คลินิกและสปาเก็บข้อมูลสุขภาพของคนไข้ซึ่งกฎหมาย PDPA จัดเป็น "ข้อมูลอ่อนไหว" (Sensitive Data) ต้องขอความยินยอมแบบเฉพาะเจาะจงและเข้มงวดกว่าข้อมูลทั่วไป หากแบบฟอร์มขอความยินยอมไม่ครบองค์ประกอบตามกฎหมาย อาจถือว่าการเก็บข้อมูลไม่ชอบด้วยกฎหมายทั้งที่เจ้าของกิจการไม่ได้ตั้งใจ บทความนี้สรุปสิ่งที่แบบฟอร์มขอความยินยอมของคลินิกและสปาต้องมี
คลินิกและสปาเก็บข้อมูลสุขภาพของคนไข้ซึ่งกฎหมาย PDPA จัดเป็น "ข้อมูลอ่อนไหว" (Sensitive Data) ต้องขอความยินยอมแบบเฉพาะเจาะจงและเข้มงวดกว่าข้อมูลทั่วไป หากแบบฟอร์มขอความยินยอมไม่ครบองค์ประกอบตามกฎหมาย อาจถือว่าการเก็บข้อมูลไม่ชอบด้วยกฎหมายทั้งที่เจ้าของกิจการไม่ได้ตั้งใจ บทความนี้สรุปสิ่งที่แบบฟอร์มขอความยินยอมของคลินิกและสปาต้องมี
ทำไมข้อมูลคนไข้ถึงเป็น "ข้อมูลอ่อนไหว" ที่ต้องระวังเป็นพิเศษ
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) แบ่งข้อมูลส่วนบุคคลออกเป็นข้อมูลทั่วไปกับข้อมูลอ่อนไหว โดยข้อมูลสุขภาพ ประวัติการรักษา ผลตรวจร่างกาย รูปถ่ายก่อน-หลังทำหัตถการ หรือแม้แต่ข้อมูลที่บ่งชี้สภาพร่างกายเฉพาะทาง ล้วนเข้าข่ายข้อมูลอ่อนไหวทั้งสิ้น กฎหมายกำหนดให้การเก็บ ใช้ หรือเปิดเผยข้อมูลประเภทนี้ต้องได้รับความยินยอมโดยชัดแจ้ง (Explicit Consent) จากเจ้าของข้อมูล เว้นแต่จะเข้าข้อยกเว้นบางกรณี เช่น จำเป็นเพื่อการรักษาพยาบาลตามกฎหมายเฉพาะทางการแพทย์ ซึ่งคลินิกและสปาควรปรึกษาผู้เชี่ยวชาญด้านกฎหมาย PDPA เพื่อพิจารณาว่ากรณีใดเข้าข้อยกเว้นและกรณีใดต้องขอความยินยอมจริง
องค์ประกอบที่แบบฟอร์มขอความยินยอมต้องมี
แบบฟอร์มขอความยินยอมของคลินิกและสปาที่ดีควรระบุรายละเอียดให้ชัดเจน ไม่ใช่แค่ให้คนไข้เซ็นชื่อรับทราบเงื่อนไขทั่วไปแบบเดิม โดยทั่วไปควรมีองค์ประกอบดังนี้ ประเภทของข้อมูลที่จะเก็บ (เช่น ประวัติสุขภาพ ผลตรวจ รูปถ่ายหัตถการ) วัตถุประสงค์การใช้ข้อมูลแต่ละประเภทแยกเป็นข้อๆ อย่างชัดเจน ระยะเวลาการเก็บรักษาข้อมูล บุคคลหรือหน่วยงานที่อาจได้รับการเปิดเผยข้อมูล (เช่น ห้องแล็บภายนอก บริษัทประกัน) สิทธิของเจ้าของข้อมูลในการถอนความยินยอม และช่องทางติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของคลินิก
แยกความยินยอมแต่ละวัตถุประสงค์ออกจากกัน
ข้อผิดพลาดที่พบบ่อยที่สุดคือการรวมความยินยอมหลายวัตถุประสงค์ไว้ในข้อเดียว เช่น รวมการยินยอมให้ใช้ข้อมูลเพื่อการรักษา กับการยินยอมให้ใช้รูปภาพก่อน-หลังในการโฆษณาการตลาด ไว้เป็นข้อความเดียวกันแล้วให้คนไข้เซ็นครั้งเดียว ซึ่งขัดกับหลักการของ PDPA ที่ต้องการให้เจ้าของข้อมูลสามารถเลือกยินยอมหรือปฏิเสธแต่ละวัตถุประสงค์ได้อย่างอิสระ คลินิกและสปาจึงควรแยกช่องยินยอมออกเป็นข้อๆ ชัดเจน เช่น ยินยอมให้ใช้ข้อมูลเพื่อการรักษาและติดตามผล (จำเป็นต่อบริการ) และยินยอมให้ใช้รูปภาพเพื่อการประชาสัมพันธ์ (ทางเลือก ปฏิเสธได้โดยไม่กระทบการรับบริการ)
| ประเภทข้อมูล | ตัวอย่างวัตถุประสงค์ | ระดับความยินยอมที่ต้องขอ |
|---|---|---|
| ประวัติสุขภาพ/การรักษา | ใช้เพื่อวินิจฉัยและติดตามผลการรักษา | จำเป็นต่อบริการ ต้องขอความยินยอมชัดแจ้ง |
| ผลตรวจแล็บภายนอก | ส่งตรวจกับห้องแล็บพันธมิตร | ต้องระบุชื่อหน่วยงานที่รับข้อมูล |
| รูปถ่ายก่อน-หลังหัตถการ | ใช้เพื่อการตลาด/โซเชียลมีเดีย | ทางเลือก แยกช่องยินยอมต่างหาก ถอนได้ทุกเมื่อ |
| ข้อมูลติดต่อ (เบอร์โทร อีเมล) | แจ้งเตือนนัดหมาย/โปรโมชั่น | แยกยินยอมการแจ้งเตือนนัดกับการตลาดออกจากกัน |
สิทธิถอนความยินยอมและการลบข้อมูล
แบบฟอร์มต้องระบุให้ชัดว่าคนไข้มีสิทธิถอนความยินยอมได้ทุกเมื่อ โดยเฉพาะความยินยอมที่ไม่ใช่สิ่งจำเป็นต่อการให้บริการ เช่น การใช้รูปภาพเพื่อการตลาด และคลินิกควรมีช่องทางที่ชัดเจนให้คนไข้ติดต่อขอถอนความยินยอมหรือขอให้ลบข้อมูลได้จริง ไม่ใช่แค่เขียนในเอกสารแต่ไม่มีกระบวนการรองรับ ทั้งนี้ข้อมูลบางส่วนที่เกี่ยวข้องกับการรักษาอาจต้องเก็บรักษาไว้ตามระยะเวลาที่กฎหมายวิชาชีพทางการแพทย์กำหนด แม้คนไข้จะขอถอนความยินยอมในส่วนอื่นแล้วก็ตาม จุดนี้ควรปรึกษาผู้เชี่ยวชาญด้านกฎหมายเฉพาะทางเพื่อกำหนดนโยบายเก็บรักษาข้อมูลให้ถูกต้อง
การเก็บข้อมูลผ่านระบบออนไลน์และแอปนัดหมาย
คลินิกและสปาจำนวนมากใช้ระบบจองคิวออนไลน์หรือแอปพลิเคชันบันทึกประวัติคนไข้ ซึ่งข้อมูลจะถูกส่งผ่านและจัดเก็บในระบบของผู้ให้บริการซอฟต์แวร์ภายนอก (Data Processor) กรณีนี้คลินิกในฐานะผู้ควบคุมข้อมูล (Data Controller) ต้องมีสัญญาประมวลผลข้อมูลกับผู้ให้บริการซอฟต์แวร์ที่ระบุมาตรการรักษาความปลอดภัยของข้อมูลให้ชัดเจน และต้องแจ้งคนไข้ในแบบฟอร์มความยินยอมด้วยว่าข้อมูลอาจถูกประมวลผลผ่านระบบของบุคคลที่สาม เพื่อความโปร่งใสตามหลักการของ PDPA
ตัวอย่างสถานการณ์จริง
คลินิกความงามแห่งหนึ่งใช้แบบฟอร์มยินยอมแบบเดียวรวมทุกวัตถุประสงค์ไว้ในย่อหน้าเดียว ทั้งการรักษา การถ่ายรูปก่อน-หลัง และการนำรูปไปโพสต์โซเชียลมีเดียของคลินิก ต่อมาคนไข้รายหนึ่งแจ้งขอให้ลบรูปภาพที่คลินิกโพสต์ไว้บนเพจ Facebook แต่คลินิกอ้างว่าคนไข้เซ็นยินยอมไว้แล้วในเอกสารรับบริการ กรณีนี้หากตรวจสอบแล้วพบว่าแบบฟอร์มไม่ได้แยกช่องยินยอมสำหรับการใช้รูปภาพเพื่อการตลาดออกจากการยินยอมรับการรักษาอย่างชัดเจน คลินิกอาจต้องรับผิดตามกฎหมาย PDPA ได้ เพราะถือว่าไม่ได้ขอความยินยอมโดยเฉพาะเจาะจงสำหรับวัตถุประสงค์ทางการตลาด
ข้อผิดพลาดที่พบบ่อย
- รวมความยินยอมหลายวัตถุประสงค์ไว้ในข้อความเดียว ไม่แยกให้คนไข้เลือกยินยอมเป็นรายข้อ
- ไม่ระบุระยะเวลาการเก็บรักษาข้อมูลหรือหน่วยงานภายนอกที่อาจได้รับข้อมูล
- ใช้แบบฟอร์มยินยอมแบบเดียวกับข้อมูลทั่วไป ทั้งที่ข้อมูลสุขภาพต้องขอความยินยอมโดยชัดแจ้งที่เข้มงวดกว่า
- ไม่มีกระบวนการรองรับจริงเมื่อคนไข้ขอถอนความยินยอมหรือขอลบข้อมูล
- ไม่มีสัญญาประมวลผลข้อมูลกับผู้ให้บริการซอฟต์แวร์จองคิว/เก็บประวัติคนไข้
คำแนะนำเชิงปฏิบัติ
คลินิกและสปาควรทบทวนแบบฟอร์มขอความยินยอมที่ใช้อยู่ปัจจุบัน แยกวัตถุประสงค์การใช้ข้อมูลออกเป็นข้อๆ ชัดเจน ให้คนไข้เลือกยินยอมเฉพาะส่วนที่ไม่จำเป็นต่อบริการได้อย่างอิสระ และควรปรึกษาผู้เชี่ยวชาญด้านกฎหมาย PDPA เพื่อตรวจสอบแบบฟอร์มและนโยบายเก็บรักษาข้อมูลให้สอดคล้องกับกฎหมายก่อนนำไปใช้จริง
ใช้บทความนี้กับธุรกิจของคุณอย่างไร
เนื้อหาเรื่อง PDPA คลินิก-สปา: แบบฟอร์มขอความยินยอมข้อมูลคนไข้ ควรนำไปใช้ตรวจสอบกับเอกสารและตัวเลขจริงของกิจการ ไม่ใช่อ่านเพื่อจำคำศัพท์ เพราะแนวทางบัญชีและภาษีขึ้นกับข้อเท็จจริง เอกสาร และรอบเวลาที่เกิดรายการของแต่ละธุรกิจ
เช็กลิสต์ก่อนนำไปใช้
- รวบรวมเอกสารรายรับ รายจ่าย ภาษีซื้อ-ขาย และรายการธนาคารให้ครบตามรอบเดือน
- ตรวจว่าธุรกรรมที่เกี่ยวข้องบันทึกบัญชีถูกต้องและมีหลักฐานรองรับครบถ้วน
- หากไม่แน่ใจเรื่องภาษี ควรปรึกษาผู้ทำบัญชีหรือที่ปรึกษาภาษีก่อนตัดสินใจ
แหล่งอ้างอิงที่ใช้ทบทวน
คำถามที่พบบ่อย (FAQ)
ข้อมูลสุขภาพคนไข้ถือเป็นข้อมูลอ่อนไหวตาม PDPA หรือไม่
ใช่ ข้อมูลสุขภาพ ประวัติการรักษา ผลตรวจ และรูปถ่ายหัตถการ จัดเป็นข้อมูลอ่อนไหวที่ต้องขอความยินยอมโดยชัดแจ้งซึ่งเข้มงวดกว่าข้อมูลทั่วไป
แบบฟอร์มยินยอมของคลินิกต้องแยกวัตถุประสงค์หรือไม่
ควรแยก เพราะคนไข้ต้องสามารถเลือกยินยอมหรือปฏิเสธแต่ละวัตถุประสงค์ได้อย่างอิสระ เช่น แยกการยินยอมรักษากับการยินยอมใช้รูปภาพเพื่อการตลาด
คนไข้ถอนความยินยอมการใช้รูปภาพเพื่อการตลาดได้หรือไม่
ได้ คลินิกต้องมีช่องทางให้คนไข้ถอนความยินยอมได้ทุกเมื่อสำหรับส่วนที่ไม่ใช่ข้อมูลจำเป็นต่อการรักษา และต้องมีกระบวนการรองรับจริง
ใช้แอปจองคิวหรือระบบเก็บประวัติคนไข้จากภายนอกต้องระวังอะไร
ต้องมีสัญญาประมวลผลข้อมูลกับผู้ให้บริการซอฟต์แวร์ และแจ้งคนไข้ในแบบฟอร์มยินยอมว่าข้อมูลอาจถูกประมวลผลผ่านระบบของบุคคลที่สาม
ข้อมูลคนไข้ต้องเก็บไว้นานแค่ไหน
ขึ้นอยู่กับวัตถุประสงค์และกฎหมายวิชาชีพทางการแพทย์ที่เกี่ยวข้อง ควรปรึกษาผู้เชี่ยวชาญด้านกฎหมายเฉพาะทางเพื่อกำหนดนโยบายเก็บรักษาข้อมูลให้ถูกต้อง
ไม่ขอความยินยอมให้ถูกต้องมีความเสี่ยงอย่างไร
อาจถือว่าเก็บหรือใช้ข้อมูลโดยไม่ชอบด้วยกฎหมาย ทำให้คลินิกมีความเสี่ยงด้านกฎหมายและความเชื่อมั่นของคนไข้ ควรตรวจสอบแบบฟอร์มกับผู้เชี่ยวชาญก่อนใช้งาน
แบบฟอร์มยินยอมต้องระบุอะไรบ้างเป็นอย่างน้อย
ควรระบุประเภทข้อมูลที่เก็บ วัตถุประสงค์แยกเป็นข้อ ระยะเวลาเก็บรักษา หน่วยงานที่อาจได้รับข้อมูล สิทธิถอนความยินยอม และช่องทางติดต่อเจ้าหน้าที่คุ้มครองข้อมูล