ข้อมูลสุขภาพกับกฎหมายที่เกี่ยวข้อง

siri
โพสต์: 1796
ลงทะเบียนเมื่อ: จันทร์ พ.ค. 25, 2020 9:57 am
ติดต่อ:

ข้อมูลสุขภาพกับกฎหมายที่เกี่ยวข้อง

โพสต์ที่ยังไม่ได้อ่าน โดย siri » อาทิตย์ พ.ค. 15, 2022 10:41 pm

ข่าวการเปิดเผยข้อมูลสุขภาพlของพระเถระชั้นผู้ใหญ่คนหนึ่ง ทำให้เกิดคำถามในวงการ privacy laws อีกครั้งว่าการเปิดเผยตามที่ปรากฏเป็นข่าวดังกล่าวถูกต้องตามกฎหมายหรือไม่

ในฐานะนักวิชาการด้านสารสนเทศสุขภาพ (health informatics) ด้านความเป็นส่วนตัวของข้อมูลสุขภาพ (health information privacy) และด้านกฎหมายเกี่ยวกับความเป็นส่วนตัว (privacy laws) ผมขอให้ความเห็นดังนี้ ทั้งนี้ ไม่ได้เป็นความเห็นในฐานะตำแหน่งหน้าที่หรือบทบาทใดในองค์กรใดของผม

1. การเปิดเผยข้อมูลสุขภาพ (หรือบางครั้งจะเรียกว่า ข้อมูลด้านสุขภาพของบุคคล หรือข้อมูลส่วนบุคคลด้านสุขภาพ) ที่สามารถระบุตัวบุคคลได้ ไม่ว่าจะอยู่ในรูปแบบใด อยู่ภายใต้บังคับของกฎหมายที่เกี่ยวข้องอย่างน้อยดังนี้
- ประมวลกฎหมายอาญา มาตรา 323 (ใช้บังคับกับเจ้าพนักงาน แพทย์ พยาบาล เภสัชกร คนจำหน่ายยา ฯลฯ ที่เปิดเผยข้อมูลความลับที่ได้มาจากการทำหน้าที่ ในประการที่น่าจะทำให้เกิดความเสียหายแก่บุคคล)
- ข้อบังคับว่าด้วยการรักษาจริยธรรมแห่งวิชาชีพ ตามกฎหมายว่าด้วยวิชาชีพนั้นๆ
- พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 มาตรา 7 (ใช้บังคับกับผู้ใดก็ตามที่เปิดเผยข้อมูลด้านสุขภาพของบุคคล ในประการที่น่าจะทำให้เกิดความเสียหายแก่บุคคล
- พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มาตรา 26 (ซึ่งขณะนี้ยังได้รับยกเว้นการบังคับใช้ จนถึง 31 พ.ค. 2565 นี้)

2. พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 มาตรา 7 กำหนดว่า "ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วนบุคคล ผู้ใดจะนำไปเปิดเผยในประการที่น่าจะทำให้บุคคลนั้นเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย..."

สิ่งที่เป็นข้อพิจารณาตามองค์ประกอบความผิด คือ
(1) ข้อมูลที่เปิดเผยเป็นข้อมูลด้านสุขภาพของบุคคล หรือไม่
(2) การเปิดเผยนั้นเป็นการเปิดเผยในประการที่น่าจะทำให้บุคคลนั้นเสียหายหรือไม่
(3) การเปิดเผยนั้น เป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผยหรือไม่

2.1 ในที่นี้ จะเห็นว่าข้อมูลที่เปิดเผย ทั้งที่เป็นข้อมูลเกี่ยวกับสถานะสุขภาพโดยรวม และข้อมูลที่บันทึกในเวชระเบียน เป็นข้อมูลที่เกี่ยวกับสถานะสุขภาพและการให้บริการสุขภาพต่อบุคคล และสามารถระบุตัวบุคคลนั้นได้ จึงถือเป็นข้อมูลด้านสุขภาพของบุคคล ตาม พ.ร.บ.สุขภาพแห่งชาติ

2.2 การเปิดเผยนั้น ดูเหมือนจะมีเจตนาดีที่ต้องการชี้แจงสถานะสุขภาพของพระเถระรูปนั้น เพื่ออธิบายสิ่งที่อาจเป็นสาเหตุของลักษณะพฤติกรรมของท่าน อย่างไรก็ดี ข้อมูลเกี่ยวกับสถานะสุขภาพ เป็นเรื่องส่วนบุคคล และอาจมีข้อมูลบางอย่างที่ทำให้เกิดความเสียหายต่อบุคคลนั้นได้เช่นกัน ตรงนี้เป็นเรื่องยากที่จะตอบว่าการเปิดเผยดังกล่าว น่าจะทำให้เกิดความเสียหายหรือไม่ เพราะยังไม่มีการพิพากษาคดีในเรื่องลักษณะนี้เป็นบรรทัดฐาน (แตกต่างจากการจงใจเปิดเผยข้อมูล sensitive มากๆ เช่น ข้อมูล HIV เพื่อประโยชน์ของการโจมตี ให้ร้าย หรือทำให้เกิดความเสียหายต่อบุคคลโดยตรง ซึ่งจะเข้าเงื่อนไขชัดเจนมาก) แต่หากเข้าใจว่า เรื่องข้อมูลส่วนบุคคล (ซึ่งรวมถึงข้อมูลด้านสุขภาพของบุคคล) เป็นเรื่องส่วนบุคคล แต่ละคนมีความสะดวกใจในการเปิดเผยไม่เท่ากัน (เหมือนผ้าม่านในบ้านที่เราแต่ละคนจะเปิดผ้าม่านไม่เท่ากัน เพราะมีระดับความเป็นส่วนตัวที่ต้องการไม่เท่ากันในสถานการณ์หนึ่งๆ) ในการเปิดเผยข้อมูลจึงควรตระหนักว่า ข้อมูลที่เรามองว่าเปิดเผยด้วย "เจตนาดี" จะทำให้ผู้นั้นเสียหายได้หรือไม่ และพิจารณาใช้วิจารณญาณอย่างเหมาะสมก่อนเปิดเผย

2.3 การเปิดเผยนั้น เป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผยหรือไม่ กรณีนี้ไม่ได้เป็นการเปิดเผยตามกรณีที่มีกฎหมายอื่นบัญญัติให้เปิดเผย (แม้จะพิจารณาเทียบเคียงกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล มาตรา 26 ก็ไม่เห็นเหตุผลที่สามารถเปิดเผยได้ นอกจากได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล)

สิ่งที่ต้องพิจารณาจึงมีต่อไปว่า การเปิดเผยนั้น เป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง กรณีนี้ เนื่องจากตามข้อมูลที่ปรากฏในข่าว พระเถระรูปนี้น่าจะไม่อยู่ในสถานะที่รับรู้ความเป็นจริงและตัดสินใจในเรื่องการเปิดเผยข้อมูลสุขภาพของตน โดยใช้วิจารณญาณชั่งน้ำหนักประโยชน์และผลกระทบในมุมมองของตนได้ดี จึงต้องพิจารณาว่า มีผู้ใดที่มีอำนาจในการตัดสินใจแทนผู้ป่วยได้หรือไม่

กรณีที่ปรากฏเป็นข่าว การเปิดเผยข้อมูล มีทั้งที่เกิดขึ้นโดยแพทย์ผู้รักษา/สถานพยาบาลที่รักษา ญาติ (หลาน) สื่อมวลชน และบุคคลอื่นใน social media

สำหรับในส่วนที่เป็นข้อมูลในเวชระเบียนที่เปิดเผยโดยญาติ ขึ้นอยู่กับข้อเท็จจริงว่าญาติผู้นั้นเป็นผู้มีอำนาจในการตัดสินใจแทนผู้ป่วยได้หรือไม่ เพียงใด และ/หรือ ได้รับความเห็นชอบจากผู้มีอำนาจดังกล่าวในการเปิดเผยแล้วหรือไม่ (โดยปกติผู้ที่มีอำนาจในการตัดสินใจแทนผู้ป่วย ตาม พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 มาตรา 8 วรรคสาม (2) คือ ทายาทโดยธรรมตามประมวลกฎหมายแพ่งและพาณิชย์ ผู้ปกครอง ผู้ปกครองดูแล ผู้พิทักษ์ หรือผู้อนุบาลของผู้รับบริการ)

สำหรับการเปิดเผยโดยแพทย์ผู้รักษา หรือสถานพยาบาลที่รักษา ก็เช่นเดียวกัน ขึ้นอยู่กับข้อเท็จจริงว่าได้ขอความยินยอมจากผู้มีอำนาจในการตัดสินใจแทนผู้ป่วยก่อนการเปิดเผยแล้วหรือไม่ (นอกจากมีเหตุผลอื่นที่มีกฎหมายบัญญัติให้เปิดเผยได้ ซึ่งผมอาจจะไม่ aware) ซึ่งประเด็นข้อกฎหมายที่เกี่ยวข้องก็มีทั้งเรื่อง พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 มาตรา 7 และข้อบังคับว่าด้วยการรักษาจริยธรรมแห่งวิชาชีพตาม พ.ร.บ.วิชาชีพ

3. ในส่วนของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งยังอยู่ในระหว่างที่มีการยกเว้นการบังคับใช้จนถึง 31 พ.ค. 2565 นี้ หากกฎหมายบังคับใช้แล้ว มีข้อพิจารณาดังนี้
- ข้อมูลที่เปิดเผย เป็นข้อมูลส่วนบุคคลตาม PDPA หรือไม่ (คำตอบ: ใช่)

- การเปิดเผยข้อมูลดังกล่าว ของผู้เกี่ยวข้อง อยู่ในข่ายที่ได้รับยกเว้นการบังคับใช้ตามมาตรา 4 ของ PDPA หรือไม่
- ในกรณีที่ไม่ได้รับยกเว้นการบังคับใช้ตามมาตรา 4 การเปิดเผยข้อมูลดังกล่าว เป็นไปตามที่กำหนดใน PDPA หรือไม่

การเปิดเผยข้อมูลส่วนบุคคลโดยญาติ อาจต้องพิจารณาว่าเป็นการเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้นเท่านั้น ซึ่งได้รับยกเว้นตามมาตรา 4 วรรคหนึ่ง (1) หรือไม่

สำหรับการเปิดเผยข้อมูลส่วนบุคคลโดยสื่อมวลชน ต้องพิจารณาว่าเป็นกรณีที่เป็นการเปิดเผยข้อมูลส่วนบุคคลที่ทำการเก็บรวบรวมไว้เฉพาะเพื่อกิจการสื่อมวลชน... อันเป็นไปตามจริยธรรมแห่งการประกอบวิชาชีพหรือเป็นประโยชน์สาธารณะเท่านั้น หรือไม่ ซึ่งจะเข้าข้อยกเว้นตามมาตรา 4 วรรคหนึ่ง (3)

ทั้งสองกรณีนี้ ยังขึ้นอยู่กับข้อเท็จจริงแวดล้อมในการเปิดเผยข้อมูลดังกล่าว และแนวการวินิจฉัยตีความของคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ผู้เขียนจึงไม่อาจให้ความเห็นทางใดทางหนึ่งได้ชัดเจนในขณะนี้

ส่วนการเปิดเผย (รวมทั้งการแชร์ต่อ) โดยบุคคลอื่น น่าจะไม่เข้าข่ายข้อยกเว้นตามมาตรา 4

การเปิดเผยข้อมูลส่วนบุคคลที่อยู่ในบังคับของ PDPA (ไม่ได้รับยกเว้นตามมาตรา 4) ก็จะต้องพิจารณา "ฐานทางกฎหมายในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล" (ที่เรียกว่า lawful basis ตามกฎหมาย GDPR ของสหภาพยุโรป) ซึ่งข้อมูลสุขภาพ ถือเป็นข้อมูล sensitive personal data ตามมาตรา 26 ของ PDPA (หรือเข้าข่าย special categories of data ตาม GDPR ของสหภาพยุโรป) การเปิดเผยที่ไม่เข้าข้อยกเว้นต่างๆ ตามมาตรา 26 (1)-(5) จึงต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล (หรือผู้มีอำนาจกระทำการแทนตามกฎหมาย)

เนื่องจากกรณีตามที่เป็นข่าว ไม่ปรากฏชัดเจนว่าได้รับความยินยอมจากผู้มีอำนาจกระทำการแทนผู้ป่วย ก่อนการเปิดเผยข้อมูลของผู้เกี่ยวข้องหรือไม่ จึงไม่สามารถให้ความเห็นทางใดทางหนึ่งได้ชัดเจน และขึ้นอยู่กับว่ามีผู้เสียหายไปร้อง หรือมีกรณีที่ต้องมีการดำเนินการเช่นใดตามกฎหมายโดยผู้มีหน้าที่และอำนาจที่เกี่ยวข้องหรือไม่

วัตถุประสงค์ของโพสต์นี้ จึงเป็นเพียงการยกข้อกฎหมายที่เกี่ยวข้องมาวิเคราะห์และแลกเปลี่ยนกับผู้สนใจ โดยไม่ได้เป็นการวิพากษ์วิจารณ์โดยตรงว่าการกระทำต่างๆ สอดคล้องหรือไม่สอดคล้องกับกฎหมายต่างๆ หรือไม่ เพียงเท่านั้นครับ

นพ.นวนรรน ธีระอัมพรพันธุ์
15 พ.ค. 2565

ตอบกลับโพส

ย้อนกลับไปยัง “กฏหมาย สังคมและชุมชน”

ผู้ใช้งานขณะนี้

สมาชิกกำลังดูบอร์ดนี้: ไม่มีสมาชิกใหม่ และบุคลทั่วไป 3