โรงพยาบาลกะพ้อ (ซึ่งต่อไปจะเรียกว่า “โรงพยาบาล”) ตระหนักและให้ความสำคัญต่อการ คุ้มครองข้อมูลส่วนบุคคลของผู้รับบริการที่โรงพยาบาลกะพ้อ และถือปฏิบัติอย่างเคร่งครัดในเรื่องการเคารพสิทธิ ความเป็นส่วนตัวของผู้รับบริการเป็นสำคัญ
               คำประกาศเกี่ยวกับความเป็นส่วนตัว (ซึ่งต่อไปจะเรียกว่า “ประกาศ”) ฉบับนี้จึงถูกจัดทำขึ้น เพื่อให้ท่านในฐานะผู้รับบริการของโรงพยาบาล ได้ทราบรายละเอียดเกี่ยวกับวัตถุประสงค์การเก็บรวบรวม ใช้ หรือเปิดเผย (รวมเรียกว่า “ประมวลผล”) ข้อมูลส่วนบุคคล รวมทั้งสิทธิต่าง ๆ ของท่าน ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
               ทั้งนี้ การประมวลผลข้อมูลส่วนบุคคลของท่านตามวัตถุประสงค์ในประกาศนี้ โรงพยาบาลดำเนินการในฐานะ ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งหมายความว่า โรงพยาบาลเป็นผู้มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามกฎหมาย

               การเข้าใช้งานผลิตภัณฑ์หรือบริการภายใต้กิจกรรมการประมวลผลนี้ของท่าน ถือเป็นการรับทราบและยอมรับนโยบายการคุ้มครองข้อมูลส่วนบุคคลในประกาศฉบับนี้
               โปรดหยุดใช้งาน หากท่านไม่เห็นด้วยกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลในประกาศฉบับนี้

1. ในประกาศนี้
               “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
               “เจ้าของข้อมูลส่วนบุคคล” หมายความว่า ผู้มารับบริการที่โรงพยาบาลกะพ้อ และให้หมายความรวมถึงผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ ผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ หรือผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถด้วย รวมถึงบุคคลต่าง ๆ ที่ข้อมูลส่วนบุคคลบ่งชี้ไปถึง
               “การรักษาพยาบาล” หมายความว่า การให้บริการด้านการตรวจวินิจฉัย การรักษาโรค การฟื้นฟูสมรรถภาพ และให้หมายความรวมถึงการสร้างเสริมสุขภาพ และการป้องกันโรคเพื่อประโยชน์ด้านสาธารณสุข
               “โรงพยาบาล” หมายความว่า โรงพยาบาลกะพ้อ

2. การเก็บรวบรวมข้อมูลส่วนบุคคล
               โรงพยาบาลจะเก็บรวบรวมข้อมูลส่วนบุคคล ได้แก่
               2.1) ข้อมูลส่วนตัว เช่น ชื่อ สกุล วันเดือนปีเกิด อายุ เพศ รูปถ่าย หมายเลขบัตรประจำตัวประชาชน หมายเลขหนังสือเดินทาง ลายมือชื่อ เชื้อชาติ สัญชาติ สถานภาพการสมรส ข้อมูลบุคคลในครอบครัว ฯลฯ
               2.2) ข้อมูลส่วนตัวที่มีความอ่อนไหว เช่น ข้อมูลสุขภาพ ข้อมูลจากห้องปฏิบัติการ ความพิการ ลายพิมพ์นิ้วมือ ฯลฯ ทั้งนี้เพี่อใช้ในการตรวจวิเคราะห์อันเป็นส่วนหนึ่งของการรักษาพยาบาลเท่านั้น
               2.3) ข้อมูลการติดต่อ เช่น ที่อยู่อาศัย หมายเลขโทรศัพท์ อีเมล รายละเอียดบุคคลที่ติดต่อได้ในกรณี ฉุกเฉิน ฯลฯ
               2.4) ข้อมูลด้านเทคนิค เช่น ข้อมูลการนัดหมายแพทย์ ข้อมูลการชำระเงิน ข้อมูลการเข้าใช้เว็บไซต์ และระบบต่าง ๆ ของโรงพยาบาล ฯลฯ
               2.5) ข้อมูลอื่น ๆ เช่น ภาพและเสียงจากกล้องวงจรปิด ภาพถ่าย บันทึกภาพและเสียง บันทึกการสนทนา ฯลฯ
               โดยมีวัตถุประสงค์ ขอบเขต และวิธีการที่เป็นไปตามหลักเกณฑ์ของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยในการเก็บรวบรวมจะทำเพียงเท่าที่จำเป็น เพื่อดำเนินงานภายใต้วัตถุประสงค์ของโรงพยาบาลเท่านั้น ทั้งนี้หากเป็นข้อมูลที่ไม่มีฐานอันใดในทางกฎหมายที่โรงพยาบาลจะสามารถเก็บรวมรวมได้ โรงพยาบาลจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลโดยชัดแจ้งก่อนทำการเก็บรวบรวม

3. วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล
               3.1) เพื่อการยืนยันตัวตนของผู้รับบริการ
               3.2) เพื่อประโยชน์ในการรักษาพยาบาล
               3.3) เพื่อวัตถุประสงค์ทางบัญชี การทำธุรกรรมทางการเงิน หรือการทำสัญญา
               3.4) เพื่อใช้ในการดำเนินกิจกรรมของโรงพยาบาล หรือการปรับปรุงคุณภาพของโรงพยาบาลให้ดียิ่งขึ้นไป เช่น การสำรวจความพึงพอใจของผู้รับบริการ การจัดทำฐานข้อมูลเพื่อวิเคราะห์และพัฒนากระบวนการดำเนินงานของโรงพยาบาล โดยจะจัดเก็บและใช้ข้อมูลดังกล่าวตามระยะเวลาเท่าที่จำเป็น หรือตามที่กฎหมายกำหนดไว้เท่านั้น
               3.5) เพื่อเป็นการปฏิบัติตามกฎหมาย ข้อกำหนด ระเบียบ ข้อบังคับ เช่น การปฏิบัติตามหมายเรียกพยาน คำสั่งศาล หรือการร้องขออื่น ๆ ที่ชอบด้วยกฎหมาย
ทั้งนี้ โรงพยาบาลจะไม่กระทำการใด ๆ อันแตกต่างไปจากวัตถุประสงค์ที่ระบุไว้ข้างต้น เว้นแต่ได้แจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลส่วนบุคคลทราบ และได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือเป็นการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

4. การเปิดเผยข้อมูลส่วนบุคคล
               โรงพยาบาลจะไม่เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล โดยปราศจากความยินยอมโดยเด็ดขาด และจะเปิดเผยข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งไว้ตามข้อ ๓ เท่านั้น เว้นแต่เป็นการเปิดเผยตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เช่น การเปิดเผยข้อมูลต่อหน่วยราชการ หน่วยงานภาครัฐ หน่วยงานกำกับดูแล รวมถึงกรณีที่มีการร้องขอให้เปิดเผยข้อมูลโดยอาศัยอำนาจตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการ เช่น การร้องขอข้อมูลเพื่อการฟ้องร้องหรือดำเนินคดีตามกฎหมาย หรือการร้องขอจากหน่วยงานเอกชนที่มีความเกี่ยวข้องกับกระบวนการทางกฎหมาย

5. แนวทางในการดำเนินการคุ้มครองข้อมูลส่วนบุคคล
               โรงพยาบาลจะกำหนดมาตรการด้านการรักษาความปลอดภัยของข้อมูลส่วนบุคคล ที่สอดคล้องกับกฎหมาย ระเบียบ หลักเกณฑ์ และแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลให้แก่เจ้าของข้อมูลส่วนบุคคล รวมถึงส่งเสริมให้บุคลากรที่มีอำนาจหน้าที่และความรับผิดชอบอันเกี่ยวข้องกับการเก็บรวมรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล มีความตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล โดยบุคลากรจะต้องปฏิบัติตามนโยบายหรือแนวปฏิบัติที่โรงพยาบาลกำหนด เพื่อให้เป็นไปตามหลักเกณฑ์ในกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

6. สิทธิของเจ้าของข้อมูลส่วนบุคคล
               เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการดำเนินการตามกฎหมายว่าด้วยการคุ้มครองส่วนบุคคล ดังนี้
               6.1) สิทธิในการเพิกถอนความยินยอม (Right to withdraw consent)
               6.2) สิทธิในการเข้าถึงข้อมูลส่วนบุคคล และขอทำสำเนาข้อมูลส่วนบุคคล รวมถึงการขอให้เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่เจ้าของข้อมูลมิได้ให้ความยินยอม (Right to access)
               6.3) สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง (Right to rectification)
               6.4) สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล (Right to data portability)
               6.5) สิทธิในการขอให้ลบข้อมูลส่วนบุคคล (Right to erasure)
               6.6) สิทธิในการห้ามมิให้ประมวลผลข้อมูลส่วนบุคคล (Right to restriction of processing)
               6.7) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล (Right to object)
               6.8) สิทธิในการร้องเรียน (Right to lodge a complaint)
               โดยเจ้าของข้อมูลสามารถขอใช้สิทธิดังกล่าวได้โดยการยื่นคำร้องขอใช้สิทธิต่อโรงพยาบาลเป็นลายลักษณ์อักษร โดยโรงพยาบาลจะแจ้งผลการพิจารณาตามคำร้องดังกล่าวภายใน 30 วัน นับแต่วันที่ได้รับคำร้อง ทั้งนี้ โรงพยาบาลอาจปฏิเสธสิทธิของเจ้าของข้อมูลได้หากมีกฎหมายกำหนดไว้

7. ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
               7.1) โรงพยาบาลจะเก็บข้อมูลการรักษาของผู้รับบริการไว้ไม่น้อยกว่า 5 ปี ตามที่กฎหมายสถานพยาบาลบัญญัติ หรือไม่น้อยกว่า 10 ปี ตามอายุความสูงสุดในกฎหมายวิธีพิจารณาคดีผู้บริโภค
               7.2) ข้อมูลอื่นของผู้รับบริการ หากผู้รับบริการไม่ยินยอมให้ทำการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลต่อไป โรงพยาบาลจะดำเนินการทำลายข้อมูลส่วนบุคคลนั้นตามขั้นตอนโดยไม่ชักช้า

8. คุกกี้
               โรงพยาบาลอาจเก็บรวบรวมและใช้คุกกี้ รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกันในเว็บไซต์ที่อยู่ภายใต้ความดูแลของโรงพยาบาล หรือบนอุปกรณ์ของท่าน ทั้งนี้ เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของโรงพยาบาล และเพื่อให้ท่านซึ่งเป็นผู้ใช้งานได้รับความสะดวกและประสบการณ์ที่ดีในการใช้บริการของโรงพยาบาล และข้อมูลเหล่านี้จะถูกนำไปเพื่อปรับปรุงเว็บไซต์ของโรงพยาบาลให้ตรงกับความต้องการของท่านมากยิ่งขึ้น โดยท่านสามารถตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเองจากการตั้งค่าในเว็บเบราว์เซอร์ (Web Browser) ของท่าน

9. การรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
               โรงพยาบาลมีมาตรการในการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลของท่านอย่างเหมาะสม ทั้งในเชิงเทคนิคและการบริหารจัดการ เพื่อป้องกันมิให้ข้อมูลสูญหาย หรือมีการเข้าถึง ทำลาย ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต ซึ่งสอดคล้องกับนโยบายและแนวปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศของโรงพยาบาล
               นอกจากนี้ โรงพยาบาลได้กำหนดให้มีนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ขึ้นโดยประกาศให้ทราบกันโดยทั่วทั้งองค์กร พร้อมแนวทางปฏิบัติเพื่อให้เกิดความมั่นคงปลอดภัยในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล โดยธำรงไว้ซึ่งความเป็นความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล โดยได้จัดให้มีการทบทวนนโยบายดังกล่าวรวมถึงประกาศนี้ในระยะเวลาตามที่เหมาะสม

10. การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง
               ในกรณีที่มีความจำเป็น โรงพยาบาลอาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม (ผู้ประมวลผลข้อมูลส่วนบุคคล) ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของโรงพยาบาล
               การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคล ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น โรงพยาบาลจะจัดให้มีข้อตกลง ที่ระบุสิทธิและหน้าที่ของโรงพยาบาลในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และของบุคคลที่โรงพยาบาลมอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงการกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่โรงพยาบาลมอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคล และข้อตกลงอื่น ๆ ที่เกี่ยวข้อง ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของโรงพยาบาลเท่านั้น ไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้
               ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทน หรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล โรงพยาบาลจะกำกับให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ประมวลผลช่วง ในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่างโรงพยาบาลกับผู้ประมวลผลข้อมูลส่วนบุคคล

11. การเชื่อมต่อเว็บไซต์หรือบริการภายนอก
               เว็บไซต์ของโรงพยาบาลอาจมีการเชื่อมต่อไปยังเว็บไซต์หรือบริการของบุคคลที่สาม ซึ่งเว็บไซต์หรือบริการดังกล่าวอาจมีประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลหรือประกาศเกี่ยวกับความเป็นส่วนตัว ที่มีเนื้อหาสาระแตกต่างจากประกาศนี้ โรงพยาบาลขอแนะนำให้ท่านศึกษานโยบายการคุ้มครองข้อมูลส่วนบุคคลหรือประกาศเกี่ยวกับความเป็นส่วนตัวของเว็บไซต์หรือบริการนั้น ๆ เพื่อทราบในรายละเอียดก่อนเข้าใช้งาน ทั้งนี้ โรงพยาบาลไม่มีความเกี่ยวข้องและไม่มีอำนาจควบคุมถึงมาตรการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการดังกล่าว และไม่สามารถรับผิดชอบต่อเนื้อหา นโยบาย ความเสียหาย หรือการกระทำอันเกิดจากเว็บไซต์หรือบริการของบุคคลที่สาม

12. การเข้าถึงข้อมูลส่วนบุคคล
               โรงพยาบาลได้กำหนดให้เจ้าหน้าที่และบุคคลเฉพาะที่มีอำนาจหน้าที่เกี่ยวข้องในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของกิจกรรมการประมวลผลนี้เท่านั้น ที่จะสามารถเข้าถึงข้อมูลส่วนบุคคลของท่านได้ โดยโรงพยาบาลจะดำเนินการให้เจ้าหน้าที่และบุคคลดังกล่าวปฏิบัติตามประกาศนี้อย่างเคร่งครัด

13. การทบทวนและเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคล
               โรงพยาบาลอาจปรับปรุงหรือแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคลเป็นครั้งคราว เพื่อให้สอดคล้องกับข้อกำหนดตามกฎหมาย การเปลี่ยนแปลงแนวปฏิบัติหรือการดำเนินงานของโรงพยาบาล รวมถึงข้อเสนอแนะและความคิดเห็นจากหน่วยงานต่าง ๆ และจะแจ้งให้ท่านทราบผ่านช่องทางเว็บไซต์ www.kaphohospital.com โดยมีวันที่ของการปรับปรุงล่าสุดกำกับไว้ อย่างไรก็ดี โรงพยาบาลขอแนะนำให้ท่านโปรดตรวจสอบเพื่อรับทราบประกาศฉบับใหม่อย่างสม่ำเสมอ หากท่านยังคงใช้งานต่อไป ภายหลังจากที่ประกาศมีการแก้ไข และนำขึ้นประกาศในช่องทางข้างต้นแล้ว ถือว่าท่านได้รับทราบและยอมรับการเปลี่ยนแปลงดังกล่าวแล้ว

14. ช่องทางการติดต่อ
               หากผู้รับบริการมี ข้อเสนอแนะ หรือข้อร้องเรียนเกี่ยวกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ ท่านสามารถติดต่อ โรงพยาบาลกะพ้อ 86 หมู่ 1 ตำบลกะรุบี อำเภอกะพ้อ จังหวัดปัตตานี 94230 โทรศัพท์: 073-494037 โทรสาร: 073-494142

* ประกาศวันที่ 1 มิถุนายน 2565