนาคาร
• ข้อมูลบัตรเครดิต
• สลิปโอนเงิน

5. ความเชื่อหรือศาสนา

คลินิกบางแห่งอาจจำเป็นต้องเก็บข้อมูลด้านความเชื่อหรือศาสนาของผู้ใช้บริการ เช่น เพื่อจัดอาหารหรือพิจารณาวิธีรักษาที่สอดคล้องกับความเชื่อ ซึ่งถือเป็นข้อมูลส่วนบุคคลที่อ่อนไหวโดยตรงที่ต้องขอความยินยอมก่อนทุกครั้ง

6. ข้อมูลของบุคคลอื่นที่เกี่ยวข้องกับผู้ป่วย

แม้บุคคลเหล่านี้จะไม่ได้รับบริการโดยตรง แต่ก็ต้องถูกคุ้มครอง และคลินิกต้องแจ้งให้ทราบว่ามีการจัดเก็บข้อมูลส่วนนี้ด้วย

• เบอร์โทรผู้ดูแล คู่สมรส หรือผู้ปกครอง
• ข้อมูลบุคคลที่ติดต่อในกรณีฉุกเฉิน

กรณีไหนบ้างที่คลินิกสามารถเก็บใช้ข้อมูลส่วนบุคคลที่อ่อนไหว โดยไม่ต้องขอความยินยอม

ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Personal Data) เช่น ข้อมูลสุขภาพ ความเชื่อ ศาสนา พฤติกรรมทางเพศ หรือพันธุกรรม ต้องได้รับความยินยอมอย่างชัดแจ้งจากเจ้าของข้อมูลก่อนจัดเก็บ ใช้ หรือเปิดเผย เว้นแต่เข้าเงื่อนไขข้อยกเว้น PDPA  มาตรา 24 และ PDPA มาตรา 26 ซึ่งคลินิกสามารถใช้เป็นแนวทางปฏิบัติได้ ดังนี้

1. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล 

หากผู้ป่วยหมดสติ ไม่สามารถให้ความยินยอมได้ และคลินิกจำเป็นต้องเข้าถึงข้อมูลทางการแพทย์หรือประวัติการรักษาเพื่อช่วยชีวิต หรือรักษาอาการเฉียบพลัน สามารถดำเนินการได้โดยไม่ต้องรอความยินยอมตามมาตรา 26(1)

2. จำเป็นเพื่อปฏิบัติตามกฎหมายของรัฐหรือคำสั่งทางการแพทย์

ในกรณีที่มีการรายงานโรคติดต่อไปยังกระทรวงสาธารณสุข การส่งต่อข้อมูลผู้ป่วยที่ติดเชื้อ หรือเข้าข่ายควบคุมโรคตาม พ.ร.บ.โรคติดต่อ สามารถใช้ข้อมูลโดยไม่ต้องขอความยินยอม ตามมาตรา 26(2)

3. ใช้เพื่อประโยชน์ในการรักษาพยาบาล การแพทย์ การสาธารณสุข หรือเวชกรรมป้องกัน

โดยอยู่ภายใต้การควบคุมของบุคลากรทางการแพทย์ หรือบุคลากรวิชาชีพที่มีหน้าที่เก็บรักษาความลับตามจรรยาบรรณ เช่น ทันตแพทย์ พยาบาล แพทย์ผิวหนัง โดยเฉพาะในกรณีที่เป็นการติดตามผลการรักษา ใช้ข้อมูลร่วมในระบบเวชระเบียนอิเล็กทรอนิกส์ (EMR) หรือ Telemedicine ตามมาตรา 26(3)

4. การปฏิบัติภารกิจเพื่อประโยชน์สาธารณะของรัฐ

สำหรับการณีที่มีการนำไปใช้สำหรับการวิจัยทางการแพทย์โดยหน่วยงานรัฐ ที่มีมาตรการปกป้องข้อมูลเข้มงวดหรือการจัดทำฐานข้อมูลสุขภาพระดับชาติ โดยสามารถใช้ข้อมูลส่วนบุคคลอ่อนไหวได้ภายใต้ขอบเขตจำกัดตามมาตรา 24(4)

5. เพื่อจัดทำประวัติการรักษาที่เกี่ยวข้องกับกฎหมายแรงงาน ประกัน หรือสิทธิประโยชน์ของผู้ป่วย

สำหรับคลินิกที่ต้องออกใบรับรองแพทย์ให้บริษัทประกัน การยื่นข้อมูลเบิกค่ารักษาพยาบาลกับกองทุนประกันสังคม หรือกรมบัญชีกลาง ซึ่งถือเป็นการใช้ข้อมูลเพื่อประโยชน์ตามกฎหมาย โดยไม่ต้องขอความยินยอมซ้ำ

6. ข้อมูลเปิดเผยโดยเจ้าของข้อมูลเองอย่างชัดเจน

กรณีผู้ป่วยโพสต์ข้อมูลสุขภาพหรือภาพก่อน-หลังการรักษาลงโซเชียลสาธารณะด้วยตนเอง แล้วคลินิกจะใช้ข้อมูลดังกล่าวในการวิเคราะห์หรืออ้างอิงภายใน สามารถดำเนินการได้ภายใต้กรอบมาตรา 26(5) แต่หากนำไปเผยแพร่เชิงโฆษณาเพิ่มเติม ต้องขอความยินยอมต่างหาก

ถึงแม้จะมีข้อยกเว้นที่สามารถใช้ข้อมูลได้โดยไม่ต้องขอความยินยอม แต่คลินิกควรจัดทำบันทึกกิจกรรมการประมวลผล (Record of Processing Activities - ROPA) และมีมาตรการรักษาความปลอดภัยข้อมูลอย่างชัดเจน เพื่อให้เป็นไปตามหลักความรับผิดชอบตามที่ PDPA กำหนดไว้อย่างเคร่งครัด เพื่อความเข้าใจและความไว้วางใจของลูกค้าให้เป็นไปในทิศทางเดียวกัน

เอกสารสำคัญที่คลินิกควรมีไว้ เพื่อใช้ร่วมกับ พ.ร.บ. PDPA

สำหรับการดำเนินงานของคลินิกความงามของคุณให้เป็นไปตาม PDPA อย่างครบถ้วน ควรจัดเตรียมเอกสารสำคัญดังต่อไปนี้

1. Privacy Policy หรือเอกสารการจัดเก็บข้อมูลส่วนบุคคล

นโยบายความเป็นส่วนตัวนี้ จัดทำขึ้นเพื่ออธิบายถึงวัตถุประสงค์ วิธีการเก็บรวบรวม ใช้เปิดเผย และจัดเก็บข้อมูลส่วนบุคคลของลูกค้าภายในคลินิก ทั้งในรูปแบบกระดาษและดิจิทัล โดยควรแสดงให้เห็นถึงความโปร่งใส พร้อมทั้งแจ้งสิทธิในการเข้าถึง แก้ไข หรือเพิกถอนความยินยอมของเจ้าของข้อมูล

2. HR Privacy Policy หรือเอกสารสำหรับการทำงานของ HR

เอกสารที่แยกจากนโยบายความเป็นส่วนตัวของผู้ป่วย เพื่ออธิบายการเก็บข้อมูลส่วนบุคคลของพนักงานและบุคลากรภายในคลินิก เช่น ประวัติการศึกษา ประวัติสุขภาพ เลขประจำตัวประชาชน และข้อมูลด้านสวัสดิการ โดยครอบคลุมตั้งแต่ขั้นตอนการสมัครงาน ระหว่างการจ้างงาน และหลังพ้นสภาพการเป็นพนักงาน ซึ่งจำเป็นต่อการบริหารทรัพยากรบุคคลอย่างถูกต้อง

3. Cookies Privacy Package หรือเอกสารสำหรับเว็บไซต์

เอกสารนโยบายที่เกี่ยวข้องกับการใช้คุกกี้บนเว็บไซต์ของคลินิก ที่อธิบายถึงประเภทของคุกกี้ที่ใช้งาน เช่น session cookies หรือ analytics cookies โดยมีจุดประสงค์ในการเก็บข้อมูล และวิธีที่ผู้ใช้งานสามารถจัดการหรือปฏิเสธคุกกี้ได้ ที่ต้องมีการแจ้งและขอความยินยอมอย่างชัดเจนเมื่อต้องติดตามพฤติกรรมผู้ใช้ผ่านเว็บไซต์

4. CCTV Privacy Policy หรือเอกสารการเก็บภาพบุคคล

นโยบายเกี่ยวกับการติดตั้งและ PDPA กล้องวงจรปิดภายในพื้นที่คลินิกความงาม ซึ่งต้องระบุจุดติดตั้ง วัตถุประสงค์ของการบันทึกภาพ เช่น เพื่อความปลอดภัยและการป้องกันทรัพย์สิน ระยะเวลาที่จัดเก็บข้อมูลภาพ และสิทธิของบุคคลที่ปรากฏในภาพ โดยควรมีประกาศชัดเจนในพื้นที่ที่มีกล้องติดตั้งอยู่

5. Data Processing Agreement หรือเอกสารเปิดเผยข้อมูล

ข้อตกลงทางกฎหมายระหว่างคลินิกกับบุคคลหรือนิติบุคคลภายนอกที่ทำหน้าที่ประมวลผลข้อมูลแทนคลินิก เช่น บริษัทซอฟต์แวร์บัญชี แพลตฟอร์มจองคิว หรือผู้ให้บริการ cloud โดยข้อตกลงนี้ต้องระบุขอบเขตหน้าที่ความรับผิดชอบ วิธีการป้องกันข้อมูล และการควบคุมความเสี่ยง

6. DPO Working Document หรือเอกสารสำหรับ DPO

เอกสารที่รวบรวมรายละเอียดบทบาท หน้าที่ และแนวทางการดำเนินงานของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer – DPO) ซึ่งจำเป็นในกรณีที่คลินิกมีการประมวลผลข้อมูลจำนวนมากหรือจัดเก็บข้อมูลส่วนบุคคลที่อ่อนไหวอย่างต่อเนื่อง โดยเอกสารนี้ควรครอบคลุมถึงแผนบริหารจัดการข้อมูลส่วนบุคคล การตรวจสอบความเสี่ยง และแผนรับมือกรณีข้อมูลรั่วไหลเพื่อให้ DPO สามารถปฏิบัติหน้าที่อย่างมีประสิทธิภาพและโปร่งใส

ความสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA คือกฎหมายสำคัญที่คลินิกความงามทุกแห่งในประเทศไทย ต้องปฏิบัติตามอย่างเคร่งครัดเพื่อปกป้องสิทธิของผู้ป่วย พนักงาน และบุคคลที่เกี่ยวข้องในทุกขั้นตอนของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยเฉพาะข้อมูลส่วนบุคคลที่อ่อนไหวที่มีความเสี่ยงสูง เช่น ข้อมูลสุขภาพ ประวัติการรักษา หรือภาพจากกล้องวงจรปิด การจัดการข้อมูลเหล่านี้อย่างมืออาชีพช่วยให้คลินิกมีความน่าเชื่อถือ ลดความเสี่ยงทางกฎหมายและค่าเสียหายที่อาจเกิดขึ้นจากการละเมิด PDPA อีกด้วย รวมทั้งยังเป็นการยกระดับมาตรฐานคลินิกในด้านความปลอดภัย ความโปร่งใส และความรับผิดชอบที่ผู้ใช้บริการในยุคใหม่ให้ความสำคัญอย่างยิ่ง

คำถามที่พบบ่อย

ฟ้อง PDPA ได้กี่บาท

• โทษทางแพ่ง ผู้เสียหายสามารถเรียกร้อง ค่าเสียหายจากการละเมิดได้ตามจริง และอาจเรียกร้องค่าเสียหายเชิงลงโทษ (Punitive damages) ได้อีกไม่เกินสองเท่าของค่าเสียหายจริง รวมสูงสุด = 3 เท่าของความเสียหายจริง
• โทษทางอาญา (PDPA มาตรา 72) หากผู้ใดเปิดเผยข้อมูลส่วนบุคคลอ่อนไหวโดยเจตนา อาจมีโทษจำคุก ไม่เกิน 6 เดือน หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ
• โทษทางปกครอง (PDPA มาตรา 83-84) กรณีฝ่าฝืนหรือไม่ปฏิบัติตามมาตรฐาน PDPA โดยไม่ได้รับความยินยอมที่ถูกต้อง หรือไม่มีมาตรการป้องกันที่เหมาะสม ปรับสูงสุดไม่เกิน 5 ล้านบาท

ฟ้อง PDPA ทำยังไง

การฟ้องร้องกรณีถูกละเมิดสิทธิภายใต้ PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) สามารถทำได้ตามขั้นตอนต่อไปนี้

1. รวบรวมหลักฐานก่อนยื่นฟ้องต้องมีหลักฐานแสดงว่ามีการละเมิด 

2. แจ้งเรื่องร้องเรียนต่อหน่วยงานรัฐ คุณสามารถเริ่มจากการร้องเรียนก่อนฟ้องร้องจริง

3. ยื่นฟ้องศาลแพ่ง หากไม่สามารถไกล่เกลี่ยได้ หรือความเสียหายรุนแรง สามารถดำเนินการได้ต่อไปนี้

4. ใช้ทนายความ หรือร้องเรียนผ่านผู้ช่วยเหลือทางกฎหมาย แนะนำให้ปรึกษาทนายความเฉพาะทางด้าน PDPA หรือใช้บริการของสำนักงานกฎหมาย มูลนิธิคุ้มครองผู้บริโภค หรือศูนย์ดำรงธรรมเพื่อช่วยดำเนินเรื่อง

ขั้นตอนการทําตาม PDPA ต้องทําอย่างไรเป็นอันดับแรก

ขั้นตอนการทำตาม PDPA สำหรับคลินิก หรือองค์กรอื่น ๆ อย่างเป็นระบบ เริ่มต้นที่การสำรวจข้อมูล (Data Mapping) เป็นอันดับแรก ซึ่งเป็นขั้นตอนสำคัญที่สุด เพราะช่วยให้เข้าใจว่าองค์กรมีการจัดการข้อมูลส่วนบุคคลอย่างไร และที่จุดไหนบ้าง โดยลำดับขั้นหลัก ๆ มีดังนี้

1. สำรวจและจัดทำ Data Mapping (การสำรวจข้อมูลส่วนบุคคล) 
2. ประเมินความเสี่ยง และจัดกลุ่มข้อมูล 
3. จัดทำเอกสารตาม PDPA ที่จำเป็น เช่น Privacy Policy, Data Processing Agreement, Consent Form และเอกสารเกี่ยวกับ DPO
4. จัดระบบให้สามารถขอ-เก็บ-ถอนความยินยอมได้ 
5. อบรมพนักงานและผู้เกี่ยวข้องให้เข้าใจหลักการ PDPA และปฏิบัติตามอย่างถูกต้อง
6. ตรวจสอบ ปรับปรุง และทบทวนเป็นประจำ เนื่องจาก PDPA มีความละเอียดและอัปเดตได้เรื่อย ๆ ควรมีการ audit ภายในเป็นระยะ

จะแจ้ง PDPA ได้อย่างไร

หากคุณต้องการแจ้งหรือร้องเรียนเรื่องการละเมิด PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) สามารถดำเนินการได้ตามขั้นตอนต่อไปนี้ ช่องทางการแจ้งเรื่อง PDPA ร้องเรียนผ่านสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ วิธีแจ้งเรื่องอย่างเป็นทางการ รวบรวมหลักฐาน เช่น ภาพหน้าจอ ข้อความ อีเมล เอกสาร หรือสิ่งที่พิสูจน์ได้ว่ามีการละเมิดข้อมูลส่วนบุคคลของคุณ เช่น การเผยแพร่ข้อมูลโดยไม่ได้รับความยินยอม เมื่อแจ้งแล้วจะเกิดอะไรขึ้น ? หลังการร้องเรียน สำนักงานจะพิจารณาเรื่อง และอาจมีการเรียกหน่วยงานที่เกี่ยวข้องมาชี้แจง หรือดำเนินคดีตาม พ.ร.บ. PDPA หากพบการกระทำผิดจริง ในกรณีที่มีผลกระทบร้ายแรง คุณสามารถแจ้งความกับเจ้าหน้าที่ตำรวจหรือดำเนินคดีแพ่งเพื่อเรียกค่าเสียหายเพิ่มเติมได้ด้วย และการแจ้ง PDPA ไม่มีค่าใช้จ่าย

PDPA คุ้มครองข้อมูลส่วนบุคคลอะไรบ้าง

PDPA คุ้มครองข้อมูลส่วนบุคคล ซึ่งหมายถึง ข้อมูลเกี่ยวกับบุคคลที่สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม

Copyright © 2025 Proclinic Group Co., Ltd. All rights reserved.  

Published on : May 10, 2025