ประกาศสำนักงานปลัดกระทรวงเกษตรและสหกรณ์
เรื่อง นโยบายและแนวปฏิบัติสำหรับการกำกับดูแลข้อมูล (Data Governance Policy)
ของสำนักงานปลัดกระทรวงเกษตรและสหกรณ์

          ด้วยพระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. ๒๕๖๒ มาตรา ๘ (๔) กำหนดให้หน่วยงานของรัฐต้องกำหนดนโยบายหรือกฎเกณฑ์การเข้าถึงและการใช้ประโยชน์ จากข้อมูลที่ชัดเจน และมีระบบบริหารจัดการ รวมทั้ง มีมาตรการและหลักประกันในการคุ้มครองข้อมูลที่อยู่ในความครอบครอง ให้มีความมั่นคงปลอดภัยและมิให้ข้อมูลส่วนบุคคลถูกละเมิด รวมถึงประกาศคณะกรรมการพัฒนารัฐบาลดิจิทัล เรื่อง ธรรมาภิบาลข้อมูลภาครัฐ ข้อ ๓ ให้หน่วยงานของรัฐดำเนินการให้เป็นไปตาม ธรรมาภิบาลข้อมูลภาครัฐ และจัดทำธรรมาภิบาลข้อมูลภาครัฐในระดับหน่วยงานให้สอดคล้องกับธรรมาภิบาลข้อมูลภาครัฐด้วย โดยสำนักงานปลัดกระทรวงเกษตรและสหกรณ์ หรือ สป.กษ. ได้ให้ความสำคัญ ในการดำเนินการ ให้สอดคล้องกับกฎหมาย และตระหนักถึงความสำคัญของข้อมูลซึ่งถือเป็นทรัพย์สินที่สำคัญยิ่งของ สป.กษ. ที่ต้องมีการกำกับดูแลและบริหารจัดการข้อมูลตลอดวงจรชีวิตของข้อมูล (Data Life Cycle Management) อย่างมีประสิทธิภาพ เหมาะสม และสอดคล้องกับระดับความเสี่ยง จึงออกประกาศดังต่อไปนี้

          ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศสำนักงานปลัดกระทรวงเกษตรและสหกรณ์ เรื่อง นโยบายและแนวปฏิบัติสำหรับการกำกับดูแลข้อมูล (Data Governance Policy)”
          ข้อ ๒ วัตถุประสงค์
              (๑) เพื่อกำหนดมาตรฐาน แนวทางปฏิบัติให้ผู้บริหาร เจ้าหน้าที่ ผู้ดูแลระบบ และบุคคลภายนอกที่ปฏิบัติงานให้กับองค์กร ตระหนักถึงความสำคัญของนโยบายการกำกับดูแลข้อมูล (Data Governance Policy) เพื่อดำเนินงานและปฏิบัติตามอย่างเคร่งครัด
              (๒) เพื่อเผยแพร่ให้เจ้าหน้าที่ทุกระดับในองค์กรได้รับทราบ และเจ้าหน้าที่ทุกคนต้องถือปฏิบัติตามนโยบายนี้อย่างเคร่งครัด โดยประกาศนโยบายและแนวปฏิบัติสำหรับการกำกับดูแลข้อมูล (Data Governance Policy) ผ่านหน้าเว็บไซต์ของสำนักงานปลัดกระทรวงเกษตรและสหกรณ์
          ข้อ ๓ แนวปฏิบัติ
              ๓.๑ คำนิยาม
                   ๓.๑.๑ “ข้อมูล (Data)” หมายความว่า สิ่งที่สื่อความหมายให้รู้เรื่องราวข้อเท็จจริงหรือเรื่องอื่นใด ไม่ว่าการสื่อความหมายนั้นจะทำได้โดยสภาพของสิ่งนั้นเองหรือโดยผ่านวิธีการใด ๆ และไม่ว่าจะได้จัดทำไว้ ทั้งการจัดเก็บในรูปซอง เอกสาร แฟ้ม รายงาน หนังสือ แผนผัง แผนที่ ภาพวาด ภาพถ่าย ภาพถ่ายดาวเทียม ฟิล์ม การบันทึกภาพหรือเสียง หรือจัดเก็บการบันทึกในเครื่องคอมพิวเตอร์ เครื่องมือตรวจวัด การสำรวจระยะไกล หรือวิธีอื่นใดที่ทำให้สิ่งที่บันทึกไว้ปรากฏได้
                   ๓.๑.๒ “ชุดข้อมูล (Dataset)” หมายความว่า การนำข้อมูลจากหลายแหล่งมารวบรวม เพื่อจัดเป็นชุดให้ตรงตามลักษณะโครงสร้างของข้อมูล
                   ๓.๑.๓ “บัญชีข้อมูล (Data catalog)” หมายความว่า เอกสารแสดงบรรดารายการของชุดข้อมูลที่จำแนกแยกแยะ โดยการจัดกลุ่มหรือจัดประเภทชุดข้อมูลที่อยู่ในความครอบครองหรือควบคุมของสำนักงานปลัดกระทรวงเกษตรและสหกรณ์
                   ๓.๑.๔ “การบริหารจัดการข้อมูล (Data Management)” หมายความว่า ขั้นตอน วิธีการหรือกระบวนการใด ๆ อันนำไปสู่การสร้างข้อมูล รวบรวมข้อมูล การจัดเก็บ การจัดเก็บถาวร การทำลายข้อมูล การประมวลผลข้อมูล การแลกเปลี่ยน การเชื่อมโยงข้อมูล และการเปิดเผยข้อมูลต่อสาธารณะ
                   ๓.๑.๕ “การจัดระดับชั้นข้อมูล (Data Classification)” หมายความว่า การจำแนกชั้นของข้อมูลในบริบทของการรักษาความปลอดภัยข้อมูลตามระดับความอ่อนไหวและผลกระทบ ต่อบุคคล องค์กร และประเทศ หากมีการเปิดเผย จัดระดับชั้นข้อมูลจะช่วยกำหนดการควบคุมความปลอดภัย พื้นฐานที่เหมาะสมกับการปกป้องข้อมูลนั้น ๆ ทั้งนี้ข้อมูล สำคัญของบุคคล องค์กร และประเทศทั้งหมด ควรจัดชั้น ตามระดับ ความอ่อนไหวหนึ่งในห้าของระดับชั้นข้อมูลหรือตามที่หน่วยงานกำหนด เพื่อให้หน่วยงานสามารถจัดการข้อมูล ในกระบวนการที่เกี่ยวข้องกับภารกิจของหน่วยงาน ได้อย่างมีประสิทธิภาพ
                   ๓.๑.๖ “ธรรมาภิบาลข้อมูลภาครัฐ (Data Governance for Government)” หมายความว่า การกำหนดสิทธิ หน้าที่ และความรับผิดชอบของผู้มีส่วนได้เสียในการบริหารจัดการข้อมูล ทุกขั้นตอน เพื่อให้การได้มาและการนำไปใช้ข้อมูลของหน่วยงานของรัฐถูกต้อง ครบถ้วน เป็นปัจจุบัน รักษาความเป็นส่วนตัวและสามารถเชื่อมโยงกันได้อย่างมีประสิทธิภาพและความมั่นคงปลอดภัย
                   ๓.๑.๗ “วงจรชีวิตของข้อมูล (Data Life Cycle)” หมายความว่า ลำดับขั้นตอนของข้อมูลตั้งแต่เริ่มสร้างข้อมูลไปจนถึงการทำลายข้อมูลตามกรอบธรรมาภิบาลข้อมูลภาครัฐ
                   ๓.๑.๘ “ข้อมูลหลัก (Master Data)” หมายความว่า ข้อมูลที่สร้างและใช้งานร่วมกันภายในขอบเขตการดำเนินงานตามภารกิจของหน่วยงาน
                   ๓.๑.๙ “ข้อมูลอ้างอิง (Reference Data)” หมายความว่า ข้อมูลที่ได้มีการกำหนด ให้เป็นมาตรฐานและใช้งานร่วมกันระหว่างหน่วยงานทั้งในประเทศและระหว่างประเทศ
                   ๓.๑.๑๐ “องค์กร” หมายความว่า สำนักงานปลัดกระทรวงเกษตรและสหกรณ์
                   ๓.๑.๑๑ “คณะกรรมการ” หมายความว่า คณะกรรมการกำกับดูแลข้อมูล (Data Governance Council) สำนักงานปลัดกระทรวงเกษตรและสหกรณ์
                   ๓.๑.๑๒ “เจ้าหน้าที่” หมายความว่า เจ้าหน้าที่ของสำนักงานปลัดกระทรวงเกษตรและสหกรณ์ที่มีหน้าที่บริหารจัดการข้อมูล ไม่ว่าส่วนหนึ่งใดหรือทั้งหมดของขั้นตอนการบริหารจัดการข้อมูล
                   ๓.๑.๑๓ “เจ้าของข้อมูล” หมายความว่า เจ้าหน้าที่หรือหน่วยงานที่มีอำนาจในการบริหารจัดการและควบคุมชุดข้อมูล
                   ๓.๑.๑๔ “บริกรข้อมูล” หมายความว่า เจ้าหน้าที่ซึ่งได้รับการแต่งตั้งจากคณะกรรมการให้ปฏิบัติหน้าที่ ติดตาม ตรวจสอบ ประเมินผล และจัดทำรายงานผลการดำเนินงานด้าน ธรรมาภิบาลข้อมูล รวมถึงหน้าที่อื่นๆ ที่เอื้อให้เกิดการกำกับดูแลและการบริหารจัดการข้อมูลที่ดี
              ๓.๒ ข้อกำหนดทั่วไป
                   ๓.๒.๑ การบริหารจัดการข้อมูลขององค์กร จะต้องเป็นไปตามบทบัญญัติของกฎหมายและกฎระเบียบที่เกี่ยวข้อง อย่างน้อยดังนี้
                           (๑) พระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. ๒๕๖๒
                           (๒) พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
                           (๓) พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. ๒๕๔๐ และที่แก้ไขเพิ่มเติม
                           (๔) พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒
                           (๕) พระราชบัญญัติข่าวกรองแห่งชาติ พ.ศ. ๒๕๖๒
                           (๖) ระเบียบว่าด้วยการรักษาความลับของทางราชการ พ.ศ. ๒๕๕๔ และ ที่แก้ไขเพิ่มเติม
                   ๓.๒.๒ การบริหารจัดการข้อมูลขององค์กร ต้องดำเนินการโดยเจ้าหน้าที่ และ อยู่ภายใต้ขอบเขตแห่งสิทธิที่กำหนดไว้ในนโยบายและแนวปฏิบัติสำหรับการกำกับดูแลข้อมูล
                   ๓.๒.๓ สำนักงานปลัดกระทรวงเกษตรและสหกรณ์เป็นเจ้าของข้อมูลประเภทที่เกิดจากการดำเนินงานตามภารกิจ โครงสร้าง และหน้าที่ของสำนักงานปลัดกระทรวงเกษตรและสหกรณ์ เว้นแต่ข้อมูลส่วนบุคคลตามกฎหมายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล หรือข้อมูลอื่นๆ ที่มิได้มีกฎหมายกำหนดความเป็นเจ้าของข้อมูลเอาไว้โดยเฉพาะ
                   ๓.๒.๔ ให้เจ้าหน้าที่ระดับผู้อำนวยการกอง/สำนัก/สถาบัน/ศูนย์/สำนักงาน หรือเทียบเท่าเป็นผู้ดำเนินการแทนเจ้าของข้อมูล ในการกำหนดสิทธิการบริหารจัดการข้อมูลที่อยู่ในขอบเขต ความรับผิดชอบของตน ให้กับเจ้าหน้าที่ตามความจำเป็นและคำนึงถึงขั้นความลับของข้อมูล โดยให้เป็นไปตามบทบัญญัติของกฎหมาย
                   ๓.๒.๕ คณะกรรมการต้องจัดให้มีบริกรข้อมูล โดยให้เลขานุการคณะกรรมการปฏิบัติหน้าที่บริกรข้อมูลด้วยอีกหน้าที่หนึ่ง
              ๓.๓ การสร้างและการรวบรวมข้อมูล
                   ข้อปฏิบัติ
                   ๓.๓.๑ การสร้างและการรวบรวมข้อมูล ต้องมีการรักษาความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของข้อมูล และปฏิบัติตามแนวปฏิบัติในการปกป้องข้อมูลที่ระบุตัวบุคคล และแนวปฏิบัติในด้านความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของข้อมูลที่ได้รับความเห็นชอบจากคณะกรรมการ โดย ให้เป็นไปตามบทบัญญัติของกฎหมาย
                   ๓.๓.๒ หน่วยงานที่สร้างข้อมูล ต้องเป็นผู้ตรวจสอบและบันทึกข้อมูลให้ถูกต้อง ครบถ้วน เป็นปัจจุบัน และตรงกับข้อเท็จจริง รวมถึงต้องรับผิดชอบต่อข้อมูลที่สร้างขึ้น โดยไม่สร้างข้อมูล อันเป็นเท็จ
                   ๓.๓.๓ การสร้างและการรวบรวมข้อมูลที่มีแหล่งกำหนดข้อมูลจากภายนอกองค์กร องค์กรจำเป็นจะต้องได้รับความยินยอมจากเจ้าของข้อมูล เว้นแต่โดยสภาพเป็นข้อมูลที่มีการเปิดเผยต่อสาธารณะ หรือเป็นข้อมูลที่ต้องเปิดเผยตามกฎหมายหรือการดำเนินคดี
                   ๓.๓.๔ ข้อมูลที่สร้างขึ้นมาแล้วต้องกำหนดมาตรฐานการจัดเก็บข้อมูล และสามารถปรับใช้งานร่วมกับหน่วยงานอื่นภายใต้กระทรวงเกษตรและสหกรณ์ในลักษณะแบบเปิด (Machine Readable) ได้
                   ๓.๓.๕ บริกรข้อมูลและเจ้าของข้อมูลต้องร่วมกันจัดให้มีคำอธิบายชุดข้อมูลและ บัญชีข้อมูลที่มีความถูกต้องครบถ้วนและเป็นปัจจุบัน โดยสอดคล้องตามมาตรฐานการจัดทำบัญชีข้อมูลภาครัฐ ที่สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) หรือ สพร.กำหนด
                   ๓.๓.๖ เจ้าของข้อมูลต้องจัดชั้นความลับของข้อมูล โดยให้เป็นไปตามมาตรฐาน การจัดชั้นความลับของข้อมูลตามกรอบธรรมาภิบาลข้อมูลภาครัฐ
              ๓.๔ การจัดเก็บ การจัดเก็บถาวร และการทำลายข้อมูล
                   ข้อปฏิบัติ
                   ๓.๔.๑ การจัดเก็บ การจัดเก็บถาวร และการทำลายข้อมูล ต้องดำเนินการโดยเจ้าหน้าที่ ซึ่งมีสิทธิเหนือข้อมูล
                   ๓.๔.๒ การจัดเก็บ การจัดเก็บถาวร และการทำลายข้อมูล ต้องมีการรักษาความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของข้อมูล และปฏิบัติตามแนวทางการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ของ สป.กษ. ในการปกป้องข้อมูลที่ระบุตัวบุคคล และแนวปฏิบัติ ในด้านความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของข้อมูล ที่ได้รับความเห็นชอบจากคณะกรรมการ โดยให้เป็นไปตามบทบัญญัติของกฎหมาย
                  ๓.๔.๓ การจัดเก็บข้อมูล เป็นการจัดเก็บข้อมูลที่เกิดขึ้นจากกระบวนการสร้าง หรือข้อมูลที่ได้จากการเชื่อมโยง และ/หรือ แลกเปลี่ยนกับหน่วยงานอื่น ไม่ว่าจะเป็นการจัดเก็บลงแฟ้มข้อมูล (File) หรือ ระบบการจัดการฐานข้อมูล (DBMS : Database Management System) เพื่อให้เกิดความเป็นระเบียบต่อการใช้งาน ข้อมูลไม่สูญหาย ไม่ถูกทำลาย และช่วยให้ผู้ใช้งานประมวลผลข้อมูลต่างๆ ตรงตามความต้องการได้อย่างรวดเร็ว ซึ่งการจัดเก็บข้อมูลหมายความรวมถึง ข้อมูลทั้งที่เป็นกระดาษและข้อมูลที่เป็นอิเล็กทรอนิกส์ ทุกประเภท โดยจะต้องดำเนินการตามแนวปฏิบัติ ดังนี้
                         ๑) ต้องจัดเก็บข้อมูลตามหมวดหมู่ที่กำหนด ดังนี้
                            • ข้อมูลส่วนบุคคล หมายถึง ข้อมูลส่วนบุคคลซึ่งสามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม
                            • ข้อมูลความมั่นคง หมายถึง ข้อมูลข่าวสารเกี่ยวกับความมั่นคง ของประเทศที่อยู่ในความครอบครอง หรือความควบคุมดูแลของหน่วยงานของรัฐ ที่ไม่สามารถรู้หรือไม่สามารถเข้าถึงได้โดยทั่วไป ซึ่งหากเปิดเผยทั้งหมดหรือเพียงบางส่วนจะส่งผลให้ประเทศต้องเผชิญภัยคุกคามต่อเอกราชอธิไตยบูรณภาพแห่งอาณาเขตการปกครองระบอบประชาธิปไตย อันมีพระมหากษัตริย์ทรงเป็นประมุข สถาบันศาสนา สถาบันพระมหากษัตริย์ ความสัมพันธ์ระหว่างประเทศ การทหารและการข่าวกรองความปลอดภัย และการดำรงชีวิตโดยปกติสุขของประชาชน
                            • ข้อมูลสาธารณะ หมายถึง ข้อมูลหรือข่าวสารสาธารณะที่หน่วยงาน ของรัฐจัดทำและครอบครองในรูปแบบช่องทางดิจิทัล เพื่อให้ประชาชนเข้าถึงได้โดยสะดวก มีส่วนร่วมและตรวจสอบการดำเนินงานของรัฐ และสามารถนำข้อมูลไปพัฒนาบริหารนวัตกรรมที่จะเป็นประโยชน์ต่อประเทศในด้านต่างๆ
                            • ข้อมูลความลับทางราชการ หมายถึง ข้อมูลข่าวสารตามมาตรา ๑๔ หรือ มาตรา ๑๕ ตาม พระราชบัญญัติข้อมูลข่าวสาร พ.ศ.๒๕๔๐ ที่มีคำสั่งไม่ให้เปิดเผยและอยู่ในความครอบครองหรือควบคุมดูแลของสำนักงานปลัดกระทรวงเกษตรและสหกรณ์ ไม่ว่าจะเป็นเรื่องที่เกี่ยวกับการดำเนินงานของหน่วยงานหรือ ที่เกี่ยวกับหน่วยงานภายนอก ซึ่งมีการกำหนดให้มีชั้นความลับ เป็น ชั้นลับ ชั้นลับมาก หรือ ชั้นลับที่สุด
                            • ข้อมูลที่ใช้ภายในหน่วยงาน หมายถึง ข้อมูลที่ใช้ภายในสำนักงานปลัดกระทรวงเกษตรและสหกรณ์ และข้อมูลที่เปิดเผยสำหรับผู้มีส่วนได้ส่วนเสีย หรือหน่วยงานในสังกัดกระทรวงเกษตรและสหกรณ์ ที่จำเป็นต้องใช้ข้อมูลดังกล่าว
                         ๒) ต้องจัดเก็บข้อมูลตามชั้นความลับของข้อมูล โดยสำนักงานปลัดกระทรวงเกษตรและสหกรณ์มีการจัดระดับชั้นความลับของข้อมูลแบ่งเป็น ๓ ชั้น ดังนี้
                            • ลับที่สุด หมายถึง ข้อมูลข่าวสารลับ ซึ่งหากเปิดเผยทั้งหมดหรือเพียงบางส่วนจะก่อให้เกิดความเสียหายแก่ประโยชน์ของรัฐอย่างร้ายแรง ได้แก่ ความรับผิดชอบนโยบายความมั่นคงแห่งชาติ เป็นต้น
                            • ลับมาก หมายถึง ข้อมูลข่าวสารลับ ซึ่งหากเปิดเผยทั้งหมดหรือเพียงบางส่วนจะก่อให้เกิดความเสียหายแก่ประโยชน์ของรัฐอย่างร้ายแรง ได้แก่ เอกสารการแจ้งความนำจับ บันทึกการขออนุมัติเข้าตรวจค้นจับกุม บันทึกการตรวจค้นจับกุม ข้อมูลการกำหนดนโยบายภาษีและผลกระทบต่อรายได้จากภาษีศุลกากร เป็นต้น
                            • ลับ หมายถึง ข้อมูลข่าวสารลับ ซึ่งหากเปิดเผยทั้งหมด หรือ เพียงบางส่วนจะก่อให้เกิดความเสียหายแก่ประโยชน์ของรัฐอย่างร้ายแรง ได้แก่ ข้อมูลเกี่ยวกับราคาสินค้าที่นำเข้า ชื่อผู้ขายในต่างประเทศ ข้อมูลเงื่อนไขในการกำหนด Profile ทุกระบบ สำนวนในแฟ้มคดี ข้อมูลเกี่ยวกับการพิจารณาทางวินัย เอกสารการดำเนินงาน แต่งตั้ง โยกย้ายข้าราชการ เป็นต้น
                         ๓) การจัดเก็บแฟ้มข้อมูลลับ ให้ปฏิบัติ ดังนี้
                            • ผู้ที่เป็นเจ้าของแฟ้มข้อมูลลับต้องตรวจสอบความถูกต้องของแฟ้มข้อมูลลับก่อนนำไปใช้งาน
                            • ต้องป้องกันแฟ้มข้อมูลลับที่มีการจัดเก็บไว้ในเครื่องคอมพิวเตอร์ ที่ตนเองใช้งาน โดยเครื่องคอมพิวเตอร์ต้องมีการตั้งรหัสผ่าน หรือมีระบบรักษาความมั่นคงปลอดภัยตามที่ ศูนย์เทคโนโลยีสารสนเทศและการสื่อสารกำหนด และเมื่อมีการนำแฟ้มข้อมูลลับไปใช้งานพร้อมให้ปฏิบัติตามระเบียบ และกฎหมายที่เกี่ยวข้องอย่างเคร่งครัด
                            • ต้องระมัดระวังใช้งานแฟ้มข้อมูลลับ การกระจาย หรือแจกจ่ายแฟ้มข้อมูลลับไปยังกลุ่มผู้รับที่มีสิทธิหรือได้รับอนุญาตเท่านั้น
                            • ห้ามแชร์แฟ้มข้อมูลลับบนเครือข่ายของหน่วยงาน เพื่อป้องกันบุคคลอื่นหรือผู้ที่ไม่ได้รับอนุญาตอาจเข้าถึงแฟ้มข้อมูลลับ
                         ๔) การจัดทำสำเนา การแปล การโอน การส่ง การรับ การเก็บรักษา การยืม การทำลาย หรือการเปิดเผยแฟ้มข้อมูลลับ ให้เป็นไปตามระเบียบว่าด้วยการรักษาความลับของทางราชการ พ.ศ.๒๕๔๔
                         ๕) ต้องจัดเก็บลงในสื่อบันทึกข้อมูลตามมาตรฐานสถาปัตยกรรมข้อมูล ซึ่งเป็นที่ยอมรับในระดับสากล
                         ๖) การจัดเก็บข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็น ภายใต้อำนาจหน้าที่และวัตถุประสงค์อันชอบตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒
                  ๓.๔.๔ การจัดเก็บถาวร ต้องเป็นการดำเนินการกับข้อมูลที่ไม่มีการลบ ปรับปรุง หรือแก้ไขอีกต่อไป และสามารถนำกลับมาใช้งานได้ โดยเป็นการย้ายข้อมูลที่มีช่วงอายุเกินช่วงการใช้งานหรือไม่ได้ใช้งานแล้ว เพื่อเก็บรักษาถาวรโดยที่ข้อมูลนั้น ไม่มีการลบ การปรับปรุง หรือแก้ไขอีก แต่สามารถนำกลับมา ใช้งานได้ใหม่เมื่อต้องการ โดยมีแนวปฏิบัติ ดังนี้
                         ๑) กำหนดเครื่องมือและวิธีการที่จะใช้ในการจัดเก็บข้อมูล
                         ๒) กำหนดระยะเวลาในการจัดเก็บข้อมูลแต่ละประเภท
                         ๓) ต้องประสานความร่วมมือกับหน่วยงานที่เกี่ยวข้อง เพื่อกำหนดระยะเวลา ในการจัดเก็บข้อมูลที่เหมาะสมกับข้อมูลแต่ละประเภท
                         ๔) สร้างความรู้ความเข้าใจในการจัดเก็บข้อมูลแก่ผู้ที่เกี่ยวข้อง
                         ๕) ศึกษาข้อมูลที่ต้องจัดเก็บ โดยเลือกเครื่องมือและกระบวนการที่เป็นมาตรฐานในการจัดเก็บข้อมูล ให้อยู่ในสภาพที่พร้อมใช้งานได้ตลอดเวลา
                  ๓.๔.๕ การสำรองข้อมูล ต้องดำเนินการให้ถูกต้อง ครบถ้วน มั่นคงปลอดภัย และ เป็นปัจจุบัน โดยต้องมีมาตรฐานการสำรองข้อมูลที่ทำให้มั่นใจได้ว่าข้อมูลจะไม่สูญหาย เว้นแต่เกิดเหตุสุดวิสัย
                  ๓.๔.๖ การทำลายข้อมูล ต้องเป็นการดำเนินการกับข้อมูลที่ไม่ต้องการนำกลับมา ใช้งานอีกต่อไป โดยให้เป็นไปตามบทบัญญัติของกฎหมาย
                         ๑) ให้กำหนดขั้นตอนและวิธีการทำลายข้อมูล
                         ๒) ต้องประสานความร่วมมือกับหน่วยงานที่เกี่ยวข้อง กำหนดวิธีปฏิบัติ การทำลายข้อมูล
                         ๓) หน่วยงานที่ได้รับมอบหมายต้องจัดประชุม/อบรม/ประชาสัมพันธ์ ให้ส่วนที่เกี่ยวข้องมีความรู้ความเข้าใจวิธีปฏิบัติการทำลายข้อมูล
                         ๔) หน่วยงานที่เกี่ยวข้อง ต้องกำหนดสิทธิ์ของผู้ที่จะดำเนินการทำลายข้อมูลและเก็บประวัติด้วยทุกครั้ง
                         ๕) หน่วยงานที่เกี่ยวข้องต้องอบรมชี้แจงให้ผู้ปฏิบัติและผู้ที่เกี่ยวข้อง มีความรู้ความเข้าใจในการจัดเก็บและทำลายข้อมูล ทั้งภายในและภายนอกหน่วยงาน
                  ๓.๔.๗ เจ้าหน้าที่ผู้ดำเนินการจัดเก็บ จัดเก็บถาวร และทำลายข้อมูล ต้องปรับปรุงคำอธิบายชุดข้อมูลและบัญชีข้อมูลให้มีความถูกต้อง ครบถ้วน และเป็นปัจจุบัน โดยให้เป็นไปตามมาตรฐาน การจัดทำบัญชีข้อมูลภาครัฐ ที่ สพร. กำหนด
              ๓.๕ การประมวลผลและการใช้ข้อมูล
                    ข้อปฏิบัติ
                  ๓.๕.๑ การนำข้อมูลไปประมวลผลและการใช้ข้อมูลต้องได้รับความยินยอมจากเจ้าของข้อมูลก่อน
                  ๓.๕.๒ การนำข้อมูลที่เป็นความลับไปประมวลผล เช่น ข้อมูลส่วนบุคคลให้เป็น ไปตามเงื่อนไขหรือวัตถุประสงค์ในการยินยอมให้ดำเนินการกับข้อมูลส่วนบุคคลนั้น และตามอำนาจหน้าที่ ฐานกฎหมายที่ได้รับของหน่วยงานตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒ และระเบียบ ประกาศ หรือ แนวปฏิบัติที่เกี่ยวข้อง
                  ๓.๕.๓ การประมวลผลและการใช้ข้อมูล ต้องดำเนินการโดยเจ้าหน้าที่ซึ่งมีสิทธิเหนือข้อมูล
                  ๓.๕.๔ การประมวลผลและการใช้ข้อมูล ต้องมีการรักษาความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของข้อมูล และปฏิบัติตามแนวปฏิบัติในการปกป้องข้อมูลที่ระบุตัวบุคคล และแนวปฏิบัติในด้านความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของข้อมูลที่ได้รับความเห็นชอบจากคณะกรรมการ โดยให้เป็นไปตามบทบัญญัติของกฎหมาย
                  ๓.๕.๕ การประมวลผลและการใช้ข้อมูล ต้องจัดให้มีการบันทึกประวัติการประมวลผลข้อมูลและการใช้ข้อมูล เพื่อให้สามารถตรวจสอบย้อนกลับได้โดยให้เป็นไปตามบทบัญญัติของกฎหมาย
                  ๓.๕.๖ เจ้าหน้าที่ผู้ดำเนินการประมวลผลหรือใช้ข้อมูล ต้องปรับปรุงคำอธิบายชุดข้อมูลและบัญชีข้อมูลให้มีความถูกต้อง ครบถ้วน และเป็นปัจจุบัน โดยให้เป็นไปตามมาตรฐานตามมาตรฐานการจัดทำบัญชีข้อมูลภาครัฐ ที่ สพร. กำหนด
              ๓.๖ การเปิดเผยข้อมูลต่อสาธารณะ
                    ข้อปฏิบัติ
                  ๓.๖.๑ การเปิดเผยข้อมูลต่อสาธารณะ ต้องดำเนินการโดยเจ้าหน้าที่ซึ่งมีสิทธิเหนือข้อมูล
                  ๓.๖.๒ การเปิดเผยข้อมูลต่อสาธารณะ ต้องปฏิบัติตามแนวทางการเปิดเผยข้อมูลเปิดภาครัฐ ในรูปแบบดิจิทัลต่อสาธารณะตามที่สำนักงานปลัดกระทรวงเกษตรและสหกรณ์กำหนด และเป็นไปตามบทบัญญัติของกฎหมาย
                  ๓.๖.๓ การคัดเลือกข้อมูลที่ต้องการเผยแพร่ มีดังนี้
                         ๑) เจ้าของข้อมูลและหน่วยงานที่เกี่ยวข้องต้องพิจารณาข้อมูลที่จะเผยแพร่ โดยข้อมูลที่สามารถเผยแพร่ได้ จะต้องไม่ขัดต่อกฎหมาย ระเบียบ ข้อบังคับ คำสั่งของกระทรวงเกษตรและสหกรณ์
                         ๒) ข้อมูลในการเปิดเผยควรเป็นข้อมูลที่สามารถเปิดเผยได้ และไม่ละเมิดข้อมูลส่วนบุคคล เช่น ข้อมูลเชิงสถิติที่ไม่สามารถระบุตัวบุคคลได้ เป็นต้น
                         ๓) กรณีเป็นข้อมูลส่วนบุคคล และเข้าถึงรายบุคคล หน่วยงานที่เป็นผู้ถือครองข้อมูลนั้น จะต้องได้รับการยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน หรือมีฐานกฎหมายในการดำเนินการ พร้อมต้องมีมาตรการปกปิด ป้องกันการรั่วไหลของข้อมูล
                  ๓.๖.๔ การพิจารณาชุดข้อมูลที่คัดเลือก ต้องมีรายละเอียดที่อธิบายถึงความเป็นมาของข้อมูล เช่น ชื่อข้อมูล คำอธิบายข้อมูล คำสำคัญ วันที่ทำการเปลี่ยนแปลงข้อมูลล่าสุด ชื่อหน่วยงานเจ้าของข้อมูลและฟิลด์ข้อมูล ทั้งนี้ต้องตรวจสอบฟิลด์ข้อมูลว่าครบถ้วนสอดคล้องกับความต้องการของหน่วยงาน ที่ขอใช้ข้อมูล
                  ๓.๖.๕ การจัดเตรียมข้อมูลให้อยู่ในรูปแบบที่ง่ายต่อการนำไปใช้ มีดังนี้
                         ๑) ข้อมูลมีความพร้อมในการส่งต่อหรือเปิดเผยได้
                            • ต้องจัดให้อยู่ในรูปแบบลักษณะแบบเปิด (Machine readable)
                            • ต้องมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบด้วยประการใดๆ
                            • กรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือหน่วยงานอื่นที่มิใช่ ผู้ควบคุมข้อมูลส่วนบุคคล ต้องดำเนินการป้องกันมิให้ผู้นั้นนำไปใช้หรือการเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบด้วยประการใดๆ
                            • ต้องมีระบบตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้อง หรือเกินความจำเป็น ตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ
                         ๒) การเชื่อมโยงข้อมูลที่มีการจัดเก็บและสามารถเข้าถึงได้ เพื่อตรวจสอบ หรือเปิดเผยแก่ผู้ที่เกี่ยวข้อง
                  ๓.๖.๖ การนำชุดข้อมูลขึ้นเผยแพร่ ให้ดำเนินการ ดังนี้
                         ๑) เก็บประวัติ (Log) การเปิดเผย เผยแพร่ข้อมูล เพื่อให้สามารถตรวจสอบได้และเป็นไปตามกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
                         ๒) มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหายการเข้าถึงการใช้ การเปลี่ยนแปลง การแก้ไข
              ๓.๗ การแลกเปลี่ยนและการเชื่อมโยงข้อมูล
                    ข้อปฏิบัติ
                  ๓.๗.๑ การแลกเปลี่ยนและการเชื่อมโยงข้อมูลขององค์กรกับหน่วยงานอื่นๆ ต้องดำเนินการโดยเจ้าหน้าที่ซึ่งมีสิทธิเหนือข้อมูล และได้รับอนุญาตจากคณะกรรมการ โดยเป็นไปตามข้อตกลงระหว่างหน่วยงานและชอบด้วยกฎหมาย
                  ๓.๗.๒ การแลกเปลี่ยนและการเชื่อมโยงข้อมูล ต้องมีการรักษาความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของข้อมูล และปฏิบัติตามแนวปฏิบัติในการปกป้องข้อมูลที่ระบุตัวบุคคลและ แนวปฏิบัติในด้านความมั่นคงปลอดภัยและความเป็นส่วนบุคคลของข้อมูลที่ได้รับความเห็นชอบจากคณะกรรมการ โดยให้เป็นไปตามบทบัญญัติของกฎหมาย
                  ๓.๗.๓ เทคโนโลยีและวิธีการทางเทคนิคที่เกี่ยวข้องกับแลกเปลี่ยนและการเชื่อมโยงข้อมูล ให้ดำเนินไปตามมาตรฐานการเชื่อมโยงและแลกเปลี่ยนข้อมูลสากล โดยให้ระบุไว้ในข้อตกลงระหว่างหน่วยงาน
                  ๓.๗.๔ การแลกเปลี่ยนและการเชื่อมโยงข้อมูล ต้องจัดให้มีการบันทึกประวัติ การแลกเปลี่ยนและการเชื่อมโยงข้อมูล เพื่อให้สามารถตรวจสอบย้อนกลับได้ โดยให้ดำเนินไปตามบทบัญญัติของกฎหมาย
              ๓.๘ การตรวจสอบและประเมินผลการบริหารจัดการข้อมูล
                    ข้อปฏิบัติ
                  ๓.๘.๑ บริกรข้อมูลต้องติดตาม ตรวจสอบ และประเมินผลการปฏิบัติงานด้าน การบริหารจัดการข้อมูลให้สอดคล้องกับนโยบายนี้ โดยจะต้องนำเสนอผลการตรวจสอบและประเมินผลต่อคณะกรรมการ อย่างน้อยปีละหนึ่งครั้ง
                  ๓.๘.๒ ผู้ใดพบเห็น การบริหารจัดการข้อมูลที่ไม่ดำเนินไปตามนโยบายนี้ ให้แจ้งมายังเลขานุการคณะกรรมการ เพื่อนำเสนอคณะกรรมการพิจารณาต่อไป
                  ๓.๘.๓ คณะกรรมการต้องส่งเสริมให้มีการเผยแพร่และสร้างความรู้ความเข้าใจ แก่เจ้าหน้าที่ เพื่อสร้างความตระหนักถึงธรรมาภิบาลข้อมูลและการบริหารจัดการข้อมูลที่ดี เพื่อให้การดำเนินงานของเจ้าหน้าที่สอดคล้องกับนโยบายนี้ เกณฑ์การประเมินคุณภาพข้อมูลดำเนินการตามมิติคุณภาพข้อมูล ๕ มิติ ดังนี้

              ๓.๙ การปรับปรุง ทบทวน หรือแก้ไขนโยบายข้อมูลองค์กร ให้คณะกรรมการดำเนินการสอบทานและทบทวนนโยบายข้อมูลขององค์กรประจำทุกปี เพื่อให้สอดคล้องกับแนวทางการดำเนินงานของสำนักงานปลัดกระทรวงเกษตรและสหกรณ์ และกฎหมายต่างๆ ที่เกี่ยวข้อง หากมีการแก้ไขปรับปรุงนโยบายข้อมูลองค์กรให้นำเสนอต่อปลัดกระทรวงเกษตรและสหกรณ์เพื่อพิจารณาให้ความเห็นชอบ

ประกาศ ณ วันที่ ๑๐ มิถุนายน ๒๕๖๗
นายนวนิตย์ พลเคน
รองปลัดกระทรวงเกษตรและสหกรณ์
ปฏิบัติราชการแทนปลัดกระทรวงเกษตรและสหกรณ์