ประกาศกรมสรรพากร
เรื่อง นโยบายธรรมาภิบาลข้อมูลของกรมสรรพากร พ.ศ. 2568

           โดยที่รัฐธรรมนูญแห่งราชอาณาจักรไทยบัญญัติให้มีการปฏิรูปประเทศด้านการบริหารราชการแผ่นดินโดยให้นำเทคโนโลยีที่เหมาะสมมาประยุกต์ใช้ในการบริหารราชการแผ่นดินและการจัดทำบริการสาธารณะ และให้มีการบูรณาการฐานข้อมูลของหน่วยงานของรัฐ  เพื่ออำนวยความสะดวกแก่ประชาชนและยกระดับการบริหารงานและการให้บริการภาครัฐให้อยู่ในระบบดิจิทัล  กรมสรรพากรในฐานะหน่วยงานของรัฐที่มีอำนาจหน้าที่ในการจัดเก็บภาษีอากรและเกี่ยวข้องกับข้อมูลของผู้มีหน้าที่เสียภาษี  ต้องจัดให้มีระบบบริหารจัดการและกระบวนการควบคุมข้อมูลที่เหมาะสม  โดยมีมาตรการควบคุมการเข้าถึงซึ่งข้อมูล  การพัฒนาคุณภาพของข้อมูลรวมถึงการกำหนดมาตรการและหลักประกันในการคุ้มครองข้อมูลที่อยู่ในความครอบครองให้มีความมั่นคงปลอดภัยและมิให้ข้อมูลส่วนบุคคลถูกละเมิด  ดังนั้น  เพื่อให้การบริหารจัดการข้อมูลที่อยู่ในความครอบครองของกรมสรรพากรสอดคล้องกับธรรมาภิบาลข้อมูลภาครัฐ  ตามมาตรา ๘  แห่งพระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. ๒๕๖๒  จึงเห็นสมควรกำหนดนโยบายธรรมาภิบาลข้อมูลของกรมสรรพากร  เพื่อให้การบริหารจัดการข้อมูลมีประสิทธิภาพ  มีความถูกต้องครบถ้วน  สามารถตรวจสอบความถูกต้อง และมีมาตรการรักษาความปลอดภัยของข้อมูลที่เหมาะสม  อธิบดีกรมสรรพากรจึงได้ออกประกาศเกี่ยวกับธรรมาภิบาลข้อมูลของกรมสรรพากรไว้ดังต่อไปนี้

         วัตถุประสงค์   

         กรมสรรพากรได้จัดทำนโยบายธรรมาภิบาลข้อมูลของกรมสรรพากร พ.ศ. 2568 ขึ้น  เพื่อให้การบริหารจัดการข้อมูลของกรมสรรพากร  ตั้งแต่การเก็บรวบรวม การใช้ การประมวลผล รวมถึงการเปิดเผยข้อมูลเป็นไปอย่างเหมาะสม มีประสิทธิภาพ มีคุณภาพ มีความมั่นคงปลอดภัย สามารถป้องกันภัยคุกคามที่อาจจะเกิดขึ้น  โดยมีวัตถุประสงค์ ดังนี้

         1. เพื่อให้กรมสรรพากรมีนโยบายธรรมาภิบาลข้อมูล สำหรับการบริหารจัดการข้อมูลที่มีความสอดคล้องกับพระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล  พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540  พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562  กรอบธรรมาภิบาลข้อมูลภาครัฐ (Data Governance Framework for Government) ของสำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) (สพร.)  รวมถึงกฎหมายและระเบียบอื่นที่เกี่ยวข้อง

         2. เพื่อกำหนดขอบเขตของธรรมาภิบาลข้อมูล การบริหารจัดการข้อมูลของกรมสรรพากร ตั้งแต่การเก็บรวบรวม การใช้การประมวลผล รวมถึงการเปิดเผยข้อมูลของกรมสรรพากร

         3. เพื่อใช้เป็นแนวทางในการพัฒนาและปรับปรุงแนวปฏิบัติว่าด้วยธรรมาภิบาลข้อมูล และการบริหารจัดการข้อมูลให้เป็นไปอย่างเหมาะสม มีประสิทธิภาพ มีการควบคุมคุณภาพของข้อมูล มีความมั่นคงปลอดภัย สามารถป้องกันภัยคุกคามที่อาจเกิดขึ้นจากการบริหารจัดการข้อมูลของกรมสรรพากร ตามหลักมาตรฐานสากล

         ขอบเขต

    นโยบายธรรมาภิบาลข้อมูลฉบับนี้มีผลบังคับใช้กับบุคลากรภายในและบุคคลภายนอกกรมสรรพากรที่เกี่ยวข้องกับการบริหารจัดการข้อมูลของกรมสรรพากร ตั้งแต่การเก็บรวบรวม การใช้ การประมวลผล รวมถึงการเปิดเผยข้อมูล  เช่น  เจ้าหน้าที่กรมสรรพากร คณะกรรมการ  ผู้รับจ้างตามสัญญา  รวมถึง นิสิตนักศึกษาฝึกงาน  ผู้ที่เกี่ยวข้องดังกล่าวต้องปฏิบัติตามนโยบายธรรมาภิบาลข้อมูล และแนวปฏิบัติธรรมาภิบาลข้อมูลของกรมสรรพากรอย่างเคร่งครัด ผู้ฝ่าฝืนนโยบายธรรมาภิบาลข้อมูล และแนวปฏิบัติธรรมาภิบาลข้อมูล จะต้องได้รับการดำเนินการตามระเบียบและกฎหมายที่เกี่ยวข้อง

ข้อ 1 โครงสร้างธรรมาภิบาลข้อมูล (Data Governance Structure)

ข้อ 2 นโยบายการจัดชั้นความลับและการเข้าถึงข้อมูล (Data Classification and Data Access Policy)

         1. ข้อมูลทุกประเภทที่อยู่ในความครอบครองของกรมสรรพากร ต้องมีการจัดหมวดหมู่และจัดชั้นความลับของข้อมูล ตามหลักเกณฑ์ที่กำหนดในแนวปฏิบัติธรรมาภิบาลข้อมูลของกรมสรรพากร

         2. การบริหารจัดการข้อมูลของกรมสรรพากร  ตั้งแต่การเก็บรวบรวม  การใช้  การประมวลผล รวมถึงการเปิดเผยข้อมูลต้องมีการกำหนดสิทธิ หน้าที่ และความรับผิดชอบ เพื่อควบคุมให้อยู่ในขอบเขตที่สามารถกระทำได้โดยไม่ขัดต่อกฎหมาย ระเบียบ ความลับของทางราชการ  และความเป็นส่วนบุคคล และต้องมีการกำหนดกระบวนการความมั่นคงปลอดภัยข้อมูลอย่างเคร่งครัด เพื่อรักษาคุณภาพ ความปลอดภัย และความสมบูรณ์ของข้อมูล

         3. ผู้ใช้ข้อมูล และทุกคนที่เกี่ยวข้องกับวงจรชีวิตข้อมูลของกรมสรรพากร มีสิทธิในการเข้าถึงข้อมูล และระบบสารสนเทศของกรมสรรพากร  เพื่อการปฏิบัติงานเฉพาะในส่วนที่ได้รับอนุญาตตามการกำหนดสิทธิในแนวปฏิบัติธรรมาภิบาลข้อมูลของกรมสรรพากรเท่านั้น เช่น ข้อมูลเปิดเผยต่อสาธารณะสามารถเข้าถึงได้ โดยสาธารณะ และข้อมูลที่มีชั้นความลับจะสามารถเข้าถึงได้เฉพาะผู้ที่ได้รับสิทธิการเข้าถึงโดยเจ้าของข้อมูลเท่านั้น เป็นต้น

         4. ในกรณีที่ผู้ใช้ข้อมูลถูกปฏิเสธการเข้าถึงข้อมูล สามารถยื่นคำร้องกับคณะกรรมการธรรมาภิบาลข้อมูลเพื่อพิจารณาการให้สิทธิ

         5. การขอสิทธิเข้าถึงข้อมูลสำหรับประชาชนทั่วไปให้เป็นไปตามพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540

ข้อ 3 นโยบายการใช้ข้อมูล (Data Usage Policy)

         1. การรวบรวมข้อมูล  ที่รวบรวมจากทั้งหน่วยงานภายในและหน่วยงานภายนอก  ทั้งที่รวบรวมมาโดยอัตโนมัติจากระบบหรืออุปกรณ์ต่าง ๆ  หรือข้อมูลที่เกิดขึ้นจากการป้อนข้อมูลหรือโต้ตอบกับผู้ใช้งานต้องได้รับการบริหารจัดการอย่างถูกต้อง เหมาะสม และสอดคล้องกับวัตถุประสงค์ในการบริหารจัดการข้อมูลของหน่วยงาน สำหรับข้อมูลที่มาจากภายนอกกรมสรรพากร จะต้องมีการตรวจสอบคุณภาพและความน่าเชื่อถือก่อนนำข้อมูลภายนอกมาเชื่อมโยงกับระบบฐานข้อมูลของกรมสรรพากร 

         2. การจัดเก็บข้อมูล  ต้องมีการกำหนดสภาพแวดล้อมของการจัดเก็บข้อมูลที่มีความปลอดภัย ทั้งในด้านสถานที่และด้านเทคโนโลยีที่ใช้ในการจัดเก็บข้อมูล  ทั้งนี้  ไม่ว่าข้อมูลนั้นจะอยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ หรือรูปแบบอื่นใด  โดยต้องมีการกำกับดูแลเทคโนโลยีสารสนเทศให้มีประสิทธิภาพ  มีความน่าเชื่อถือ  และให้มีการดำเนินงานและการให้บริการที่ได้มาตรฐานสากล

         3. การนำข้อมูลไปใช้หรือประมวลผล ต้องมีการควบคุมให้อยู่ในขอบเขตที่สามารถกระทำได้ โดยไม่ขัดต่อกฎหมาย ระเบียบ ความลับของทางราชการ และความเป็นส่วนบุคคล  โดยสามารถป้องกันไม่ให้บุคคลที่ไม่มีสิทธิทำการแก้ไข เปลี่ยนแปลง หรือทำลายข้อมูลได้

         4. การเปิดเผยข้อมูล (Open Data) ต้องเป็นข้อมูลที่อยู่ในระดับชั้นข้อมูลที่สามารถเปิดเผยต่อสาธารณะได้ จึงจะสามารถนำมาเผยแพร่บนเว็บไซต์กรมสรรพากรหรือศูนย์การข้อมูลเปิดภาครัฐ  โดยผ่านการพิจารณาจากคณะกรรมการธรรมาภิบาลข้อมูล

         5. การแบ่งปันหรือแลกเปลี่ยนข้อมูล (Shareable Data) ต้องอยู่ภายใต้บังคับของกฎหมายที่เกี่ยวข้อง โดยทีมบริกรข้อมูลจะต้องกำหนดมาตรฐานในการเปิดเผยและแลกเปลี่ยนข้อมูลที่มีประสิทธิภาพ สามารถนำไปใช้ได้จริง เช่น มีการแลกเปลี่ยนข้อมูลในรูปแบบของ Application Programming Interfaces (API)  มี Framework ที่กำหนดกระบวนการการบูรณาการข้อมูล และต้องมีการกำหนดมาตรการรักษาความมั่นคงปลอดภัยในการแลกเปลี่ยนข้อมูล โดยควรกำหนดหัวข้อต่อไปนี้
             (1)    ประเภทของข้อมูลที่สามารถแลกเปลี่ยนได้
             (2)    วิธีการแลกเปลี่ยนข้อมูล
             (3)    วิธีการป้องกันข้อมูลที่มีความสำคัญ
             (4)    ระบุผู้รับผิดชอบหรือขอบเขตความรับผิดชอบหากข้อมูลสูญหาย หรือถูกทำลายระหว่างการแลกเปลี่ยน

        5. การทำลายข้อมูล ต้องมีการทบทวนข้อมูลที่จัดเก็บอย่างสม่ำเสมอ ทั้งที่อยู่ในรูปแบบอิเล็กทรอนิกส์ และรูปแบบกระดาษ เมื่อข้อมูลไม่มีความจำเป็นต้องใช้งานแล้ว หรือพ้นระยะเวลาการจัดเก็บรักษา ให้พิจารณาลบหรือทำลายข้อมูลดังกล่าว โดยข้อมูลจะถูกเก็บและทำลายด้วยวิธีการที่ถูกต้องตรงตามนโยบายในการจัดเก็บข้อมูลของกรมสรรพากร และตรงตามกระบวนการของกฎหมาย

        6. การทำลายข้อมูล ต้องมีการทบทวนข้อมูลที่จัดเก็บอย่างสม่ำเสมอ ทั้งที่อยู่ในรูปแบบอิเล็กทรอนิกส์ และรูปแบบกระดาษ เมื่อข้อมูลไม่มีความจำเป็นต้องใช้งานแล้ว หรือพ้นระยะเวลาการจัดเก็บรักษา ให้พิจารณาลบหรือทำลายข้อมูลดังกล่าว โดยข้อมูลจะถูกเก็บและทำลายด้วยวิธีการที่ถูกต้องตรงตามนโยบายในการจัดเก็บข้อมูลของกรมสรรพากร และตรงตามกระบวนการของกฎหมาย

        7. การดำเนินการด้านความมั่นคงปลอดภัยของข้อมูล ต้องจัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยและการรักษาความเป็นส่วนบุคคล โดยต้องควบคุมและจัดการข้อมูลตามวงจรชีวิตของข้อมูล รวมถึงต้องมีการประเมินด้านความมั่นคงปลอดภัยของข้อมูลตามประเภทของข้อมูล  ทั้งนี้  อย่างน้อยปีละ 1 ครั้ง  หรือเมื่อมีเหตุการณ์ที่สำคัญ  โดยให้สอดคล้องกับมาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล ตามประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
 

ข้อ 4 นโยบายบูรณภาพของข้อมูล (Data Integrity and Integration Policy)

         1.  ต้องมีกระบวนการรักษาคุณภาพและความสมบูรณ์ของข้อมูล (Data Integrity)  เพื่อให้ข้อมูลมีความถูกต้อง
และน่าเชื่อถืออยู่เสมอ

         2.  ข้อมูลจะต้องมีความเป็นปัจจุบันในทุกขั้นตอนของการดำเนินการ และสามารถตรวจสอบได้

         3.  ก่อนที่ข้อมูลจะถูกใช้งานหรือเผยแพร่สู่ภายนอก  ข้อมูลนั้นจะต้องมีการตรวจสอบกับบริกรข้อมูลทั้งนี้  เพื่อรักษาไว้ซึ่งคุณภาพ
ความปลอดภัย และความสมบูรณ์ของข้อมูล

       ทั้งนี้  เพื่อให้นโยบายธรรมาภิบาลข้อมูลมีความทันสมัย สอดคล้องกับสถานการณ์ปัจจุบัน  คณะกรรมการและทีมบริกรข้อมูล
ต้องมีการทบทวนนโยบายอย่างน้อยปีละ 1 ครั้ง และทุกครั้งที่มีการเปลี่ยนแปลงที่สำคัญ