บทนำ
โรงพยาบาลส่งเสริมสุขภาพตำบลบ้านนาตีน (ต่อไปนี้เรียกว่า "รพ.สต." หรือ "เรา") ให้ความสำคัญสูงสุดกับการคุ้มครองข้อมูลส่วนบุคคลของผู้รับบริการ ประชาชน และผู้ใช้งานเว็บไซต์ www.fin-care.net รวมถึงช่องทาง LINE Official Account (@fincare)
เอกสารฉบับนี้จัดทำขึ้นตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และประกาศที่เกี่ยวข้อง เพื่อแจ้งให้ท่านทราบถึงวิธีการที่เราเก็บรวบรวม ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของท่าน ตลอดจนสิทธิ์ที่ท่านมีในฐานะเจ้าของข้อมูล
คำนิยาม
- ข้อมูลส่วนบุคคล — ข้อมูลใด ๆ ที่สามารถระบุตัวตนของบุคคลได้ ทั้งทางตรง (เช่น ชื่อ-นามสกุล, เลขบัตรประชาชน) และทางอ้อม (เช่น เบอร์โทร, LINE user ID, IP address)
- ข้อมูลที่ละเอียดอ่อน — ข้อมูลที่ต้องได้รับความยินยอมโดยชัดแจ้ง ได้แก่ เชื้อชาติ ศาสนา ความเชื่อ ข้อมูลชีวภาพ ข้อมูลสุขภาพ ประวัติการรักษา ความพิการ และข้อมูลพันธุกรรม (ตาม PDPA มาตรา 26)
- การประมวลผล — การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
- ผู้ควบคุมข้อมูล (Data Controller) — หน่วยงานที่ตัดสินใจว่าจะเก็บข้อมูลอะไร เพื่อจุดประสงค์ใด ในเอกสารนี้คือ รพ.สต.บ้านนาตีน
- เจ้าของข้อมูล (Data Subject) — บุคคลผู้เป็นเจ้าของข้อมูลส่วนบุคคลนั้น ๆ (ท่าน)
- ผู้ประมวลผลข้อมูล (Data Processor) — หน่วยงานภายนอกที่เราว่าจ้างให้ประมวลผลข้อมูลในนามของเรา เช่น ผู้ให้บริการโฮสต์เว็บไซต์ บริการส่งข้อความ LINE
ข้อมูลส่วนบุคคลที่เราเก็บรวบรวม
เราเก็บข้อมูล เฉพาะเท่าที่จำเป็น ต่อการให้บริการสาธารณสุขและการดำเนินงานของ รพ.สต. โดยแบ่งเป็น 4 ประเภทดังนี้:
3.1 ข้อมูลระบุตัวตน
| ประเภทข้อมูล | รายละเอียด |
|---|---|
| ชื่อ-นามสกุล | เพื่อระบุตัวตนในระบบทะเบียนผู้ป่วย |
| เลขบัตรประชาชน | ตามข้อกำหนดของระบบสาธารณสุข (OP-PP, HDC) |
| วัน เดือน ปีเกิด / เพศ | สำหรับการประเมินสุขภาพและบริการที่เหมาะสม |
| ที่อยู่ | สำหรับบริการส่งยาถึงบ้าน (Delivery) และการเยี่ยมบ้าน |
| เบอร์โทรศัพท์ / อีเมล | เพื่อการติดต่อและแจ้งเตือนนัดหมาย |
3.2 ข้อมูลสุขภาพ (ข้อมูลที่ละเอียดอ่อน)
| ประเภทข้อมูล | รายละเอียด |
|---|---|
| ประวัติการรักษา | อาการ การวินิจฉัย การรักษา ผลการตรวจ |
| ประวัติการใช้ยา / แพ้ยา | เพื่อความปลอดภัยในการจ่ายยา |
| วัคซีน / การฉีดยา | บันทึกการให้วัคซีนตามเกณฑ์ของกระทรวงสาธารณสุข |
| โรคประจำตัว / โรคเรื้อรัง | เพื่อการติดตามและดูแลต่อเนื่อง |
| ข้อมูลการตั้งครรภ์ | สำหรับการฝากครรภ์และดูแลแม่/เด็ก |
3.3 ข้อมูลการใช้บริการ
- การจองคิว (วันเวลา, บริการที่เลือก, หมายเหตุที่ท่านระบุ)
- ประวัติการมารับบริการ (ทั้งแบบนัดและ walk-in)
- ข้อมูลการชำระเงิน (หากมี) — เก็บเฉพาะสถานะและรหัสอ้างอิง ไม่เก็บเลขบัตรเครดิต
- การให้ feedback / แบบประเมินหลังรับบริการ
3.4 ข้อมูลทางเทคนิค
- LINE User ID (ขึ้นต้นด้วย U…) — เฉพาะเมื่อท่าน Add เพื่อนกับ LINE OA ของเรา
- IP Address และ User Agent — บันทึกใน server log เพื่อตรวจสอบความปลอดภัย
- Cookies — ดูรายละเอียดในหัวข้อ 9. คุกกี้
- ข้อความที่ท่านพิมพ์คุยกับ LINE Bot ของเรา (เพื่อตอบคำถามอัตโนมัติ)
วัตถุประสงค์ในการใช้ข้อมูล
เราใช้ข้อมูลของท่านเพื่อวัตถุประสงค์ดังต่อไปนี้เท่านั้น:
4.1 การให้บริการสาธารณสุข (หลัก)
- ลงทะเบียน จัดคิว และให้บริการตรวจรักษา
- บันทึกประวัติการรักษา จ่ายยา ฉีดวัคซีน
- ส่งต่อผู้ป่วยไปสถานพยาบาลอื่นเมื่อเกินศักยภาพ
- ติดตามสุขภาพผู้ป่วยเรื้อรัง / หญิงตั้งครรภ์ / เด็ก
- บริการเยี่ยมบ้าน / ส่งยาถึงบ้าน (Delivery)
- ปรึกษาแพทย์ออนไลน์ (TeleCare)
4.2 การสื่อสารและแจ้งเตือน
- ยืนยันการจองคิว และแจ้งสถานะ (อนุมัติ/ยกเลิก/เลื่อน)
- แจ้งเตือนล่วงหน้าก่อนถึงนัด (24 ชั่วโมง / 1 ชั่วโมง)
- แจ้งสอบถามหลังรับบริการ (follow-up)
- ส่งข่าวสารสุขภาพ, วัคซีน, การแจ้งโรคระบาดในพื้นที่
4.3 การบริหารงานภายใน
- รายงานสถิติผู้มารับบริการต่อกระทรวงสาธารณสุข (HDC)
- ปรับปรุงคุณภาพบริการ (ไม่ระบุตัวตน)
- ตรวจสอบคุณภาพและการควบคุมโรค
- การบัญชี/การเงิน/การตรวจสอบภายใน
4.4 การปฏิบัติตามกฎหมาย
- การรายงานโรคติดต่อตาม พ.ร.บ.โรคติดต่อ พ.ศ. 2558
- การส่งข้อมูลเข้าระบบคลังข้อมูลสุขภาพ (HDC) ของกระทรวงสาธารณสุข
- การตอบสนองต่อคำร้องขอจากหน่วยงานรัฐที่มีอำนาจตามกฎหมาย
- การดำเนินคดี ป้องกันการฉ้อโกง หรือการปกป้องสิทธิทางกฎหมาย
ฐานทางกฎหมายในการประมวลผลข้อมูล
เราเก็บและใช้ข้อมูลของท่านโดยอาศัยฐานทางกฎหมายอย่างน้อยหนึ่งในต่อไปนี้ตาม PDPA มาตรา 24 และ 26:
| ฐานทางกฎหมาย | ใช้สำหรับ |
|---|---|
| ประโยชน์สำคัญต่อชีวิต (Vital Interest) |
การช่วยเหลือฉุกเฉิน, การให้การรักษาที่จำเป็นต่อชีวิตของผู้ป่วย |
| ภารกิจเพื่อประโยชน์สาธารณะ (Public Task) |
การให้บริการสาธารณสุขปฐมภูมิตามภารกิจของรัฐ, การรายงานโรคระบาด, การควบคุมโรค |
| การปฏิบัติตามสัญญา (Contract) |
การให้บริการตามที่ท่านจองคิวหรือตกลงรับบริการ |
| การปฏิบัติตามกฎหมาย (Legal Obligation) |
การรายงานต่อ HDC, การเก็บประวัติการรักษาตามประกาศกระทรวง |
| ความยินยอมโดยชัดแจ้ง (Explicit Consent) |
การส่งข่าวสารและโปรโมชั่นผ่าน LINE, การใช้ข้อมูลเพื่อการวิจัย (ไม่บังคับ) |
| ประโยชน์อันชอบธรรม (Legitimate Interest) |
การปรับปรุงคุณภาพบริการ, การป้องกันการฉ้อโกง, การรักษาความปลอดภัยของระบบ |
ระยะเวลาการเก็บรักษาข้อมูล
| ประเภทข้อมูล | ระยะเวลา |
|---|---|
| ประวัติการรักษา (Medical Record) | อย่างน้อย 5 ปี หลังการรับบริการครั้งสุดท้าย (ตามประกาศกระทรวงสาธารณสุข) |
| ประวัติการฉีดวัคซีน | ตลอดชีวิต (ตามหลักการติดตามภูมิคุ้มกัน) |
| ข้อมูลการจองคิว (ไม่ใช่ประวัติรักษา) | 2 ปี |
| LINE User ID และการเชื่อมบัญชี | จนกว่าท่านจะยกเลิก (Unfriend/Block) |
| บันทึกการส่งข้อความ (LINE logs) | 90 วัน (ลบอัตโนมัติ) |
| Server access logs | 6 เดือน |
| ข้อมูลการเงิน/บัญชี | 7 ปี (ตามกฎหมายภาษีอากร) |
หลังพ้นระยะเวลาดังกล่าว ข้อมูลจะถูก:
- ลบอย่างปลอดภัย (Secure deletion) สำหรับข้อมูลในระบบดิจิทัล
- ทำลายเอกสาร ตามมาตรฐาน (shredding) สำหรับเอกสารกระดาษ
- ทำให้ไม่สามารถระบุตัวตน (Anonymization) หากต้องเก็บไว้เพื่อการวิจัยหรือสถิติ
มาตรการรักษาความปลอดภัยข้อมูล
เราใช้มาตรการ องค์กร (Organizational) และ ทางเทคนิค (Technical) ตามมาตรฐาน PDPA และ ISO 27001 เพื่อป้องกันข้อมูลของท่าน:
🛡️ มาตรการทางเทคนิค
- การเข้ารหัส (Encryption) — เว็บไซต์ใช้ HTTPS (TLS 1.2+), รหัสผ่านถูก hash ด้วย bcrypt
- Firewall และระบบป้องกันการบุกรุก (WAF)
- การทำ Backup ข้อมูลเป็นประจำ เก็บในที่ปลอดภัย
- จำกัดการเข้าถึงข้อมูลตามบทบาทผู้ใช้ (Role-Based Access Control)
- Two-Factor Authentication (2FA) สำหรับบัญชีเจ้าหน้าที่
- การปรับปรุงระบบและ patch security อย่างสม่ำเสมอ
- การตรวจสอบ log การเข้าถึงข้อมูลทุกวัน
👥 มาตรการองค์กร
- เจ้าหน้าที่ทุกคนลงนาม สัญญารักษาความลับ (Non-Disclosure Agreement)
- จัดอบรมด้าน PDPA และความปลอดภัยข้อมูลอย่างน้อยปีละ 1 ครั้ง
- มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เป็นจุดประสานงาน
- ตรวจสอบและทบทวนนโยบายเป็นประจำทุกปี
- มีกระบวนการตอบสนองเหตุการณ์ข้อมูลรั่วไหล (Data Breach Response)
สิทธิของเจ้าของข้อมูลส่วนบุคคล
ท่านมีสิทธิ 7 ประการ ตาม PDPA ดังนี้:
1 สิทธิในการได้รับแจ้ง
ทราบว่าเราเก็บข้อมูลอะไร ใช้ทำอะไร เก็บไว้นานแค่ไหน — ผ่านเอกสารฉบับนี้
2 สิทธิในการเข้าถึง
ขอสำเนาข้อมูลของท่านที่เราเก็บไว้ ภายใน 30 วันหลังจากยื่นคำขอ
3 สิทธิในการโอนย้ายข้อมูล
ขอให้ส่งข้อมูลของท่านในรูปแบบที่อ่านได้ด้วยเครื่อง เพื่อนำไปใช้ที่อื่น
4 สิทธิในการคัดค้าน
คัดค้านการประมวลผลข้อมูลในบางกรณี เช่น การส่งข่าวสารการตลาด
5 สิทธิในการลบ
ขอให้ลบข้อมูลของท่าน (ภายใต้เงื่อนไข — ประวัติรักษาบางส่วนต้องเก็บตามกฎหมาย)
6 สิทธิในการระงับ
ขอให้หยุดใช้ข้อมูลของท่านชั่วคราว ระหว่างการตรวจสอบ
7 สิทธิในการแก้ไข
ขอให้แก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่เป็นปัจจุบันของท่าน
+ ถอนความยินยอม
ถอนความยินยอมได้ทุกเมื่อ (เฉพาะส่วนที่ใช้ฐาน Consent)
วิธีการใช้สิทธิ: ยื่นคำขอเป็นลายลักษณ์อักษรถึง DPO หรือผ่านช่องทางติดต่อที่ระบุในข้อ 14. ติดต่อและร้องเรียน พร้อมแนบสำเนาบัตรประชาชนเพื่อยืนยันตัวตน
การส่งข้อมูลไปยังต่างประเทศ
ข้อมูลของท่านส่วนใหญ่จัดเก็บและประมวลผล ภายในประเทศไทย อย่างไรก็ตาม เมื่อท่านใช้บริการบางอย่าง ข้อมูลอาจถูกส่งไปต่างประเทศ:
- LINE Corporation (ญี่ปุ่น) — เฉพาะ LINE user ID และเนื้อหาข้อความที่ส่งผ่าน Messaging API LINE ปฏิบัติตาม GDPR และมีมาตรฐานการคุ้มครองข้อมูลระดับสากล
- Google Fonts (สหรัฐอเมริกา) — การโหลดฟอนต์เว็บไซต์อาจทำให้ IP ของท่านถูกส่งไปยัง Google เราพยายามลดการใช้ภายนอกให้น้อยที่สุด
ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูล เทียบเท่าหรือสูงกว่า PDPA และมีสัญญามาตรฐาน (Standard Contractual Clauses) ในการส่งข้อมูล
ข้อมูลผู้เยาว์
ในฐานะสถานพยาบาลปฐมภูมิ เราให้บริการแก่ผู้เยาว์ (บุคคลอายุต่ำกว่า 20 ปี) เช่น:
- การฉีดวัคซีนเด็ก / นักเรียน
- การตรวจสุขภาพเด็กและหญิงตั้งครรภ์
- การจองคิวโดยผู้ปกครอง
สำหรับผู้เยาว์:
- การให้ความยินยอมต้องมาจาก ผู้ปกครองหรือผู้ใช้อำนาจปกครอง (ตาม PDPA มาตรา 20)
- ผู้เยาว์อายุ 10 ปีขึ้นไป สามารถให้ความยินยอมเองได้หากข้อมูลนั้นไม่มีนัยสำคัญต่อสิทธิ
- เราเพิ่มความระมัดระวังเป็นพิเศษในการเก็บและใช้ข้อมูลของเด็ก
- ไม่มีการทำการตลาดโดยตรงต่อเด็ก
การเปลี่ยนแปลงนโยบาย
เราอาจปรับปรุงนโยบายฉบับนี้เป็นครั้งคราว เพื่อให้สอดคล้องกับ:
- การเปลี่ยนแปลงของกฎหมายและประกาศที่เกี่ยวข้อง
- การเปลี่ยนแปลงวิธีการให้บริการของเรา
- ข้อเสนอแนะจากผู้ใช้บริการและ PDPC
หากมีการเปลี่ยนแปลง สำคัญ เราจะ:
- แจ้งให้ท่านทราบผ่านเว็บไซต์อย่างชัดเจน (banner ด้านบน)
- ส่งการแจ้งเตือนผ่าน LINE OA (หากท่านเชื่อมบัญชีไว้)
- ขอความยินยอมใหม่หากจำเป็น (เช่น วัตถุประสงค์ใหม่)
การเปลี่ยนแปลงเล็กน้อย (เช่น การแก้ไขคำผิด) อาจไม่มีการแจ้งแยก แต่จะแสดงวันที่ปรับปรุงล่าสุดที่ด้านบนของเอกสารเสมอ
ช่องทางการติดต่อและร้องเรียน
14.1 ติดต่อผู้ควบคุมข้อมูล (Data Controller)
🏥 รพ.สต.บ้านนาตีน
สำหรับสอบถาม ขอใช้สิทธิ หรือแจ้งปัญหาเกี่ยวกับข้อมูลส่วนบุคคล
จ.กระบี่
(จ.-ศ. 08:30-16:30)
LINE: @fincare
14.2 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
ชื่อ: ผู้อำนวยการ รพ.สต.บ้านนาตีน (หรือผู้ที่ได้รับมอบหมาย)
อีเมลเฉพาะ DPO: dpo@fin-care.net
หน้าที่: ตอบคำถามเกี่ยวกับ PDPA, รับเรื่องร้องเรียน, ประสานงานกับ PDPC
14.3 การร้องเรียนต่อหน่วยงานรัฐ
หากท่านไม่ได้รับความพึงพอใจจากการดำเนินการของเรา สามารถร้องเรียนต่อ:
📋 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)
เว็บไซต์: www.pdpc.or.th
อีเมล: saraban@pdpc.or.th
โทรศัพท์: 02-142-1033
ที่อยู่: 120 หมู่ 3 ชั้น 7 อาคารรัฐประศาสนภักดี ศูนย์ราชการเฉลิมพระเกียรติฯ
ถนนแจ้งวัฒนะ แขวงทุ่งสองห้อง เขตหลักสี่ กรุงเทพมหานคร 10210