PDPA คลินิก — สิ่งที่เจ้าของคลินิกต้องทำตามกฎหมาย
PDPA (พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) มีผลบังคับใช้เต็มรูปแบบในประเทศไทยตั้งแต่ปี 2565 — และคลินิกเป็นหนึ่งในธุรกิจที่ เก็บข้อมูลส่วนบุคคลที่อ่อนไหวที่สุด (ข้อมูลสุขภาพ)
การไม่ทำตาม PDPA มีโทษหนัก — ปรับสูงสุด 5 ล้านบาทต่อกรณี + คดีอาญา
บทความนี้รวม checklist ปฏิบัติได้จริง สำหรับคลินิกทุกขนาด
PDPA คืออะไร — สรุปสั้น
PDPA คือกฎหมายที่กำหนดว่าใครเก็บข้อมูลส่วนบุคคลของคนไทย ต้องทำอย่างไร ครอบคลุม:
- การเก็บข้อมูล (Collection)
- การใช้ข้อมูล (Use)
- การเปิดเผยข้อมูล (Disclosure)
- การลบ/ทำลายข้อมูล (Deletion)
หลักการพื้นฐาน 7 ข้อ:
- Lawfulness — เก็บโดยมีฐานทางกฎหมาย (Consent หรือสัญญา)
- Purpose limitation — ใช้เฉพาะวัตถุประสงค์ที่แจ้ง
- Data minimization — เก็บแค่ที่จำเป็น
- Accuracy — ข้อมูลถูกต้องและล่าสุด
- Storage limitation — เก็บเท่าที่จำเป็น
- Integrity and confidentiality — ปลอดภัย
- Accountability — รับผิดชอบ + พิสูจน์ได้
ข้อมูลของคลินิกที่ "อ่อนไหว" ตาม PDPA
ข้อมูลสุขภาพถือเป็น Sensitive Personal Data ตามมาตรา 26 — ต้องมี Consent ที่ เฉพาะเจาะจง (Explicit Consent)
| ประเภทข้อมูล | ระดับความ sensitive |
|---|---|
| เลขบัตรประชาชน, ชื่อ-นามสกุล | Personal Data ทั่วไป |
| ประวัติการรักษา ผลตรวจ Lab | Sensitive |
| ยาที่ใช้ การวินิจฉัย | Sensitive |
| รูปทางการแพทย์ (X-ray, before/after) | Sensitive |
| HIV status, ประวัติจิตเวช | Highly Sensitive |
Checklist PDPA สำหรับคลินิก
✅ 1. Consent Form
ทุกคนไข้ใหม่ต้องเซ็น Consent Form ที่ระบุ:
- เก็บข้อมูลอะไรบ้าง
- ใช้เพื่อวัตถุประสงค์อะไร (รักษา, ออกใบรับรอง, ติดต่อนัดหมาย)
- แชร์กับใคร (Lab, รพ.อื่น, ประกัน)
- เก็บนานเท่าไร
- สิทธิ์ของเจ้าของข้อมูล
✅ 2. Privacy Notice ที่หน้าคลินิก
ติดประกาศที่:
- หน้าเคาน์เตอร์
- ในห้องตรวจ
- บนเว็บไซต์
- ใน LINE OA
✅ 3. แต่งตั้ง DPO (Data Protection Officer)
ตามกฎหมาย คลินิกที่เก็บข้อมูล sensitive จำนวนมาก ต้อง แต่งตั้ง DPO
- เป็นเจ้าของคลินิกเอง, ผู้จัดการ หรือ outsource
- ต้องมีอีเมล/เบอร์โทรให้คนไข้ติดต่อขอใช้สิทธิ์
- ต้องตอบกลับใน 30 วัน
✅ 4. Records of Processing Activities (ROPA)
เอกสารบันทึกว่าคลินิกประมวลผลข้อมูลอะไรบ้าง:
- ประเภทข้อมูล
- วัตถุประสงค์
- ระยะเวลาเก็บ
- มาตรการปกป้อง
✅ 5. Data Breach Procedure
หาก data breach (ข้อมูลรั่ว):
- ต้อง แจ้ง สคส. ภายใน 72 ชั่วโมง
- ถ้ารุนแรง ต้องแจ้งเจ้าของข้อมูลด้วย
- เอกสารวิเคราะห์เหตุ + แผนป้องกันการเกิดซ้ำ
✅ 6. การเก็บข้อมูลที่ปลอดภัย
- เข้ารหัสข้อมูลใน rest และ transit
- Backup ปลอดภัย
- Access control — ใครเห็นข้อมูลใคร
- Audit log — บันทึกการเข้าถึงข้อมูล
✅ 7. การลบข้อมูล
กำหนดระยะเวลาเก็บ — ตามกฎหมายไทย เวชระเบียนเก็บอย่างน้อย 5 ปี หลังการรักษาสุดท้าย หลังจากนั้นต้อง:
- ลบจากระบบ
- ทำลายเอกสารกระดาษ (เครื่อง shred)
- ลบจาก backup ด้วย
สิทธิ์ของคนไข้ตาม PDPA
1. สิทธิ์เข้าถึงข้อมูล (Right of Access)
คนไข้ขอดูข้อมูลตัวเองในระบบได้ — ต้องตอบใน 30 วัน
2. สิทธิ์แก้ไข (Right of Rectification)
ถ้าข้อมูลผิด คนไข้ขอแก้ได้
3. สิทธิ์ลบข้อมูล (Right to Erasure)
ขอลบได้ — แต่ข้อมูลที่ใช้ตามกฎหมาย (เช่น เวชระเบียน) ยังต้องเก็บ 5 ปี
4. สิทธิ์ระงับการประมวลผล
เช่น "ไม่อยากให้ใช้ในการส่ง marketing"
5. สิทธิ์โอนข้อมูล (Data Portability)
ขอข้อมูลเป็น file ส่งไปคลินิกอื่นได้
สิ่งที่ ไม่ควรทำ
- โพสต์รูปคนไข้ในเฟซบุ๊ก/Instagram โดยไม่ได้ขออนุญาตชัดเจน
- ส่งข้อมูลคนไข้ใน LINE Group หรือทาง email ที่ไม่ secure
- ใช้ข้อมูลคนไข้ทำ marketing โดยไม่ได้ consent
- เก็บข้อมูลคนไข้ใน Google Sheets / Drive โดยไม่มี security
- ปล่อยให้พนักงานเห็นข้อมูลที่ไม่จำเป็นต่องาน
- โอนข้อมูลคนไข้ไปต่างประเทศโดยไม่มี safeguard
บทลงโทษ
| ความผิด | โทษ |
|---|---|
| ไม่ขอ Consent | ปรับ 1-3 ล้านบาท |
| เก็บ Sensitive Data โดยไม่มีฐาน | ปรับ 3-5 ล้านบาท |
| เปิดเผยข้อมูลผิดกฎหมาย | ปรับ 1-5 ล้านบาท + อาญา 6 เดือน-1 ปี |
| ไม่แจ้ง data breach | ปรับ 3 ล้านบาท |
| โดยเจตนา | เพิ่มโทษเป็น 2 เท่า |
เริ่มต้นที่ไหน?
- วันนี้: สร้าง Consent Form + ติดประกาศ Privacy Notice
- สัปดาห์นี้: ตรวจสอบว่าระบบที่ใช้ปลอดภัยพอ — เข้ารหัส, audit log
- เดือนนี้: แต่งตั้ง DPO + ทำ ROPA
- ไตรมาสนี้: Train พนักงาน + ทดสอบ data breach procedure
- ปีนี้: Audit ทุก 6 เดือน
อ่านต่อ: วิธีเลือกโปรแกรมบริหารคลินิก | ตั้งคลินิกใหม่ Checklist
พร้อมทดลองโปรแกรมบริหารคลินิกแบบครบวงจร?
นัด Demo ฟรีกับทีมงาน CNX Medical — ดูฟีเจอร์ทั้งหมดและตอบคำถามภายใน 30 นาที