[mshop_form_designer slug=’personal_policy’ default=true]
นโยบายการคุ้มครองข้อมูลส่วนบุคคล
คลินิกศัลยกรรมตกแต่งมาอิน
<คลินิกศัลยกรรมตกแต่งมาอิน> (ต่อไปนี้เรียกว่า 'โรงพยาบาล') ปฏิบัติตามที่กำหนดไว้ใน 「พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล」และกฎหมายที่เกี่ยวข้อง เพื่อคุ้มครองเสรีภาพและสิทธิของเจ้าของข้อมูล โดยประมวลผล
ข้อมูลส่วนบุคคลอย่างถูกต้องตามกฎหมายและบริหารจัดการอย่างปลอดภัย
ด้วยเหตุนี้ ตามมาตรา 30 แห่ง「พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล」 โรงพยาบาลจึงจัดทำและเปิดเผยนโยบายการคุ้มครองข้อมูลส่วนบุคคลดังต่อไปนี้ เพื่อแจ้งให้เจ้าของข้อมูลทราบถึงขั้นตอนและหลักเกณฑ์เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล และเพื่อให้สามารถจัดการเรื่องร้องเรียนที่เกี่ยวข้องได้อย่างรวดเร็วและราบรื่น
สารบัญ
1. วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล
2. การประมวลผลและระยะเวลาเก็บรักษาข้อมูลส่วนบุคคล
3. รายการข้อมูลส่วนบุคคลที่ประมวลผล
4. การให้ข้อมูลส่วนบุคคลแก่บุคคลที่สาม
5. การมอบหมายการประมวลผลข้อมูลส่วนบุคคล
6. การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
7. ขั้นตอนและวิธีการทำลายข้อมูลส่วนบุคคล
8. สิทธิ หน้าที่ และวิธีการใช้สิทธิของเจ้าของข้อมูลและผู้แทนโดยชอบด้วยกฎหมาย
9. มาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
10. มาตรการทางเทคนิคเพื่อการคุ้มครองข้อมูลส่วนบุคคล
11. เรื่องเกี่ยวกับการติดตั้ง การใช้งาน และการปฏิเสธอุปกรณ์เก็บรวบรวมข้อมูลส่วนบุคคลโดยอัตโนมัติ
12. เรื่องเกี่ยวกับการเก็บรวบรวม การใช้ และการปฏิเสธข้อมูลพฤติกรรม
13. หลักเกณฑ์ในการพิจารณาการใช้และการให้เพิ่มเติม
14. การประมวลผลข้อมูลนิรนาม
15. ผู้รับผิดชอบการคุ้มครองข้อมูลส่วนบุคคล
16. วิธีการเยียวยาการละเมิดสิทธิและประโยชน์
17. การติดตั้งและการใช้งานอุปกรณ์ประมวลผลข้อมูลภาพ
18. การเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคล
ข้อ 1 วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล
โรงพยาบาลประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ดังต่อไปนี้ ข้อมูลส่วนบุคคลที่กำลังประมวลผลจะไม่ถูกนำไปใช้เพื่อวัตถุประสงค์อื่นนอกเหนือจากวัตถุประสงค์ดังต่อไปนี้
และในกรณีที่มีการเปลี่ยนแปลงวัตถุประสงค์ในการใช้ โรงพยาบาลจะดำเนินมาตรการที่จำเป็น เช่น การขอความยินยอมแยกต่างหาก ตามมาตรา 18 แห่ง「พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล」
1. กรณีที่มีบทบัญญัติพิเศษในกฎหมาย หรือกรณีที่หลีกเลี่ยงไม่ได้เพื่อการปฏิบัติตามหน้าที่ตามกฎหมาย
| กฎหมายที่เกี่ยวข้อง | วัตถุประสงค์ในการประมวลผล |
|---|---|
| พระราชบัญญัติการแพทย์และกฎกระทรวงตามพระราชบัญญัติดังกล่าว | การเปิดเผยและการออกสำเนาเอกสารบันทึกต่าง ๆ และเวชระเบียนผู้ป่วย เช่น ใบสมัครเข้ารับการรักษา เวชระเบียน บันทึกการผดุงครรภ์ บันทึกการพยาบาล ทะเบียนผู้ป่วย ใบสั่งยา เป็นต้น |
| พระราชบัญญัติประกันสุขภาพแห่งชาติ | การส่งต่อเพื่อขอรับบริการทางการแพทย์ |
| ข้อมูลอาสาสมัคร | ข้อมูลอาสาสมัคร |
| พระราชบัญญัติธุรกรรมทางการเงินอิเล็กทรอนิกส์ | การรับชำระค่ารักษาพยาบาล |
| พระราชบัญญัติว่าด้วยการป้องกันและควบคุมโรคติดต่อ | การแจ้งผู้ป่วยโรคติดต่อ ผู้ต้องสงสัยว่าเป็นโรคติดต่อ หรือผู้เป็นพาหะนำเชื้อโรค |
| พระราชบัญญัติว่าด้วยการป้องกันโรคภูมิคุ้มกันบกพร่อง | การแจ้งผลการวินิจฉัยและตรวจชันสูตรผู้ติดเชื้อ |
| พระราชบัญญัติว่าด้วยการจัดการโลหิต | การแจ้งอาการไม่พึงประสงค์เฉพาะจากการรับโลหิต |
| พระราชบัญญัติว่าด้วยการปลูกถ่ายอวัยวะ | การแจ้งผู้ที่คาดว่าสมองตาย |
| พระราชบัญญัติหลักว่าด้วยการสาธารณสุขและการแพทย์ | การแจ้ง รายงาน และแจ้งเตือนการพบผู้ป่วยหรือผู้ต้องสงสัยว่าป่วยเป็นโรค |
| พระราชบัญญัติว่าด้วยการแพทย์ฉุกเฉิน | การส่งต่อผู้ป่วยฉุกเฉิน |
2. การให้บริการ เช่น การนัดหมายเข้ารับการรักษา
•
โรงพยาบาลประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการให้บริการที่เกี่ยวข้องกับการรักษาพยาบาล เช่น การวินิจฉัย การรักษาและการเข้าพักรักษาตัว การนัดหมายเข้ารับการรักษาและการตรวจ การตรวจสอบการนัดหมายและการแจ้งกำหนดการนัดหมาย ใบแจ้งค่ารักษาพยาบาล ตลอดจนการให้บริการงานเวชระเบียน เช่น การเรียกเก็บ การรับชำระ และการคืนเงินค่ารักษาพยาบาลในการวินิจฉัยและการรักษา
3. การจัดการเรื่องร้องเรียน
•
โรงพยาบาลประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการสร้างช่องทางการสื่อสารที่ราบรื่น เช่น การตรวจสอบตัวตนของผู้ร้องเรียน การตรวจสอบเนื้อหาของเรื่องร้องเรียน การติดต่อเพื่อตรวจสอบข้อเท็จจริง และการแจ้งผลการดำเนินการ เมื่อมีเรื่องร้องเรียนที่เกี่ยวข้องกับบริการทางการแพทย์
4. การสมัครสมาชิก
•
โรงพยาบาลประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการยืนยันเจตนาในการสมัครสมาชิก การระบุและการยืนยันตัวบุคคลตามการให้บริการแบบสมาชิก การคงไว้และการบริหารจัดการสถานะสมาชิก การยืนยันตัวบุคคลตามการดำเนินระบบยืนยันตัวบุคคลแบบจำกัด การป้องกันการใช้บริการโดยมิชอบ การตรวจสอบความยินยอมของผู้แทนโดยชอบด้วยกฎหมายเมื่อเก็บรวบรวมข้อมูลส่วนบุคคลของเด็กอายุต่ำกว่า 14 ปี การแจ้งและการบอกกล่าวต่าง ๆ การจัดการเรื่องร้องเรียน การเก็บรักษาบันทึกเพื่อการระงับข้อพิพาท และการรวบรวมสถิติเกี่ยวกับการใช้บริการ
ข้อ 2 การประมวลผลและระยะเวลาเก็บรักษาข้อมูลส่วนบุคคล
① โรงพยาบาลประมวลผลและเก็บรักษาข้อมูลส่วนบุคคลภายในระยะเวลาการเก็บรักษาและการใช้ข้อมูลส่วนบุคคลตามกฎหมาย หรือภายในระยะเวลาการเก็บรักษาและการใช้ข้อมูลส่วนบุคคลที่ได้รับความยินยอมจากเจ้าของข้อมูลเมื่อเก็บรวบรวมข้อมูลส่วนบุคคล
② ระยะเวลาการประมวลผลและการเก็บรักษาข้อมูลส่วนบุคคลแต่ละรายการมีดังต่อไปนี้
1. กรณีที่มีบทบัญญัติพิเศษในกฎหมาย หรือกรณีที่หลีกเลี่ยงไม่ได้เพื่อการปฏิบัติตามหน้าที่ตามกฎหมาย
(มาตรา 22 วรรค 2 แห่งพระราชบัญญัติการแพทย์ และมาตรา 15 แห่งกฎกระทรวง)
※ นอกจากนี้ ในกรณีที่จำเป็นเพื่อการรักษาอย่างต่อเนื่อง อาจขยายระยะเวลาการเก็บรักษาออกไปได้เพียงครั้งเดียวตามระยะเวลาของแต่ละรายการ
- ทะเบียนผู้ป่วย : 5 ปี
- เวชระเบียน : 10 ปี
- ใบสั่งยา : 2 ปี
- บันทึกการผ่าตัด : 10 ปี
- บันทึกเนื้อหาการตรวจและความเห็นจากการตรวจ : 5 ปี
- ภาพถ่ายรังสี (รวมถึงภาพต่าง ๆ) และใบรายงานความเห็น : 5 ปี
- บันทึกการพยาบาล : 5 ปี
- บันทึกการผดุงครรภ์ : 5 ปี
- สำเนาใบรับรองแพทย์และเอกสารอื่น (ให้แยกเก็บรักษาใบรับรองแพทย์ ใบรับรองการตาย และใบชันสูตรพลิกศพต่างหาก) : 3 ปี
2. การให้บริการ เช่น การนัดหมายเข้ารับการรักษา
- เก็บรักษาตาม “การเก็บรักษาบันทึกเกี่ยวกับการรักษา” ในมาตรา 15 แห่งกฎกระทรวงตามพระราชบัญญัติการแพทย์
3. การจัดการเรื่องร้องเรียน
- เก็บรักษาเป็นเวลา 3 ปี นับแต่การจัดการเรื่องร้องเรียนเสร็จสิ้น
4. การสมัครสมาชิก
- จนกว่าจะมีการยกเลิกสมาชิกหรือถูกเพิกถอนสมาชิกภาพ
③ อย่างไรก็ตาม ในกรณีที่เข้าเหตุดังต่อไปนี้ จะเก็บรักษาไว้จนกว่าเหตุดังกล่าวจะสิ้นสุดลง
1. กรณีที่อยู่ระหว่างการสืบสวนหรือการสอบสวน เป็นต้น ตามการฝ่าฝืนกฎหมายที่เกี่ยวข้อง จะเก็บรักษาไว้จนกว่าการสืบสวนหรือการสอบสวนดังกล่าวจะสิ้นสุดลง
2. กรณีที่ยังคงมีความสัมพันธ์ทางสิทธิเรียกร้องและหนี้สินจากการใช้งานเว็บไซต์ จะเก็บรักษาไว้จนกว่าจะมีการชำระสะสางความสัมพันธ์ทางสิทธิเรียกร้องและหนี้สินดังกล่าว
ข้อ 3 รายการข้อมูลส่วนบุคคลที่ประมวลผล
① โรงพยาบาลเก็บรวบรวมข้อมูลส่วนบุคคลดังต่อไปนี้เพื่อการปฏิบัติตามหน้าที่ตามกฎหมาย
1. กรณีที่มีบทบัญญัติพิเศษในกฎหมาย หรือกรณีที่หลีกเลี่ยงไม่ได้เพื่อการปฏิบัติตามหน้าที่ตามกฎหมาย
- ใบสมัครเข้ารับการรักษา
•
รายการที่จำเป็น : ชื่อ-นามสกุล หมายเลขประจำตัวประชาชน แผนกที่เข้ารับการรักษา หมายเลขโทรศัพท์ หมายเลขทะเบียนผู้ป่วย (หมายเลขบัตรผู้ป่วย)
- ใบสมัครเข้ารับการรักษาแบบเลือกแพทย์
•
รายการที่จำเป็น : ชื่อ-นามสกุล ที่อยู่ หมายเลขโทรศัพท์ หมายเลขประจำตัวประชาชน รายการสนับสนุนการรักษา
- เวชระเบียน
•
รายการที่จำเป็น : ที่อยู่ ชื่อ-นามสกุล ข้อมูลติดต่อ หมายเลขประจำตัวประชาชน ประวัติการเจ็บป่วยและประวัติครอบครัว อาการสำคัญ ผลการวินิจฉัยหรือชื่อโรคที่วินิจฉัย ความคืบหน้าของการรักษา เนื้อหาการรักษา (การฉีดยา การให้ยา การหัตถการ เป็นต้น) วันและเวลาที่เข้ารับการรักษา
- บันทึกการผดุงครรภ์
•
รายการที่จำเป็น : ที่อยู่ ชื่อ-นามสกุล ข้อมูลติดต่อ หมายเลขประจำตัวประชาชน จำนวนครั้งของการคลอดแยกตามทารกเกิดมีชีพและทารกตายคลอด ความคืบหน้าหลังการตั้งครรภ์และความเห็นเกี่ยวกับเรื่องดังกล่าว การมีหรือไม่มีการตรวจสุขภาพโดยแพทย์ระหว่างตั้งครรภ์ (รวมถึงการตรวจวัณโรคและโรคติดต่อทางเพศสัมพันธ์) สถานที่คลอดและวันเดือนปีและเวลาที่คลอด ความคืบหน้าของการคลอดและการหัตถการ จำนวนทารกที่คลอด เพศ และการแยกทารกเกิดมีชีพหรือตายคลอด ความเห็นเกี่ยวกับทารกและสิ่งที่ติดมากับทารกในครรภ์ การมีหรือไม่มีการตรวจสุขภาพโดยแพทย์หลังคลอด
- บันทึกการพยาบาล
•
รายการที่จำเป็น : ชื่อ-นามสกุลของผู้รับการพยาบาล เรื่องเกี่ยวกับอุณหภูมิร่างกาย ชีพจร การหายใจ ความดันโลหิต เรื่องเกี่ยวกับการให้ยา เรื่องเกี่ยวกับการบริโภคและการขับถ่าย เรื่องเกี่ยวกับการหัตถการและการพยาบาล วันและเวลาที่ให้การพยาบาล
- ทะเบียนผู้ป่วย
•
รายการที่จำเป็น : ที่อยู่ ชื่อ-นามสกุล หมายเลขประจำตัวประชาชน หมายเลขโทรศัพท์
- หน้าที่ในการแจ้งผู้ป่วยโรคติดต่อ ผู้ต้องสงสัยว่าเป็นโรคติดต่อ หรือผู้เป็นพาหะนำเชื้อโรค
•
รายการที่จำเป็น : ชื่อ-นามสกุล หมายเลขประจำตัวประชาชน หมายเลขโทรศัพท์ อาชีพ เพศ ที่อยู่ของผู้ป่วยโรคติดต่อ ผู้ต้องสงสัยว่าเป็นโรคติดต่อ หรือผู้เป็นพาหะนำเชื้อโรค ชื่อโรคติดต่อ ข้อมูลการเกิดโรคติดต่อ สถานพยาบาลที่แจ้ง ข้อมูลการรายงานต่อศูนย์อนามัย
- หน้าที่ในการส่งต่อผู้ป่วยฉุกเฉิน
•
รายการที่จำเป็น : ชื่อ-นามสกุลของผู้ป่วย ที่อยู่ ชื่อ-นามสกุล ที่อยู่ และหมายเลขโทรศัพท์ของผู้ดูแล สภาพของผู้ป่วยก่อนการปฐมพยาบาลฉุกเฉิน สภาพของผู้ป่วยหลังการปฐมพยาบาลฉุกเฉิน รายละเอียดการปฐมพยาบาลฉุกเฉิน
- หน้าที่ในการแจ้งผลการวินิจฉัยและตรวจชันสูตรผู้ติดเชื้อ
•
รายการที่จำเป็น : ชื่อ-นามสกุลของผู้เสียชีวิต หมายเลขประจำตัวประชาชน ที่อยู่ ความเห็นจากการตรวจชันสูตร เส้นทางการติดเชื้อที่คาดการณ์ สาเหตุการเสียชีวิตหลัก อาการทางคลินิก
2. การให้บริการ เช่น การนัดหมายเข้ารับการรักษา
- การนัดหมายเข้ารับการรักษา
•
รายการที่จำเป็น : ชื่อ-นามสกุล หมายเลขประจำตัวประชาชน หมายเลขโทรศัพท์มือถือ
- การนัดหมายเข้ารับการรักษาสำหรับชาวต่างชาติ
•
รายการที่จำเป็น : ชื่อ-นามสกุล เพศ วันเดือนปีเกิด หมายเลขหนังสือเดินทาง วันหมดอายุหนังสือเดินทาง สัญชาติ หมายเลขโทรศัพท์ ที่อยู่อีเมล ที่อยู่ที่พักอาศัยในประเทศเกาหลี
- การให้บริการงานเวชระเบียน เช่น การรับชำระค่ารักษาพยาบาล
•
รายการที่จำเป็น : (กรณีชำระด้วยบัตรเครดิต) ชื่อบริษัทบัตร หมายเลขบัตร และข้อมูลการอนุมัติการชำระเงินอื่น ๆ
3. การจัดการเรื่องร้องเรียน
•
รายการที่จำเป็น : ชื่อ-นามสกุล อีเมล หมายเลขโทรศัพท์มือถือ เนื้อหาของเรื่องร้องเรียนและข้อสอบถาม
4. (กรณีที่มีเว็บไซต์ที่สามารถสมัครสมาชิกได้) การสมัครสมาชิก
•
รายการที่จำเป็น : ชื่อ-นามสกุล วันเดือนปีเกิด ID รหัสผ่าน หมายเลขโทรศัพท์มือถือ ที่อยู่อีเมล กรณีเป็นเด็กอายุต่ำกว่า 14 ปี ข้อมูลของผู้แทนโดยชอบด้วยกฎหมาย (ชื่อ-นามสกุล วันเดือนปีเกิด เพศ หมายเลขโทรศัพท์มือถือ)
•
รายการที่เลือกได้ : หมายเลขโทรศัพท์บ้าน
② โรงพยาบาลสามารถเก็บรวบรวมและใช้หมายเลขประจำตัวประชาชน ข้อมูลระบุตัวบุคคลเฉพาะ และข้อมูลอ่อนไหว รวมถึงข้อมูลส่วนบุคคล โดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูล เพื่อการปฏิบัติตามหน้าที่ตามกฎหมาย เช่น การรักษาพยาบาล
ข้อ 4 การให้ข้อมูลส่วนบุคคลแก่บุคคลที่สาม
① โรงพยาบาลประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลภายในขอบเขตที่ระบุไว้เท่านั้น และจะให้ข้อมูลส่วนบุคคลแก่บุคคลที่สามเฉพาะในกรณีที่เข้าเงื่อนไขตามมาตรา 17 และมาตรา 18 แห่ง「พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล」 เช่น ความยินยอมของเจ้าของข้อมูล หรือบทบัญญัติพิเศษของกฎหมาย นอกเหนือจากนั้น โรงพยาบาลจะไม่ให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลแก่บุคคลที่สาม
② ในกรณีที่ส่งต่อผู้ป่วยฉุกเฉินไปยังสถานพยาบาลอื่นตามมาตรา 11 แห่งพระราชบัญญัติว่าด้วยการแพทย์ฉุกเฉิน โรงพยาบาลสามารถให้เวชระเบียนที่จำเป็นต่อการรักษาแก่สถานพยาบาลที่รับผู้ป่วยได้
③ ในกรณีที่เข้าเงื่อนไขตามมาตรา 21 วรรค 3 แต่ละอนุมาตราแห่งพระราชบัญญัติการแพทย์ โรงพยาบาลจะให้สามารถตรวจสอบเนื้อหาได้ เช่น การให้เปิดเผยหรือการออกสำเนาบันทึกเกี่ยวกับผู้ป่วย
④ ในกรณีที่ดำเนินการวิจัยในมนุษย์ตามมาตรา 18 แห่งพระราชบัญญัติว่าด้วยจริยธรรมและความปลอดภัยทางชีวภาพ โรงพยาบาลสามารถให้ข้อมูลส่วนบุคคลของผู้เข้าร่วมแก่บุคคลที่สามได้ โดยผ่านความยินยอมเป็นลายลักษณ์อักษรของเจ้าของข้อมูลและการพิจารณาของคณะกรรมการประจำสถาบันตามพระราชบัญญัติดังกล่าว
⑤ โรงพยาบาลสามารถให้ข้อมูลส่วนบุคคลดังต่อไปนี้ได้ โดยได้รับความยินยอมจากเจ้าของข้อมูล
| ผู้รับข้อมูล | วัตถุประสงค์ในการให้ | รายการที่ให้ | ระยะเวลาเก็บรักษาและการใช้ |
|---|---|---|---|
| <ชื่อบุคคลที่สาม> | <วัตถุประสงค์ในการให้> | <รายการที่ให้> | <ระยะเวลาเก็บรักษาและการใช้ของผู้รับข้อมูล> |
ข้อ 5 การมอบหมายการประมวลผลข้อมูลส่วนบุคคล
โรงพยาบาลไม่มีการมอบหมายการประมวลผลข้อมูลส่วนบุคคล
ข้อ 6 การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
โรงพยาบาลไม่มีการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
ข้อ 7 ขั้นตอนและวิธีการทำลายข้อมูลส่วนบุคคล
① เมื่อข้อมูลส่วนบุคคลไม่มีความจำเป็นแล้ว เช่น ระยะเวลาเก็บรักษาข้อมูลส่วนบุคคลสิ้นสุดลง บรรลุวัตถุประสงค์ในการประมวลผล ยกเลิกบริการทางการแพทย์ หรือเลิกกิจการ โรงพยาบาลจะทำลายข้อมูลส่วนบุคคลดังกล่าวโดยไม่ชักช้า
② ในกรณีที่ต้องเก็บรักษาข้อมูลส่วนบุคคลต่อไปตามกฎหมายอื่น แม้ว่าระยะเวลาเก็บรักษาข้อมูลส่วนบุคคลที่ได้รับความยินยอมจากเจ้าของข้อมูลจะสิ้นสุดลงหรือบรรลุวัตถุประสงค์ในการประมวลผลแล้ว โรงพยาบาลจะย้ายข้อมูลส่วนบุคคลดังกล่าวไปยังฐานข้อมูล (DB) แยกต่างหากหรือเก็บรักษาไว้ในสถานที่จัดเก็บที่แตกต่างออกไป
③ เมื่อแจ้งเลิกกิจการหรือหยุดกิจการชั่วคราว โรงพยาบาลจะโอนเวชระเบียน บันทึกการผดุงครรภ์ บันทึกการพยาบาล และบันทึกอื่น ๆ เกี่ยวกับการรักษาที่บันทึกและเก็บรักษาไว้ ให้แก่ผู้อำนวยการศูนย์อนามัยที่มีเขตอำนาจ
④ ขั้นตอนและวิธีการทำลายข้อมูลส่วนบุคคลมีดังต่อไปนี้
1. ขั้นตอนการทำลาย
•
โรงพยาบาลจะคัดเลือกข้อมูลส่วนบุคคลที่เกิดเหตุแห่งการทำลาย และทำลายข้อมูลส่วนบุคคลโดยได้รับการอนุมัติจากผู้รับผิดชอบการคุ้มครองข้อมูลส่วนบุคคลของโรงพยาบาล
2. วิธีการทำลาย
•
สำหรับข้อมูลส่วนบุคคลที่บันทึกและจัดเก็บในรูปแบบไฟล์อิเล็กทรอนิกส์ โรงพยาบาลจะทำลายโดยใช้วิธีการ เช่น การฟอร์แมตระดับล่าง (Low Level Format) เพื่อไม่ให้สามารถกู้คืนบันทึกได้ และสำหรับข้อมูลส่วนบุคคลที่บันทึกและจัดเก็บในเอกสารกระดาษ จะทำลายโดยการทำลายด้วยเครื่องทำลายเอกสารหรือการเผาทำลาย
ข้อ 8 สิทธิ หน้าที่ และวิธีการใช้สิทธิของเจ้าของข้อมูลและผู้แทนโดยชอบด้วยกฎหมาย
① เจ้าของข้อมูลสามารถใช้สิทธิดังต่อไปนี้ต่อโรงพยาบาลได้ตลอดเวลา
1. การเปิดเผยบันทึกเกี่ยวกับผู้ป่วย (ตนเอง)
2. การขอเปิดเผย แก้ไข ลบ หรือระงับการประมวลผลข้อมูลส่วนบุคคลอื่น ๆ
※ การขอเปิดเผยข้อมูลส่วนบุคคลของเด็กอายุต่ำกว่า 14 ปี ผู้แทนโดยชอบด้วยกฎหมายต้องดำเนินการด้วยตนเอง ส่วนเจ้าของข้อมูลที่เป็นผู้เยาว์อายุตั้งแต่ 14 ปีขึ้นไป สามารถใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคลของตนด้วยตนเองในฐานะผู้เยาว์ หรือใช้สิทธิผ่านผู้แทนโดยชอบด้วยกฎหมายก็ได้
② การใช้สิทธิตามแต่ละอนุมาตราของวรรค 1 สามารถทำได้ด้วยวิธีการดังต่อไปนี้
การเปิดเผยบันทึกเกี่ยวกับผู้ป่วย (ตนเอง) : แสดงบัตรประจำตัวที่สามารถยืนยันตัวบุคคลได้ต่อโรงพยาบาล
การขอเปิดเผย แก้ไข ลบ หรือระงับการประมวลผลข้อมูลส่วนบุคคลอื่น ๆ : ทำเป็นลายลักษณ์อักษร ไปรษณีย์อิเล็กทรอนิกส์ หรือโทรสาร (FAX) ตามมาตรา 41 วรรค 1 แห่งกฎกระทรวงของ「พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล」
③ การใช้สิทธิตามแต่ละอนุมาตราของวรรค 1 สามารถทำผ่านผู้แทนได้ เช่น ผู้แทนโดยชอบด้วยกฎหมายของเจ้าของข้อมูลหรือผู้ที่ได้รับมอบหมาย
การเปิดเผยบันทึกเกี่ยวกับผู้ป่วย (ตนเอง) : ในกรณีที่ผู้แทนที่ผู้ป่วยกำหนดได้ร้องขอโดยมีคุณสมบัติครบถ้วนตามที่กำหนดในกฎกระทรวงสาธารณสุขและสวัสดิการ เช่น แนบหนังสือยินยอมของผู้ป่วยและเอกสารที่พิสูจน์ว่ามีอำนาจในการเป็นผู้แทน ให้ยื่นเอกสารดังต่อไปนี้
① สำเนาบัตรประจำตัวของผู้ที่ร้องขอการเปิดเผยบันทึกหรือการออกสำเนา
② หนังสือยินยอมตามแบบแนบท้ายที่ 9 ฉบับที่ 2 และหนังสือมอบอำนาจตามแบบแนบท้ายที่ 9 ฉบับที่ 3 แห่ง「กฎกระทรวงตามพระราชบัญญัติการแพทย์」 ที่ผู้ป่วยลงนามด้วยลายมือชื่อของตนเอง ในกรณีที่ผู้ป่วยเป็นผู้เยาว์อายุต่ำกว่า 14 ปี
ผู้แทนโดยชอบด้วยกฎหมายของผู้ป่วยต้องเป็นผู้จัดทำ และต้องแนบเอกสารที่สามารถยืนยันความเป็นผู้แทนโดยชอบด้วยกฎหมาย เช่น หนังสือรับรองความสัมพันธ์ในครอบครัว
③ สำเนาบัตรประจำตัวของผู้ป่วย อย่างไรก็ตาม ไม่รวมถึงผู้ป่วยที่อายุต่ำกว่า 17 ปีซึ่งยังไม่ได้รับการออกบัตรประจำตัวประชาชนตามมาตรา 24 วรรค 1 แห่ง「พระราชบัญญัติทะเบียนราษฎร」
•
การขอเปิดเผย แก้ไข ลบ หรือระงับการประมวลผลข้อมูลส่วนบุคคลอื่น ๆ : ยื่นหนังสือมอบอำนาจตามแบบแนบท้ายที่ 11 แห่ง “ประกาศว่าด้วยวิธีการประมวลผลข้อมูลส่วนบุคคล (ฉบับที่ 2020-7)”
④ การใช้สิทธิตามแต่ละอนุมาตราของวรรค 1 อาจถูกจำกัดได้ในกรณีดังต่อไปนี้
•
การเปิดเผยบันทึกเกี่ยวกับผู้ป่วย (ตนเอง) : เมื่อก่อให้เกิดอุปสรรคต่อการปฏิบัติ “งานเกี่ยวกับการตรวจสอบและการสอบสวนที่ดำเนินอยู่ตามกฎหมายอื่น” ในเรื่องที่มีความสำคัญยิ่งต่อความมั่นคงของชาติ
•
การขอเปิดเผย แก้ไข ลบ หรือระงับการประมวลผลข้อมูลส่วนบุคคลอื่น ๆ : กรณีที่เข้าเงื่อนไขตามมาตรา 35 วรรค 4 แต่ละอนุมาตรา และมาตรา 37 วรรค 2 แต่ละอนุมาตราแห่ง「พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล」
ข้อ 9 มาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
โรงพยาบาลดำเนินมาตรการดังต่อไปนี้เพื่อการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
1. มาตรการด้านการบริหารจัดการ : การจัดทำและดำเนินการตามแผนการบริหารจัดการภายใน การดำเนินงานขององค์กรเฉพาะกิจ การอบรมพนักงานเป็นประจำ
2. มาตรการด้านเทคนิค : การบริหารจัดการสิทธิการเข้าถึงระบบประมวลผลข้อมูลส่วนบุคคล เป็นต้น การติดตั้งระบบควบคุมการเข้าถึง การเข้ารหัสข้อมูลส่วนบุคคล การติดตั้งและการปรับปรุงโปรแกรมรักษาความปลอดภัย
3. มาตรการด้านกายภาพ : การควบคุมการเข้าถึงห้องคอมพิวเตอร์ ห้องเก็บรักษาข้อมูล เป็นต้น
ข้อ 10 มาตรการทางเทคนิคเพื่อการคุ้มครองข้อมูลส่วนบุคคล
ในการจัดการข้อมูลส่วนบุคคลของท่าน โรงพยาบาลได้กำหนดมาตรการทางเทคนิคดังต่อไปนี้เพื่อการรักษาความมั่นคงปลอดภัย มิให้ข้อมูลส่วนบุคคลสูญหาย ถูกโจรกรรม รั่วไหล ถูกแก้ไข หรือถูกทำลาย
•
ข้อมูลส่วนบุคคลของท่านได้รับการคุ้มครองด้วยรหัสผ่าน และข้อมูลสำคัญได้รับการคุ้มครองผ่านฟังก์ชันรักษาความปลอดภัยแยกต่างหาก โดยการเข้ารหัสไฟล์และข้อมูลที่ส่งผ่าน หรือการใช้ฟังก์ชันล็อกไฟล์ (Lock)
•
โรงพยาบาลได้นำระบบยืนยันตัวบุคคลและระบบรักษาความปลอดภัยที่สามารถส่งข้อมูลส่วนบุคคลบนเครือข่ายได้อย่างปลอดภัยมาใช้ โดยใช้อัลกอริทึมการเข้ารหัสที่เกี่ยวข้องกับการยืนยันตัวสมาชิก และในกรณีที่ไม่สามารถดำเนินการได้เนื่องจากเหตุขัดข้องของระบบ จะดำเนินการยืนยันเจตนาโดยเจ้าหน้าที่ผู้ช่วย
•
เพื่อป้องกันมิให้ข้อมูลส่วนบุคคลของท่านรั่วไหลจากการเจาะระบบ เป็นต้น โรงพยาบาลได้ใช้อุปกรณ์ป้องกันการบุกรุกจากภายนอก และได้ติดตั้งระบบตรวจจับการบุกรุกในแต่ละเซิร์ฟเวอร์เพื่อเฝ้าระวังการบุกรุกตลอด 24 ชั่วโมง
ข้อ 11 เรื่องเกี่ยวกับการติดตั้ง การใช้งาน และการปฏิเสธอุปกรณ์เก็บรวบรวมข้อมูลส่วนบุคคลโดยอัตโนมัติ
① โรงพยาบาลใช้ ‘คุกกี้ (cookie)’ ซึ่งจัดเก็บและเรียกใช้ข้อมูลการใช้งานเป็นครั้งคราว เพื่อให้บริการที่ปรับให้เหมาะกับผู้ใช้แต่ละราย
② คุกกี้คือข้อมูลปริมาณเล็กน้อยที่เซิร์ฟเวอร์ (http) ซึ่งใช้ในการดำเนินงานเว็บไซต์ส่งไปยังเบราว์เซอร์ในคอมพิวเตอร์ของผู้ใช้ และบางครั้งจะถูกจัดเก็บไว้ในฮาร์ดดิสก์ภายในเครื่องคอมพิวเตอร์ของผู้ใช้
ก. วัตถุประสงค์ในการใช้คุกกี้ : ใช้เพื่อทำความเข้าใจรูปแบบการเข้าชมและการใช้งานแต่ละบริการและเว็บไซต์ที่ผู้ใช้เข้าชม คำค้นหายอดนิยม การเชื่อมต่อแบบปลอดภัยหรือไม่ เป็นต้น เพื่อให้ข้อมูลที่ปรับให้เหมาะกับผู้ใช้และการปรับปรุงบริการ เป็นต้น
ข. การติดตั้ง การใช้งาน และการปฏิเสธคุกกี้ : ผู้ใช้สามารถปฏิเสธการจัดเก็บคุกกี้ได้ผ่านการตั้งค่าตัวเลือกในเมนู เครื่องมือ > ตัวเลือกอินเทอร์เน็ต > ข้อมูลส่วนบุคคล ที่ด้านบนของเว็บเบราว์เซอร์
ค. ในกรณีที่ปฏิเสธการจัดเก็บคุกกี้ อาจเกิดความยากลำบากในการใช้บริการที่ปรับให้เหมาะกับผู้ใช้
ข้อ 12 เรื่องเกี่ยวกับการเก็บรวบรวม การใช้ และการปฏิเสธข้อมูลพฤติกรรม
① โรงพยาบาลเก็บรวบรวมและใช้ข้อมูลพฤติกรรมเพื่อให้บริการและสิทธิประโยชน์ที่ปรับให้เหมาะกับเจ้าของข้อมูล เช่น โฆษณาที่ปรับให้เหมาะกับผู้ใช้แบบออนไลน์ ในระหว่างการใช้บริการ
② โรงพยาบาลเก็บรวบรวมข้อมูลพฤติกรรมดังต่อไปนี้
| รายการข้อมูลพฤติกรรมที่เก็บรวบรวม | วิธีการเก็บรวบรวมข้อมูลพฤติกรรม | วัตถุประสงค์ในการเก็บรวบรวมข้อมูลพฤติกรรม | ระยะเวลาเก็บรักษาและการใช้ และวิธีการประมวลผลข้อมูลภายหลัง |
|---|---|---|---|
| ประวัติการเข้าชมบริการเว็บไซต์/แอป ของผู้ใช้ ประวัติการค้นหา ประวัติการซื้อ |
เก็บรวบรวมโดยอัตโนมัติเมื่อผู้ใช้เข้าชม/ เปิดใช้งานเว็บไซต์และแอป |
ให้บริการแนะนำสินค้าที่ปรับให้เหมาะกับ บุคคล (รวมถึงโฆษณา) โดยอิงจากความ สนใจและความชอบของผู้ใช้ |
2 ปีนับแต่วันที่เก็บรวบรวม |
③ โรงพยาบาลเก็บรวบรวมข้อมูลพฤติกรรมเท่าที่จำเป็นขั้นต่ำสำหรับโฆษณาที่ปรับให้เหมาะกับผู้ใช้แบบออนไลน์ เป็นต้น เท่านั้น และจะไม่เก็บรวบรวมข้อมูลพฤติกรรมอ่อนไหวที่อาจละเมิดสิทธิ ประโยชน์ หรือความเป็นส่วนตัวของบุคคลอย่างชัดเจน เช่น ความคิด ความเชื่อ ความสัมพันธ์ในครอบครัวและเครือญาติ ประวัติการศึกษาและประวัติการเจ็บป่วย ประวัติกิจกรรมทางสังคมอื่น ๆ เป็นต้น
④ โรงพยาบาลจะไม่เก็บรวบรวมข้อมูลพฤติกรรมเพื่อวัตถุประสงค์ในการทำโฆษณาที่ปรับให้เหมาะกับผู้ใช้จากเด็กที่ทราบว่าอายุต่ำกว่า 14 ปี หรือจากบริการออนไลน์ที่มีเด็กอายุต่ำกว่า 14 ปีเป็นผู้ใช้หลัก และจะไม่ให้บริการโฆษณาที่ปรับให้เหมาะกับผู้ใช้แก่เด็กที่ทราบว่าอายุต่ำกว่า 14 ปี
⑤ เจ้าของข้อมูลสามารถปิดกั้น/อนุญาตโฆษณาที่ปรับให้เหมาะกับผู้ใช้แบบออนไลน์ได้โดยใช้ฟังก์ชันการตั้งค่าของเว็บเบราว์เซอร์หรือสมาร์ทโฟน อย่างไรก็ตาม แม้วิธีนี้จะทำให้ผู้ใช้สามารถปิดกั้น/อนุญาตโฆษณาที่ปรับให้เหมาะกับผู้ใช้แบบออนไลน์ได้ทั้งหมด แต่การเก็บรวบรวมข้อมูลพฤติกรรมเพื่อวัตถุประสงค์อื่น เช่น การเข้าสู่ระบบอัตโนมัติ การปิดกั้นการเข้าถึงจากอุปกรณ์อื่น เป็นต้น ก็อาจถูกปิดกั้นไปด้วย ผู้ใช้จึงควรใช้ความระมัดระวัง
•
การปิดกั้น/อนุญาตโฆษณาที่ปรับให้เหมาะกับผู้ใช้ผ่านเว็บเบราว์เซอร์
(1) อินเทอร์เน็ตเอ็กซ์พลอเรอร์ (Internet Explorer 11 สำหรับ Windows 10)
- ใน Internet Explorer เลือกปุ่มเครื่องมือ จากนั้นเลือกตัวเลือกอินเทอร์เน็ต
- เลือกแท็บข้อมูลส่วนบุคคล และเลือกขั้นสูงในการตั้งค่า จากนั้นเลือกการปิดกั้นหรือการอนุญาตคุกกี้
(2) เบราว์เซอร์โครม
- ใน Chrome คลิกที่สัญลักษณ์ ‘⋮’ ที่มุมขวาบน (การปรับแต่งและการควบคุม Chrome) จากนั้นคลิกแสดงการตั้งค่า
- คลิก ‘แสดงการตั้งค่าขั้นสูง’ ที่ด้านล่างของหน้าการตั้งค่า และคลิกการตั้งค่าเนื้อหาในส่วน 「ข้อมูลส่วนบุคคล」
- ในส่วนคุกกี้ เลือกช่องทำเครื่องหมาย ‘ปิดกั้นคุกกี้ของบุคคลที่สามและข้อมูลเว็บไซต์’
•
การปิดกั้น/อนุญาตโฆษณาที่ปรับให้เหมาะกับผู้ใช้ผ่านสมาร์ทโฟน
(1) (แอนดรอยด์) ① การตั้งค่า Google → ② โฆษณา → ③ เลือกหรือยกเลิกการตั้งค่าโฆษณาที่ปรับให้เหมาะกับผู้ใช้
※ วิธีการอาจแตกต่างกันเล็กน้อยตามเวอร์ชันของ OS
(2) (ไอโฟน) ① การตั้งค่าไอโฟน → ② การคุ้มครองข้อมูลส่วนบุคคล → ③ โฆษณา → ④ จำกัดการติดตามโฆษณา
⑥ เจ้าของข้อมูลสามารถสอบถามข้อสงสัยเกี่ยวกับข้อมูลพฤติกรรม การใช้สิทธิปฏิเสธ การรับแจ้งความเสียหาย เป็นต้น ได้ทางช่องทางติดต่อด้านล่าง
•
ผู้รับผิดชอบการคุ้มครองข้อมูลส่วนบุคคล
ผู้รับผิดชอบ : นพ.อี ซองอุค ผู้อำนวยการคลินิกศัลยกรรมตกแต่งมาอิน
•
ผู้รับผิดชอบการคุ้มครองข้อมูลส่วนบุคคลและการจัดการเรื่องร้องเรียน
อีจองฮี กรรมการ ฝ่ายสนับสนุนการบริหาร, 02-516-1175, minemedicalgroup@gmail.com
ข้อ 13 หลักเกณฑ์ในการพิจารณาการใช้และการให้เพิ่มเติม
① โรงพยาบาลสามารถใช้และให้ข้อมูลส่วนบุคคลเพิ่มเติมโดยไม่ต้องได้รับความยินยอมจากเจ้าของข้อมูลได้ ตามมาตรา 15 วรรค 3 และมาตรา 17 วรรค 4 แห่ง「พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล」 โดยพิจารณาเรื่องต่าง ๆ ตามมาตรา 14/2 แห่งกฎกระทรวงของ「พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล」
| รายการ | วัตถุประสงค์ในการใช้และการให้ | ระยะเวลาเก็บรักษาและการใช้ |
|---|---|---|
| ชื่อ ข้อมูลติดต่อ ที่อยู่ | การติดต่อเพื่อแจ้งข้อเท็จจริงที่รับยาที่จัดผิด | ทำลายทันทีเมื่อบรรลุวัตถุประสงค์ |