นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) บริษัท โรงพยาบาลไทยนครินทร์ จำกัด (มหาชน) สำหรับกลุ่มหน่วยงานภายนอก และผู้มาติดต่อทางธุรกิจ

Thainakarin Hospital PCL (ต่อไปในนโยบายนี้เรียกว่า “โรงพยาบาล”)ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลของท่าน (ต่อไปในนโยบายนี้เรียกว่า “ท่าน” หรือ “เจ้าของข้อมูลส่วนบุคคล”)เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถเชื่อมั่นได้ว่า โรงพยาบาล มีความโปร่งใสและความรับผิดชอบในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) รวมถึงกฎหมายอื่นที่เกี่ยวข้อง

นโยบายการคุ้มครองข้อมูลส่วนบุคคล (“นโยบาย”) ฉบับนี้จัดทำขึ้นเพื่อชี้แจงรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผย (รวมเรียกว่า “ประมวลผล”) ข้อมูลส่วนบุคคลซึ่งดำเนินการโดยโรงพยาบาล รวมถึงเจ้าหน้าที่และบุคคลที่เกี่ยวข้องซึ่งดำเนินการแทนหรือในนามของโรงพยาบาล โดยมีจุดมุ่งหมายเพื่อให้การประมวลผลข้อมูลส่วนบุคคลของท่านเป็นไปอย่างเหมาะสม โปร่งใส มีมาตรการรักษาความปลอดภัยที่เพียงพอ โดยมีเนื้อหาดังต่อไปนี้เป็นไปอย่างเหมาะสม โปร่งใส มีมาตรการรักษาความปลอดภัยที่เพียงพอ โดยมีเนื้อหาดังต่อไปนี้

  1. ขอบเขตการบังคับใช้นโยบาย

นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ใช้บังคับกับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่มีปฏิสัมพันธ์หรือติดต่อกับโรงพยาบาล ไม่ว่าจะในปัจจุบันหรือในอนาคต โดยโรงพยาบาลอาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านโดยตรงจากท่าน หรือจากแหล่งอื่นตามเงื่อนไขที่กฎหมายกำหนด ทั้งนี้ ข้อมูลส่วนบุคคลดังกล่าวอาจถูกประมวลผลโดยลูกจ้าง บุคลากร เจ้าหน้าที่ หน่วยธุรกิจ หรือหน่วยงานในรูปแบบอื่นใดของโรงพยาบาล รวมถึงโดยคู่สัญญาหรือบุคคลภายนอกซึ่งดำเนินการแทนหรือในนามของโรงพยาบาล (ต่อไปนี้เรียกว่า “ผู้ประมวลผลข้อมูลส่วนบุคคล”)

เจ้าของข้อมูลส่วนบุคคลตามความในย่อหน้าแรก รวมถึงแต่ไม่จำกัดเพียง

  1. คู่สัญญา ซึ่งรวมถึงบุคคลธรรมดาและนิติบุคคล ตลอดจนกรรมการบริษัท ผู้มอบอำนาจ และผู้รับมอบอำนาจของทุกฝ่ายในสัญญา
  2. ผู้แทนหรือผู้ติดต่อของบริษัทคู่ค้า
  3. ตัวแทนประกันภัย ซึ่งปฏิบัติหน้าที่แทนบริษัทประกันภัยหรือบริษัทนายหน้าประกันภัย
  4. บุคลากรขององค์กรภายนอกที่ขอใช้พื้นที่จอดรถภายในโรงพยาบาล
  5. บุคลากรขององค์กรที่เป็นผู้เอาประกันภัย และ ผู้รับผลประโยชน์ ตามกรมธรรม์ประกันภัย
  6. เจ้าหน้าที่ของหน่วยงานราชการ หน่วยงานรัฐวิสาหกิจ องค์กรภาครัฐ องค์กรระหว่างประเทศ หรือหน่วยงานอื่นใด ที่มีปฏิสัมพันธ์หรือดำเนินการร่วมกับโรงพยาบาล

ซึ่งเรียกรวมกันในนโยบายนี้ว่า “ท่าน

นอกจากนโยบายฉบับนี้แล้ว โรงพยาบาล อาจกําหนดให้มีคำประกาศเกี่ยวกับความเป็นส่วนตัว (“ประกาศ”) สําหรับกิจกรรมการประมวลผลที่เฉพาะเจาะจง เพื่อชี้แจงให้เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงการประมวลผลข้อมูลส่วนบุคคล วัตถุประสงค์ และฐานทางกฎหมายในการประมวลผล ระยะเวลาในการประมวลผลและเก็บรักษาข้อมูลส่วนบุคคล รวมถึงสิทธิที่เจ้าของข้อมูลส่วนบุคคลพึงมีในกิจกรรมการประมวลผลนั้น ๆ เป็นการเฉพาะ

  • คำนิยาม
    • ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม รวมถึงแต่ไม่จำกัดเพียง ชื่อ-นามสกุล ข้อมูลการติดต่อ (เช่น ที่อยู่ หมายเลขโทรศัพท์ อีเมล) เลขประจำตัวประชาชน เลขหนังสือเดินทาง หมายเลขเวชระเบียน ข้อมูลการจ้างงาน ข้อมูลทางการเงิน ข้อมูลที่ได้จากอุปกรณ์อิเล็กทรอนิกส์ ภาพถ่าย หรือหมายเลขอ้างอิงอื่นใดที่สามารถระบุตัวเจ้าของข้อมูลส่วนบุคคลได้ โดยข้อมูลดังกล่าวอาจเก็บในรูปแบบเอกสาร (กระดาษ) รูปแบบอิเล็กทรอนิกส์ หรือในระบบสารสนเทศ

ทั้งนี้ ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

  • ข้อมูลส่วนบุคคลอ่อนไหว หมายถึง ข้อมูลส่วนบุคคลตามมาตรา 26 แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล ได้แก่ ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลจำลองลายนิ้วมือ ข้อมูลภาพจำลองใบหน้า) หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
    • เจ้าของข้อมูลส่วนบุคคล หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลนั้นสามารถเชื่อมโยงไปถึง
    • การประมวลผลข้อมูลส่วนบุคคล หมายถึง การจัดเก็บ เก็บรวบรวม บันทึก ทำสำเนา จัดระเบียบ เข้าถึง เก็บรักษา ปรับปรุง เปลี่ยนแปลง ใช้ กู้คืน เปิดเผย ส่งต่อ เผยแพร่ โอน ลบ หรือทำลายข้อมูลส่วนบุคคล ไม่ว่าจะด้วยวิธีการใด
    • ผู้ควบคุมข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ในเอกสารนี้ให้หมายความถึง โรงพยาบาล
    • ผู้ประมวลผลข้อมูลส่วนบุคคล หมายถึง บุคคลหรือนิติบุคคล (ผู้รับจ้างภายนอก) ซึ่งดำเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล                โดยผู้ประมวลผลข้อมูลส่วนบุคคลต้องไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลสำหรับการประมวลผลนั้น ๆ
  • หลักการคุ้มครองข้อมูลส่วนบุคคล

โรงพยาบาลจะปฏิบัติตามหลักการคุ้มครองข้อมูลส่วนบุคคลในการประมวลผลข้อมูลส่วนบุคคล ดังต่อไปนี้

  • หลักความชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส (Lawfulness, Fairness and Transparency)

โรงพยาบาลจะประมวลผลข้อมูลส่วนบุคคลโดยมีฐานทางกฎหมาย และแจ้งรายละเอียดเกี่ยวกับการประมวลผล วัตถุประสงค์ ฐานทางกฎหมาย ระยะเวลาเก็บรักษา และสิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างชัดเจน

  • หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

โรงพยาบาลจะประมวลผลข้อมูลส่วนบุคคลภายใต้ขอบเขตและวัตถุประสงค์ที่ได้กำหนดและแจ้งไว้แก่เจ้าของข้อมูลส่วนบุคคล โรงพยาบาลจะไม่ประมวลผลข้อมูลนอกเหนือจากวัตถุประสงค์ เว้นแต่ได้แจ้งวัตถุประสงค์ใหม่และได้รับความยินยอม หรือมีกฎหมายให้กระทำได้

  • หลักการเก็บรวบรวมข้อมูลส่วนบุคคลให้น้อยที่สุด (Data Minimization)

โรงพยาบาลจะเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นเพื่อบรรลุวัตถุประสงค์อันชอบด้วยกฎหมาย

  • หลักความถูกต้องครบถ้วน (Accuracy)

โรงพยาบาลจะดำเนินการให้มั่นใจว่าข้อมูลส่วนบุคคลมีความถูกต้อง ครบถ้วน เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด

  • หลักการจำกัดระยะเวลาเก็บรักษา (Storage Limitation)

โรงพยาบาลจะกำหนดระยะเวลาเก็บรักษาข้อมูลส่วนบุคคล และดำเนินการลบหรือทำลายเมื่อพ้นกำหนดหรือเกินความจำเป็น เว้นแต่กฎหมายกำหนดให้เก็บรักษาไว้ต่อ

  • หลักการรักษาความมั่นคงปลอดภัยและความลับ (Integrity and Confidentiality)

โรงพยาบาลจะจัดให้มีมาตรการด้านความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลโดยมิชอบ

  • หลักความรับผิดชอบ (Accountabillity)

โรงพยาบาลมีความรับผิดชอบต่อข้อมูลส่วนบุคคล และจะดำเนินการตามหลักการในข้อ  4.1 – 4.6 อย่างเคร่งครัด

  • ประเภทและข้อมูลส่วนบุคคลที่มีการประมวลผล
No.ประเภทข้อมูลส่วนบุคคลข้อมูลส่วนบุคคลกลุ่มเจ้าของข้อมูลส่วนบุคคล
1.ข้อมูลส่วนตัวชื่อ-นามสกุลเพศเลขประจำตัวประชาชน / ข้อมูลที่ปรากฏบนบัตรประจำตัวประชาชนลายมือชื่อรหัสบุคลากร (ถ้ามี)ตำแหน่งงาน / แผนกที่สังกัดตัวแทนประกันภัยบุคลากรขององค์กรภายนอกที่ขอใช้พื้นที่จอดรถภายในโรงพยาบาลบุคลากรขององค์กรที่เป็นผู้เอาประกันภัย และผู้รับผลประโยชน์ตามกรมธรรม์ประกันภัยผู้แทนหรือผู้ติดต่อของบริษัทคู่ค้า (Vendor/Supplier)คู่สัญญา (บุคคลธรรมดาและนิติบุคคล รวมถึงกรรมการบริษัท ผู้มอบอำนาจ และผู้รับมอบอำนาจ)
2.ข้อมูลการติดต่อที่อยู่หมายเลขโทรศัพท์อีเมลตัวแทนประกันภัยบุคลากรขององค์กรภายนอกที่ขอใช้พื้นที่จอดรถภายในโรงพยาบาลผู้แทนหรือผู้ติดต่อของบริษัทคู่ค้า (Vendor/Supplier)
3.ข้อมูลเกี่ยวกับสิทธิ / คุณสมบัติข้อมูลการเป็นตัวแทนประกันจากบริษัทข้อมูลคุณสมบัติ เช่น ตำแหน่งงานตัวแทนประกันภัยคู่สัญญา
4.ข้อมูลอื่น ๆทะเบียนรถ ความเกี่ยวข้องกับบุคลากร (กรณีผู้รับผลประโยชน์)บุคลากรขององค์กรภายนอกที่ขอใช้พื้นที่จอดรถภายในโรงพยาบาลบุคลากรขององค์กรที่เป็นผู้เอาประกันภัย และผู้รับผลประโยชน์ตามกรมธรรม์ประกันภัย
  • แหล่งที่มาของข้อมูลส่วนบุคคลที่โรงพยาบาลเก็บรวบรวม

โรงพยาบาลอาจเก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลจากแหล่งข้อมูลต่าง ๆ ดังต่อไปนี้

  • เก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงผ่านการติดต่อแบบต่อหน้า หรือผ่านช่องทาง             ต่าง ๆ เช่น การสมัคร การลงทะเบียน การลงนามในสัญญาหรือเอกสาร การทำแบบสำรวจ การใช้งานผลิตภัณฑ์หรือบริการ การใช้งานเว็บไซต์ของโรงพยาบาล โดยใช้คุกกี้ (Cookies) หรือซอฟต์แวร์บนอุปกรณ์ของท่าน รวมถึงช่องทางอื่น ๆ ที่ โรงพยาบาลควบคุมดูแล
    • เก็บรวบรวมจากแหล่งอื่นที่มีอำนาจหน้าที่ เหตุผลทางกฎหมาย หรือได้รับความยินยอมจากเจ้าของข้อมูลในการเปิดเผยข้อมูลแก่โรงพยาบาล นอกจากนี้ ยังหมายความรวมถึงกรณีที่ท่านเป็นผู้ให้ข้อมูลส่วนบุคคลของบุคคลภายนอกแก่โรงพยาบาล  ดังนั้น  ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดประกาศความเป็นส่วนตัวให้บุคคลดังกล่าวทราบ ตลอดจนขอความยินยอม                         จากบุคคลนั้น  หากเป็นกรณีที่ต้องได้รับความยินยอมในการเปิดเผยข้อมูลแก่ โรงพยาบาล
  • วัตถุประสงค์ และฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล

ภายใต้กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โรงพยาบาลมีหน้าที่แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงวัตถุประสงค์และรายละเอียดในการประมวลผลข้อมูลส่วนบุคคลของโรงพยาบาล เช่น ข้อมูลส่วนบุคคลที่มีการประมวลผล วัตถุประสงค์ของการประมวลผล และเหตุผลหรือฐานทางกฎหมายที่ใช้อ้างอิงในการประมวลผลข้อมูลส่วนบุคคล ดังนี้

OBJECTIVESกลุ่มเจ้าของข้อมูลส่วนบุคคลประเภทข้อมูลส่วนบุคคลฐานกฎหมาย
การส่งต่อข้อมูลประวัติการรักษาหรือนำหลักฐานทางการรักษาของผู้เอาประกันตัวแทนประกันภัยข้อมูลส่วนตัวข้อมูลการติดต่อข้อมูลเกี่ยวกับสิทธิ/คุณสมบัติมาตรา 24 (3) ปฏิบัติตามสัญญา
การจัดทำทะเบียนบุคลากรที่ขอใช้พื้นที่จอดรถ/ตรวจสอบสิทธิ/ออกสติกเกอร์/จัดการค่าบริการและค่าปรับ (ถ้ามี)บุคลากรขององค์กรภายนอกที่ขอใช้พื้นที่จอดรถภายในโรงพยาบาลข้อมูลส่วนตัวข้อมูลการติดต่อข้อมูลอื่น ๆมาตรา 24 (3) ปฏิบัติตามสัญญา
ใช้เป็นข้อมูลประกอบการทำประกันชีวิต/การยื่นขอรับผลประโยชน์/เป็นหลักฐานการเบิกจ่ายประกันบุคลากรขององค์กรที่เป็นผู้เอาประกันภัย และผู้รับผลประโยชน์ตามกรมธรรม์ประกันภัยข้อมูลส่วนตัวข้อมูลการติดต่อข้อมูลเกี่ยวกับสิทธิ/คุณสมบัติข้อมูลอื่น ๆมาตรา 24 (3) ปฏิบัติตามสัญญา
ติดต่อ ประสานงาน และสื่อสารข้อมูลผู้แทนหรือผู้ติดต่อของบริษัทคู่ค้าข้อมูลส่วนตัวข้อมูลการติดต่อมาตรา 24 (3) ปฏิบัติตามสัญญา (กรณีเป็นคู่สัญญาเอง) มาตรา 24 (5) ประโยชน์โดยชอบด้วยกฎหมาย (กรณีเป็นตัวแทนของนิติบุคคลคู่สัญญา)
ประกอบการทำสัญญาและบันทึกข้อตกลง เช่น ซื้อเครื่องมือแพทย์, บำรุงรักษาอุปกรณ์ และให้บริการรักษาพยาบาลคู่สัญญาองค์กรคู่สัญญา ซึ่งรวมถึงบุคคลธรรมดาและนิติบุคคล ตลอดจนกรรมการบริษัท ผู้มอบอำนาจ และผู้รับมอบอำนาจของทุกฝ่ายในสัญญาข้อมูลส่วนตัวข้อมูลการติดต่อมาตรา 24 (3) ปฏิบัติตามสัญญา (กรณีเป็นคู่สัญญาเอง) มาตรา 24 (5) ประโยชน์โดยชอบด้วยกฎหมาย (กรณีเป็นตัวแทนของนิติบุคคลคู่สัญญา)
ประสานงานหรือดำเนินการร่วมในกิจกรรมของโรงพยาบาลเจ้าหน้าที่ของหน่วยงานราชการ หน่วยงานรัฐวิสาหกิจ องค์กรภาครัฐ องค์กรระหว่างประเทศ หรือหน่วยงานอื่นใดที่มีปฏิสัมพันธ์หรือดำเนินการร่วมกับโรงพยาบาลข้อมูลส่วนตัวข้อมูลการติดต่อมาตรา 24 (5) ประโยชน์โดยชอบด้วยกฎหมาย

ทั้งนี้ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลที่มีความจําเป็นในการดำเนินการของโรงพยาบาล อาจเป็นผลให้โรงพยาบาลไม่สามารถดำเนินการที่เกี่ยวข้องกับข้อมูลดังกล่าวให้แก่เจ้าของข้อมูลส่วนบุคคลดังกล่าวได้ทั้งหมดหรือบางส่วน

โรงพยาบาลจะใช้ข้อมูลส่วนบุคคลของท่านเพียงเท่าที่จำเป็น และขอรับรองว่าจะไม่นำข้อมูลส่วนบุคคลของท่านที่โรงพยาบาลได้เก็บรวบรวมไว้ หรือเผยแพร่ให้กับบุคคลภายนอกโดยเด็ดขาด เว้นแต่จะได้รับอนุญาตจากท่านเท่านั้น

  • การเปิดเผยข้อมูลส่วนบุคคล
    • โรงพยาบาลอาจเปิดเผยข้อมูลส่วนบุคคลของท่าน ภายใต้วัตถุประสงค์และตามหลักเกณฑ์ที่กฎหมายกำหนดให้แก่บุคคลและหน่วยงานภายนอก รวมถึงแต่ไม่จำกัดเพียงโรงพยาบาลอาจเปิดเผยข้อมูลส่วนบุคคลของท่านตามวัตถุประสงค์และหลักเกณฑ์ที่กฎหมายกำหนด ให้แก่บุคคลหรือหน่วยงานภายนอก ดังนี้
      • หน่วยงานของรัฐหรือผู้มีอำนาจตามกฎหมาย

เช่น ศาล สำนักงานอัยการสูงสุด สำนักงานตำรวจแห่งชาติ หน่วยงานสอบสวนหรือกำกับดูแลตามกฎหมาย รวมถึงหน่วยงานกำกับดูแลด้านข้อมูล ข่าวสาร ความปลอดภัยไซเบอร์ หรือสิทธิมนุษยชน

  • บุคคลภายนอก ผู้ให้บริการ หรือพันธมิตรทางธุรกิจ

เช่น บริษัทประกันภัย สถานพยาบาล สถาบันการเงิน ผู้ให้บริการแพลตฟอร์มดิจิทัล หรือผู้ให้บริการโทรคมนาคม ซึ่งดำเนินการให้กับหรือในนามของโรงพยาบาล หรือร่วมงานกับโรงพยาบาลเพื่อให้บริการแก่ท่าน

  • บุคคลหรือหน่วยงานอื่นใดที่ท่านให้ความยินยอม

เปิดเผยตามที่ท่านอนุญาตโดยชัดแจ้ง

  • การเปิดเผยข้อมูลจะกระทำเฉพาะตามวัตถุประสงค์ที่กำหนด หรือที่กฎหมายอนุญาต หากต้องได้รับความยินยอม โรงพยาบาลจะขอความยินยอมก่อนเปิดเผย
    • โรงพยาบาลจะกำหนดมาตรการคุ้มครองข้อมูลที่เปิดเผยให้กับบุคคลภายนอก เพื่อให้เป็นไปตามมาตรฐานและหน้าที่ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
    • ในกรณีที่ โรงพยาบาลส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปต่างประเทศ โรงพยาบาลจะดำเนินการเพื่อทำให้แน่ใจว่าประเทศปลายทาง องค์การระหว่างประเทศ หรือผู้รับข้อมูลในต่างประเทศนั้นมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอหรือเพื่อทำให้แน่ใจว่าการส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปต่างประเทศเป็นไปตามหลักเกณฑ์ที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด โดยในบางกรณีโรงพยาบาล อาจขอความยินยอมของท่านสำหรับการส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศดังกล่าว หรือดําเนินการตามเงื่อนไขเพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมาย ได้แก่
      • เป็นการปฏิบัติตามกฎหมายที่กําหนดให้ โรงพยาบาลต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
      • ได้แจ้งให้ท่านทราบและได้รับความยินยอมจากท่านในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศกําหนด
      • เป็นการจําเป็นเพื่อปฏิบัติตามสัญญาที่ท่านเป็นคู่สัญญากับโรงพยาบาล หรือเป็นการทําตามคําขอของท่านก่อนการเข้าทําสัญญานั้น
      • เป็นการกระทําตามสัญญาของโรงพยาบาลกับบุคคลหรือนิติบุคคลอื่น เพื่อประโยชน์             ของท่าน
      • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่านหรือของบุคคลอื่น   เมื่อท่านไม่สามารถให้ความยินยอมในขณะนั้นได้
    • โรงพยาบาลจะพิจารณาว่าการเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลหรือหน่วยงานดังกล่าวเป็นกรณีที่มีความจำเป็นและสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่นที่เกี่ยวข้องหรือไม่ และจะดำเนินการเพื่อป้องกันมิให้บุคคลหรือหน่วยงานนั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
    • ในกรณีที่โรงพยาบาลได้ว่าจ้างบุคคลภายนอกเพื่อให้ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของท่าน โรงพยาบาลจะกำหนดให้บุคคลภายนอกที่ได้ว่าจ้างให้ดำเนินการดังกล่าว เก็บรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคลของท่าน และกำหนดข้อห้ามมิให้มีการนำข้อมูลส่วนบุคคลดังกล่าวไปใช้นอกเหนือจากกิจกรรมและกิจการของโรงพยาบาล
    • การมอบหมายให้บุคคลที่สามทําการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น โรงพยาบาลจะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของโรงพยาบาล ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่โรงพยาบาลมอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงกําหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่โรงพยาบาลมอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น ๆ ที่เกี่ยวข้อง ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคําสั่งของโรงพยาบาลเท่านั้นโดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้
  • ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล

ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และกฎหมายอื่น ๆ ที่เกี่ยวข้อง โรงพยาบาลจะประมวลผลและเก็บรักษาข้อมูลส่วนบุคคลของท่านตามระยะเวลาที่จำเป็น เพื่อให้บรรลุวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลนั้น โดยหลังจากครบกำหนดระยะเวลาดังกล่าวข้างต้น โรงพยาบาลจะลบ และ/หรือทำลายข้อมูลส่วนบุคคลดังกล่าว จากการจัดเก็บหรือระบบของโรงพยาบาล และจากการจัดเก็บหรือระบบของผู้ประมวลผลข้อมูลส่วนบุคคล (ถ้ามี) หรือทำให้ข้อมูลส่วนบุคคลของท่านเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ เว้นแต่ความสัมพันธ์ระหว่างท่านกับโรงพยาบาล ยังมิได้สิ้นสุดลง หรือข้อมูลส่วนบุคคลดังกล่าวยังจำเป็นต่อการก่อตั้งสิทธิเรียกร้องทางกฎหมายของโรงพยาบาล หรือกรณีมีข้อพิพาททั้งก่อนและในระหว่างดำเนินคดีทางศาลจนสิ้นสุดระยะเวลาบังคับคดีตามกฎหมาย หรือกรณีมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเหล่านั้นไว้เพื่อเป็นพยานหลักฐานทางกฎหมายตลอดระยะเวลาตามอายุความของคดีที่อาจเกี่ยวข้องที่มีอายุความสูงสุด

อนึ่ง โรงพยาบาลจะดำเนินการทบทวน รวมถึงลบ และ/หรือทำลายข้อมูลส่วนบุคคลที่สิ้นสุดระยะเวลาการจัดเก็บเป็นประจำทุกปี

สำหรับข้อมูลจราจรทางคอมพิวเตอร์ที่ โรงพยาบาลเก็บรวบรวมจากการเข้าถึงและการใช้งานระบบสารสนเทศ ระบบคอมพิวเตอร์ แอปพลิเคชัน และเว็บไซต์ที่โรงพยาบาลให้บริการแก่ผู้รับบริการนั้น กฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์กำหนดให้ผู้ให้บริการต้องเก็บรักษาไว้ไม่น้อยกว่า 90 วันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็น พนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกิน 90 วันแต่ไม่เกิน 2 ปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้ ดังนั้น โรงพยาบาลจะเก็บรวบรวมข้อมูลจราจรทางคอมพิวเตอร์ดังกล่าวไว้เป็นระยะเวลาไม่เกิน 2 ปี เว้นแต่ กรณีที่ โรงพยาบาลอาจต้องใช้ข้อมูลดังกล่าวเพื่อการตรวจสอบ พิสูจน์ บริหารจัดการความเสี่ยง วางแผน แก้ไขปัญหาที่เกี่ยวกับภัยคุกคามทางไซเบอร์หรือความเสี่ยงของระบบสารสนเทศ หรือใช้เป็นพยานหลักฐาน โรงพยาบาลอาจเก็บรวบรวมข้อมูลดังกล่าวไว้เป็นระยะเวลาเท่าที่จำเป็นแต่ไม่เกินระยะเวลาตามอายุความของคดีที่อาจเกี่ยวข้องที่มีอายุความสูงสุด

สำหรับข้อมูลส่วนบุคคลที่เป็นลักษณะของภาพถ่าย ภาพเคลื่อนไหว หรือเสียงที่เก็บรวบรวมจากการรับบริการหรือปรากฏตัวในพื้นที่ของโรงพยาบาล (เช่น จากกล้องวงจรปิด) โรงพยาบาลจะเก็บรวบรวมไว้เป็นระยะเวลาไม่เกิน 30 วันนับจากวันที่เก็บรวบรวม เว้นแต่กรณีที่โรงพยาบาลอาจต้องใช้ข้อมูลดังกล่าวเพื่อการตรวจสอบ พิสูจน์ บริหารจัดการความเสี่ยง วางแผน แก้ไขปัญหาที่เกี่ยวกับการกระทำความผิด การป้องกันเหตุที่ไม่พึงประสงค์ หรือใช้เป็นพยานหลักฐาน โรงพยาบาลอาจเก็บรวบรวมข้อมูลดังกล่าวไว้เป็นระยะเวลาเท่าที่จำเป็นแต่ไม่เกินระยะเวลาตามอายุความของคดีที่อาจเกี่ยวข้องที่มีอายุความสูงสุด

  • ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถและคนเสมือนไร้ความสามารถ

กรณีที่โรงพยาบาลต้องอาศัยฐานความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ โรงพยาบาลจะขอรับความยินยอมจากผู้ใช้อํานาจปกครองที่มีอํานาจกระทำการแทนผู้เยาว์ ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายกําหนด

กรณีที่โรงพยาบาลไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ และมาพบในภายหลังว่า โรงพยาบาลได้เก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลดังกล่าวโดยยังมิได้รับความยินยอมจากผู้ใช้อํานาจปกครองที่มีอํานาจกระทําการแทนผู้เยาว์ ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ดังนี้ โรงพยาบาล จะดําเนินการลบทําลายข้อมูลส่วนบุคคลนั้นโดยเร็วหาก โรงพยาบาลไม่มีเหตุอันชอบด้วยกฎหมายประการอื่นนอกเหนือจากความยินยอมในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลดังกล่าว

  1. มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

โรงพยาบาลมีนโยบายรักษาความมั่นคงปลอดภัย ตามมาตรา 37แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ

โดยที่โรงพยาบาลมีมาตรการปกป้องข้อมูลส่วนบุคคล โดยการจํากัดสิทธิการเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้โดยบุคลากร และ/หรือเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอํานาจหน้าที่หรือได้รับมอบหมายที่มีความจําเป็นต้องใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลของโรงพยาบาล อย่างเคร่งครัด ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอํานาจหน้าที่ โดยโรงพยาบาลมีมาตรการรักษาความปลอดภัยข้อมูลทั้งในเชิงองค์กรหรือเชิงเทคนิค

นอกจากนี้ เมื่อโรงพยาบาลมีการส่ง โอนหรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม ไม่ว่าเพื่อการให้บริการตามสัญญา หรือข้อตกลงในรูปแบบอื่น โรงพยาบาลจะกําหนดมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลและการรักษาความลับที่เหมาะสมและเป็นไปตามที่กฎหมายกําหนด เพื่อยืนยันว่าข้อมูลส่วนบุคคลที่โรงพยาบาลเก็บรวบรวมจะมีความมั่นคงปลอดภัยอยู่เสมอ

  1. สิทธิของเจ้าของข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ดังนี้

  1. สิทธิในการถอนความยินยอมที่เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเมื่อใดก็ได้(Withdraw Consent) ตามมาตรา 19 วรรคห้า แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้             ไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบ เฉพาะสำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวม ใช้ หรือเปิดเผยโดยใช้ฐานความยินยอม (Consent) เป็นฐานทางกฎหมาย แต่ไม่รวมข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ หรือเปิดเผยได้โดยไม่ต้องขอความยินยอมตามมาตรา 24 มาตรา 26 และหรือมาตรา 27 วรรคหนึ่ง
    1. สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนหรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม (Right of Access) ตามมาตรา 30 วรรคหนึ่ง แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล
    1. สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนได้ (Right to Data Portability) ในกรณีที่โรงพยาบาล  ได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น เมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ และสิทธิขอรับข้อมูลส่วนบุคคลที่โรงพยาบาล ส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้ ตามมาตรา 31 วรรคหนึ่ง แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ ข้อมูลส่วนบุคคลดังกล่าวต้องเป็นข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมในการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล หรือเป็นข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมเนื่องจากเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้นตามมาตรา 24 (3) หรือเป็นข้อมูลส่วนบุคคลอื่นที่กำหนดในมาตรา 24 ตามที่คณะกรรมการประกาศกำหนด ตามมาตรา 31 วรรคสอง แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล
    1. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ (Right to Object) โดยเป็นไปตามมาตรา 32 วรรคหนึ่ง แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล
    1. สิทธิในการขอให้ โรงพยาบาล ดำเนินการลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (Right to Erasure or Right to Be Forgotten) ตามมาตรา 33 วรรคหนึ่ง แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล
    1. สิทธิขอให้ โรงพยาบาล ระงับการใช้ข้อมูลส่วนบุคคลได้ (Right to Restriction of Processing) ตามมาตรา 34 วรรคหนึ่ง แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล
    1. สิทธิในการร้องขอให้ โรงพยาบาล ดำเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด (Right to Rectification) ตามมาตรา 36 วรรคหนึ่ง แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล
    1. สิทธิร้องเรียนในกรณีที่ โรงพยาบาล ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือประกาศที่ออกตามกฎหมายดังกล่าว ตามมาตรา 73 วรรคหนึ่ง แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล

โรงพยาบาลเคารพสิทธิของเจ้าของข้อมูลส่วนบุคคลภายใต้กฎหมายที่เกี่ยวข้อง ซึ่งเจ้าของข้อมูลส่วนบุคคลหรือผู้มีอำนาจกระทำการแทนสามารถติดต่อ โรงพยาบาลได้ที่ช่องทางติดต่อที่ได้ระบุไว้ในข้อ 13. เพื่อแจ้งความประสงค์ขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลดังกล่าวข้างต้นได้

ทั้งนี้ โรงพยาบาลอาจปฏิเสธการใช้สิทธิดังกล่าวข้างต้นของเจ้าของข้อมูลส่วนบุคคลได้หากเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่น

  1. ช่องทางการติดต่อ โรงพยาบาล และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

ในกรณีที่ท่านมีข้อสงสัย ข้อเสนอแนะ หรือข้อติชมใด ๆ เกี่ยวกับนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับ         ใด ๆ ของโรงพยาบาล โรงพยาบาลยินดีที่จะตอบข้อสงสัยรับฟังข้อเสนอแนะ และคำติชมทั้งหลาย อันจะเป็นประโยชน์ต่อการปรับปรุงการให้บริการของโรงพยาบาล ต่อไป โดยท่านสามารถติดต่อกับโรงพยาบาลตามที่อยู่           ที่ปรากฏข้างล่างนี้

  1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
  2. ชื่อ:  บริษัท โรงพยาบาลไทยนครินทร์ จำกัด (มหาชน)
  3. สถานที่ติดต่อ:  เลขที่ 345 ถนนเทพรัตน กม. 3.5 แขวงบางนาเหนือ เขตบางนา กรุงเทพมหานคร 10260
  4. ช่องทางการติดต่อ : [email protected]
  5. Call Center :  0-2340-7777
  1. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
  2. สถานที่ติดต่อ : เลขที่ 345 ถนนเทพรัตน กม. 3.5 แขวงบางนาเหนือ เขตบางนา กรุงเทพมหานคร 10260
  3. ช่องทางการติดต่อ:  [email protected]
  4. Call Center  : 0-2340-7777
  1. การปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ฉบับนี้อยู่ภายใต้การตรวจสอบและทบทวนอย่างสม่ำเสมอ ดังนั้น จึงอาจมีการปรับปรุงแก้ไขได้ เพื่อให้สอดคล้องกับเงื่อนไขการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล รวมถึงเพื่อให้เกิดความเป็นธรรมและโปร่งใสต่อเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เมื่อมีการปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคล โรงพยาบาลจะแจ้งให้ทราบผ่านช่องทางเว็บไซต์ และสื่อสังคมออนไลน์ของโรงพยาบาล