Home -> New Update

FPRI-Logo-200px

นโยบายคุ้มครองข้อมูลส่วนบุคคล

มูลนิธิสถาบันวิจัยนโยบายเศรษฐกิจการคลัง (มูลนิธิ สวค.)

ด้วยความเคารพต่อสิทธิความเป็นส่วนตัวของพนักงาน คู่สัญญา และบุคคลที่เกี่ยวข้องกับมูลนิธิสถาบันวิจัยนโยบายเศรษฐกิจการคลัง (“มูลนิธิ สวค.”) โดยคณะผู้บริหารมูลนิธิ สวค. ได้ตระหนักถึงความสำคัญของการคุ้มครองสิทธิความเป็นส่วนตัวของบุคคลดังกล่าว จึงได้อนุมัติให้ใช้นโยบายการคุ้มครองข้อมูลส่วนบุคคลมูลนิธิ สวค. ซึ่งกำหนดหลักเกณฑ์ กลไก และมาตรการบริหารจัดการของมูลนิธิ สวค. ให้ครอบคลุม ชัดเจน และสอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ เพื่อสร้างความมั่นใจแก่เจ้าของข้อมูลส่วนบุคคล

นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ ใช้บังคับกับมูลนิธิ สวค. พนักงานภายในองค์กร และบุคคลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของมูลนิธิ สวค.

 

1.  คำนิยาม

1.1  การประมวลผล (Processing)

หมายถึง การดําเนินการใดๆ กับข้อมูลส่วนบุคคล เช่น การเก็บ รวบรวม บันทึก จัดระบบ ทําโครงสร้าง เก็บรักษา ปรับปรุง เปลี่ยนแปลง กู้คืน ใช้ เปิดเผย ส่งต่อ เผยแพร่ โอน ผสมเข้าด้วยกัน ลบ ทําลาย

1.2  ข้อมูลส่วนบุคคล (Personal Data)

หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ IP Address รูปภาพ

1.3  ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data)

หมายถึง ข้อมูลที่เป็นเรื่องส่วนบุคคลโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและอาจสุ่มเสี่ยงในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

1.4    เจ้าของข้อมูลส่วนบุคคล  (Data Subject)

หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลสามารถระบุตัวตนของบุคคลนั้นได้ไม่ว่าทางตรง หรือทางอ้อม

1.5    ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

 1.6  ผู้ประมวลผลข้อมูลส่วนบุคคล  (Data Processor)

หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

 

2.  การกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Governance)

2.1     มูลนิธิ สวค. จะดำเนินการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (“DPO”) ให้มีอำนาจและหน้าที่ในการกำกับ ควบคุม และบริหารจัดการข้อมูลส่วนบุคคลให้สอดคล้องเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค.

2.2     มูลนิธิ สวค. จะจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องตามกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลภายในของมูลนิธิ สวค.

2.3  มูลนิธิ สวค. จะบริหารการปฏิบัติตามนโยบายเพื่อควบคุมดูแลให้มีการปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลภายในของมูลนิธิ สวค. อย่างต่อเนื่อง และมีการทบทวนตามรอบระยะเวลาที่เหมาะสม

2.4  มูลนิธิ สวค. จะดำเนินการฝึกอบรมแก่พนักงาน เพื่อสร้างความตระหนักรู้ถึงความสำคัญของการคุ้มครองความเป็นส่วนตัวของบุคคลภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลอย่างสม่ำเสมอ เพื่อให้พนักงานของมูลนิธิ สวค. มีความรู้ ความเข้าใจที่ถูกต้องเกี่ยวกับการปฏิบัติตามกฎหมายและนโยบายคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค.

 

3.  การประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing)

3.1      มูลนิธิ สวค. จะดำเนินการประมวลผลข้อมูลส่วนบุคคลอย่างถูกต้องตามกฎหมาย โปร่งใส เป็นธรรม และคำนึงถึงสิทธิความเป็นส่วนตัวของบุคคล ทั้งนี้ ทั้งในฐานะที่มูลนิธิ สวค. เป็นผู้ควบคุมข้อมูลส่วนบุคคล และ ผู้ประมวลผลข้อมูลส่วนบุคคล

3.2     มูลนิธิ สวค. จะกำหนดขอบเขต วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล และระยะเวลาการจัดเก็บข้อมูลส่วนบุคคล ให้กระทำเพียงเท่าที่จำเป็นภายใต้วัตถุประสงค์ที่ชอบด้วยกฎหมาย

3.3     มูลนิธิ สวค. จะดำเนินการรักษาความลับ ความครบถ้วน ความถูกต้องสมบูรณ์ และความปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสมเพียงพอ

3.4     มูลนิธิ สวค. จะจัดให้มีกระบวนการควบคุมและกำกับการบริหารจัดการข้อมูลส่วนบุคคลในทุกขั้นตอนให้สอดคล้องกับกฎหมาย และนโยบายคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค.

3.5     มูลนิธิ สวค. จะจัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities: RoPA) เพื่อบันทึกรายละเอียดเกี่ยวกับรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล และดำเนินการแก้ไข ปรับปรุงบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลให้เป็นปัจจุบันอยู่เสมอ

3.6     มูลนิธิ สวค. จะจัดให้มีกระบวนการแจ้งวัตถุประสงค์และรายละเอียดของการประมวลผลข้อมูลส่วนบุคคล (Privacy Notices) ที่ครบถ้วน อ่านเข้าใจง่าย ชัดเจน ให้แก่เจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสม

3.7     มูลนิธิ สวค. จะดำเนินการตรวจสอบความถูกต้องและเป็นปัจจุบันของข้อมูลส่วนบุคคล รวมถึงจัดให้มีช่องทางในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง

3.8     กรณีที่มูลนิธิ สวค. มีการเปิดเผย ส่ง โอน รวมถึงได้รับโอนข้อมูลส่วนบุคคลไปยังหรือมาจากหน่วยงานภายนอก มูลนิธิ สวค. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล จะจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคลเพื่อกำหนดสิทธิ หน้าที่ และความรับผิดให้สอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และกฎหมายอื่นที่เกี่ยวข้อง

3.9     กรณีที่มูลนิธิ สวค. มีการเปิดเผย ส่ง หรือโอนข้อมูลไปยังต่างประเทศ มูลนิธิ สวค. จะทำการตรวจสอบและประเมินมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประเทศปลายทางเสมอ เพื่อให้การปฏิบัติเป็นไปตามเงื่อนไขที่กฎหมายบัญญัติไว้

3.10      มูลนิธิ สวค. จะทำการประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล และจัดหามาตรการที่เหมาะสมเพื่อลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น

3.11      มูลนิธิ สวค. จะกำหนดนโยบายในการลบและทำลายข้อมูลส่วนบุคคลที่เหมาะสม

 

4.  การจัดให้มีช่องทางการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Access Request)

4.1  มูลนิธิ สวค. จะจัดให้มีแนวปฏิบัติ และช่องทางในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสม ครบถ้วนตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

4.2  มูลนิธิ สวค. จะทำการบันทึกรายละเอียดคำขอใช้สิทธิ รวมถึงเหตุแห่งการปฏิเสธคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลเสมอ

 

5.  การรักษาความปลอดภัยของข้อมูลส่วนบุคคล (Personal Data Security)

5.1  มูลนิธิ สวค. จะจัดให้มีมาตรการในการรักษาความปลอดภัยของข้อมูลที่เหมาะสม เพียงพอ และมีการควบคุมการเข้าถึงข้อมูลเท่าที่จำเป็น

5.2  มูลนิธิ สวค. จะจัดให้มีมาตรการรองรับเหตุการณ์ผิดปกติ แนวทางในการตอบสนองต่อเหตุการณ์ดังกล่าว รวมถึงจัดให้มีกระบวนการแจ้ง ประสานงาน และให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้สามารถจัดการและแก้ไขเยียวยาได้อย่างทันท่วงที

 

6. การกำกับดูแล และตรวจสอบการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ระเบียบ และนโยบาย       ที่เกี่ยวข้อง (Personal Data Protection Compliance)

6.1     มูลนิธิ สวค. จะทำการทบทวน แก้ไข และปรับปรุงนโยบายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงเอกสารที่เกี่ยวข้องอยู่เป็นประจำ อย่างน้อยปีละ 1 ครั้ง เพื่อให้สอดคล้องเป็นไปตามกฎหมายอยู่เสมอ

6.2     มูลนิธิ สวค. จะติดตามการบังคับใช้กฎหมายลำดับรอง และกฎหมายอื่นที่เกี่ยวข้องอยู่เสมอ เพื่อนำมาแก้ไขและปรับปรุงนโยบายของมูลนิธิ สวค. ให้สอดคล้องเป็นไปตามกฎหมาย

 

7.  บทบาท หน้าที่ และความรับผิดชอบ

 7.1  คณะกรรมการมูลนิธิ สวค. มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้

 กํากับดูแลและสนับสนุนให้มูลนิธิ สวค. ดําเนินการคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ และสอดคล้องกับกฎหมาย

 7.2      ผู้อำนวยการสถาบันวิจัยนโยบายเศรษฐกิจการคลัง ในฐานะกรรมการและเลขานุการมูลนิธิ สวค. มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้

7.2.1 จัดให้มีโครงสร้างการควบดูแลข้อมูลส่วนบุคคลและการควบคุมภายใน รวมถึง การบริหารจัดการเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคล และแนวทางการตอบสนองต่อเหตุการณ์ผิดปกติ เพื่อให้สามารถระบุและจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้อง กับข้อมูลส่วนบุคคลได้อย่างทันท่วงที

7.2.2    กําหนดและทบทวนมาตรฐานการปฏิบัติงาน และแนวปฏิบัติ เพื่อให้การดําเนินงานของมูลนิธิ สวค. สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค.

7.2.3     ติดตามและควบคุมให้การปฏิบัติงานของทุกฝ่ายเป็นไปตามนโยบายคุ้มครองข้อมูลส่วนบุคคล

7.2.4   แต่งตั้งเจ้าหน้าที่/คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค. (DPO)

 

7.3  เจ้าหน้าที่/คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค. (DPO) มีบทบาท หน้าที่ และความรับผิดชอบ ดังต่อไปนี้

7.3.1    ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งผู้ปฏิบัติงานในมูลนิธิ สวค. ลูกจ้าง หรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

7.3.2    ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งผู้ปฏิบัติงานในมูลนิธิ สวค. ลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล เกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของบุคคลทั้งหลายดังกล่าว ในการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

7.3.3   เตรียมความพร้อมเพื่อรองรับการดำเนินการตามนโยบายต่างๆ ภายในว่าด้วยเรื่อง การคุ้มครองข้อมูลส่วนบุคคล รวมทั้งเสนอแนวทางปฏิบัติงาน หรือเรื่องต่างๆ ที่เกี่ยวข้อง

7.3.4    ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ในกรณีที่มีปัญหาเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งผู้ปฏิบัติงานในมูลนิธิ สวค. ลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ในการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

7.3.5    เสนอแนะเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลต่อผู้อำนวยการสถาบันวิจัยนโยบายเศรษฐกิจการคลัง รวมทั้งเสนอแต่งตั้งคณะกรรมการหรือคณะทำงานตามขอบเขตอำนาจหน้าที่

7.3.6   ปฏิบัติหน้าที่หรือภารกิจอื่นที่ไม่ขัดหรือแย้งต่อการปฏิบัติหน้าที่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

7.4  พนักงานของมูลนิธิ สวค. มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้

7.4.1    ปฏิบัติงานให้สอดคล้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค. ตามมาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล

7.4.2    รายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และการไม่ปฏิบัติตามกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุค

7.4.3    คลของมูลนิธิ สวค. ให้ผู้บังคับบัญชาทราบ

8.  บทลงโทษกรณีไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค.

ผู้อำนวยการสถาบันวิจัยนโยบายเศรษฐกิจการคลัง ในฐานะกรรมการและเลขานุการมูลนิธิ สวค. เป็นผู้มีอำนาจในการพิจารณา และดำเนินการลงโทษทางวินัยแก่ผู้ที่ฝ่าฝืนหรือไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ และ/หรือกฎระเบียบอื่นที่เกี่ยวข้อง โดยมูลนิธิ สวค. กำหนดโทษทางวินัยไว้ 5 ประการ ดังนี้

8.1      การตักเตือนด้วยวาจา

8.2      การตักเตือนเป็นหนังสือ

8.3      ลดเงินเดือนหรือค่าจ้างหรือตัดเงินตามระยะเวลาที่กำหนด

8.4      ปลดออก

8.5      ไล่ออก

ประกาศ ณ วันที่ 1 มิถุนายน 2565

ดร. จุฑาทอง  จารุมิลินท

ผู้อำนวยการสถาบันวิจัยนโยบายเศรษฐกิจการคลัง

กรรมการและเลขานุการมูลนิธิสถาบันวิจัยนโยบายเศรษฐกิจการคลัง