บริษัท วัน เมดิก จำกัด ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลและข้อมูลอื่นเกี่ยวกับท่าน (รวมเรียกว่า "ข้อมูล") เพื่อให้ท่านสามารถเชื่อมั่นได้ว่า บริษัท วัน เมดิก จำกัด มีความโปร่งใสและความรับผิดชอบในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลของท่านตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ("กฎหมายคุ้มครองข้อมูลส่วนบุคคล") รวมถึงกฎหมายอื่นที่เกี่ยวข้อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล ("นโยบาย") นี้จึงได้ถูกจัดทำขึ้นเพื่อชี้แจงแก่ท่านถึงรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผย (รวมเรียกว่า "ประมวลผล") ข้อมูลส่วนบุคคลซึ่งดำเนินการโดย บริษัท วัน เมดิก จำกัด รวมถึงเจ้าหน้าที่และบุคคลที่เกี่ยวข้องผู้ดำเนินการแทนหรือในนามของ บริษัท วัน เมดิก จำกัด โดยมีเนื้อหาสาระดังต่อไปนี้
1. คำนิยาม
"สถานพยาบาลฯ" หมายถึง สถานพยาบาล ห้องพยาบาล และ/หรือห้องปฐมพยาบาล ที่ทางบริษัท วัน เมดิก จำกัด เป็นผู้ดำเนินการ และบริหารจัดการ
"ข้อมูลส่วนบุคคล" หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่า ทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
"ข้อมูลส่วนบุคคลอ่อนไหว" หมายถึง ข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา 26 แห่ง
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้แก่ ข้อมูลส่วนบุคคลที่เกี่ยวกับเชื้อชาติ
เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติ
อาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น
ข้อมูลลายนิ้วมือ ข้อมูลภาพจำลองใบหน้า ข้อมูลภาพจำลองม่านตา) หรือข้อมูลอื่นใดซึ่งกระทบต่อ
เจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการประกาศกำหนด
"การประมวลผลข้อมูลส่วนบุคคล" หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น เก็บ
รวบรวม บันทึก สำเนา จัดระเบียบ เก็บรักษา ปรับปรุง เปลี่ยนแปลง ใช้ กู้คืน เปิดเผย ส่งต่อ เผยแพร่
โอน รวม ลบ ทำลาย เป็นต้น
"เจ้าของข้อมูลส่วนบุคคล" หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่สถานพยาบาลฯ เก็บ
รวบรวม ใช้ หรือเปิดเผย
"ผู้ควบคุมข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บ
รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
"ผู้ประมวลผลข้อมูลส่วนบุคคล" หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติ
บุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
2. แหล่งที่มาของข้อมูลส่วนบุคคล
สถานพยาบาลฯ เก็บรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่างๆ จากแหล่งข้อมูลดังต่อไปนี้
1)
2)
3)
4)
นอกจากนี้ ยังหมายความรวมถึงกรณีที่ท่านเป็นผู้ให้ข้อมูลส่วนบุคคลของบุคคลภายนอกแก่สถานพยาบาลฯ ดังนี้ ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดตามนโยบายนี้หรือประกาศของบริการ ตามแต่กรณี ให้บุคคลดังกล่าวทราบ ตลอดจนขอความยินยอมจากบุคคลนั้นหากเป็นกรณีที่ต้องได้รับความยินยอมใน การเปิดเผยข้อมูลแก่ สถานพยาบาลฯ
ทั้งนี้ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลที่มีความจำเป็นในการให้บริการของ สถานพยาบาลฯ อาจเป็นผลให้สถานพยาบาลฯ ไม่สามารถให้บริการได้อย่างถูกต้องแก่เจ้าของข้อมูลส่วนบุคคลดังกล่าวได้ทั้งหมดหรือบางส่วน
3. ข้อมูลส่วนบุคคลที่สถานพยาบาลฯ เก็บรวบรวม
ข้อมูลที่สถานพยาบาลฯเก็บรวบรวม สามารถจำแนกออกเป็นประเภทดังต่อไปนี้
| ประเภทข้อมูลส่วนบุคคล |
รายละเอียด |
| 1. ข้อมูลระบุตัวตน |
เช่น ชื่อ นามสกุล เพศ วันเดือนปีเกิด รูปถ่ายใบหน้า เลขที่บัตรประจำตัวประชาชน หนังสือเดินทาง หรือหมายเลขที่ระบุตัวตนอื่นๆ
|
| 2. ข้อมูลสำหรับการติดต่อ |
เช่น ที่อยู่ หมายเลขโทรศัพท์ หมายเลขโทรศัพท์มือถือ อีเมล์
|
| 3. ข้อมูลเพื่อประกอบการวินิจฉัยโรค/เพื่อติดตามการรักษา |
เช่น ข้อมูลการรักษาพยาบาล รายงานที่เกี่ยวกับสุขภาพกาย และสุขภาพจิต การดูแลสุขภาพของผู้รับบริการ การวินิจฉัยรักษา ชื่อโรคที่ได้รับการวินิจฉัย ข้อมูลที่เกี่ยวข้องกับการใช้ยา รายการยาที่แพทย์ได้สั่ง ผลการทดสอบจากห้องทดลอง ผลการทดสอบจากห้องปฏิบัติการ ผลเลือด ผลตรวจชิ้นเนื้อ ทางพยาธิวิทยา ภาพถ่ายทางรังสีวิทยาและรายงานผลการ
ตรวจทางรังสีวิทยา ข้อมูลที่จำเป็นต่อการให้บริการทาง
การแพทย์และการรักษา ข้อมูลผลการรักษา ข้อมูล
คำแนะนำในการรักษาและปฏิบัติตัวระหว่างการรักษา
ข้อมูลปัจจัยเสี่ยง ข้อมูลการประสบอุบัติเหตุ พฤติกรรมการใช้ชีวิต การบริโภค หรือพฤติกรรมการนอน รวมไปถึงการถ่ายภาพนิ่ง ภาพเคลื่อนไหว หรือการกระทำใดๆ ตามหลักวิชาชีพที่เกี่ยวข้อง เป็นต้น
|
| 4. ข้อมูลอ่อนไหว |
เช่น ศาสนา ข้อมูลสุขภาพ รวมถึง หมู่โลหิต ประวัติการ
เจ็บป่วย ประวัติการรักษาพยาบาล ประวัติการแพ้ยาหรือแพ้อาหาร ประวัติการพบแพทย์เวชกรรม แพทย์แผนไทย ผู้ประกอบวิชาชีพด้านสุขภาพ ประวัติทันตกรรม ประวัติกายภาพบำบัด ความต้องการพิเศษในการรักษาพยาบาลข้อมูลชีวภาพ เช่น ข้อมูลพันธุกรรม พฤติกรรมทางเพศ เป็นต้น
|
| 5. ข้อมูลการเงิน |
เช่น สิทธิ์การรักษา ข้อมูลการเรียกเก็บเงิน ข้อมูลบัตรเครดิต หรือเดบิต รายละเอียดบัญชีธนาคาร ข้อมูลเงินเดือน ข้อมูลใบเสร็จ ข้อมูลใบราคา ข้อมูลสังคมสงเคราะห์
|
| 6. ข้อมูลสิทธิประโยชน์การรักษาพยาบาล |
เช่น สิทธิประกันสุขภาพถ้วนหน้า ประกันสังคม สวัสดิการราชการ หรือ สวัสดิการอื่นๆ การประกันสุขภาพและประกันภัย
|
| 7. ข้อมูลสถิติ (Statistical Data) |
เช่น ข้อมูลที่ไม่ระบุตัวตน จำนวนผู้ป่วย และจำนวนการเข้าชมเว็บไซต์
|
8. ข้อมูลการสมัครข่าวสารและการเข้าร่วมกิจกรรมทางการตลาด
(Marketing Data)
|
เช่น ข้อมูลการลงทะเบียนเพื่อรับข่าวสารและเข้าร่วมกิจกรรมทางการตลาด
|
| 9. ข้อมูลจากการเข้าชมเว็บไซต์ (Technical Data)
|
เช่น หมายเลข IP Address ของคอมพิวเตอร์ ชนิดของบราวเซอร์ข้อมูล Cookies การตั้งค่าเรื่องเขตเวลา (time zone) ระบบปฏิบัติการ แพลตฟอร์มและเทคโนโลยีของอุปกรณ์ที่ใช้เข้าเว็บไชต์ และระบบการนัดหมายผู้ป่วย
|
| 10. ข้อมูลบัญชีผู้ใช้ |
เช่น ชื่อผู้ใช้ รหัสผ่าน ที่ใช้เพื่อการเข้าถึงเว็บไซต์ หรือแอปพลิเคชั่น
|
| 11. ข้อมูลอื่นๆ |
เพื่อประโยชน์ในการให้บริการสุขภาพและเพื่อการดูแลสุขภาพของเจ้าของข้อมูล
|
4. วัตถุประสงค์ของการประมวลผลข้อมูล (การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล) ส่วนบุคคล
สถานพยาบาลฯ มีวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล ดังนี้
1)
2)
3)
4)
5)
6)
7)
8)
5. ระยะเวลาในการจัดเก็บข้อมูล
สถานพยาบาลฯ จะเก็บรักษาข้อมูลส่วนบุคคลของท่านไว้เป็นระยะเวลา ตราบเท่าที่วัตถุประสงค์ของการนำข้อมูลดังกล่าวไปใช้ยังคงมีอยู่ หลังจากนั้นสถานพยาบาลฯ จะลบ ทำลายข้อมูล หรือทำให้ไม่สามารถระบุตัวตนได้ เว้นแต่กรณีจำเป็นต้องเก็บรักษาข้อมูลต่อไปตามที่กฎหมายที่เกี่ยวข้องกำหนด หรือเพื่อเป็นการคุ้มครองสิทธิประโยชน์ของสถานพยาบาลฯ
โดยปกติในกรณีทั่วไประยะเวลาการเก็บข้อมูลจะไม่เกินกำหนดระยะเวลา 10 (สิบ) ปี เว้นแต่จะมีกฎหมายกำหนดให้เก็บรักษา ข้อมูลไว้เป็นระยะเวลานานกว่าที่กำหนดไว้ดังกล่าวข้างต้น หรือหากมีความจำเป็นเพื่อวัตถุประสงค์อื่น ๆ เช่น เพื่อความปลอดภัย เพื่อการป้องกันการละเมิดหรือการประพฤติมิชอบ หรือเพื่อการเก็บบันทึกทางการเงิน
6. การเปิดเผยหรือแบ่งปันข้อมูลส่วนบุคคล
สถานพยาบาลฯ จะไม่เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลโดยไม่มีฐานการประมวลผลข้อมูลโดยชอบด้วย กฎหมาย โดยข้อมูลของท่านอาจถูกเปิดเผย หรือโอนไปยังองค์กร หน่วยงานของรัฐ หรือบุคคลภายนอก รวมถึงโรงพยาบาลหรือหน่วยงานภายในอื่น ๆ ของสถานพยาบาลฯ เพื่อให้บรรลุวัตถุประสงค์ในการดำเนินการ ดังนี้
1)
2)
3)
4)
5)
ในกรณีที่สถานพยาบาลฯ จำเป็นต้องส่งข้อมูลส่วนบุคคลของเจ้าของข้อมูลให้แก่บุคคลภายนอกสถานพยาบาลฯจะดำเนินการตามขั้นตอนที่เหมาะสม เพื่อให้มั่นใจว่า บุคคลภายนอกจะดูแลข้อมูลของเจ้าของข้อมูล ไม่ให้เกิดการสูญหาย การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การใช้ การดัดแปลง หรือการเปิดเผยและการใช้งานที่ไม่ถูกต้อง
7. การโอนข้อมูลไปต่างประเทศ
สถานพยาบาลฯ จะทำการเปิดเผยข้อมูลส่วนบุคคลต่อผู้รับข้อมูลในต่างประเทศ เฉพาะกรณีที่กฎหมายคุ้มครอง ข้อมูลส่วนบุคคลกำหนดให้ทำได้เท่านั้น ทั้งนี้ สถานพยาบาลฯอาจปฏิบัติตามหลักเกณฑ์การโอนข้อมูลระหว่างประเทศ โดยเข้าทำข้อสัญญามาตรฐานหรือใช้กลไกอื่นที่พึงมีตามกฎหมายว่าด้วยการคุ้มครองข้อมูลที่ใช้บังคับ และสถานพยาบาลฯอาจอาศัยสัญญาการโอนข้อมูล หรือกลไกอื่นที่ได้รับการอนุมัติ เพื่อการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
8. มาตรการรักษาความปลอดภัยของข้อมูล
สถานพยาบาลฯ จะใช้มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งครอบคลุมถึง มาตรการป้องกัน ด้านการบริหารจัดการ (Administrative Safeguard) มาตรการป้องกันด้านเทคนิค (Technical Safeguard) และ มาตรการป้องกันทางกายภาพ (Physical Safeguard) ในเรื่องการเข้าถึง หรือควบคุมการใช้งานข้อมูลส่วนบุคคล (Access Control) เพื่อป้องกันการเข้าถึงและเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต และสอดคล้องกับการดำเนินงานของสถานพยาบาลฯและมาตรฐานที่รับรองโดยทั่วไป
สถานพยาบาลฯ กำหนดให้เจ้าหน้าที่ของสถานพยาบาลฯเข้ารับการฝึกอบรมเกี่ยวกับ การคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัยของข้อมูล
การจัดจ้างผู้ให้บริการภายนอก สถานพยาบาลฯจะมีการสอบทานและปรับปรุงมาตรการต่างๆ เพื่อให้แน่ใจว่าผู้ให้บริการภายนอกที่สถานพยาบาลฯทำการว่าจ้างจะมีการใช้มาตรการในการ เก็บรวบรวม ประมวลผลโอนย้าย จัดการ และรักษาความมั่นคงปลอดภัยของข้อมูลอย่างเพียงพอในการให้บริการภายใต้วัตถุประสงค์ของสถานพยาบาลฯ เป็นไปตามมาตรฐานต่าง ๆ ของประเทศ และกฎระเบียบที่เกี่ยวข้อง
สถานพยาบาลฯ จัดทำนโยบายและขั้นตอนวิธีการต่าง ๆ เพื่อการจัดการข้อมูลอย่างปลอดภัย และป้องกันการ เข้าถึงโดยไม่ได้รับอนุญาตโดยมีรายละเอียดดังต่อไปนี้
-
-
-
-
-
-
-
อย่างไรก็ดีแม้ว่าสถานพยาบาลฯ จะทุ่มเทและใช้ความพยายามในการดูแลข้อมูลให้มีความปลอดภัย ด้วยการใช้เครื่องมือ ทางเทคนิคร่วมกับการบริหารจัดการโดยบุคคล เพื่อควบคุมและรักษาความปลอดภัยของข้อมูล มิให้มีการเข้าถึงข้อมูลส่วนตัวหรือข้อมูลที่เป็นความสับของเจ้าของข้อมูลโดยไม่ได้รับอนุญาต แต่ไม่อาจรับประกันได้ว่าจะสามารถป้องกันความผิดพลาดได้ทุกประการ
9. สิทธิของเจ้าของข้อมูล
ในฐานะเจ้าของข้อมูลส่วนบุคคลท่านมีสิทธิร้องขอให้สถานพยาบาลฯ ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของท่าน ตามขอบเขตที่กฎหมายอนุญาตให้กระทำได้ ดังนี้
9.1
9.2
9.3
9.4
9.5
9.6
อนึ่ง สถานพยาบาลฯ อาจปฏิเสธคำขอใช้สิทธิข้างต้น หากการดำเนินการใด ๆ เป็นไปเพื่อวัตถุประสงค์ หรือเป็นกรณีที่ ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล หรือเป็นกรณีที่อาจส่งผลกระทบและก่อให้เกิดความเสียหายต่อสิทธิหรือเสรีภาพของเจ้าของข้อมูลหรือบุคคลอื่น หรือเป็นการดำเนินการเพื่อการศึกษาวิจัยทางสถิติที่มีมาตรการปกป้องข้อมูลที่เหมาะสม หรือเพื่อการก่อตั้งสิทธิเรียกร้อง การปฏิบัติตามหรือการใช้สิทธิเรียกร้องหรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
หากท่านต้องการใช้สิทธิ สามารถติดต่อมายังเจ้าหน้าที่ประสานงานคุ้มครองข้อมูลส่วนบุคคล ประจำหน่วยงาน เพื่อดำเนินการยื่นคำร้องขอตำเนินการตามสิทธิข้างต้น ได้ตามช่องทางใน ข้อ 11
10. การปรับปรุงนโยบายการประมวลผลข้อมูลส่วนบุคคล
สถานพยาบาลฯ อาจมีปรับปรุงเนื้อหาของหนังสือแจ้งการประมวลผลนี้เป็นครั้งคราว เพื่อให้แน่ใจว่าเนื้อหาจะมีความเหมาะสมและเป็นปัจจุบัน หาก สถานพยาบาลฯ มีการปรับปรุงและแก้ไขหนังสือแจ้งฉบับนี้จะแสดงบนทางเว็บไชต์ https://www.onemedicapp.com ของสถานพยาบาลฯ
11. ช่องทางการติดต่อ
ในกรณีที่เจ้าของข้อมูลต้องการใช้สิทธิ หรือมีคำถามเกี่ยวกับการใช้สิทธิของตน หรือความยินยอมที่เจ้าของข้อมูลไต้ให้ไว้ ท่านสามารถติดต่อได้ที่
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
สถานที่ติดต่อ 519/10 ถนนนวมินทร์ แขวงคลองกุ่ม เขตบึงกุ่ม กรุงเทพมหานคร 10240
โทรศัพท์ 02-663-8480 ต่อ 11
หนังสือแจ้งการประมวลผลข้อมูลส่วนบุคคลนี้ มีผลบังคับใช้ตั้งแต่วันที่ 1 มิถุนายน พ.ศ. 2565
(นางสาวกรรณิกา วงศ์สุภา)
กรรมการผู้จัดการบริษัท