ประกาศกรมสรรพากร
เรื่อง นโยบายธรรมาภิบาลข้อมูลของกรมสรรพากร พ.ศ. 2567
โดยที่รัฐธรรมนูญแห่งราชอาณาจักรไทยบัญญัติให้มีการปฏิรูปประเทศด้านการบริหารราชการแผ่นดินโดยให้นำเทคโนโลยีที่เหมาะสมมาประยุกต์ใช้ในการบริหารราชการแผ่นดินและการจัดทำบริการสาธารณะ และให้มีการบูรณาการฐานข้อมูลของหน่วยงานของรัฐ เพื่ออำนวยความสะดวกแก่ประชาชนและยกระดับการบริหารงานและการให้บริการภาครัฐให้อยู่ในระบบดิจิทัล กรมสรรพากรในฐานะหน่วยงานของรัฐที่มีอำนาจหน้าที่ในการจัดเก็บภาษีอากรและเกี่ยวข้องกับข้อมูลของผู้มีหน้าที่เสียภาษี ต้องจัดให้มีระบบบริหารจัดการและกระบวนการควบคุมข้อมูลที่เหมาะสม โดยมีมาตรการควบคุมการเข้าถึงซึ่งข้อมูล การพัฒนาคุณภาพของข้อมูล รวมถึงการกำหนดมาตรการและหลักประกันในการคุ้มครองข้อมูลที่อยู่ในความครอบครองให้มีความมั่นคงปลอดภัยและมิให้ข้อมูลส่วนบุคคลถูกละเมิด ดังนั้น เพื่อให้การบริหารจัดการข้อมูลที่อยู่ในความครอบครองของกรมสรรพากรสอดคล้องกับธรรมาภิบาลข้อมูลภาครัฐ ตามมาตรา 8 แห่งพระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 จึงเห็นสมควรกำหนดนโยบายธรรมาภิบาลข้อมูลของกรมสรรพากร เพื่อให้การบริหารจัดการข้อมูลมีประสิทธิภาพ มีความถูกต้องครบถ้วน สามารถตรวจสอบความถูกต้อง และมีมาตรการรักษาความปลอดภัยของข้อมูลที่เหมาะสม อธิบดีกรมสรรพากรจึงได้ออกประกาศเกี่ยวกับธรรมาภิบาลข้อมูลของกรมสรรพากรไว้ดังต่อไปนี้
วัตถุประสงค์
กรมสรรพากรได้จัดทำนโยบายธรรมาภิบาลข้อมูลของกรมสรรพากร พ.ศ. 2567 ขึ้น เพื่อให้การบริหารจัดการข้อมูลของกรมสรรพากร ตั้งแต่การเก็บรวบรวม การใช้ การประมวลผล รวมถึงการเปิดเผยข้อมูลเป็นไปอย่างเหมาะสม มีประสิทธิภาพ มีคุณภาพ มีความมั่นคงปลอดภัย สามารถป้องกันภัยคุกคามที่อาจจะเกิดขึ้น โดยมีวัตถุประสงค์ ดังนี้
1. เพื่อให้กรมสรรพากรมีนโยบายธรรมาภิบาลข้อมูล สำหรับการบริหารจัดการข้อมูลที่มีความสอดคล้องกับพระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พระราชบัญญัติข้อมูลข่าวสาร
ของราชการ พ.ศ. 2540 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กรอบธรรมาภิบาลข้อมูลภาครัฐ (Data Governance Framework for Government) ของสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.) รวมถึงกฎหมายและระเบียบอื่นที่เกี่ยวข้อง
2. เพื่อกำหนดขอบเขตของธรรมาภิบาลข้อมูล การบริหารจัดการข้อมูลของกรมสรรพากร ตั้งแต่
การเก็บรวบรวม การใช้ การประมวลผล รวมถึงการเปิดเผยข้อมูลของกรมสรรพากร
3. เพื่อใช้เป็นแนวทางในการพัฒนาและปรับปรุงแนวปฏิบัติว่าด้วยธรรมาภิบาลข้อมูล และการบริหารจัดการข้อมูลให้เป็นไปอย่างเหมาะสม มีประสิทธิภาพ มีการควบคุมคุณภาพของข้อมูล มีความมั่นคงปลอดภัย สามารถป้องกันภัยคุกคามที่อาจเกิดขึ้นจากการบริหารจัดการข้อมูลของกรมสรรพากร ตามหลักมาตรฐานสากล
ขอบเขต
นโยบายธรรมาภิบาลข้อมูลฉบับนี้มีผลบังคับใช้กับบุคลากรภายในและบุคคลภายนอกกรมสรรพากร
ที่เกี่ยวข้องกับการบริหารจัดการข้อมูลของกรมสรรพากร ตั้งแต่การเก็บรวบรวม การใช้ การประมวลผล รวมถึงการเปิดเผยข้อมูล เช่น เจ้าหน้าที่กรมสรรพากร คณะกรรมการ ผู้รับจ้างตามสัญญา รวมถึง นิสิตนักศึกษาฝึกงาน ผู้ที่เกี่ยวข้องดังกล่าวต้องปฏิบัติตามนโยบายธรรมาภิบาลข้อมูล และแนวปฏิบัติธรรมาภิบาลข้อมูลของกรมสรรพากรอย่างเคร่งครัด ผู้ฝ่าฝืนนโยบายธรรมาภิบาลข้อมูล และแนวปฏิบัติธรรมาภิบาลข้อมูลจะต้องได้รับการดำเนินการตามระเบียบและกฎหมายที่เกี่ยวข้อง
ข้อ 1 โครงสร้างธรรมาภิบาลข้อมูล (Data Governance Structure)
บทบาท | ผู้รับผิดชอบ | ความรับผิดชอบ |
ผู้ดูแลข้อมูลทางเทคนิค (Data Custodian) | กรมสรรพากร | ผู้ดูแลข้อมูลทางเทคนิค ทำหน้าที่กำหนดนโยบายใน |
ผู้บริหารข้อมูลระดับสูง (Chief Data Officer) | อธิบดีกรมสรรพากร (CEO) หรือ ผู้บริหารเทคโนโลยีสารสนเทศระดับสูง (CIO)
| ผู้บริหารข้อมูลระดับสูง ทำหน้าที่รับผิดชอบการบริหารจัดการธรรมาภิบาลข้อมูล และสารสนเทศทั้งหมดของกรมสรรพากร |
คณะกรรมการ | คณะกรรมการตามคำสั่งกรมสรรพากร | คณะกรรมการธรรมาภิบาลข้อมูล ทำหน้าที่ให้คำปรึกษา เสนอแนะนโยบายและแนวทางการบริหารจัดการข้อมูลเพื่อประโยชน์ในการจัดเก็บภาษีอย่างมีประสิทธิภาพ
|
ผู้บริหารข้อมูล (Data Executive) | ผู้อำนวยการ | ผู้บริหารข้อมูล ทำหน้าที่รับผิดชอบการบริหารจัดการข้อมูล ตั้งแต่การเก็บรวบรวม การใช้ การประมวลผล รวมถึงการเปิดเผยข้อมูลที่ได้รับจากทั้งหน่วยงานภายในและหน่วยงานภายนอก |
เจ้าของข้อมูล (Data Owner) | ผู้อำนวยการสำนัก/กอง/กลุ่ม/ศูนย์ ที่เป็นเจ้าของข้อมูล | เจ้าของข้อมูล คือ ผู้เป็นหัวหน้าทีมที่เป็นเจ้าของข้อมูล |
ทีมบริกรข้อมูล (Data Stewards) | คณะทำงานกำกับดูแลข้อมูล | ทีมบริกรข้อมูล ทำหน้าที่นิยามความต้องการด้านคุณภาพ |
ผู้สร้างข้อมูล (Data Creators) | คนที่เขียนข้อมูล เช่น เจ้าหน้าที่บันทึกข้อมูล | ผู้สร้างข้อมูล ทำหน้าที่ บันทึก แก้ไข ปรับปรุง หรือ ลบข้อมูลให้สอดคล้องกับโครงสร้างที่ถูกกำหนดไว้ นอกจากนี้ยังมีหน้าที่ในการทำงานร่วมกับบริกรข้อมูล เพื่อตรวจสอบและแก้ไขปัญหาด้านคุณภาพข้อมูล และความมั่นคงปลอดภัย |
ผู้เชี่ยวชาญข้อมูล (Data Specialists) | ผู้อำนวยการ | ผู้เชี่ยวชาญข้อมูล ทำหน้าที่ให้การสนับสนุนอย่างต่อเนื่องเกี่ยวกับข้อมูล และทรัพย์สินสารสนเทศ (Information assets) เป็นผู้เชี่ยวชาญด้านธุรกิจ และด้านเทคนิคที่เกี่ยวข้องกับข้อมูล หรือ ทรัพย์สินสารสนเทศ เป็นผู้เชี่ยวชาญธุรกิจหรือเทคโนโลยีสารสนเทศที่จะรับผิดชอบในการให้การสนับสนุนอย่างต่อเนื่องเกี่ยวกับข้อมูล หรือทรัพย์สินสารสนเทศ |
ผู้ใช้ข้อมูล (Data Users) | บุคลากรภายในและ บุคคลภายนอกกรมสรรพากรที่เกี่ยวข้องกับการใช้ข้อมูลของกรมสรรพากร
| ผู้ใช้ข้อมูล ทำหน้าที่นำข้อมูลไปใช้หรือประมวลผล เพื่อการดำเนินงานทั้งในระดับปฏิบัติงานและระดับบริหาร และสนับสนุนธรรมาภิบาลข้อมูล โดยการให้ความต้องการในการใช้ข้อมูล พร้อมทั้งรายงานประเด็นปัญหาที่พบระหว่างการใช้ข้อมูล ทั้งด้านคุณภาพและความปลอดภัยของข้อมูลไปยังบริกรข้อมูล |
ข้อ 2 นโยบายการเข้าถึงข้อมูล (Data Access Policy)
1. การบริหารจัดการข้อมูลของกรมสรรพากร ตั้งแต่การเก็บรวบรวม การใช้ การประมวลผล รวมถึงการเปิดเผยข้อมูล ต้องมีการกำหนดสิทธิ หน้าที่ และความรับผิดชอบ เพื่อควบคุมให้อยู่ในขอบเขตที่สามารถกระทำได้โดยไม่ขัดต่อกฎหมาย ระเบียบ ความลับของทางราชการ และความเป็นส่วนบุคคล และต้องมีการกำหนดกระบวนการความมั่นคงปลอดภัยข้อมูลอย่างเคร่งครัด เพื่อรักษาคุณภาพ ความปลอดภัย และความสมบูรณ์ของข้อมูล
2. ผู้ใช้ข้อมูล และทุกคนที่เกี่ยวข้องกับวงจรชีวิตข้อมูลของกรมสรรพากร มีสิทธิในการเข้าถึงข้อมูล และระบบสารสนเทศของกรมสรรพากร เพื่อการปฏิบัติงานเฉพาะในส่วนที่ได้รับอนุญาตตามการกำหนดสิทธิในแนวปฏิบัติธรรมาภิบาลข้อมูลของกรมสรรพากรเท่านั้น เช่น ข้อมูลเปิดเผยต่อสาธารณะสามารถเข้าถึงได้โดยสาธารณะ และข้อมูลที่มีชั้นความลับจะสามารถเข้าถึงได้เฉพาะผู้ที่ได้รับสิทธิการเข้าถึงโดยเจ้าของข้อมูลเท่านั้น เป็นต้น
3. ในกรณีที่ผู้ใช้ข้อมูลถูกปฏิเสธการเข้าถึงข้อมูล สามารถยื่นคำร้องกับคณะกรรมการธรรมาภิบาลข้อมูลเพื่อพิจารณาการให้สิทธิ
4. การขอสิทธิเข้าถึงข้อมูลสำหรับประชาชนทั่วไปให้เป็นไปตามพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540
ข้อ 3 นโยบายการใช้ข้อมูล (Data Usage Policy)
1. การรวบรวมข้อมูล ที่รวบรวมจากทั้งหน่วยงานภายในและหน่วยงานภายนอก ทั้งที่รวบรวมมาโดยอัตโนมัติจากระบบหรืออุปกรณ์ต่าง ๆ หรือข้อมูลที่เกิดขึ้นจากการป้อนข้อมูลหรือโต้ตอบกับผู้ใช้งานต้องได้รับการบริหารจัดการอย่างถูกต้อง เหมาะสม และสอดคล้องกับวัตถุประสงค์ในการบริหารจัดการข้อมูลของหน่วยงาน สำหรับข้อมูลที่มาจากภายนอกกรมสรรพากร จะต้องมีการตรวจสอบคุณภาพและความน่าเชื่อถือก่อนนำข้อมูลภายนอกมาเชื่อมโยงกับระบบฐานข้อมูลของกรมสรรพากร
2. การจัดเก็บข้อมูล ต้องมีการกำหนดสภาพแวดล้อมของการจัดเก็บข้อมูลที่มีความปลอดภัยทั้งในด้านสถานที่และด้านเทคโนโลยีที่ใช้ในการจัดเก็บข้อมูล ทั้งนี้ ไม่ว่าข้อมูลนั้นจะอยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ หรือรูปแบบอื่นใด โดยต้องมีการกำกับดูแลเทคโนโลยีสารสนเทศให้มีประสิทธิภาพ มีความน่าเชื่อถือ และให้มีการดำเนินงานและการให้บริการที่ได้มาตรฐานสากล
3. การนำข้อมูลไปใช้หรือประมวลผล ต้องมีการควบคุมให้อยู่ในขอบเขตที่สามารถกระทำได้โดยไม่ขัดต่อกฎหมาย ระเบียบ ความลับของทางราชการ และความเป็นส่วนบุคคล โดยสามารถป้องกันไม่ให้บุคคลที่ไม่มีสิทธิทำการแก้ไข เปลี่ยนแปลง หรือทำลายข้อมูลได้
4. การเปิดเผยและแลกเปลี่ยนข้อมูลต้องอยู่ภายใต้บังคับของกฎหมายที่เกี่ยวข้อง โดยทีมบริกรข้อมูลจะต้องกำหนดมาตรฐานในการเปิดเผยและแลกเปลี่ยนข้อมูลที่มีประสิทธิภาพ สามารถนำไปใช้ได้จริง เช่น มีการแลกเปลี่ยนข้อมูลในรูปแบบของ Application Programming Interfaces (API) มี Framework ที่กำหนดกระบวนการการบูรณาการข้อมูล และต้องมีการกำหนดมาตรการรักษาความมั่นคงปลอดภัยในการแลกเปลี่ยนข้อมูล โดยควรกำหนดหัวข้อต่อไปนี้
(1) ประเภทของข้อมูลที่สามารถแลกเปลี่ยนได้
(2) วิธีการแลกเปลี่ยนข้อมูล
(3) วิธีการป้องกันข้อมูลที่มีความสำคัญ
(4) ระบุผู้รับผิดชอบหรือขอบเขตความรับผิดชอบหากข้อมูลสูญหาย หรือถูกทำลายระหว่างการแลกเปลี่ยน
5. การทำลายข้อมูล ต้องมีการทบทวนข้อมูลที่จัดเก็บอย่างสม่ำเสมอ ทั้งที่อยู่ในรูปแบบอิเล็กทรอนิกส์ และรูปแบบกระดาษ เมื่อข้อมูลไม่มีความจำเป็นต้องใช้งานแล้ว หรือพ้นระยะเวลาการจัดเก็บรักษา ให้พิจารณาลบหรือทำลายข้อมูลดังกล่าว โดยข้อมูลจะถูกเก็บและทำลายด้วยวิธีการที่ถูกต้องตรงตามนโยบายในการจัดเก็บข้อมูลของกรมสรรพากร และตรงตามกระบวนการของกฎหมาย
6. การดำเนินการด้านความมั่นคงปลอดภัยของข้อมูล ต้องจัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยและการรักษาความเป็นส่วนบุคคล โดยต้องควบคุมและจัดการข้อมูลตามวงจรชีวิตของข้อมูล รวมถึงต้องมีการประเมินด้านความมั่นคงปลอดภัยของข้อมูลตามประเภทของข้อมูล ทั้งนี้ อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีเหตุการณ์ที่สำคัญ โดยให้สอดคล้องกับมาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
ข้อ 4 นโยบายบูรณภาพของข้อมูล (Data Integrity and Integration Policy)
1. ต้องมีกระบวนการรักษาคุณภาพและความสมบูรณ์ของข้อมูล (Data Integrity) เพื่อให้ข้อมูล
มีความถูกต้องและน่าเชื่อถืออยู่เสมอ
2. ข้อมูลจะต้องมีความเป็นปัจจุบันในทุกขั้นตอนของการดำเนินการ และสามารถตรวจสอบได้
3. ก่อนที่ข้อมูลจะถูกใช้งานหรือเผยแพร่สู่ภายนอก ข้อมูลนั้นจะต้องมีการตรวจสอบกับบริกรข้อมูลทั้งนี้ เพื่อรักษาไว้ซึ่งคุณภาพ ความปลอดภัย และความสมบูรณ์ของข้อมูล
ทั้งนี้ เพื่อให้นโยบายธรรมาภิบาลข้อมูลมีความทันสมัย สอดคล้องกับสถานการณ์ปัจจุบัน คณะกรรมการและทีมบริกรข้อมูล ต้องมีการทบทวนนโยบายอย่างน้อยปีละ 1 ครั้ง และทุกครั้งที่มีการเปลี่ยนแปลงที่สำคัญ