ประกาศกรมสรรพากร
เรื่อง การคุ้มครองข้อมูลส่วนบุคคล

บทนำ

โดยที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 กำหนดให้การดำเนินการของหน่วยงานของรัฐที่มีหน้าที่ในการรักษาความมั่นคงของรัฐ ซึ่งรวมถึงความมั่นคงทางการคลังของรัฐ ไม่ต้องอยู่ภายใต้บังคับของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 การดำเนินการของกรมสรรพากรที่เกี่ยวข้องกับข้อมูลส่วนบุคคลเป็นไปเพื่อวัตถุประสงค์ในการบริหารจัดเก็บภาษีอากร อันเป็นการรักษาความมั่นคงทางการคลังของรัฐ และการบริหารจัดการข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการบริหารจัดเก็บภาษีอากรให้มีความเหมาะสมและมีมาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
กรมสรรพากรจึงอาศัยอำนาจตามมาตรา 5 แห่งประมวลรัษฎากร กำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลไว้ดังต่อไปนี้

ขอบเขต

การเสียภาษีอากรถือเป็นภาระสาธารณะของประชาชนซึ่งมีหน้าที่เสียภาษีอากรตามที่กฎหมายบัญญัติ กรมสรรพากรในฐานะที่เป็นหน่วยงานของรัฐซึ่งมีอำนาจหน้าที่ในการจัดเก็บภาษีอากรตามกฎหมาย ว่าด้วยภาษีอากร จึงมีอำนาจเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการเสียภาษีอากรของประชาชน อันเป็นไปเพื่อประโยชน์ในการจัดเก็บภาษีอากรของรัฐ ซึ่งเป็นการดำเนินการเพื่อประโยชน์สาธารณะและรักษาความมั่นคงทางการคลังของรัฐ

คำนิยาม

“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
“ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล” หมายความว่า การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกัน การสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผย ข้อมูลส่วนบุคคลโดยมิชอบ

นโยบายการคุ้มครองข้อมูลส่วนบุคคล

1. การเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล

กรมสรรพากรเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เพื่อนำไปใช้ประโยชน์ต่อการดำเนินงานตามภารกิจของกรมสรรพากร ในการบริหารจัดเก็บภาษีอากร การบริหารงานราชการ การให้บริการแก่ประชาชน การติดต่อกับประชาชน การสื่อสารประชาสัมพันธ์ และการสำรวจความคิดเห็นเพื่อพัฒนาและปรับปรุงการให้บริการของกรมสรรพากร ซึ่งเป็นไปตามประมวลรัษฎากรและกฎหมายอื่นที่เกี่ยวข้อง โดยการจัดเก็บรวบรวมข้อมูลส่วนบุคคลของกรมสรรพากรจะใช้วิธีการที่ชอบด้วยกฎหมาย และจัดเก็บข้อมูลเท่าที่จำเป็น โดยมีระยะเวลาในการจัดเก็บที่เหมาะสม ตามภารกิจของกรมสรรพากร เพื่อประโยชน์สาธารณะและรักษาความมั่นคงทางการคลังของรัฐ

2. ข้อจำกัดในการนำข้อมูลส่วนบุคคลไปใช้

กรมสรรพากรจะไม่เปิดเผยข้อมูลส่วนบุคคลที่มีการจัดเก็บและรวบรวมไว้ให้กับผู้ที่ไม่เกี่ยวข้อง เว้นแต่

        2.1 ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

        2.2 การเปิดเผยข้อมูลนั้นเป็นไปตามคำพิพากษา คำสั่งศาล หรือที่กฎหมายให้อำนาจหรือกำหนดไว้

        2.3 เป็นไปเพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคลและการขอความยินยอมไม่สามารถดำเนินการได้ในเวลานั้น

        2.4 สำหรับการว่าจ้างผู้ให้บริการจากภายนอกเพื่อพัฒนาระบบงานต่างๆ โดยกรมสรรพากร กำหนดให้ผู้ให้บริการจากภายนอกต้องปฏิบัติตามนโยบายและแนวปฏิบัติธรรมาภิบาลข้อมูลของกรมสรรพากร นโยบายและแนวปฏิบัติในการรักษาความปลอดภัยด้านสารสนเทศของกรมสรรพากร รวมถึงแต่งตั้งผู้ให้บริการจากภายนอกเป็นเจ้าพนักงานประเมินตามประมวลรัษฎากร (มาตรา 16) โดยผู้ได้รับการแต่งตั้งได้รู้เรื่องกิจการของผู้เสียภาษีอากรหรือของผู้อื่นที่เกี่ยวข้อง ห้ามมิให้นำออกแจ้งแก่ผู้ใด หรือยังให้ทราบกันไปโดยวิธีการใด เว้นแต่จะมีอำนาจที่จะทำได้โดยชอบด้วยกฎหมาย (มาตรา 10) ซึ่งมีบทลงโทษเมื่อฝ่าฝืน (มาตรา 13)

        2.5 การเปิดเผยนั้นเป็นไปเพื่อประโยชน์สาธารณะ หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล

3. การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

กรมสรรพากรมีมาตรการในการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลอย่างเป็นระบบ โดยมีมาตรฐานเพื่อรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล เพื่อป้องกันมิให้ข้อมูลสูญหาย ถูกนำไปใช้อย่างผิดวัตถุประสงค์ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต รวมถึงการสร้างจิตสำนึกในการรับผิดชอบด้านการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
ทั้งนี้ กรมสรรพากรมีมาตรการต่าง ๆ เพื่อคุ้มครองข้อมูลส่วนบุคคลให้มีความปลอดภัยตามมาตรฐาน และสอดคล้องกับกฎหมายที่เกี่ยวข้อง ดังนี้

        3.1 การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคล โดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย

        3.2 การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล

        3.3 การบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว

        3.4 การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล

        3.5 การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

        3.6 การจัดให้มีการตรวจสอบและประเมินความเสี่ยงด้านความมั่นคงปลอดภัย เพื่อดำเนินการสอบทานและประเมินประสิทธิภาพของระบบรักษาความมั่นคงปลอดภัยอย่างสม่ำเสมอ

        3.7 มีศูนย์ปฏิบัติการความมั่นคงปลอดภัยและเฝ้าระวังความมั่นคงปลอดภัยสารสนเทศที่ได้รับมาตรฐานสากลที่ทำหน้าที่ในการเฝ้าระวังและดำเนินการแก้ไขปัญหาด้านความมั่นคงปลอดภัย เพื่อให้สามารถรักษาความลับ (confidentiality) ความครบถ้วนถูกต้อง (integrity) และความพร้อมใช้งาน (availability)

4.การทบทวนนโยบายการคุ้มครองข้อมูลส่วนบุคคล

กรมสรรพากรจะทบทวนนโยบายการคุ้มครองข้อมูลส่วนบุคคลให้เป็นปัจจุบันอย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่จำเป็นต้องได้รับการปรับปรุง เพื่อให้นโยบายดังกล่าว มีความเหมาะสมกับสถานการณ์ที่มีการเปลี่ยนแปลง โดยผ่านการพิจารณาของคณะทำงานกำกับดูแลข้อมูล และคณะกรรมการธรรมาภิบาลข้อมูล หรือคณะทำงานตามที่กรมสรรพากรกำหนด

5.ช่องทางในการติดต่อกรมสรรพากร