นโยบายคุ้มครองข้อมูลส่วนบุคคล

มูลนิธิสถาบันวิจัยนโยบายเศรษฐกิจการคลัง (มูลนิธิ สวค.)

ด้วยความเคารพต่อสิทธิความเป็นส่วนตัวของพนักงาน คู่สัญญา และบุคคลที่เกี่ยวข้องกับมูลนิธิสถาบันวิจัยนโยบายเศรษฐกิจการคลัง (“มูลนิธิ สวค.”) โดยคณะผู้บริหารมูลนิธิ สวค. ได้ตระหนักถึงความสำคัญของการคุ้มครองสิทธิความเป็นส่วนตัวของบุคคลดังกล่าว จึงได้อนุมัติให้ใช้นโยบายการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค. ซึ่งกำหนดหลักเกณฑ์ กลไก และมาตรการบริหารจัดการของมูลนิธิ สวค.ให้ครอบคลุม ชัดเจน และสอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ เพื่อสร้างความมั่นใจแก่เจ้าของข้อมูลส่วนบุคคล

นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ ใช้บังคับกับมูลนิธิ สวค. พนักงานภายในองค์กร และบุคคลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของมูลนิธิ สวค.

1. คำนิยาม

1.1 การประมวลผล (Processing)

หมายถึง การดําเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น การเก็บ รวบรวม บันทึก จัดระบบ ทําโครงสร้าง เก็บรักษา ปรับปรุง เปลี่ยนแปลง กู้คืน ใช้ เปิดเผย ส่งต่อ เผยแพร่ โอน ผสมเข้าด้วยกัน ลบ ทําลาย

1.2 ข้อมูลส่วนบุคคล (Personal Data)

หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ เช่น ชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ IP Address รูปภาพ

1.3 ข้อมูลส่วนบุคคลอ่อนไหว (Sensitive Data)

หมายถึง ข้อมูลที่เป็นเรื่องส่วนบุคคลโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและอาจสุ่มเสี่ยงในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

1.4 เจ้าของข้อมูลส่วนบุคคล (Data Subject)

หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคลสามารถระบุตัวตนของบุคคลนั้นได้ไม่ว่าทางตรง หรือทางอ้อม

1.5 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

1.6 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

2. การกำกับดูแลการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Governance)

2.1 มูลนิธิ สวค. จะดำเนินการแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (“DPO”) ให้มีอำนาจและหน้าที่ในการกำกับ ควบคุม และบริหารจัดการข้อมูลส่วนบุคคลให้สอดคล้องเป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค.

2.2 มูลนิธิ สวค. ได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องตามกฎหมาย และนโยบายการคุ้มครองข้อมูล
ส่วนบุคคลภายในของมูลนิธิ สวค.

2.3 มูลนิธิ สวค. จะบริหารการปฏิบัติตามนโยบายเพื่อควบคุมดูแลให้มีการปฏิบัติตามนโยบายคุ้มครองข้อมูลส่วนบุคคลภายในของมูลนิธิ สวค. อย่างต่อเนื่อง และมีการทบทวนตามรอบระยะเวลาที่เหมาะสม

2.4 มูลนิธิ สวค. ได้ดำเนินการฝึกอบรมแก่พนักงาน เพื่อสร้างความตระหนักรู้ถึงความสำคัญของการคุ้มครองความเป็นส่วนตัวของบุคคลภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลอย่างสม่ำเสมอ เพื่อให้พนักงานของมูลนิธิ สวค. มีความรู้ ความเข้าใจที่ถูกต้องเกี่ยวกับการปฏิบัติตามกฎหมายและนโยบายคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค.

3. การประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing)

3.1 มูลนิธิ สวค. จะดำเนินการประมวลผลข้อมูลส่วนบุคคลอย่างถูกต้องตามกฎหมาย โปร่งใส เป็นธรรม และคำนึงถึงสิทธิความเป็นส่วนตัวของบุคคล ทั้งนี้ ทั้งในฐานะที่มูลนิธิ สวค. เป็นผู้ควบคุมข้อมูลส่วนบุคคล และ
ผู้ประมวลผลข้อมูลส่วนบุคคล

3.2 มูลนิธิ สวค. ได้กำหนดขอบเขต วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล และระยะเวลาการจัดเก็บข้อมูลส่วนบุคคล ให้กระทำเพียงเท่าที่จำเป็นภายใต้วัตถุประสงค์ที่ชอบด้วยกฎหมาย

3.3 มูลนิธิ สวค. จะดำเนินการรักษาความลับ ความครบถ้วน ความถูกต้องสมบูรณ์ และความปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสมเพียงพอ

3.4 มูลนิธิ สวค. ได้จัดให้มีกระบวนการควบคุมและกำกับการบริหารจัดการข้อมูลส่วนบุคคลในทุกขั้นตอนให้สอดคล้องกับกฎหมาย และนโยบายคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค.

3.5 มูลนิธิ สวค. จะจัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities: RoPA) เพื่อบันทึกรายละเอียดเกี่ยวกับรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล และดำเนินการแก้ไข ปรับปรุงบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลให้เป็นปัจจุบันอยู่เสมอ

3.6 มูลนิธิ สวค. จัดให้มีกระบวนการแจ้งวัตถุประสงค์และรายละเอียดของการประมวลผลข้อมูลส่วนบุคคล (Privacy Notices) ที่ครบถ้วน อ่านเข้าใจง่าย ชัดเจน ให้แก่เจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสม

3.7 มูลนิธิ สวค. จะดำเนินการตรวจสอบความถูกต้องและเป็นปัจจุบันของข้อมูลส่วนบุคคล รวมถึงจัดให้มีช่องทางในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง

3.8 กรณีที่มูลนิธิ สวค. มีการเปิดเผย ส่ง โอน รวมถึงได้รับโอนข้อมูลส่วนบุคคลไปยังหรือมาจากหน่วยงานภายนอก มูลนิธิ สวค. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูล จะจัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคลเพื่อกำหนดสิทธิ หน้าที่ และความรับผิดให้สอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และกฎหมายอื่นที่เกี่ยวข้อง

3.9 กรณีที่มูลนิธิ สวค. มีการเปิดเผย ส่ง หรือโอนข้อมูลไปยังต่างประเทศ มูลนิธิ สวค. จะทำการตรวจสอบและประเมินมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของประเทศปลายทางเสมอ เพื่อให้การปฏิบัติเป็นไปตามเงื่อนไขที่กฎหมายบัญญัติไว้

3.10 มูลนิธิ สวค. จะทำการประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล และจัดหามาตรการที่เหมาะสมเพื่อลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น

3.11 มูลนิธิ สวค. ได้กำหนดนโยบายในการลบและทำลายข้อมูลส่วนบุคคลที่เหมาะสม

4. การจัดให้มีช่องทางการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Access Request)

4.1 มูลนิธิ สวค. ได้กำหนดให้มีแนวปฏิบัติ และช่องทางในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลอย่างเหมาะสม ครบถ้วนตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

4.2 มูลนิธิ สวค. จะทำการบันทึกรายละเอียดคำขอใช้สิทธิ รวมถึงเหตุแห่งการปฏิเสธคำขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลเสมอ

5. การรักษาความปลอดภัยของข้อมูลส่วนบุคคล (Personal Data Security)

5.1 มูลนิธิ สวค. ได้กำหนดให้มีมาตรการในการรักษาความปลอดภัยของข้อมูลที่เหมาะสม เพียงพอ และมีการควบคุมการเข้าถึงข้อมูลเท่าที่จำเป็น

5.2 มูลนิธิ สวค. จะจัดให้มีมาตรการรองรับเหตุการณ์ผิดปกติ แนวทางในการตอบสนองต่อเหตุการณ์ดังกล่าว รวมถึงจัดให้มีกระบวนการแจ้ง ประสานงาน และให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้สามารถจัดการและแก้ไขเยียวยาได้อย่างทันท่วงที

6. การกำกับดูแล และตรวจสอบการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ระเบียบ และนโยบายที่เกี่ยวข้อง (Personal Data Protection Compliance)

6.1 มูลนิธิ สวค. จะทำการทบทวน แก้ไข และปรับปรุงนโยบายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล รวมถึงเอกสารที่เกี่ยวข้องอยู่เป็นประจำ อย่างน้อยปีละ 1 ครั้ง เพื่อให้สอดคล้องเป็นไปตามกฎหมายอยู่เสมอ

6.2 มูลนิธิ สวค. จะติดตามการบังคับใช้กฎหมายลำดับรอง และกฎหมายอื่นที่เกี่ยวข้องอยู่เสมอ เพื่อนำมาแก้ไขและปรับปรุงนโยบายของมูลนิธิ สวค. ให้สอดคล้องเป็นไปตามกฎหมาย

7. บทบาท หน้าที่ และความรับผิดชอบ

7.1 คณะกรรมการมูลนิธิ สวค. มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้

กํากับดูแลและสนับสนุนให้มูลนิธิ สวค. ดําเนินการคุ้มครองข้อมูลส่วนบุคคลให้มีประสิทธิภาพ และสอดคล้องกับกฎหมาย

7.2 ผู้อำนวยการสถาบันวิจัยนโยบายเศรษฐกิจการคลัง ในฐานะกรรมการและเลขานุการมูลนิธิ สวค. มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้

7.2.1 จัดให้มีโครงสร้างการควบดูแลข้อมูลส่วนบุคคลและการควบคุมภายใน รวมถึงการบริหารจัดการเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคล และแนวทางการตอบสนองต่อเหตุการณ์ผิดปกติ เพื่อให้สามารถระบุและจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้อย่างทันท่วงที

7.2.2 กําหนดและทบทวนมาตรฐานการปฏิบัติงานและแนวปฏิบัติ เพื่อให้การดําเนินงานของมูลนิธิ สวค. สอดคล้องกับกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค.

7.2.3 ติดตามและควบคุมให้การปฏิบัติงานของทุกฝ่ายเป็นไปตามนโยบายคุ้มครองข้อมูลส่วนบุคคล

7.2.4 แต่งตั้งคณะเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค. (DPO)

7.3 คณะเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค. (DPO) มีบทบาท หน้าที่ และความรับผิดชอบ ดังต่อไปนี้

7.3.1 ให้คําแนะนําพนักงานของมูลนิธิ สวค. เกี่ยวกับการปฏิบัติตามกฎหมายและนโยบาย
การคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค.

7.3.2 ตรวจสอบการดําเนินงานของพนักงานมูลนิธิ สวค. ให้เป็นไปตามกฎหมายและนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค.

7.3.3 รายงานสถานะการคุ้มครองข้อมูลส่วนบุคคลให้ผู้บริหารทราบ และจัดทําข้อเสนอแนะเพื่อปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค. ให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ

7.3.4 ประเมินประสิทธิภาพการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของพนักงานและรายงานผลการประเมินดังกล่าวให้ผู้บริหารทราบอย่างน้อย 1 ครั้งต่อปี รวมถึงควบคุมดูแลให้มั่นใจได้ว่าความเสี่ยงต่าง ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลได้รับการจัดการและมีแนวทางการบริหารความเสี่ยงที่เหมาะสม

7.4 พนักงานของมูลนิธิ สวค. มีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้

7.4.1 ปฏิบัติงานให้สอดคล้องกับนโยบายต่าง ๆ เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค. และเป็นไปตามมาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเรื่องอื่นๆ ที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด

7.4.2 รายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และการไม่ปฏิบัติตาม กฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค. ให้ผู้บังคับบัญชาทราบ

8. บทลงโทษกรณีไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมูลนิธิ สวค.

ผู้อำนวยการสถาบันวิจัยนโยบายเศรษฐกิจการคลัง ในฐานะกรรมการและเลขานุการมูลนิธิ สวค. เป็นผู้มีอำนาจในการพิจารณา และดำเนินการลงโทษทางวินัยแก่ผู้ที่ฝ่าฝืนหรือไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ และ/หรือกฎระเบียบอื่นที่เกี่ยวข้อง โดยมูลนิธิ สวค. กำหนดโทษทางวินัยไว้ 4 ประการ ดังนี้

8.1 การตักเตือนด้วยวาจา

8.2 การตักเตือนเป็นหนังสือ

8.3 การพักงานโดยไม่จ่ายค่าจ้าง

8.4 การเลิกจ้างโดยไม่จ่ายค่าชดเชย

ประกาศ ณ วันที่ 1 มิถุนายน 2565

ดร. จุฑาทอง จารุมิลินท

ผู้อำนวยการสถาบันวิจัยนโยบายเศรษฐกิจการคลัง

กรรมการและเลขานุการมูลนิธิสถาบันวิจัยนโยบายเศรษฐกิจการคลัง

==============================================================

นโยบายคุ้มครองข้อมูลส่วนบุคคลในด้านต่างๆ ของมูลนิธิสถาบันวิจัยนโยบายเศรษฐกิจการคลัง

1. นโยบายคุ้มครองข้อมูลส่วนบุคคล