คำประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice)
โรงพยาบาลฮอด

โรงพยาบาลฮอด ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มีความตระหนักและให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้บริการของโรงพยาบาล และถือปฏิบัติอย่างเคร่งครัด ในเรื่องการเคารพสิทธิความเป็นส่วนตัวของผู้ใช้บริการเป็นสำคัญ  จึงได้จัดทำคําประกาศความเป็นส่วนตัวให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒ โดยคำประกาศนี้ได้อธิบายถึงวิธีการที่โรงพยาบาลปฏิบัติต่อข้อมูลส่วนบุคคลของผู้ใช้บริการ เช่น การเก็บรวบรวม การจัดเก็บรักษา การใช้ การเปิดเผย (รวมเรียกว่า “ประมวลผล”) รวมถึงสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคล ดังต่อไปนี้

๑. คำนิยาม

       “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ      “ข้อมูลส่วนบุคคลอ่อนไหว” หมายถึง ข้อมูลที่เป็นเรื่องส่วนบุคคลโดยแท้ของบุคคล ซึ่งมีความละเอียดอ่อนและอาจสุ่มเสี่ยงในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

       “ผู้ใช้บริการ” ได้แก่
               “ผู้ป่วยและญาติ” หมายถึง ผู้เข้ารับบริการตรวจสุขภาพ หรือรับการตรวจวินิจฉัยโรค หรือรับการรักษา หรือการพยาบาล กับทางโรงพยาบาล ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล และให้หมายความรวมถึงผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ผู้อนุบาล ที่มีอำนาจกระทำการแทนคนไร้ความสามารถ หรือผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ

               “ผู้ใช้งานเว็บไซต์” หมายถึง ผู้ที่เข้าใช้งานเว็บไซต์ของโรงพยาบาลธรรมศาสตร์เฉลิมพระเกียรติ hospital.tu.ac.th

              “ผู้มีส่วนเกี่ยวข้องอื่น ๆ” หมายถึง ผู้ที่มีส่วนเกี่ยวข้องกับการดำเนินการของโรงพยาบาลที่นอกเหนือจากผู้ป่วยและญาติ และผู้ใช้งานเว็บไซต์

              “การประมวลผลข้อมูล” หมายถึง การกระทำอย่างหนึ่งอย่างใดต่อข้อมูล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ก็ตาม เช่น การเก็บรวมรวม การบันทึก การจัดระบบ การจัดเรียง การจัดเก็บ การแปลงหรือการเปลี่ยนแปลงแก้ไข การค้นคืน การค้นหา การใช้ การเปิดเผยโดยการส่ง การแพร่กระจาย หรือการทำให้ล่วงรู้ได้โดยวิธีอื่น การวางเคียงกันหรือการรวมกัน การจำกัด การลบหรือการทำลาย

              “ข้อมูลสุขภาพ” หมายถึง ข้อมูล ไม่ว่าจะถ่ายทอดด้วยวาจาหรือเก็บบันทึกอยู่ในรูปแบบใดหรือสื่อใด ที่เกิดขึ้นหรือได้รับจากการให้บริการหรือการจัดการด้านสุขภาพ รวมไปถึงข้อมูลที่เกิดขึ้นหรือได้รับจากการชำระค่าบริการ ที่อาจเปิดเผยหรือบ่งบอกเกี่ยวกับสุขภาพหรือสภาพทางร่างกายหรือจิตใจ ในอดีต ปัจจุบัน หรืออนาคต ของบุคคลหนึ่งได้ ไม่ว่าโดยทางตรงหรือทางอ้อม

 

๒. แหล่งข้อมูลส่วนบุคคลที่โรงพยาบาลเก็บรวบรวม

       โรงพยาบาลอาจเก็บรวบรวมข้อมูลส่วนบุคคล โดยตรงจากผู้ใช้บริการ โดยจะขอความยินยอมจากเจ้าของข้อมูลโดยชัดแจ้งก่อนทำการเก็บรวบรวม หรือโดยอ้อมจากแหล่งอื่น ทั้งนี้ โรงพยาบาลจะแจ้งการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นให้ท่านทราบภายใน ๓๐ วัน นับแต่วันที่ได้เก็บรวบรวม เว้นแต่การแจ้งดังกล่าวไม่สามารถทําได้ หรือไม่จําเป็นต้องแจ้ง ตามหลักเกณฑ์ที่กฎหมายกําหนดไว้

 

๓. ประเภทข้อมูลส่วนบุคคลที่โรงพยาบาลเก็บรวบรวม

           ๑. ข้อมูลส่วนบุคคลทั่วไป เช่น ชื่อนามสกุล วันเดือนปีเกิด เพศ สัญชาติ

           ๒. ข้อมูลการติดต่อ เช่น ที่อยู่ตามทะเบียนบ้าน ที่อยู่ที่สามารถติดต่อได้ หมายเลขโทรศัพท์ อีเมล ข้อมูลติดต่อกรณีฉุกเฉิน

           ๓. ข้อมูลเลขประจําตัวหรืออุปกรณ์ เช่น เลขประจําตัวประชาชน ไอพีแอดเดรส

           ๔. ข้อมูลพิสูจน์ตัวตนเพื่อเข้าใช้งานแอปพลิเคชันของโรงพยาบาล เช่น ชื่อผู้ใช้งาน รหัสผ่าน

           ๕. ข้อมูลรูปภาพ เสียง หรือวิดีโอที่เห็นใบหน้าหรือที่จะระบุตัวบุคคลได้

           ๖. ข้อมูลอ่อนไหว เช่น เชื้อชาติ ศาสนา ข้อมูลพันธุกรรม พฤติกรรมทางเพศ รวมถึงข้อมูลสุขภาพ เช่น ข้อมูลการซักประวัติและการตรวจร่างกายโดยแพทย์ ภาพถ่ายรอยโรค ภาพถ่ายรังสี ผลการวินิจฉัย ประวัติการรักษา ประวัติการ ใช้ยา ใบสั่งยา ใบนัดแพทย์ ใบแจ้งค่ารักษาพยาบาล

           ๗. ข้อมูลสิทธิการรักษาพยาบาล ประกันสุขภาพและประกันภัย หมายเลขกรมธรรม์

           ๘. ข้อมูลการชําระค่าบริการ เช่น วิธีชําระเงิน ประวัติการชําระเงิน หมายเลขบัตรเครดิต

๔. วัตถุประสงค์ในการเก็บรวบรวม หรือใช้ข้อมูลส่วนบุคคล

       โรงพยาบาลจะไม่เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปให้บุคคลอื่นใดโดยปราศจากความยินยอม และจะเปิดเผยตามวัตถุประสงค์ที่ได้มีการแจ้งไว้ เว้นแต่

              ๔.๑ โรงพยาบาลอาจจะเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลภายใต้หลักเกณฑ์ที่กฎหมายกำหนด เช่น การเปิดเผยข้อมูลต่อหน่วยงานราชการ หน่วยงานภาครัฐ หน่วยงานกำกับดูแล

              ๔.๒ รวมถึงในกรณีที่มีการร้องขอให้เปิดเผยข้อมูลโดยอาศัยอำนาจตามกฎหมาย เช่น การร้องขอข้อมูลเพื่อการฟ้องร้องหรือดำเนินคดีตามกฎหมาย หรือ

              ๔.๓ การร้องขอจากหน่วยงานเอกชนหรือบุคคลภายนอกอื่น ๆ ที่มีความเกี่ยวข้องกับกระบวนการทางกฎหมาย หรือ

              ๔.๔ โรงพยาบาลอาจเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการแก่บุคคลหรือหน่วยงานอื่น ๆ หรือนิติบุคคลใด ๆ  ( ซึ่งอาจจะเรียกว่า “ผู้รับข้อมูล” ) ซึ่งมีความจำเป็นต้องใช้ หรือเปิดเผยข้อมูล หรือแลกเปลี่ยนข้อมูล ดังนี้

                        -  กรณีเปิดเผยข้อมูลแก่ผู้ประกอบวิชาชีพในโรงพยาบาลอื่น ในกรณีที่มีการส่งต่อการรักษา หรือเปิดเผยแก่แพทย์ผู้เชี่ยวชาญต่างสถาบันเพื่อขอคำปรึกษาในการรักษา ซึ่งอาจเกิดขึ้นทั้งในกรณีฉุกเฉินและไม่ฉุกเฉิน

                         - กรณีเปิดเผยข้อมูลสุขภาพบางประการแก่บุคคลอื่นที่เกี่ยวข้องในการดูแลผู้ใช้บริการ เช่น สมาชิกในครอบครัว ญาติ เพื่อน เจ้าหน้าที่สังคมสงเคราะห์ เจ้าหน้าที่บ้านพักคนชรา ศูนย์คุ้มครองคนไร้ที่พึ่ง เพื่อประโยชน์ของผู้ใช้บริการ

                        - กรณีที่ผู้ใช้บริการพาญาติหรือบุคคลอื่นมาเป็นเพื่อนผู้ใช้บริการ หรือทำหน้าที่คอยดูแลผู้ใช้บริการ ระหว่างที่ผู้ใช้บริการรับบริการภายในโรงพยาบาล หรือศูนย์การแพทย์  จะถือว่าท่านยินยอมโดยปริยายให้บุคคลเหล่านั้นทราบข้อมูลความเจ็บป่วยของผู้ใช้บริการ

                       - กรณีเปิดเผยข้อมูลแก่หน่วยงานที่รับผิดชอบในการประกันสุขภาพ เช่น หน่วยงานสังคมสงเคราะห์ สำนักงานประกันสังคม กรมบัญชีกลาง บริษัทประกันภัย หรือหน่วยงานราชการใด ๆ ที่เกี่ยวข้อง เพื่อให้สิทธิประโยชน์ด้านการรักษาการชำระค่ารักษาพยาบาลแก่ผู้ใช้บริการ

                       - กรณีเปิดเผยข้อมูล แลกเปลี่ยนข้อมูล กับคู่ค้า บุคคล นิติบุคคล หรือหน่วยงานราชการอื่น ๆ เพื่อส่งต่อข้อมูลในการปฎิบัติตามสัญญา ตามกฎหมาย เพื่อให้เป็นประโยชน์ต่อการรับการบริการ การรักษา ของผู้ใช้บริการได้ครบถ้วนสมบูรณ์

        ทั้งนี้ โรงพยาบาลใช้ หรือเปิดเผยข้อมูลดังกล่าวให้บุคคลหรือหน่วยงานอื่นที่เกี่ยวข้องนั้น โรงพยาบาลจะจัดดำเนินการในกรอบของกฎหมายคุ้มครองข้อมูลส่วนบุคคล อีกทั้งจะต้องมีการจัดทำข้อตกลงกับผู้รับข้อมูลเพื่อป้องกันมิให้มีการใช้หรือเปิด              เผยข้อมูลโดยมิชอบ และให้เป็นไปตามวัตถุประสงค์เท่านั้น

๕. การเปิดเผยข้อมูลส่วนบุคคล

       โรงพยาบาลอาจเปิดเผยข้อมูลส่วนบุคคลต่อประเภทของบุคคล ดังต่อไปนี้

          (๕.๑) อาจมีการเปิดเผยข้อมูลแก่ผู้ประกอบวิชาชีพในโรงพยาบาลอื่นในกรณีส่งต่อการรักษา หรือเปิดเผยแก่แพทย์ผู้เชี่ยวชาญต่างสถาบันเพื่อขอคําปรึกษาในการรักษา ซึ่งอาจเกิดขึ้นทั้งในกรณีฉุกเฉินและไม่ฉุกเฉิน

          (๕.๒) อาจมีการเปิดเผยข้อมูลสุขภาพบางประการแก่บุคคลอื่นที่เกี่ยวข้องในการดูแล เช่น สมาชิกครอบครัว ญาติ เพื่อน เจ้าหน้าที่สังคมสงเคราะห์ เจ้าหน้าที่บ้านพักคนชรา เพื่อประโยชน์ของผู้ใช้บริการ

          (๕.๓) กรณีที่ผู้ใช้บริการพาญาติหรือบุคคลอื่นมาเป็นเพื่อนหรือมาทำหน้าที่คอยดูแล ระหว่างเข้ารับการบริการในโรงพยาบาล จะถือว่าผู้ใช้บริการยินยอมโดยปริยายให้บุคคลเหล่านั้นทราบข้อมูลความเจ็บป่วยของผู้ใช้บริการระหว่างที่ผู้ประกอบวิชาชีพให้คำปรึกษาแก่ผู้ใช้บริการ

          (๕.๔) แพทย์ พยาบาล หรือเจ้าหน้าที่ของโรงพยาบาล ระมัดระวังอย่างยิ่งที่จะไม่สื่อสารกับผู้ใช้บริการ หรือสื่อสารระหว่างทีมผู้ประกอบวิชาชีพ ในลักษณะที่จะให้ผู้ใช้บริการหรือบุคคลอื่นได้ยินหรือทราบถึงปัญหาสุขภาพของผู้ใช้บริการ แต่สภาพโดยธรรมชาติของการให้บริการภายในโรงพยาบาลอาจทำให้มีกรณีที่ไม่สามารถป้องกัน ให้ผู้อื่นล่วงรู้ข้อมูลเกี่ยวกับผู้ใช้บริการได้อย่างสิ้นเชิง เช่น ผู้ป่วยคนอื่นที่ต่อคิวเพื่อรับบริการอาจได้ยินข้อมูลเกี่ยวกับปัญหาสุขภาพของผู้ป่วยอีกคนขณะที่ผู้ป่วยรายนั้นสื่อสารกับเจ้าหน้าที่คัดกรองของโรงพยาบาล หรือหากแพทย์กำลังเยี่ยมผู้ป่วยอยู่ในห้องผู้ป่วยรวมผู้ป่วยคนอื่นอาจได้ยินเสียงสนทนาระหว่างแพทย์กับผู้ป่วยของเตียงที่อยู่ข้างกัน เป็นต้น

          (๕.๕) อาจมีการเปิดเผยข้อมูลเจ้าหน้าที่ของรัฐ หน่วยงานที่มีอำนาจหน้าที่ หรือบุคคลอื่นเพื่อการดำเนินการตามที่กฎหมายกำหนด คำสั่งของผู้มีอำนาจ คำสั่งหรือหมายศาล เป็นต้น

          (๕.๖) อาจมีการเปิดเผยข้อมูลเพื่อการแลกเปลี่ยนข้อมูลกับสถาบันการศึกษาอื่นที่ทำข้อตกลงไว้กับโรงพยาบาล เพื่อประโยชน์ในการเรียนการสอน การวิจัย การฝึกอบรม การแลกเปลี่ยนความรู้ระหว่างกัน

          (๕.๗) อาจมีการเปิดเผยข้อมูลแก่หน่วยงานเครือข่าย คู่สัญญา ผู้ให้บริการหรือบุคคลผู้เกี่ยวข้องหรือมีความจำเป็นในการให้บริการของสถาบันซึ่งมีความเกี่ยวข้องกับข้อมูลของผู้ใช้บริการ เช่น ผู้ให้บริการระบบฐานข้อมูล ผู้พัฒนาระบบเทคโนโลยี ผู้จัดส่งเอกสาร หรือผู้พัฒนาเว็บไซต์ เป็นต้น

          (๕.๘) อาจมีการเปิดเผยข้อมูลแก่หน่วยงานที่รับผิดชอบในการประกันสุขภาพ เช่น หน่วยงานสังคมสงเคราะห์ สำนักงานประกันสังคม กรมบัญชีกลาง บริษัทประกันภัย เพื่อให้สิทธิประโยชน์ด้านการชำระค่ารักษาพยาบาลแก่ผู้ใช้บริการ

          (๕.๙) อาจมีการเปิดเผยข้อมูลแก่สภาวิชาชีพหรือองค์การควบคุมการประกอบวิชาชีพด้านการแพทย์

          (๕.๑๐) อาจมีการเปิดเผยข้อมูลแก่ผู้ตรวจสอบภายในและผู้ตรวจสอบจากหน่วยงานภายนอก เพื่อวัตถุประสงค์ในการปรับปรุงหรือควบคุมคุณภาพการให้บริการทางการแพทย์ของโรงพยาบาล

          (๕.๑๑) อาจมีการประกาศต่อสาธารณะ เช่น การประกาศรายชื่อผู้เข้าฝึกอบรม/ประชุมวิชาการ รายชื่อวิทยากรประจำหลักสูตร คลิปวีดีโอกิจกรรมที่เกี่ยวข้องกับการฝึกอบรม สื่อโฆษณาประชาสัมพันธ์ซึ่งมีผู้เข้าอบรมหรือวิทยากรปรากฏเป็นส่วนใดส่วนหนึ่งของสื่อ ผ่านช่องทางเว็บไซต์ของโรงพยาบาล hospital.tu.ac.th และประกาศผ่านสื่อ Social Media เช่น Facebook ของโรงพยาบาล เป็นต้น

           ทั้งนี้ กรณีที่การเปิดเผยข้อมูลส่วนบุคคลจำเป็นต้องได้รับความยินยอมจากผู้ใช้บริการก่อน โรงพยาบาลจะขอความยินยอมตามข้อกำหนดและเงื่อนไขของกฎหมายที่เกี่ยวข้อง หรือจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เช่น ปิดบังตัวตน เข้ารหัส และทําข้อตกลงกับผู้รับข้อมูลเพื่อป้องกันมิให้มีการใช้หรือเปิดเผยข้อมูลโดยมิชอบ

 

๖. การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ

          ในกรณีที่โรงพยาบาลจําเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ โรงพยาบาลจะดําเนินการเพื่อทําให้มั่นใจว่าจะมีการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศตามบทกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่ประเทศปลายทางหรือหน่วยงานปลายทางที่รับข้อมูลส่วนบุคคลมีมาตรการคุ้มครองข้อมูลส่วนบุคคลไม่สอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย โรงพยาบาลจะดําเนินการส่งหรือโอนข้อมูลส่วนบุคคลเฉพาะเท่าที่จําเป็น ตามหลักเกณฑ์ที่กฎหมายกําหนดไว้ และอาจจําเป็นต้องขอความยินยอมโดยชัดแจ้งจากผู้ใช้บริการ

 

๗. สิทธิของเจ้าของข้อมูลส่วนบุคคล

       เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการดำเนินการ ดังต่อไปนี้

          (๗.๑) สิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้ ทั้งนี้ การเพิกถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้แล้ว

          (๗.๒) สิทธิในการเข้าถึงข้อมูลส่วนบุคคลและขอทำสำเนาข้อมูลส่วนบุคคล รวมถึงการขอให้เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่ไม่ได้ให้ความยินยอม

          (๗.๓) สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง

          (๗.๔) สิทธิในการลบข้อมูลส่วนบุคคล

          (๗.๕) สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล

          (๗.๖) สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล

          (๗.๗) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล

           เจ้าของข้อมูลสามารถขอใช้สิทธิดังกล่าวข้างต้นได้ โดยยื่นคำร้องขอใช้สิทธิต่อโรงพยาบาลเป็นลายลักษณ์อักษร โดยโรงพยาบาลแจ้งผลการพิจารณาตามคำร้องฯ ของเจ้าของข้อมูลภายใน ๓๐ วัน นับแต่วันที่ได้รับคำร้องฯ ดังกล่าว

           ทั้งนี้ โรงพยาบาลอาจปฏิเสธคำขอใช้สิทธิของเจ้าของข้อมูลทั้งหมดหรือบางส่วนได้ ขึ้นกับหลักเกณฑ์ของกฎหมาย เช่น เมื่อตรวจสอบแล้วพบว่าการดำเนินการตามคำขอจะส่งผลกระทบต่อสิทธิและเสรีภาพชองบุคคลอื่น หรือคำขอเป็นคำขอที่ไม่สมเหตุสมผล โดยโรงพยาบาลจะชี้แจงให้เจ้าของข้อมูลทราบ หากมีข้อจำกัดบางประการในการดำเนินการตามคำขอใช้สิทธิ

 

๘. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล

          โรงพยาบาลเก็บรักษาข้อมูลส่วนบุคคลเป็นระยะเวลาเท่าที่จําเป็น เพื่อให้บรรลุวัตถุประสงค์ของโรงพยาบาลตามที่แจ้งไว้ หรือเป็นระยะเวลาเท่าที่กฎหมายที่เกี่ยวข้องกําหนดไว้ หรือตราบเท่าที่ผู้ใช้บริการยังคงให้ความยินยอมในการรักษาข้อมูล หรือผู้ใช้บริการขอถอนความยินยอม หรือมีข้อกำหนดให้ยกเลิก หรือกรณีเกิดข้อพิพาทแล้วมีคำสั่งหรือคำพิพากษาถึงที่สุดแล้ว โดยจะลบหรือทําลายข้อมูลส่วนบุคคล หรือทําให้ข้อมูลส่วนบุคคลกลายเป็นข้อมูลที่ไม่สามารถระบุตัวตนได้อีกต่อไป

          โดยปกติในกรณีทั่วไประยะเวลาการเก็บข้อมูลการรักษาพยาบาล กำหนดระยะเวลาไม่น้อยกว่า 10 ปี การเก็บข้อมูลเกี่ยวกับคดี กำหนดระยะเวลาไม่น้อยกว่า 20 ปี เว้นแต่จะมีกฎหมายกำหนดให้เก็บรักษาข้อมูลไว้เป็นระยะเวลานานกว่าที่กำหนดไว้ดังกล่าวข้างต้น หรือหากมีความจำเป็นเพื่อวัตถุประสงค์อื่น เช่น เพื่อความปลอดภัย เพื่อป้องกันการละเมิดหรือการประพฤติมิชอบ หรือเพื่อการบันทึกทางการเงิน

 

๙. คุกกี้

          โรงพยาบาลเก็บรวบรวมและใช้คุกกี้รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกันในเว็บไซต์ที่อยู่ภายใต้ความดูแลของโรงพยาบาล ได้แก่ hodhospital.go.th หรือบนอุปกรณ์ของผู้ใช้บริการ

          ทั้งนี้ เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของโรงพยาบาล และเพื่อให้ได้รับความสะดวกและประสบการณ์ที่ดีในการใช้งานบริการของโรงพยาบาล และข้อมูลเหล่านี้จะถูกนำไปเพื่อปรับปรุงเว็บไซต์ของโรงพยาบาลให้ตรงกับความต้องการมากยิ่งขึ้น โดยผู้ใช้บริการสามารถตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเองจากการตั้งค่าในเว็บเบราว์เซอร์ (Web Browser)

 

๑๐. การรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล

          โรงพยาบาลมีมาตรการในการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลอย่างเหมาะสม ทั้งในเชิงเทคนิคและการบริหารจัดการ เพื่อป้องกันมิให้ข้อมูลสูญหาย หรือมีการเข้าถึง ทำลาย ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต ซึ่งสอดคล้องกับนโยบายและแนวปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy) ภายใต้มาตรฐาน ISO ๒๗๐๐๑

          นอกจากนี้ โรงพยาบาลได้กำหนดให้มีนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ขึ้นโดยประกาศให้ทราบกันโดยทั่วทั้งองค์กร พร้อมแนวทางปฏิบัติเพื่อให้เกิดความมั่นคงปลอดภัยในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยธำรงไว้ซึ่งความเป็นความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล โดยได้จัดให้มีการทบทวนนโยบายดังกล่าวรวมถึงประกาศนี้ในระยะเวลาตามที่เหมาะสม

 

๑๑. การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง

          ในกรณีที่มีความจำเป็น โรงพยาบาลอาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม (ผู้ประมวลผลข้อมูลส่วนบุคคล) ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของโรงพยาบาล ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่าง ๆ เช่น การเป็นผู้ดูแล (Hosting) รับงานบริการช่วง (Outsourcing) หรือเป็นผู้ให้บริการคลาวด์ (Cloud computing service/provider) หรือเป็นงานในลักษณะการจ้างทำของในรูปแบบอื่น

          การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น โรงพยาบาลจะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของโรงพยาบาลในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่โรงพยาบาลมอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่สถาบันมอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น ๆ ที่เกี่ยวข้อง ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของสถาบันเท่านั้นโดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้

          ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนี้ โรงพยาบาลจะกำกับให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วง ในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่างโรงพยาบาลกับผู้ประมวลผลข้อมูลส่วนบุคคล

12. ช่องทางการติดต่อโรงพยาบาล

     เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
     โรงพยาบาลฮอด 294 ม.10  ต.หางดง อ.ฮอด จ.เชียงใหม่ 50240 โทร.053461195 ต่อ 304 (DPO)
     email : ่jinnawat2526@gmail.com

ทั้งนี้มีผลบังคับใช้ตั้งแต่วันที่ ๑ มิถุนายน ๒๕๖๕ เป็นต้นไป