นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
โรงพยาบาลราชวิถี กรมการแพทย์ กระทรวงสาธารณสุข
โรงพยาบาลราชวิถี ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลและข้อมูลอื่นเกี่ยวกับท่าน (รวมเรียกว่า “ข้อมูล”) เพื่อให้ท่านสามารถเชื่อมั่นได้ว่า โรงพยาบาลราชวิถี มีความโปร่งใสและความรับผิดชอบในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลของท่านตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) รวมถึงกฏหมายอื่นที่เกี่ยวข้อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (“นโยบาย”) นี้จึงได้ถูกจัดทำขึ้นเพื่อชี้แจงแก่ท่านถึงรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผย (รวมเรียกว่า “ประมวลผล”) ข้อมูลส่วนบุคคลซึ่งดำเนินการโดย โรงพยาบาลราชวิถี รวมถึงเจ้าหน้าที่และบุคคลที่เกี่ยวข้องผู้ดำเนินการแทนหรือในนามของโรงพยาบาล โดยมีเนื้อหาสาระดังต่อไปนี้
1. คำนิยาม
“โรงพยาบาลฯ” หมายถึง โรงพยาบาลราชวิถี กรมการแพทย์ กระทรวงสาธารณสุข
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่า ทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ข้อมูลส่วนบุคคลอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้แก่ ข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลลายนิ้วมือ ข้อมูลภาพจำลองใบหน้า ข้อมูลภาพจำลองม่านตา) หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด
“การประมวลผลข้อมูลส่วนบุคคล” หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น เก็บรวบรวม บันทึก สำเนา จัดระเบียบ เก็บรักษา ปรับปรุง เปลี่ยนแปลง ใช้ กู้คืน เปิดเผย ส่งต่อ เผยแพร่ โอน รวม ลบ ทำลาย เป็นต้น
“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่โรงพยาบาลเก็บรวบรวม ใช้ หรือเปิดเผย
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
2. แหล่งที่มาของข้อมูลส่วนบุคคล
โรงพยาบาลฯ เก็บรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่างๆ จากแหล่งข้อมูลดังต่อไปนี้
- ข้อมูลส่วนบุคคลที่โรงพยาบาลฯ เก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงในช่องทางให้บริการต่างๆ เช่น ขั้นตอนการสมัคร ลงทะเบียน การลงทะเบียนเข้ารับบริการตรวจและรักษาโรคไม่ว่าจะด้วยตนเอง หรือผ่านช่องทางออนไลน์ สมัครงาน ลงนามในสัญญา เอกสาร ทำแบบสำรวจ หรือช่องทางให้บริการอื่นที่ควบคุมดูแลโดยโรงพยาบาลฯ หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับโรงพยาบาลฯ ณ ที่ทำการหรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดยโรงพยาบาลฯ เป็นต้น
- ข้อมูลส่วนบุคคลที่โรงพยาบาลฯ เก็บรวมโดยทางอ้อม ได้แก่ บุคคลที่มีความใกล้ชิดกับท่าน เช่น ญาติ คู่สมรส บุคคลที่ท่านมอบอำนาจให้ดำเนินการแทนตัวท่านในการติดต่อกับโรงพยาบาลฯ สถานพยาบาลอื่น ในกรณีที่ท่านได้ให้ความยินยอมกับสถานพยาบาลนั้นๆว่าให้เปิดเผยข้อมูลส่วนบุคคลของท่านได้ บุคคล นิติบุคคล หรือหน่วยงานไม่ว่าภาครัฐ เอกชน หรือรัฐวิสาหกิจ ที่เป็นผู้ส่งท่านมาตรวจรักษากับโรงพยาบาลฯ หรือเป็นผู้ชำระค่าบริการตรวจรักษาให้กับท่าน
- ข้อมูลที่โรงพยาบาลฯ เก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ หรือบริการอื่นๆ ตามสัญญาหรือตามพันธกิจ เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ หรือบริการของโรงพยาบาลฯ ด้วยการใช้คุกกี้ (Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น
- ข้อมูลส่วนบุคคลที่โรงพยาบาลฯ เก็บรวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล โดยที่แหล่งข้อมูลดังกล่าวมีอำนาจหน้าที่ มีเหตุผลที่ชอบด้วยกฎหมายหรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลแก่ โรงพยาบาลฯ เช่น การเชื่อมโยงบริการดิจิทัลของหน่วยงานของรัฐในการให้บริการเพื่อประโยชน์สาธารณะแบบเบ็ดเสร็จแก่เจ้าของข้อมูลส่วนบุคคลเอง การรับข้อมูลส่วนบุคคลจากหน่วยงานของรัฐแห่งอื่นในฐานะที่ โรงพยาบาลฯ มีหน้าที่ตามพันธกิจในการดำเนินการจัดให้มีศูนย์แลกเปลี่ยนข้อมูลกลางเพื่อสนับสนุนการดำเนินการของหน่วยงานของรัฐในการให้บริการประชาชนผ่านระบบดิจิทัล รวมถึงจากความจำเป็นเพื่อให้บริการตามสัญญาที่อาจมีการแลกเปลี่ยนข้อมูลส่วนบุคคลกับหน่วยงานคู่สัญญาได้
นอกจากนี้ ยังหมายความรวมถึงกรณีที่ท่านเป็นผู้ให้ข้อมูลส่วนบุคคลของบุคคลภายนอกแก่ โรงพยาบาลฯ ดังนี้ ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดตามนโยบายนี้หรือประกาศของบริการ ตามแต่กรณี ให้บุคคลดังกล่าวทราบ ตลอดจนขอความยินยอมจากบุคคลนั้นหากเป็นกรณีที่ต้องได้รับความยินยอมในการเปิดเผยข้อมูลแก่ โรงพยาบาลฯ
ทั้งนี้ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลที่มีความจำเป็นในการให้บริการของโรงพยาบาลฯ อาจเป็นผลให้โรงพยาบาลฯ ไม่สามารถให้บริการได้อย่างถูกต้องแก่เจ้าของข้อมูลส่วนบุคคลดังกล่าวได้ทั้งหมดหรือบางส่วน
3. ข้อมูลส่วนบุคคลที่โรงพยาบาลฯ เก็บรวบรวม
ข้อมูลที่โรงพยาบาลฯเก็บรวบรวม สามารถจำแนกออกเป็นประเภทดังต่อไปนี้
| ประเภทข้อมูลส่วนบุคคล | รายละเอียด |
|---|---|
| 1. ข้อมูลระบุตัวตน | เช่น ชื่อ นามสกุล เพศ วันเดือนปีเกิด รูปถ่ายใบหน้า เลขที่บัตรประจำตัวประชาชน หนังสือเดินทาง หรือหมายเลขที่ระบุตัวตนอื่นๆ |
| 2. ข้อมูลสำหรับการติดต่อ | เช่น ที่อยู่ หมายเลขโทรศัพท์ หมายเลขโทรศัพท์มือถือ อีเมล์ |
| 3. ข้อมูลเพื่อประกอบการวินิจฉัยโรค/ เพื่อติดตามการรักษา | เช่น ข้อมูลการรักษาพยาบาล รายงานที่เกี่ยวกับสุขภาพกายและสุขภาพจิต การดูแลสุขภาพของผู้รับบริการ การวินิจฉัย ชื่อโรคที่ได้รับการวินิจฉัย ข้อมูลที่เกี่ยวข้องกับการใช้ยา รายการยาที่แพทย์ได้สั่ง ผลการทดสอบจากห้องทดลอง ผลการทดสอบจากห้องปฏิบัติการ ผลเลือด ผลตรวจชิ้นเนื้อทางพยาธิวิทยา ภาพถ่ายทางรังสีวิทยาและรายงานผลการตรวจทางรังสีวิทยา ข้อมูลที่จำเป็นต่อการให้บริการทางการแพทย์และการรักษา ข้อมูลผลการรักษา ข้อมูลคำแนะนำในการรักษาและปฏิบัติตัวระหว่างการรักษา ข้อมูลปัจจัยเสี่ยง ข้อมูลการประสบอุบัติเหตุ พฤติกรรมการใช้ชีวิต การบริโภค หรือพฤติกรรมการนอน รวมไปถึงการถ่ายภาพนิ่ง ภาพเคลื่อนไหว หรือการกระทำใดๆ ตามหลักวิชาชีพที่เกี่ยวข้อง เป็นต้น |
| 4. ข้อมูลอ่อนไหว | เช่น ศาสนา ข้อมูลสุขภาพ รวมถึง หมู่โลหิต ประวัติการเจ็บป่วย ประวัติการรักษาพยาบาล ประวัติการแพ้ยาหรือแพ้อาหาร ประวัติการพบแพทย์เวชกรรม แพทย์แผนไทย ผู้ประกอบวิชาชีพด้านสุขภาพ ประวัติทันตกรรม ประวัติกายภาพบำบัด ความต้องการพิเศษในการรักษาพยาบาล ข้อมูลชีวภาพ เช่น ข้อมูลพันธุกรรม พฤติกรรมทางเพศ เป็นต้น |
| 5. ข้อมูลการเงิน | เช่น สิทธิ์การรักษา ข้อมูลการเรียกเก็บเงิน ข้อมูลบัตรเครดิตหรือเคบิต รายละเอียดบัญชีธนาคาร ข้อมูลเงินเดือน ข้อมูลใบเสร็จ ข้อมูลใบราคา ข้อมูลสังคมสงเคราะห์ |
| 6. ข้อมูลสิทธิประโยชน์การรักษาพยาบาล | เช่น สิทธิประกันสุขภาพถ้วนหน้า ประกันสังคม สวัสดิการราชการ หรือ สวัสดิการอื่นๆ การประกันสุขภาพและประกันภัย |
| 7. ข้อมูลสถิติ (Statistical data) | เช่น ข้อมูลที่ไม่ระบุตัวตน จำนวนผู้ป่วย และจำนวนการเข้าชมเว็บไซต์ |
| 8. ข้อมูลการสมัครข่าวสารและการเข้าร่วมกิจกรรมทางการตลาด (Marketing data) | เช่น ข้อมูลการลงทะเบียนเพื่อรับข่าวสารและเข้าร่วมกิจกรรมทางการตลาด |
| 9. ข้อมูลจากการเข้าใช้เว็บไซต์ (Technical data) | เช่น หมายเลข IP Address ของคอมพิวเตอร์ ชนิดของบราวเซอร์ข้อมูล Cookies การตั้งค่าเรื่องเขตเวลา (time zone) ระบบปฏิบัติการ แพลตฟอร์มและเทคโนโลยีของอุปกรณ์ที่ใช้เข้าเว็บไซต์ และระบบการนัดหมายผู้ป่วย |
| 10. ข้อมูลบัญชีผู้ใช้ | เช่น ชื่อผู้ใช้ รหัสผ่าน ที่ใช้เพื่อการเข้าถึงเว็บไซต์ หรือ แอปพลิเคชั่น |
| 11. ข้อมูลอื่นๆ | เพื่อประโยชน์ในการให้บริการสุขภาพและเพื่อการดูแลสุขภาพของเจ้าของข้อมูล |
4. วัตถุประสงค์ของการประมวลผลข้อมูล (การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล) ส่วนบุคคล
โรงพยาบาลฯ มีวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล ดังนี้
| ลำดับที่ | วัตถุประสงค์ |
|---|---|
| 1) | เพื่อการให้บริการทางการแพทย์แก่ท่านในทุกช่องทาง ซึ่งรวมถึง การระบุตัวตนของคนไข้ การจัดตาราง และแจ้งเตือนการนัดพบแพทย์หรือตารางการรักษาพยาบาล การวิเคราะห์ วินิจฉัยและให้คำปรึกษาเกี่ยวกับการรักษาพยาบาลแก่ท่าน การดูแลให้ความปลอดภัยแก่ท่านขณะรักษาพยาบาลหรือเข้าพักในสถานที่ของโรงพยาบาลฯ การให้บริการที่เกี่ยวข้องกับการรักษาพยาบาลแก่ท่าน ประสานงานกับหน่วยงานภายใน หรือหน่วยงานภายนอก เกี่ยวกับการรักษาพยาบาลของท่าน เป็นต้น |
| 2) | เพื่อการค้นคว้า วิจัย ทดลอง และพัฒนาผลิตภัณฑ์ทางการแพทย์ การรักษาพยาบาล หรือ การให้บริการ ของโรงพยาบาลฯ เช่น การวิจัยวัคซีนชนิดต่าง ๆ หรือ การวิเคราะห์ และทดลองการตอบสนองต่อการ รักษาด้วยวิธีการต่าง ๆ เป็นต้น |
| 3) | เพื่อการศึกษาวิจัยหรือการจัดทำสถิติ รายงานที่เป็นไปตามวัตถุประสงค์การดำเนินงานของโรงพยาบาลฯ ตามที่กฎหมายกำหนด |
| 4) | เพื่อให้โรงพยาบาลฯ สามารถให้ความช่วยเหลือตอบข้อซักถามและข้อร้องเรียนของท่าน |
| 5) | เพื่อเชิญท่านเข้าร่วมกิจกรรมโครงการต่าง ๆ ของโรงพยาบาลฯ เพื่อช่วยโรงพยาบาลฯ พัฒนาปรับปรุงบริการ และการดำเนินกิจกรรมต่าง ๆ บริการ หรือร่วมกิจกรรมต่าง ๆ ของโรงพยาบาลฯ โดยการเข้าร่วมดังกล่าวขึ้นอยู่กับความสมัครใจและจะไม่กระทบต่อการเข้าถึงบริการของโรงพยาบาลฯ |
| 6) | เพื่อสนับสนุนกิจกรรมด้านการศึกษา เช่น เพื่อให้การศึกษาต่อนักศึกษาแพทย์ และนักศึกษาพยาบาล ซึ่งปฏิบัติงาน ภายในโรงพยาบาลของโรงพยาบาลฯ เป็นต้น |
| 7) | เพื่อเป็นการป้องกันการกระทำที่ไม่เหมาะสมหรือผิดกฎหมาย โรงพยาบาลฯอาจมีการตรวจสอบข้อมูลที่เก็บ รวบรวม รวมถึงข้อมูลในกล้อง CCTV เพื่อสอดส่องดูแล ตรวจจับ และป้องกันไม่ให้มีการกระทำที่ไม่ เหมาะสมหรือผิดกฎหมาย |
| 8) | เพื่อปกป้องและระงับอันตรายที่อาจเกิดกับท่าน อาจมีการใช้ข้อมูลของท่านในกรณีที่โรงพยาบาลฯ เห็นว่าอาจมีความเสี่ยงหรืออันตรายอย่างร้ายแรงหรือมีการละเมิดต่อท่านหรือผู้ใดก็ตาม |
| 9) | เพื่อปฏิบัติตามกฎหมายที่ใช้บังคับหรือปฏิบัติหน้าที่ตามกฎหมายของโรงพยาบาลฯ |
5. ระยะเวลาในการจัดเก็บข้อมูล
โรงพยาบาลฯ จะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้เป็นระยะเวลา ตราบเท่าที่วัตถุประสงค์ของการนำข้อมูลดังกล่าวไปใช้ยังคงมีอยู่ หลังจากนั้นโรงพยาบาลฯ จะลบ ทำลายข้อมูล หรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้ เว้นแต่กรณีจำเป็นต้องเก็บ รักษาข้อมูลต่อไปตามที่กฎหมายที่เกี่ยวข้องกำหนด หรือเพื่อเป็นการคุ้มครองสิทธิประโยชน์ของโรงพยาบาลฯ
โดยปกติในกรณีทั่วไประยะเวลาการเก็บข้อมูลจะไม่เกินกำหนดระยะเวลา 10 (สิบ) ปี เว้นแต่จะมีกฎหมายกำหนดให้เก็บรักษา ข้อมูลไว้เป็นระยะเวลานานกว่าที่กำหนดไว้ดังกล่าวข้างต้น หรือหากมีความจำเป็นเพื่อวัตถุประสงค์อื่น ๆ เช่น เพื่อความปลอดภัย เพื่อการป้องกันการละเมิดหรือการประพฤติมิชอบ หรือเพื่อการเก็บบันทึกทางการเงิน
6. การเปิดเผยหรือแบ่งปันข้อมูลส่วนบุคคล
โรงพยาบาลฯ จะไม่เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลโดยไม่มีฐานการประมวลผลข้อมูลโดยชอบด้วย กฎหมาย โดยข้อมูลของท่านอาจถูกเปิดเผย หรือโอนไปยังองค์กร หน่วยงานของรัฐ หรือบุคคลภายนอก รวมถึงโรงพยาบาลหรือหน่วยงานภายในอื่น ๆ ของโรงพยาบาลฯ เพื่อให้บรรลุวัตถุประสงค์ในการดำเนินการดังนี้
| กรณีการเปิดเผย / ผู้รับข้อมูล | รายละเอียด |
|---|---|
| 1) เพื่อวัตถุประสงค์ในการตรวจรักษาโรคและให้บริการทางการแพทย์ | โรงพยาบาลฯ อาจทำการเปิดเผยข้อมูลส่วนบุคคลของ ท่านไปให้หน่วยงานภายนอก เช่น การประสานงานกับโรงพยาบาลอื่น นอกเหนือจากโรงพยาบาลในสังกัดของโรงพยาบาลฯ เพื่อติดต่อปรึกษาแพทย์หรือบุคลากรหรือระบบอื่น ที่มีความเชี่ยวชาญในด้านที่จำเป็นแก่การบำบัดรักษาท่าน ซึ่งจะทำให้ท่านได้รับบริการทางการแพทย์ที่เหมาะสมหรือมีประสิทธิภาพมากขึ้น |
| 2) เพื่อการให้บริการทางการแพทย์ในกรณีจำเป็นต้องเชื่อมโยงข้อมูลระหว่างสถานพยาบาล | การส่ง “สิ่งส่งตรวจ” ของท่านไปยังหน่วยงานเฉพาะทาง การร้องขอสิ่งสนับสนุนที่จำเป็นเช่น การขอโลหิตหรือการขอรับบริจาคอวัยวะ เพื่อการรับ-ส่งต่อผู้ป่วยระหว่างโรงพยาบาล (Refer) การเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่โรงพยาบาล หรือสถาบันการศึกษาอื่น ๆ เพื่อประโยชน์ด้านการศึกษาและการพัฒนาบุคลากรทางการแพทย์และพยาบาล |
| 3) เพื่อวัตถุประสงค์ในการเชื่อมโยงฐานข้อมูลสุขภาพรายบุคคล | โรงพยาบาลฯ จะนำข้อมูลส่วนบุคคลของท่านเข้าสู่ระบบคอมพิวเตอร์ เพื่อเชื่อมโยงฐานข้อมูลสุขภาพระหว่างสถานพยาบาลในเครือข่าย ให้สามารถเรียกดูข้อมูลสุขภาพส่วนบุคคลของท่านผ่านอุปกรณ์ต่าง ๆ เพื่อประโยชน์ในการให้บริการสุขภาพและเพื่อการดูแลสุขภาพของเจ้าของข้อมูล |
| 4) เพื่อใช้สิทธิประโยชน์ในการรักษาพยาบาล | โรงพยาบาลฯ จะเปิดเผยข้อมูลส่วนบุคคลของท่านเพื่อใช้สิทธิประโยชน์ในการรักษาพยาบาลจาก กองทุนประกันสุขภาพถ้วนหน้า ประกันสังคม สวัสดิการราชการ หรือ สวัสดิการอื่นๆ ตามที่ท่านได้ขึ้นทะเบียนไว้ หรือตามที่กฎหมายกำหนด |
| 5) สถาบันการเงิน | โรงพยาบาลฯ อาจทำการเปิดเผยข้อมูลส่วนบุคคลของท่านไปให้สถาบันการเงินธนาคาร บริษัทบัตรเครดิต บริษัทประกันภัยที่เป็นคู่สัญญาของท่าน หรือหน่วยงานทวงถามหนี้ ตามที่จำเป็นในการทำการจ่ายและรับชำระเงินตามที่มีการร้องขอ โดยโรงพยาบาลฯจะเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลที่มีอำนาจในการเข้าถึง ข้อมูลดังกล่าวตามที่กฎหมายกำหนด และสามารถพิสูจน์ได้ว่าตนมีอำนาจในการเข้าถึงดังกล่าวเท่านั้น |
| 6) หน่วยงานราชการที่เกี่ยวข้อง | โรงพยาบาลฯอาจทำการเปิดเผยข้อมูลส่วนบุคคลของท่านไปยังหน่วยงาน ราชการที่เกี่ยวข้องเพื่อการปฏิบัติตามกฎหมาย เช่น การรายงานกับหน่วยงานกำกับดูแลต่าง ๆ ที่เกี่ยวข้อง หรือการปฏิบัติตามข้อกำหนดทางกฎหมายอื่นใดที่โรงพยาบาลฯต้องปฏิบัติตาม |
| 7) ผู้ให้บริการภายนอก | โรงพยาบาลฯ อาจทำเก็บข้อมูลส่วนบุคคลไว้ในระบบประมวลผลแบบคลาวด์ (Cloud Computing) โดยใช้บริการจากบุคคลที่สามไม่ว่าตั้งอยู่ในประเทศไทยหรือต่างประเทศ หรือ ผู้ให้บริการเซิร์ฟเวอร์ สำหรับเว็บไซต์ การวิเคราะห์ข้อมูล การประมวลผลการจ่ายและรับชำระเงิน การทำคำสั่งซื้อ การให้บริการโครงสร้างพื้นฐานเกี่ยวกับเทคโนโลยีสารสนเทศ เป็นต้น ในกรณีที่โรงพยาบาลฯ จำเป็นต้องส่งข้อมูลส่วนบุคคลของเจ้าของข้อมูลให้แก่บุคคลภายนอก โรงพยาบาลฯจะดำเนินการตามขั้นตอนที่เหมาะสม เพื่อให้มั่นใจว่า บุคคลภายนอกจะดูแลข้อมูลส่วนบุคคลของเจ้าของข้อมูล ไม่ให้เกิด การสูญหาย การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การใช้ การดัดแปลง หรือการเปิดเผยและการใช้งานที่ไม่ถูกต้อง |
7. การโอนข้อมูลไปต่างประเทศ
โรงพยาบาลฯ จะทำการเปิดเผยข้อมูลส่วนบุคคลต่อผู้รับข้อมูลในต่างประเทศ เฉพาะกรณีที่กฎหมายคุ้มครอง ข้อมูลส่วนบุคคลกำหนดให้ทำได้เท่านั้น ทั้งนี้ โรงพยาบาลฯอาจปฏิบัติตามหลักเกณฑ์การโอนข้อมูลระหว่างประเทศ โดยเข้าทำข้อสัญญามาตรฐานหรือใช้กลไกอื่นที่พึงมีตามกฎหมายว่าด้วยการคุ้มครองข้อมูลที่ ใช้บังคับ และโรงพยาบาลฯอาจอาศัยสัญญาการโอนข้อมูล หรือกลไกอื่นที่ได้รับการอนุมัติ เพื่อการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
8. มาตรการรักษาความปลอดภัยของข้อมูล
โรงพยาบาลฯ จะใช้มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงมาตรการป้องกัน ด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และ มาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) เพื่อป้องกันการเข้าถึงและเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต และสอดคล้องกับการดำเนินงานของโรงพยาบาลฯและมาตรฐานที่รับรองโดยทั่วไป
โรงพยาบาลฯ กำหนดให้เจ้าหน้าที่ของโรงพยาบาลฯเข้ารับการฝึกอบรมเกี่ยวกับ การคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยของข้อมูล
การจัดจ้างผู้ให้บริการภายนอก โรงพยาบาลฯจะมีการสอบทานและปรับปรุงมาตรการต่างๆ เพื่อให้แน่ใจว่าผู้ให้บริการภายนอกที่โรงพยาบาลฯทำการว่าจ้างจะมีการใช้มาตรการในการ เก็บรวบรวม ประมวลผล โอนย้าย จัดการ และรักษาความมั่นคงปลอดภัยของข้อมูลอย่างเพียงพอในการให้บริการภายใต้วัตถุประสงค์ของโรงพยาบาลฯ เป็นไปตามมาตรฐานต่าง ๆ ของประเทศ และกฎระเบียบที่เกี่ยวข้อง
โรงพยาบาลฯ จัดทำนโยบายและขั้นตอนวิธีการต่าง ๆ เพื่อการจัดการข้อมูลอย่างปลอดภัย และป้องกันการ เข้าถึงโดยไม่ได้รับอนุญาตโดยมีรายละเอียดดังต่อไปนี้
| รายละเอียดมาตรการ |
|---|
| กำหนดนโยบายและขั้นตอนวิธีการต่าง ๆ เพื่อจัดการข้อมูลอย่างปลอดภัย และอาจกำหนดเพิ่มเติมในสัญญาระหว่างโรงพยาบาลฯกับคู่สัญญาแต่ละราย |
| มีการบริหารจัดการสิทธิของพนักงานและลูกจ้างในการเข้าถึงข้อมูลส่วนบุคคล อย่างเหมาะสม |
| ป้องกันการเข้าถึงข้อมูลของท่านโดยไม่ได้รับอนุญาต โดยใช้การเข้ารหัสข้อมูล การตรวจสอบตัวตนและเทคโนโลยีการตรวจจับไวรัส ตามความจำเป็น รวมถึงจัดให้มีช่องทางการสื่อสารแบบปลอดภัยสำหรับ ข้อมูลดังกล่าวด้วยการเข้ารหัสลับข้อมูลดังกล่าว เช่น จัดให้มีการใช้ Secure Socket Layer (SSL) protocol เป็นต้น |
| บริหารจัดการให้ ผู้ให้บริการภายนอกที่โรงพยาบาลฯทำการว่าจ้าง ต้องปฏิบัติตามหลักเกณฑ์ ตามกฎหมาย และระเบียบต่าง ๆ ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล |
| มีติดตามตรวจสอบเว็บไซต์และระบบออนไลน์ของโรงพยาบาลฯ ผ่านหน่วยงานที่มีความเชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย |
| จัดให้มีการฝึกอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่บุคลากรของโรงพยาบาลฯ |
| ประเมินผลแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล การจัดการข้อมูล และการรักษาความ มั่นคงปลอดภัยของข้อมูลของโรงพยาบาลฯ เป็นประจำ |
อย่างไรก็ดีแม้ว่าโรงพยาบาลฯ จะทุ่มเทและใช้ความพยายามในการดูแลข้อมูลให้มีความปลอดภัย ด้วยการใช้เครื่องมือ ทางเทคนิคร่วมกับการบริหารจัดการโดยบุคคล เพื่อควบคุมและรักษาความปลอดภัยของข้อมูล มิให้มีการเข้าถึงข้อมูลส่วนตัวหรือข้อมูลที่เป็นความลับของเจ้าของข้อมูลโดยไม่ได้รับอนุญาต แต่ไม่อาจรับประกันได้ว่าจะสามารถป้องกันความผิดพลาดได้ทุกประการ
9. สิทธิของเจ้าของข้อมูล
ในฐานะเจ้าของข้อมูลส่วนบุคคลท่านมีสิทธิร้องขอให้โรงพยาบาลฯ ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของท่าน ตามขอบเขตที่กฎหมายอนุญาตให้กระทำได้ ดังนี้
| สิทธิของเจ้าของข้อมูล | คำอธิบาย |
|---|---|
| 9.1 สิทธิในการขอรับข้อมูลส่วนบุคคล: | เจ้าของข้อมูลมีสิทธิที่จะขอรับสำเนาข้อมูลส่วนบุคคลของตน และมีสิทธิที่ จะร้องขอให้ เปิดเผยถึงการได้มาซึ่งข้อมูลของเจ้าของข้อมูล |
| 9.2 สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล: | เจ้าของข้อมูลมีสิทธิที่จะคัดค้านการเก็บ รวบรวม ใช้หรือ เปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตนได้ ด้วยเหตุบางประการตามที่กฎหมายกำหนด |
| 9.3 สิทธิในการขอให้ลบหรือทำลายข้อมูลส่วนบุคคล: | เจ้าของข้อมูลมีสิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ ด้วยเหตุบางประการได้ตามที่กฎหมายกำหนด |
| 9.4 สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล: | เจ้าของข้อมูลมีสิทธิขอให้โรงพยาบาลฯ ระงับการใช้ข้อมูลส่วนบุคคลของตนเองด้วยเหตุบางประการตามที่กฎหมายกำหนด |
| 9.5 สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง: | ในกรณีที่ข้อมูลส่วนบุคคลมีการเปลี่ยนแปลง เจ้าของข้อมูลสามารถดำเนินการยื่นคำขอแก้ไขข้อมูลดังกล่าวได้ เพื่อทำให้ข้อมูลส่วนบุคคลของ เจ้าของข้อมูลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด |
| 9.6 สิทธิในการเพิกถอนความยินยอม: | เจ้าของข้อมูลมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ โดยการถอนความยินยอมดังกล่าวจะไม่กระทบต่อการประมวลผลข้อมูลส่วนบุคคลใด ๆ ที่เจ้าของข้อมูลได้ให้ความยินยอมไปแล้วก่อนหน้านี้ ทั้งนี้หากการถอนความยินยอมจะส่งผลกระทบต่อข้อมูลส่วนบุคคลในเรื่องใด สป.สธ. จะแจ้งให้เจ้าของข้อมูล ทราบถึงผลกระทบจากการถอนความยินยอม |
อนึ่ง โรงพยาบาลฯอาจปฏิเสธคำขอใช้สิทธิข้างต้น หากการดำเนินการใด ๆ เป็นไปเพื่อวัตถุประสงค์หรือเป็นกรณีที่ ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล หรือเป็นกรณีที่อาจส่งผลกระทบและก่อให้เกิดความเสียหายต่อสิทธิหรือเสรีภาพของเจ้าของข้อมูลหรือบุคคลอื่น หรือเป็นการดำเนินการเพื่อการศึกษาวิจัยทางสถิติที่มีมาตรการปกป้องข้อมูลที่เหมาะสม หรือเพื่อการก่อตั้งสิทธิเรียกร้อง การปฏิบัติตามหรือการใช้สิทธิเรียกร้องหรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
หากท่านต้องการใช้สิทธิ สามารถติดต่อมายังเจ้าหน้าที่ประสานงานคุ้มครองข้อมูลส่วนบุคคล ประจำหน่วยงาน เพื่อดำเนินการยื่นคำร้องขอดำเนินการตามสิทธิข้างต้น ได้ตามช่องทางใน ข้อ 11
10. การปรับปรุงนโยบายการประมวลผลข้อมูลส่วนบุคคล
โรงพยาบาลฯ อาจมีปรับปรุงเนื้อหาของหนังสือแจ้งการประมวลผลนี้เป็นครั้งคราว เพื่อให้แน่ใจว่าเนื้อหาจะมีความเหมาะสมและเป็นปัจจุบัน หาก โรงพยาบาลฯ มีการปรับปรุงและแก้ไขหนังสือแจ้งฉบับนี้จะแสดงบนทางเว็บไซต์ https://www.rajavithi.go.th ของโรงพยาบาลฯ
11. ช่องทางการติดต่อ
ในกรณีที่เจ้าของข้อมูลต้องการใช้สิทธิ หรือมีคำถามเกี่ยวกับการใช้สิทธิของตน หรือความยินยอมที่เจ้าของข้อมูลได้ให้ไว้ ท่านสามารถติดต่อได้ที่
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
สถานที่ติดต่อ งานเวชสารสนเทศ กลุ่มงานดิจิทัลทางการแพทย์ โรงพยาบาลราชวิถีเลขที่ 2 ถนนพญาไท แขวงทุ่งพญาไท เขตราชเทวี
กรุงเทพมหานคร 10400
โทรศัพท์: 02-206-2900 ต่อ 10814-5
หนังสือแจ้งการประมวลผลข้อมูลส่วนบุคคลนี้ มีผลบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน พ.ศ. 2565