ประกาศมหาวิทยาลัย

นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๕

ดาวน์โหลดเอกสารฉบับเต็ม

โดยที่มหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย มีการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลของบุคลากร นิสิต นักศึกษา ผู้รับบริการ ผู้มีส่วนได้ส่วนเสีย และบุคคลอื่น เพื่อการดำเนินงานด้านต่าง ๆ ของมหาวิทยาลัย จึงเป็นการสมควรที่มหาวิทยาลัยจะกำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) ให้สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้การดำเนินงานของมหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย เป็นไปด้วยความเรียบร้อย มีการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสมและได้มาตรฐาน

อาศัยอำนาจตามความในมาตรา ๒๗ (๑) แห่งพระราชบัญญัติมหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย พ.ศ. ๒๕๔๐ และมติที่ประชุมคณะกรรมการดำเนินโครงการอบรมสัมมนาให้ความรู้แก่ผู้บริหาร และผู้มีส่วนเกี่ยวข้อง ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ในคราวประชุมครั้งที่ ๑/๒๕๖๕ เมื่อวันที่ ๒๕ มกราคม พ.ศ. ๒๕๖๕ จึงกำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลไว้ ดังต่อไปนี้

ข้อ ๑

ประกาศนี้เรียกว่า “ประกาศมหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๕”

ข้อ ๒

ให้ใช้ประกาศนี้ตั้งแต่วันถัดจากวันประกาศเป็นต้นไป

ข้อ ๓

บรรดาประกาศ คำสั่งหรือข้อกำหนดอื่นใดที่ขัดหรือแย้งกับประกาศนี้ ให้ใช้ประกาศนี้แทน

ข้อ ๔

ในประกาศนี้

  • “มหาวิทยาลัย” หมายความว่า มหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย
  • “ส่วนงาน” หมายความว่า ส่วนงานตามประกาศมหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย เรื่อง การแบ่งส่วนงาน พ.ศ. ๒๕๕๖
  • “อธิการบดี” หมายความว่า อธิการบดีมหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย
  • “คณะกรรมการ” หมายความว่า คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย
  • “บุคลากร” หมายความว่า ผู้ปฏิบัติงานในมหาวิทยาลัยโดยได้รับค่าจ้างจากงบประมาณแผ่นดิน หรือเงินรายได้ของมหาวิทยาลัย รวมถึงผู้ปฏิบัติงานให้แก่มหาวิทยาลัยโดยไม่รับค่าจ้าง
  • “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ซึ่งรวมถึงข้อมูลส่วนบุคคลของบุคลากร นิสิต นักศึกษา ผู้รับบริการ และผู้มีส่วนได้ส่วนเสีย แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
  • “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือส่วนงาน ซึ่งมีหน้าที่และอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ข้อ ๕

ให้อธิการบดีแต่งตั้งคณะกรรมการคณะหนึ่งเรียกว่า “คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย” โดยคำแนะนำของคณะกรรมการประจำสำนักหอสมุดและเทคโนโลยีสารสนเทศ ประกอบด้วย

  1. (๑) ประธานกรรมการ ได้แก่ อธิการบดีหรือรองอธิการบดีที่อธิการบดีมอบหมาย
  2. (๒) กรรมการผู้ดำรงตำแหน่ง รองอธิการบดี ผู้ช่วยอธิการบดี คณบดี ผู้อำนวยการ หรือหัวหน้าส่วนงานที่เรียกชื่ออย่างอื่นที่มีฐานะเทียบเท่าคณะ จำนวนเจ็ดรูปหรือคน
  3. (๓) กรรมการผู้ทรงคุณวุฒิ จำนวนสามรูปหรือคน
  4. (๔) กรรมการและเลขานุการ ได้แก่ ผู้อำนวยการสำนักหอสมุดและเทคโนโลยีสารสนเทศ
  5. (๕) กรรมการและผู้ช่วยเลขานุการ จำนวนสามรูปหรือคน ได้แก่ ผู้อำนวยการกองกลาง ผู้อำนวยการกองนิติการ และผู้อำนวยการสำนักงานตรวจสอบภายใน

อธิการบดีอาจแต่งตั้งผู้ปฏิบัติงานในมหาวิทยาลัยเป็นผู้ช่วยเลขานุการ จำนวนไม่เกินสองรูปหรือคน โดยคำแนะนำของกรรมการและเลขานุการ

ข้อ ๖

กรรมการตามข้อ ๕ (๒) และ (๓) มีวาระการดำรงตำแหน่งคราวละสามปี แต่อาจได้รับการแต่งตั้งอีกได้ นอกจากพ้นจากตำแหน่งตามวาระแล้ว กรรมการตามข้อ ๕ (๒) และ (๓) พ้นจากตำแหน่ง เมื่อ

  • (๑) มรณภาพหรือตาย
  • (๒) ลาออก
  • (๓) ขาดคุณสมบัติของการเป็นกรรมการในประเภทนั้น

ในกรณีมีกรรมการตามข้อ ๕ (๒) และ (๓) พ้นจากตำแหน่งก่อนครบวาระและมีการแต่งตั้งผู้ดำรงตำแหน่งแทนแล้ว ให้ผู้ที่ได้รับแต่งตั้งเป็นกรรมการแทนนั้นอยู่ในตำแหน่งเพียงเท่าวาระที่เหลืออยู่ของผู้พ้นสภาพจากตำแหน่ง

ในกรณีที่มีกรรมการตามข้อ ๕ (๒) และ (๓) พ้นจากตำแหน่งตามวาระ แต่ยังมิได้แต่งตั้งกรรมการขึ้นใหม่ ให้กรรมการซึ่งพ้นจากตำแหน่งปฏิบัติหน้าที่ต่อไปจนกว่าจะได้การแต่งตั้งกรรมการใหม่ แต่ทั้งนี้ต้องไม่เกินเก้าสิบวัน

ข้อ ๗

ให้คณะกรรมการประชุมปีละไม่น้อยกว่าสองครั้ง วิธีการประชุมให้นำข้อบังคับมหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย ว่าด้วยการประชุมสภามหาวิทยาลัยมาใช้โดยอนุโลม

ข้อ ๘

ให้คณะกรรมการ มีหน้าที่และอำนาจ ดังนี้

  • (๑) ดำเนินงานด้านส่งเสริมและคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคล
  • (๒) กำหนดหลักเกณฑ์และแนวทางปฏิบัติการให้ความคุ้มครองข้อมูลส่วนบุคคล
  • (๓) ส่งเสริมและสนับสนุนการคุ้มครองข้อมูลส่วนบุคคล
  • (๔) แต่งตั้งคณะอนุกรรมการหรือคณะทำงาน เพื่อปฏิบัติงานภายใต้หน้าที่และอำนาจของคณะกรรมการ
  • (๕) ตีความ วินิจฉัยการขอเปิดเผยข้อมูลส่วนบุคคล และวินิจฉัยปัญหาที่เกิดจากการใช้ ประกาศนี้
  • (๖) ปฏิบัติการอื่นใดตามที่ได้รับมอบหมายจากมหาวิทยาลัย
ข้อ ๙

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัย จะต้องสอดคล้องกับหลักการคุ้มครองข้อมูลส่วนบุคคล ดังนี้

  • เป็นการดำเนินการโดยชอบด้วยกฎหมาย มีความโปร่งใสและสามารถตรวจสอบได้ (Lawfulness, Fairness and Transparency)
  • เป็นการดำเนินการภายใต้ขอบเขตและวัตถุประสงค์ที่มหาวิทยาลัยกำหนด และไม่นำไปใช้หรือเปิดเผยนอกเหนือขอบเขตและวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลนั้น (Purpose Limitation)
  • เป็นการดำเนินการอย่างเพียงพอ เกี่ยวข้อง และเท่าที่จำเป็นตามวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Data Minimization)
  • เป็นการดำเนินการที่ถูกต้องและดำเนินให้ข้อมูลเป็นปัจจุบันในกรณีที่จำเป็น (Accuracy)
  • เป็นการดำเนินการตามระยะเวลาเท่าที่จำเป็น (Storage Limitation)
  • เป็นการดำเนินการที่มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม (Integrity and Confidentiality)
ข้อ ๑๐

ข้อมูลส่วนบุคคลที่มหาวิทยาลัยเก็บรวบรวม ใช้ หรือเปิดเผย จะต้องเป็นไปเพื่อการดำเนินงานตามหน้าที่และอำนาจของมหาวิทยาลัยภายใต้ภารกิจหลัก เพื่อให้บรรลุวัตถุประสงค์ของมหาวิทยาลัย การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัยตามวรรคหนึ่ง ต้องเป็นไปตามบทบัญญัติของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่นที่เกี่ยวข้อง

ข้อ ๑๑

ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เพื่อการดำเนินงานด้านต่าง ๆ ของมหาวิทยาลัย มหาวิทยาลัยถือเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล มหาวิทยาลัยและทุกส่วนงานของมหาวิทยาลัยจึงต้องปฏิบัติตามหน้าที่ที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

ข้อ ๑๒

การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการดำเนินงานของมหาวิทยาลัย จะต้องเป็นไปตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะที่เก็บรวบรวม เว้นแต่จะได้แจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว หรือบทบัญญัติแห่งกฎหมายบัญญัติให้กระทำได้

ข้อ ๑๓

มหาวิทยาลัยจะเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการดำเนินงานของมหาวิทยาลัยได้เท่าที่จำเป็น ตามระยะเวลาการเก็บรักษาที่จำเป็นและเหมาะสม ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย โดยอาศัยฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล (Lawful Basis for Processing Personal Data) ที่สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

ข้อ ๑๔

ในกรณีที่มหาวิทยาลัยใช้ฐานความยินยอมในการเก็บรวบรวม หรือเปิดเผยข้อมูลส่วนบุคคล การขอความยินยอมต้องทำให้ชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้ และในการขอความยินยอม มหาวิทยาลัยจะต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว

ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล มหาวิทยาลัยต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทำสัญญา ซึ่งรวมถึงการให้บริการใด ๆ ของมหาวิทยาลัย ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ

เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมที่ได้ให้ไว้เสียเมื่อใดก็ได้ โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบ อย่างไรก็ตาม ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด มหาวิทยาลัยจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอมนั้น

ข้อ ๑๕

ในการขอความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรส หรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วตามมาตรา ๒๗ แห่งประมวลกฎหมายแพ่งและพาณิชย์ รวมทั้งข้อมูลส่วนบุคคลของคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ หรือการถอนความยินยอมของบุคคลดังกล่าว มหาวิทยาลัยจะดำเนินการให้เป็นไปตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลบัญญัติ

ข้อ ๑๖

ในการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการดำเนินงานของมหาวิทยาลัย มหาวิทยาลัยจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบรายละเอียดตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด (Privacy Notice) ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล

ข้อ ๑๗

ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ซึ่งอาจรวมถึงข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด มหาวิทยาลัยมีหน้าที่คุ้มครองข้อมูลส่วนบุคคลดังกล่าวเป็นพิเศษจากการเก็บรวบรวม ใช้ หรือเปิดเผยที่มิชอบหรือเกินความจำเป็น และจะต้องได้รับความยินยอมโดยชัดแจ้ง (Explicit Consent) จากเจ้าของข้อมูลส่วนบุคคล เว้นแต่จะอาศัยฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล (Lawful Basis for Processing Personal Data) อื่นที่สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

ข้อ ๑๘

การจัดกิจกรรมหลักส่วนหนึ่งในการดำเนินงานของมหาวิทยาลัย เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามข้อ ๑๗ มหาวิทยาลัยจะต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) เพื่อปฏิบัติหน้าที่ตามที่กฎหมายกำหนด และมหาวิทยาลัยจะต้องสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่ด้วย และจะต้องดูแลให้การปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลดังกล่าวเป็นไปโดยอิสระ ปราศจากการแทรกแซง ทั้งนี้ ในกรณีที่มีปัญหาในการปฏิบัติหน้าที่ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะต้องสามารถรายงานไปยังอธิการบดี หัวหน้าส่วนงานที่เกี่ยวข้อง หรือผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของมหาวิทยาลัยโดยตรงได้

ข้อ ๑๙

เพื่อประโยชน์ในการดำเนินงานของมหาวิทยาลัยและการให้บริการแก่เจ้าของข้อมูลส่วนบุคคล มหาวิทยาลัยอาจมีความจำเป็นในการเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลธรรมดาหรือนิติบุคคลอื่นทั้งในและต่างประเทศ ที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล หรือเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยในการเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลธรรมดาหรือนิติบุคคลดังกล่าว มหาวิทยาลัยจะดำเนินการให้บุคคลเหล่านั้นเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวไว้เป็นความลับ และป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากขอบเขตที่มหาวิทยาลัยกำหนด หรือโดยปราศจากอำนาจหรือโดยมิชอบ

ข้อ ๒๐

ในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ มหาวิทยาลัยจะดำเนินการเพื่อให้มั่นใจว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลดังกล่าวมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ เว้นแต่เป็นกรณีตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด

ข้อ ๒๑

มหาวิทยาลัยจะต้องจัดให้มีช่องทางและอำนวยความสะดวกให้แก่เจ้าของข้อมูลส่วนบุคคลหรือผู้มีอำนาจกระทำการแทนในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ซึ่งรวมถึงสิทธิดังต่อไปนี้

  • (๑) สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของมหาวิทยาลัย หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม (Right of Access)
  • (๒) สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากมหาวิทยาลัย ในกรณีที่มหาวิทยาลัยได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งสิทธิขอให้มหาวิทยาลัยส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ และสิทธิขอรับข้อมูลส่วนบุคคลที่มหาวิทยาลัยส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้ (Right to Data Portability)
  • (๓) สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน (Right to Object)
  • (๔) สิทธิขอให้มหาวิทยาลัยดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (Right to Erasure)
  • (๕) สิทธิขอให้มหาวิทยาลัยระงับการใช้ข้อมูลส่วนบุคคล (Right to Restriction of Processing)
  • (๖) สิทธิร้องขอให้มหาวิทยาลัยดำเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด (Right to Rectification)

ทั้งนี้ ตามกฎหมายบัญญัติ และมหาวิทยาลัยอาจปฏิเสธการใช้สิทธิดังกล่าวข้างต้นของเจ้าของข้อมูลส่วนบุคคลหรือผู้มีอำนาจกระทำการแทนได้หากไม่ขัดต่อกฎหมาย

ข้อ ๒๒

เพื่อเป็นการคุ้มครองข้อมูลส่วนบุคคล มหาวิทยาลัยและส่วนงานจะต้องจัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสมเพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้แปลง แก้ไขหรือเปิดเผยข้อมูลโดยมิชอบ และจะต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ต้องเป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

ข้อ ๒๓

ในกรณีที่มีเหตุการณ์ละเมิดข้อมูลส่วนบุคคล ส่วนงานจะต้องแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลดังกล่าวให้มหาวิทยาลัย และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัยทราบตามหลักเกณฑ์ วิธีการ และเงื่อนไขที่มหาวิทยาลัยประกาศกำหนด และมหาวิทยาลัยจะต้องดำเนินการแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลดังกล่าวแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือเจ้าของข้อมูลส่วนบุคคล แล้วแต่กรณี ให้เป็นไปตามที่กฎหมายกำหนด

ข้อ ๒๔

มหาวิทยาลัยจะต้องให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตลอดจนหน่วยงานที่กำกับดูแลหรือมีหน้าที่และอำนาจตามกฎหมายที่เกี่ยวข้อง เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปตามที่กฎหมายบัญญัติ

ข้อ ๒๕

ผู้บริหาร บุคลากร นิสิตและนักศึกษาทุกระดับของส่วนงานภายในมหาวิทยาลัย จะต้องให้ความร่วมมือและปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่น ตลอดจนนโยบาย แนวปฏิบัติ และมาตรการการคุ้มครองข้อมูลส่วนบุคคลที่มหาวิทยาลัยกำหนดขึ้นตามประกาศนี้

มหาวิทยาลัยและส่วนงานมีหน้าที่กำกับดูแลให้ผู้บริหาร บุคลากร นิสิตและนักศึกษาของมหาวิทยาลัยหรือส่วนงานปฏิบัติตามกฎหมาย นโยบาย แนวปฏิบัติ และมาตรการตามวรรคหนึ่ง

ให้มหาวิทยาลัยและส่วนงานดำเนินการให้การคุ้มครองข้อมูลส่วนบุคคล เป็นส่วนหนึ่งของการบริหารความเสี่ยงองค์กร (Enterprise Risk Management) ของมหาวิทยาลัยและส่วนงาน ที่มีการควบคุมความเสี่ยงอย่างเหมาะสมและมีการติดตามและทบทวนอย่างสม่ำเสมอ

ข้อ ๒๖

มหาวิทยาลัยจะต้องจัดให้มีระบบการจัดการข้อร้องเรียนเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลตามหลักเกณฑ์และวิธีการที่มหาวิทยาลัยกำหนด

ข้อ ๒๗

ผู้บริหารและบุคลากรที่เกี่ยวข้องของมหาวิทยาลัยและส่วนงาน มีหน้าที่เตรียมการเพื่อให้การดำเนินงานของมหาวิทยาลัยและส่วนงานสอดคล้องกับบทบัญญัติแห่งกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ตามกำหนดเวลาที่บัญญัติดังกล่าวจะมีผลใช้บังคับ และมีหน้าที่กำกับดูแลและดำเนินการให้การดำเนินงานหลังจากนั้นเป็นไปตามบทบัญญัติแห่งกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และประกาศฉบับนี้

ข้อ ๒๘

มหาวิทยาลัยจะต้องจัดให้มีการอบรมหรือให้ความรู้แก่บุคลากร นิสิต นักศึกษา และบุคคลอื่นที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลให้ตระหนักในหน้าที่และความรับผิดชอบในการคุ้มครองข้อมูลส่วนบุคคลตามประกาศฉบับนี้

ข้อ ๒๙

มหาวิทยาลัยจะต้องกำหนดให้มีการทบทวนนโยบายอย่างน้อยปีละหนึ่งครั้ง หรือเมื่อมีเหตุการณ์สำคัญที่อาจจะส่งผลกระทบอย่างมีนัยสำคัญต่อข้อมูลส่วนบุคคลหรือการดำเนินงานของมหาวิทยาลัย

ข้อ ๓๐

ในกรณีที่มีปัญหาในการตีความ หรือการปฏิบัติตามประกาศนี้ ให้อธิการบดีเป็นผู้วินิจฉัยและการวินิจฉัยของอธิการบดีให้ถือเป็นที่สิ้นสุด

ข้อ ๓๑

ให้อธิการบดีรักษาการให้เป็นไปตามประกาศนี้

ประกาศ ณ วันที่ ๒๒ เมษายน พ.ศ. ๒๕๖๕

ดาวน์โหลดประกาศฉบับเต็ม (PDF)

เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว 

Allow
Privacy Preferences

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

Allow All
Manage Consent Preferences
  • Always Active

Save
BRIMCU AI

BRIMCU AI

การบริการเอไอตอบข้อมูลแก่นักวิจัย

คลิกที่นี่เพื่อเริ่มใช้งาน