SISAKET RAJABHAT UNIVERSTIY
นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2565
อาศัยอำนาจตามความในมาตรา 31 (1) แห่งพระราชบัญญัติมหาวิทยาลัยราชภัฏ พ.ศ. 2547 และมาตรา 37 และมาตรา 40 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กอปรกับมติคณะกรรมการบริหารมหาวิทยาลัยราชภัฏศรีสะเกษ (ก.บ.) ในคราวประชุมครั้งที่ 2/2565 เมื่อวันที่ ๒๓ กุมภาพันธ์ พ.ศ. 2565 จึงออกประกาศไว้ ดังนี้
ข้อ 1 ประกาศนี้เรียกว่า “ประกาศมหาวิทยาลัยราชภัฏศรีสะเกษ เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2565”
ข้อ 2 ให้ใช้ประกาศนี้ตั้งแต่วันถัดจากวันประกาศเป็นต้นไป
ข้อ 3 ในประกาศนี้
“มหาวิทยาลัย” หมายความว่า มหาวิทยาลัยราชภัฏศรีสะเกษ
“อธิการบดี” หมายความว่า อธิการบดีมหาวิทยาลัยราชภัฏศรีสะเกษ
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมทั้งข้อมูลที่อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์หรือเอกสาร แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล” หมายความว่า การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
“หน่วยงาน” หมายความว่า คณะ วิทยาลัย สำนัก สถาบัน ศูนย์ หรือหน่วยงาน
ที่เรียกชื่ออย่างอื่นตามกฎกระทรวง และหมายความรวมถึงกองตามประกาศกระทรวง และส่วนงานภายในที่สภามหาวิทยาลัยราชภัฏศรีสะเกษมีมติให้จัดตั้ง ในสังกัดมหาวิทยาลัยราชภัฏศรีสะเกษ
“บุคลากร” หมายความว่า ข้าราชการ พนักงานราชการ และพนักงานมหาวิทยาลัย สังกัดมหาวิทยาลัยราชภัฏศรีสะเกษ และหมายความรวมถึงพนักงาน ลูกจ้าง หรือผู้ปฏิบัติงานอื่นในหน่วยงานภายในมหาวิทยาลัย
“นักศึกษา” หมายความว่า นักศึกษามหาวิทยาลัยราชภัฏศรีสะเกษ
“นักเรียน” หมายความว่า นักเรียนโรงเรียนสาธิตมหาวิทยาลัยราชภัฏศรีสะเกษ
“เจ้าของข้อมูลส่วนบุคคล” หมายความว่า ผู้ใช้บริการซึ่งเป็นบุคลากรผู้ปฏิบัติงาน
ในมหาวิทยาลัยราชภัฏศรีสะเกษ นักเรียน นักศึกษา หรือประชาชนทั่วไปที่มาติดต่อราชการ รับบริการ หรือทำนิติกรรมหรือธุรกรรมอื่นใดกับมหาวิทยาลัยหรือหน่วยงานภายในมหาวิทยาลัย
ข้อ 4 การเก็บรวมรวม ใช้ การเปิดเผยข้อมูลส่วนบุคคล หรือการดำเนินการอื่นใดเกี่ยวกับข้อมูลส่วนบุคคล มหาวิทยาลัยและหน่วยงานต้องถือปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒ และกฎหมายที่เกี่ยวข้อง และเท่าที่จำเป็นตามวัตถุประสงค์การใช้งาน
ข้อ 5 มหาวิทยาลัยหรือหน่วยงานจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลจะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะนั้น เว้นแต่เรื่องใดมีกฎหมาย กฎ มติคณะรัฐมนตรี หรือมติคณะกรรมการที่เกี่ยวข้องที่ให้อำนาจกระทำได้
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรสหรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วตามมาตรา ๒๗ แห่งประมวลกฎหมายแพ่งและพาณิชย์ การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าวให้ดำเนินการ ดังต่อไปนี้
(1) ในกรณีที่การให้ความยินยอมของผู้เยาว์ไม่ใช่การใด ๆ ซึ่งผู้เยาว์อาจให้ความยินยอมโดยลำพัง ได้ตามที่บัญญัติไว้ในมาตรา ๒๒ มาตรา ๒๓ หรือมาตรา ๒๔ แห่งประมวลกฎหมายแพ่งและพาณิชย์ ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย
(2) ในกรณีที่ผู้เยาว์มีอายุไม่เกินสิบปี ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
ข้อ 6 การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของมหาวิทยาลัย
การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ห้ามมิให้มหาวิทยาลัยและหน่วยงานใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้ โดยได้รับยกเว้นไม่ต้องขอความยินยอม ดังนี้
(1) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
(2) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
(3) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
(4) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของมหาวิทยาลัยหรือหน่วยงาน
(5) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของมหาวิทยาลัยหรือหน่วยงาน เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
(6) เป็นการปฏิบัติตามมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมายของมหาวิทยาลัย และกฎหมายที่เกี่ยวข้อง
ข้อ ๗ มหาวิทยาลัยหรือหน่วยงานต้องดำเนินการเพื่อให้ข้อมูลของเจ้าของข้อมูลส่วนบุคคลมีความถูกต้อง สมบูรณ์ ชัดเจน และเป็นปัจจุบัน
ข้อ 8 ในกรณีที่มีการว่าจ้างหรือมอบหมายให้บุคคลภายนอกดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล มหาวิทยาลัยหรือหน่วยงานต้องพิจารณาดำเนินการโดยใช้ความระมัดระวังและมีมาตรการอย่างเหมาะสมในการกำกับดูแลควบคุมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
ข้อ 9 มหาวิทยาลัยหรือหน่วยงานต้องจัดให้มีช่องทางในการติดต่อจากเจ้าของข้อมูลส่วนบุคคลเพื่อตรวจสอบ หรือร้องขอให้ปรับปรุงข้อมูลให้มีความทันสมัยอยู่เสมอ
เจ้าของข้อมูลส่วนบุคคลมีสิทธิ์ที่จะร้องขอเพื่อตรวจสอบข้อมูลส่วนบุคคลของตน และสามารถร้องขอให้การเปลี่ยนแปลงข้อมูลส่วนบุคคลให้ตรงตามความเป็นจริงได้
ข้อ 10 เพื่อการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้อง ให้มหาวิทยาลัยหรือหน่วยงานดำเนินการ ดังนี้
(1) ผู้บริหาร บุคลากร นักเรียน และนักศึกษาทุกระดับของหน่วยงานภายในมหาวิทยาลัยจะต้องให้ความร่วมมือและปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้อง ตลอดจนนโยบาย แนวปฏิบัติและมาตรการคุ้มครองข้อมูลส่วนบุคคลที่มหาวิทยาลัยกำหนดขึ้นตามประกาศนี้
(2) ดำเนินการให้เจ้าของข้อมูลส่วนบุคคลเข้าถึงสิทธิเกี่ยวกับข้อมูลส่วนบุคคลของตนตามที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และจะต้องแจ้งเจ้าของข้อมูลส่วนบุคคลได้ทราบถึงวัตถุประสงค์ในการจัดเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว
(3) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบด้วยกฎหมาย ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่กฎหมายกำหนด
(4) ให้หน่วยงานมีหน้าที่ดำเนินการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่อยู่ในรูปแบบเอกสารหรือรูปแบบอิเล็กทรอนิกส์ ให้เป็นไปตามมาตรฐานที่กฎหมายกำหนด
(5) จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม
(6) ทบทวนลักษณะการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัย หรือหน่วยงานให้มีการปฏิบัติที่เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้อง หากพบว่ามีการปฏิบัติที่อาจไม่ถูกต้อง ให้มหาวิทยาลัยหรือหน่วยงานดำเนินการปรับปรุงให้ถูกต้องตามกฎหมายตอ่ไป และแจ้งให้อธิการบดีทราบ
(7) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่ออธิการบดีโดยไม่ชักช้าภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล
(8) ให้มหาวิทยาลัยและหน่วยงานดำเนินการให้การคุ้มครองข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของการบริหารความเสี่ยง (Enterprise Risk Management) ของมหาวิทยาลัยและหน่วยงานที่มีการควบคุมความเสี่ยงอย่างเหมาะสมและมีการติดตามทบทวนอย่างสม่ำเสมอ
(9) ปฏิบัติหน้าที่อื่น ๆ ตามที่อธิการบดีมอบหมาย หรือที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ข้อ 11 มหาวิทยาลัยและหน่วยงานต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (access control) โดยอย่างน้อยต้องประกอบด้วยการดำเนินการ ดังต่อไปนี้
(1) การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย
(2) การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล
(3) การบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว
(4) การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึง ข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล
(5) การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบหรือ ถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล
ข้อ 12 ข้อมูลส่วนบุคคลที่มหาวิทยาลัยหรือหน่วยงานได้เก็บรวบรวมไว้ก่อนวันที่ประกาศนี้ใช้บังคับ ให้มหาวิทยาลัยหรือหน่วยงานสามารถเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม ทั้งนี้ หน่วยงานต้องกำหนดวิธีการยกเลิกความยินยอมและเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้มหาวิทยาลัย หรือหน่วยงานเก็บรวมรวม และใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย
ข้อ 13 ให้อธิการบดีรักษาการตามประกาศนี้ ในกรณีที่มีปัญหาต้องวินิจฉัยเกี่ยวกับการปฏิบัติตามประกาศนี้ ให้อธิการบดีเป็นผู้มีอำนาจวินิจฉัยสั่งการตามเห็นสมควร
ประกาศ ณ วันที่ 25 พฤษภาคม พ.ศ. 2565