คู่มือการสร้างความตระหนักรู้และการฝึกอบรมด้านการคุ้มครองข้อมูลส่วนบุคคล (PDPA) สำหรับบุคลากรศูนย์สุขภาพจิตที่ 7 กรมสุขภาพจิต

1) หลักการและเหตุผล

ศูนย์สุขภาพจิตที่ 7 ในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)” ตระหนักถึงการคุ้มครองสิทธิของประชาชนตามกฎหมาย PDPA จึงจัดทำคู่มือนี้เพื่อสร้างความตระหนักรู้และเป็นแนวทางการฝึกอบรมให้บุคลากรทุกระดับปฏิบัติงานได้อย่างถูกต้อง ปลอดภัย และสอดคล้องตามหลักการคุ้มครองข้อมูลส่วนบุคคล อันจะเสริมสร้างความเชื่อมั่นต่อบริการของหน่วยงานและลดความเสี่ยงทางกฎหมาย

2) วัตถุประสงค์

1. เพื่อสร้างความเข้าใจเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลแก่บุคลากรทุกระดับ
2. เพื่อส่งเสริมให้บุคลากรตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล
3. เพื่อให้บุคลากรสามารถปฏิบัติงานให้สอดคล้องกับกฎหมาย PDPA ได้อย่างถูกต้อง
4. เพื่อสร้างวัฒนธรรมองค์การที่เคารพสิทธิความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคล
5. เพื่อลดความเสี่ยงในการละเมิดกฎหมายและป้องกันผลกระทบต่อองค์การและผู้รับบริการ

3) เป้าหมาย

• ผู้บริหารระดับต้น กลาง และสูง
• แพทย์ พยาบาล เจ้าหน้าที่สาธารณสุข
• เจ้าหน้าที่บริหาร งานสารบรรณ งานการเงิน งานเทคโนโลยีสารสนเทศ
• พนักงานราชการ ลูกจ้างประจำ และพนักงานจ้างเหมาบริการ

4) แนวทางการดำเนินงานด้านการสร้างความตระหนักรู้และการฝึกอบรม

4.1 การสื่อสารและเผยแพร่ข้อมูล

• เว็บไซต์: เผยแพร่คู่มือฉบับนี้ รวมถึง Privacy Policy, Privacy Notice และช่องทางใช้สิทธิ บนเว็บไซต์ทางการของศูนย์สุขภาพจิตที่ 7 (https://www.mhc7.dmh.go.th)

4.2 การจัดอบรมและให้ความรู้

• อบรมเชิงปฏิบัติการ (Workshop): จัดอย่างน้อยปีละ 1 ครั้ง โดยเน้นเนื้อหาตามบทบาทหน้าที่ เช่น
  • เจ้าหน้าที่หน้าผู้ปฏิบัติ: การแสดง Privacy Notice, การเก็บและใช้ข้อมูลส่วนบุคคลอย่างถูกต้อง, การป้องกันการรั่วไหลของข้อมูล
  • เจ้าหน้าที่ IT/ผู้ดูแลระบบ: การกำหนดสิทธิ์เข้าถึง (RBAC), การใช้ MFA, การเข้ารหัสข้อมูล, การสำรองข้อมูล และการจัดการบันทึก Log
  • ผู้บริหาร/เจ้าของกระบวนการ: ความรับผิดชอบตามกฎหมาย, การจัดทำ ROPA, การประเมินความเสี่ยง (DPIA), และการจัดการเหตุละเมิดข้อมูล
• หลักสูตรออนไลน์ (E-Learning): แนะนำแหล่งเรียนรู้เพิ่มเติม:
  • กรมสุขภาพจิต: ศูนย์ข้อมูล PDPA
  • PDPA Academy: หลักสูตรออนไลน์และบทความ
  • สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.)

5) ช่องทางการติดต่อและสอบถาม

6) การทบทวนและปรับปรุง

คู่มือฉบับนี้ทบทวนอย่างน้อยปีละ 1 ครั้ง หรือเมื่อกฎหมาย นโยบาย หรือเทคโนโลยีที่เกี่ยวข้องมีการเปลี่ยนแปลง เพื่อให้เนื้อหาทันสมัยและพร้อมนำไปปฏิบัติ

หมวดปฏิบัติ: แนวปฏิบัติ มาตรการ และ SOP ที่ใช้จริง

หมวด 1: คำจำกัดความสำคัญ (ย่อ)

• ข้อมูลส่วนบุคคล: ข้อมูลที่ทำให้ระบุตัวบุคคลได้โดยตรง/โดยอ้อม
• ข้อมูลอ่อนไหว: เช่น ข้อมูลสุขภาพ/สุขภาพจิต/ชีวภาพ ต้องคุ้มครองเข้มงวด
• DC/DP: ผู้ควบคุมข้อมูล / ผู้ประมวลผลข้อมูล
• สิทธิของเจ้าของข้อมูล: ได้รับแจ้ง เข้าถึง แก้ไข ลบ ระงับ คัดค้าน โอนย้าย ถอนยินยอม

หมวด 2: ฐานกฎหมายที่ใช้บ่อย (ม.24) และข้อมูลอ่อนไหว (ม.26)

• ภารกิจเพื่อประโยชน์สาธารณะ/อำนาจรัฐ · ปฏิบัติตามกฎหมาย · สัญญา · ประโยชน์โดยชอบด้วยกฎหมาย · ความยินยอม
• ข้อมูลอ่อนไหว: ใช้ยกเว้นทางการแพทย์/สาธารณสุข หรือยินยอมโดยชัดแจ้ง พร้อมมาตรการคุ้มครองที่เหมาะสม

หมวด 3: แนวปฏิบัติ ณ จุดบริการและภาคสนาม

• แสดง Privacy Notice ณ จุดบริการและบนเว็บไซต์, เก็บข้อมูลเท่าที่จำเป็น (Data Minimization)
• จำกัดสิทธิ์เข้าถึงตามบทบาท, ใช้ระบบ/บัญชีราชการเท่านั้น
• ภาคสนาม/คัดกรอง: แยกตัวระบุตัวตนออกจากผลคัดกรอง (ใช้รหัส), ส่งข้อมูลผ่านช่องทางที่เข้ารหัส
• ห้ามถ่ายภาพเวชระเบียน/หน้าจอเก็บในมือถือส่วนตัว หรือส่งผ่านแชท/อีเมลส่วนบุคคล

หมวด 4: มาตรการความมั่นคงปลอดภัยขั้นต่ำ (ประกาศปี 2565)

• RBAC/Least-Privilege · MFA · Encryption (ระหว่างส่ง/ขณะพัก)
• สำรองข้อมูลและทดสอบการกู้คืน · บันทึก/ทบทวน Log
• ทำ DPA กับผู้ประมวลผล: มาตรการขั้นต่ำ + แจ้งเหตุภายใน 72 ชม. + ลบ/คืนข้อมูลเมื่อสิ้นสุดสัญญา

หมวด 5: SOP การจัดการเหตุละเมิดข้อมูล (แจ้งภายใน 72 ชั่วโมง)

1. รับรู้เหตุ → แจ้งหัวหน้ากลุ่มงานและ DPO/ผู้รับผิดชอบทันที
2. ควบคุม/ยับยั้งเหตุ และเก็บพยานหลักฐาน
3. ประเมินความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล
4. บันทึกเหตุและรายงานผู้บริหาร; เมื่อเข้าข่ายให้แจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง และแจ้งเจ้าของข้อมูลทันทีเมื่อมีความเสี่ยงสูง
5. ดำเนินการเยียวยาและทบทวนมาตรการเพื่อป้องกันการเกิดซ้ำ

หมวด 6: การโอนข้อมูลไปต่างประเทศ (กรณีใช้คลาวด์/ผู้ให้บริการ)

• ตรวจสอบที่ตั้งศูนย์ข้อมูลและเส้นทางการโอน
• ใช้กลไก Adequacy / BCR / SCC หรือข้อยกเว้นที่กฎหมายกำหนด (มีผลใช้ 24 มีนาคม 2567)
• บันทึกรายการไว้ใน ROPA และกำหนดในสัญญา DPA ให้ชัดเจน

ภาคผนวก

ภาคผนวก : แบบทดสอบก่อน–หลังอบรม (ตัวอย่าง 10 ข้อ)

1. ข้อใดเป็นข้อมูลอ่อนไหว: ก) เบอร์โทร ข) ผลคัดกรองซึมเศร้า ค) ที่อยู่
2. เมื่อพบเหตุละเมิดข้อมูล ต้องแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายในกี่ชั่วโมง
3. โครงการคัดกรองควรแยกอะไรออกจากกันเพื่อคุ้มครองความเป็นส่วนตัว
4. ช่องทางกลางของกรมสุขภาพจิตสำหรับใช้สิทธิ PDPA คืออะไร
5. ควรใช้บัญชีประเภทใดในการสื่อสารข้อมูลอ่อนไหว
6. การถอนความยินยอมทำได้หรือไม่ และมีผลอย่างไร
7. ผู้ควบคุมข้อมูลมีหน้าที่สำคัญใดตามกฎหมาย
8. ยกตัวอย่างมาตรการความปลอดภัยขั้นต่ำ 2 ข้อ
9. เอกสารใดใช้บันทึกรายการการประมวลผลข้อมูล
10. กรณีใช้คลาวด์ต่างประเทศควรมีมาตรการทางกฎหมายใดรองรับ

เฉลย (สำหรับผู้สอน): 1) ข · 2) 72 ชั่วโมง · 3) ตัวระบุตัวตนกับผลคัดกรอง · 4) pdpa.dmh.go.th · 5) บัญชี/ระบบราชการที่อนุมัติ · 6) ถอนยินยอมได้และไม่กระทบย้อนหลัง · 7) มาตรา 37 ผู้ควบคุมข้อมูล · 8) เช่น RBAC, MFA, Encryption · 9) ROPA · 10) Adequacy/BCR/SCC

หมายเหตุทางกฎหมาย: เนื้อหานี้จัดทำตามกรอบ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และประกาศที่เกี่ยวข้อง

กลับขึ้นด้านบน