สถานที่ : สถาบันการบินพลเรือน
ผู้ว่าจ้าง : สถาบันการบินพลเรือน
วันที่เริ่มโครงการ : 30 สิงหาคม 2565
วันสิ้นสุดโครงการ : 27 มีนาคม 2565

วัตถุประสงค์

๑. เพื่อจัดทําคู่มือ วิธีการบริหารจัดการและกํากับดูแลข้อมูล ให้สอดคล้องกับพระราชบัญญัติ การบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. ๒๕๖๒
๒. เพื่อจัดทําทะเบียนข้อมูลสําคัญ (Master Data) และ Meta data ของข้อมูลสําคัญขององค์กร
๓. เพื่อจัดทํานโยบายและแนวปฏิบัติในการจัดทําธรรมาภิบาลข้อมูลของ สบพ
๔. เพื่อจัดทําแนวทางการติดตามและวัดผลการดําเนินการและความสําเร็จของกํากับดูแลและบริหาร จัดการข้อมูลที่ดี (Data Governance Metrics and Success Measures)
๕. เพื่อจัดทําคู่มือการดําเนินงานการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) และเอกสารที่เกี่ยวข้อง ในการดําเนินงานของ สบพ. ที่สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
๖. เพื่อวิเคราะห์ความเสี่ยงและจัดทําแผนการปรับปรุง (PDPA Roadmap) เพื่อให้บรรลุวัตถุประสงค์ตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒
๗. เพื่อจัดทําคู่มือวิธีการประเมินผลกระทบและการประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล ของ สบพ. และจัดทํามาตรการ/แผนงานป้องกันการรั่วไหลของข้อมูล ของ สบพ.
๘. เพื่อสร้างองค์ความรู้ ความเข้าใจแก่หน่วยงานในด้านการบริหารและการกํากับดูแลข้อมูลตามหลัก ธรรมาภิบาลข้อมูลภาครัฐ และการคุ้มครองข้อมูลส่วนบุคคล

ขอบเขตการดำเนินงาน

๑. จัดทํารายงานขั้นต้น (Inception Report) ที่ครอบคลุมในแผนการดําเนินโครงการ แนวคิดและทฤษฎี ที่ใช้ แนวทางในการบริหารโครงการและทรัพยากรที่ต้องใช้ในการดําเนินโครงการ
๒. จัดให้มีการฝึกอบรม/การสัมมนาสร้างองค์ความรู้แก่หน่วยงานภายใน สบพ. เพื่อการสร้างองค์ความรู้ ในด้านการบริหารและการกํากับดูแลข้อมูลตามหลักธรรมาภิบาลข้อมูลภาครัฐ และการคุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล โดยมีรายละเอียดตามข้อ ๗
๓. การจัดทําธรรมาภิบาลข้อมูลภาครัฐของ สบพ. (Data Governance) และกําหนดชุดข้อมูลหลัก (Master Data Set) ดังนี
๓.๑ ศึกษาและรวบรวมรายละเอียดของกฎหมาย ระเบียบ ข้อบังคับ แนวนโยบาย และแนวปฏิบัติ ที่เกี่ยวข้องกับการกํากับดูแลข้อมูล และสรุปแสดงให้เห็นถึงส่วนสําคัญหรือประเด็นที่เกี่ยวข้องในการบริหารจัดการ และกํากับดูแลข้อมูลของ สบพ.
๓.๒ ศึกษาสถาปัตยกรรมองค์กร ของ สบพ. (Enterprise Architecture) และแผนปฏิบัติการดิจิทัล ของ สบพ. พ.ศ. ๒๕๖๔-๒๕๖8 เพื่อเป็นข้อมูลประกอบการจัดทําวิธีบริหารจัดการและกํากับดูแลข้อมูล สบพ.
๓.๓ จัดทําประเมินระดับความพร้อม (Maturity Assessment) ในการดําเนินการกํากับดูแลข้อมูล ตามกรอบธรรมาภิบาลข้อมูลภาครัฐ และนําผลการประเมินนําเสนอต่อผู้บริหารของ สบพ.
๓.๔ จัดทําคู่มือการกํากับดูแลและบริหารจัดการข้อมูลที่ดี (Data Governance Handbook) ของ สบพ. ให้มีความเหมาะสมกับภารกิจองค์กร โดยมีความสอดคล้องเป็นไปตามประกาศคณะกรรมการพัฒนา รัฐบาลดิจิทัล เรื่อง ธรรมาภิบาลข้อมูลภาครัฐ ลงวันที่ ๑๒ มีนาคม ๒๕๖๓ และมีองค์ประกอบอย่างน้อย ดังนี้
๑) โครงสร้างธรรมาภิบาลข้อมูลภาครัฐ (Data Governance Structure)

  • โครงสร้างของบุคลากรที่รับผิดชอบในธรรมาภิบาลข้อมูลภาครัฐ (Data Governance Structure)
  • บทบาทและความรับผิดชอบ (Roles and Responsibilities)
    ๒) กระบวนการธรรมาภิบาลข้อมูลภาครัฐ (Data Governance Processes)
  • กระบวนการ ขั้นตอนที่ใช้สําหรับกํากับดูแลข้อมูลที่ดี
  • แนวทางการจัดการกระบวนการธรรมาภิบาลข้อมูลภาครัฐ (Data Governance Process Guidelines)
    ๓) สภาพแวดล้อมของธรรมาภิบาลข้อมูล (Data Governance Environment)
  • กฎหมาย ระเบียบ ข้อบังคับ แนวนโยบาย และแนวปฏิบัติที่เกี่ยวข้องกับธรรมาภิบาลข้อมูลภาครัฐ
  • หลักการของสภาพแวดล้อมและวัฒนธรรมของหน่วยงานที่เอื้อต่อการมีธรรมาภิบาลข้อมูลภาครัฐ
    ๔) การนิยามข้อมูล (Data Definition)
  • หมวดหมู่ของข้อมูล (Data Category)
  • คําอธิบายชุดข้อมูลดิจิทัล (Metadata)
  • บัญชีข้อมูล (Data Catalog)
  • คลังเมทาดาตา (Metadata Repository) หรือพจนานุกรมข้อมูล (Data Dictionary)
    ๕) กฎเกณฑ์ข้อมูล (Data Rules)
  • นโยบายข้อมูล (Data Policies)
  • มาตรฐานข้อมูล (Data Standards)
    6) การวัดการดําเนินการและความสําเร็จของธรรมาภิบาลข้อมูลภาครัฐ (Data Governance Metrics and Success Measures)
  • การประเมินความพร้อมของธรรมาภิบาลข้อมูลภาครัฐ (Data Governance Readiness Assessment)
  • การประเมินคุณภาพของข้อมูล (Data Quality Assessment)
    ๓.๕ ศึกษา วิเคราะห์ จัดทําทะเบียนข้อมูลสําคัญ (Master Data) ที่สอดคล้องกับภารกิจและ พันธกิจหลักของ สบพ. พร้อมจัดทําคําอธิบายข้อมูลดิจิทัล (Metadata) บัญชีข้อมูล (Data Catalog) และ พจนานุกรมข้อมูล (Data Dictionary) ของชุดข้อมูลสําคัญ (Master Data) โดยให้สอดคล้องหลักเกณฑ์ แนวทางการจัดทําธรรมาภิบาลข้อมูลภาครัฐ (Data Governance for Government) ที่สํานักงานพัฒนารัฐบาล ดิจิทัล (สพร.) ประกาศกําหนด โดยประชุมกลุ่มย่อย (Focus Group) แก่หน่วยงานที่เกี่ยวข้อง ซึ่งชุดข้อมูลสําคัญ (Master Data) ต้องประกอบด้วยอย่างน้อยดังต่อไปนี้
    ๑) ข้อมูลด้านบุคลากร
    ๒) ข้อมูลนักศึกษา
    ๓) ข้อมูลหลักสูตร
    ๔) ข้อมูลด้านบัญชีและการเงิน
    ๕) ข้อมูลงบประมาณ
    ๖) ข้อมูลจัดซื้อจัดจ้างและคลังพัสดุ
    ๓.๖ จัดทํานโยบายและแนวปฏิบัติในการจัดทําธรรมาภิบาลข้อมูลของ สบพ.
    ๓.๗ กําหนดแนวทางการติดตามและวัดผลการดําเนินการและความสําเร็จของการกํากับดูแลและ บริหารจัดการข้อมูลที่ดี (Data Governance Metrics and Success Measures) รวมถึงการประเมินคุณภาพ ของข้อมูล (Data Quality Assessment) และการประเมินความมั่นคงปลอดภัยของข้อมูล ได้แก่
    ๑) ข้อมูลมีความถูกต้อง (Accuracy)
    ๒) ข้อมูลมีความครบถ้วน (Completeness)
    ๓) ข้อมูลมีความเป็นปัจจุบัน (Timeliness)
    ๔) ข้อมูลมีความพร้อมใช้ (Availability)
    ๕) ข้อมูลมีความมั่นคงปลอดภัย และไม่ถูกละเมิดความเป็นส่วนบุคคล (Confidential)
    ๖) ข้อมูลสามารถเชื่อมโยง แลกเปลี่ยน บูรณาการ และใช้ประโยชน์ได้
    ๓.๘ จัดสัมมนาเพื่อนําเสนอแนวทางการบริหารและการกํากับดูแลข้อมูลตามหลักธรรมาภิบาล ภาครัฐแก่หน่วยงานภายในและผู้มีส่วนได้ส่วนเสีย
    ๔. การดําเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลของ สบพ.
    ๔.๑ ศึกษา วิเคราะห์ และจัดทําเอกสาร ให้สอดคล้อง ถูกต้องตามกฎหมาย และภารกิจ การดําเนินงานของ สบพ. โดยที่ปรึกษาจะต้องศึกษาวิเคราะห์ ภารกิจกรดําเนินงานของ สบพ. รวมทั้งหารือกับ เจ้าหน้าที่ หรือคณะกรรมการที่เกี่ยวข้อง ให้คําแนะนําและหาข้อสรุปในประเด็นต่างๆ ให้เป็นไปตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ อย่างน้อยประกอบด้วย
    ๑) นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
    ๒) คําประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notice)
    ๓) เอกสารแสดงความยินยอม (Consent Form)
    ๔) ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล
    ๕) แนวปฏิบัติสําหรับการดําเนินการของผู้ควบคุมข้อมูลส่วนบุคคล เพื่อให้เป็นไปตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
    ๖) แนวปฏิบัติในการบันทึกรายการประมวลผลข้อมูลส่วนบุคคลของ สบพ. เพื่อให้เป็นไปตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
    ๗) นโยบายคุกกี้ (Cookies Policy)
    ๘) ข้อตกลงการแบ่งปันข้อมูลส่วนบุคคล (Personal Data Sharing Agreement)
    ๙) แบบคําร้องขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights Request Form)
    ๑๐) หนังสือตอบกลับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights Responding)
    ๑๑) หนังสือแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล (Personal Data Breach Notification)
    ๑๒) คําประกาศเกี่ยวกับความเป็นส่วนตัวในการใช้กล้องวงจรปิด (CCTV Privacy Notice)
    ๑๓) แบบฟอร์มใบสมัครงาน
    ๑๔) สัญญาจ้างปฏิบัติงาน
    ๑๕) คําประกาศเกี่ยวกับความเป็นส่วนตัวสําหรับผู้สมัครงานและผู้ปฏิบัติงาน
    ๑๖) ข้อตกลงการเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วม (Joint Controller Agreement)
    ๔.๒ ศึกษา วิเคราะห์ การดําเนินงานของ สบพ. ในปัจจุบัน และจัดทํารายงานความเสี่ยงขององค์กร ที่มีโอกาสเข้าข่ายความไม่สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
    ๔.๓ สํารวจและออกแบบรายละเอียดทางเทคนิคที่ต้องการเพื่อการคุ้มครองข้อมูลส่วนบุคคล ที่สอดคล้องตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล เพื่อจัดทําแผนการปรับปรุง (PDPA Roadmap) ด้านบุคลากร (People) กระบวนการ (Process) และเทคโนโลยี (Technology) พร้อมกําหนดความต้องการทางเทคนิค สถาปัตยกรรมของระบบ และประมาณการงบประมาณในการดําเนินงาน ของ สบพ. เพื่อให้บรรลุวัตถุประสงค์ตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
    ๔.๔ จัดทําคู่มือวิธีการประเมินผลกระทบและการประเมินความเสี่ยงด้านการคุ้มครองข้อมูล ส่วนบุคคลของ สบพ.
    ๔.๕ จัดทํามาตรการ/แผนงานป้องกันการรั่วไหลของข้อมูล ของ สบพ. ให้สอดคล้องตามแนวทาง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๐
    ๔.๖ จัดสัมมนาเพื่อนําเสนอแนวทางการบริหารการคุ้มครองข้อมูลส่วนบุคคลตามตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลแก่หน่วยงานภายในและผู้มีส่วนได้ส่วนเสีย
    ๕. การดําเนินงานของที่ปรึกษาต้องผูกพันธ์รับผิดชอบในการดําเนินงาน ต่อเนื่องจนกว่าจะบรรลุผลสําเร็จ ที่ถูกต้องตามกฎหมาย และนํามาใช้งานได้จริง เช่น หากในขณะที่ ระเบียบ กฎหมาย ข้อบังคับ มีการเปลี่ยนแปลง เพิ่มเติมที่ปรึกษาต้องปรับปรุงแก้ไขให้สมบูรณ์เป็นไปตาม ระเบียบ กฎหมาย ข้อบังคับนั้นที่ได้มีการเปลี่ยนแปลง หรือเพิ่มเติมนั้นด้วย