ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศมหาวิทยาลัยราชภัฏศรีสะเกษ เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๕”
      ข้อ ๒ ให้ใช้ประกาศนี้ตั้งแต่วันถัดจากวันประกาศเป็นต้นไป
      ข้อ ๓ ในประกาศนี้
      “มหาวิทยาลัย” หมายความว่า มหาวิทยาลัยราชภัฏศรีสะเกษ
      “อธิการบดี” หมายความว่า อธิการบดีมหาวิทยาลัยราชภัฏศรีสะเกษ
      “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อมทั้งข้อมูลที่อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์หรือเอกสาร แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
      “ความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล” หมายความว่า การธำรงไว้ซึ่งความลับ (confidentiality) ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยมิชอบ
      “หน่วยงาน” หมายความว่า คณะ วิทยาลัย สำนัก สถาบัน ศูนย์ หรือหน่วยงาน
ที่เรียกชื่ออย่างอื่นตามกฎกระทรวง และหมายความรวมถึงกองตามประกาศกระทรวง และส่วนงานภายในที่สภามหาวิทยาลัยราชภัฏศรีสะเกษมีมติให้จัดตั้ง ในสังกัดมหาวิทยาลัยราชภัฏศรีสะเกษ
      “บุคลากร” หมายความว่า ข้าราชการ พนักงานราชการ และพนักงานมหาวิทยาลัย สังกัดมหาวิทยาลัยราชภัฏศรีสะเกษ และหมายความรวมถึงพนักงาน ลูกจ้าง หรือผู้ปฏิบัติงานอื่น
ในหน่วยงานภายในมหาวิทยาลัย
      “นักศึกษา” หมายความว่า นักศึกษามหาวิทยาลัยราชภัฏศรีสะเกษ
      “นักเรียน” หมายความว่า นักเรียนโรงเรียนสาธิตมหาวิทยาลัยราชภัฏศรีสะเกษ
      “เจ้าของข้อมูลส่วนบุคคล” หมายความว่า ผู้ใช้บริการซึ่งเป็นบุคลากรผู้ปฏิบัติงาน
ในมหาวิทยาลัยราชภัฏศรีสะเกษ นักเรียน นักศึกษา หรือประชาชนทั่วไปที่มาติดต่อราชการ รับบริการ หรือทำนิติกรรมหรือธุรกรรมอื่นใดกับมหาวิทยาลัยหรือหน่วยงานภายในมหาวิทยาลัย
      ข้อ ๔ การเก็บรวมรวม ใช้ การเปิดเผยข้อมูลส่วนบุคคล หรือการดำเนินการอื่นใดเกี่ยวกับข้อมูลส่วนบุคคล มหาวิทยาลัยและหน่วยงานต้องถือปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูล
ส่วนบุคคล พ.ศ.๒๕๖๒ และกฎหมายที่เกี่ยวข้อง และเท่าที่จำเป็นตามวัตถุประสงค์การใช้งาน
      ข้อ ๕ มหาวิทยาลัยหรือหน่วยงานจะกระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลจะต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะนั้น เว้นแต่เรื่องใดมีกฎหมาย กฎ มติคณะรัฐมนตรี หรือมติคณะกรรมการที่เกี่ยวข้องที่ให้อำนาจกระทำได้
      ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรสหรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วตามมาตรา ๒๗ แห่งประมวลกฎหมายแพ่งและพาณิชย์ การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าวให้ดำเนินการ ดังต่อไปนี้
      (๑) ในกรณีที่การให้ความยินยอมของผู้เยาว์ไม่ใช่การใด ๆ ซึ่งผู้เยาว์อาจให้ความยินยอมโดยลำพัง ได้ตามที่บัญญัติไว้ในมาตรา ๒๒ มาตรา ๒๓ หรือมาตรา ๒๔ แห่งประมวลกฎหมายแพ่งและพาณิชย์ ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย
      (๒) ในกรณีที่ผู้เยาว์มีอายุไม่เกินสิบปี ให้ขอความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์
      ข้อ ๖ การเก็บรวบรวมข้อมูลส่วนบุคคล ให้เก็บรวบรวมได้เท่าที่จำเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายของมหาวิทยาลัย
      การใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ห้ามมิให้มหาวิทยาลัยและหน่วยงานใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้ โดยได้รับยกเว้นไม่ต้องขอความยินยอม ดังนี้
      (๑) เพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุเพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสมเพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล
      (๒) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
      (๓) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
      (๔) เป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของมหาวิทยาลัยหรือหน่วยงาน
      (๕) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของมหาวิทยาลัยหรือหน่วยงาน เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
      (๖) เป็นการปฏิบัติตามมาตรา ๒๖ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒ หรือกฎหมายของมหาวิทยาลัย และกฎหมายที่เกี่ยวข้อง
      ข้อ ๗ มหาวิทยาลัยหรือหน่วยงานต้องดำเนินการเพื่อให้ข้อมูลของเจ้าของข้อมูลส่วนบุคคลมีความถูกต้อง สมบูรณ์ ชัดเจน และเป็นปัจจุบัน
      ข้อ ๘ ในกรณีที่มีการว่าจ้างหรือมอบหมายให้บุคคลภายนอกดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล มหาวิทยาลัยหรือหน่วยงานต้องพิจารณาดำเนินการโดยใช้ความระมัดระวังและมีมาตรการอย่างเหมาะสมในการกำกับดูแลควบคุมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
      ข้อ ๙ มหาวิทยาลัยหรือหน่วยงานต้องจัดให้มีช่องทางในการติดต่อจากเจ้าของข้อมูลส่วนบุคคลเพื่อตรวจสอบ หรือร้องขอให้ปรับปรุงข้อมูลให้มีความทันสมัยอยู่เสมอ
      เจ้าของข้อมูลส่วนบุคคลมีสิทธิ์ที่จะร้องขอเพื่อตรวจสอบข้อมูลส่วนบุคคลของตน และสามารถร้องขอให้การเปลี่ยนแปลงข้อมูลส่วนบุคคลให้ตรงตามความเป็นจริงได้
      ข้อ ๑๐ เพื่อการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒ และกฎหมายที่เกี่ยวข้อง ให้มหาวิทยาลัยหรือหน่วยงานดำเนินการ ดังนี้
      (๑) ผู้บริหาร บุคลากร นักเรียน และนักศึกษาทุกระดับของหน่วยงานภายในมหาวิทยาลัยจะต้องให้ความร่วมมือและปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒ และกฎหมายที่เกี่ยวข้อง ตลอดจนนโยบาย แนวปฏิบัติและมาตรการคุ้มครองข้อมูลส่วนบุคคลที่มหาวิทยาลัยกำหนดขึ้นตามประกาศนี้
      (๒) ดำเนินการให้เจ้าของข้อมูลส่วนบุคคลเข้าถึงสิทธิเกี่ยวกับข้อมูลส่วนบุคคลของตนตามที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒ และจะต้องแจ้งเจ้าของข้อมูลส่วนบุคคลได้ทราบถึงวัตถุประสงค์ในการจัดเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว
      (๓) จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบด้วยกฎหมาย ทั้งนี้ ให้เป็นไปตามมาตรฐานขั้นต่ำที่กฎหมายกำหนด
     (๔) ให้หน่วยงานมีหน้าที่ดำเนินการจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่อยู่ในรูปแบบเอกสารหรือรูปแบบอิเล็กทรอนิกส์ ให้เป็นไปตามมาตรฐานที่กฎหมายกำหนด
     (๕) จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษาหรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม
     (๖) ทบทวนลักษณะการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัย หรือหน่วยงานให้มีการปฏิบัติที่เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒ และกฎหมายที่เกี่ยวข้อง หากพบว่ามีการปฏิบัติที่อาจไม่ถูกต้อง ให้มหาวิทยาลัยหรือหน่วยงานดำเนินการปรับปรุงให้ถูกต้องตามกฎหมายตอ่ไป และแจ้งให้อธิการบดีทราบ
     (๗) แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลต่ออธิการบดีโดยไม่ชักช้าภายใน ๗๒ ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล
     (๘) ให้มหาวิทยาลัยและหน่วยงานดำเนินการให้การคุ้มครองข้อมูลส่วนบุคคลเป็นส่วนหนึ่งของการบริหารความเสี่ยง (Enterprise Risk Management) ของมหาวิทยาลัยและหน่วยงานที่มีการควบคุมความเสี่ยงอย่างเหมาะสมและมีการติดตามทบทวนอย่างสม่ำเสมอ
     (๙) ปฏิบัติหน้าที่อื่น ๆ ตามที่อธิการบดีมอบหมาย หรือที่กำหนดไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒
     ข้อ ๑๑ มหาวิทยาลัยและหน่วยงานต้องจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลซึ่งควรครอบคลุมถึงมาตรการป้องกันด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard) ในเรื่องการเข้าถึงหรือควบคุมการใช้งานข้อมูลส่วนบุคคล (access control) โดยอย่างน้อยต้องประกอบด้วยการดำเนินการ ดังต่อไปนี้
     (๑) การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคลโดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัย
     (๒) การกำหนดเกี่ยวกับการอนุญาตหรือการกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล
     (๓) การบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) เพื่อควบคุมการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่ได้รับอนุญาตแล้ว
     (๔) การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึง ข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต การเปิดเผย การล่วงรู้ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล การลักขโมยอุปกรณ์จัดเก็บหรือประมวลผลข้อมูลส่วนบุคคล
     (๕) การจัดให้มีวิธีการเพื่อให้สามารถตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบหรือ ถ่ายโอนข้อมูลส่วนบุคคล ให้สอดคล้องเหมาะสมกับวิธีการและสื่อที่ใช้ในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล
     ข้อ ๑๒ ข้อมูลส่วนบุคคลที่มหาวิทยาลัยหรือหน่วยงานได้เก็บรวบรวมไว้ก่อนวันที่ประกาศนี้ใช้บังคับ ให้มหาวิทยาลัยหรือหน่วยงานสามารถเก็บรวมรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม ทั้งนี้ หน่วยงานต้องกำหนดวิธีการยกเลิกความยินยอมและเผยแพร่ประชาสัมพันธ์ให้เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้มหาวิทยาลัย หรือหน่วยงานเก็บรวมรวม และใช้ข้อมูลส่วนบุคคลดังกล่าวสามารถแจ้งยกเลิกความยินยอมได้โดยง่าย
     ข้อ ๑๓ ให้อธิการบดีรักษาการตามประกาศนี้ ในกรณีที่มีปัญหาต้องวินิจฉัยเกี่ยวกับการปฏิบัติตามประกาศนี้ ให้อธิการบดีเป็นผู้มีอำนาจวินิจฉัยสั่งการตามเห็นสมควร

     ประกาศ ณ วันที่ ๒๕ พฤษภาคม พ.ศ. ๒๕๖๕