เมื่อวันที่ 1 ส.ค. 68 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. แถลงบทลงโทษ “โรงพยาบาลเอกชนขนาดใหญ่” ทำข้อมูลเวชระเบียนผู้ป่วยรั่วไหล แล้วเอกสารดังกล่าวถูกนำไปเป็นซองขนมโตเกียว เกิดเป็นข่าวและกระแสในสื่อสังคมออนไลน์
จากการตรวจสอบพบว่า โรงพยาบาลดังกล่าว ในฐานะของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ทำสัญญากับกิจการขนาดเล็กซึ่งมีลักษณะเป็นธุรกิจครอบครัว ให้ทำหน้าที่ทำลายเอกสารเวชระเบียนดังกล่าว แต่ไม่ได้มีการติดตาม ควบคุม หรือตรวจสอบกระบวนการให้เป็นไปตามมาตรฐานที่กำหนด ทำให้เอกสารเวชระเบียนกว่า 1,000 ฉบับรั่วไหล
ในส่วนของเอกชน (บุคคลธรรมดา) ผู้รับจ้างทำลายเอกสาร ก็ได้นำเวชระเบียนที่ได้รับจากโรงพยาบาลกลับไปพักไว้ที่บ้านของตนเอง โดยไม่ได้ดำเนินการตามขั้นตอนที่ตกลงไว้ และไม่ได้แจ้งเหตุการรั่วไหลให้โรงพยาบาลทราบ จึงเข้าข่ายเป็นการไม่ปฏิบัติตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) อันนำไปสู่บทลงโทษครั้งนี้
เหตุการณ์นี้แบ่งการลงโทษออกเป็น 2 กรณี
บทลงโทษที่ 1 – โรงพยาบาล ในฐานะของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ถูกลงโทษปรับ 1,210,000 บาท
บทลงโทษที่ 2 – บุคคลธรรมดา ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ถูกลงโทษปรับ 16,940 บาท
รวมมูลค่าการลงโทษปรับทางปกครองกว่า 1,226,940 บาท
จากเหตุการณ์ครั้งนี้ แสดงให้เห็นแล้วว่า PDPA เอาจริงกับทุกภาคส่วนแล้ว ไม่ว่าจะเป็นหน่วยงานภาครัฐ หรือเอกชน หากยังละเลยการปฏิบัติตามกฎหมาย บทลงโทษครั้งถัดไปอาจเป็นคุณ
ข้อมูล/ภาพ : PDPA Thailand, หมอแล็บแพนด้า
