นโยบาย มาตรการและวิธีดำเนินการคุ้มครองข้อมูลส่วนบุคคล
เรื่อง
นโยบาย มาตรการและวิธีดำเนินการคุ้มครองข้อมูลส่วนบุคคล
________________________________
เพื่อให้การดำเนินการคุ้มครองข้อมูลส่วนบุคคลของสภามหาวิทยาลัย
สภาวิชาการ ผู้บริหาร บุคลากรสายวิชาการและสายสนับสนุน
นักศึกษา นักเรียน ศิษย์เก่า และบุคคลทั่วไปซึ่งใช้บริการ ติดต่อ หรือเกี่ยวข้องกับมหาวิทยาลัยหรือหน่วยงาน
ตามมาตรการรักษาข้อมูลส่วนบุคคลความมั่นคงปลอดภัย
เป็นไปตามภารกิจและมิให้มีการใช้งานนอกเหนือวัตถุประสงค์การใช้งานของมหาวิทยาลัยราชภัฏพระนคร
ตลอดจนการคุ้มครองมีให้มีการนำข้อมูลไปใช้โดยมิได้รับอนุญาตจากเจ้าของข้อมูล
ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ จึงกำหนดแนวนโยบาย
มาตรการและวิธีดำเนินการคุ้มครองข้อมูลส่วนบุคคล
อาศัยอำนาจตามความในมาตรา ๓๑ แห่งพระราชบัญญัติมหาวิทยาลัยราชภัฏ พ.ศ. ๒๕๔๗ และมติคณะกรรมการบริหารมหาวิทยาลัยราชภัฏพระนคร ในการประชุมครั้งที่ ๖/๒๕๖๕ เมื่อวันที่ ๗ มิถุนายน พ.ศ. ๒๕๖๕ มหาวิทยาลัยราชภัฏพระนครจึงออกประกาศไว้ดังต่อไปนี้
ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศมหาวิทยาลัยราชภัฏพระนคร เรื่อง นโยบาย มาตรการและวิธีดำเนินการคุ้มครองข้อมูลส่วนบุคคล”
ข้อ ๒ ประกาศนี้ให้มีผลใช้บังคับนับถัดจากวันประกาศเป็นต้นไป
ข้อ ๓ ในประกาศนี้
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า มหาวิทยาลัยและหน่วยงาน
“มหาวิทยาลัย” หมายความว่า มหาวิทยาลัยราชภัฏพระนคร
“หน่วยงาน” หมายความว่า สำนักงานอธิการบดี คณะ วิทยาลัย และหมายความรวมถึง สถาบัน
สำนัก กอง หรือส่วนราชการที่เรียกชื่ออย่างอื่นที่มีฐานะเทียบเท่าคณะหรือกอง
“ผู้ใช้บริการ”
หมายความว่า สภามหาวิทยาลัย
สภาวิชาการ ผู้บริหาร บุคลากรสายวิชาการและสายสนับสนุน นักศึกษา นักเรียน
ศิษย์เก่า และบุคคลทั่วไปซึ่งใช้บริการ ติดต่อ หรือเกี่ยวข้องกับมหาวิทยาลัยหรือหน่วยงาน
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
ข้อ ๔ ข้อมูลส่วนบุคคลที่มหาวิทยาลัยหรือหน่วยงานเก็บรวบรวม ใช้ หรือเปิดเผย จะต้องเป็นไปเพื่อการดำเนินงานตามหน้าที่และอำนาจของมหาวิทยาลัยเพื่อให้บรรลุวัตถุประสงค์ตามมาตรา ๗ แห่งพระราชบัญญัติมหาวิทยาลัยราชภัฏ พ.ศ. ๒๕๔๗ อันได้แก่ การพัฒนาท้องถิ่นที่เสริมสร้างพลังปัญญาของแผ่นดิน ฟื้นฟูพลังการเรียนรู้ เชิดชูภูมิปัญญาของท้องถิ่น สร้างสรรค์ศิลปวิทยา เพื่อความเจริญก้าวหน้าอย่างมั่นคงและยั่งยืนของปวงชน มีส่วนร่วมในการจัดการ การบำรุงรักษา การใช้ประโยชน์จากทรัพยากรธรรมชาติและสิ่งแวดล้อมอย่างสมดุลและยั่งยืน โดยมีวัตถุประสงค์ให้การศึกษา ส่งเสริมวิชาการและวิชาชีพชั้นสูง ทำการสอน วิจัย ให้บริการทางวิชาการแก่สังคมปรับปรุง ถ่ายทอด และพัฒนาเทคโนโลยี ทะนุบำรุงศิลปะและวัฒนธรรม ผลิตครูและส่งเสริมวิทยฐานะครู
ข้อ ๕ มหาวิทยาลัยหรือหน่วยงาน
จะกระทำการรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น เว้นแต่จะมีบทบัญญัติแห่งกฎหมายบัญญัติให้กระทำได้
การขอความยินยอมต้องทำโดยชัดแจ้งเป็นหนังสือหรือทำผ่านระบบอิเล็กทรอนิกส์
เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการได้
ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล มหาวิทยาลัยหรือหน่วยงานต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย
และการขอความยินยอมนั้นต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน
มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษา ที่อ่านง่าย
และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว
ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
มหาวิทยาลัยหรือหน่วยงานต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม
ทั้งนี้ ในการเข้าทำสัญญาซึ่งรวมถึงการให้บริการใด ๆ ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้น
ๆ
เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมเสียเมื่อใดก็ได้โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม
เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล
ทั้งนี้ การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบ
ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด มหาวิทยาลัยหรือหน่วยงานต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอมนั้น
การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลนอกจากที่กำหนดไว้ตามประกาศนี้ไม่มีผลผูกพันเจ้าของข้อมูลส่วนบุคคล และไม่ทำให้มหาวิทยาลัยหรือหน่วยงานสามารถทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้
ข้อ ๖
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรสหรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะตามประมวลกฎหมายแพ่งและพาณิชย์
การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว ให้ดำเนินการดังต่อไปนี้
(๑)
ในกรณีที่การให้ความยินยอมของผู้เยาว์ไม่ใช่การใด
ๆ ซึ่งผู้เยาว์อาจให้ความยินยอมโดยลำพังได้ตามประมวลกฎหมายแพ่งและพาณิชย์
ต้องได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ด้วย
(๒)
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนไร้ความสามารถ
การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว
ให้ขอความยินยอมจากผู้อนุบาลที่มีอำนาจกระทำการแทนคนไร้ความสามารถ
(๓)
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นคนเสมือนไร้ความสามารถ
การขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลดังกล่าว
ให้ขอความยินยอมจากผู้พิทักษ์ที่มีอำนาจกระทำการแทนคนเสมือนไร้ความสามารถ
ให้นำความในวรรคหนึ่งมาใช้บังคับกับการถอนความยินยอมของเจ้าของข้อมูลส่วนบุคคล การแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล การร้องเรียนของเจ้าของข้อมูลส่วนบุคคล และการอื่นใดตามประกาศนี้ในกรณีที่เจ้าของข้อมูลส่วนบุคคลที่เป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ
ข้อ ๗ หน่วยงานและมหาวิทยาลัยต้องทำการรวบรวม ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะที่เก็บรวบรวม
การเก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลที่แตกต่างไปจากวัตุประสงค์ที่ได้แจ้งไว้ตามวรรคหนึ่งจะกระทำมิได้
เว้นแต่
(๑)
ได้แจ้งวัตถุประสงค์ใหม่นั้นให้แก่เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมก่อนเก็บรวบรวม
ใช้ หรือเปิดเผยแล้ว
(๒)
บทบัญญัติแห่งกฎหมายให้กระทำได้
ข้อ ๘ มหาวิทยาลัยหรือหน่วยงานต้องเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการ ตามที่กำหนดไว้ในกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และเท่าที่จำเป็นตามวัตถุประสงค์การใช้งาน
ข้อ ๙ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ให้มหาวิทยาลัยหรือหน่วยงานใช้วิธีการที่ ชอบด้วยกฎหมายและเป็นธรรม โดยเจ้าของข้อมูลส่วนบุคคลได้รับทราบถึงวัตถุประสงค์ในการจัดเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว
ข้อ ๑๐ มหาวิทยาลัยหรือหน่วยงานต้องดำเนินการเพื่อให้ข้อมูลของผู้ใช้บริการมีความถูกต้อง สมบูรณ์ ชัดเจน และเป็นปัจจุบัน
ข้อ ๑๑ ในกรณีที่มีการว่าจ้างหรือมอบหมายให้บุคคลภายนอกดำเนินการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล มหาวิทยาลัยหรือหน่วยงานต้องพิจารณาดำเนินการโดยใช้ความระมัดระวังและ มีมาตรการอย่างเหมาะสมในการกำกับดูแลและควบคุมการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล
ข้อ
๑๒ เจ้าของข้อมูลมีสิทธิที่จะร้องขอเพื่อตรวจสอบข้อมูลส่วนบุคคลของตน
และสามารถ ร้องขอให้มีการเปลี่ยนแปลงข้อมูลส่วนบุคคลให้ตรงตามความเป็นจริงได้
มหาวิทยาลัยหรือหน่วยงานต้องจัดให้มีช่องทางสะดวกในการติดต่อจากเจ้าของข้อมูลส่วนบุคคลเพื่อตรวจสอบหรือร้องขอให้ปรับปรุงข้อมูลให้มีความทันสมัยอยู่เสมอ
ข้อ
๑๓ เพื่อการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
ให้มหาวิทยาลัยหรือหน่วยงานดำเนินการ ดังนี้
(๑)
มอบหมายหรือแต่งตั้งผู้ปฏิบัติงานในมหาวิทยาลัยในสังกัดหน่วยงานให้ทำหน้าที่ผู้ประสานงานโดยตรงตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
หรือตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลตามประกาศฉบับนี้
และแจ้งอธิการบดีเพื่อทราบ
ในกรณีที่ไม่มีการมอบหมายหรือแต่งตั้ง ผู้ประสานงาน
ให้หัวหน้าหน่วยงานเป็นผู้ประสานงาน
(๒) ทบทวนวิธีการและระบบงานการเก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัยหรือหน่วยงานให้มีการปฏิบัติที่เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือไม่เป็นตามประกาศนี้
ให้มหาวิทยาลัยหรือหน่วยงานดำเนินการปรับปรุงให้ถูกต้องตามกฎหมายและประกาศต่อไปและแจ้งให้อธิการบดีทราบ
(๓)
กำหนดให้มีมาตรการในการรักษาความมั่งคงปลอดภัยของข้อมูลส่วนบุคคลของผู้ใช้บริการ
เพื่อป้องกันการสูญหาย การเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข
หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย ทั้งนี้
ให้เป็นไปตามที่กฎหมายหรือประกาศฉบับนี้กำหนด
จึงประกาศมาเพื่อทราบ และถือปฏิบัติโดยเคร่งครัด
ประกาศ ณ วันที่
๘ มิถุนายน พ.ศ. ๒๕๖๕
(รองศาสตราจารย์เปรื่อง กิจรัตน์ภร)
รักษาราชการแทน อธิการบดีมหาวิทยาลัยราชภัฏพระนคร