นโยบายฉบับนี้จัดทำขึ้นเพื่อกำหนดกรอบการดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลของกรมวิทยาศาสตร์บริการ (ต่อไปนี้เรียกว่า “วศ.”) ให้บุคลากรทุกระดับยึดถือเป็นแนวทางปฏิบัติในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลภายใต้ฐานกฎหมายที่ชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส พร้อมทั้งจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม รวมทั้งเคารพและคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลทุกรายตามที่กฎหมายกำหนด ทั้งนี้ เพื่อให้เจ้าของข้อมูลส่วนบุคคล ได้แก่ ประชาชน ผู้รับบริการ ผู้ติดต่อประสานงาน บุคลากร และผู้มีส่วนเกี่ยวข้องทุกภาคส่วน เชื่อมั่นได้ว่า วศ. ดำเนินการด้านข้อมูลส่วนบุคคลอย่างมีธรรมาภิบาล สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ และมาตรฐานสากลด้านการคุ้มครองข้อมูลส่วนบุคคล

๒.๑ นโยบายฉบับนี้ให้ใช้บังคับกับทุกกระบวนการทำงานที่มีการเก็บรวบรวม ใช้ เปิดเผย หรือประมวลผลข้อมูลส่วนบุคคล ที่ดำเนินการโดย วศ. ไม่ว่าจะดำเนินการภายในประเทศหรือต่างประเทศ

๒.๒ ให้บังคับใช้ครอบคลุมถึง ผู้บริหาร ข้าราชการ พนักงานราชการ ลูกจ้าง พนักงานจ้างเหมาบริการ ผู้รับทุน ผู้ฝึกงาน ตลอดจนบุคคลภายนอก คณะบุคคล หรือนิติบุคคล (Data Processor) ที่ดำเนินการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของ วศ. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล

๒.๓ หน่วยงานภายใน วศ. ที่มีการเก็บรวบรวมข้อมูลส่วนบุคคลต้องจัดทำ ประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice) สำหรับกิจกรรมหรือบริการของตน เพื่อแจ้งรายละเอียดเกี่ยวกับวัตถุประสงค์ ฐานกฎหมาย ระยะเวลาการเก็บรักษา การเปิดเผยข้อมูล และสิทธิของเจ้าของข้อมูล ในกรณีที่มีความขัดแย้งกันในสาระสำคัญระหว่างความในนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ และประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice) สำหรับบริการหรือกิจกรรมเฉพาะด้าน ให้ถือตามความในประกาศเกี่ยวกับความเป็นส่วนตัวของบริการหรือกิจกรรมนั้น

ในประกาศฉบับนี้

“วศ.” หมายความว่า กรมวิทยาศาสตร์บริการ

“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม

“ข้อมูลส่วนบุคคลที่มีความอ่อนไหว” หมายความว่า ข้อมูลส่วนบุคคลตามที่บัญญัติไว้ในมาตรา ๒๖ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ เช่น เชื้อชาติ ความคิดเห็นทางการเมือง ศาสนา ข้อมูลชีวมิติ ข้อมูลสุขภาพ หรือข้อมูลประวัติอาชญากรรม เป็นต้น หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

“การประมวลผล” หมายความว่า การดำเนินการใด ๆ เกี่ยวกับข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า กรมวิทยาศาสตร์บริการ (วศ.) ซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของ วศ.

“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)” หมายความว่า บุคคลที่ วศ. แต่งตั้งให้ทำหน้าที่ให้คำแนะนำ ตรวจสอบการดำเนินงาน และประสานงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล รวมทั้งเป็นจุดติดต่อกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

วศ. และบุคลากรของ วศ. จะต้องประมวลผลข้อมูลส่วนบุคคลภายใต้หลักการสำคัญ ดังต่อไปนี้

(๑) ความชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส การประมวลผลข้อมูลส่วนบุคคลต้องมีฐานทางกฎหมายรองรับตามที่กฎหมายกำหนด และ วศ. จะต้องจัดให้มีประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice) เพื่อแจ้งรายละเอียดเกี่ยวกับวัตถุประสงค์ ฐานกฎหมาย ระยะเวลาการเก็บรักษา การเปิดเผยข้อมูล และสิทธิของเจ้าของข้อมูลให้เจ้าของข้อมูลรับทราบก่อนหรือขณะเก็บรวบรวมข้อมูล

(๒) การจำกัดวัตถุประสงค์ จะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลเฉพาะตามวัตถุประสงค์ที่ได้แจ้งไว้เท่านั้น ห้ามมิให้นำข้อมูลไปใช้นอกเหนือจากวัตถุประสงค์ที่กำหนด เว้นแต่จะมีฐานทางกฎหมายอื่นรองรับหรือเพื่อประโยชน์อันชอบด้วยกฎหมาย

(๓) การจัดเก็บเท่าที่จำเป็น (Data Minimization) จะจัดเก็บข้อมูลส่วนบุคคลเฉพาะข้อมูลที่เกี่ยวข้อง พอเหมาะ และจำเป็นต่อการบรรลุวัตถุประสงค์ของภารกิจนั้น ๆ เท่านั้น ทั้งนี้ บุคลากรของ วศ. จะต้องไม่เก็บรวบรวมข้อมูลส่วนบุคคลเกินกว่าที่จำเป็น และต้องพิจารณาทบทวนความจำเป็นในการเก็บข้อมูลแต่ละประเภทเป็นระยะ

(๔) ความถูกต้องและเป็นปัจจุบัน (Accuracy) ต้องจัดให้มีมาตรการหรือช่องทางเพื่อให้ข้อมูลส่วนบุคคลมีความถูกต้อง สมบูรณ์ และเป็นปัจจุบันอยู่เสมอ รวมถึงจัดให้มีช่องทางให้เจ้าของข้อมูลสามารถขอแก้ไขข้อมูลของตนได้โดยสะดวก และ วศ. จะดำเนินการแก้ไขโดยไม่ชักช้า

(๕) การจำกัดระยะเวลาเก็บรักษา (Storage Limitation) จะเก็บรักษาข้อมูลส่วนบุคคลไว้เพียงเท่าที่จำเป็นตามระยะเวลาที่กฎหมาย กฎระเบียบที่เกี่ยวข้อง หรือระเบียบสำนักนายกรัฐมนตรีว่าด้วยงานสารบรรณกำหนด ทั้งนี้ เมื่อพ้นระยะเวลาดังกล่าวต้องดำเนินการทำลายหรือทำให้ไม่สามารถระบุตัวบุคคลได้ (Anonymization) ตามมาตรการที่กำหนด โดยมีการจัดทำและทบทวน “บันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activities: RoPA)” ให้เป็นปัจจุบันอยู่เสมอ

(๖) ความมั่นคงปลอดภัย (Integrity and Confidentiality) ต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยทั้งเชิงบริหารจัดการ เชิงเทคนิค และทางกายภาพที่เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือการเปิดเผยข้อมูลโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงต้องจัดให้มีระบบการตรวจสอบและจำกัดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลให้เฉพาะบุคลากรที่เกี่ยวข้องตามหน้าที่ความรับผิดชอบเท่านั้น และในกรณีที่มีเหตุการณ์ละเมิดข้อมูลส่วนบุคคล วศ. จะดำเนินการแจ้งเหตุต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) และเจ้าของข้อมูลตามระยะเวลาและหลักเกณฑ์ที่กฎหมายกำหนด

(๗) การคุ้มครองข้อมูลส่วนบุคคลโดยการออกแบบและโดยค่าเริ่มต้น (Privacy by Design and by Default) การพัฒนาระบบสารสนเทศหรือการออกแบบกระบวนการงาน วศ. จะคำนึงถึงการคุ้มครองข้อมูลส่วนบุคคลตั้งแต่เริ่มแรก โดยกำหนดให้มีการตั้งค่ามาตรฐานที่จำกัดการเข้าถึงและประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็น เพื่อป้องกันความเสี่ยงต่อสิทธิและเสรีภาพของเจ้าของข้อมูล รวมถึงให้มีการประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Impact Assessment: DPIA) สำหรับกิจกรรมการประมวลผลที่อาจก่อให้เกิดความเสี่ยงสูงต่อเจ้าของข้อมูล

(๘) การคุ้มครองข้อมูลส่วนบุคคลที่มีความอ่อนไหว หากมีความจำเป็นต้องประมวลผลข้อมูลส่วนบุคคลที่มีความอ่อนไหว วศ. จะดำเนินการภายใต้ฐานทางกฎหมายเท่านั้น และจะจัดให้มีมาตรการคุ้มครองที่เหมาะสม

(๙) ความรับผิดชอบของผู้ควบคุมข้อมูล (Accountability) วศ. ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่รับผิดชอบในการปฏิบัติตามหลักการข้างต้นทั้งหมด และในกรณีที่ วศ. มอบหมายหรือว่าจ้างบุคคลภายนอกให้ดำเนินการประมวลผลข้อมูลส่วนบุคคลแทน วศ. จะจัดให้มีสัญญาหรือข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement : DPA) เป็นลายลักษณ์อักษร เพื่อผูกพันให้ผู้ประมวลผลข้อมูลดังกล่าวปฏิบัติตามมาตรฐานด้านความมั่นคงปลอดภัยและหลักการคุ้มครองข้อมูลส่วนบุคคลในระดับที่ไม่ต่ำกว่าที่ วศ. กำหนด

เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลของ วศ. เป็นไปอย่างมีประสิทธิภาพและสอดคล้องกับกฎหมาย วศ. จึงกำหนดโครงสร้างบทบาทและหน้าที่ความรับผิดชอบด้านการคุ้มครองข้อมูลส่วนบุคคลไว้ ดังนี้

๕.๑ อธิบดีและรองอธิบดีในฐานะผู้บริหารระดับสูงของ วศ. มีหน้าที่และความรับผิดชอบ ดังนี้

๕.๒ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) วศ. จะแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๔๑ กำหนด โดย DPO มีหน้าที่และความรับผิดชอบ ดังนี้

๕.๓ ผู้อำนวยการสถาบัน/สำนัก/ผู้อำนวยการศูนย์/หัวหน้ากลุ่มงาน ในฐานะเจ้าของกระบวนงาน (Data Owner) มีหน้าที่และความรับผิดชอบในหน่วยงานของตน ดังนี้

๕.๔ บุคลากรทุกคน มีหน้าที่ต้องศึกษาและปฏิบัติตามนโยบาย ประกาศ และแนวปฏิบัติของ วศ. อย่างเคร่งครัด รักษาความลับของข้อมูลส่วนบุคคลที่เข้าถึงตามอำนาจหน้าที่ และรายงานเหตุละเมิดข้อมูลส่วนบุคคลต่อผู้บังคับบัญชาหรือ DPO โดยทันที

ในกรณีที่ วศ. มีความจำเป็นต้องเปิดเผย หรือส่งมอบข้อมูลส่วนบุคคลให้แก่หน่วยงานภายนอก ผู้รับจ้าง หรือผู้ให้บริการ (Outsource) วศ. จะต้องจัดให้มี “ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement: DPA)” หรือข้อตกลงการรักษาความลับ (NDA) ที่มีข้อกำหนดรัดกุมตามกฎหมาย และหากมีความจำเป็นต้องส่งข้อมูลไปยังต่างประเทศ ประเทศปลายทางหรือผู้รับข้อมูลต้องมีมาตรฐานการคุ้มครองข้อมูลที่เพียงพอ หรือเป็นการดำเนินการภายใต้ข้อยกเว้นตามที่กฎหมายกำหนด

วศ. ต้องจัดให้มีช่องทางและระเบียบขั้นตอนการรับคำร้องที่ชัดเจนและเข้าถึงได้สะดวก ผ่านทางเว็บไซต์ www.dss.go.th/pdpa หรือช่องทางอื่นที่ วศ. กำหนด เพื่ออำนวยความสะดวกแก่เจ้าของข้อมูลส่วนบุคคลในการใช้สิทธิ เช่น สิทธิขอเข้าถึง สิทธิขอให้โอนย้ายข้อมูล สิทธิขอคัดค้าน สิทธิขอให้ลบหรือทำลาย สิทธิขอให้ระงับการใช้ข้อมูล และสิทธิขอแก้ไขข้อมูล เป็นต้น ทั้งนี้ วศ. จะพิจารณาและแจ้งผลการดำเนินการแก่เจ้าของข้อมูลให้แล้วเสร็จภายในระยะเวลาที่กฎหมายกำหนด

วศ. จะจัดทำและบังคับใช้แผนเผชิญเหตุละเมิดข้อมูลส่วนบุคคล (Incident Response Plan) ที่ครอบคลุมมาตรการเชิงเทคนิค และเชิงบริหารจัดการ เพื่อรับมือ สกัดกั้น และแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่อหน่วยงานกำกับดูแล ภายใน ๗๒ ชั่วโมงนับแต่ทราบเหตุ และในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะส่งผลกระทบต่อสิทธิ เสรีภาพ หรือผลประโยชน์อันชอบด้วยกฎหมายของเจ้าของข้อมูล เช่น การรั่วไหลของข้อมูลอ่อนไหวหรือข้อมูลที่อาจก่อให้เกิดความเสียหายทางการเงินหรือชื่อเสียง วศ. จะแจ้งให้เจ้าของข้อมูลทราบโดยไม่ชักช้า พร้อมระบุลักษณะของเหตุการณ์ ผลกระทบที่อาจเกิดขึ้น และแนวทางการเยียวยาที่ วศ. ดำเนินการ

บุคลากรผู้ใดฝ่าฝืนหรือไม่ปฏิบัติตามนโยบายฉบับนี้ ถือเป็นการกระทำผิดวินัยและต้องได้รับการพิจารณาโทษตามพระราชบัญญัติระเบียบข้าราชการพลเรือน พ.ศ. ๒๕๕๑ ตามความร้ายแรงแห่งการกระทำ และในกรณีที่การกระทำดังกล่าวก่อให้เกิดความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล บุคลากรผู้นั้นอาจต้องรับผิดทางแพ่ง และถูกไล่เบี้ยจาก วศ. ตามพระราชบัญญัติความรับผิดทางละเมิดของเจ้าหน้าที่ พ.ศ. ๒๕๓๙ รวมทั้งอาจต้องรับโทษทางอาญาเป็นการส่วนตัวตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ แล้วแต่กรณี

๙.๑ ให้อธิบดีกรมวิทยาศาสตร์บริการ หรือคณะกรรมการ หรือคณะทำงานที่ได้รับมอบหมาย มีอำนาจในการพิจารณาออกแนวปฏิบัติ (Guidelines) คู่มือการปฏิบัติงาน หรือแบบฟอร์มต่าง ๆ เพื่อรองรับและบังคับให้เป็นไปตามนโยบายฉบับนี้

๙.๒ วศ. จะดำเนินการทบทวนและปรับปรุงนโยบายฉบับนี้อย่างน้อยปีละ ๑ ครั้ง หรือเมื่อมีการเปลี่ยนแปลงทางกฎหมาย หรือบริบทการดำเนินงานที่มีนัยสำคัญ เพื่อให้มีความทันสมัยและเหมาะสมกับสถานการณ์อยู่เสมอ