นโยบายการคุ้มครองข้อมูลส่วนบุคคล
ของสถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน)
สถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน) จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อกำหนดหลักเกณฑ์ กลไก รวมถึงมาตรการกำกับดูแลเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสำหรับใช้ในการดำเนินงานภายในสถาบันให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562
- วัตถุประสงค์
- นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้เป็นการวางกรอบหลักการและแนวทางในการดำเนินการที่สำคัญญสำหรับการคุ้มครองข้อมูลส่วนบุคคลของสถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน) เพื่อให้การดำเนินงานทั้งปวงเป็นไปตามหน้าที่และความรับผิดชอบในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตามพระราชบัญญิติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
- นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ใช้บังคับการประมวลผลข้อมูลส่วนบุคคลทั้งปวงที่เกิดขึ้นตามขอบเขตและวัตถุประสงค์ของสถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน) ซึ่งรวมถึงการประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการโดยบุคคลหรือนิติบุคคลภายนอก หรือโดยอุปกรณ์หรือระบบภายนอกตามขอบเขตและวัตถุประสงค์ดังกล่าวด้วย
- นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ไม่ครอบคลุมถึงการประมวลผลขอ้อมูลส่วนบุคคลของบุคลากรของสถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน) ที่ดำเนินการเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้น อันไม่เกี่ยวข้องกับขอบเขตและวัตถุประสงค์ของสถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน)
- การปฏิบัติตามนโยบายกาคุ้มครองข้อมูลส่วนบุคคลนี้ สถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน) จะดำเนินการตามแนวปฏิบัติ ประกาศความเป็นส่วน หรือเอกสารที่เกี่ยวข้องที่ได้ออกตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ต่อไป
- คำนิยาม
“สถาบัน” หมายความว่า สถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน)
“ผู้อำนวยการ” หมายถึง ผู้อำนวยการสถาบัน
“ผู้ปฏิบัติงาน” หมายถึง เจ้าหน้าที่ ลูกจ้าง ที่ปรึกษา และผู้เชี่ยวชาญของสถาบัน
“ผู้ดูแลระบบสารสนเทศ” หมายถึง ผู้ปฏิบัติงานที่มีหน้าที่หรือที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของสถาบัน
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลที่เกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หมายความว่า ผู้ปฏิบัติงานที่ได้รับการแต่งตั้งหรือมอบหมายไม่ว่าจะเป็นบุคคลหรือคณะบุคคล ให้ปฏิบัติหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
“บุคคล” หมายความว่า บุคคลธรรมดา
- การคุ้มครองข้อมูลส่วนบุคคล
สถาบันจะดำเนินการประมวลผลข้อมูลส่วนบุคคลตามหลักการ ดังต่อไปนี้
- ประมวลผลข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย โปร่งใส และตรวจสอบได้ (Laefulness}Fairness and Transparency)
- ประมวลผลข้อมูลส่วนบุคคลภายในขอบเขตและวัตถุประสงค์ที่กำหนด และไม่นำไปใช้หรือเปิดเผยนอกขอบเขตและวัตถุประสงค์ของการประมวลผลข้อมูลนั้น (Purpose Limitation)
- ประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็น เกี่ยวข้อง และเพียงพอต่อขอบเขตและวัตถุประสงค์ของการประมวลผลข้อมูลนั้น (Data Minimization)
- ประมวลผลข้อมูลส่วนบุคคลที่ถูกต้อง และดำเนินการให้ข้อมูลเป็นปัจจุบันในกรณีที่จำเป็น (Accuracy)
- จัดเก็บข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่จำเป็นต่อการประมวลผลข้อมูลนั้น (Storage Limitation)
- ประมวลผลข้อมูลส่วนบุคคลตามมาตรฐานการเพื่อการรักษาความมั่นคงปลอดภัยข้อมูล (Integrity}Confidentiality,Availability)
- หน้าที่และความรับผิดชอบ
- ผู้อำนวยการจะดำเนินการให้เป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงกฎหมายหรือระเบียบอื่นที่เกี่ยวข้อง โดยดำเนินผ่านทางเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- ผู้ปฏิบัติงานมีหน้าที่และความรับผิดชอบในการดำเนินการตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงกฎหมายหรือระเบียบอื่นที่เกี่ยวข้อง โดยมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเป็นผู้ติดตามและตรวจสอบการดำเนินการดังกล่าว
- กิจกรรมการประมวลผลข้อมูลส่วนบุคคลของแต่ละส่วนงาน จะต้องถูกบันทึกไว้ในบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลกำหนด ทั้งนี้ การริเริ่ม แก้ไข ปรับปรุง หรือยุติกิจกรรมการประมาวลผลข้อมูลใด ๆ ของส่วนงาน จะต้องเสนอขอความเห็นจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลก่อนดำเนินการนั้น
- ในกรณีที่ผู้ปฏิบัติงานหรือส่วนงานใด มีความจำเป็นที่จะต้องจัดทำเอกสาร ข้อตกลง หรือแบบฟอร์มใด ซึ่งจะต้องพิจารณาทางกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล จะต้องหารือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลก่อนดำเนินการนั้น
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีหน้าที่ดังต่อไปนี้
- กำหนด ติดตาม และตรวจสอบการดำเนินการตามนโยบายและมาตรการคุ้มครองข้อมูลส่วนบุคคลของสถาบัน เพื่อให้การประมวลผลข้อมูลส่วนบุคคลเป็นไปตามพระราชบัญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายหรือระเบียบอื่นที่เกี่ยวข้อง
- จัดทำแนวปฏิบัติและคู่มือการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ เพื่อใช้อบรมและแนวปฏิบัติแก่ผู้ปฏิบัติงาน รวมถึงแนวปฏิบัติการจัดเก็บบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลเพื่อให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้
- ให้คำแนะนำแก่ผู้ปฏิบัติงานเกี่ยวกับการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคลนี้
- ตรวจสอบการดำเนินงานของแต่ละส่วนงาน รวมทั้งผู้ปฏิบัติงานเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้
- ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีปัญหาเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของสถาบัน รวมทั้งผู้ปฏิบัติงานในการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้
- รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฆิบัติหน้าที่ตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้
- ในกรณีที่มีปัญหาในการปฏิบัติหน้าที่ตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ ให้รายงานต่อผู้อำนวยการโดยตรง
- สนับสนุนและช่วยเหลือการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลของแต่ละส่วนงาน
- ให้คำปรึกษาและเป็นผู้ติดต่อประสานงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อรับคำร้อง คำขอ และการดำเนินการเกี่ยวกับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
- ติดตามตรวจสอบและแก้ไขข้อร้องเรียนเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
- จัดเก็บบันทึกรายการเกี่ยวกัยเหตุการละเมิดข้อมูลส่วนบุคคลและทำหน้าที่แจ้งไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด
- บันทึกความเห็นต่อประเด็นหารือต่าง ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของสถาบัน
- ดำเนินการอื่นใดตามที่ผู้อำนวยการมอบหมายเพื่อให้บรรลุวัตถุประสงค์ตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้
- การละเมิดการคุ้มครองข้อมูลส่วนบุคคล
- การละเมิดการคุ้มครองข้อมูลส่วนบุคคล อาจเกิดขึ้นในกรณีที่ข้อมูลส่วนบุคคลถูกเปิดเผยหรือถูกเข้าถึงได้โดยบุคคลที่ไม่ได้รับอนุญาต หรือกรณีที่ข้อมูลส่วนบุคคลถูกใช้ในลักษณะที่เจ้าของข้อมูลส่วนบุคคลไม่อาจคาดหมายได้โดยชอบด้วยกฎหมาย
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะต้องดำเนินการตรวจสอบเหตุการณ์ทั้งหลายที่เกี่ยวข้องกับการละเมิดการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย เพื่อดำเนินการมาตรการที่เหมาะสม เพื่อบรรเทาผลกระทบและป้องกันเหตุการละเมิดข้อมูลส่วนบุคคลที่อาจเกิดขึ้นในอนาคต
- เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะดำเนินการแจ้งเหตุการละเมือดข้อมูลส่วนบุคคลไปยังเจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดตามหลักเกณฑ์และความร้ายแรงของเหตุการณ์ที่เกิดขึ้น ดังต่อไปนี้
| ผลกระทบต่อสิทธิและเสรภาพของ
เจ้าของข้อมูลส่วนบุคคล |
การดำเนินการ |
| กรณีไม่มีความเสี่ยง |
|
| กรณีมีความเสี่ยง |
|
| กรณีมีความเสี่ยงสูง |
|
- กรณีระบบเทคโนโลยีสารสนเทศหรือกระบวนงานที่เกี่ยวข้องไม่สามารถทำงานได้ให้ผู้ปฏิบัติที่พบเหตุแจ้งไปยังผู้ดูแลระบบสารสนเทศ ภายใน 4 ชั่วโมง นับจากเมื่อทราบเหตุนั้น และให้ผู้ดูแลระบบสารสนเทศประสานงานกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อดำเนินการตามที่เหมาะสม
- กรณีเหตุการณ์อื่น ๆ ที่เกี่ยวข้องการละเมิดข้อมูลส่วนบุคคล ให้ผู้ปฏิบัติงานที่พบเหตุแจ้งโดยตรงไปยังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยเร็วที่สุด เพื่อดำเนินการตามที่เหมาะสม
- การปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล
- การละเมิดไม่ปฏิบัติตามนโยบายนี้การคุ้มครองข้อมูลส่วนบุคคล รวมถึงมาตรการอื่นที่เกี่ยวข้องถือเป็นกรณีผิดวินัยร้ายแรงซึ่งต้องถูกดำเนินการทางวินัยตามข้อบังคับ ระเบียบ คำสั่ง และประกาศของสถาบันที่เกี่ยวข้องต่อไป
- ผู้ปฏิบัติงานที่ปฏิบัติงานเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามขอบเขตและวัตถุประสงค์ของสถาบัน อาจมีความรับผิดเป็นการส่วนตัวตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 25625 จากการกระทำของตนตามพฤติการณ์และความร้ายแรงของเหตุการณ์ที่เกิดขึ้น
- การทบทวนและการปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคล
ให้เจ้าหนี้ที่คุ้มครองข้อมูลส่วนบุคคลทบทวนและเสนอปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ รวมถึงมาตรการที่เกี่ยวข้อง อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญตามความเหมาะสม โดยคำนึกงถึงหลักเกณฑ์และวิธีการที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด รวมถึง กฎ ระเบียบ และประกาศอื่นที่ส่งผลต่อการคุ้มครองข้อมูลส่วนบุคคลของสถาบัน - ช่องทางการติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
สถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน)
901 ถนนงามวงศ์วาน แขวงลาดยาว เขตจตุจักร กรุงเทพมหานครเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล : นายธีรวัฒน์ หงส์วงค์ งานนิติการ
โทรศัพท์: 0 2 158 0901 ต่อ 3042 , 3043
อีเมล: dpo@hii.or.th หรือ legal@hii.or.th