นโยบายความเป็นส่วนตัว (Privacy Policy) โรงพยาบาลวิภาวดี

โรงพยาบาลวิภาวดีตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและดำรงไว้ซึ่งมาตรฐานในการรักษาความมั่นคงปลอดภัยในข้อมูลส่วนบุคคลตามมาตรฐานที่เหมาะสมและเป็นไปตามมาตรฐานสากล จึงได้จัดทำและเผยแพร่นโยบายความเป็นส่วนตัว (Privacy Policy) ฉบับนี้ให้กับบุคคลทั่วไปที่เกี่ยวข้องกับโรงพยาบาลได้รับทราบ และให้มีผลบังคับใช้กับผู้บริหาร พนักงาน และบุคคลภายนอก ผู้ปฏิบัติงานให้โรงพยาบาลทุกคนถือปฏิบัติและให้ผู้บริหารของ ทุกหน่วยงานมีหน้าที่รับผิดชอบในการสนับสนุน ผลักดัน และตรวจสอบการดำเนินงานให้เป็นไปตามนโยบาย และกฎหมายที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด ดังต่อไปนี้

1) การเก็บรวบรวมข้อมูลส่วนบุคคลให้มีการดำเนินการอย่างจำกัด เพียงเท่าที่จำเป็น และตามวัตถุประสงค์ของการใช้งานเท่านั้น และให้เป็นไปตามนโยบาย คู่มือ และ/หรือแนวทางปฏิบัติที่โรงพยาบาลกำหนด

2) คุณภาพของข้อมูลส่วนบุคคลที่เก็บให้คำนึงถึงความถูกต้อง เหมาะสม มีมาตรการในการรักษาความมั่นคงของข้อมูลส่วนบุคคลอย่างเหมาะสม มีการบริหารจัดการความเสี่ยงรวมถึงการสร้างจิตสำนึกในด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

3) วัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ภายใต้ฐานทางกฎหมาย และมีการประมวลผลข้อมูลตามวัตถุประสงค์ที่กำหนดเท่านั้น โดยจะไม่เปิดเผยข้อมูลส่วนบุคคลที่มีการเก็บรวบรวมไว้ต่อบุคคลภายนอก เว้นแต่ในกรณีดังต่อไปนี้

  • เพื่อประโยชน์เกี่ยวกับชีวิต สุขภาพ หรือความปลอดภัย
  • เพื่อการปฏิบัติตามสัญญาที่มีความผูกพันระหว่างกัน
  • เพื่อการดำเนินการตามหน้าที่ที่กฎหมายกำหนด หรือตามคำสั่งศาล ตามคำสั่งของผู้มีอำนาจตามกฎหมาย หรือกรณีอื่นใดที่มีลักษณะทำนองเดียวกัน
  • เพื่อประโยชน์โดยชอบด้วยกฎหมาย
  • เพื่อการปฏิบัติหน้าที่ตามกฎหมาย
  • เพื่อประโยชน์ในการศึกษา วิจัย หรือการจัดทำสถิติ
  • เป็นกรณีที่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

4) ให้มีการประชาสัมพันธ์และเผยแพร่นโยบาย รวมถึงแนวปฏิบัติที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลผ่านทางเว็บไซต์ของโรงพยาบาล และดำเนินการเรื่องอื่นๆ ตามที่กฎหมายกำหนด เช่น มีมาตรการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล กำหนดความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูลส่วนบุคคล (Data Controller) และประมวลผลข้อมูลส่วนบุคคล (Data Processor) จัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เป็นต้น

5) บุคลากรทุกคนของโรงพยาบาลพึงมีจิตสำนึกและความรับผิดชอบ พร้อมที่จะปกป้องคุ้มครองข้อมูลส่วนบุคคลของผู้ที่เกี่ยวข้องเสมือนเป็นข้อมูลส่วนบุคคลของตนเอง

นโยบายฉบับนี้ยังมีวัตถุประสงค์เพื่อแจ้งกับทุกภาคส่วนถึงรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงการโอนข้อมูลส่วนบุคคลไปยังโรงพยาบาลในเครือทั้งภายในหรือต่างประเทศ ตลอดจนมาตรการ ในการจัดการและการรักษาความปลอดภัยในข้อมูลส่วนบุคคล เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายที่เกี่ยวข้อง และเป็นไปตามมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลในระดับสากล โรงพยาบาลใช้ความพยายามอย่างยิ่งที่จะให้มีการเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด เท่าที่จำเป็น ตามวัตถุประสงค์ของการใช้งานนั้น เพื่อประโยชน์ในการให้บริการแก่เจ้าของข้อมูล และให้มีการประมวลผลข้อมูลตามวัตถุประสงค์ที่กำหนดไว้เท่านั้น

1. ขอบเขตการบังคับใช้

นโยบายความเป็นส่วนตัวฉบับนี้ ใช้บังคับกับข้อมูลส่วนบุคคลที่โรงพยาบาลอาจเก็บรวบรวม ใช้ เปิดเผย หรือโอนข้อมูลส่วนบุคคลไปยังโรงพยาบาลในเครือทั้งภายในหรือต่างประเทศ ของกลุ่มบุคคลดังต่อไปนี้

1) กลุ่มลูกค้า ทั้งที่เป็นลูกค้าของโรงพยาบาลในปัจจุบัน ในอดีต และอาจเป็นลูกค้าเป้าหมายของโรงพยาบาลในอนาคต

2) กลุ่มคู่ค้า คู่สัญญา ซึ่งครอบคลุมทั้งที่เป็น

  • บุคคลธรรมดา ซึ่งเป็นคู่สัญญาของโรงพยาบาลในปัจจุบัน ในอดีต และอาจเป็นคู่ค้าหรือคู่สัญญา ของโรงพยาบาลในอนาคต
  • พนักงาน บุคลากร เจ้าหน้าที่ ผู้แทน ตัวแทน ผู้มีอำนาจกระทำการแทนนิติบุคคล กรรมการ ผู้ติดต่อ และบุคคลธรรมดาอื่นที่กระทำในนามนิติบุคคลซึ่งเป็นคู่ค้าหรือคู่สัญญานิติบุคคลของโรงพยาบาล

3) กลุ่มผู้ถือหุ้น นักลงทุน รวมถึงบุคคลใดๆ ที่สนใจเกี่ยวกับการลงทุน

4) กลุ่มผู้มาติดต่อ และบุคคลภายนอกที่เข้ามาในบริเวณรับผิดชอบของโรงพยาบาลซึ่งจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลไว้ เพื่อวัตถุประสงค์ในการรักษาความปลอดภัยภายในบริเวณที่รับผิดชอบ

5) กลุ่ม Stakeholder ด้าน CSR หรือบุคคลใดๆ ที่โรงพยาบาลอาจเก็บรวบรวมข้อมูลส่วนบุคคลไว้จากที่เกี่ยวข้อง หรือเพื่อการดำเนินกิจกรรมเพื่อสังคม หรือเพื่อการอื่นใด

6) กลุ่มบุคลากร พนักงาน และผู้สมัครงาน ซึ่งครอบคลุมทั้งที่เป็นสมาชิกครอบครัว หรือบุคคลอ้างอิง ที่พนักงานหรือผู้สมัครงานอ้างอิงถึง
นโยบายความเป็นส่วนตัวฉบับนี้ ยังบังคับใช้ครอบคลุมช่องทางต่างๆ ระหว่างเจ้าของข้อมูลส่วนบุคคลกับโรงพยาบาล ที่ทำให้โรงพยาบาลได้รับหรือเก็บรวบรวมข้อมูลส่วนบุคคลไว้ ไม่ว่าจะเป็นช่องทางการติดต่อของโรงพยาบาล ระบบอิเล็กทรอนิกส์ เว็บไซต์ สายด่วน (Call Center) หรือศูนย์บริการลูกค้า ช่องทางการร้องเรียนหรือให้คำแนะนำ ติชม ช่องทางการติดต่อสื่อสารทางออนไลน์ แอปพลิเคชันสำหรับอุปกรณ์เคลื่อนที่ กิจกรรมต่างๆ สถานที่สาธารณะหรือชุมชนที่โรงพยาบาลดูแลรับผิดชอบเพื่อสังคมและ/หรือเพื่อการอื่นๆ ที่เกี่ยวข้อง
นโยบายความเป็นส่วนตัวฉบับนี้ ได้อธิบายถึงประเภทของข้อมูลส่วนบุคคลที่โรงพยาบาลจัดเก็บไว้ วิธีการ แหล่งที่มา วัตถุประสงค์ที่เราได้เก็บรวบรวม ใช้ เปิดเผย และโอนข้อมูลส่วนบุคคลไปต่างประเทศ บุคคลที่อาจได้รับการเปิดเผยหรือโอนข้อมูลส่วนบุคคลจากโรงพยาบาล ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล และสิทธิของเจ้าของข้อมูลส่วนบุคคลที่เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตลอดจนการรักษาความปลอดภัยในข้อมูลส่วนบุคคลตามมาตรการที่เหมาะสม

2. คำจำกัดความที่กล่าวถึงในนโยบายฉบับนี้

“โรงพยาบาล” หมายถึง โรงพยาบาลวิภาวดี

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงและทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม เช่น ชื่อ-นามสกุล เลขประจำตัวประชาชน เลขที่หนังสือเดินทาง เลขบัตรประกันสังคม เลขประจำตัวผู้เสียภาษี เลขบัญชี ที่อยู่ อีเมล เบอร์โทรศัพท์ IP address Cookie ID วันเดือนปีเกิด สัญชาติ น้ำหนัก ส่วนสูง ข้อมูลการศึกษา ข้อมูลการเงิน ข้อมูลการจ้างงาน เป็นต้น

“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายถึง ข้อมูลที่เป็นเรื่องส่วนบุคคลโดยแท้ แต่มีความละเอียดอ่อน และ อาจสุ่มเสี่ยงในการเลือกปฏิบัติอย่างไม่เป็นธรรมได้ เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อ ในลัทธิ ศาสนา หรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลทางชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกัน

“การประมวลผลข้อมูลส่วนบุคคล” หมายถึง การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“เจ้าของข้อมูลส่วนบุคคล” หมายถึง ตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น แต่ไม่ใช่กรณีที่บุคคลมีความเป็นเจ้าของข้อมูล หรือเป็นผู้สร้างหรือเก็บรวบรวมข้อมูลนั้นเอง โดยเจ้าของข้อมูลส่วนบุคคลนี้ จะหมายถึงบุคคลธรรมดาเท่านั้น และไม่รวมถึง นิติบุคคล ที่จัดตั้งขึ้นตามกฎหมาย เช่น บริษัท สมาคม มูลนิธิ หรือองค์กรอื่นใด

3. คุกกี้ (Cookies) และการใช้คุกกี้

ในการเข้าเว็บไซต์ของโรงพยาบาล อาจมีการวางคุกกี้ไว้ในอุปกรณ์ของผู้เข้าชม และมีการเก็บรวบรวมข้อมูลโดยอัตโนมัติ คุกกี้บางส่วนมีความจำเป็นเพื่อให้เว็บไซต์สามารถทำงานได้อย่างเหมาะสม และบางส่วนเป็นคุกกี้ที่มีไว้เพื่ออำนวยความสะดวกแก่ผู้เข้าชมเว็บไซต์ สามารถศึกษาข้อมูลเพิ่มเติมได้ในนโยบายคุกกี้ของโรงพยาบาล

4. การปรับปรุงนโยบายความเป็นส่วนตัว

โรงพยาบาลอาจทบทวน ปรับปรุง เปลี่ยนแปลงนโยบายความเป็นส่วนตัวฉบับนี้เป็นครั้งคราว เพื่อให้สอดคล้องกับแนวปฏิบัติ กฎหมาย ระเบียบ ข้อบังคับที่เกี่ยวข้อง ทั้งนี้ หากมีการปรับปรุงเปลี่ยนแปลงนโยบายความเป็นส่วนตัวฉบับนี้ โรงพยาบาลจะเผยแพร่นโยบายฉบับปรับปรุงลงบนเว็บไซต์และช่องทางอื่นๆ ของโรงพยาบาลต่อไป

5. การเก็บรักษา ระยะเวลา และมาตรการความปลอดภัย

โรงพยาบาลจะเก็บรักษาข้อมูลส่วนบุคคลไว้ตราบเท่าที่จำเป็น ตามสมควร เพื่อบรรลุตามวัตถุประสงค์ที่ได้แจ้งไว้ในนโยบายฉบับนี้ โดยจะพิจารณาระยะเวลาที่เหมาะสมในการเก็บรักษาข้อมูลส่วนบุคคล จากระยะเวลาตามสัญญา อายุความตามกฎหมาย รวมถึงความจำเป็นที่ต้องเก็บข้อมูลส่วนบุคคลต่อไปตามระยะเวลาที่จำเป็น เพื่อปฏิบัติตามกฎหมาย เพื่อการตรวจสอบจากภายในและภายนอก หรือเพื่อก่อตั้งสิทธิ/การใช้สิทธิเรียกร้องตามกฎหมาย
โรงพยาบาลจะดูแลรักษาและเก็บข้อมูลส่วนบุคคลให้มีความปลอดภัยที่เหมาะสม ไม่ว่าในรูปแบบของเอกสาร ระบบคอมพิวเตอร์ และระบบอิเล็กทรอนิกส์ต่างๆ รวมถึงเครื่องมือต่างๆ ที่โรงพยาบาลใช้เพื่อรักษาความปลอดภัยในข้อมูลส่วนบุคคล และขอให้มั่นใจในมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลของโรงพยาบาลที่มีความเหมาะสมและเป็นไปตามมาตรฐานสากล เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ หรือกระทำโดยปราศจากอำนาจโดยชอบด้วยกฎหมาย
ทั้งนี้ โรงพยาบาลมีการจำกัดการเข้าถึง และใช้เทคโนโลยีในการรักษาความปลอดภัยในข้อมูลส่วนบุคคล เพื่อป้องกันมิให้มีการเข้าสู่ระบบคอมพิวเตอร์ หรือระบบอิเล็กทรอนิกส์โดยไม่ได้รับอนุญาต รวมถึงเมื่อมีการเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลภายนอกที่ดำเนินการประมวลผลหรือแก่ผู้ประมวลผลข้อมูล โรงพยาบาลจะดำเนินการกำกับดูแลให้บุคคลนั้นดำเนินการอย่างเหมาะสมให้เป็นไปตามคำสั่ง

6. สิทธิของเจ้าของข้อมูลส่วนบุคคล

ความยินยอมที่เจ้าของข้อมูลส่วนบุคคลให้ไว้กับโรงพยาบาลในการเก็บรวมรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล ยังคงใช้ได้จนกว่าเจ้าของข้อมูลส่วนบุคคลจะเพิกถอนความยินยอมเป็นลายลักษณ์อักษร โดยเจ้าของข้อมูลส่วนบุคคลสามารถเพิกถอนความยินยอม หรือระงับการใช้หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ในการดำเนินกิจกรรมใดๆ โดยส่งคำขอของเจ้าของข้อมูลส่วนบุคคลแจ้งให้โรงพยาบาลทราบเป็นลายลักษณ์อักษร หรือผ่านทางจดหมายอิเล็กทรอนิกส์ [email protected]
นอกจากนี้ ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เจ้าของข้อมูลมีสิทธิร้องขอตามกฎหมายดังต่อไปนี้

  1. สิทธิได้รับการแจ้งให้ทราบ
  2. สิทธิในการขอให้โรงพยาบาลแก้ไขข้อมูลที่ไม่ถูกต้อง หรือเพิ่มเติมข้อมูลที่ไม่สมบูรณ์ได้
  3. สิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้กับโรงพยาบาลตลอดระยะเวลาที่ข้อมูลส่วนบุคคลนั้นอยู่กับโรงพยาบาล
  4. สิทธิในการระงับการใช้ข้อมูลส่วนบุคคลด้วยเหตุบางประการได้
  5. สิทธิเข้าถึงข้อมูลส่วนบุคคล และขอให้โรงพยาบาลทำสำเนาข้อมูลส่วนบุคคลดังกล่าว รวมถึงขอให้โรงพยาบาลเปิดเผยการได้มาถึงข้อมูลส่วนบุคลที่เจ้าของข้อมูลไม่ได้ให้ความยินยอมต่อโรงพยาบาลได้
  6. สิทธิในการโอนย้ายข้อมูลส่วนบุคคลที่ได้ให้ไว้กับโรงพยาบาลไปยังผู้ควบคุมข้อมูลรายอื่น หรือเจ้าของข้อมูลเองด้วยเหตุบางประการได้
  7.  สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคลด้วยเหตุบางประการได้
  8. สิทธิในการขอให้โรงพยาบาล ทำการลบข้อมูลด้วยเหตุบางประการได้ภายใต้ข้อกำหนดของกฎหมาย
  9. สิทธิในการร้องเรียน ในกรณีมีการฝ่าฝืน หรือ ไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือประกาศที่ออกตามกฎหมายดังกล่าว

การร้องขอตามรายการข้างต้น ต้องทำเป็นลายลักษณ์อักษรโดยโรงพยาบาลจะแจ้งผลการพิจารณาตาม คำร้อง ภายใน 30 วัน เว้นแต่มีข้อจำกัดสิทธิตามกฎหมาย อย่างไรก็ตามการเพิกถอนความยินยอม อาจส่งผลให้ข้อมูล ไม่เพียงพอต่อการประมวลผลให้บรรลุวัตถุประสงค์ตามที่ได้แจ้งไว้ และอาจไม่ได้รับความสะดวกในการรับบริการ แต่จะไม่กระทบสิทธิใดๆ ที่ได้กระทำไปแล้วตามวัตถุประสงค์

7. การติดต่อโรงพยาบาล

หากท่านมีข้อสงสัยใดเกี่ยวกับนโยบายความเป็นส่วนตัวนี้ หรือประสงค์ที่จะใช้สิทธิเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของท่าน ท่านสามารถติดต่อสอบถามได้ที่

  • เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO)
  • อีเมล [email protected]

โรงพยาบาลวิภาวดี
เลขที่ 51/3 ถนนงามวงศ์วาน แขวงลาดยาว เขตจตุจักร จังหวัดกรุงเทพมหานคร 10900
โทรศัพท์ 02-058-1111
เว็บไซต์ www.vibhavadi.com

8. ข้อปฏิบัติเพิ่มเติม

ผู้บริหาร พนักงานโรงพยาบาล ควรตั้งคำถามตรวจสอบตัวเองอยู่เสมอ เพื่อให้ปฏิบัติงานได้ถูกต้อง สอดคล้องกับนโยบาย แนวปฏิบัติ คู่มือ และกฎหมาย ว่าการปฏิบัติงานนั้นๆ เกี่ยวข้องกับข้อมูลส่วนบุคคลหรือไม่ อย่างไร และต้องดำเนินการให้สอดคล้องกับนโยบาย รวมถึง

  • ทำความเข้าใจเกี่ยวกับเนื้อหาสาระของกฎ ระเบียบ นโยบาย แนวปฏิบัติประกอบ อันถือเป็นส่วนหนึ่งของนโยบายอยู่เสมอ รวมถึงคู่มือต่างๆ
  • ทำความเข้าใจกฎหมาย กฎ ระเบียบ ทั้งภายในและภายนอกองค์กรที่เกี่ยวข้องกับการปฏิบัติงาน และการคุ้มครองข้อมูลส่วนบุคคลอยู่เสมอ
  • พบเห็นการปฏิบัติที่ไม่สอดคล้อง แจ้งเบาะแสได้ที่อีเมล [email protected] หรือช่องทางตามที่โรงพยาบาลได้กำหนดไว้

9. การทบทวนนโยบายความเป็นส่วนตัว

โรงพยาบาลอาจพิจารณาทบทวนปรับปรุงนโยบายความเป็นส่วนตัว หรือแนวทางปฏบัติได้เป็นครั้งคราว เพื่อให้สอดคล้องและเป็นไปตามกฎหมาย ทั้งนี้ หากมีการปรับปรุง เปลี่ยนแปลง หรือแก้ไข โรงพยาบาลจะประกาศแจ้งให้ทราบผ่านเว็บไซต์ของโรงพยาบาล www.vibhavadi.com