นโยบายการคุ้มครองข้อมูลส่วนบุคคล
ของสถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน)

            สถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน) จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลขึ้นเพื่อกำหนดหลักเกณฑ์ กลไก รวมถึงมาตรการกำกับดูแลเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลสำหรับใช้ในการดำเนินงานภายในสถาบันให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562

  1. วัตถุประสงค์
  • นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้เป็นการวางกรอบหลักการและแนวทางในการดำเนินการที่สำคัญญสำหรับการคุ้มครองข้อมูลส่วนบุคคลของสถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน) เพื่อให้การดำเนินงานทั้งปวงเป็นไปตามหน้าที่และความรับผิดชอบในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตามพระราชบัญญิติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
  • นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ใช้บังคับการประมวลผลข้อมูลส่วนบุคคลทั้งปวงที่เกิดขึ้นตามขอบเขตและวัตถุประสงค์ของสถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน) ซึ่งรวมถึงการประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการโดยบุคคลหรือนิติบุคคลภายนอก หรือโดยอุปกรณ์หรือระบบภายนอกตามขอบเขตและวัตถุประสงค์ดังกล่าวด้วย
  • นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ไม่ครอบคลุมถึงการประมวลผลขอ้อมูลส่วนบุคคลของบุคลากรของสถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน) ที่ดำเนินการเพื่อประโยชน์ส่วนตนหรือเพื่อกิจกรรมในครอบครัวของบุคคลนั้น อันไม่เกี่ยวข้องกับขอบเขตและวัตถุประสงค์ของสถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน)
  • การปฏิบัติตามนโยบายกาคุ้มครองข้อมูลส่วนบุคคลนี้ สถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน) จะดำเนินการตามแนวปฏิบัติ ประกาศความเป็นส่วน หรือเอกสารที่เกี่ยวข้องที่ได้ออกตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ต่อไป
  1. คำนิยาม

“สถาบัน” หมายความว่า สถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน)

“ผู้อำนวยการ” หมายถึง ผู้อำนวยการสถาบัน

“ผู้ปฏิบัติงาน” หมายถึง เจ้าหน้าที่ ลูกจ้าง ที่ปรึกษา และผู้เชี่ยวชาญของสถาบัน

“ผู้ดูแลระบบสารสนเทศ” หมายถึง ผู้ปฏิบัติงานที่มีหน้าที่หรือที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของสถาบัน

“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลที่เกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หมายความว่า ผู้ปฏิบัติงานที่ได้รับการแต่งตั้งหรือมอบหมายไม่ว่าจะเป็นบุคคลหรือคณะบุคคล ให้ปฏิบัติหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

“บุคคล” หมายความว่า บุคคลธรรมดา

  1. การคุ้มครองข้อมูลส่วนบุคคล

สถาบันจะดำเนินการประมวลผลข้อมูลส่วนบุคคลตามหลักการ ดังต่อไปนี้

  • ประมวลผลข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย โปร่งใส และตรวจสอบได้ (Laefulness}Fairness and Transparency)
  • ประมวลผลข้อมูลส่วนบุคคลภายในขอบเขตและวัตถุประสงค์ที่กำหนด และไม่นำไปใช้หรือเปิดเผยนอกขอบเขตและวัตถุประสงค์ของการประมวลผลข้อมูลนั้น (Purpose Limitation)
  • ประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็น เกี่ยวข้อง และเพียงพอต่อขอบเขตและวัตถุประสงค์ของการประมวลผลข้อมูลนั้น (Data Minimization)
  • ประมวลผลข้อมูลส่วนบุคคลที่ถูกต้อง และดำเนินการให้ข้อมูลเป็นปัจจุบันในกรณีที่จำเป็น (Accuracy)
  • จัดเก็บข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่จำเป็นต่อการประมวลผลข้อมูลนั้น (Storage Limitation)
  • ประมวลผลข้อมูลส่วนบุคคลตามมาตรฐานการเพื่อการรักษาความมั่นคงปลอดภัยข้อมูล (Integrity}Confidentiality,Availability)
  1. หน้าที่และความรับผิดชอบ
  • ผู้อำนวยการจะดำเนินการให้เป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงกฎหมายหรือระเบียบอื่นที่เกี่ยวข้อง โดยดำเนินผ่านทางเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
  • ผู้ปฏิบัติงานมีหน้าที่และความรับผิดชอบในการดำเนินการตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงกฎหมายหรือระเบียบอื่นที่เกี่ยวข้อง โดยมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเป็นผู้ติดตามและตรวจสอบการดำเนินการดังกล่าว
  • กิจกรรมการประมวลผลข้อมูลส่วนบุคคลของแต่ละส่วนงาน จะต้องถูกบันทึกไว้ในบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลกำหนด ทั้งนี้ การริเริ่ม แก้ไข ปรับปรุง หรือยุติกิจกรรมการประมาวลผลข้อมูลใด ๆ ของส่วนงาน จะต้องเสนอขอความเห็นจากเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลก่อนดำเนินการนั้น
  • ในกรณีที่ผู้ปฏิบัติงานหรือส่วนงานใด มีความจำเป็นที่จะต้องจัดทำเอกสาร ข้อตกลง หรือแบบฟอร์มใด ซึ่งจะต้องพิจารณาทางกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล จะต้องหารือกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลก่อนดำเนินการนั้น
  1. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มีหน้าที่ดังต่อไปนี้
  • กำหนด ติดตาม และตรวจสอบการดำเนินการตามนโยบายและมาตรการคุ้มครองข้อมูลส่วนบุคคลของสถาบัน เพื่อให้การประมวลผลข้อมูลส่วนบุคคลเป็นไปตามพระราชบัญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายหรือระเบียบอื่นที่เกี่ยวข้อง
  • จัดทำแนวปฏิบัติและคู่มือการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ เพื่อใช้อบรมและแนวปฏิบัติแก่ผู้ปฏิบัติงาน รวมถึงแนวปฏิบัติการจัดเก็บบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลเพื่อให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลสามารถตรวจสอบได้
  • ให้คำแนะนำแก่ผู้ปฏิบัติงานเกี่ยวกับการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคลนี้
  • ตรวจสอบการดำเนินงานของแต่ละส่วนงาน รวมทั้งผู้ปฏิบัติงานเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้
  • ประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลในกรณีที่มีปัญหาเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของสถาบัน รวมทั้งผู้ปฏิบัติงานในการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้
  • รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฆิบัติหน้าที่ตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้
  • ในกรณีที่มีปัญหาในการปฏิบัติหน้าที่ตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ ให้รายงานต่อผู้อำนวยการโดยตรง
  • สนับสนุนและช่วยเหลือการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคลของแต่ละส่วนงาน
  • ให้คำปรึกษาและเป็นผู้ติดต่อประสานงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อรับคำร้อง คำขอ และการดำเนินการเกี่ยวกับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล
  • ติดตามตรวจสอบและแก้ไขข้อร้องเรียนเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
  • จัดเก็บบันทึกรายการเกี่ยวกัยเหตุการละเมิดข้อมูลส่วนบุคคลและทำหน้าที่แจ้งไปยังสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด
  • บันทึกความเห็นต่อประเด็นหารือต่าง ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของสถาบัน
  • ดำเนินการอื่นใดตามที่ผู้อำนวยการมอบหมายเพื่อให้บรรลุวัตถุประสงค์ตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้

 

 

  1. การละเมิดการคุ้มครองข้อมูลส่วนบุคคล
  • การละเมิดการคุ้มครองข้อมูลส่วนบุคคล อาจเกิดขึ้นในกรณีที่ข้อมูลส่วนบุคคลถูกเปิดเผยหรือถูกเข้าถึงได้โดยบุคคลที่ไม่ได้รับอนุญาต หรือกรณีที่ข้อมูลส่วนบุคคลถูกใช้ในลักษณะที่เจ้าของข้อมูลส่วนบุคคลไม่อาจคาดหมายได้โดยชอบด้วยกฎหมาย
  • เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะต้องดำเนินการตรวจสอบเหตุการณ์ทั้งหลายที่เกี่ยวข้องกับการละเมิดการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย เพื่อดำเนินการมาตรการที่เหมาะสม เพื่อบรรเทาผลกระทบและป้องกันเหตุการละเมิดข้อมูลส่วนบุคคลที่อาจเกิดขึ้นในอนาคต
  • เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะดำเนินการแจ้งเหตุการละเมือดข้อมูลส่วนบุคคลไปยังเจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนดตามหลักเกณฑ์และความร้ายแรงของเหตุการณ์ที่เกิดขึ้น ดังต่อไปนี้
ผลกระทบต่อสิทธิและเสรภาพของ

เจ้าของข้อมูลส่วนบุคคล

การดำเนินการ
กรณีไม่มีความเสี่ยง
  • บันทึกเหตุละเมิดข้อมูลส่วนบุคคล
กรณีมีความเสี่ยง
  • บันทึกเหตุละเมิดข้อมูลส่วนบุคคล
  • แจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง
กรณีมีความเสี่ยงสูง
  • บันทึกเหตุละเมิดข้อมูลส่วนบุคคล
  • แจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง
  • แจ้งเจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยเร็ว
  • กรณีระบบเทคโนโลยีสารสนเทศหรือกระบวนงานที่เกี่ยวข้องไม่สามารถทำงานได้ให้ผู้ปฏิบัติที่พบเหตุแจ้งไปยังผู้ดูแลระบบสารสนเทศ ภายใน 4 ชั่วโมง นับจากเมื่อทราบเหตุนั้น และให้ผู้ดูแลระบบสารสนเทศประสานงานกับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อดำเนินการตามที่เหมาะสม
  • กรณีเหตุการณ์อื่น ๆ ที่เกี่ยวข้องการละเมิดข้อมูลส่วนบุคคล ให้ผู้ปฏิบัติงานที่พบเหตุแจ้งโดยตรงไปยังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยเร็วที่สุด เพื่อดำเนินการตามที่เหมาะสม
  1. การปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล
  • การละเมิดไม่ปฏิบัติตามนโยบายนี้การคุ้มครองข้อมูลส่วนบุคคล รวมถึงมาตรการอื่นที่เกี่ยวข้องถือเป็นกรณีผิดวินัยร้ายแรงซึ่งต้องถูกดำเนินการทางวินัยตามข้อบังคับ ระเบียบ คำสั่ง และประกาศของสถาบันที่เกี่ยวข้องต่อไป
  • ผู้ปฏิบัติงานที่ปฏิบัติงานเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามขอบเขตและวัตถุประสงค์ของสถาบัน อาจมีความรับผิดเป็นการส่วนตัวตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 25625 จากการกระทำของตนตามพฤติการณ์และความร้ายแรงของเหตุการณ์ที่เกิดขึ้น
  1. การทบทวนและการปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคล
    ให้เจ้าหนี้ที่คุ้มครองข้อมูลส่วนบุคคลทบทวนและเสนอปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ รวมถึงมาตรการที่เกี่ยวข้อง อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญตามความเหมาะสม โดยคำนึกงถึงหลักเกณฑ์และวิธีการที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด รวมถึง กฎ ระเบียบ และประกาศอื่นที่ส่งผลต่อการคุ้มครองข้อมูลส่วนบุคคลของสถาบัน
  2. ช่องทางการติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
    สถาบันสารสนเทศทรัพยากรน้ำ (องค์การมหาชน)
    901 ถนนงามวงศ์วาน แขวงลาดยาว เขตจตุจักร กรุงเทพมหานครเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล : นายธีรวัฒน์  หงส์วงค์ งานนิติการ
    โทรศัพท์: 0 2 158 0901 ต่อ 3042 , 3043
    อีเมล: dpo@hii.or.th หรือ legal@hii.or.th