นโยบายธรรมาภิบาลข้อมูลของ สสวท. (Data Governance Policy) พ.ศ. 2568
ประกาศสถาบันส่งเสริมการสอนวิทยาศาสตร์และเทคโนโลยี
เรื่อง นโยบายธรรมาภิบาลข้อมูลของสถาบันส่งเสริมการสอนวิทยาศาสตร์และเทคโนโลยี
———————————–
ด้วยพระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. ๒๕๖๒ กำหนดให้หน่วยงานของรัฐต้องจัดให้มีการบริการงานภาครัฐ และการจัดทำบริการสาธารณะ ให้เป็นไปด้วยความสะดวก รวดเร็ว มีประสิทธิภาพตอบสนองต่อการให้บริการและการอำนวยความสะดวกแก่ประชาชน รวมถึงกำหนดให้มีการบริหารจัดการ บูรณาการข้อมูลภาครัฐ และการทำงานให้มีความสอดคล้องและเชื่อมโยงเข้าด้วยกันอย่างมั่นคงปลอดภัยและมีธรรมาภิบาล ประกอบกับคณะกรรมการพัฒนารัฐบาลดิจิทัลได้ออกประกาศ เรื่อง ธรรมาภิบาลข้อมูลภาครัฐ ลงวันที่ ๑๒ มีนาคม พ.ศ. ๒๕๖๓ กำหนดให้หน่วยงานมีธรรมาภิบาลข้อมูลภาครัฐ เพื่อเป็นหลักการและแนวทางในการดำเนินการในการกำกับดูแลข้อมูลภาครัฐในระดับหน่วยงานให้สอดคล้องกับธรรมาภิบาลข้อมูลภาครัฐ เพื่อให้ข้อมูลมีการจัดเก็บอย่างเป็นระบบ มีคุณภาพ ถูกต้อง ครบถ้วน สนับสนุนการให้บริการแก่ประชาชนอย่างสะดวก รวดเร็ว และมีประสิทธิภาพ สถาบันส่งเสริมการสอนวิทยาศาสตร์และเทคโนโลยี จึงออกประกาศไว้ดังนี้
ขอบเขต
๑. การจัดทำนโยบายการดำเนินการด้านธรรมาภิบาลข้อมูลมีขอบเขตครอบคลุมการบริหารจัดการข้อมูลให้เป็นไปอย่างเหมาะสม มีประสิทธิภาพ ข้อมูลมีคุณภาพ มีความมั่นคงปลอดภัย มีความเชื่อมโยง และสามารถดำเนินการได้อย่างต่อเนื่อง
๒. นโยบายธรรมาภิบาลข้อมูลฉบับนี้ มีผลบังคับใช้กับผู้ดูแลข้อมูล ผู้ใช้ข้อมูล และพนักงานหรือเจ้าหน้าที่ที่เกี่ยวข้องกับข้อมูลของสถาบันส่งเสริมการสอนวิทยาศาสตร์และเทคโนโลยี โดยต้องเผยแพร่ให้บุคลากรทุกระดับในสถาบันส่งเสริมการสอนวิทยาศาสตร์และเทคโนโลยีได้รับทราบและถือปฏิบัติอย่างเคร่งครัด
๑. คำนิยาม
๑.๑ “สสวท.” หมายความว่า สถาบันส่งเสริมการสอนวิทยาศาสตร์และเทคโนโลยี
๑.๒ “คณะกรรมการ” หมายความว่า คณะกรรมการธรรมาภิบาลข้อมูลของ สสวท.
๑.๓ “เจ้าหน้าที่” หมายความว่า พนักงาน ลูกจ้าง หรือบุคลากรอื่นใดที่ สสวท. มอบหมาย
๑.๔ “บริกรข้อมูล” หมายความว่า เจ้าหน้าที่ซึ่งได้รับการแต่งตั้งจากคณะกรรมการให้ปฏิบัติหน้าที่ติดตาม ตรวจสอบ และประเมินผลการปฏิบัติตามธรรมาภิบาลข้อมูลของ สสวท. รวมถึงจัดทำรายงานผลการดำเนินงานด้านธรรมาภิบาลข้อมูล
๑.๕ “ผู้ควบคุมข้อมูล”หมายความว่า เจ้าหน้าที่ที่ได้รับมอบหมายให้มีสิทธิในการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล
๑.๖ “เจ้าของข้อมูล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งเป็นเจ้าของข้อมูล
๑.๗ “ข้อมูล” หมายความว่า สิ่งที่สื่อความหมายให้รู้เรื่องราวข้อเท็จจริง หรือเรื่องอื่นใด ไม่ว่าการสื่อความหมายนั้นจะทำได้โดยสภาพของสิ่งนั้นเองหรือโดยผ่านวิธีการใด ๆ และไม่ว่าจะได้จัดทำไว้ในรูปของเอกสาร แฟ้ม รายงาน หนังสือ แผนผัง แผนที่ ภาพวาด ภาพถ่าย ภาพถ่ายดาวเทียม ฟิล์มการบันทึกภาพหรือเสียงการบันทึกโดยเครื่องคอมพิวเตอร์ เครื่องมือตรวจวัด การสำรวจระยะไกล หรือวิธีอื่นใดที่ทำให้สิ่งที่บันทึกไว้ปรากฏได้
๑.๘ “ชุดข้อมูล” หมายความว่า การนำข้อมูลจากหลายแหล่งมารวบรวมเพื่อจัดเป็นชุดให้ตรงตามลักษณะโครงสร้างของข้อมูล หรือจากการใช้ประโยชน์ของข้อมูล
๑.๙ “บัญชีข้อมูล” หมายความว่า เอกสารแสดงบรรดารายการของชุดข้อมูลที่จำแนกแยกแยะโดยการจัดหมวดหมู่ข้อมูลที่อยู่ในความครอบครอง ควบคุม หรือบริหารจัดการของ สสวท.
๑.๑๐ “การบูรณาการข้อมูล” หมายความว่า การดำเนินการจัดทำและจัดเก็บข้อมูลตั้งแต่สองแหล่งขึ้นไปด้วยวิธีการเชื่อมโยงหรือแลกเปลี่ยน โดยขึ้นกับลักษณะการใช้งานเป็นสำคัญ เพื่อลดความซ้ำซ้อน และใช้ประโยชน์ข้อมูลร่วมกัน ตามความพร้อมของเจ้าของข้อมูลและภารกิจขององค์กร
๑.๑๑ “การบริหารจัดการข้อมูล” หมายความว่า ขั้นตอนการสร้างข้อมูล การรวบรวมข้อมูล การเก็บ การจัดเก็บ การจัดเก็บถาวร การทำลาย การประมวลผล การใช้ การแลกเปลี่ยน การเชื่อมโยง และการเปิดเผยข้อมูลต่อสาธารณะ
๑.๑๒ “ธรรมาภิบาลข้อมูลภาครัฐ” หมายความว่า การกำหนดสิทธิ หน้าที่ และความรับผิดชอบของผู้มีส่วนได้เสียในการบริหารจัดการข้อมูลทุกขั้นตอน เพื่อให้การได้มาและการนำไปใช้ข้อมูลของหน่วยงานรัฐ ไปใช้อย่างถูกต้อง ข้อมูลมีความครบถ้วน เป็นปัจจุบัน รักษาความเป็นส่วนบุคคลและสามารถเชื่อมโยงกันได้อย่างมีประสิทธิภาพและมั่นคงปลอดภัย
๒. ข้อกำหนดทั่วไป
๒.๑ การบริหารจัดการข้อมูลของ สสวท. จะต้องเป็นไปตามบทบัญญัติของกฎหมายและระเบียบที่เกี่ยวข้อง เช่น พระราชบัญญัติการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม พ.ศ. ๒๕๖๐ พระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. ๒๕๖๒ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. ๒๕๔๐ และที่แก้ไขเพิ่มเติม พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ พระราชบัญญัติข่าวกรองแห่งชาติ พ.ศ. ๒๕๖๒ พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ และที่แก้ไขเพิ่มเติม พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. ๒๕๔๔ และที่แก้ไขเพิ่มเติม ระเบียบว่าด้วยการรักษาความลับของทางราชการ พ.ศ. ๒๕๔๔ และที่แก้ไขเพิ่มเติม เป็นตัน
๒.๒ การบริหารจัดการข้อมูลของ สสวท. ต้องเป็นการดำเนินการโดยคณะทำงานบริกรข้อมูลและอยู่ภายใต้สิทธิหน้าที่ และความรับผิดชอบที่กำหนดไว้ในประกาศนี้
๒.๓ สสวท. เป็นเจ้าของข้อมูลที่เกิดจากการดำเนินงานตามภารกิจโครงสร้างและหน้าที่ของ สสวท.
๒.๔ ข้อมูลของ สสวท. สามารถจำแนกหมวดหมู่ของข้อมูล ดังนี้
๒.๔.๑ ข้อมูลสาธารณะ เช่น ข้อมูลที่สามารถเปิดเผยได้ สามารถนำไปใช้ได้อย่างอิสระไม่ว่าจะเป็นข้อมูลข่าวสาร ข้อมูลส่วนบุคคล ข้อมูลอิเล็กทรอนิกส์ เป็นต้น
๒.๔.๒ ข้อมูลส่วนบุคคลทั่วไป เช่น ข้อมูลแสดงตัวตนของเจ้าของข้อมูล และข้อมูลการติดต่อกลับ
๒.๔.๓ ข้อมูลส่วนบุคคลที่เป็นข้อมูลอ่อนไหว เช่น ข้อมูลส่วนที่เป็นเรื่องส่วนตัว โดยแท้ของเจ้าของข้อมูล ได้แก่ บัญชีธนาคาร รายได้ การเสียภาษี ข้อมูลชีวภาพ เช่น ลายนิ้วมือ รูปภาพ และใบหน้า
๒.๔.๔ ข้อมูลที่ใช้ภายในหน่วยงาน เช่น ข้อมูลที่เกิดจากการดำเนินงานตามภารกิจโครงสร้างและหน้าที่ของหน่วยงาน
๒.๔.๕ ข้อมูลความลับทางราชการ เช่น ข้อมูลข่าวสารตามมาตรา ๑๔ หรือมาตรา ๑๕ แห่งพระราชบัญญัติข้อมูลข่าวสารของทางราชการ พ.ศ. ๒๕๔๐ ที่มีคำสั่งไม่ให้เปิดเผยและอยู่ในความครอบครองหรือควบคุมดูแลของหน่วยงานของรัฐ ไม่ว่าจะเป็นเรื่องที่เกี่ยวกับการดำเนินงานของรัฐหรือที่เกี่ยวกับเอกชน ซึ่งมีการกำหนดให้มีชั้นความลับเป็น ชั้นลับ ชั้นลับมาก หรือชั้นลับที่สุด ตามระเบียบว่าด้วยการรักษาความลับของราชการ พ.ศ. ๒๕๔๔
๒.๔.๖ ข้อมูลความมั่นคง เช่น ข้อมูลเกี่ยวกับความมั่นคงของรัฐ ที่ทำให้เกิดความสงบเรียบร้อย การมีเสถียรภาพความเป็นปึกแผ่น ปลอดภัยจากภัยคุกคาม เป็นต้น
๓. การสร้างและการรวบรวมข้อมูล
๓.๑ การสร้างและการรวบรวมข้อมูล ต้องมีการรักษาความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของข้อมูล และปฏิบัติตามแนวปฏิบัติในการปกป้องข้อมูลที่ระบุตัวบุคคล และแนวปฏิบัติในด้านความมั่นคงปลอดภัยและความเป็นส่วนบุคลลของข้อมูลของหน่วยงาน โดยให้เป็นไปตามบทบัญญัติของกฎหมาย
๓.๒ ผู้ควบคุมข้อมูลต้องจัดชั้นความลับของข้อมูลที่จะเก็บรวมรวม ใช้ และ/หรือเปิดเผยโดยการจำแนกเป็นไปตามข้อ ๒.๔
๓.๓ ผู้ควบคุมข้อมูลต้องจัดให้มีคำอธิบายชุดข้อมูลดิจิทัลของภาครัฐและบัญชีข้อมูลจากข้อมูลต่าง ๆ ที่รวบรวมให้มีความถูกต้อง ครบถ้วนและเป็นปัจจุบัน
๔. การเก็บ การจัดเก็บ การจัดเก็บถาวร และการทำลายข้อมูล
๔.๑ การเก็บข้อมูล สสวท. จะใช้วิธีการที่ชอบด้วยกฎหมายในการเก็บรวบรวมใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล โดย สสวท. จะเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัดและเท่าที่จำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมและการใช้งาน
๔.๒ การจัดเก็บ การจัดเก็บถาวรข้อมูล ต้องมีการรักษาความมั่นคงปลอดภัย ความเป็นส่วนบุคคลของข้อมูล และรักษาคุณภาพของข้อมูล ตามแนวปฏิบัติในการปกป้องข้อมูล และแนวปฏิบัติในด้านความมั่นคงปลอดภัยและชั้นความลับของข้อมูล โดยให้เป็นไปตามบทบัญญัติของกฎหมาย โดยคณะกรรมการมอบหมายให้เป็นหน้าที่ของผู้ควบคุมข้อมูล
๔.๓ การจัดเก็บข้อมูล ต้องจัดเก็บลงในสื่อบันทึกข้อมูลและมีโครงสร้างข้อมูลตามมาตรฐานสถาปัตยกรรมข้อมูล ข้อมูลหลักและข้อมูลอ้างอิง
๔.๔ การจัดเก็บถาวร ต้องเป็นการดำเนินการกับข้อมูลที่ไม่มีการลบ ปรับปรุง หรือแก้ไขอีกต่อไปและสามารถนำกลับมาใช้งานได้ โดยให้เป็นไปตามบทบัญญัติของกฎหมาย
๔.๕ การจัดเก็บข้อมูลชั้นความลับที่เป็นข้อมูลความลับทางราชการ และข้อมูลความมั่นคงต้องมีการเข้ารหัสข้อมูล
๔.๖ การสำรองข้อมูล ต้องดำเนินการให้มีความถูกต้อง ครบถ้วน มั่นคงปลอดภัยและเป็นปัจจุบัน โดยต้องมีมาตรฐานการสำรองข้อมูลที่ทำให้มั่นใจได้ว่าข้อมูลจะไม่สูญหาย
๔.๗ การทำลายข้อมูล ต้องเป็นการดำเนินการกับข้อมูลที่ไม่ต้องการนำกลับมาใช้งานได้อีกต่อไป โดยให้เป็นไปตามบทบัญญัติของกฎหมาย
๔.๘ ผู้ควบคุมข้อมูลจะต้องเป็นผู้รับผิดชอบหากมีการเก็บ การจัดเก็บ การจัดเก็บถาวรและการทำลายข้อมูลที่ไม่เป็นไปตามบทบัญญัติของกฎหมาย
๕. การประมวลผลข้อมูลและการใช้ข้อมูล
๕.๑ สิทธิการประมวลผลข้อมูลและการใช้งานของเจ้าหน้าที่ ให้เป็นตามวัตถุประสงค์ของการใช้งานและคำนึงถึงชั้นความลับของข้อมูล โดยให้เป็นไปตามบทบัญญัติของกฎหมาย หรือที่ สสวท. กำหนด
๕.๒ การประมวลผลข้อมูลและการใช้ข้อมูล ต้องมีการรักษาความมั่นคงปลอดภัย และความเป็นส่วนบุคคลของข้อมูล ตามแนวปฏิบัติในการปกป้องข้อมูลที่ระบุตัวบุคคล และแนวปฏิบัติในด้านความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของข้อมูล โดยให้เป็นไปตามบทบัญญัติของกฎหมาย
๕.๓ การประมวลผลและการใช้ข้อมูล ต้องมีความถูกต้อง (Accuracy) ความครบถ้วน (Completeness) ความต้องกัน (Consistency) ความเป็นปัจจุบัน (Timeliness) และมีคุณภาพ (Quality)
๕.๔ การเรียกใช้งานข้อมูลชั้นความลับที่เป็นข้อมูลความลับทางราชการ และข้อมูลความมั่นคงต้องกำหนดให้มีรหัสผ่านจากข้อมูลที่จัดเก็บในเครื่องคอมพิวเตอร์แม่ข่าย (Server) และกำหนดให้มีการเข้ารหัสของข้อมูล กรณีจัดเก็บในเครื่องคอมพิวเตอร์ส่วนบุคคล
๕.๕ ผู้ควบคุมข้อมูล ต้องจัดให้มีการบันทึกประวัติ การประมวลผล และการใช้ข้อมูล (Log File) เพื่อให้สามารถตรวจสอบย้อนกลับได้ โดยให้เป็นไปตามบทบัญญัติของกฎหมาย
๕.๖ เจ้าหน้าที่จะต้องเป็นผู้รับผิดชอบ หากมีการประมวลผลข้อมูลและการใช้ข้อมูลที่ไม่เป็นไปตามบทบัญญัติของกฎหมาย
๖. การเปิดเผยข้อมูล
๖.๑ การเปิดเผยข้อมูลต่าง ๆ จะต้องเป็นไปตามบทบัญญัติของกฎหมาย
๖.๒ หน่วยงานจะเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลในกรณีใดกรณีหนึ่ง ดังต่อไปนี้
๖.๒.๑ ได้รับความยินยอมจากตัวแทนหน่วยงานหรือเจ้าของข้อมูล
๖.๒.๒ เป็นความจำเป็นเพื่อการปฏิบัติงานของราชการหรือตามคำขอของเจ้าของข้อมูลรวมทั้งเปิดเผย เพื่อให้การทำธุรกรรมหรือกิจกรรมใด ๆ ของเจ้าของข้อมูลสามารถดำเนินการได้ โดยบรรลุตามวัตถุประสงค์ของเจ้าของข้อมูล
๖.๒.๓ เป็นความจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย
๖.๒.๔ เป็นการปฏิบัติงานตามกฎหมายหรือกฎเกณฑ์ของทางราชการหรือคำสั่งของหน่วยงานที่มีอำนาจกำกับดูแล หรือหน่วยงานทางการที่มีอำนาจตามกฎหมาย
๖.๓ การเผยแพร่ข้อมูลหรือการเปิดเผยข้อมูลในรูปแบบดิจิทัล ต้องปฏิบัติตามแนวทางการเปิดเผยข้อมูลเปิดภาครัฐในรูปแบบดิจิทัลต่อสาธารณะของสำนักงานพัฒนารัฐบาลดิจิทัล
๖.๔ ให้มีการระบุช่องทางการเปิดเผยข้อมูลที่เข้าถึงและนำไปใช้ได้ง่าย
๖.๕ ให้มีการเปิดเผยเมทาดาตา ควบคู่ไปกับข้อมูลที่มีการเปิดเผย
๗. การแลกเปลี่ยนและการเชื่อมโยงข้อมูล
๗.๑ การแลกเปลี่ยนและการเชื่อมโยงข้อมูลของหน่วยงานกับหน่วยงานอื่น ๆ จะต้องได้รับอนุญาตจากหน่วยงาน และต้องมีความร่วมมือ/แนวทางในด้านการบริหารจัดการข้อมูลกับหน่วยงานนั้น ๆ อย่างชัดเจน
๗.๒ การแลกเปลี่ยนและการเชื่อมโยงข้อมูล ต้องมีการรักษาความมั่นคงปลอดภัย และความเป็นส่วนบุคคลของข้อมูล ตามแนวปฏิบัติในการปกป้องข้อมูลที่ระบุตัวบุคคล และแนวปฏิบัติในด้านความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของข้อมูล โดยให้เป็นไปตามบทบัญญัติของกฎหมาย
๗.๓ เทคโนโลยีและวิธีการทางเทคนิคที่เกี่ยวข้องกับแลกเปลี่ยนและการเชื่อมโยงข้อมูลให้เป็นไปตามมาตรฐานสากลด้านการเชื่อมโยงและแลกเปลี่ยนข้อมูล
๘. การตรวจสอบและการวัดผลการบริหารจัดการข้อมูล
๘.๑ คณะกรรมการจะต้องจัดให้มีคณะทำงานบริกรข้อมูล เพื่อทำหน้าที่ตรวจสอบ ควบคุม การปฏิบัติงานด้านข้อมูลให้สอดคล้องกับประกาศนี้ โดยจะต้องนำเสนอผลการตรวจสอบต่อคณะกรรมการอย่างน้อยปีละหนึ่งครั้ง
๘.๒ คณะกรรมการต้องรายงานผลการตรวจสอบและวัดผลต่อผู้อำนวยการสถาบันส่งเสริมการสอนวิทยาศาสตร์และเทคโนโลยี
๘.๓ กรณีที่มีผู้ใดพบเห็นการบริหารจัดการข้อมูลที่ไม่ดำเนินการเป็นไปตามประกาศนี้ ให้แจ้งมายังคณะกรรมการ เพื่อพิจารณาต่อไป
๙. การทบทวน ปรับปรุง หรือแก้ไข ประกาศธรรมาภิบาลข้อมูลของ สสวท.
สสวท. อาจจะพิจารณาทบทวนปรับปรุงหรือแก้ไข ประกาศฉบับนี้ได้ ไม่ว่าบางส่วนหรือทั้งหมด เพื่อให้สอดคล้องกับแนวทางการดำเนินงานของหน่วยงาน และกฎหมายต่าง ๆ ที่เกี่ยวข้อง
ทั้งนี้ ตั้งแต่บัดนี้เป็นต้นไป
ประกาศ ณ วันที่ ๓๐ เมษายน พ.ศ. ๒๕๖๘
(รองศาสตราจารย์ธีระเดช เจียรสุขสกุล)
ผู้อำนวยการสถาบันส่งเสริมการสอนวิทยาศาสตร์และเทคโนโลยี