บอร์ดสนทนา สสจ.ลพบุรี
พฤษภาคม 30, 2017, 02:20:39 pm *
ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น
ข่าว: จะ POST กระทู้...กรุณาสมัครสมาชิกก่อนครับเพื่อป้องกัน Spam ครับ
 
   หน้าแรก   ช่วยเหลือ ค้นหา ปฏิทิน เข้าสู่ระบบ สมัครสมาชิก  
หน้า: [1]
  พิมพ์  
ผู้เขียน หัวข้อ: ข้อมูลผู้ป่วย กับ พ.ร.บ.ข้อมูลข่าวสารของราชการ ปี 2540  (อ่าน 1427 ครั้ง)
tanasith
บุคคลทั่วไป


อีเมล์
« เมื่อ: สิงหาคม 05, 2010, 09:01:01 pm »

ที่ผมนำหัวข้อดังกล่าวมาพูดในวันนี้เนื่องจากมีหลายๆคนมานั่งคุยกับผมที่ศูนย์คอมฯว่าทำได้หรือไม่? เกี่ยวกับเรื่องการนำข้อมูลผู้ป่วยมาทำบนระบบ Data Center ซึ่งเรื่องนึงที่ต้องพิจารณา คือ เรื่องของ พ.ร.บ. ซึ่งได้กล่าวเกี่ยวกับเรื่องนี้ไว้ดังนี้
--------------------------------------------------------
3.ประเภทข้อมูลข่าวสารของราชการ
3.3 ข้อมูลข่าวสารที่ไม่ต้องเปิดเผย
(5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคล ซึ่งการเปิดเผยจะเป็นการรุกล้ำสิทธิส่วนบุคคลโดยไม่สมควร

--------------------------------------------------------
4.หน่วยงานของรัฐและเจ้าหน้าที่ของรัฐ
4.6 หน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐอาจมีคำสั่งมิให้เปิดเผยข้อมูลข่าวสารของราชการที่มีลักษณะอย่างหนึ่งอย่างใดดังต่อไปนี้ก็ได้โดยคำนึงถึงการปฏิบัติหน้าที่ตามกฎหมายของหน่วยงานของรัฐประโยชน์สาธารณะ และประโยชน์ของเอกชน ที่เกี่ยวข้องประกอบกัน
(5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคลซึ่งการเปิดเผยจะเป็นการรุกล้ำสิทธิส่วนบุคคลโดยไม่สมควร
4.12 เจ้าหน้าที่ของรัฐจะเปิดเผยรายงานการแพทย์ที่เกี่ยวกับบุคคลใดจะเปิดเผยต่อเฉพาะแพทย์ที่บุคคลนั้นมอบหมายก็ได้ถ้ากรณีมีเหตุอันสมควร (มาตรา 25 วรรค 2)
--------------------------------------------------------
มาตรา 23    หน่วยงานของรัฐต้องปฏิบัติ เกี่ยวกับการจัดระบบข้อมูลข่าวสารส่วนบุคคลดังต่อไปนี้
(1) ต้องจัดให้มีระบบข้อมูลข่าวสารส่วนบุคคลเพียงเท่าที่เกี่ยวข้องและจำเป็นเพื่อการดำเนินงานของหน่วยงาน ของรัฐให้สำเร็จตามวัตถุประสงค์เท่านั้น และยกเลิกการจัดให้มีระบบดังกล่าวเมื่อหมดความจำเป็น
(2) พยามยามเก็บข้อมูลข่าวสารโดยตรงจากเจ้าของข้อมูล โดยเฉพาะอย่างยิ่งในกรณีที่จะกระทบถึงประโยชน์ ได้เสียโดยตรงของบุคคลนั้น
(3) จัดให้มีการพิมพ์ในราชกิจจานุเบกษาและตรวจสอบแก้ไขให้ถูกต้องอยู่เสมอเกี่ยวกับสิ่งดังต่อไปนี้
       (ก) ประเภทของบุคคลที่มีการเก็บข้อมูลไว้
       (ข) ประเภทของระบบข้อมูลข่าวสารส่วนบุคคล
       (ค) ลักษณะการใช้ข้อมูลตามปกติ
       (ง) วิธีการขอตรวจดูข้อมูลข่าวสารของเจ้าของข้อมูล
       (จ) วิธีการขอให้แก้ไขเปลี่ยนแปลงข้อมูล
       (ฉ) แหล่งที่มาของข้อมูล
(4) ตรวจสอบแก้ไขข้อมูลข่าวสารส่วนบุคคลในความรับผิดชอบให้ถูกต้องอยู่เสมอ
(5) จัดระบบรักษาความปลอดภัยให้แก่ระบบข้อมูลข่าวสารส่วนบุคคลตามความเหมาะสมเพื่อป้องกันมิให้มีการ นำไปใช้โดยไม่เหมาะสมหรือเป็นผลร้ายต่อเจ้าของข้อมูล
ในกรณีที่เก็บข้อมูลข่าวสารโดยตรงจากเจ้าของข้อมูล หน่วยงานของรัฐต้องแจ้งให้เจ้าของข้อมูลทราบล่วงหน้า หรือพร้อมกับการขอข้อมูลถึงวัตถุประสงค์ที่จะนำข้อมูลมาใช้ ลักษณะการใช้ข้อมูลตามปกติ และกรณีที่ขอข้อมูลนั้นเป็น กรณีที่อาจให้ข้อมูลได้โดยความสมัครใจหรือเป็นกรณีมีกฎหมายบังคับ
หน่วยงานของรัฐต้องแจ้งให้เจ้าของข้อมูลทราบในกรณีที่มีการให้จัดส่งข้อมูลข่าวสารส่วนบุคคลไปยังที่ใดซึ่งจะ เป็นผลให้บุคคลทั่วไปทราบข้อมูลข่าวสารนั้นได้ เว้นแต่เป็นไปตามลักษณะการใช้ข้อมูลตามปกติ

มาตรา 24     หน่วยงานของรัฐจะเปิดเผยข้อมูล ข่าวสารส่วนบุคคลที่อยู่ในความควบคุมดูแลของตนต่อหน่วยงานของรัฐแห่งอื่นหรือผู้อื่น โดยปราศจากความยินยอม เป็นหนังสือของเจ้าของข้อมูลที่ให้ไว้ล่วงหน้าหรือในขณะนั้นมิได้เว้นแต่เป็นการเปิดเผย ดังต่อไปนี้
(1) ต่อเจ้าหน้าที่ของรัฐในหน่วยงานของตนเพื่อการนำไปใช้ตามอำนาจหน้าที่ของหน่วยงานของรัฐแห่งนั้น
(2) เป็นการใช้ข้อมูลตามปกติภายในวัตถุประสงค์ของการจัดให้มีระบบข้อมูลข่าวสารส่วนบุคคลนั้น
(3) ต่อหน่วยงานของรัฐที่ทำงานด้านการวางแผนหรือการสถิติ หรือสำมะโนต่าง ๆ ซึ่งมีหน้าที่ต้องรักษาข้อมูล ข่าวสารส่วนบุคคลไว้ไม่ให้เปิดเผยต่อไปยังผู้อื่น
(4) เป็นการให้เพื่อประโยชน์ในการศึกษาวิจัยโดยไม่ระบุชื่อ หรือส่วนที่ทำให้รู้ว่าเป็นข้อมูลข่าวสารส่วนบุคคลที่ เกี่ยวกับบุคคลใด
(5) ต่อหอจดหมายเหตุแห่งชาติ กรมศิลปากร หรือหน่วยงานอื่นของรัฐตามมาตรา 26 วรรคหนึ่ง เพื่อการตรวจดู คุณค่าในการเก็บรักษา
(6) ต่อเจ้าหน้าที่ของรัฐเพื่อการป้องกันการฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมาย การสืบสวน การสอบสวน หรือการ ฟ้องคดี ไม่ว่าเป็นคดีประเภทใดก็ตาม
(7) เป็นการให้ซึ่งจำเป็นเพื่อการป้องกันหรือระงับอันตรายต่อชีวิตหรือสุขภาพของบุคคล
(8 ) ต่อศาล และเจ้าหน้าที่ของรัฐหรือหน่วยงานของรัฐหรือบุคคลที่มีอำนาจตามกฎหมายที่จะขอข้อเท็จจริง ดังกล่าว
(9) กรณีอื่นตามที่กำหนดในพระราชกฤษฎีกา
การเปิดเผยข้อมูลข่าวสารส่วนบุคคลตามวรรคหนึ่ง (3) (4) (5) (6) (7) (8 ) และ (9) ให้มีการจัดทำบัญชีแสดง การเปิดเผยกำกับไว้กับข้อมูล ข่าวสารนั้น ตามหลักเกณฑ์และวิธีการที่กำหนดในกฎกระทรวง
--------------------------------------------------------

ถามว่าทำได้หรือไม่? ตอบว่าทำได้ แต่คงต้องมีระบบความปลอดภัย และ LogFile ที่ดี  คนที่สามารถใช้งานได้ต้องมีสิทธิเข้าถึงข้อมูล ซึ่งต้องคำนึงถึงเรื่องต่างๆ เช่น
1. ต้องมีการกำหนดระดับสิทธิในการเข้าถึงข้อมูล
2. มีระบบรป้องกันการรั่วไหลของ User+Password เพราะหาก User+Password รั่วไหลออกไปเมื่อเกิดกรณีปัญหา เมื่อสืบค้นจาก LogFile จะก่อให้ความเสียหายต่อตัว จนท.เจ้าของ User นั้นๆ
3. การป้องกันการขโมยข้อมูลกลางทาง เนื่องจากข้อมูลที่ส่งผ่าน Internet เข้ามามีโอกาสเสี่ยงต่อการขโมยข้อมูลได้ เช่น การใช้โปรแกรม Sniffer ดึงข้อมูลจาก Rounter
4. ต้องมี LogFile เพื่อให้ทราบว่า ผู้ใดเข้ามาสืบค้นข้อมูล
ฯลฯ


ซึ่งที่กล่าวมาอาจเป็นวิธีคร่าวๆ แต่โดยรวมในการออกแบบระบบความปลอดภัยนั้นต้อง Safe ต่อตัวผู้ป่วย และ จนท. ด้วย
 
ท่านสามารถดูเนื้อหาของ พ.ร.บ. ทั้งหมดได้จากที่นี่ครับ -=[ คลิ๊กที่นี่ ]=-
« แก้ไขครั้งสุดท้าย: สิงหาคม 06, 2010, 08:57:56 am โดย tanasith » บันทึกการเข้า
หน้า: [1]
  พิมพ์  
 
กระโดดไป:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.9 | SMF © 2006-2008, Simple Machines LLC | Thai language by ThaiSMF Valid XHTML 1.0! Valid CSS!