เราใช้คุกกี้เพื่อทำให้ประสบการณ์ของคุณกับเว็บไซต์ของเราดียิ่งขึ้น โดยการใช้และไปยังส่วนต่างๆ ของเว็บไซต์นี้ แสดงว่าคุณยอมรับข้อมูลนี้ ข้อมูลโดยละเอียดเกี่ยวกับการใช้คุกกี้บนเว็บไซต์นี้มีให้โดยคลิกที่ นโยบายคุกกี้.
นโยบายความเป็นส่วนตัว
ประกาศนโยบายความเป็นส่วนตัวคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice)
บริษัทโรงพยาบาลเอกชล จำกัด(มหาชน)
โรงพยาบาลเอกชล ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลและข้อมูลอื่นเกี่ยวกับท่าน (รวมเรียกว่า “ข้อมูล”) เพื่อให้ท่านสามารถเชื่อมั่นได้ว่า โรงพยาบาลเอกชล มีความโปร่งใสและความรับผิดชอบในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลของท่านตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) รวมถึงกฎหมายอื่นที่เกี่ยวข้อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (“นโยบาย”) นี้จึงได้ถูกจัดทำขึ้นเพื่อชี้แจงแก่ท่านถึงรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผย (รวมเรียกว่า “ประมวลผล”) ข้อมูลส่วนบุคคลซึ่งดำเนินการโดย โรงพยาบาลเอกชล รวมถึงเจ้าหน้าที่และบุคคลที่เกี่ยวข้องผู้ดำเนินการแทนหรือในนามของโรงพยาบาล โดยมีเนื้อหาสาระดังต่อไปนี้
1) คำนิยาม
“โรงพยาบาลฯ” หมายถึง โรงพยาบาลเอกชล และ โรงพยาบาลเอกชล 2
“ผู้ใช้บริการ” ได้แก่
- “ผู้ป่วยและญาติ” หมายถึง ผู้เข้ารับบริการตรวจสุขภาพ หรือรับการตรวจวินิจฉัยโรค หรือรับการรักษา หรือการพยาบาล กับทางโรงพยาบาล ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล และให้หมายความรวมถึงผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ผู้อนุบาล ที่มีอำนาจกระทำการแทนคนไร้ความสามารถ หรือผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ
- “ผู้ใช้งานเว็บไซต์” หมายถึง ผู้ที่เข้าใช้งานเว็บไซต์ของโรงพยาบาลเอกชล (aikchol.com)
- “ผู้มีส่วนเกี่ยวข้องอื่น ๆ” หมายถึง ผู้ที่มีส่วนเกี่ยวข้องกับการดำเนินการของโรงพยาบาลที่นอกเหนือจากผู้ป่วยและญาติ และผู้ใช้งานเว็บไซต์
“การประมวลผลข้อมูล” หมายถึง การกระทำอย่างหนึ่งอย่างใดต่อข้อมูล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ก็ตาม เช่น การเก็บรวมรวม การบันทึก การจัดระบบ การจัดเรียง การจัดเก็บ การแปลงหรือการเปลี่ยนแปลงแก้ไข การค้นคืน การค้นหา การใช้ การเปิดเผยโดยการส่ง การแพร่กระจาย หรือการทำให้ล่วงรู้ได้โดยวิธีอื่น การวางเคียงกันหรือการรวมกัน การจำกัด การลบหรือการทำลาย
“ข้อมูลสุขภาพ” หมายถึง ข้อมูล ไม่ว่าจะถ่ายทอดด้วยวาจาหรือเก็บบันทึกอยู่ในรูปแบบใดหรือสื่อใด ที่เกิดขึ้นหรือได้รับจากการให้บริการหรือการจัดการด้านสุขภาพ รวมไปถึงข้อมูลที่เกิดขึ้นหรือได้รับจากการชำระค่าบริการ ที่อาจเปิดเผยหรือบ่งบอกเกี่ยวกับสุขภาพหรือสภาพทางร่างกายหรือจิตใจในอดีต ปัจจุบันหรืออนาคต ของบุคคลหนึ่งได้ไม่ว่าโดยทางตรงหรือทางอ้อม
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่า ทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ข้อมูลส่วนบุคคลอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้แก่ ข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลลายนิ้วมือ ข้อมูลภาพจำลองใบหน้า ข้อมูลภาพจำลองม่านตา) หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด
“การประมวลผลข้อมูลส่วนบุคคล” หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น เก็บรวบรวม บันทึก สำเนา จัดระเบียบ เก็บรักษา ปรับปรุง เปลี่ยนแปลง ใช้ กู้คืน เปิดเผย ส่งต่อ เผยแพร่ โอน รวม ลบ ทำลาย เป็นต้น
“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่โรงพยาบาลเก็บรวบรวม ใช้ หรือเปิดเผย
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
2) แหล่งที่มาของข้อมูลส่วนบุคคล
โรงพยาบาลฯ เก็บรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่างๆ จากแหล่งข้อมูลดังต่อไปนี้
2.1) ข้อมูลส่วนบุคคลที่โรงพยาบาลฯ เก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงในช่องทางให้บริการต่างๆ เช่น ขั้นตอนการสมัคร ลงทะเบียน การลงทะเบียนเข้ารับบริการตรวจและรักษาโรคไม่ว่าจะด้วยตนเอง หรือผ่านช่องทางออนไลน์ สมัครงาน ลงนามในสัญญา เอกสาร ทำแบบสำรวจ หรือช่องทางให้บริการอื่นที่ควบคุมดูแลโดยโรงพยาบาลฯ หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับโรงพยาบาลฯ ณ ที่ทำการหรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดยโรงพยาบาลฯ เป็นต้น
2.2) ข้อมูลส่วนบุคคลที่โรงพยาบาลฯ เก็บรวมโดยทางอ้อม ได้แก่ บุคคลที่มีความใกล้ชิดกับท่าน เช่น ญาติ คู่สมรส บุคคลที่ท่านมอบอำนาจให้ดำเนินการแทนตัวท่านในการติดต่อกับโรงพยาบาลฯ สถานพยาบาลอื่น ในกรณีที่ท่านได้ให้ความยินยอมกับสถานพยาบาลนั้นๆว่าให้เปิดเผยข้อมูลส่วนบุคคลของท่านได้ บุคคล นิติบุคคล หรือหน่วยงานไม่ว่าภาครัฐ เอกชน หรือรัฐวิสาหกิจ ที่เป็นผู้ส่งท่านมาตรวจรักษากับโรงพยาบาลฯ หรือเป็นผู้ชำระค่าบริการตรวจรักษาให้กับท่าน
2.3) ข้อมูลที่โรงพยาบาลฯ เก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ หรือบริการอื่นๆ ตามสัญญาหรือตามพันธกิจ เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ หรือบริการของโรงพยาบาลฯ ด้วยการใช้คุกกี้ (Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น
2.4) ข้อมูลส่วนบุคคลที่โรงพยาบาลฯ เก็บรวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล โดยที่แหล่งข้อมูลดังกล่าวมีอำนาจหน้าที่ มีเหตุผลที่ชอบด้วยกฎหมายหรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลแก่ โรงพยาบาลฯ เช่น การเชื่อมโยงบริการดิจิทัลของหน่วยงานของรัฐในการให้บริการเพื่อประโยชน์สาธารณะแบบเบ็ดเสร็จแก่เจ้าของข้อมูลส่วนบุคคลเอง การรับข้อมูลส่วนบุคคลจากหน่วยงานของรัฐแห่งอื่นในฐานะที่ โรงพยาบาลฯ มีหน้าที่ตามพันธกิจในการดำเนินการจัดให้มีศูนย์แลกเปลี่ยนข้อมูลกลางเพื่อสนับสนุนการดำเนินการของหน่วยงานของรัฐในการให้บริการประชาชนผ่านระบบดิจิทัล รวมถึงจากความจำเป็นเพื่อให้บริการตามสัญญาที่อาจมีการแลกเปลี่ยนข้อมูลส่วนบุคคลกับหน่วยงานคู่สัญญาได้
นอกจากนี้ ยังหมายความรวมถึงกรณีที่ท่านเป็นผู้ให้ข้อมูลส่วนบุคคลของบุคคลภายนอกแก่ โรงพยาบาลฯ ดังนี้ ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดตามนโยบายนี้หรือประกาศของบริการ ตามแต่กรณี ให้บุคคลดังกล่าวทราบ ตลอดจนขอความยินยอมจากบุคคลนั้นหากเป็นกรณีที่ต้องได้รับความยินยอมในการเปิดเผยข้อมูลแก่ โรงพยาบาลฯ
ทั้งนี้ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลที่มีความจำเป็นในการให้บริการของโรงพยาบาลฯ อาจเป็นผลให้โรงพยาบาลฯ ไม่สามารถให้บริการได้อย่างถูกต้องแก่เจ้าของข้อมูลส่วนบุคคลดังกล่าวได้ทั้งหมดหรือบางส่วน
3) ข้อมูลส่วนบุคคลที่โรงพยาบาลฯ เก็บรวบรวม
ข้อมูลที่โรงพยาบาลฯเก็บรวบรวม สามารถจำแนกออกเป็นประเภทดังต่อไปนี้
ประเภทข้อมูลส่วนบุคคล
รายระเอียด
1. ข้อมูลระบุตัวตน เช่น ชื่อ นามสกุล เพศ วันเดือนปีเกิด รูปถ่ายใบหน้า เลขที่บัตรประจำตัวประชาชน หนังสือเดินทาง หรือหมายเลขที่ระบุตัวตนอื่นๆ
2. ข้อมูลสำหรับการติดต่อ เช่น ที่อยู่ หมายเลขโทรศัพท์ หมายเลขโทรศัพท์มือถือ อีเมล์
3. ข้อมูลเพื่อประกอบการวินิจฉัยโรค / เพื่อติดตามการรักษา เช่น ข้อมูลการรักษาพยาบาล รายงานที่เกี่ยวกับสุขภาพกายและสุขภาพจิต การดูแลสุขภาพของผู้รับบริการ การวินิจฉัย ชื่อโรคที่ได้รับการวินิจฉัย ข้อมูลที่เกี่ยวข้องกับการใช้ยา รายการยาที่แพทย์ได้สั่ง ผลการทดสอบจากห้องทดลอง ผลการทดสอบจากห้องปฏิบัติการ ผลเลือด ผลตรวจชิ้นเนื้อทางพยาธิวิทยา ภาพถ่ายทางรังสีวิทยาและรายงานผลการตรวจทางรังสีวิทยา ข้อมูลที่จำเป็นต่อการให้บริการทางการแพทย์และการรักษา ข้อมูลผลการรักษา ข้อมูลคำแนะนำในการรักษาและปฏิบัติตัวระหว่างการรักษา ข้อมูลปัจจัยเสี่ยง ข้อมูลการประสบอุบัติเหตุ พฤติกรรมการใช้ชีวิต การบริโภค หรือพฤติกรรมการนอน รวมไปถึงการถ่ายภาพนิ่ง ภาพเคลื่อนไหว หรือการกระทำใดๆ ตามหลักวิชาชีพที่เกี่ยวข้อง เป็นต้น
4. ข้อมูลอ่อนไหว เช่น ศาสนา ข้อมูลสุขภาพ รวมถึง หมู่โลหิต ประวัติการเจ็บป่วย ประวัติการรักษาพยาบาล ประวัติการแพ้ยาหรือแพ้อาหาร ประวัติการพบแพทย์เวชกรรม แพทย์แผนไทย ผู้ประกอบวิชาชีพด้านสุขภาพ ประวัติทันตกรรม ประวัติกายภาพบำบัด ความต้องการพิเศษในการรักษาพยาบาล ข้อมูลชีวภาพ เช่น ข้อมูลพันธุกรรม พฤติกรรมทางเพศ เป็นต้น
5. ข้อมูลการเงิน เช่น สิทธิ์การรักษา ข้อมูลการเรียกเก็บเงิน ข้อมูลบัตรเครดิตหรือเคบิต รายละเอียดบัญชีธนาคาร ข้อมูลเงินเดือน ข้อมูลใบเสร็จ ข้อมูลใบราคา ข้อมูลสังคมสงเคราะห์
6. ข้อมูลสิทธิประโยชน์การรักษาพยาบาล เช่น สิทธิประกันสุขภาพถ้วนหน้า ประกันสังคม สวัสดิการราชการ หรือ สวัสดิการอื่นๆ การประกันสุขภาพและประกันภัย
7. ข้อมูลสถิติ (Statistical data) เช่น ข้อมูลที่ไม่ระบุตัวตน จำนวนผู้ป่วย และจำนวนการเข้าชมเว็บไซต์
8. ข้อมูลการสมัครข่าวสารและการเข้าร่วมกิจกรรมทางการตลาด (Marketing data) เช่น ข้อมูลการลงทะเบียนเพื่อรับข่าวสารและเข้าร่วมกิจกรรมทางการตลาด
9. ข้อมูลจากการเข้าใช้เว็บไซต์ (Technical data) เช่น หมายเลข IP Address ของคอมพิวเตอร์ ชนิดของบราวเซอร์ข้อมูล Cookies การตั้งค่าเรื่องเขตเวลา (time zone) ระบบปฏิบัติการ แพลตฟอร์มและเทคโนโลยีของอุปกรณ์ที่ใช้เข้าเว็บไซต์ และระบบการนัดหมายผู้ป่วย
10. ข้อมูลบัญชีผู้ใช้ เช่น ชื่อผู้ใช้ รหัสผ่าน ที่ใช้เพื่อการเข้าถึงเว็บไซต์ หรือ แอปพลิเคชั่น
11. ข้อมูลอื่นๆ เพื่อประโยชน์ในการให้บริการสุขภาพและเพื่อการดูแลสุขภาพของเจ้าของข้อมูล
4) วัตถุประสงค์ของการประมวลผลข้อมูล (การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล) ส่วนบุคคล
โรงพยาบาลฯ มีวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล ดังนี้
4.1) เพื่อการให้บริการทางการแพทย์แก่ท่านในทุกช่องทาง ซึ่งรวมถึง การระบุตัวตนของคนไข้ การจัดตาราง และแจ้งเตือนการนัดพบแพทย์หรือตารางการรักษาพยาบาล การวิเคราะห์ วินิจฉัยและให้คำปรึกษาเกี่ยวกับการรักษาพยาบาลแก่ท่าน การดูแลให้ความปลอดภัยแก่ท่านขณะรักษาพยาบาลหรือเข้าพักในสถานที่ของโรงพยาบาลฯ การให้บริการที่เกี่ยวข้องกับการรักษาพยาบาลแก่ท่าน ประสานงานกับหน่วยงานภายใน หรือหน่วยงานภายนอก เกี่ยวกับการรักษาพยาบาลของท่าน เป็นต้น
4.2) เพื่อการค้นคว้า วิจัย ทดลอง และพัฒนาผลิตภัณฑ์ทางการแพทย์ การรักษาพยาบาล หรือ การให้บริการ ของโรงพยาบาลฯ เช่น การวิจัยวัคซีนชนิดต่าง ๆ หรือ การวิเคราะห์ และทดลองการตอบสนองต่อการ รักษาด้วยวิธีการต่าง ๆ เป็นต้น
4.3) เพื่อการศึกษาวิจัยหรือการจัดทำสถิติ รายงานที่เป็นไปตามวัตถุประสงค์การดำเนินงานของโรงพยาบาลฯ ตามที่กฎหมายกำหนด
4.4) เพื่อให้โรงพยาบาลฯ สามารถให้ความช่วยเหลือตอบข้อซักถามและข้อร้องเรียนของท่าน
4.5) เพื่อเชิญท่านเข้าร่วมกิจกรรมโครงการต่าง ๆ ของโรงพยาบาลฯ เพื่อช่วยโรงพยาบาลฯ พัฒนาปรับปรุงบริการ และการดำเนินกิจกรรมต่าง ๆ บริการ หรือร่วมกิจกรรมต่าง ๆ ของโรงพยาบาลฯ โดยการเข้าร่วมดังกล่าวขึ้นอยู่กับความสมัครใจและจะไม่กระทบต่อการเข้าถึงบริการของโรงพยาบาลฯ
4.6) เพื่อสนับสนุนกิจกรรมด้านการศึกษา เช่น เพื่อให้การศึกษาต่อนักศึกษาแพทย์ และนักศึกษาพยาบาล เป็นต้น
4.7) เพื่อเป็นการป้องกันการกระทำที่ไม่เหมาะสมหรือผิดกฎหมาย โรงพยาบาลฯอาจมีการตรวจสอบข้อมูลที่เก็บ รวบรวม รวมถึงข้อมูลในกล้อง CCTV เพื่อสอดส่องดูแล ตรวจจับ และป้องกันไม่ให้มีการกระทำที่ไม่ เหมาะสมหรือผิดกฎหมาย
4.8) เพื่อปกป้องและระงับอันตรายที่อาจเกิดกับท่าน อาจมีการใช้ข้อมูลของท่านในกรณีที่โรงพยาบาลฯ เห็นว่าอาจมีความเสี่ยงหรืออันตรายอย่างร้ายแรงหรือมีการละเมิดต่อท่านหรือผู้ใดก็ตาม
4.9) เพื่อปฏิบัติตามกฎหมายที่ใช้บังคับหรือปฏิบัติหน้าที่ตามกฎหมายของโรงพยาบาลฯ
5) ระยะเวลาในการจัดเก็บข้อมูล
โรงพยาบาลฯ จะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้เป็นระยะเวลา ตราบเท่าที่วัตถุประสงค์ของการนำข้อมูลดังกล่าวไปใช้ยังคงมีอยู่ หลังจากนั้นโรงพยาบาลฯ จะลบ ทำลายข้อมูล หรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้ เว้นแต่กรณีจำเป็นต้องเก็บ รักษาข้อมูลต่อไปตามที่กฎหมายที่เกี่ยวข้องกำหนด หรือเพื่อเป็นการคุ้มครองสิทธิประโยชน์ของโรงพยาบาลฯ
โดยปกติในกรณีทั่วไประยะเวลาการเก็บข้อมูลจะไม่เกินกำหนดระยะเวลา 10 (สิบ) ปี เว้นแต่จะมีกฎหมายกำหนดให้เก็บรักษา ข้อมูลไว้เป็นระยะเวลานานกว่าที่กำหนดไว้ดังกล่าวข้างต้น หรือหากมีความจำเป็นเพื่อวัตถุประสงค์อื่น ๆ เช่น เพื่อความปลอดภัย เพื่อการป้องกันการละเมิดหรือการประพฤติมิชอบ หรือเพื่อการเก็บบันทึกทางการเงิน
6) การเปิดเผยหรือแบ่งปันข้อมูลส่วนบุคคล
โรงพยาบาลฯ จะไม่เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลโดยไม่มีฐานการประมวลผลข้อมูลโดยชอบด้วย กฎหมาย โดยข้อมูลของท่านอาจถูกเปิดเผย หรือโอนไปยังองค์กร หน่วยงานของรัฐ หรือบุคคลภายนอก รวมถึงโรงพยาบาลหรือหน่วยงานภายในอื่น ๆ ของโรงพยาบาลฯ เพื่อให้บรรลุวัตถุประสงค์ในการดำเนินการดังนี้
6.1) เพื่อวัตถุประสงค์ในการตรวจรักษาโรคและให้บริการทางการแพทย์
โรงพยาบาลฯ อาจทำการเปิดเผยข้อมูลส่วนบุคคลของ ท่านไปให้หน่วยงานภายนอก เช่น การประสานงานกับโรงพยาบาลอื่น นอกเหนือจากโรงพยาบาลในสังกัดของโรงพยาบาลฯ เพื่อติดต่อปรึกษาแพทย์หรือบุคลากรหรือระบบอื่น ที่มีความเชี่ยวชาญในด้านที่จำเป็นแก่การบำบัดรักษาท่าน ซึ่งจะทำให้ท่านได้รับบริการทางการแพทย์ที่เหมาะสมหรือมีประสิทธิภาพมากขึ้น
6.2) เพื่อการให้บริการทางการแพทย์ในกรณีจำเป็นต้องเชื่อมโยงข้อมูลระหว่างสถานพยาบาล
การส่ง “สิ่งส่งตรวจ” ของท่านไปยังหน่วยงานเฉพาะทาง การร้องขอสิ่งสนับสนุนที่จำเป็นเช่น การขอโลหิตหรือการขอรับบริจาคอวัยวะ เพื่อการรับ-ส่งต่อผู้ป่วยระหว่างโรงพยาบาล (Refer) การเปิดเผยข้อมูลส่วนบุคคลของท่านให้แก่โรงพยาบาล หรือสถาบันการศึกษาอื่น ๆ เพื่อประโยชน์ด้านการศึกษาและการพัฒนาบุคลากรทางการแพทย์และพยาบาล
6.3) เพื่อวัตถุประสงค์ในการเชื่อมโยงฐานข้อมูลสุขภาพรายบุคคล
โรงพยาบาลฯ จะนำข้อมูลส่วนบุคคลของท่านเข้าสู่ระบบคอมพิวเตอร์ เพื่อเชื่อมโยงฐานข้อมูลสุขภาพระหว่างสถานพยาบาลในเครือข่าย ให้สามารถเรียกดูข้อมูลสุขภาพส่วนบุคคลของท่านผ่านอุปกรณ์ต่าง ๆ เพื่อประโยชน์ในการให้บริการสุขภาพและเพื่อการดูแลสุขภาพของเจ้าของข้อมูล
6.4) เพื่อใช้สิทธิประโยชน์ในการรักษาพยาบาลโรงพยาบาลฯ จะเปิดเผยข้อมูลส่วนบุคคลของท่านเพื่อใช้สิทธิประโยชน์ในการรักษาพยาบาลจาก กองทุนประกันสุขภาพถ้วนหน้า ประกันสังคม สวัสดิการราชการ หรือ สวัสดิการอื่นๆ ตามที่ท่านได้ขึ้นทะเบียนไว้ หรือตามที่กฎหมายกำหนด
7) สถาบันการเงิน
โรงพยาบาลฯ อาจทำการเปิดเผยข้อมูลส่วนบุคคลของท่านไปให้สถาบันการเงินธนาคาร บริษัทบัตรเครดิต บริษัทประกันภัยที่เป็นคู่สัญญาของท่าน หรือหน่วยงานทวงถามหนี้ ตามที่จำเป็นในการทำการจ่ายและรับชำระเงินตามที่มีการร้องขอ โดยโรงพยาบาลฯจะเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลที่มีอำนาจในการเข้าถึง ข้อมูลดังกล่าวตามที่กฎหมายกำหนด และสามารถพิสูจน์ได้ว่าตนมีอำนาจในการเข้าถึงดังกล่าวเท่านั้น
8) หน่วยงานราชการที่เกี่ยวข้อง
โรงพยาบาลฯ อาจทำการเปิดเผยข้อมูลส่วนบุคคลของท่านไปยังหน่วยงาน ราชการที่เกี่ยวข้องเพื่อการปฏิบัติตามกฎหมาย เช่น การรายงานกับหน่วยงานกำกับดูแลต่าง ๆ ที่เกี่ยวข้อง หรือการปฏิบัติตามข้อกำหนดทางกฎหมายอื่นใดที่โรงพยาบาลฯ ต้องปฏิบัติตาม
9) ผู้ให้บริการภายนอก
โรงพยาบาลฯ อาจทำเก็บข้อมูลส่วนบุคคลไว้ในระบบประมวลผลแบบคลาวด์ (Cloud Computing) โดยใช้บริการจากบุคคลที่สามไม่ว่าตั้งอยู่ในประเทศไทยหรือต่างประเทศ หรือ ผู้ให้บริการเซิร์ฟเวอร์ สำหรับเว็บไซต์ การวิเคราะห์ข้อมูล การประมวลผลการจ่ายและรับชำระเงิน การทำคำสั่งซื้อ การให้บริการโครงสร้างพื้นฐานเกี่ยวกับเทคโนโลยีสารสนเทศ เป็นต้น
ในกรณีที่โรงพยาบาลมีการรักษาความปลอดภัยของข้อมูลโรงพยาบาลฯ จะใช้มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงมาตรการป้องกัน ด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และ มาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) เพื่อป้องกันการเข้าถึงและเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต และสอดคล้องกับการดำเนินงานของโรงพยาบาลฯและมาตรฐานที่รับรองโดยทั่วไปโรงพยาบาลฯ กำหนดให้เจ้าหน้าที่ของโรงพยาบาลฯ เข้ารับการฝึกอบรมเกี่ยวกับ การคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยของข้อมูลการจัดจ้างผู้ให้บริการภายนอก โรงพยาบาลฯจะมีการสอบทานและปรับปรุงมาตรการต่างๆ เพื่อให้แน่ใจว่าผู้ให้บริการภายนอกที่โรงพยาบาลฯทำการว่าจ้างจะมีการใช้มาตรการในการ เก็บรวบรวม ประมวลผล โอนย้าย จัดการ และรักษาความมั่นคงปลอดภัยของข้อมูลอย่างเพียงพอในการให้บริการภายใต้วัตถุประสงค์ของโรงพยาบาลฯ เป็นไปตามมาตรฐานต่าง ๆ ของประเทศ และกฎระเบียบที่เกี่ยวข้องโรงพยาบาลฯ จัดทำนโยบายและขั้นตอนวิธีการต่าง ๆ เพื่อการจัดการข้อมูลอย่างปลอดภัย และป้องกันการ เข้าถึงโดยไม่ได้รับอนุญาตโดยมีรายละเอียดดังต่อไปนี้
• กำหนดนโยบายและขั้นตอนวิธีการต่าง ๆ เพื่อจัดการข้อมูลอย่างปลอดภัย และอาจกำหนดเพิ่มเติมในสัญญาระหว่างโรงพยาบาลฯ กับคู่สัญญาแต่ละราย
• มีการบริหารจัดการสิทธิของพนักงานและลูกจ้างในการเข้าถึงข้อมูลส่วนบุคคล อย่างเหมาะสม
• ป้องกันการเข้าถึงข้อมูลของท่านโดยไม่ได้รับอนุญาต โดยใช้การเข้ารหัสข้อมูล การตรวจสอบตัวตนและเทคโนโลยีการตรวจจับไวรัส ตามความจำเป็น รวมถึงจัดให้มีช่องทางการสื่อสารแบบปลอดภัยสำหรับ ข้อมูลดังกล่าวด้วยการเข้ารหัสลับข้อมูลดังกล่าว เช่น จัดให้มีการใช้ Secure Socket Layer (SSL) protocol เป็นต้น
• บริหารจัดการให้ ผู้ให้บริการภายนอกที่โรงพยาบาลฯ ทำการว่าจ้าง ต้องปฏิบัติตามหลักเกณฑ์ ตามกฎหมาย และระเบียบต่างๆ ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
• มีติดตามตรวจสอบเว็บไซต์และระบบออนไลน์ของโรงพยาบาลฯ ผ่านหน่วยงานที่มีความเชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย
• จัดให้มีการฝึกอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่บุคลากรของโรงพยาบาลฯ
• ประเมินผลแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล การจัดการข้อมูล และการรักษาความ มั่นคงปลอดภัยของข้อมูลของโรงพยาบาลฯ เป็นประจำ
อย่างไรก็ดีแม้ว่าโรงพยาบาลฯ จะทุ่มเทและใช้ความพยายามในการดูแลข้อมูลให้มีความปลอดภัย ด้วยการใช้เครื่องมือ ทางเทคนิคร่วมกับการบริหารจัดการโดยบุคคล เพื่อควบคุมและรักษาความปลอดภัยของข้อมูล มิให้มีการเข้าถึงข้อมูลส่วนตัวหรือข้อมูลที่เป็นความลับของเจ้าของข้อมูลโดยไม่ได้รับสิทธิของเจ้าของข้อมูลในฐานะเจ้าของข้อมูลส่วนบุคคลท่านมีสิทธิร้องขอให้โรงพยาบาลฯ ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของท่าน ตามขอบเขตที่กฎหมายอนุญาตให้กระทำได้ ดังนี้
- สิทธิในการขอรับข้อมูลส่วนบุคคล : เจ้าของข้อมูลมีสิทธิที่จะขอรับสำเนาข้อมูลส่วนบุคคลของตน และมีสิทธิที่จะ ร้องขอให้ เปิดเผยถึงการได้มาซึ่งข้อมูลของเจ้าของข้อมูล
- สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล: เจ้าของข้อมูลมีสิทธิที่จะคัดค้านการเก็บ รวบรวม ใช้หรือ เปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตนได้ ด้วยเหตุบางประการตามที่กฎหมายกำหนด
- สิทธิในการขอให้ลบหรือทำลายข้อมูลส่วนบุคคล: เจ้าของข้อมูลมีสิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลจสามารถดำเนินการยื่นคำขอแก้ไขข้อมูลดังกล่าวได้ เพื่อทำให้ข้อมูลส่วนบุคคลของ เจ้าของข้อมูลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
- สิทธิในการเพิกถอนความยินยอม: เจ้าของข้อมูลมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ โดยการถอนความยินยอมดังกล่าวจะไม่กระทบต่อการประมวลผลข้อมูลส่วนบุคคลใด ๆ ที่เจ้าของข้อมูลได้ให้ความยินยอมไปแล้วก่อนหน้านี้ ทั้งนี้หากการถอนความยินยอมจะส่งผลกระทบต่อข้อมูลส่วนบุคคลในเรื่องใด โรงพยาบาลฯจะแจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบจากการถอนความยินยอม อนึ่ง โรงพยาบาลฯ อาจปฏิเสธคำขอใช้สิทธิข้างต้น หากการดำเนินการใด ๆ เป็นไปเพื่อวัตถุประสงค์หรือเป็นกรณีที่ ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล หรือเป็นกรณีที่อาจส่งผลกระทบและก่อให้เกิดความเสียหายต่อสิทธิหรือเสรีภาพของเจ้าของข้อมูลหรือบุคคลอื่น หรือเป็นการดำเนินการเพื่อการศึกษาวิจัยทางสถิติที่มีมาตรการปกป้องข้อมูลที่เหมาะสม หรือเพื่อการก่อตั้งสิทธิเรียกร้อง การปฏิบัติตามหรือการใช้สิทธิเรียกร้องหรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมายหากท่านต้องการใช้สิทธิ สามารถติดต่อมายังเจ้าหน้าที่ประสานงานคุ้มครองข้อมูลส่วนบุคคล ประจำหน่วยงาน เพื่อดำเนินการยื่นคำร้องขอดำเนินการตามสิทธิข้างต้น ได้ตามช่องทางใน ข้อ 12
10) การโอนข้อมูลไปต่างประเทศ
โรงพยาบาลฯ จะทำการเปิดเผยข้อมูลส่วนบุคคลต่อผู้รับข้อมูลในต่างประเทศ เฉพาะกรณีที่กฎหมายคุ้มครอง ข้อมูลส่วนบุคคลกำหนดให้ทำได้เท่านั้น ทั้งนี้ โรงพยาบาลฯ อาจปฏิบัติตามหลักเกณฑ์การโอนข้อมูลระหว่างประเทศ โดยเข้าทำข้อสัญญามาตรฐานหรือใช้กลไกอื่นที่พึงมีตามกฎหมายว่าด้วยการคุ้มครองข้อมูลที่ใช้บังคับ และโรงพยาบาลฯ อาจอาศัยสัญญาการโอนข้อมูล หรือกลไกอื่นที่ได้รับการอนุมัติ เพื่อการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ