ปรับโรงพยาบาลปล่อยเอกสารเวชระเบียนคนป่วย ผิด PDPC

 หลังจากที่โลกโซเชียลมีการแชร์ข่าว "วิจารณ์สนั่น ถุงขนมโตเกียว จากเอกสาร รพ. ระบุชัด ติดเชื้อไวรัสตับอักเสบบี" ซึ่งเป็นการใช้กระดาษ ที่เป็นเอกสารข้อมูลผู้ป่วยของโรงพยาบาลแห่งหนึ่ง ที่ระบุชัดติดเชื้อไวรัสตับอักเสบบี มาพับเป็นถุงบรรจุขนม โดยคนในโซเชียลมีการตั้งคำถามว่า เอกสารการรักษาของผู้ป่วยที่ต้องถือเป็นความลับ หลุดออกมาได้อย่างไร นั้น โดยเหตุการณ์นี้เกิดขึ้นเมื่อช่วงเดือนพฤษภาคม 2567 

ความคืบหน้าล่าสุด เมื่อวันที่ 2 ส.ค. 68 ผู้สื่อข่าวรายงานว่า นายประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) กล่าวว่า ประเทศไทยได้บังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาระยะหนึ่งแล้ว ซึ่งถือเป็นกฎหมายที่สำคัญอย่างยิ่งในการคุ้มครองสิทธิของประชาชนในยุคดิจิทัล รัฐบาลจึงให้ความสำคัญกับการผลักดันกลไกการบังคับใช้กฎหมายให้เกิดผลเป็นรูปธรรม โดยเฉพาะในกรณีที่หน่วยงานทั้งภาครัฐและเอกชนที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสำคัญของประชาชนจำนวนมาก แต่ไม่จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสมเพียงพอ อันเป็นเหตุให้มิจฉาชีพอาจฉวยโอกาสเอาไปหลอกลวงประชาชน 

ซึ่งในรอบปี พ.ศ.2567 ได้เคยมีคำสั่งลงโทษปรับทางปกครองไปหน่วยงานหนึ่งแล้ว และต่อมาในรอบปี 2568 นี้ ได้มีคำสั่งลงโทษปรับทางปกครองกับหน่วยงานที่ฝ่าฝืนหรือไม่ปฏิบัติตาม PDPA อีก ซึ่งครั้งนี้มีหน่วยงานที่ถูกลงโทษปรับทางปกครองทั้งหน่วยงานภาครัฐและเอกชน ถือเป็นหมุดหมายสำคัญที่หน่วยงานรัฐและเอกชนต้องตระหนักว่า การคุ้มครองข้อมูลส่วนบุคคลไม่ใช่เพียงเรื่องของการบริหารจัดการภายใน แต่เป็นเรื่องของความรับผิดชอบต่อสิทธิขั้นพื้นฐานของประชาชน ซึ่งกฎหมายฉบับนี้ไม่ได้เป็นแค่แนวทางปฏิบัติ แต่เป็นข้อบังคับทางกฎหมายที่ต้องปฏิบัติตามอย่างเคร่งครัดเพื่อความรับผิดชอบในการปกป้องและคุ้มครองข้อมูลส่วนบุคคลของประชาชน ไม่มีเว้นทั้งหน่วยงานภาครัฐและภาคเอกชน 

รัฐมนตรีว่าการกระทรวงดิจิทัลฯ ยังย้ำว่า เป้าหมายของรัฐบาลในเรื่องนี้ชัดเจน คือ "ข้อมูลรั่วไหลต้องเป็นศูนย์" ซึ่งไม่สามารถเกิดขึ้นได้เพียงแค่การลงโทษภายหลัง แต่ต้องมาจากการปรับระบบคิด การจัดการความเสี่ยง และการสร้างวัฒนธรรมองค์กรที่ใส่ใจข้อมูลส่วนบุคคลอย่างจริงจัง 

ด้าน พ.ต.อ. สุรพงศ์ เปล่งชำ เลขาธิการคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เปิดเผยว่า การลงโทษในครั้งนี้เป็นผลจากกระบวนการตรวจสอบรวบรวมข้อเท็จจริงและพิจารณาของคณะกรรมการผู้เชี่ยวชาญอย่างเป็นทางการ โดยมี 5 กรณีสำคัญที่เป็นอุทาหรณ์ให้ทั้งภาครัฐและเอกชนต้องเร่งปรับตัว 

หนึ่งกรณีที่ได้รับความสนใจอย่างกว้างขวาง คือเหตุการณ์ที่เกิดขึ้นกับโรงพยาบาลเอกชนขนาดใหญ่รายหนึ่ง ซึ่งปรากฏภาพถุงขนมโตเกียวที่ทำจากเอกสารเวชระเบียนของผู้ป่วย ถูกเผยแพร่ผ่านโซเชียลมีเดีย และจากการตรวจสอบพบว่ามีเอกสารเวชระเบียนของผู้ป่วยหลุดไปกว่า 1,000 ฉบับ ในขั้นตอนการส่งทำลายเอกสาร ซึ่งโรงพยาบาลดังกล่าวได้ทำข้อตกลงกับกิจการขนาดเล็กซึ่งมีลักษณะเป็นธุรกิจครอบครัวให้ทำหน้าที่ทำลายเอกสารเวชระเบียน แต่ไม่ได้มีการติดตาม ควบคุม หรือตรวจสอบกระบวนการให้เป็นไปตามมาตรฐานที่กำหนด ส่งผลให้เอกสารสำคัญซึ่งเป็นข้อมูลมูลสุขภาพอันเป็นข้อมูลส่วนบุคคลประเภทอ่อนไหวตามมาตรา 26 รั่วไหลสู่ภายนอก โดยไม่ได้มีการลบ หรือทำลายข้อมูลส่วนบุคคลให้ถูกต้องตามระยะเวลาที่กฎหมายกำหนด ในส่วนของเอกชนบุคคลธรรมดาผู้รับจ้างทำลายเอกสาร ก็ได้นำเวชระเบียนที่ได้รับจากโรงพยาบาลกลับไปพักไว้ที่บ้านของตนเอง โดยไม่ได้ดำเนินการตามขั้นตอนที่ตกลงไว้ และไม่ได้แจ้งเหตุการรั่วไหลให้โรงพยาบาลทราบ จึงเข้าข่ายเป็นการไม่ปฏิบัติตามหน้าที่ของผู้ประมวลผลข้อมูลอย่างชัดเจน 

คณะกรรมการผู้เชี่ยวชาญ คณะที่ 4 จึงมีมติลงโทษปรับโรงพยาบาลดังกล่าวเป็นเงิน 1,210,000 บาท และปรับบุคคลธรรมดาผู้เป็นผู้ประมวลผลข้อมูลอีก 16,940 บาท รวมเป็นมูลค่า 1,226,940 บาท 

PDPC ปรับโรงพยาบาลเอกชนแห่งหนึ่ง 1.2 ล้านบาท หลังปล่อยเอกสารเวชระเบียนที่เป็นข้อมูลผู้ป่วยหลุด กลายเป็นถุงกระดาษรียูสที่ใช้ใส่ขนมโตเกียว 

ที่มา ; ไทยรัฐออนไลน์ 

เกี่ยวข้องกัน

จำได้มั้ยครับที่แฟนเพจทยอยส่งภาพมาให้ ตอนนี้ถูกปรับจริงจังแล้วนะครับ! รพ.ต่างๆต้องระวัง อย่าเอาเอกสารข้อมูลผู้ป่วยไปรียูส

เพจ ‘PDPA Thailand’ รายงานว่า มีการปรับแล้ว 1.2 ล้านบาท - ถุงขนมโตเกียวรียูส (Reuse) จากเวชระเบียนผู้ป่วย 

วันที่ 1 สิงหาคม 2568: สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. แถลงบทลงโทษ "โรงพยาบาลเอกชนขนาดใหญ่" ทำข้อมูลเวชระเบียนผู้ป่วยรั่วไหล แล้วเอกสารดังกล่าวถูกนำไปเป็นซองขนมโตเกียว เกิดเป็นข่าวและกระแสในสื่อสังคมออนไลน์ 

จากการตรวจสอบพบว่า โรงพยาบาลดังกล่าว ในฐานะของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ทำสัญญากับกิจการขนาดเล็กซึ่งมีลักษณะเป็นธุรกิจครอบครัว ให้ทำหน้าที่ทำลายเอกสารเวชระเบียนดังกล่าว แต่ไม่ได้มีการติดตาม ควบคุม หรือตรวจสอบกระบวนการให้เป็นไปตามมาตรฐานที่กำหนด ทำให้เอกสารเวชระเบียนกว่า 1,000 ฉบับรั่วไหล 

ในส่วนของเอกชน (บุคคลธรรมดา) ผู้รับจ้างทำลายเอกสาร ก็ได้นำเวชระเบียนที่ได้รับจากโรงพยาบาลกลับไปพักไว้ที่บ้านของตนเอง โดยไม่ได้ดำเนินการตามขั้นตอนที่ตกลงไว้ และไม่ได้แจ้งเหตุการรั่วไหลให้โรงพยาบาลทราบ จึงเข้าข่ายเป็นการไม่ปฏิบัติตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) อันนำไปสู่บทลงโทษครั้งนี้ 

เหตุการณ์นี้แบ่งการลงโทษออกเป็น 2 กรณี

บทลงโทษที่ 1 - โรงพยาบาล ในฐานะของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ถูกลงโทษปรับ 1,210,000 บาท 

บทลงโทษที่ 2 - บุคคลธรรมดา ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ถูกลงโทษปรับ 16,940 บาท

รวมมูลค่าการลงโทษปรับทางปกครองกว่า 1,226,940 บาท 

จากเหตุการณ์ครั้งนี้ แสดงให้เห็นแล้วว่า PDPA เอาจริงกับทุกภาคส่วนแล้ว ไม่ว่าจะเป็นหน่วยงานภาครัฐ หรือเอกชน หากยังละเลยการปฏิบัติตามกฎหมาย บทลงโทษครั้งถัดไปอาจเป็นคุณ 

ที่มา ; FB หมอแล็บแพนด้า