Legal measures for personal data protection of the hospital service recipients : A study of an electronic personal health record application

Abstract

Thai government have prepared to integrate many aspects for developing country and raising the living standards of people through Information Technology. One of them is the integration of Thai health system by personal health record application to collect and gather the data of service recipients in a hospital. In the past, health records of service recipients were collected in the form of paper documents, but nowadays, health records of service recipients are stored in electronic documents. This make it easier to access information that results in such information being disseminated to the public without the consent of the personal data owner and violate the right to privacy of the data owner.

This research studies the concept and theory regarding personal data protection and the provisions in Thai law regarding personal health data protection, such as the Ministerial Regulation on the Protection and Management of Personal Health Information B.E. 2561 and the Personal Data Protection Act B.E. 2562 in comparison with the personal data protection laws of the European Union and the United States of America. It focuses on issue of the protection of personal data stored in electronic systems in order to propose the appropriate legal measures as follows. First, the amendment should be made to the Personal Data Protection Act B.E. 2562 in order to cover both personal data and personal health data stored in the electronic system by adding the definition of “personal health data” and adding the rights of personal health data owners into this Act. Second, amendments should be made to the Ministerial Regulation on the Protection and Management of Personal Health Information B.E. 2561 by adding the definition of “Electronic Personal Health Information”.

ภาครัฐได้เตรียมการบูรณาการในหลายด้านเพื่อการพัฒนาประเทศและยกระดับความมั่นคงในการดำรงชีวิตของประชาชนผ่านการขับเคลื่อนด้วยเทคโนโลยีสารสนเทศซึ่งหนึ่งในนั้นคือการบูรณาระบบสุขภาพของประเทศไทยโดยการนําระบบระเบียนสุขภาพอิเล็กทรอนิกส์ส่วนบุคคลมาเป็นตัวช่วยในการเก็บและรวบรวมข้อมูลของผู้มารับบริการในโรงพยาบาล ในอดีตการจัดเก็บระเบียนสุขภาพเป็นการเก็บรวบรวมข้อมูลในรูปแบบของเอกสารกระดาษแต่ปัจจุบันระเบียนสุขภาพของผู้มารับบริการในโรงพยาบาลจัดเก็บในรูปแบบเอกสารอิเล็กทรอนิกส์ทำให้เข้าถึงข้อมูลได้ง่ายจนบางครั้งเกิดการเผยแพร่ข้อมูลของผู้มารับบริการในโรงพยาบาลสู่สาธารณะโดยไม่ได้รับความยินยอมจากเจ้าของข้อมูล และละเมิดสิทธิส่วนบุคคลของเจ้าของข้อมูล

งานวิจัยนี้ศึกษาแนวคิดทฤษฎีเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายไทยที่มีบทบัญญัติเกี่ยวกับการคุ้มครองข้อมูลสุขภาพส่วนบุคคลได้แก่ระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคล พ.ศ. 2561 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เปรียบเทียบกับกฎหมายการคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปและสหรัฐอเมริกาในประเด็นการคุ้มครองข้อมูลสุขภาพส่วนบุคคลที่จัดเก็บในระบบอิเล็กทรอนิกส์เพื่อเสนอมาตรการทางกฎหมายที่เหมาะสม ดังนี้ ประการแรก ควรแก้ไขเพิ่มเติมพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลพ.ศ. 2562 เพื่อให้ครอบคลุมทั้งข้อมูลส่วนบุคคลและข้อมูลสุขภาพส่วนบุคคลที่จัดเก็บในระบบอิเล็กทรอนิกส์โดยให้เพิ่มนิยาม“ข้อมูลสุขภาพส่วนบุคคล” เพิ่มสิทธิเจ้าของข้อมูลส่วนบุคคลด้านสุขภาพในพระราชบัญญัติฉบับนี้ ประการที่สอง ควรแก้ไขเพิ่มเติมระเบียบกระทรวงสาธารณสุขว่าด้วยการคุ้มครองและจัดการข้อมูลด้านสุขภาพของบุคคลพ.ศ. 2561 โดยเพิ่มนิยาม“ข้อมูลสุขภาพอิเล็กทรอนิกส์ส่วนบุคคล”