ประกาศสถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน)
เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
.......................................................
เพื่อให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของสถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน) มีประสิทธิภาพ โปร่งใส เจ้าของข้อมูลส่วนบุคคลเชื่อมั่นว่าสถาบันจะดูแลรักษาคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลและจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
อาศัยอำนาจตามความในมาตรา ๒๑ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ และมาตรา ๘ (๑๐) มาตรา ๒๖ และมาตรา ๒๗ (๓) แห่งพระราชกฤษฎีกาจัดตั้งสถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน) พ.ศ. ๒๕๕๒ และที่แก้ไขเพิ่มเติมตามพระราชกฤษฎีกาจัดตั้งสถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน) ฉบับที่ ๒ พ.ศ. ๒๕๖๒ ผู้อำนวยการจึงออกประกาศ เรื่อง การคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection) ดังต่อไปนี้
ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศสถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน) เรื่อง การคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection)” ข้อ ๒ ประกาศนี้ให้มีผลใช้บังคับนับตั้งแต่วันที่ประกาศเป็นต้นไป ข้อ ๓ ให้ยกเลิกประกาศสถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน) เรื่อง แนวนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) พ.ศ. ๒๕๖๓ บรรดาข้อบังคับ ระเบียบ ประกาศ คำสั่ง หรือแนวทางการปฏิบัติงานใดที่ขัดหรือแย้งกับประกาศนี้ ให้ถือใช้ประกาศนี้แทน ข้อ ๔ ในประกาศนี้ “สถาบัน” หมายความว่า สถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน)
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า สถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน) ซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ อาทิเช่น ชื่อ นามสกุล ชื่อเล่น ที่อยู่ หมายเลขโทรศัพท์ เลขประจำตัวประชาชน เลขหนังสือเดินทาง เลขบัตรประกันสังคม เลขใบอนุญาตขับขี่ เลขประจำตัวผู้เสียภาษี เลขบัญชีธนาคาร เลขบัตรเครดิต ที่อยู่อีเมล (email address) IP Address, Cookie ID, Log File เป็นต้น อย่างไรก็ตาม ข้อมูลส่วนบุคคลจะไม่รวมถึงข้อมูลนิรนาม (Anonymized Data) หรือข้อมูลแฝงที่ถูกทำให้ไม่สามารถระบุตัวบุคคลได้อีกโดยวิธีการทางเทคนิค เป็นต้น
“ข้อมูลส่วนบุคคลอ่อนไหว” หมายความว่า ข้อมูลที่เป็นเรื่องส่วนบุคคลโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและอาจสุ่มเสี่ยงในการเลือกปฏิบัติอย่างไม่เป็นธรรม หรืออาจก่อให้เกิดภยันตรายทางชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคล เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพเพื่อใช้ยืนยันตัวตนของเจ้าของข้อมูลส่วนบุคคล หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
“เจ้าของข้อมูลส่วนบุคคล” หมายความว่า บุคคลธรรมดาซึ่งข้อมูลส่วนบุคคลนั้นระบุไปถึง แต่ไม่ใช่กรณีที่บุคคลมีความเป็นเจ้าของข้อมูล (Ownership) หรือเป็นผู้สร้างหรือเก็บรวบรวมข้อมูลส่วนบุคคลนั้นเอง
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือ นิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
“คุกกี้ (Cookies)” หมายความว่า ข้อมูลอิเล็กทรอนิกส์เกี่ยวกับการเข้าถึงเว็บไซต์ของเจ้าของข้อมูลส่วนบุคคล ที่เว็บไซต์เครื่องแม่ข่ายส่งไปเก็บไว้ในเครื่องคอมพิวเตอร์ที่เจ้าของข้อมูลส่วนบุคคล ใช้ในการเข้าชมเว็บไซต์ เพื่อช่วยให้เว็บไซต์สามารถจดจำข้อมูลการเข้าเว็บไซต์ของเจ้าของข้อมูลส่วนบุคคลได้ และให้หมายความรวมถึงเทคโนโลยีอื่นที่มีลักษณะเดียวกับคุกกี้ ด้วย
“ฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล” (Lawful Basis for Processing Personal Data) หมายความว่า เหตุผลโดยชอบด้วยกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นเหตุให้สถาบันสามารถเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลได้โดยชอบ ได้แก่ ฐานการให้ความยินยอม (Consent), ฐานสัญญา (Contract), ฐานะประโยชน์สำคัญต่อชีวิต (Vital Interest), ฐานหน้าที่ตามกฎหมาย (Legal Obligation), ฐานภารกิจของรัฐ (Public Task), ฐานประโยชน์อันชอบธรรม (Legitimate Interest) และฐานเอกสารประวัติศาสตร์ จดหมายเหตุ การศึกษาวิจัย หรือสถิติ
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หมายความว่า ผู้ปฏิบัติงานของสถาบันซึ่งได้รับแต่งตั้งจากสถาบันให้มีหน้าที่ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล “ผู้ปฏิบัติงานของสถาบัน” หมายความว่า ผู้ปฏิบัติงานของสถาบันตามมาตรา ๓๐ แห่งพระราชกฤษฎีกาจัดตั้งสถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน) พ.ศ. ๒๕๕๒ และที่แก้ไขเพิ่มเติม ประกอบด้วย เจ้าหน้าที่หรือลูกจ้าง ที่ปรึกษาหรือผู้เชี่ยวชาญ เจ้าหน้าที่ของรัฐซึ่งมาปฏิบัติงานของสถาบันเป็นการชั่วคราว
“คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” หมายความว่า คณะกรรมการที่ได้รับการแต่งตั้งขึ้น โดยมีหน้าที่และอำนาจกำกับดูแล ออกหลักเกณฑ์ มาตรการ หรือข้อปฏิบัติอื่นใดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
ข้อ ๕ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
(๑) การเก็บรวบรวมข้อมูลส่วนบุคคล สถาบันจะเก็บรวบรวมเท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายในการดำเนินกิจการของสถาบัน ตามฐานอำนาจที่กฎหมายกำหนด โดยให้เป็นไปตามมาตรฐานการรักษาความมั่นคงปลอดภัยข้อมูล เท่านั้น
(๒) สถาบันจะจัดเก็บเฉพาะข้อมูลส่วนบุคคล ดังต่อไปนี้
๑) ข้อมูลที่บ่งชี้ตัวตน เช่น คำนำหน้าชื่อ ยศ ตำแหน่ง ชื่อ นามสกุล หมายเลขโทรศัพท์ โทรสาร สถานที่ติดต่อทางกายภาพ หรือข้อมูลการติดต่อทางอิเล็กทรอนิกส์ต่าง ๆ
๒) ข้อมูลเกี่ยวกับการศึกษา ฝึกอบรม การทำงาน ทั้งในอดีต และปัจจุบัน
๓) ข้อมูลเกี่ยวกับการดำเนินกิจกรรมและการให้บริการภายในหรือภายนอกที่สถาบันจัดให้มีขึ้น หรือที่หน่วยงานอื่นทั้งภาครัฐและเอกชน หรือคณะบุคคลที่เกี่ยวข้องกับสถาบันได้จัดทำขึ้น
๔) ข้อมูลเกี่ยวกับสุขภาพ
๕) ข้อมูลเกี่ยวกับการเงิน
(๓) สถาบันอาจได้รับข้อมูลส่วนบุคคล โดยการเก็บรวบรวมจากแหล่งที่มาดังนี้
๑) การให้ความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลโดยตรง ทั้งที่จัดทำขึ้นเป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เช่น การกรอกข้อมูลในใบสมัคร แบบสอบถามการเข้าใช้ website หรือเก็บข้อมูลด้วย Cookies ระหว่างที่ท่านเข้าใช้บริการ เว้นแต่โดยสภาพ ไม่อาจดำเนินการดังกล่าวได้
๒) รับข้อมูลจากหน่วยงานรัฐ หรือองค์กรเอกชนที่จัดส่งข้อมูลให้แก่สถาบันเพื่อปฏิบัติตามคำสั่งโดยชอบด้วยกฎหมาย หรือเพื่อประโยชน์ในการให้บริการแก่หน่วยงานรัฐหรือองค์กรเอกชนนั้น ๓) รับข้อมูลจากบุคคล คณะบุคคล หน่วยงานรัฐ หรือองค์กรเอกชนที่สถาบันมีความจำเป็นต้องเก็บรวบรวมข้อมูลภายใต้ฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
(๔) การเก็บรวบรวมข้อมูลส่วนบุคคลที่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ สถาบันจะไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นจนกว่าจะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี โดยเป็นไปตามเงื่อนไขที่กฎหมายกำหนด
(๕) สถาบันอาจทำการเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหว ภายใต้วัตถุประสงค์ ของสถาบันโดยจะขอความยินยอมจากเจ้าของข้อมูลก่อนทำการเก็บรวบรวม
(๖) เมื่อสถาบันจัดเก็บข้อมูลส่วนบุคคลภายใต้ความยินยอมของเจ้าของข้อมูลส่วนบุคคลแล้ว ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธหรือเปลี่ยนแปลงการให้ความยินยอมซึ่งอาจเป็นเหตุให้สถาบันไม่อาจปฏิบัติตามกฎหมาย หรือให้บริการ หรือมีเหตุขัดข้องในการปฏิบัติงานตามข้อตกลงหรือสัญญาระหว่างสถาบันกับเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีดังกล่าวสถาบันจะชี้แจงเหตุผลความจำเป็นในการที่จะต้องเก็บรวบรวมข้อมูลและผลกระทบจากการที่ไม่ได้รับข้อมูลนั้นต่อเจ้าของข้อมูลส่วนบุคคลแล้วแต่กรณี
(๗) สถาบันอาจเก็บข้อมูลส่วนบุคคลโดยไม่ต้องขอรับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เฉพาะภายใต้ข้อยกเว้นของฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคลหรือเหตุอื่น ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
(๘) การเปิดเผยข้อมูลส่วนบุคล สถาบันจะกระทำโดยมีวัตถุประสงค์ ขอบเขต และภายใต้ความยินยอมของเจ้าของข้อมูลส่วนบุคคลที่ได้ให้ไว้แก่สถาบันเท่านั้น สถาบันอาจจะเปิดเผยข้อมูลส่วนบุคคลโดยไม่ต้องขอรับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลเฉพาะโดยอาศัยฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล หรือเหตุอื่นตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด ทั้งนี้สถาบันจะใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม และจะดำเนินการอย่างจำกัดเพียงเท่าที่จำเป็นแก่การให้บริการภายใต้วัตถุประสงค์ของสถาบันเท่านั้น
(๙) สถาบันอาจต้องเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลภายนอกเพื่อเป็นการปฏิบัติตามกฎหมายต่อบุคคลหรือหน่วยงานอื่นที่มีอำนาจในการควบคุม กำกับดูแลสถาบัน เช่น รัฐมนตรีว่าการกระทรวงสาธารณสุขหรือผู้ที่ได้รับแต่งตั้งมอบหมาย กระทรวงสาธารณสุข สำนักงานคณะกรรมการพัฒนาระบบราชการ กรมสรรพากร หรือหน่วยงานด้านการการเงินงบประมาณ ตลอดจนหน่วยงานรัฐหรือองค์เอกชนทั้งในประเทศและระหว่างประเทศที่มีภารกิจเกี่ยวข้องกับวัตถุประสงค์การดำเนินกิจการของสถาบัน ทั้งนี้ เพียงเท่าที่จำเป็นเท่านั้น
(๑๐) สถาบันอาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม (ผู้ประมวลผลข้อมูลส่วนบุคคล) ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของสถาบัน ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่าง ๆ เช่น การเป็นผู้ดูแล (Hosting) รับงานบริการช่วง (Outsourcing) หรือเป็นผู้ให้บริการคลาวด์ (Cloud computing service/provider) หรือเป็นงานในลักษณะจ้างทำของในรูปแบบอื่น
การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น สถาบันจะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของสถาบัน ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่สถาบันมอบหมายในฐานะเป็นผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่สถาบันมอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น ๆ ที่เกี่ยวข้อง ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของสถาบันเท่านั้น โดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้
ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลช่วง) เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนี้ สถาบันจะกำกับให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วงในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่างสถาบันกับผู้ประมวลผลข้อมูลส่วนบุคคล
(๑๑) กรณีมีการส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังต่างประเทศ สถาบันจะส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังต่างประเทศเพื่อกิจการของสถาบันเท่านั้น โดยได้ดำเนินการตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลที่ส่งหรือโอนไปยังต่างประเทศตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
ข้อ ๖ การเก็บรวบรวมข้อมูลส่วนบุคคลโดยการบันทึกภาพ
(๑) เมื่อเจ้าของข้อมูลส่วนบุคคลเข้ามาในบริเวณพื้นที่ของสถาบัน โดยสถาบันอาจมีการบันทึกภาพของเจ้าของข้อมูลส่วนบุคคลโดยใช้กล้องวงจรปิด (CCTV) ทั้งนี้ สถาบันจะติดป้ายแจ้งให้ทราบว่ามีการใช้กล้องวงจรปิดในบริเวณพื้นที่ของสถาบัน
(๒) เมื่อเจ้าของข้อมูลส่วนบุคคลเข้ามาในบริเวณพื้นที่สถาบันที่มีการจัดประชุม สัมมนา หรือกิจกรรมใด ๆ โดยสถาบันอาจมีการบันทึกภาพถ่ายหรือวีดีโอ เพื่อเก็บบันทึกข้อมูลการจัดกิจกรรม หรือเพื่อใช้ประกอบการจัดทำสื่อประชาสัมพันธ์ของสถาบัน ทั้งนี้ สถาบันจะแจ้งให้ทราบว่ามีการบันทึกภาพถ่ายหรือวีดีโอในบริเวณพื้นที่ดังกล่าว
ข้อ ๗ วัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
(๑) ให้สถาบันจัดเก็บข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์ ดังต่อไปนี้
๑) เพื่อดำเนินการตามที่จำเป็นในการดำเนินกิจการของสถาบันให้บรรลุวัตถุประสงค์ หรือเป็นการจำเป็นเพื่อใช้อำนาจหน้าที่ตามที่กฎหมาย
๒) เพื่อบริหารจัดการการให้บริการของสถาบัน
๓) เพื่อการดำเนินการทางธุรกรรม ธุรกรรมทางอิเล็กทรอนิกส์ของสถาบัน
๔) ควบคุมดูแล ใช้งาน ติดตาม ตรวจสอบและบริหารจัดการบริการเพื่ออำนวยความสะดวกและสอดคล้องกับความต้องการของเจ้าของข้อมูลส่วนบุคคล
๕) เพื่อเก็บรักษาและปรับปรุงข้อมูลอันเกี่ยวกับเจ้าของข้อมูลส่วนบุคคล รวมทั้งเอกสารที่มีการกล่าวอ้างถึงเจ้าของข้อมูลส่วนบุคคล
๖) จัดทำบันทึกรายการการประมวลผลข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
๗) วิเคราะห์ข้อมูล รวมถึงแก้ไขปัญหาที่เกี่ยวกับการให้บริการของสถาบัน
๘) เพื่อดำเนินการตามที่จำเป็นในการบริหารจัดการภายในสถาบัน รวมถึงการสรรหาบุคคล คัดเลือกเข้าเป็นประธานกรรมการ กรรมการ ประธานอนุกรรมการ อนุกรรมการ ประธานกรรมการตรวจสอบ กรรมการตรวจสอบ ที่ปรึกษาคณะกรรมการ ผู้อำนวยการ ผู้ทรงคุณวุฒิของสถาบันที่ปรึกษาหรือผู้เชี่ยวชาญของสถาบัน คณะกรรมการในกิจกรรมของสถาบัน คณะทำงาน ผู้เยี่ยมสำรวจ วิทยากร เครือข่าย ผู้ปฏิบัติงานของสถาบัน ลูกจ้าง หรือผู้ที่เกี่ยวข้องในการดำเนินกิจการของสถาบัน
๙) ป้องกัน ตรวจสอบ สอบทาน การกระทำที่ส่อไปในทางทุจริต หรือไม่ชอบด้วยกฎหมาย และอาจเกิดความเสียหายต่อสถาบัน และเจ้าของข้อมูลส่วนบุคคล
๑๐) การยืนยันตัวตน การพิสูจน์ตัวตนและตรวจสอบข้อมูลเมื่อเจ้าของข้อมูลส่วนบุคคลสมัครใช้บริการของสถาบัน หรือติดต่อใช้บริการ หรือใช้สิทธิตามกฎหมาย
๑๑) ปรับปรุงและพัฒนาคุณภาพการให้บริการให้ทันสมัย
๑๒) การประเมินและบริหารจัดการความเสี่ยง
๑๓) ส่งการแจ้งเตือน การยืนยันการทำคำสั่ง ติดต่อสื่อสารและแจ้งข่าวสารไปยังเจ้าของข้อมูลส่วนบุคคล
๑๔) เพื่อจัดทำและส่งมอบเอกสารหรือข้อมูลที่มีความเกี่ยวข้องและจำเป็น
๑๕) ยืนยันตัวตน ป้องกันการกระทำที่ไม่ได้รับอนุญาตหรือผิดกฎหมาย
๑๖) ตรวจสอบว่าเจ้าของข้อมูลส่วนบุคคลเข้าถึงและใช้บริการของสถาบัน อย่างไร ทั้งในภาพรวมและรายบุคคล และเพื่อวัตถุประสงค์ที่เกี่ยวกับการค้นคว้าวิจัย และการวิเคราะห์
๑๗) ดำเนินการตามที่จำเป็นเพื่อปฏิบัติตามหน้าที่ที่สถาบันมีต่อหน่วยงานที่มีอำนาจควบคุม กำกับดูแล การบังคับใช้กฎหมาย หรือภาระผูกพันตามกฎหมายของสถาบัน
๑๘) ดำเนินการตามที่จำเป็นเพื่อประโยชน์ที่ชอบด้วยกฎหมายของสถาบันหรือของบุคคลอื่น หรือของนิติบุคคลอื่นที่เกี่ยวข้องกับการการดำเนินการของสถาบัน
๑๙) ป้องกัน หรือหยุดยั้งอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งรวมถึงการเฝ้าระวังโรคระบาด
๒๐) จัดเตรียมเอกสารทางประวัติศาสตร์เพื่อประโยชน์สาธารณะ การค้นคว้า หรือจัดทำสถิติที่สถาบันได้รับมอบหมายให้ดำเนินการ
๒๑) เพื่อการปฏิบัติตามกฎหมาย ประกาศ คำสั่งที่มีผลบังคับใช้ หรือการดำเนินการเกี่ยวกับคดีความ การดำเนินการเกี่ยวกับข้อมูลตามหมายศาล รวมถึงการใช้สิทธิเกี่ยวกับข้อมูลของเจ้าของข้อมูลส่วนบุคคล
๒๒) เพื่อเก็บรวบรวมข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเข้าทำสัญญาจ้างทำของหรือจ้างแรงงานหรือนิติกรรมสัญญาอื่น เพื่อการติดตามและทำให้เกิดการปฏิบัติและการบังคับภายใต้ข้อกำหนดและเงื่อนไข เพื่อการจัดทำประวัติ ศึกษาวิจัยหรือทำสถิติเกี่ยวกับการบริหารจัดการนิติกรรมสัญญาดังกล่าว
(๒) ในกรณีที่สถาบันมีการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการวิเคราะห์และติดตามการใช้บริการทางเว็บไซต์ และวัตถุประสงค์ในการตรวจสอบย้อนหลังในกรณีที่เกิดปัญหาการใช้งาน สถาบันจะจัดให้มีการบันทึกข้อมูลการเข้าออกเว็บไซต์ของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ด้วย Log Files หรือด้วยเทคโนโลยีอื่นที่เหมาะสม โดยจัดเก็บข้อมูลอย่างน้อยดังต่อไปนี้
๑) หมายเลขไอพี (IP Address)
๒) ประเภทของโปรแกรมบราวเซอร์ (Browser)
ทั้งนี้ สถาบันอาจใช้บริการหน่วยงานภายนอกเพื่อให้จัดเก็บบันทึกการเข้าออกระบบให้บริการทางเว็บไซต์ด้วยก็ได้ อย่างไรก็ตามสถาบันจะไม่กระทำการใด ๆ ที่เกินขอบเขตตามวัตถุประสงค์ของการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน
ข้อ ๘ การรักษาความมั่นคงปลอดภัยสำหรับข้อมูล สถาบันจัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ นอกจากนี้ สถาบันได้กำหนดแนวปฏิบัติภายในสถาบันเพื่อกำหนดสิทธิในการเข้าถึงหรือการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อรักษาความลับและความปลอดภัยของข้อมูล และสถาบันจะจัดให้มีการทบทวนมาตรการดังกล่าวเป็นระยะเพื่อความเหมาะสม ทั้งนี้ ตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศที่สถาบันกำหนด
ข้อ ๙ ข้อจำกัดในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
(๑) สถาบันอาจเก็บรวบรวม ใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เฉพาะกรณีต่อไปนี้
๑) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
๒) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา ซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา
๓) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินกิจการเพื่อประโยชน์ของสถาบันหรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่สถาบัน
๔) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของสถาบันหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่สถาบัน เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
๕) เป็นการปฏิบัติตามกฎหมายของสถาบัน
๖) เพื่อให้บรรลุวัตถุประสงค์ของสถาบันเกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะหรือเพื่อการศึกษาวิจัย การจัดทำสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ตามที่คณะกรรมการประกาศกำหนด
(๒) สถาบันจะเก็บรักษาข้อมูลส่วนบุคคลไว้เป็นหนังสือหรือในรูปแบบทางอิเล็กทรอนิกส์ ในสถานที่จัดเก็บที่มีความมั่นคงปลอดภัยและมีการกำหนดอำนาจในการเข้าถึงและการใช้ข้อมูล รวมถึงการจัดให้มีระบบบันทึกการเฝ้าระวังและติดตามกิจกรรมที่เกี่ยวข้องกับข้อมูลนั้น ๆ ตลอดระยะเวลาของการจัดเก็บและใช้งาน ทั้งนี้ จะเก็บรักษาไว้ในระยะเวลาตามที่กฎหมายกำหนด ภายหลังบรรลุวัตถุประสงค์ของการเก็บรักษา ใช้และเปิดเผยข้อมูลนั้น ๆ สถาบันอาจประกาศกำหนดระยะเวลาในการเก็บรักษาข้อมูลที่แตกต่างกัน โดยพิจารณาจากความจำเป็นทางกฎหมาย ประเภทของข้อมูล และวัตถุประสงค์ในการใช้หรือเปิดเผยข้อมูลนั้น ๆ ภายใต้มาตรการในการรักษาความคุ้มครองข้อมูลส่วนบุคคลที่จำเป็นพอเพียง
ในกรณีที่มีข้อพิพาทเกี่ยวกับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลหรือมีการดำเนินคดีที่เกี่ยวข้องกับข้อมูลส่วนบุคคล สถาบันขอสงวนสิทธิในการเก็บรักษาข้อมูลนั้นต่อไปจนกว่าข้อพิพาทนั้นจะยุติลงด้วยคำสั่งอันเป็นที่สุดหรือคำพิพากษาถึงที่สุด
เมื่อพ้นระยะเวลาตามวรรคหนึ่ง และข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลสิ้นความจำเป็นตามวัตถุประสงค์ดังกล่าวแล้ว สถาบันจะทำการลบ ทำลายข้อมูลส่วนบุคคลนั้น หรือทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวตนได้ต่อไป ตามรูปแบบและมาตรฐานการลบทำลายข้อมูลส่วนบุคคลที่กฎหมายจะได้ประกาศกำหนดหรือตามมาตรฐานสากล ข้อ ๑๐ สิทธิของเจ้าของข้อมูลส่วนบุคคล
ความยินยอมที่เจ้าของข้อมูลส่วนบุคคลให้ไว้กับสถาบันในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลยังคงใช้ได้จนกว่าเจ้าของข้อมูลส่วนบุคคลจะเพิกถอนความยินยอมเป็นลายลักษณ์อักษร โดยเจ้าของข้อมูลส่วนบุคคลสามารถเพิกถอนความยินยอมหรือระงับการใช้หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ในการดำเนินกิจกรรมใด ๆ หรือทุกกิจกรรมของสถาบันโดยส่งคำขอของเจ้าของข้อมูลส่วนบุคคลแจ้งให้สถาบันทราบเป็นลายลักษณ์อักษรหรือผ่านทางจดหมายอิเล็กทรอนิกส์ ทั้งนี้ นอกจากสิทธิดังกล่าวข้างต้น เจ้าของข้อมูลส่วนบุคคลยังมีสิทธิในการดำเนินการ ดังต่อไปนี้
(๑) สิทธิในการเพิกถอนความยินยอม (right to withdraw consent) (๒) สิทธิในการเข้าถึงข้อมูลส่วนบุคคล (right of access) และขอให้สถาบันทำสำเนาข้อมูลส่วนบุคคลดังกล่าวให้แก่เจ้าของข้อมูลส่วนบุคคล รวมถึงขอให้สถาบันเปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคล ที่เจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมต่อสถาบันได้ (๓) สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (right to rectification) หรือเพิ่มเติมข้อมูลส่วนบุคคลที่ไม่สมบูรณ์
(๔) สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล (right to erasure) ทั้งนี้ เงื่อนไขการลบหรือทำลายให้เป็นไปตามที่กฎหมายกำหนด
(๕) สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล (right to restriction of processing) ทั้งนี้ เงื่อนไขการลบหรือทำลายให้เป็นไปตามที่กฎหมายกำหนด
(๖) สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (right to data portability) ซึ่งเจ้าของข้อมูลส่วนบุคคลได้ให้ไว้กับสถาบันไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น หรือตัวเจ้าของข้อมูลส่วนบุคคลเองด้วยเหตุบางประการได้
(๗) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (right to object) ของตนด้วยเหตุบางประการได้ การเพิกถอนความยินยอมของเจ้าของข้อมูลส่วนบุคคล อาจมีข้อจำกัดสิทธิในการเพิกถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล
(๘) สิทธิในการร้องเรียน (Right to Lodge a Complaint) เจ้าของข้อมูลส่วนบุคคล มีสิทธิในการร้องเรียนต่อพนักงานเจ้าหน้าที่ผู้มีอำนาจตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ หากสถาบันฝ่าฝืนหรือไม่ปฏิบัติตามพระราชบัญญัติดังกล่าวได้
ข้อ ๑๑ การใช้คุกกี้
คุกกี้ หมายความถึง ข้อมูลขนาดเล็กที่เว็บไซต์ส่งไปเก็บไว้กับเจ้าของข้อมูลส่วนบุคคลที่เข้าชมเว็บไซต์ เพื่อช่วยให้เว็บไซต์จดจำข้อมูลเข้าชมของเจ้าของข้อมูลส่วนบุคคล เช่น ภาษาที่เลือกใช้เป็นอันดับแรก ผู้ใช้ของระบบ หรือการตั้งค่าอื่น ๆ เมื่อเจ้าของข้อมูลส่วนบุคคลเข้าชมเว็บไซต์ในครั้งถัดไป เว็บไซต์จะจดจำได้ว่าเป็นผู้ใช้ที่เคยเข้าใช้บริการแล้ว และตั้งค่าตามที่เจ้าของข้อมูลส่วนบุคคลกำหนด จนกว่าเจ้าของข้อมูลส่วนบุคคลจะลบคุกกี้ หรือไม่อนุญาตให้คุกกี้ นั้นทำงานอีกต่อไป ซึ่งเจ้าของข้อมูลส่วนบุคคลสามารถที่จะยอมรับหรือไม่รับคุกกี้ ก็ได้ในกรณีที่เลือกที่จะไม่รับหรือลบคุกกี้ (Cookies) เว็บไซต์อาจจะไม่สามารถให้บริการหรือไม่สามารถ แสดงผลได้อย่างถูกต้อง
ข้อ ๑๒ การทบทวนปรับปรุงการคุ้มครองข้อมูลส่วนบุคคล
สถาบันอาจทำการทบทวนปรับปรุงหรือแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคลโดยมิต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบล่วงหน้า ทั้งนี้ เพื่อความเหมาะสมและมีประสิทธิภาพในการให้บริการ ดังนั้น สถาบันจึงขอแนะนำให้เจ้าของข้อมูลส่วนบุคคลอ่านนโยบายการคุ้มครองข้อมูลส่วนบุคคล ทุกครั้งที่เยี่ยมชมหรือใช้บริการจากสถาบันหรือเว็บไซต์ของสถาบัน
ทั้งนี้ หากคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้มีประกาศ หลักเกณฑ์ วิธีการ เงื่อนไขเพิ่มเติมในอนาคต สถาบันจะปรับปรุงประกาศ หลักเกณฑ์ วิธีการ เงื่อนไขให้สอดคล้องต่อไป
ข้อ ๑๓ การปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลและการติดต่อกับสถาบัน
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลมีข้อสงสัย ข้อเสนอแนะ หรือข้อติชมใด ๆ เกี่ยวกับนโยบายการคุ้มครองข้อมูลส่วนบุคคล หรือการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ เจ้าของข้อมูลสามารถติดต่อกับสถาบันตามที่อยู่ที่ปรากฏข้างล่างนี้
สถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน)
เลขที่ ๘๘/๓๙ อาคารสุขภาพแห่งชาติ ชั้น ๕ ซอยสาธารณสุข ๖ ถนนติวานนท์
ตำบลตลาดขวัญ อำเภอเมืองนนทบุรี จังหวัดนนทบุรี ๑๑๐๐๐
หมายเลขโทรศัพท์ติดต่อ (+๖๖) ๐ ๒๐๒๗ ๘๘๔๔
หมายเลขโทรสาร (+๖๖) ๐ ๒๐๒๖ ๖๖๘๐
E-mail : [email protected]
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
สถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน)
เลขที่ ๘๘/๓๙ อาคารสุขภาพแห่งชาติ ชั้น ๕ ซอยสาธารณสุข ๖ ถนนติวานนท์
ตำบลตลาดขวัญ อำเภอเมืองนนทบุรี จังหวัดนนทบุรี ๑๑๐๐๐
หมายเลขโทรศัพท์ติดต่อ (+๖๖) ๐ ๒๐๒๗ ๘๘๔๔
E-mail : [email protected]