ผู้เชี่ยวชาญชี้ PDPA ไม่ห้าม รพ.ส่งข้อมูลเบิกเงินจาก สปสช. โดยตรง ทำได้ไม่ผิด กม.
จากกรณีที่มีการเผยแพร่ข้อมูลทางโซเชียลมีเดีย ระบุว่า การส่งข้อมูลเบิกจ่ายของหน่วยบริการทางการแพทย์ผ่านระบบ FDH ถ้าไม่ดำเนินการส่งตรง สำนักงานหลักประกันสุขภาพแห่งชาติ (สปสช.) อาจสุ่มเสี่ยงทำผิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ พีดีพีเอ (PDPA) นั้น
วันนี้ (22 มกราคม 2567) นพ.นวนรรน ธีระอัมพรพันธุ์ ผู้เชี่ยวชาญด้านระบบสารสนเทศสุขภาพ ให้ความเห็นถึงแนวคิดการจัดระบบข้อมูลการเบิกจ่ายค่ารักษาพยาบาลในโครงการ 30 บาทรักษาทุกที่ด้วยบัตรประชาชนใบเดียว ซึ่งกระทรวงสาธารณสุข (สธ.) มีแนวคิดในการทำ Financial Data Hub หรือ FDH เพื่อรวบรวมข้อมูลจากโรงพยาบาลในสังกัดก่อนส่งข้อมูลไปเบิกกับ สปสช. แทนการให้โรงพยาบาลเป็นผู้ส่งข้อมูลการเบิกจ่ายโดยตรง ว่าพระราชบัญญัติ (พ.ร.บ.) คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ไม่ได้กำหนดรายละเอียดวิธีการว่าเงื่อนไขการส่งข้อมูลเป็นอย่างไร เพียงกำหนดไว้ว่าผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งในที่นี้อาจหมายถึงสำนักงานปลัดกระทรวงสาธารณสุข (สป.สธ.) หรือ กรมที่เป็นต้นสังกัดของโรงพยาบาลต่างๆ มีหน้าที่ดูแลเรื่องของการใช้ข้อมูลส่วนบุคคล การเปิดเผยข้อมูลส่วนบุคคลให้มีความเหมาะสม เพราะฉะนั้น กรณีการเบิกจ่ายค่ารักษาพยาบาลของโครงการ 30 บาท โรงพยาบาลต่างๆ ซึ่งเป็นองคาพยพส่วนหนึ่งภายใต้ผู้ควบคุมข้อมูลส่วนบุคคล เมื่อส่งข้อมูลให้ สปสช. ก็เสมือนว่า สป.สธ.หรือ กรมที่เป็นต้นสังกัดของโรงพยาบาล เป็นผู้ส่งข้อมูลนั้น
“ขณะเดียวกัน ในส่วนของ สปสช. มี พ.ร.บ.หลักประกันสุขภาพแห่งชาติ พ.ศ.2545 รองรับ และอำนาจในการกำหนดวิธีการส่งข้อมูลเบิกจ่ายก็เป็นอำนาจของ สปสช.เพราะฉะนั้น ถ้าในหลักเกณฑ์ของ สปสช. มีรายละเอียดให้สถานพยาบาลส่งข้อมูลอย่างไร สถานพยาบาลก็ต้องส่งตามนั้น นอกจากนี้ กฎหมาย PDPA มีมาตรา 26 (5)(ค.) กำหนดเงื่อนไขของการเก็บข้อมูล ใช้ หรือเปิดเผยข้อมูล ซึ่งข้อมูลการเบิกจ่ายค่ารักษาก็เป็นข้อยกเว้นของกฎหมาย PDPA ตามมาตรา 25 อยู่แล้ว” นพ.นวนรรน กล่าวและว่า เมื่อพิจารณาข้อกฎหมายแล้ว กฎหมาย PDPA ไม่ได้ห้ามในการส่งข้อมูลการเบิกจ่ายโดยตรงจากโรงพยาบาลไปยัง สปสช. ถ้า สปสช.มีเงื่อนไขให้ส่งอย่างไร โดยหลักการของกฎหมาย PDPA ก็ให้เป็นไปตามนั้น
อย่างไรก็ตาม นพ.นวนรรน กล่าวว่า ในฐานะของ สธ.ก็มีอำนาจในการดำเนินการภายในองค์กรเช่นกัน เช่น ถ้ามองว่า หากให้โรงพยาบาลส่งข้อมูลเอง แล้วเกิดมีปัญหา หน่วยงานต้นสังกัดมีความเสี่ยงรับผิดด้วย จึงเห็นสมควรให้โรงพยาบาลส่งข้อมูลผ่านกลไกของส่วนกลางก่อน แล้วค่อยส่งไปเบิกกับ สปสช. อีกทีหนึ่ง จะได้ควบคุมความเสี่ยงได้ ก็มีสิทธิที่จะบังคับบัญชาเป็นการภายในได้ เพียงแต่ถ้าจะอ้างว่า PDPA ให้ทำเช่นนั้น คิดว่าเป็นความเข้าใจที่ไม่ถูกต้อง ข้อร้องว่าอย่าเอา PDPA มาอ้าง เพราะเป็นเรื่องของการบริหารจัดการความเสี่ยงของข้อมูลภายในองค์กร ไม่เกี่ยวกับกฎหมาย PDPA
“ดังนั้น โดยหลักการก็สามารถให้โรงพยาบาลส่งข้อมูลเบิกจ่ายไปยัง สปสช. ได้ ไม่ว่าจะเป็นการส่งข้อมูลโดยตรงหรือผ่านส่วนกลางก็ตาม ซึ่งหาก สปสช. อยากให้โรงพยาบาลส่งข้อมูลโดยตรง เพื่อจะได้ข้อมูลแบบเรียลไทม์ แต่ สธ.อยากให้รวมข้อมูลมาที่ส่วนกลางก่อนเพื่อบริหารความเสี่ยงหรือใช้ประโยชน์จากข้อมูล อันนี้ผมคงไม่มีความเห็น ต้องให้ผู้บริหารของทั้ง 2 หน่วยงานไปหารือกันเอง” นพ.นวนรรน กล่าว
