PDPA คลินิก 2569: ต้องทำอะไร ป้องกันปรับล้าน! (ฉบับทำจริง)
บทนำ: ข้อมูลผู้ป่วย… ระเบิดเวลาที่รอวันทำงาน
คุณหมอและเจ้าของคลินิกครับ ลองจินตนาการถึงวันที่คุณเดินเข้าคลินิกแล้วพบว่าไฟล์ประวัติคนไข้ทั้งหมดถูกล็อกเรียกค่าไถ่ (Ransomware) หรือแย่กว่านั้น… มีคนไข้ฟ้องร้องเรียกค่าเสียหาย 5 ล้านบาท เพราะข้อมูลประวัติการรักษา “โรคทางเพศสัมพันธ์” ของเขาหลุดไปในไลน์กลุ่มพนักงาน
นี่ไม่ใช่เรื่องไกลตัวอีกต่อไป ในปี 2568 ที่ผ่านมา เราเห็นข่าวคลินิกความงามและโรงพยาบาลโดนปรับจริง เจ็บจริง จากกฎหมาย PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) ที่เริ่มเอาจริงเอาจังมากขึ้น โดยเฉพาะกับ ข้อมูลสุขภาพ (Health Data) ที่ถือเป็นข้อมูลอ่อนไหว (Sensitive Data) ขั้นสูงสุด
วันนี้ผมจะไม่พูดทฤษฎีกฎหมายให้ปวดหัว แต่จะมาเจาะลึก “How-to ฉบับปฏิบัติจริง” สำหรับคลินิกไทยปี 2569 ว่าต้องทำอะไรบ้างเพื่อป้องกันความเสี่ยงระดับล้าน ด้วยงบประมาณที่คลินิกขนาดเล็กก็ทำได้ครับ
PDPA คลินิก 2569: ทำไมข้อมูลผู้ป่วยกลายเป็น “ระเบิดเวลา”? 🏥🚨
สถิติจริง! คลินิกโดนปรับ PDPA 2.5 ล้าน (กรณีข้อมูลรั่ว 2025)
ตัวเลขไม่เคยโกหกครับ ล่าสุดเมื่อสิงหาคม 2568 มีคลินิกความงามแห่งหนึ่งถูกสั่งปรับถึง 2.5 ล้านบาท สาเหตุไม่ใช่เพราะโดนแฮก แต่เกิดจากความประมาทเลินเล่อของพนักงานที่ส่งออกข้อมูลลูกค้า (Export Data) ไปให้แก๊งคอลเซ็นเตอร์โดยไม่ตั้งใจ
- บทเรียนราคาแพง: PDPA ไม่ได้ดูแค่เจตนา แต่ดูที่ “มาตรการป้องกัน” ถ้าคุณหละหลวม = ผิดทันที
Sensitive Data = ข้อมูลสุขภาพ = ค่าปรับสูงสุด 5 ล้านบาท
ตามมาตรา 26 ของ PDPA ข้อมูลสุขภาพ ประวัติการรักษา ผลเลือด ถือเป็น Sensitive Personal Data
- ความเสี่ยง: โทษปรับทางปกครองสูงสุดถึง 5 ล้านบาท และอาจโดนโทษจำคุก 1 ปี หากนำข้อมูลไปใช้แสวงหาผลประโยชน์โดยมิชอบ
PDPC Eagle Eye 2026: ตรวจคลินิก 1,000 แห่งเป้าหมาย
ข่าววงในระบุว่าปี 2569 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) หรือ PDPC จะเริ่มโครงการ “Eagle Eye” สุ่มตรวจคลินิกและสถานพยาบาลกว่า 1,000 แห่ง เพื่อตรวจสอบมาตรฐานการเก็บรักษาข้อมูลผู้ป่วย เตรียมตัวให้พร้อมครับ
ข้อมูลผู้ป่วยอะไรบ้าง ที่ PDPA คุ้มครอง? 📋
9 ประเภท Sensitive Health Data
- ไม่ใช่แค่ชื่อ-นามสกุล แต่รวมถึง:
- ประวัติการรักษา (Medical Records)
- ผลแลป/ผลเลือด (Lab Results)
- ฟิล์ม X-ray / MRI
- ประวัติการแพ้ยา
- ข้อมูลพันธุกรรม (Genetic Data)
- รสนิยมทางเพศ (Sexual Orientation – มักพบในคลินิกเฉพาะทาง)
- เชื้อชาติ/ศาสนา (ที่ระบุในบัตร ปชช. รุ่นเก่า)
- ข้อมูลชีวภาพ (Biometric) เช่น สแกนหน้า/ลายนิ้วมือ
- เลขบัตรประชาชน (เมื่อผูกกับข้อมูลสุขภาพ)
Legacy Patient Data เก่า 10 ปี = ต้อง Audit ทันที
คลินิกที่เปิดมานานมักมี “แฟ้มประวัติคนไข้” กองพะเนิน
- กับดัก: ข้อมูลเหล่านี้คือความเสี่ยง หากไม่ได้ติดต่อคนไข้เกิน 10 ปี (อายุความทั่วไป) ควรทำลายทิ้งอย่างถูกวิธี (Shredding) อย่าเก็บไว้ให้รกและเสี่ยงคุก
7 ขั้นตอนปฏิบัติ PDPA คลินิก (Timeline 6 เดือน) ✅
ผมสรุปขั้นตอนแบบจับมือทำมาให้แล้วครับ เริ่มทำตามนี้ได้เลย:
ขั้นตอน 1: Patient Consent Form ใหม่ (Explicit + Granular)
เลิกใช้ใบยินยอมใบเดียวครอบจักรวาล! ต้องแยกช่องติ๊ก:
- [ ] ยินยอมให้รักษา (Treatment)
- [ ] ยินยอมให้ส่งข้อมูลไป Lab นอก (Referral)
- [ ] ยินยอมรับข่าวสารโปรโมชั่น (Marketing) – อันนี้ต้องแยกชัดเจน ห้ามมัดมือชก
ขั้นตอน 2: Data Mapping ด้วย Google Sheets (Template ฟรี)
ทำบัญชีข้อมูลว่า: ข้อมูลคนไข้ -> ใครเก็บ -> เก็บที่ไหน -> ใครเข้าถึงได้บ้าง?
- Tip: คลินิกเล็กๆ ใช้ Google Sheets ได้ แต่ต้องตั้งค่าความปลอดภัยให้แน่นหนา (ดูหัวข้อเครื่องมือ)
ขั้นตอน 3: RBAC – ใครเห็นประวัติผู้ป่วยได้บ้าง?
ใช้หลักการ Role-Based Access Control (RBAC):
- หมอ/พยาบาล: เห็นประวัติการรักษา ผลแลป
- การเงิน/เคาน์เตอร์: เห็นแค่ยอดเงิน ชื่อ เบอร์โทร (ไม่ควรเห็นประวัติโรคละเอียด)
- การตลาด: เห็นแค่ชื่อ อีเมล (ถ้าคนไข้ยินยอม)
ขั้นตอน 4: Cloud Storage AES-256 (AWS SG/TH ถูกกฎหมาย)
เก็บข้อมูลบน Cloud ปลอดภัยกว่า Server ใต้โต๊ะที่คลินิก แต่ต้องเลือก Cloud ที่มีมาตรฐาน:
- แนะนำ: AWS (Region Singapore/Thailand), Google Cloud, Microsoft Azure
- ต้องมี: การเข้ารหัสข้อมูล (Encryption) ทั้งตอนเก็บและตอนส่ง (In Transit & At Rest)
ขั้นตอน 5: DPA กับ Lab/Drug Vendor (Template มาตรฐาน)
เมื่อส่งเลือดไปตรวจ Lab นอก หรือส่งยาทางไปรษณีย์ ข้อมูลคนไข้หลุดออกจากมือคุณแล้ว
- ต้องทำ: เซ็นสัญญา Data Processing Agreement (DPA) กับ Lab และบริษัทขนส่ง เพื่อผลักภาระความรับผิดชอบหากข้อมูลรั่วที่ปลายทาง
ขั้นตอน 6: Data Retention Policy (ผลแลปเก็บ 10 ปี?)
กำหนดอายุกระดาษและไฟล์:
- เวชระเบียน: เก็บ 5-10 ปี ตามกฎหมายสถานพยาบาล
- กล้องวงจรปิด: 30 วัน แล้ววนทับ
- ใบเสร็จ: 5 ปี ตามกฎหมายภาษี
- หมดอายุแล้วทำลายทันที!
ขั้นตอน 7: DPO คลินิก + Staff Training รายไตรมาส
- DPO (Data Protection Officer): คลินิกขนาดใหญ่ที่มีข้อมูล Sensitive Data จำนวนมากต้องแต่งตั้ง DPO (อาจจ้าง Outsource ได้)
- Training: อบรมพนักงานหน้าเคาน์เตอร์ ห้ามถ่ายรูปหน้าจอประวัติคนไข้ส่งไลน์ส่วนตัวเด็ดขาด!
เครื่องมือ + Template ฟรีสำหรับคลินิกขนาดเล็ก 💻
งบ 30,000 บาทก็ทำ PDPA ได้ครับ ไม่ต้องซื้อซอฟต์แวร์แพงๆ:
Google Workspace PDPA Compliance Setup
- ราคา: เริ่มต้น ~200 บาท/user/เดือน
- การตั้งค่า: เปิด 2-Factor Authentication (2FA) บังคับทุกคน, ปิดการแชร์ไฟล์สาธารณะ (Public Link), เปิดดู Log การเข้าถึงไฟล์ได้
Consent Management: CookieYes + Google Forms
- หน้าเว็บ: ใช้ CookieYes (ฟรีสำหรับเว็บเล็ก) จัดการ Cookie Banner
- หน้าเคาน์เตอร์: ใช้ Google Forms หรือ Tablet ให้คนไข้ติ๊ก Consent แทนกระดาษ (ประหยัด + ค้นหาง่าย)
Encryption Tools: VeraCrypt + BitLocker ฟรี
- คอมพิวเตอร์คลินิก: เปิด BitLocker (แถมมากับ Windows Pro) เพื่อเข้ารหัส Harddisk ทั้งลูก ขโมยยกคอมไปก็เปิดดูข้อมูลไม่ได้
Checklist พิมพ์ได้: 30 วัน Data Subject Rights
เตรียมแบบฟอร์ม “คำร้องขอใช้สิทธิ” (Data Subject Request Form) ไว้หน้าเคาน์เตอร์ หากคนไข้มาขอดูประวัติ หรือขอลบข้อมูล คุณมีเวลา 30 วันในการตอบกลับตามกฎหมาย
Privacy Notice คลินิกตัวอย่าง (Copy-Paste แก้ชื่อได้เลย) 📄
12 หมวดบังคับ PDPA สุขภาพ
- ในประกาศความเป็นส่วนตัว (แปะหน้าเคาน์เตอร์ + เว็บไซต์) ต้องมี:
- ใครคือผู้ควบคุมข้อมูล (ชื่อคลินิก + สถานที่ตั้ง)
- ข้อมูลอะไรที่เก็บ (ประวัติ, ผลแลป, รูปถ่าย Before/After)
- เก็บไปทำไม (รักษา, เบิกประกัน, ติดตามผล)
- ส่งต่อใครบ้าง (Lab, ประกันสังคม, บริษัทขนส่ง)
- เก็บนานเท่าไหร่ (Retention Period)
- สิทธิของคนไข้ (ดู, ลบ, แก้ไข, โอนย้าย)
- มาตรการความปลอดภัย
- ช่องทางติดต่อ DPO / เจ้าหน้าที่ดูแลข้อมูล
ข้อความยินยอมผู้ป่วยมาตรฐาน (ตัวอย่าง)
# ข้าพเจ้ายินยอมให้ [ชื่อคลินิก] เก็บรวบรวม ใช้ และเปิดเผยข้อมูลสุขภาพของข้าพเจ้า เพื่อวัตถุประสงค์ในการตรวจวินิจฉัย รักษาพยาบาล และติดต่อประสานงานส่งต่อผู้ป่วย รวมถึงการเบิกจ่ายค่ารักษาพยาบาลตามสิทธิ
[ ] ยินยอมให้ใช้ภาพถ่าย Before/After เพื่อการประชาสัมพันธ์ (Review) โดยปกปิดใบหน้า/อัตลักษณ์บุคคล
เคสจริงคลินิกไทยโดนปรับ PDPA (บทเรียนราคาแพง) ⚖️
เคส 2025: คลินิกความงามรั่วข้อมูล 5,000 คน = 2.5 ล้าน
- สาเหตุ: พนักงานลาออกแล้วขโมยฐานข้อมูลลูกค้าไปเปิดคลินิกเอง และเอาไปขายต่อ
- จุดตาย: คลินิกไม่มีระบบจำกัดสิทธิ์ (Access Control) พนักงานทุกคนโหลดไฟล์ลูกค้าทั้งหมดได้
- บทเรียน: ต้องทำ RBAC และปิดช่องทาง USB/Upload บนเครื่องพนักงาน
เคส State Hospital: ไม่มี DPA กับ Lab = 153K/ราย
- สาเหตุ: ส่งผลเลือดไป Lab นอก แล้วมอเตอร์ไซค์รับจ้างทำเอกสารหล่นกลางทาง
- จุดตาย: ไม่มีการเซ็นสัญญา DPA กับ Lab ว่าต้องรักษาความปลอดภัยการขนส่งอย่างไร
- บทเรียน: คู่สัญญา (Vendor) สำคัญมาก ต้องคัดกรองให้ดี
สิ่งที่คลินิก 90% ทำผิด (Pre-ticked Consent)
- ห้ามติ๊กช่อง “ยินยอมรับข่าวสาร” ไว้ล่วงหน้าเด็ดขาด คนไข้ต้องเป็นคนจรดปากกาติ๊กเองครับ
สรุป: เริ่มวันนี้ เจ็บน้อยกว่า
การทำ PDPA ไม่ใช่การเพิ่มภาระ แต่คือการ “ยกระดับมาตรฐานคลินิก” ให้เทียบเท่าสากล และสร้างความเชื่อมั่นให้คนไข้ว่า “ที่นี่รักษาความลับเก่งพอๆ กับรักษาโรค”
ถ้าคุณไม่เริ่มวันนี้ วันที่จดหมายจาก PDPC หรือหมายศาลมาถึง ค่าเสียหายอาจไม่ใช่แค่เงิน แต่คือชื่อเสียงที่สั่งสมมาทั้งชีวิตครับ
# ต้องการที่ปรึกษา PDPA สำหรับคลินิกโดยเฉพาะ? ทีมงาน The Kooru เชี่ยวชาญด้าน Healthcare Data Privacy พร้อม Template และเครื่องมือที่ปรับใช้ได้ทันที [ติดต่อเราวันนี้ เพื่อรับคำปรึกษาฟรี] – ปกป้องคลินิกของคุณก่อนกฎหมายไล่ตามทัน
คำถามยอดฮิตเจ้าของคลินิก PDPA (FAQ)
1. คลินิกมีหมอ 3 คน พนักงาน 5 คน ต้องมี DPO ไหม?
– หากคลินิกเก็บข้อมูลอ่อนไหว (ข้อมูลสุขภาพ) เป็น “กิจกรรมหลัก” และมีปริมาณมาก (Large Scale) กฎหมายแนะนำให้มี DPO ครับ แต่สำหรับคลินิกขนาดเล็ก อาจมอบหมายให้ “ผู้จัดการคลินิก” ทำหน้าที่ประสานงานแทนได้ แต่ต้องมีความรู้ PDPA
2. Line OA ส่งข้อมูลผู้ป่วยผิด PDPA หรือไม่?
– Line OA ทั่วไปไม่ได้ออกแบบมาเพื่อเก็บข้อมูลสุขภาพ (Non-HIPAA Compliant) การส่งผลแลปหรือชื่อยาผ่าน Line OA มีความเสี่ยง หากจะทำควรขอ Consent คนไข้ให้ชัดเจนว่า “ยินยอมรับผลผ่านช่องทางนี้” และควรลบแชทเมื่อจบเคส หรือใช้ Line สำหรับแพทย์ โดยเฉพาะ
3. Google Drive เก็บผลแลปใช้ได้ไหม?
– ใช้ได้ครับ แต่ต้องเป็น Google Workspace (Paid Version) ที่มีการเข้ารหัสและเซ็นสัญญา BAA (Business Associate Agreement) ได้ อย่าใช้ Gmail ฟรีเก็บข้อมูลคนไข้เด็ดขาด เพราะ Google อาจสแกนข้อมูลเพื่อการโฆษณา
4. ค่าปรับ PDPA คลินิกสูงสุดเท่าไหร่?
– โทษปรับทางปกครองสูงสุด 5 ล้านบาท (สำหรับข้อมูลสุขภาพ) และหากคนไข้ฟ้องร้องทางแพ่ง ศาลอาจสั่งจ่ายค่าสินไหมทดแทน + ค่าเสียหายเชิงลงโทษ (Punitive Damages) อีก 2 เท่าของความเสียหายจริง
5. รูป Review Before/After ต้องขออนุญาตไหม?
– ต้องขอครับ! และต้องขอแยกต่างหากจากการรักษา (Specific Consent) แม้จะปิดตา/คาดหน้า แต่ถ้าคนรู้จักจำได้ ก็ถือว่าระบุตัวตนได้ครับ
6. กล้องวงจรปิดในคลินิกต้องทำไง?
– ต้องติดป้าย “CCTV in Operation” ให้ชัดเจนก่อนเข้าพื้นที่ และห้ามติดในห้องตรวจหรือห้องหัตถการที่เปิดเผยร่างกายคนไข้เด็ดขาด
7. ถ้าคนไข้ขอลบประวัติการรักษา ต้องลบไหม?
– ไม่ต้องลบทั้งหมดครับ! กฎหมายสถานพยาบาลบังคับให้เก็บเวชระเบียนไว้อย่างน้อย 5 ปี เราสามารถปฏิเสธการลบได้โดยอ้าง “หน้าที่ตามกฎหมาย” (Legal Obligation) แต่ต้องลบส่วนที่ไม่จำเป็นออก เช่น ข้อมูลการตลาด
8. ส่งประวัติคนไข้ไปเบิกประกัน ต้องขอ Consent ไหม?
– ถ้าเป็นการเบิกตามสิทธิ (เช่น ประกันสังคม, ประกันกลุ่ม) มักมีฐานกฎหมายรองรับ (Contract/Legal Obligation) ไม่ต้องขอ Consent ใหม่ แต่ถ้าส่งให้บริษัทประกันเพื่อขายกรมธรรม์เพิ่ม อันนี้ต้องขอครับ
9. โปรแกรมบริหารคลินิก (Hospital OS) ต้องเลือกยังไง?
– เลือกเจ้าที่มีฟีเจอร์ PDPA Ready เช่น มีระบบ Log (ใครดูประวัติ/เมื่อไหร่), จำกัดสิทธิ์การเข้าถึง (RBAC), และฐานข้อมูลอยู่บน Cloud ที่ได้มาตรฐาน ISO 27001
10. ถุงยาต้องระบุชื่อยาหน้าซองไหม?
– ระบุได้ครับ เพื่อความปลอดภัยในการใช้ยา แต่เวลาเรียกชื่อคนไข้รับยา พยายามเรียกแค่ชื่อ หรือคิว อย่าขานชื่อยาหรือโรคดังๆ หน้าเคาน์เตอร์ครับ
โดย: คุณภูวรา (Khun Phuwara) – ที่ปรึกษาอาวุโสด้านกลยุทธ์ธุรกิจและ Legal-Tech แห่ง The Kooru
Focus Keyword: PDPA คลินิก 2569 ต้องทำอะไร
Secondary Keywords (LSI): ข้อมูลผู้ป่วย PDPA, ค่าปรับ PDPA โรงพยาบาล, ความยินยอมผู้ป่วย PDPA, Data Mapping คลินิก, Cloud Storage PDPA ปลอดภัย
