PDPA สำหรับร้านยา: สิ่งที่เจ้าของร้านต้องรู้

PDPA คืออะไรและเกี่ยวกับร้านยาอย่างไร

PDPA (Personal Data Protection Act) คือกฎหมายที่กำหนดให้ผู้ที่เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ต้องทำอย่างมีฐานทางกฎหมาย โปร่งใส และปลอดภัย ร้านยาเข้าข่ายในฐานะ "ผู้ควบคุมข้อมูล" เพราะเป็นผู้กำหนดว่าจะเก็บข้อมูลลูกค้าอะไรและใช้เพื่ออะไร

หน้าที่หลักของร้านในฐานะผู้ควบคุมข้อมูลคือ เก็บข้อมูลเท่าที่จำเป็น แจ้งให้เจ้าของข้อมูลทราบว่าจะใช้ทำอะไร เก็บอย่างปลอดภัย และเคารพสิทธิของลูกค้าเมื่อมีการร้องขอ การมีระบบที่จัดเก็บข้อมูลอย่างเป็นระเบียบและจำกัดการเข้าถึงได้ จึงเป็นพื้นฐานสำคัญของการทำตาม PDPA

ข้อมูลอะไรบ้างที่ถือเป็นข้อมูลส่วนบุคคลในร้านยา

ข้อมูลส่วนบุคคลคือข้อมูลที่ระบุตัวบุคคลได้ ในบริบทของร้านยา ข้อมูลเหล่านี้ถูกเก็บแทบทุกวัน และบางส่วนเป็นข้อมูลที่กฎหมายให้ความคุ้มครองเข้มงวดเป็นพิเศษ:

• ข้อมูลระบุตัวตน เช่น ชื่อ-นามสกุล เบอร์โทรศัพท์ อีเมล
• ประวัติการซื้อและรายการสินค้าที่ผูกกับลูกค้าแต่ละราย
• ข้อมูลในใบสั่งยา เช่น ชื่อผู้ป่วย แพทย์ผู้สั่ง และรายการยา
• ข้อมูลด้านสุขภาพ ซึ่งถือเป็น "ข้อมูลอ่อนไหว" ที่ต้องดูแลเข้มงวดกว่าข้อมูลทั่วไป
• ข้อมูลสมาชิกและคะแนนสะสม ที่ผูกกับตัวลูกค้า

การขอความยินยอมและการแจ้งวัตถุประสงค์

หลักสำคัญของ PDPA คือการมี "ฐานทางกฎหมาย" ในการเก็บข้อมูล สำหรับบางวัตถุประสงค์ ความยินยอม (consent) เป็นฐานที่ใช้กันบ่อย เช่น การสมัครสมาชิกสะสมแต้ม หรือการส่งข่าวสารโปรโมชันผ่านช่องทางต่าง ๆ ร้านควรอธิบายให้ลูกค้าเข้าใจว่าจะเก็บข้อมูลอะไรและใช้เพื่ออะไรก่อนขอความยินยอม

อย่างไรก็ตาม ไม่ใช่ทุกกรณีต้องใช้ความยินยอม บางกรณีร้านมีฐานอื่น เช่น การปฏิบัติตามกฎหมาย (การจัดทำบัญชีและทะเบียนยาตามที่กฎหมายกำหนด) หรือการปฏิบัติตามสัญญา (การออกใบเสร็จและบริการที่ลูกค้าร้องขอ) การแยกแยะว่าข้อมูลส่วนไหนใช้ฐานอะไรจะช่วยให้ร้านเก็บข้อมูลได้อย่างถูกต้องและไม่เก็บเกินจำเป็น

สิทธิของเจ้าของข้อมูลที่ร้านต้องรองรับ

PDPA ให้สิทธิหลายอย่างแก่เจ้าของข้อมูล (ลูกค้า) ซึ่งร้านมีหน้าที่ดำเนินการเมื่อได้รับคำขอที่ชอบด้วยกฎหมาย การมีระบบที่ค้นหาและจัดการข้อมูลลูกค้าได้เป็นรายบุคคลจึงช่วยให้ร้านตอบสนองสิทธิเหล่านี้ได้จริง:

• สิทธิขอเข้าถึงและขอสำเนาข้อมูลของตน
• สิทธิขอแก้ไขข้อมูลให้ถูกต้องเป็นปัจจุบัน
• สิทธิขอให้ลบหรือระงับการใช้ข้อมูลในกรณีที่กฎหมายให้ทำได้
• สิทธิถอนความยินยอมที่เคยให้ไว้

เลือกระบบ POS และระบบสมาชิกที่ออกแบบให้สอดคล้อง PDPA

การทำตาม PDPA ไม่ได้หมายถึงการเลิกเก็บข้อมูล แต่หมายถึงการเก็บอย่างมีระเบียบ ปลอดภัย และจำกัดการเข้าถึง ระบบที่ออกแบบมาดีช่วยลดภาระตรงนี้ได้มาก เพราะข้อมูลลูกค้าถูกจัดเก็บในที่เดียว ค้นหาเป็นรายบุคคลได้ แก้ไขหรือจัดการได้ และเข้าถึงได้เฉพาะผู้ที่มีสิทธิ

CuraLink ออกแบบการจัดการข้อมูลให้สอดคล้องกับ PDPA โดยจัดเก็บข้อมูลลูกค้าและประวัติการซื้อในฐานข้อมูลกลางที่ค้นหาและแก้ไขได้ มีการควบคุมการเข้าถึงตามบทบาท (RBAC) สำหรับ admin manager เภสัชกร แคชเชียร์ และผู้ช่วย รวมถึงการซ่อนข้อมูลการเงินจากบทบาทที่ไม่เกี่ยวข้อง ส่วนข้อมูลใบสั่งยาที่อ่อนไหวจะถูกจัดการผ่านฟีเจอร์ใบสั่งยาฝั่งเภสัชกรที่จำกัดสิทธิ์การเข้าถึง

• ข้อมูลลูกค้าและประวัติการซื้อรวมอยู่ในระบบเดียว ค้นหารายบุคคลได้
• ควบคุมการเข้าถึงตามบทบาท (admin/manager/เภสัชกร/แคชเชียร์/ผู้ช่วย)
• ซ่อนข้อมูลการเงินจากบทบาทที่ไม่ได้รับอนุญาต
• จัดการข้อมูลใบสั่งยาที่อ่อนไหวผ่านฟีเจอร์ฝั่งเภสัชกร
• ระบบสมาชิกและคะแนนสะสมผูกกับลูกค้าที่ระบุตัวตนได้ชัดเจน

เช็กลิสต์ PDPA สำหรับร้านยา

ก่อนเริ่มหรือทบทวนการจัดการข้อมูล ลองตรวจสอบว่าร้านของคุณทำสิ่งเหล่านี้ได้หรือยัง:

• รู้ว่าร้านเก็บข้อมูลส่วนบุคคลอะไรบ้างและเก็บไว้ที่ไหน
• แจ้งวัตถุประสงค์และขอความยินยอมเมื่อจำเป็น เช่น สมัครสมาชิก
• จำกัดการเข้าถึงข้อมูลเฉพาะพนักงานที่เกี่ยวข้องตามบทบาท
• สามารถค้นหา แก้ไข หรือจัดการข้อมูลลูกค้ารายบุคคลได้
• เก็บข้อมูลในระบบที่ปลอดภัยแทนสมุดหรือไฟล์กระจัดกระจาย

คำถามที่พบบ่อย

บทความที่เกี่ยวข้อง

• ระบบสมาชิกและสะสมแต้มร้านยา
• ระบบ POS ร้านยา
• บัญชีขายยาและรายงาน ข.ย.
• ดูแพ็กเกจและราคา