Thainakarin Hospital PCL    

สำหรับกลุ่มผู้ป่วย ผู้ใช้บริการ ลูกค้าองค์กร และผู้เกี่ยวข้อง รวมถึงผู้เข้าร่วมกิจกรรม / การประชาสัมพันธ์

 

1. บทนำ

Thainakarin Hospital PCL (ต่อไปในนโยบายนี้เรียกว่า “โรงพยาบาล”)ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลของท่าน (ต่อไปในนโยบายนี้เรียกว่า “ท่าน” หรือ “เจ้าของข้อมูลส่วนบุคคล”) เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถเชื่อมั่นได้ว่า โรงพยาบาล มีความโปร่งใสและความรับผิดชอบในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) รวมถึงกฎหมายอื่นที่เกี่ยวข้อง

นโยบายการคุ้มครองข้อมูลส่วนบุคคล (“นโยบาย”) ฉบับนี้จัดทำขึ้นเพื่อชี้แจงรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผย (รวมเรียกว่า “ประมวลผล”) ข้อมูลส่วนบุคคลซึ่งดำเนินการโดยโรงพยาบาล รวมถึงเจ้าหน้าที่และบุคคลที่เกี่ยวข้องซึ่งดำเนินการแทนหรือในนามของโรงพยาบาล โดยมีจุดมุ่งหมายเพื่อให้การประมวลผลข้อมูลส่วนบุคคลของท่านเป็นไปอย่างเหมาะสม โปร่งใส มีมาตรการรักษาความปลอดภัยที่เพียงพอ โดยมีเนื้อหาดังต่อไปนี้เป็นไปอย่างเหมาะสม โปร่งใส มีมาตรการรักษาความปลอดภัยที่เพียงพอ โดยมีเนื้อหาดังต่อไปนี้

 

2. ขอบเขตการบังคับใช้นโยบาย

นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ใช้บังคับกับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลที่มีปฏิสัมพันธ์หรือติดต่อกับโรงพยาบาล ไม่ว่าจะในปัจจุบันหรือในอนาคต โดยโรงพยาบาลอาจเก็บรวบรวมข้อมูลส่วนบุคคลของท่านโดยตรงจากท่าน หรือจากแหล่งอื่นตามเงื่อนไขที่กฎหมายกำหนด ทั้งนี้ ข้อมูลส่วนบุคคลดังกล่าวอาจถูกประมวลผลโดยลูกจ้าง บุคลากร เจ้าหน้าที่ หน่วยธุรกิจ หรือหน่วยงานในรูปแบบอื่นใดของโรงพยาบาล รวมถึงโดยคู่สัญญาหรือบุคคลภายนอกซึ่งดำเนินการแทนหรือในนามของโรงพยาบาล (ต่อไปนี้เรียกว่า “ผู้ประมวลผลข้อมูลส่วนบุคคล”)

เจ้าของข้อมูลส่วนบุคคลตามความในย่อหน้าแรก รวมถึงแต่ไม่จำกัดเพียง

1. ผู้ป่วย/ผู้ใช้บริการ เช่น ผู้ป่วยใน (IPD) ผู้ป่วยนอก (OPD) ผู้ใช้บริการแผนกต่าง ๆ ของโรงพยาบาล ผู้ใช้บริการรถพยาบาล ผู้ใช้บริการผ่านระบบประกันสุขภาพ บุคลากร และลูกค้าองค์กร
2. ผู้เกี่ยวข้องกับผู้ป่วย/ผู้ใช้บริการ เช่น ญาติ ผู้รับมอบอำนาจ
3. ผู้เข้าร่วมกิจกรรม/การประชาสัมพันธ์ เช่น ผู้ใช้บริการที่เข้าร่วมกิจกรรมประชาสัมพันธ์ ผู้เข้าร่วมกิจกรรมต่าง ๆ ของโรงพยาบาล ผู้ให้สัมภาษณ์หรือแสดงความคิดเห็นเกี่ยวกับบริการ

ซึ่งเรียกรวมกันในนโยบายนี้ว่า “ท่าน”

นอกจากนโยบายฉบับนี้แล้ว โรงพยาบาล อาจกําหนดให้มีคำประกาศเกี่ยวกับความเป็นส่วนตัว (“ประกาศ”) สําหรับกิจกรรมการประมวลผลที่เฉพาะเจาะจง เพื่อชี้แจงให้เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงการประมวลผลข้อมูลส่วนบุคคล วัตถุประสงค์ และฐานทางกฎหมายในการประมวลผล ระยะเวลาในการประมวลผลและเก็บรักษาข้อมูลส่วนบุคคล รวมถึงสิทธิที่เจ้าของข้อมูลส่วนบุคคลพึงมีในกิจกรรมการประมวลผลนั้น ๆ เป็นการเฉพาะ

 

3. คำนิยาม
   • “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดาซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม รวมถึงแต่ไม่จำกัดเพียง ชื่อ-นามสกุล ข้อมูลการติดต่อ (เช่น ที่อยู่ หมายเลขโทรศัพท์ อีเมล) เลขประจำตัวประชาชน เลขหนังสือเดินทาง หมายเลขเวชระเบียน ข้อมูลการจ้างงาน ข้อมูลทางการเงิน ข้อมูลที่ได้จากอุปกรณ์อิเล็กทรอนิกส์ ภาพถ่าย หรือหมายเลขอ้างอิงอื่นใดที่สามารถระบุตัวเจ้าของข้อมูลส่วนบุคคลได้ โดยข้อมูลดังกล่าวอาจเก็บในรูปแบบเอกสาร (กระดาษ) รูปแบบอิเล็กทรอนิกส์ หรือในระบบสารสนเทศ

ทั้งนี้ ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

• “ข้อมูลส่วนบุคคลอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลตามมาตรา 26 แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล ได้แก่ ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ (เช่น ข้อมูลจำลองลายนิ้วมือ ข้อมูลภาพจำลองใบหน้า) หรือข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
• “เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลนั้นสามารถเชื่อมโยงไปถึง
• “การประมวลผลข้อมูลส่วนบุคคล” หมายถึง การจัดเก็บ เก็บรวบรวม บันทึก ทำสำเนา จัดระเบียบ เข้าถึง เก็บรักษา ปรับปรุง เปลี่ยนแปลง ใช้ กู้คืน เปิดเผย ส่งต่อ เผยแพร่ โอน ลบ หรือทำลายข้อมูลส่วนบุคคล ไม่ว่าจะด้วยวิธีการใด
• “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ในเอกสารนี้ให้หมายความถึง โรงพยาบาล
• “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคล (ผู้รับจ้างภายนอก) ซึ่งดำเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยผู้ประมวลผลข้อมูลส่วนบุคคลต้องไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลสำหรับการประมวลผลนั้น ๆ

 

4. หลักการคุ้มครองข้อมูลส่วนบุคคล

โรงพยาบาลจะปฏิบัติตามหลักการคุ้มครองข้อมูลส่วนบุคคลในการประมวลผลข้อมูลส่วนบุคคล ดังต่อไปนี้

• หลักความชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส (Lawfulness, Fairness and Transparency)

โรงพยาบาลจะประมวลผลข้อมูลส่วนบุคคลโดยมีฐานทางกฎหมาย และแจ้งรายละเอียดเกี่ยวกับการประมวลผล วัตถุประสงค์ ฐานทางกฎหมาย ระยะเวลาเก็บรักษา และสิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างชัดเจน

• หลักการจำกัดวัตถุประสงค์ (Purpose Limitation)

โรงพยาบาลจะประมวลผลข้อมูลส่วนบุคคลภายใต้ขอบเขตและวัตถุประสงค์ที่ได้กำหนดและแจ้งไว้แก่เจ้าของข้อมูลส่วนบุคคล โรงพยาบาลจะไม่ประมวลผลข้อมูลนอกเหนือจากวัตถุประสงค์ เว้นแต่ได้แจ้งวัตถุประสงค์ใหม่และได้รับความยินยอม หรือมีกฎหมายให้กระทำได้

• หลักการเก็บรวบรวมข้อมูลส่วนบุคคลให้น้อยที่สุด (Data Minimization)

โรงพยาบาลจะเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นเพื่อบรรลุวัตถุประสงค์อันชอบด้วยกฎหมาย

• หลักความถูกต้องครบถ้วน (Accuracy)

โรงพยาบาลจะดำเนินการให้มั่นใจว่าข้อมูลส่วนบุคคลมีความถูกต้อง ครบถ้วน เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด

• หลักการจำกัดระยะเวลาเก็บรักษา (Storage Limitation)

โรงพยาบาลจะกำหนดระยะเวลาเก็บรักษาข้อมูลส่วนบุคคล และดำเนินการลบหรือทำลายเมื่อพ้นกำหนดหรือเกินความจำเป็น เว้นแต่กฎหมายกำหนดให้เก็บรักษาไว้ต่อ

• หลักการรักษาความมั่นคงปลอดภัยและความลับ (Integrity and Confidentiality)

โรงพยาบาลจะจัดให้มีมาตรการด้านความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลโดยมิชอบ

• หลักความรับผิดชอบ (Accountabillity)

โรงพยาบาลมีความรับผิดชอบต่อข้อมูลส่วนบุคคล และจะดำเนินการตามหลักการในข้อ 4.1 – 4.6 อย่างเคร่งครัด

 

5. ประเภทและข้อมูลส่วนบุคคลที่มีการประมวลผล

No.	ประเภทข้อมูลส่วนบุคคล	ข้อมูลส่วนบุคคล	กลุ่มเจ้าของข้อมูลส่วนบุคคล
1.	ข้อมูลส่วนตัว	·      ชื่อ-นามสกุล ·      เพศ ·      วันเดือนปีเกิด/อายุ/สัญชาติ ·      เลขประจำตัวประชาชน/เลขที่หนังสือเดินทาง/เลขที่ใบอนุญาตขับรถ/รหัสผู้ป่วย (HN) ·      ลายมือชื่อ ·      ภาพถ่าย/ภาพเคลื่อนไหว ·      ความสัมพันธ์กับผู้ป่วย (กรณีญาติ)	ผู้ป่วย, ญาติผู้ป่วย, ผู้ใช้บริการ, ลูกค้าองค์กร และผู้เข้าร่วมกิจกรรม/การประชาสัมพันธ์
2.	ข้อมูลการติดต่อ	·      ที่อยู่ปัจจุบัน/ที่อยู่ตามบัตรประจำตัวประชาชน ·      หมายเลขโทรศัพท์ ·      อีเมล ·      ข้อมูลการติดต่อของผู้ติดต่อกรณีฉุกเฉิน	ผู้ป่วย, ญาติผู้ป่วย, ผู้ใช้บริการ และลูกค้าองค์กร
3.	ข้อมูลเกี่ยวกับสิทธิ/คุณสมบัติ	·      สิทธิการรักษา (สิทธิประกันสังคม, สิทธิหลักประกันสุขภาพถ้วนหน้า, สิทธิประกันสุขภาพ, สิทธิข้าราชการ) ·      ข้อมูลการทำงาน (เฉพาะกรณีที่เกี่ยวข้อง เช่น พนักงานรักษาความปลอดภัย และพนักงานขับรถ)	ผู้ป่วย, ผู้ใช้บริการ, ลูกค้าองค์กร และผู้มาติดต่อ
4.	ข้อมูลทางการแพทย์ (ข้อมูลส่วนบุคคลอ่อนไหว)	·      ประวัติการรักษา/โรคประจำตัว / ขั้นตอนการรักษา ·      ผลตรวจสุขภาพ/ผลตรวจทางห้องปฏิบัติการ (Lab) ·      ประวัติแพ้ยา/ประวัติการได้รับยา ·      ใบรับรองแพทย์	ผู้ป่วย, ผู้ใช้บริการ และลูกค้าองค์กร
5.	ข้อมูลส่วนบุคคลอ่อนไหวอื่น ๆ	·      ศาสนา และหมู่โลหิตที่อยู่บนบัตรประจำตัวประชาชน ·      ความพิการ ·      ประวัติอาชญากรรม (เฉพาะกรณี) ·      ข้อมูลชีวภาพ (เฉพาะกรณี)	ผู้ป่วย, ผู้ใช้บริการ และลูกค้าองค์กร
6.	ข้อมูลอื่น ๆ	·      ภาพจากกล้องวงจรปิด (CCTV) ·      บันทึกการเข้า-ออกอาคาร/เวลาทำงาน ·      ทะเบียนรถ ·      ภาพถ่าย/ภาพเคลื่อนไหวเพื่อการประชาสัมพันธ์ ·      บทสัมภาษณ์ผู้ใช้บริการ	ผู้ป่วย, ญาติผู้ป่วย, ผู้ใช้บริการ, ลูกค้าองค์กร และผู้เข้าร่วมกิจกรรม/การประชาสัมพันธ์

 

6. แหล่งที่มาของข้อมูลส่วนบุคคลที่โรงพยาบาลเก็บรวบรวม

โรงพยาบาลอาจเก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลจากแหล่งข้อมูลต่าง ๆ ดังต่อไปนี้

• เก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงผ่านการติดต่อแบบต่อหน้า หรือผ่านช่องทางต่าง ๆ เช่น การสมัคร การลงทะเบียน การลงนามในสัญญาหรือเอกสาร การทำแบบสำรวจ การใช้งานผลิตภัณฑ์หรือบริการ การใช้งานเว็บไซต์ของโรงพยาบาล โดยใช้คุกกี้ (Cookies) หรือซอฟต์แวร์บนอุปกรณ์ของท่าน รวมถึงช่องทางอื่น ๆ ที่ โรงพยาบาลควบคุมดูแล
• เก็บรวบรวมจากแหล่งอื่นที่มีอำนาจหน้าที่ เหตุผลทางกฎหมาย หรือได้รับความยินยอมจากเจ้าของข้อมูลในการเปิดเผยข้อมูลแก่โรงพยาบาล นอกจากนี้ ยังหมายความรวมถึงกรณีที่ท่านเป็นผู้ให้ข้อมูลส่วนบุคคลของบุคคลภายนอกแก่โรงพยาบาล ดังนั้น ท่านมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดประกาศความเป็นส่วนตัวให้บุคคลดังกล่าวทราบ ตลอดจนขอความยินยอมจากบุคคลนั้น หากเป็นกรณีที่ต้องได้รับความยินยอมในการเปิดเผยข้อมูลแก่ โรงพยาบาล

 

7. วัตถุประสงค์ และฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล

 

ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล โรงพยาบาลมีหน้าที่แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงวัตถุประสงค์และรายละเอียดในการประมวลผลข้อมูลส่วนบุคคลของโรงพยาบาล เช่น ข้อมูลส่วนบุคคลที่มีการประมวลผล วัตถุประสงค์ของการประมวลผล และเหตุผลหรือฐานทางกฎหมายที่ใช้อ้างอิงในการประมวลผลข้อมูลส่วนบุคคล ดังนี้

OBJECTIVES	กลุ่มเจ้าของข้อมูลส่วนบุคคล	ประเภทข้อมูลส่วนบุคคล	ฐานกฎหมาย
·      การจัดเก็บและเผยแพร่ภาพถ่าย/ภาพเคลื่อนไหวเพื่อการประชาสัมพันธ์ (ออนไลน์/ออฟไลน์) ·      การตอบแบบสอบถาม เช่น แบบประเมินความพึงพอใจ การสำรวจความคิดเห็น ·      ส่งข่าวสาร โปรโมชั่น กิจกรรม หรือบริการใหม่ของโรงพยาบาล	·     ผู้ใช้บริการ ·     ลูกค้าองค์กร ·     ผู้เข้าร่วมกิจกรรม	·       ข้อมูลส่วนบุคคลทั่วไป (และข้อมูลส่วนบุคคลอ่อนไหวในกรณีที่ภาพแสดงข้อมูลสุขภาพ/ศาสนา/อื่น ๆ)	มาตรา 19 วรรคหนึ่ง ฐานความยินยอม มาตรา 26 ในกรณีที่ภาพถ่าย/ภาพเคลื่อนไหวเผยให้เห็นข้อมูลอ่อนไหว
·      ตรวจสอบสิทธิการรักษา ·      การประสานงานกับบริษัทประกันภัย/คู่สัญญาองค์กร ·      ประกอบการซื้อโปรแกรมหรือแพ็กเกจบริการ ·      การตรวจสุขภาพประจำปี ·      การออกหน่วยตรวจสุขภาพนอกสถานที่ ·      การเตรียมเอกสารประกอบการเบิกสิทธิ, การออกใบแจ้งหนี้, การบันทึกค่าใช้จ่าย และการเรียกเก็บเงินตามสิทธิ ·      เพื่อจัดทำรอยประทับฝ่ามือหรือฝ่าเท้าของทารกแรกเกิดเป็นของที่ระลึก	·     ผู้ป่วย ·     ผู้ใช้บริการ ·     ลูกค้าองค์กร	·       ข้อมูลส่วนบุคคลทั่วไป ·       ข้อมูลสุขภาพ ·       ศาสนาและหมู่โลหิต ·       ข้อมูลชีวภาพ	มาตรา 24 (3) ปฏิบัติตามสัญญา มาตรา 26 ข้อมูลส่วนบุคคลอ่อนไหว
·      ให้บริการทางการแพทย์ ·      การรักษาพยาบาล, การติดตามผลการรักษา ·      การจ่ายยา, การประเมินแพ้ยา ·      การจัดการผลตรวจทางห้องปฏิบัติการ, การส่งตรวจภายนอก และการจัดเก็บผลตรวจ ·      การส่งต่อการรักษาพยาบาลไปยังสถานพยาบาลอื่น	·     ผู้ป่วย ·     ผู้ใช้บริการ	·       ข้อมูลส่วนบุคคลทั่วไป ·       ข้อมูลสุขภาพ	มาตรา 24 (3) ปฏิบัติตามสัญญา มาตรา 26 ข้อมูลส่วนบุคคลอ่อนไหว
·      การจัดอาหารให้เหมาะสมกับโรคประจำตัวหรือข้อห้ามทางศาสนา ·      การจัดพิธีกรรมให้เหมาะสมกับศาสนา ความเชื่อ	·     ผู้ป่วย ·     ญาติผู้ป่วย	·       ข้อมูลส่วนบุคคลทั่วไป ·       ข้อมูลสุขภาพ ·       ศาสนา	มาตรา 24 (3) ปฏิบัติตามสัญญา มาตรา 26 ข้อมูลส่วนบุคคลอ่อนไหว
·      การควบคุมการเข้า-ออกอาคาร, การรักษาความปลอดภัย, การบันทึกภาพจากกล้องวงจรปิด และการบันทึกทะเบียนรถ	·     ผู้ป่วย ·     ญาติผู้ป่วย ·     ผู้ใช้บริการ ·     ผู้มาติดต่อ	·       ข้อมูลส่วนบุคคลทั่วไป	มาตรา 24 (5) ประโยชน์โดยชอบด้วยกฎหมาย
·      การรายงานข้อมูลต่อหน่วยงานรัฐ เช่น สำนักงานประกันสังคม และกรมสรรพากร	·     ผู้ป่วย ·     ลูกค้าองค์กร	·       ข้อมูลส่วนบุคคลทั่วไป ·       ข้อมูลทางการเงิน ·       ข้อมูลสุขภาพ	มาตรา 24 (6) ปฏิบัติหน้าที่ตามกฎหมาย มาตรา 26 ข้อมูลส่วนบุคคลอ่อนไหว

 

ทั้งนี้ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลที่มีความจําเป็นในการดำเนินการของโรงพยาบาล อาจเป็นผลให้โรงพยาบาลไม่สามารถดำเนินการที่เกี่ยวข้องกับข้อมูลดังกล่าวให้แก่เจ้าของข้อมูลส่วนบุคคลดังกล่าวได้ทั้งหมดหรือบางส่วน

โรงพยาบาลจะใช้ข้อมูลส่วนบุคคลของท่านเพียงเท่าที่จำเป็น และขอรับรองว่าจะไม่นำข้อมูลส่วนบุคคลของท่านที่โรงพยาบาลได้เก็บรวบรวมไว้ หรือเผยแพร่ให้กับบุคคลภายนอกโดยเด็ดขาด เว้นแต่จะได้รับอนุญาตจากท่านเท่านั้น

 

8. การเปิดเผยข้อมูลส่วนบุคคล
   • โรงพยาบาลอาจเปิดเผยข้อมูลส่วนบุคคลของท่าน ภายใต้วัตถุประสงค์และตามหลักเกณฑ์ที่กฎหมายกำหนดให้แก่บุคคลและหน่วยงานภายนอก รวมถึงแต่ไม่จำกัดเพียงโรงพยาบาลอาจเปิดเผยข้อมูลส่วนบุคคลของท่านตามวัตถุประสงค์และหลักเกณฑ์ที่กฎหมายกำหนด ให้แก่บุคคลหรือหน่วยงานภายนอก ดังนี้
     • หน่วยงานของรัฐหรือผู้มีอำนาจตามกฎหมาย

เช่น ศาล สำนักงานอัยการสูงสุด สำนักงานตำรวจแห่งชาติ หน่วยงานสอบสวนหรือกำกับดูแลตามกฎหมาย รวมถึงหน่วยงานกำกับดูแลด้านข้อมูล ข่าวสาร ความปลอดภัยไซเบอร์ หรือสิทธิมนุษยชน

• บุคคลภายนอก ผู้ให้บริการ หรือพันธมิตรทางธุรกิจ

เช่น บริษัทประกันภัย สถานพยาบาล สถาบันการเงิน ผู้ให้บริการแพลตฟอร์มดิจิทัล หรือผู้ให้บริการโทรคมนาคม ซึ่งดำเนินการให้กับหรือในนามของโรงพยาบาล หรือร่วมงานกับโรงพยาบาลเพื่อให้บริการแก่ท่าน

• บุคคลหรือหน่วยงานอื่นใดที่ท่านให้ความยินยอม

เปิดเผยตามที่ท่านอนุญาตโดยชัดแจ้ง

• การเปิดเผยข้อมูลจะกระทำเฉพาะตามวัตถุประสงค์ที่กำหนด หรือที่กฎหมายอนุญาต หากต้องได้รับความยินยอม โรงพยาบาลจะขอความยินยอมก่อนเปิดเผย
• โรงพยาบาลจะกำหนดมาตรการคุ้มครองข้อมูลที่เปิดเผยให้กับบุคคลภายนอก เพื่อให้เป็นไปตามมาตรฐานและหน้าที่ตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
• ในกรณีที่ โรงพยาบาลส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปต่างประเทศ โรงพยาบาลจะดำเนินการเพื่อทำให้แน่ใจว่าประเทศปลายทาง องค์การระหว่างประเทศ หรือผู้รับข้อมูลในต่างประเทศนั้นมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอหรือเพื่อทำให้แน่ใจว่าการส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปต่างประเทศเป็นไปตามหลักเกณฑ์ที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด โดยในบางกรณีโรงพยาบาลอาจขอความยินยอมของท่านสำหรับการส่งหรือโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศดังกล่าว หรือดําเนินการตามเงื่อนไขเพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมาย ได้แก่
  • เป็นการปฏิบัติตามกฎหมายที่กําหนดให้ โรงพยาบาลต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
  • ได้แจ้งให้ท่านทราบและได้รับความยินยอมจากท่านในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศกําหนด
  • เป็นการจําเป็นเพื่อปฏิบัติตามสัญญาที่ท่านเป็นคู่สัญญากับโรงพยาบาล หรือเป็นการทําตามคําขอของท่านก่อนการเข้าทําสัญญานั้น
  • เป็นการกระทําตามสัญญาของโรงพยาบาลกับบุคคลหรือนิติบุคคลอื่น เพื่อประโยชน์ของท่าน
  • เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่านหรือของบุคคลอื่น เมื่อท่านไม่สามารถให้ความยินยอมในขณะนั้นได้
• โรงพยาบาลจะพิจารณาว่าการเปิดเผยข้อมูลส่วนบุคคลให้กับบุคคลหรือหน่วยงานดังกล่าวเป็นกรณีที่มีความจำเป็นและสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่นที่เกี่ยวข้องหรือไม่ และจะดำเนินการเพื่อป้องกันมิให้บุคคลหรือหน่วยงานนั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ
• ในกรณีที่โรงพยาบาลได้ว่าจ้างบุคคลภายนอกเพื่อให้ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของท่าน โรงพยาบาลจะกำหนดให้บุคคลภายนอกที่ได้ว่าจ้างให้ดำเนินการดังกล่าว เก็บรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคลของท่าน และกำหนดข้อห้ามมิให้มีการนำข้อมูลส่วนบุคคลดังกล่าวไปใช้นอกเหนือจากกิจกรรมและกิจการของโรงพยาบาล

การมอบหมายให้บุคคลที่สามทําการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น โรงพยาบาลจะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของโรงพยาบาล ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่โรงพยาบาลมอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงกําหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่โรงพยาบาลมอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น ๆ ที่เกี่ยวข้อง ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคําสั่งของโรงพยาบาลเท่านั้นโดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้

 

9. ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล

ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และกฎหมายอื่น ๆ ที่เกี่ยวข้อง โรงพยาบาลจะประมวลผลและเก็บรักษาข้อมูลส่วนบุคคลของท่านตามระยะเวลาที่จำเป็น เพื่อให้บรรลุวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคลนั้น โดยหลังจากครบกำหนดระยะเวลาดังกล่าวข้างต้น โรงพยาบาลจะลบ และ/หรือทำลายข้อมูลส่วนบุคคลดังกล่าว จากการจัดเก็บหรือระบบของโรงพยาบาล และจากการจัดเก็บหรือระบบของผู้ประมวลผลข้อมูลส่วนบุคคล (ถ้ามี) หรือทำให้ข้อมูลส่วนบุคคลของท่านเป็นข้อมูลที่ไม่สามารถระบุตัวท่านได้ เว้นแต่ความสัมพันธ์ระหว่างท่านกับโรงพยาบาลยังมิได้สิ้นสุดลง หรือข้อมูลส่วนบุคคลดังกล่าวยังจำเป็นต่อการก่อตั้งสิทธิเรียกร้องทางกฎหมายของโรงพยาบาล หรือกรณีมีข้อพิพาททั้งก่อนและในระหว่างดำเนินคดีทางศาลจนสิ้นสุดระยะเวลาบังคับคดีตามกฎหมาย หรือกรณีมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเหล่านั้นไว้เพื่อเป็นพยานหลักฐานทางกฎหมายตลอดระยะเวลาตามอายุความของคดีที่อาจเกี่ยวข้องที่มีอายุความสูงสุด

อนึ่ง โรงพยาบาลจะดำเนินการทบทวน รวมถึงลบ และ/หรือทำลายข้อมูลส่วนบุคคลที่สิ้นสุดระยะเวลาการจัดเก็บเป็นประจำทุกปี

สำหรับข้อมูลจราจรทางคอมพิวเตอร์ที่ โรงพยาบาลเก็บรวบรวมจากการเข้าถึงและการใช้งานระบบสารสนเทศ ระบบคอมพิวเตอร์ แอปพลิเคชัน และเว็บไซต์ที่โรงพยาบาลให้บริการแก่ผู้รับบริการนั้น กฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์กำหนดให้ผู้ให้บริการต้องเก็บรักษาไว้ไม่น้อยกว่า 90 วันนับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็น พนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกิน 90 วันแต่ไม่เกิน 2 ปีเป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้ ดังนั้น โรงพยาบาลจะเก็บรวบรวมข้อมูลจราจรทางคอมพิวเตอร์ดังกล่าวไว้เป็นระยะเวลาไม่เกิน 2 ปี เว้นแต่ กรณีที่ โรงพยาบาลอาจต้องใช้ข้อมูลดังกล่าวเพื่อการตรวจสอบ พิสูจน์ บริหารจัดการความเสี่ยง วางแผน แก้ไขปัญหาที่เกี่ยวกับภัยคุกคามทางไซเบอร์หรือความเสี่ยงของระบบสารสนเทศ หรือใช้เป็นพยานหลักฐาน โรงพยาบาลอาจเก็บรวบรวมข้อมูลดังกล่าวไว้เป็นระยะเวลาเท่าที่จำเป็นแต่ไม่เกินระยะเวลาตามอายุความของคดีที่อาจเกี่ยวข้องที่มีอายุความสูงสุด

สำหรับข้อมูลส่วนบุคคลที่เป็นลักษณะของภาพ ภาพเคลื่อนไหว หรือเสียงที่เก็บรวบรวมจากการรับบริการหรือปรากฏตัวในพื้นที่ของโรงพยาบาล (เช่น จากกล้องวงจรปิด) โรงพยาบาลจะเก็บรวบรวมไว้เป็นระยะเวลาไม่เกิน 30 วันนับจากวันที่เก็บรวบรวม เว้นแต่กรณีที่โรงพยาบาลอาจต้องใช้ข้อมูลดังกล่าวเพื่อการตรวจสอบ พิสูจน์ บริหารจัดการความเสี่ยง วางแผน แก้ไขปัญหาที่เกี่ยวกับการกระทำความผิด การป้องกันเหตุที่ไม่พึงประสงค์ หรือใช้เป็นพยานหลักฐาน โรงพยาบาลอาจเก็บรวบรวมข้อมูลดังกล่าวไว้เป็นระยะเวลาเท่าที่จำเป็นแต่ไม่เกินระยะเวลาตามอายุความของคดีที่อาจเกี่ยวข้องที่มีอายุความสูงสุด

 

10. ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถและคนเสมือนไร้ความสามารถ

กรณีที่โรงพยาบาลต้องอาศัยฐานความยินยอมในการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ โรงพยาบาลจะขอรับความยินยอมจากผู้ใช้อํานาจปกครองที่มีอํานาจกระทำการแทนผู้เยาว์ ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายกําหนด

กรณีที่โรงพยาบาลไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ และมาพบในภายหลังว่า โรงพยาบาลได้เก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลดังกล่าวโดยยังมิได้รับความยินยอมจากผู้ใช้อํานาจปกครองที่มีอํานาจกระทําการแทนผู้เยาว์ ผู้อนุบาล หรือผู้พิทักษ์ แล้วแต่กรณี ดังนี้ โรงพยาบาลจะดําเนินการลบทําลายข้อมูลส่วนบุคคลนั้นโดยเร็วหาก โรงพยาบาลไม่มีเหตุอันชอบด้วยกฎหมายประการอื่นนอกเหนือจากความยินยอมในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลดังกล่าว

 

11. มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

โรงพยาบาลมีนโยบายรักษาความมั่นคงปลอดภัย ตามมาตรา 37 แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ

โดยที่โรงพยาบาลมีมาตรการปกป้องข้อมูลส่วนบุคคล โดยการจํากัดสิทธิการเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้โดยบุคลากร และ/หรือเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอํานาจหน้าที่หรือได้รับมอบหมายที่มีความจําเป็นต้องใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลของโรงพยาบาล อย่างเคร่งครัด ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอํานาจหน้าที่ โดยโรงพยาบาลมีมาตรการรักษาความปลอดภัยข้อมูลทั้งในเชิงองค์กรหรือเชิงเทคนิค

นอกจากนี้ เมื่อโรงพยาบาลมีการส่ง โอนหรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม ไม่ว่าเพื่อการให้บริการตามสัญญา หรือข้อตกลงในรูปแบบอื่น โรงพยาบาลจะกําหนดมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลและการรักษาความลับที่เหมาะสมและเป็นไปตามที่กฎหมายกําหนด เพื่อยืนยันว่าข้อมูลส่วนบุคคลที่โรงพยาบาลเก็บรวบรวมจะมีความมั่นคงปลอดภัยอยู่เสมอ

 

12. สิทธิของเจ้าของข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ดังนี้

• สิทธิในการถอนความยินยอมที่เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเมื่อใดก็ได้ (Withdraw Consent) ตามมาตรา 19 วรรคห้า แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ ไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบ เฉพาะสำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวม ใช้ หรือเปิดเผยโดยใช้ฐานความยินยอม (Consent) เป็นฐานทางกฎหมาย แต่ไม่รวมข้อมูลส่วนบุคคลที่เก็บรวบรวม ใช้ หรือเปิดเผยได้โดยไม่ต้องขอความยินยอมตามมาตรา 24 มาตรา 26 และหรือมาตรา 27 วรรคหนึ่ง
• สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนหรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลดังกล่าวที่ตนไม่ได้ให้ความยินยอม (Right of Access) ตามมาตรา 30 วรรคหนึ่ง แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล
• สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนได้ (Right to Data Portability) ในกรณีที่โรงพยาบาล ได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งสิทธิขอให้ผู้ควบคุมข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น เมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ และสิทธิขอรับข้อมูลส่วนบุคคลที่โรงพยาบาล ส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้ ตามมาตรา 31 วรรคหนึ่ง แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ ข้อมูลส่วนบุคคลดังกล่าวต้องเป็นข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมในการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล หรือเป็นข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมเนื่องจากเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้นตามมาตรา 24 (3) หรือเป็นข้อมูลส่วนบุคคลอื่นที่กำหนดในมาตรา 24 ตามที่คณะกรรมการประกาศกำหนด ตามมาตรา 31 วรรคสอง แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล
• สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตนเมื่อใดก็ได้ (Right to Object) โดยเป็นไปตามมาตรา 32 วรรคหนึ่ง แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล
• สิทธิในการขอให้โรงพยาบาลดำเนินการลบหรือทำลายหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (Right to Erasure or Right to Be Forgotten) ตามมาตรา 33 วรรคหนึ่ง แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล
• สิทธิขอให้โรงพยาบาลระงับการใช้ข้อมูลส่วนบุคคลได้ (Right to Restriction of Processing) ตามมาตรา 34 วรรคหนึ่ง แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล
• สิทธิในการร้องขอให้โรงพยาบาลดำเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด (Right to Rectification) ตามมาตรา 36 วรรคหนึ่ง แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล
• สิทธิร้องเรียนในกรณีที่ โรงพยาบาลฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือประกาศที่ออกตามกฎหมายดังกล่าว ตามมาตรา 73 วรรคหนึ่ง แห่งกฎหมายคุ้มครองข้อมูลส่วนบุคคล

โรงพยาบาลเคารพสิทธิของเจ้าของข้อมูลส่วนบุคคลภายใต้กฎหมายที่เกี่ยวข้อง ซึ่งเจ้าของข้อมูลส่วนบุคคลหรือผู้มีอำนาจกระทำการแทนสามารถติดต่อ โรงพยาบาลได้ที่ช่องทางติดต่อที่ได้ระบุไว้ในข้อ 13. เพื่อแจ้งความประสงค์ขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลดังกล่าวข้างต้นได้

ทั้งนี้ โรงพยาบาลอาจปฏิเสธการใช้สิทธิดังกล่าวข้างต้นของเจ้าของข้อมูลส่วนบุคคลได้หากเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่น

 

13. ช่องทางการติดต่อ โรงพยาบาล และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

ในกรณีที่ท่านมีข้อสงสัย ข้อเสนอแนะ หรือข้อติชมใด ๆ เกี่ยวกับนโยบายคุ้มครองข้อมูลส่วนบุคคลฉบับใด ๆ ของโรงพยาบาล โรงพยาบาลยินดีที่จะตอบข้อสงสัยรับฟังข้อเสนอแนะ และคำติชมทั้งหลาย อันจะเป็นประโยชน์ต่อการปรับปรุงการให้บริการของโรงพยาบาลต่อไป โดยท่านสามารถติดต่อกับโรงพยาบาลตามที่อยู่ที่ปรากฏข้างล่างนี้

• ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

– ชื่อ: บริษัท โรงพยาบาลไทยนครินทร์ จำกัด (มหาชน)

– สถานที่ติดต่อ: เลขที่ 345 ถนนเทพรัตน กม. 3.5 แขวงบางนาเหนือ เขตบางนา กรุงเทพมหานคร 10260

– ช่องทางการติดต่อ: [email protected]

– Call Center : 0-2340-7777

• เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)

– ชื่อ: นายทวี   รามเรือง

– สถานที่ติดต่อ: เลขที่ 345 ถนนเทพรัตน กม. 3.5 แขวงบางนาเหนือ เขตบางนา กรุงเทพมหานคร 10260

– ช่องทางการติดต่อ: [email protected]

– Call Center : 0-2340-7777

 

14. การปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)

นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ฉบับนี้อยู่ภายใต้การตรวจสอบและทบทวนอย่างสม่ำเสมอ ดังนั้น จึงอาจมีการปรับปรุงแก้ไขได้ เพื่อให้สอดคล้องกับเงื่อนไขการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคล รวมถึงเพื่อให้เกิดความเป็นธรรมและโปร่งใสต่อเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เมื่อมีการปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคล โรงพยาบาลจะแจ้งให้ทราบผ่านช่องทางเว็บไซต์ และสื่อสังคมออนไลน์ของโรงพยาบาล