หนังสือแจ้งการประมวลผลข้อมูลส่วนบุคคล
สำหรับผู้มาติดต่อเพื่อรับบริการทางทันตกรรม
บริษัท มอสเดนทอล จำกัด ในฐานะผู้ควบคุมข้อมูลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) มีหน้าที่ต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ซึ่งทำให้การประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลซึ่งเป็นบุคคลธรรมดาที่ดำเนินการโดยคลินิก จะต้องปฏิบัติให้เป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด รวมถึงการแจ้งข้อมูลให้แก่เจ้าของข้อมูลทราบตามหนังสือฉบับนี้ และการขอความยินยอมจากเจ้าของข้อมูล (บางกรณี) ตามเอกสารแนบหนังสือฉบับนี้
- คำนิยาม
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลส่วนบุคคลของคนที่มีชีวิตอยู่ที่สามารถระบุตัวตนของบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
“ข้อมูลส่วนบุคคลที่อ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลภาพจำลองใบหน้า ข้อมูลจำลองฟันและเหงือก ข้อมูลจำลองลายนิ้วมือ) หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
“ข้อมูลการรักษาทางทันตกรรม” หมายถึง ข้อมูลดังต่อไปนี้
- วันเดือนปี ที่เข้ารับการรักษา
- ประวัติแพ้ยาและประวัติผลข้างเคียงจากยา
- ประวัติแพ้อาหาร
- ชื่อโรคที่ได้รับการวินิจฉัย ชื่อหัตถการ และชื่อการผ่าตัด
- ผลเลือด ผลตรวจทางห้องปฏิบัติการ ผลตรวจชิ้นเนื้อทางพยาธิวิทยา ภาพถ่ายทางรังสีวิทยา และรายงานผลการทางรังสีวิทยา
- รายการยาที่แพทย์ได้สั่ง
“ประมวลผล” หมายถึง เก็บรวบรวม ใช้ หรือเปิดเผย
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลที่มีอำนาจในการตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคล ซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
“กลุ่มคลินิกทันตกรรม นามบริษัท มอสเดนทอล จำกัด” หมายถึง คลินิกทันตกรรมที่อยู่ในเครือข่ายของคลินิกทันตกรรมในนาม บริษัท มอสเดนทอล จำกัด ทั้งที่มีอยู่ในปัจจุบันและที่จะมีขึ้นในอนาคตไม่ว่าจะจดทะเบียนในประเทศไทยหรือในต่างประเทศ
“สถานพยาบาลในเครือข่าย” หมายถึง สถานพยาบาลในกลุ่มหรือในเครือข่ายของของคลินิกทันตกรรมในนามมอสเดนทอล จำกัด ทั้งที่ประกอบกิจการในประเทศไทยและในต่างประเทศ
- ข้อมูลส่วนบุคคลที่คลินิกเก็บรวบรวมจากท่าน
ข้อมูลส่วนบุคคลของท่านที่คลินิก เก็บรวบรวม สามารถจำแนกเป็นประเภทดังต่อไปนี้
ประเภทข้อมูลส่วนบุคคล | รายละเอียด |
---|---|
1. ข้อมูลระบุตัวตน (Personal data) | เช่น วันเดือนปีเกิด เลขบัตรประจำตัวประชาชน หนังสือเดินทาง ชื่อ นามสกุล ชื่อเล่น เพศ หมายเลข HN คนไข้ |
2. ข้อมูลสำหรับการติดต่อ (Contact data) | เช่น ที่อยู่ อีเมล หมายเลขโทรศัพท์ |
3. ข้อมูลด้านสุขภาพ (Health data) | เช่น ข้อมูลการรักษาพยาบาล รายงานที่เกี่ยวกับสุขภาพกายและสุขภาพจิต การดูแลสุขภาพของผู้รับบริการ ผลการทดสอบจากห้องทดลอง การวินิจฉัย ชื่อโรคที่ได้รับการวินิจฉัย ข้อมูลที่เกี่ยวข้องกับการใช้ยาและแพ้ยา ประวัติแพ้อาหาร ผลเลือด ผลตรวจทางห้องปฏิบัติการ ผลตรวจชิ้นเนื้อทางพยาธิวิทยา ภาพถ่ายทางรังสีวิทยา และรายงานผลการตรวจทางรังสีวิทยา รายการยาที่แพทย์ได้สั่ง ข้อมูลที่จำเป็นต่อการให้บริการทางการแพทย์ข้อมูล Feedback และผลการรักษา |
4. ข้อมูลการสมัครข่าวสารและการเข้าร่วมกิจกรรมทางการตลาด (Marketing Data) | เช่น ข้อมูลการลงทะเบียนเพื่อรับข่าวสารและเข้าร่วมกิจกรรมทางการตลาด |
5. ข้อมูลสถิติ (Statistical Data) | เช่น ข้อมูลที่ไม่ระบุตัวตน จำนวนผู้ป่วย และจำนวนการเข้าชมเว็บไซต์ |
6. ข้อมูลจากการเข้าใช้เว็บไซต์ (Technical data) | เช่น หมายเลข IP Address ของคอมพิวเตอร์ชนิดของบราวเซอร์ข้อมูล Cookies การตั้งค่าเรื่องเขตเวลา (time zone) ระบบปฏิบัติการแพลตฟอร์มและเทคโนโลยีของอุปกรณ์ที่ใช้เข้าเว็บไซต์และ Online Appointment System |
7. ข้อมูลการเงิน (Financial data) | เช่น ข้อมูลการเรียกเก็บเงิน ข้อมูลบัตรเครดิตหรือเดบิต รายละเอียดบัญชีธนาคาร ข้อมูลเงินเดือน ข้อมูลใบเสร็จ ข้อมูลใบราคา |
8. ข้อมูลประกันสุขภาพและประกันภัย (Insurance data) | เช่น สิทธิประกันสังคม สิทธิประกันสุขภาพถ้วนหน้า สิทธิประโยชน์ การรักษาทันตกรรมต่าง ๆ |
- การเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลและแหล่งที่มาของข้อมูลส่วนบุคคล
คลินิก อาจเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูล ทั้งโดยทางตรงและทางอ้อมจากข้อมูลที่เจ้าของข้อมูล หรือตัวแทนของเจ้าของข้อมูล ให้ไว้กับคลินิก หรือผู้มีส่วนเกี่ยวข้องกับเจ้าของข้อมูล หน่วยงานพันธมิตรของคลินิก การให้บริการทางโทรศัพท์ บริการทางด้านดิจิทัลต่างๆของคลินิก รวมถึง การใช้งานเว็บไซต์ การดาวน์โหลดข้อมูลจากแอปพลิเคชัน แหล่งข้อมูลอื่นใดที่เชื่อถือได้
คลินิกเก็บรวบรวมข้อมูลส่วนบุคคลของท่านจากแหล่งที่มาดังต่อไปนี้
- ข้อมูลส่วนบุคคลที่ได้โดยตรงจากท่าน ได้แก่ การที่ท่านติดต่อสอบถามกับคลินิก เรื่องการบริการ หรือท่านได้ลงทะเบียนเข้ารับบริการตรวจและรักษาโรคไม่ว่าจะด้วยตนเอง หรือผ่านช่องทางออนไลน์
- ข้อมูลส่วนบุคคลที่ได้รับโดยทางอ้อม ได้แก่
2.1 บุคคลที่มีความใกล้ชิดกับท่าน เช่น ญาติ คู่สมรส เป็นต้น
2.2 บุคคลที่ท่านมอบอำนาจให้ดำเนินการแทนตัวท่านในการติดต่อกับคลินิก
2.3 สถานพยาบาลในเครือข่ายในกรณีที่ท่านได้ให้ความยินยอมกับสถานพยาบาลเครือข่ายไว้ว่าให้เปิดเผยข้อมูลส่วนบุคคลของท่านได้
2.4 บุคคล นิติบุคคล หรือหน่วยงานไม่ว่าภาครัฐ เอกชน หรือรัฐวิสาหกิจที่เป็นผู้ส่งท่านมาตรวจรักษากับเราหรือเป็นผู้ชำระค่าบริการตรวจรักษาให้กับท่าน
4. วัตถุประสงค์ในการเก็บรวบรวม ใช้และเปิดเผยข้อมูลส่วนบุคคล
คลินิกประมวลผลข้อมูลส่วนบุคคลของท่านภายใต้ขอบเขตที่กำหนดไว้โดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และเก็บรวบรวมข้อมูลเพียงเท่าที่จำเป็นสำหรับการดำเนินการดังกล่าว โดยคลินิกได้สรุปการใช้ข้อมูลส่วนบุคคลของท่าน พร้อมทั้งอธิบายฐานการประมวลผลข้อมูลส่วนบุคคลที่ชอบด้วยกฎหมาย (Lawful Basis of Processing) ดังนี้
วัตถุประสงค์ | ประเภทข้อมูล | ฐานการประมวลผลที่ชอบด้วยกฎหมาย |
---|---|---|
1. เพื่อวัตถุประสงค์ การให้บริการทางทันตกรรมแก่ท่านในทุกช่องทาง
1.1 การให้บริการทางทันตกรรมในคลินิก ทันตแพทย์ และ/หรือ บุคลากรอื่นๆ ในคลินิก จะทำการบันทึกข้อมูลส่วนบุคคลของท่าน นำข้อมูลส่วนบุคคลของท่านเพื่อปรึกษาทีมทันตแพทย์ผู้เชี่ยวชาญ รวมถึงถ่ายภาพนิ่งและภาพเคลื่อนไหว เพื่อติดตามการรักษา และ/หรือ กระทำการใดๆ ตามหลักวิชาชีพที่เกี่ยวข้องตลอดระยะเวลาที่ท่านเข้าอยู่รับการตรวจรักษา โดยคลินิกจะอธิบายข้อมูลรายละเอียดให้ท่านได้เข้าใจก่อนที่จะดำเนินการ อีกท้ังเปิดโอกาสให้ท่านซักถามจนเป็นที่พอใจ 1.2. การให้บริการทางทันตกรรมในกรณีจำเป็นต้องเชื่อมโยงข้อมูลระหว่างสถานพยาบาลในเครือข่าย เพื่อประโยชน์ในการให้บริการทางทันตกรรมแก่ท่าน ทันตแพทย์ และ/หรือ บุคลากรอื่นๆเกี่ยวข้องของคลินิก อาจเปิดเผยข้อมูลส่วนบุคคลของท่านให้สถานพยาบาลในเครือข่ายในกรณีที่จำเป็นต้องใช้ข้อมูลระหว่างสถานพยาบาลในเครือข่ายเพื่อการรักษาบางประเภท ทั้งนี้ คลินิกได้จัดให้มีมาตรการคุ้มครองข้อมูลส่วนบุคคลโดยมีข้อตกลงร่วมกันในสถานพยาบาลในเครือข่ายเพื่อป้องกันการไม่ให้เกิดการใช้ข้อมูลส่วนบุคคลของท่านในทาง มิชอบ 1.3 เพื่อรับ-ส่งต่อผู้ป่วยระหว่างสถานพยาบาล (Refer) ในกรณีที่คลินิก มีคำร้องขอหรือได้รับการร้องขอให้เคลื่อนย้ายผู้ป่วยจากสถานพยาบาลหนึ่ง เพื่อไปรับการตรวจรักษาต่อที่สถานพยาบาลอื่นตามกระบวนการรับ-ส่งต่อผู้ป่วยระหว่างสถานพยาบาล (Refer) คลินิกจะต้องดำเนินตามกระบวนการรับ-ส่งต่อผู้ป่วยที่กำหนดไว้ตามมาตรฐานของบริษัทฯ และจะใช้ข้อมูลส่วนบุคคลของท่านไปเพื่อวัตถุประสงค์ในการรับ-ส่งต่อผู้ป่วยเท่านั้น ไม่นำไปใช้ในวัตถุประสงค์อื่น |
– ข้อมูลระบุตัวตน
– ข้อมูลสำหรับการติดต่อ – ข้อมูลด้านสุขภาพ – ข้อมูลการเงิน |
1. เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาเข้ารับการรักษาพยาบาลที่ท่านเป็นคู่สัญญากับคลินิก (ม.24(3))
2. เป็นการปฏิบัติตามสัญญาระหว่างท่านกับผู้ประกอบวิชาชีพทางการแพทย์ (ม.26 (5) (ก)) 3. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ เช่น การเข้า รับบริการในกรณีฉุกเฉิน (Emergency Care) หรือเพื่อรับ – ส่งต่อผู้ป่วยระหว่างสถานพยาบาล (Refer) (ม.26(1)) |
2. เพื่อวัตถุประสงค์ในการศึกษาวิเคราะห์เพื่อพัฒนาคุณภาพของการรักษาทางทันตกรรม
คลินิกอาจนำข้อมูลส่วนบุคคลของท่านไปใช้เพื่อการศึกษาวิเคราะห์เพื่อการพัฒนาคุณภาพของการรักษาทางทันตกรรม โดยจะทำเป็นรูปแบบรายงานผลโดยภาพรวมที่ไม่มีการบ่งชี้ตัวตนของเจ้าของข้อมูล และคลินิกจะรักษาความลับของข้อมูลดังกล่าวของท่านอย่างเคร่งครัด |
ข้อมลูสถิติ | เพื่อประโยชน์โดยชอบด้วยกฎหมายของคลินิก (Legitimate Interest) ในการวิเคราะห์ข้อมูลสถิติ โดยไม่ใช้ข้อมูลส่วนบุคคลที่ระบุตัวตนได้เพื่อพัฒนาและเพิ่มประสิทธิภาพขององค์กรในด้านการรักษาพยาบาล (ม.24(5)) |
3. การเปิดเผยข้อมูลให้บริษัทประกันภัยที่ท่านเป็นคู่สัญญาเพื่อวัตถุประสงค์ในการใช้สิทธิเรียกค่าสินไหมทดแทนจากบริษัทประกันภัยหรือใช้สิทธิเบิกค่ารักษาพยาบาล
เมื่อท่านได้ทำสัญญากับบริษัทประกันภัย และได้ให้ความยินยอมกับบริษัทประกันภัยในการให้คลินิกเปิดเผยข้อมูลส่วนบุคคลให้กับบริษัทประกันภัยเพื่อประโยชน์ในการเบิกจ่ายค่าสินไหมทดแทนแล้ว คลินิกจำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลของท่านให้บริษัทประกันนั้นเพื่อการปฏิบัติตามสัญญาที่ท่านได้ทำไว้กับบริษัทประกัน ทั้งนี้คลินิกจะไม่เปิดเผยข้อมูลส่วนบุคคลของท่านให้กับบุคคลอื่นใดที่ไม่เกี่ยวข้อง |
– ข้อมูลระบุตัวตน
– ข้อมูลสำหรับการติดต่อ – ข้อมูลด้านสุขภาพ |
เพื่อเป็นการจำเป็นในการปฏิบัติตามสัญญาซึ่งท่านเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญานั้น (ม.24 (3)) |
4. การเปิดเผยข้อมูลให้ผู้ว่าจ้างของท่านเมื่อท่านได้ยินยอมให้เปิดเผยข้อมูลส่วนบุคคล
ในกรณีที่หน่วยงานไม่ว่าภาครัฐ เอกชน หรือรัฐวิสาหกิจเป็นผู้ส่งท่านมาตรวจรักษากับคลินิกหรือเป็นผู้ชำระค่าบริการตรวจรักษาให้แก่ท่านคลินิกจะเปิดเผยข้อมูลการตรวจรักษาซึ่งเป็นข้อมูลส่วนบุคคลที่อ่อนไหวให้กับผู้ว่าจ้างของท่านเฉพาะกรณีที่ท่านได้ให้ความยินยอมในการเปิดเผยข้อมูลส่วนบุคคลของท่านให้กับผู้ว่าจ้างเท่านั้น ถ้าท่านไม่ได้ให้ความยินยอมดังกล่าว คลินิกจะส่งผลตรวจรักษาให้ท่านโดยตรง |
ได้รับความยินยอมจากท่าน (ม.26) | |
5. เพื่อวัตถุประสงค์ในการเชื่อมโยงฐานข้อมูลอิเล็กทรอนิกส์ด้านเวชระเบียนระหว่างสถานพยาบาลผ่านโมบายแอพพลิเคชั่น
เมื่อท่านให้ความยินยอม บริษัทฯ จะนำข้อมูลส่วนบุคคลของท่านเข้าสู่ระบบคอมพิวเตอร์ในรูปแบบของโมบายแอพพลิเคชั่นเพื่ออำนวยความสะดวกให้ท่านในการรับคำปรึกษาผ่านแอพพลิเคชั่น และเพื่อให้ท่านสามารถบริหารจัดการข้อมูลได้ผ่านแอพพลิเคชั่น และเพื่อให้เกิดประโยชน์สูงสุด ระบบจะทำการเชื่อมโยงฐานข้อมูลอิเล็กทรอนิกส์ด้านเวชระเบียนระหว่างสถานพยาบาลในเครือข่ายเพื่อให้ท่านสามารถเรียกดูข้อมูลส่วนบุคคลของท่านผ่านอุปกรณ์ต่างๆ ได้ โดยคลินิกมีความตกลงร่วมกับสถานพยาบาลเครือข่ายเพื่อคุ้มครองข้อมูลส่วนบุคคลของท่านให้เป็นไปตามที่ พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด |
– ข้อมูลระบุตัวตน
– ข้อมูลสำหรับการติดต่อ – ข้อมูลด้านสุขภาพ |
ความยินยอมจากท่านใน การเปิดเผยข้อมูลด้านสุขภาพระหว่างสถานพยาบาล (ม.26) |
6. เพื่อวัตถุประสงค์ทางการตลาดของคลินิก
คลินิกและคลินิกในเครืออาจทำการเก็บรวบรวม ใช้ และประมวลผลข้อมูลส่วนบุคคลเพื่อวิเคราะห์สภาวะทันตสุขภาพของท่าน และติดต่อเพื่อสื่อสาร ส่งข้อมูลข่าวสารด้านทันตกรรม และนำเสนอโปรโมชั่น สินค้าและบริการ แก่ท่านตามที่ท่านได้ให้ความยินยอม |
– ข้อมูลระบุตัวตน
– ข้อมูลสำหรับการติดต่อ – ข้อมูลการสมัครข่าวสารและการเข้าร่วมกิจกรรมทางการตลาด |
คลินิกจะดำเนินการในเรื่องนี้ได้หลังจากได้รับความยินยอมจากท่านในการให้คลินิกนำข้อมูลด้านสุขภาพไปใช้เพื่อวัตถุประสงค์ทางการตลาด (ม.26) |
นอกจากวัตถุประสงค์ที่ระบุข้างต้นแล้ว คลินิก จะไม่นำข้อมูลส่วนบุคคลของท่านไปใช้เพื่อวัตถุประสงค์อื่น ยกเว้นในกรณีที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อนุญาต เช่น
- เพื่อการปฏิบัติตามกฎหมายของคลินิก
- เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย
- เพื่อความจำเป็นในการปฏิบัติตามกฎหมายด้านการคุ้มครองแรงงาน การให้สวัสดิการรักษาพยาบาล การประกันสังคม
- เพื่อประโยชน์ด้านสาธารณสุข หรือการคุ้มครองทางสังคมอื่นใดโดยคลินิก จัดให้มีมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิขั้นพื้นฐานและประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
- ผู้ที่ได้รับการเปิดเผยหรือแบ่งปันข้อมูลส่วนบุคคลข้อมูลส่วนบุคคลจากคลินิก
คลินิกจะไม่เปิดเผยข้อมูลส่วนบุคคลของท่านให้บุคคลภายนอก โดยไม่มีฐานการประมวลผลข้อมูลโดยชอบด้วยกฎหมาย ยกเว้นเป็นกรณีที่กฎหมายอนุญาตเพื่อความจำเป็นในการปฏิบัติงาน ซึ่งทำให้คลินิกอาจเปิดเผยข้อมูลส่วนบุคคลได้ในกรณีต่อไปนี้
- เปิดเผยข้อมูลส่วนบุคคลให้หน่วยงานราชการ หน่วยงานผู้มีอำนาจหรือบุคคลใดๆ เมื่อมีกฎหมาย กำหนดหรือให้อำนาจ รวมถึงการปฏิบัติตามคำสั่งศาล
- การเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลหรือนิติบุคคลที่คลินิกจำเป็นต้องปฏิบัติตามสัญญาเพื่อผลประโยชน์ของท่านในฐานะเจ้าของข้อมูลส่วนบุคคล โดยคลินิกกำหนดให้บุคคลหรือนิติบุคคลเหล่านี้ต้องรักษาความลับและคุ้มครองข้อมูลส่วนบุคคลของท่านตามมาตรฐานที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด ซึ่งบุคคลหรือนิติบุคคลในข้อนี้ได้แก่
- หน่วยงานภายในอื่น ๆ ของคลินิก คลินิกอาจทำการเปิดเผยข้อมูลส่วนบุคคลของท่านไปให้กับหน่วยงานภายในอื่น ๆ ของคลินิก เพื่อให้บรรลุวัตถุประสงค์ตามที่ได้กล่าวไว้ข้างต้นในหนังสือแจ้งการประมวลผลข้อมูลส่วนบุคคล ฉบับนี้ เช่น การติดต่อปรึกษาทันตแพทย์หรือบุคลากรที่มีความเชี่ยวชาญในด้านที่จำเป็นแก่การรักษาท่าน เป็นต้น
- ผู้ให้บริการภายนอก คลินิกอาจทำการเปิดเผยข้อมูลส่วนบุคคลของท่านไปให้กับผู้ให้บริการภายนอกในบางกิจกรรม เช่น การให้บริการเซิร์ฟเวอร์สำหรับเว็บไซต์ การวิเคราะห์ข้อมูล การประมวลผลการจ่ายและรับชำระเงิน การทำคำสั่งซื้อ การให้บริการโครงสร้างพื้นฐานเกี่ยวกับเทคโนโลยีสารสนเทศ เป็นต้น บริษัทฯ อาจเก็บข้อมูลส่วนบุคคลไว้ในระบบประมวลผลแบบคลาวด์ (Cloud Computing) โดยใช้บริการจากบุคคลที่สามไม่ว่าตั้งอยู่ในประเทศไทยหรือต่างประเทศ โดยคลินิกได้เข้าทำสัญญากับบุคคลดังกล่าวด้วยความระมัดระวังและพิจารณาถึงระบบรักษาความปลอดภัยในการเก็บรักษาข้อมูลส่วนบุคคลที่ผู้ให้บริการระบบ Cloud Computing นั้นให้กับการคุ้มครองข้อมูลส่วนบุคคล
- หน่วยงานหรือพันธมิตรภายนอกคลินิก คลินิกอาจทำการเปิดเผยข้อมูลส่วนบุคคลของท่านไปให้หน่วยงานหรือพันธมิตรภายนอกคลินิก เช่น การประสานงานกับคลินิกนอกเหนือจากคลินิกในเครือของคลินิก เพื่อติดต่อปรึกษาทันตแพทย์หรือบุคลากรที่มีความเชี่ยวชาญในด้านที่จำเป็นแก่การรักษาท่าน ซึ่งจะทำให้ท่านได้รับบริการทางทันตกรรมที่เหมาะสมหรือมีประสิทธิภาพมากขึ้น
- สถาบันการเงิน คลินิกอาจทำการเปิดเผยข้อมูลส่วนบุคคลของท่านไปให้สถาบันการเงิน ธนาคาร บริษัทบัตรเครดิต บริษัทประกันภัย หรือ หน่วยงานทวงถามหนี้ ตามที่จำเป็นในการทำการจ่ายและรับชำระเงินตามที่มีการร้องขอ โดยคลินิกจะเปิดเผยข้อมูลส่วนบุคคลต่อบุคคลที่มีอำนาจในการเข้าถึงข้อมูลดังกล่าวตามที่กฎหมายกำหนด และสามารถพิสูจน์ได้ว่าตนมีอำนาจในการเข้าถึงดังกล่าวเท่านั้น
- หน่วยงานราชการที่เกี่ยวข้อง คลินิกอาจทำการเปิดเผยข้อมูลส่วนบุคคลของท่านไปยังหน่วยงานราชการที่เกี่ยวข้องเพื่อการปฏิบัติตามกฎหมาย เช่น การรายงานกับหน่วยงานกำกับดูแลต่าง ๆ ที่เกี่ยวข้อง หรือการปฏิบัติตามข้อกำหนดทางกฎหมายอื่นใดที่คลินิกต้องปฏิบัติตาม
คลินิกจะทำการเปิดเผยข้อมูลส่วนบุคคลต่อผู้รับข้อมูลในต่างประเทศ เฉพาะกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ทำได้เท่านั้น ทั้งนี้ คลินิกอาจปฏิบัติตามหลักเกณฑ์การโอนข้อมูลระหว่างประเทศ โดยเข้าทำข้อสัญญามาตรฐานหรือใช้กลไกอื่นที่พึงมีตามกฎหมายว่าด้วยการคุ้มครองข้อมูลที่ใช้บังคับ และคลินิกอาจอาศัยสัญญาการโอนข้อมูล หรือกลไกอื่นที่ได้รับการอนุมัติ เพื่อการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
ในกรณีที่คลินิกจำเป็นต้องส่งข้อมูลส่วนบุคคลของเจ้าของข้อมูลให้แก่บุคคลภายนอก คลินิกจะดำเนินการตามข้ันตอนที่เหมาะสม เพื่อให้มั่นใจว่า บุคคลภายนอกจะดูแลข้อมูลส่วนบุคคลของเจ้าของข้อมูล ไม่ให้เกิดการสูญหาย การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การใช้ การดัดแปลง หรือการเปิดเผยและการใช้งานที่ไม่ถูกต้อง
6. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
- คลินิกใช้มาตรฐานระยะเวลาการเก็บเวชระเบียนตามพระราชบัญญัติสถานพยาบาล พ.ศ. 2541 และ ฉบับแก้ไขล่าสุด โดยหลังจากจำหน่ายผู้ป่วยแล้ว จะเก็บต่ออีก 5 ปี เมื่อครบกำหนด 5 ปี แล้วจะทำลายทิ้งทั้งเวชระเบียบฉบับจริง สำเนา และเวชระเบียนรูปแบบอิเล็กทรอนิกส์
- คลินิกอาจเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้เป็นระยะเวลา ตราบเท่าที่วัตถุประสงค์ของการนำข้อมูลดังกล่าวไปใช้ยังคงมีอยู่ หลังจากนั้น คลินิกจะลบ และทำลายข้อมูลดังกล่าว เว้นแต่กรณีจำเป็นต้องเก็บรักษาข้อมูลต่อไปตามที่กฎหมายที่เกี่ยวข้องกำหนด หรือเพื่อเป็นการคุ้มครองสิทธิประโยชน์ของคลินิก โดยปกติในกรณีทั่วไป ระยะเวลาการเก็บข้อมูลจะไม่เกินกำหนดระยะเวลา 10 (สิบ) ปี เว้นแต่จะมีกฎหมายกำหนดให้เก็บรักษาข้อมูลไว้เป็นระยะเวลานานกว่าที่กำหนดไว้ดังกล่าวข้างต้น หรือหากมีความจำเป็นเพื่อวัตถุประสงค์อื่น ๆ เช่น เพื่อความปลอดภัย เพื่อการป้องกันการละเมิดหรือการประพฤติมิชอบ หรือเพื่อการเก็บบันทึกทางการเงิน
7. มาตรการในการเก็บรักษาและประมวลผลข้อมูลส่วนบุคคล
คลินิกจะใช้มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และมาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) เพื่อป้องกันการเข้าถึงและเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต และสอดคล้องกับการดำเนินงานของคลินิกและมาตรฐานที่รับรองโดยทั่วไป คลินิกกำหนดให้เจ้าหน้าที่ของคลินิกเข้ารับการฝึกอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยของข้อมูล นอกจากนี้ คลินิกยังมีการจัดจ้างผู้ให้บริการภายนอกเพื่อดำเนินการตรวจสอบสถานะให้แน่ใจว่า ผู้ให้บริการภายนอกที่คลินิกทำการว่าจ้างจะมีการใช้มาตรการในการเก็บรวบรวม ประมวลผล โอนย้าย จัดการ และรักษาความม่ันคงปลอดภัยของข้อมูลอย่างเพียงพอในการให้บริการภายใต้วัตถุประสงค์ของคลินิก ในการนี้ คลินิกจะมีการสอบทานและปรับปรุงมาตรการดังกล่าวตามความจำเป็นเพื่อให้แน่ใจว่าการประมวลผลข้อมูลดังกล่าวเป็นไปตามมาตรฐานต่างๆ ของประเทศและกฎระเบียบที่เกี่ยวข้อง
คลินิกจัดทำนโยบายและขั้นตอนวิธีการต่าง ๆ เพื่อการจัดการข้อมูลอย่างปลอดภัย และป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตโดยมีรายละเอียดดังต่อไปนี้
- กำหนดนโยบายและขั้นตอนวิธีการต่าง ๆ เพื่อจัดการข้อมูลอย่างปลอดภัย และตามที่อาจกำหนดเพิ่มเติมในสัญญาระหว่างคลินิกกับท่านแต่ละราย
- จัดให้มีการจำกัดสิทธิลูกจ้างในการเข้าถึงข้อมูลส่วนบุคคล
- ป้องกันการเข้าถึงข้อมูลของท่านโดยไม่ได้รับอนุญาต โดยใช้การเข้ารหัสข้อมูล การตรวจสอบตัวตนและเทคโนโลยีการตรวจจับไวรัส ตามความจำเป็น รวมถึง จัดให้มีช่องทางการสื่อสารแบบปลอดภัยสำหรับข้อมูลดังกล่าวด้วยการเข้ารหัสลับข้อมูลดังกล่าว เช่น จัดให้มีการใช้ Secure Socket Layer (SSL) protocol เป็นต้น
- กำหนดให้ผู้ให้บริการภายนอกที่คลินิกทำการว่าจ้าง ต้องปฏิบัติตามหลักเกณฑ์ ตามกฎหมาย และระเบียบต่าง ๆ ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ติดตามตรวจสอบเว็บไซต์ของคลินิกผ่านหน่วยงานที่มีความเชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยแบบออนไลน์
- จัดให้มีการฝึกอบรมเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่คณะทำงานของคลินิก
- ประเมินผลแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล การจัดการข้อมูล และการรักษาความมั่นคงปลอดภัยของข้อมูลของคลินิกเป็นประจำ
อย่างไรก็ดีแม้ว่าคลินิกจะทุ่มเท และใช้ความพยายามในการดูแลข้อมูลให้มีความปลอดภัย ด้วยการใช้เครื่องมือทางเทคนิคร่วมกับการบริหารจัดการโดยบุคคล เพื่อควบคุมและรักษาความปลอดภัยของข้อมูล มิให้มีการเข้าถึงข้อมูลส่วนตัวหรือข้อมูลที่เป็นความลับของเจ้าของข้อมูลโดยไม่ได้รับอนุญาต แต่อาจไม่สามารถป้องกันความผิดพลาดได้ทุกประการ เช่น การปกป้องข้อมูลของเจ้าของข้อมูลจากการถูกจู่โจมโดยไวรัสคอมพิวเตอร์ หรือถูกเข้าถึงโดยบุคคลที่ไม่มีอำนาจได้ เจ้าของข้อมูลจึงควรติดตามข่าวสารเกี่ยวกับคอมพิวเตอร์ให้ทันสมัยอยู่เสมอ ติดตั้งซอฟต์แวร์ประเภท personal firewall เพื่อป้องกันคอมพิวเตอร์จากการจู่โจม หรือโจรกรรมข้อมูล
8. การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
8.1 ในบางกรณี คลินิกอาจมีความจำเป็นต้องโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศ คลินิกอาจดำเนินการดังกล่าวได้หลังจากที่ได้แจ้งกับท่านถึงวัตถุประสงค์ของการดำเนินการดังกล่าว และได้รับการยินยอมจากท่านแล้ว โดยคลินิกจะแจ้งให้ท่านทราบถึงมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่อาจไม่เพียงพอของประเทศปลายทาง
8.2 ในกรณีที่การโอนข้อมูลส่วนบุคคลไปต่างประเทศนั้นเป็นไปเพื่อปฏิบัติตามสัญญาซึ่งท่านเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของท่านก่อนเข้าทำสัญญานั้น และคลินิกได้แจ้งให้ท่านทราบแล้วถึงเหตุผลของการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ คลินิกสามารถโอนข้อมูลส่วนบุคคลของท่านไปได้โดยไม่ต้องขอความยินยอมจากท่าน
9. สิทธิของเจ้าของข้อมูลส่วนบุคคล
การใช้สิทธิในเรื่องใดๆ ตามที่ระบุไว้ในข้อ 9 นี้ ให้เป็นไปตามหลักเกณฑ์และวิธีการใช้สิทธิของเจ้าของข้อมูล ตามที่กำหนดไว้ในข้อ 10 ของหนังสือแจ้งฉบับนี้ อนึ่ง สิทธิตามที่กำหนดไว้ในข้อ 9 นี้ อาจมีการปรับปรุงแก้ไขให้เป็นไปตามหลักเกณฑ์ที่กฎหมายกำหนด ซึ่งอาจมีการออกหลักเกณฑ์โดยรัฐเป็นคราวๆ คลินิกจะแจ้งให้เจ้าของข้อมูลทราบต่อไป
9.1 สิทธิในการได้รับแจ้งข้อมูล: ในกรณีที่ คลินิกมีการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งไม่เป็นไปตามวัตถุประสงค์ หรือที่นอกเหนือจากความยินยอมใด ๆ ที่ได้ให้ไว้ คลินิกจะแจ้ง และ/หรือข้อความยินยอมจากเจ้าของข้อมูลก่อนการประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกวัตถุประสงค์ดังกล่าว
9.2 สิทธิในการเข้าถึงข้อมูลส่วนบุคคล: เจ้าของข้อมูลมีสิทธิที่จะขอรับสำเนาข้อมูลส่วนบุคคลของตน และมีสิทธิที่จะร้องขอให้ เปิดเผยถึงการได้มาซึ่งข้อมูลของเจ้าของข้อมูล
9.3 สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง: ในกรณีที่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลมีการเปลี่ยนแปลง เจ้าของข้อมูลจะดำเนินการยื่นคำขอแก้ไขข้อมูลดังกล่าวตามวิธีการที่กำหนดไว้ในข้อ 10 ได้ เพื่อทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
9.4 สิทธิในการโอนถ่ายข้อมูลส่วนบุคคล: ในกรณีที่ระบบของคลินิกรองรับเจ้าของข้อมูลมีสิทธิที่จะรับข้อมูลส่วนบุคคลของตน ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ โดยเครื่องมืออุปกรณ์อัตโนมัติ หรือขอให้โอนโดยอัตโนมัติได้
9.5 สิทธิในการขอให้ลบข้อมูลส่วนบุคคล: เจ้าของข้อมูลมีสิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ ในกรณีหนึ่งกรณีใดดังต่อไปนี้
(1) หมดความจำเป็นอีกต่อไปในการเก็บ รวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์
(2) เมื่อเจ้าของข้อมูลถอนความยินยอมในการเก็บ รวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยคลินิก ไม่มีอำนาจตามกฎหมายที่จะประมวลผลข้อมูลนั้นอีกต่อไป
(3) เมื่อเจ้าของข้อมูลคัดค้านการประมวลผลข้อมูลส่วนบุคคล หรือ
(4) เมื่อข้อมูลส่วนบุคคลได้ถูกประมวลผลโดยไม่ชอบด้วยกฎหมายคุ้มครองข้อมูลส่วนบุคคล
9.6 สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล: เจ้าของข้อมูลมีสิทธิขอให้ คลินิกระงับการใช้ข้อมูลส่วนบุคคลได้ดังนี้
(1) เมื่อคลินิกอยู่ระหว่างการตรวจสอบข้อมูลตามที่เจ้าของข้อมูลร้องขอให้ดำเนินการปรับปรุงเพื่อทำให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
(2) เมื่อเป็นข้อมูลที่ต้องลบหรือทำลายตามข้อ 9.5 แต่เจ้าของข้อมูลขอให้ระงับการใช้ข้อมูลแทน
(3) เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ แต่เจ้าของข้อมูลขอให้ คลินิกเก็บรักษาข้อมูลไว้ก่อนเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
(4) เมื่อคลินิกอยู่ในระหว่างการพิสูจน์การเก็บรวมรวมข้อมูลส่วนบุคคล หรืออยู่ระหว่างตรวจสอบการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ตามที่กฎหมายกำหนด
9.7 สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล: เจ้าของข้อมูลมีสิทธิที่จะคัดค้านการเก็บ รวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับตนได้ ในกรณีดังต่อไปนี้
(1) เป็นข้อมูลที่คลินิกได้มีการเก็บรวมรวมข้อมูลดังกล่าว (ก) จากการปฏิบัติหน้าที่ของคลินิกจากคำสั่งของรัฐ หรือ (ข) จากความจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของ คลินิกหรือของนิติบุคคลอื่น
(2) เป็นกรณีที่คลินิกประมวลผลข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์เกี่ยวกับการตลาดแบบตรง
(3) เป็นกรณีที่คลินิกประมวลผลข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยในด้านต่าง ๆ ที่กฎหมายกำหนด ซึ่งรวมถึงทางสถิติ
9.8 สิทธิในการเพิกถอนความยินยอม: เจ้าของข้อมูลมีสิทธิที่จะเพิกถอนความยินยอมเมื่อใดก็ได้ โดยการถอนความยินยอมดังกล่าวจะไม่กระทบต่อการประมวลผลข้อมูลส่วนบุคคลใด ๆ ที่เจ้าของข้อมูลได้ให้ความยินยอมไปแล้วก่อนหน้านี้ ทั้งนี้ หากการถอนความยินยอมจะส่งผลกระทบต่อข้อมูลส่วนบุคคลในเรื่องใด คลินิกจะแจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบจากการถอนความยินยอม
อนึ่ง คลินิกอาจปฏิเสธคำขอใช้สิทธิข้างต้น หากการดำเนินการใด ๆ เป็นไปเพื่อวัตถุประสงค์หรือเป็นกรณีที่ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล หรือเป็นกรณีที่อาจส่งผลกระทบและก่อให้เกิดความเสียหายต่อสิทธิหรือเสรีภาพของเจ้าของข้อมูลหรือบุคคลอื่น หรือเป็นการดำเนินการเพื่อการศึกษาวิจัยทางสถิติที่มีมาตรการปกป้องข้อมูลที่เหมาะสม หรือเพื่อการก่อตั้งสิทธิเรียกร้อง การปฏิบัติตามหรือการใช้สิทธิเรียกร้องหรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
10. หลักเกณฑ์และวิธีการใช้สิทธิของเจ้าของข้อมูล
1 |
|
2 |
|
3 |
|
4 |
|
5 |
|
หมายเหตุ:
- การดำเนินการตามข้ันตอนข้างต้น จะใช้เวลาไม่เกินกว่า 30 (สามสิบ) วันนับจากวันที่ได้รับคำร้องขอและเอกสารประกอบคำร้องขอครบถ้วน
- การดำเนินการตามคำร้องขอข้างต้นไม่มีค่าใช้จ่าย อย่างไรก็ดีหากการดำเนินการตามคำร้องขอส่วนใดมีค่าใช้จ่าย คลินิกจะแจ้งให้เจ้าของข้อมูลทราบก่อนดำเนินการ
11. การเปลี่ยนแปลงนโยบายคุ้มครองข้อมูลส่วนบุคคล
คลินิกอาจมีปรับปรุงหนังสือแจ้งนี้เป็นครั้งคราว เพื่อให้แน่ใจว่าเนื้อหาจะมีความเหมาะสมและเป็นปัจจุบัน หากคลินิกมีการเปลี่ยนแปลงในสาระสำคัญเกี่ยวกับแนวปฏิบัติว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล คลินิก จะปรับปรุงและแก้ไขหนังสือแจ้งฉบับนี้และแสดงบนเว็บไซต์ของคลินิกเพื่อให้ท่านได้ทราบถึงวิธีการที่คลินิกเก็บรวบรวม ใช้จัดการ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคล
12. การเข้าถึงข้อมูลและสถานที่ติดต่อ
ในกรณีที่เจ้าของข้อมูลมีคำถามเกี่ยวกับการใช้สิทธิของตน หรือความยินยอมที่เจ้าของข้อมูลได้ให้ไว้ ท่านสามารถติดต่อได้ที่
ส่งถึง: คลินิกทันตกรรมในนาม บริษัท มอสเดนทอล จำกัด
E-MAIL : mosdentalclinic@gmail.com Tel . 089-129-3110
คุณสามารถ Download หนังสือแจ้งการประมวลผลข้อมูลส่วนบุคคล ได้ที่ link นี้