นโยบายคุ้มครองข้อมูลส่วนบุคคล
มูลนิธิสถาบันวิจัยนโยบายเศรษฐกิจการคลัง
ปรับปรุงล่าสุด : 31 พฤษภาคม 2565
ฉบับย่อ
ด้วยความเคารพต่อสิทธิความเป็นส่วนตัวของพนักงาน คู่สัญญา และบุคคลที่เกี่ยวข้องกับมูลนิธิสถาบันวิจัยนโยบายเศรษฐกิจการคลัง (“มูลนิธิ สวค.”) โดยคณะผู้บริหารมูลนิธิ สวค. ได้ตระหนักถึงความสำคัญของการคุ้มครองสิทธิความเป็นส่วนตัวของบุคคลดังกล่าว จึงได้อนุมัติให้ใช้นโยบายการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค. ซึ่งกำหนดหลักเกณฑ์ กลไก และมาตรการบริหารจัดการของมูลนิธิ สวค. ให้ครอบคลุม ชัดเจน และสอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ เพื่อสร้างความมั่นใจแก่เจ้าของข้อมูลส่วนบุคคล
นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ ใช้บังคับกับมูลนิธิ สวค. พนักงานภายในองค์กร และบุคคลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของมูลนิธิ สวค.
- คำนิยาม
1.1 การประมวลผล (Processing)
หมายถึง การดําเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น การเก็บ รวบรวม บันทึก จัดระบบ
ทําโครงสร้าง เก็บรักษา ปรับปรุง เปลี่ยนแปลง กู้คืน ใช้ เปิดเผย ส่งต่อ เผยแพร่ โอน ผสมเข้าด้วยกัน ลบ ทําลาย
1.2 ข้อมูลส่วนบุคคล (Personal Data)
หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ IP Address รูปภาพ
1.3 ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data)
หมายถึง ข้อมูลที่เป็นเรื่องส่วนบุคคลโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและอาจสุ่มเสี่ยงในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
1.4 เจ้าของข้อมูลส่วนบุคคล (Data Subject)
หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลสามารถระบุตัวตนของบุคคลนั้นได้ไม่ว่าทางตรง หรือทางอ้อม
1.5 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
1.6 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)
หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
- การกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Governance)
2.1 มูลนิธิ สวค. จะดำเนินการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (“DPO”) ให้มีอำนาจและหน้าที่ในการกำกับ ควบคุม และบริหารจัดการข้อมูลส่วนบุคคลให้สอดคล้องเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค.
2.2 มูลนิธิ สวค. ได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องตามกฎหมาย และนโยบายการคุ้มครองข้อมูล
ส่วนบุคคลภายในของมูลนิธิ สวค.
2.3 มูลนิธิ สวค. จะบริหารการปฏิบัติตามนโยบายเพื่อควบคุมดูแลให้มีการปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลภายในของมูลนิธิ สวค. อย่างต่อเนื่อง และมีการทบทวนตามรอบระยะเวลาที่เหมาะสม
2.4 มูลนิธิ สวค. ได้ดำเนินการฝึกอบรมแก่พนักงาน เพื่อสร้างความตระหนักรู้ถึงความสำคัญของการคุ้มครองความเป็นส่วนตัวของบุคคลภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลอย่างสม่ำเสมอ เพื่อให้พนักงานของมูลนิธิ สวค. มีความรู้ ความเข้าใจที่ถูกต้องเกี่ยวกับการปฏิบัติตามกฎหมายและนโยบายคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค.
- การประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing)
3.1 มูลนิธิ สวค. จะดำเนินการประมวลผลข้อมูลส่วนบุคคลอย่างถูกต้องตามกฎหมาย โปร่งใส เป็นธรรม และคำนึงถึงสิทธิความเป็นส่วนตัวของบุคคล ทั้งนี้ ทั้งในฐานะที่มูลนิธิ สวค. เป็นผู้ควบคุมข้อมูลส่วนบุคคล และ
ผู้ประมวลผลข้อมูลส่วนบุคคล
3.2 มูลนิธิ สวค. ได้กำหนดขอบเขต วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล และระยะเวลาการจัดเก็บข้อมูลส่วนบุคคล ให้กระทำเพียงเท่าที่จำเป็นภายใต้วัตถุประสงค์ที่ชอบด้วยกฎหมาย
3.3 มูลนิธิ สวค. จะดำเนินการรักษาความลับ ความครบถ้วน ความถูกต้องสมบูรณ์ และความปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสมเพียงพอ
3.4 มูลนิธิ สวค. ได้จัดให้มีกระบวนการควบคุมและกำกับการบริหารจัดการข้อมูลส่วนบุคคลในทุกขั้นตอนให้สอดคล้องกับกฎหมาย และนโยบายคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค.
3.5 มูลนิธิ สวค. จะจัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities: RoPA) เพื่อบันทึกรายละเอียดเกี่ยวกับรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล และดำเนินการแก้ไข ปรับปรุงบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลให้เป็นปัจจุบันอยู่เสมอ
3.6 มูลนิธิ สวค. จัดให้มีกระบวนการแจ้งวัตถุประสงค์และรายละเอียดของการประมวลผลข้อมูลส่วนบุคคล (Privacy Notices) ที่ครบถ้วน อ่านเข้าใจง่าย ชัดเจน ให้แก่เจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสม
3.7 มูลนิธิ สวค. จะดำเนินการตรวจสอบความถูกต้องและเป็นปัจจุบันของข้อมูลส่วนบุคคล รวมถึงจัดให้มีช่องทางในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
3.8 กรณีที่มูลนิธิ สวค. มีการเปิดเผย ส่ง โอน รวมถึงได้รับโอนข้อมูลส่วนบุคคลไปยังหรือมาจากหน่วยงานภายนอก มูลนิธิ สวค. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล จะจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคลเพื่อกำหนดสิทธิ หน้าที่ และความรับผิดให้สอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และกฎหมายอื่นที่เกี่ยวข้อง
3.9 กรณีที่มูลนิธิ สวค. มีการเปิดเผย ส่ง หรือโอนข้อมูลไปยังต่างประเทศ มูลนิธิ สวค. จะทำการตรวจสอบและประเมินมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประเทศปลายทางเสมอ เพื่อให้การปฏิบัติเป็นไปตามเงื่อนไขที่กฎหมายบัญญัติไว้
3.10 มูลนิธิ สวค. จะทำการประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล และจัดหามาตรการที่เหมาะสมเพื่อลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น
3.11 มูลนิธิ สวค. ได้กำหนดนโยบายในการลบและทำลายข้อมูลส่วนบุคคลที่เหมาะสม
- การจัดให้มีช่องทางการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Access Request)
4.1 มูลนิธิ สวค. ได้กำหนดให้มีแนวปฏิบัติ และช่องทางในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสม ครบถ้วนตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
4.2 มูลนิธิ สวค. จะทำการบันทึกรายละเอียดคำขอใช้สิทธิ รวมถึงเหตุแห่งการปฏิเสธคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลเสมอ
- การรักษาความปลอดภัยของข้อมูลส่วนบุคคล (Personal Data Security)
5.1 มูลนิธิ สวค. ได้กำหนดให้มีมาตรการในการรักษาความปลอดภัยของข้อมูลที่เหมาะสม เพียงพอ และมีการควบคุมการเข้าถึงข้อมูลเท่าที่จำเป็น
5.2 มูลนิธิ สวค. จะจัดให้มีมาตรการรองรับเหตุการณ์ผิดปกติ แนวทางในการตอบสนองต่อเหตุการณ์ดังกล่าว รวมถึงจัดให้มีกระบวนการแจ้ง ประสานงาน และให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้สามารถจัดการและแก้ไขเยียวยาได้อย่างทันท่วงที
- การกำกับดูแล และตรวจสอบการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ระเบียบ และนโยบายที่เกี่ยวข้อง (Personal Data Protection Compliance)
6.1 มูลนิธิ สวค. จะทำการทบทวน แก้ไข และปรับปรุงนโยบายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงเอกสารที่เกี่ยวข้องอยู่เป็นประจำ อย่างน้อยปีละ 1 ครั้ง เพื่อให้สอดคล้องเป็นไปตามกฎหมายอยู่เสมอ
6.2 มูลนิธิ สวค. จะติดตามการบังคับใช้กฎหมายลำดับรอง และกฎหมายอื่นที่เกี่ยวข้องอยู่เสมอ เพื่อนำมาแก้ไขและปรับปรุงนโยบายของมูลนิธิ สวค. ให้สอดคล้องเป็นไปตามกฎหมาย
- บทบาท หน้าที่ และความรับผิดชอบ
7.1 คณะกรรมการมูลนิธิ สวค. มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้
กํากับดูแลและสนับสนุนให้มูลนิธิ สวค. ดําเนินการคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ และสอดคล้องกับกฎหมาย
7.2 ผู้อำนวยการสถาบันวิจัยนโยบายเศรษฐกิจการคลัง ในฐานะกรรมการและเลขานุการมูลนิธิ สวค. มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้
7.2.1 จัดให้มีโครงสร้างการควบดูแลข้อมูลส่วนบุคคลและการควบคุมภายใน รวมถึงการบริหารจัดการเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคล และแนวทางการตอบสนองต่อเหตุการณ์ผิดปกติ เพื่อให้สามารถระบุและจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้อย่างทันท่วงที
7.2.2 กําหนดและทบทวนมาตรฐานการปฏิบัติงานและแนวปฏิบัติ เพื่อให้การดําเนินงานของมูลนิธิ สวค. สอดคล้องกับกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค.
7.2.3 ติดตามและควบคุมให้การปฏิบัติงานของทุกฝ่ายเป็นไปตามนโยบายคุ้มครองข้อมูลส่วนบุคคล
7.2.4 แต่งตั้งคณะเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค. (DPO)
7.3 คณะเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค. (DPO) มีบทบาท หน้าที่ และความรับผิดชอบ ดังต่อไปนี้
7.3.1 ให้คําแนะนําพนักงานของมูลนิธิ สวค. เกี่ยวกับการปฏิบัติตามกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค.
7.3.2 ตรวจสอบการดําเนินงานของพนักงานมูลนิธิ สวค. ให้เป็นไปตามกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค.
7.3.3 รายงานสถานะการคุ้มครองข้อมูลส่วนบุคคลให้ผู้บริหารทราบ และจัดทําข้อเสนอแนะเพื่อปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค. ให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ
7.3.4 ประเมินประสิทธิภาพการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของพนักงานและรายงานผลการประเมินดังกล่าวให้ผู้บริหารทราบอย่างน้อย 1 ครั้งต่อปี รวมถึงควบคุมดูแลให้มั่นใจได้ว่าความเสี่ยงต่าง ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้รับการจัดการและมีแนวทางการบริหารความเสี่ยงที่เหมาะสม
7.4 พนักงานของมูลนิธิ สวค. มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้
7.4.1 ปฏิบัติงานให้สอดคล้องกับนโยบายต่าง ๆ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค. และเป็นไปตามมาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเรื่องอื่นๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด
7.4.2 รายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และการไม่ปฏิบัติตาม กฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค. ให้ผู้บังคับบัญชาทราบ
- ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
ผู้อำนวยการสถาบันวิจัยนโยบายเศรษฐกิจการคลัง ในฐานะกรรมการและเลขานุการมูลนิธิ สวค.เป็นผู้มีอำนาจในการพิจารณา และดำเนินการลงโทษทางวินัยแก่ผู้ที่ฝ่าฝืนหรือไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ และ/หรือกฎระเบียบอื่นที่เกี่ยวข้อง โดยมูลนิธิ สวค. กำหนดโทษทางวินัยไว้ 4 ประการ ดังนี้
- การตักเตือนด้วยวาจา
- การตักเตือนเป็นหนังสือ
- การพักงานโดยไม่จ่ายค่าจ้าง
- การเลิกจ้างโดยไม่จ่ายค่าชดเชย
ประกาศ ณ วันที่ 1 มิถุนายน 2565
(ดร. จุฑาทอง จารุมิลินท)
ผู้อำนวยการสถาบันวิจัยนโยบายเศรษฐกิจการคลัง
กรรมการและเลขานุการมูลนิธิสถาบันวิจัยนโยบายเศรษฐกิจการคลัง
