ประกาศมหาวิทยาลัยราชภัฏสุราษฎร์ธานี เรื่อง นโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2565

ด้วยมหาวิทยาลัยราชภัฏสุราษฎร์ธานีตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล จึงได้จัดทำนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้มีการคุ้มครองข้อมูลบุคลากร นักศึกษา ผู้รับบริการ และบุคคลอื่น ๆ ให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และการดำเนินการตามนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัยราชภัฏสุราษฎร์ธานี ในการคุ้มครองข้อมูลส่วนบุคคลและความเป็นส่วนตัวของข้อมูลส่วนบุคคล เพื่อสร้างความเชื่อมั่นของเจ้าของข้อมูลส่วนบุคคลของมหาวิทยาลัยราชภัฏสุราษฎร์ธานีให้ผู้ที่เกี่ยวข้องเข้าใจถึงหลักปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล การเก็บรวบรวม การใช้ข้อมูล และการเปิดเผยข้อมูลส่วนบุคคลโดยมีขอบเขตการให้บริการต่างๆ

อาศัยอำนาจตามความในมาตรา 31 (1) แห่งพระราชบัญญัติมหาวิทยาลัยราชภัฏ พ.ศ. 2547 จึงออกประกาศ เรื่อง นโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2565 ไว้ดังต่อไปนี้

ข้อ 1 ในประกาศนี้

“มหาวิทยาลัย” หมายถึง มหาวิทยาลัยราชภัฏสุราษฎร์ธานี

“ธุรกรรมทางอิเล็กทรอนิกส์” หมายถึง ธุรกรรมที่กระทำขึ้นโดยวิธีการทางอิเล็กทรอนิกส์ทั้งหมดหรือบางส่วน

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“เจ้าของข้อมูล” หมายถึง บุคลากร นักศึกษา ผู้รับบริการ และบุคคลอื่นที่ติดต่อประสานงานหรือทำธุรกรรมกับมหาวิทยาลัยราชภัฏสุราษฎร์ธานี

“การประมวลผลข้อมูล” หมายถึง การดำเนินการซึ่งกระทำต่อข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้าง เก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใด ซึ่งทำให้เกิดความพร้อมใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การกำจัด การลบ หรือทำลาย

“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือคณะบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล

“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยที่ผู้ประมวลผลข้อมูลส่วนบุคคลต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

“คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” หมายถึง คณะกรรมการที่มหาวิทยาลัยราชภัฏสุราษฎร์ธานีแต่งตั้งขึ้น โดยมีอำนาจและหน้าที่กำกับดูแล ออกหลักเกณฑ์ มาตรการ หรือข้อปฏิบัติอื่นใดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

“หน่วยงาน” หมายถึง คณะ วิทยาลัย สถาบัน สำนัก สำนักงานอธิการบดีหรือหน่วยงานที่เรียกชื่ออย่างอื่นที่มีฐานะเทียบเท่าคณะ และกองต่างๆ ในสังกัดมหาวิทยาลัยราชภัฏสุราษฎร์ธานี

หมวดที่ 1 ขอบเขตและวัตถุประสงค์

ข้อ 2 วัตถุประสงค์

2.1 เพื่อให้ผู้ที่มีส่วนเกี่ยวข้องเข้าถึงหลักปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล

2.2 เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลและความเป็นส่วนตัวของผู้ใช้บริการดำเนินการอย่างมีมาตรฐานและครอบคลุมการดำเนินงานของมหาวิทยาลัย ในด้านการบริหารจัดการข้อมูลอย่างครบถ้วน

2.3 เพื่อคงไว้ซึ่งความเชื่อมั่นของผู้ใช้บริการในการใช้บริการธุรกรรม หรือธุรกรรมอิเล็กทรอนิกส์และการเข้าถึงข้อมูลของมหาวิทยาลัย

ข้อ 3 ประกาศนี้มีขอบเขตครอบคลุมถึงขั้นตอนการปฏิบัติงานในการบริหารจัดการข้อมูลส่วนบุคคล เพื่อการให้บริการธุรกรรม ธุรกรรมอิเล็กทรอนิกส์ และการเข้าถึงข้อมูลของมหาวิทยาลัย ซึ่งหน่วยงานจะต้องดำเนินการให้มีการคุ้มครองข้อมูลส่วนบุคคลตลอดวงจรข้อมูลของมหาวิทยาลัย

หมวดที่ 2 คณะกรรมการ

ข้อ 4 ให้อธิการบดีมีคำสั่งแต่งตั้งคณะกรรมการคณะหนึ่ง  เรียกว่า คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีอำนาจและหน้าที่ กำกับดูแล ออกหลักเกณฑ์ มาตรการ หรือข้อปฏิบัติอื่นใดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

หมวดที่ 3 แนวปฏิบัติ

ข้อ 5 หน่วยงานต้องมีขั้นตอนวิธีปฏิบัติ ดังนี้

5.1 การสร้างข้อมูล

(1) ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนการเก็บรวบรวมข้อมูลโดยแจ้งวัตถุประสงค์ของการเก็บรวบรวมข้อมูลและการนำไปใช้แก่เจ้าของข้อมูลส่วนบุคคลอย่างชัดเจน

(2) การเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลหรือเป็นไปตามข้อยกเว้นตามกฎหมาย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่นที่เกี่ยวข้อง

(3) ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคล เว้นแต่ ได้แจ้งถึงการเก็บรวบรวมและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล

5.2 การจัดเก็บข้อมูล

(1) ให้มีมาตรการเชิงป้องกันตามความเหมาะสม เพื่อป้องกันการเข้าถึงการดัดแปลงแก้ไขและการทำลายข้อมูลโดยมิได้รับอนุญาต

(2) ต้องเก็บรักษาข้อมูลส่วนบุคคลให้ปลอดภัยทั้งทางดิจิทัล และทางกายภาพ

5.3 การใช้ข้อมูล

(1) การใช้ข้อมูลส่วนบุคคลนอกเหนือวัตถุประสงค์ที่ได้รับความยินยอมไว้ หรือมีการเปลี่ยนแปลงวัตถุประสงค์จะต้องแจ้งให้เจ้าของข้อมูลทราบและขอความยินยอมก่อน เว้นแต่เข้าข่ายข้อยกเว้นที่กฎหมายกำหนด

(2) กรณีที่หน่วยงานว่าจ้างให้หน่วยงานภายนอกดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลหน่วยงานภายนอกต้องลงนามในข้อตกลงการรักษาความลับ และต้องใช้ตามวัตถุประสงค์ดำเนินงานเท่านั้น

(3) การใช้ข้อมูลระหว่างหน่วยงานภายใน ถือเป็นการใช้งานข้อมูลในการดำเนินงานของมหาวิทยาลัย ซึ่งได้รับการยินยอมจากเจ้าของข้อมูลส่วนบุคคล ตามข้อ 5.3 (1) แล้ว

5.4 การเผยแพร่ข้อมูล

(1) ให้รักษาข้อมูลส่วนบุคคลไว้เป็นความลับและไม่เปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการเว้นแต่ เพื่อการดำเนินงานของมหาวิทยาลัย หรือก่อเกิดประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล

(2) มหาวิทยาลัยอาจเปิดเผยข้อมูลส่วนบุคคลที่มีการจัดเก็บรวบรวมไว้กับหน่วยงานภายนอกอื่น ในกรณีต่อไปนี้

(2.1) กรณีที่กฎหมายกำหนดไว้ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ และกฎหมายที่เกี่ยวข้อง

(2.2) เพื่อพัฒนาคุณภาพการให้บริการให้เกิดประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลโดยจะขอขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนการเปิดเผย และเมื่อยินยอมแล้วก็สามารถแจ้งมหาวิทยาลัยยกเลิกการให้ข้อมูลกับหน่วยงานภายนอกในภายหลังได้

5.5 การจัดเก็บข้อมูลถาวร

หน่วยงานสามารถย้ายข้อมูลส่วนบุคคลไปจัดเก็บสำรองไว้ เพื่อให้เกิดประสิทธิภาพในการดำเนินงาน โดยต้องมีกระบวนการที่เป็นมาตรฐาน และมีความมั่นคงปลอดภัยเพียงพอในการจัดการกับข้อมูลที่ได้จัดเก็บสำรองไว้

5.6 การทำลายข้อมูล

(1) กรณีที่หน่วยงานยกเลิกการให้บริการธุรกรรมอิเล็กทรอนิกส์ หน่วยงานสามารถดำเนินการทำลายข้อมูลส่วนบุคคลที่จัดเก็บเหล่านั้น โดยประกาศต่อสาธารณะ และให้เจ้าของข้อมูลส่วนบุคคลทราบล่วงหน้าไม่น้อยกว่า 30 วัน

(2) เมื่อต้องทำลายข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลดูแลให้การทำลายข้อมูลเป็นไปตามแนวปฏิบัติการทำลายข้อมูลหรือกำจัดสื่อบันทึกข้อมูล

หมวด 4 บทบาทหน้าที่และความรับผิดชอบ

ข้อ 6 คณะกรรมการควบคุมข้อมูลส่วนบุคคล มีหน้าที่และความรับผิดชอบ ดังนี้

6.1 จัดทำนโยบายป้องกันสิทธิส่วนบุคคล ความปลอดภัยข้อมูล การคุ้มครองข้อมูลส่วนบุคคล และจัดทำแนวปฏิบัติของมหาวิทยาลัย

6.2 วิเคราะห์และเสนอความเห็นไปยังมหาวิทยาลัยผ่านผู้บริหารด้านสารสนเทศ หากมีปัญหาอันเกิดจากการบังคับใช้แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย

ข้อ 7 ผู้บริหารด้านสารสนเทศ มีหน้าที่และความรับผิดชอบในการบริหารจัดการด้านเทคโนโลยีสารสนเทศและการสื่อสารในภาพรวมของมหาวิทยาลัย กำกับดูแล ติดตาม และทบทวนภาพรวมของนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล โดยดำเนินการร่วมกับคณะกรรมการควบคุมข้อมูลส่วนบุคคล

ข้อ 8 ผู้บริหารหน่วยงาน มีหน้าที่และความรับผิดชอบ ดังนี้

8.1 จัดเตรียม กำหนดผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลในการบริหารจัดการข้อมูลส่วนบุคคลให้เป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล

8.2 กำกับดูแลให้มีการปฏิบัติตามนโยบายและแนวปฏิบัติ

ข้อ 9 ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่และความรับผิดชอบ ดังนี้

9.1 ดำเนินการให้หน่วยงานจัดเตรียมช่องทางการให้บริการเพื่อให้เป็นไปตามสิทธิ
ของเจ้าของข้อมูลส่วนบุคคล โดยกำหนดรูปแบบและระยะเวลาให้มีความเหมาะสม

9.2 จัดให้หน่วยงานกำหนดวัตถุประสงค์การจัดเก็บข้อมูล และจัดเก็บ รวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยจัดเก็บข้อมูลเท่าที่จำเป็นในการให้บริการ

9.3 จัดให้หน่วยงานสำรวจข้อมูลที่จัดเก็บในหน่วยงาน และจัดทำโครงร่างข้อมูล โดยระบุประเภท คุณลักษณะของข้อมูล ความเชื่อมโยง ระบุแหล่งที่มาของข้อมูล และรายชื่อผู้มีสิทธิในการเข้าถึง

9.4 จัดให้หน่วยงานตรวจสอบ ประเมินความเสี่ยง และกำหนดมาตรการเชิงเทคนิคและเชิงบริหาร เพื่อรักษาความมั่นคงปลอดภัยเสนอต่อมหาวิทยาลัย

9.5 เมื่อมีการเปิดเผยข้อมูลโดยมิชอบ ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการแจ้งต่อมหาวิทยาลัยทราบโดยเร็ว นับแต่ทราบเหตุแห่งการนั้น และติดตามแก้ไขปัญหาจนแล้วเสร็จ

ข้อ 10 ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ความรับผิดชอบในการประมวลผลข้อมูลตามข้อตกลงระหว่างผู้ควบคุมและประมวลผลข้อมูล

ข้อ 11 การคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลโดยหน่วยงานรับผิดชอบข้อมูลส่วนบุคคลต้องจัดให้มีช่องทางในการแจ้งขอแก้ไขหรือปรับปรุงข้อมูลส่วนบุคคล และปฏิเสธการใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยเจ้าของข้อมูลส่วนบุคคล

หมวด 5 การเก็บ รวบรวม และการใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ข้อ 12 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคล โดยมิได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นตามมาตรา 24 หรือมาตรา 26 แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ข้อ 13 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยมิได้รับความยินยอมจากข้อมูลข่าวสารส่วนบุคคล เว้นแต่เป็นข้อมูลข่าวสารส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลตามวรรคหนึ่ง จะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์นอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับผู้ควบคุมข้อมูลส่วนบุคคลในการขอรับข้อมูลส่วนบุคคลนั้น

ในกรณีผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับการยกเว้นไม่ต้องขอความยินยอมตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกการใช้หรือการเปิดเผยนั้นไว้ในรายการตามมาตรา ๓๙ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

หมวด 6 การตรวจสอบการดำเนินการ

ข้อ 14 ให้หน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลปฏิบัติตามแนวนโยบายและแนวปฏิบัติที่ได้แสดงไว้ให้คณะกรรมการตรวจสอบแนวนโยบายและแนวปฏิบัติที่กำหนดไว้ ตลอดจนให้มีการประเมินความเสี่ยงด้านสารสนเทศอย่างสม่ำเสมอ

ข้อ 15 การตรวจสอบการดำเนินงาน หน่วยงานต้องจัดเตรียมข้อมูล ดังต่อไปนี้

15.1 เอกสารขอความยินยอมจัดเก็บข้อมูล

15.2 เอกสารการกำหนดสิทธิ์การเขียน อ่าน แก้ไขข้อมูล

15.3 เอกสารแสดงถึงกระบวนการรักษาข้อมูลให้ปลอดภัย

15.4 เอกสารแสดงถึงกระบวนการแจ้งให้เจ้าของข้อมูลรับทราบ

15.5 เอกสารสัญญารักษาความลับ

15.6 เอกสารแสดงถึงกระบวนการในการสำรองข้อมูล

15.7 เอกสารประกาศการทำลายข้อมูล

15.8 เอกสารการจัดทำโครงร่างข้อมูล

หมวด 7 การทบทวนนโยบายและแนวปฏิบัติ

ข้อ 16 ให้มีการทบทวนนโยบายและแนวปฏิบัติอย่างน้อยปีละหนึ่งครั้ง หรือเมื่อมีเหตุการณ์สำคัญที่อาจจะส่งผลกระทบอย่างมีนัยสำคัญต่อการให้บริการธุรกรรม ธุรกรรมอิเล็กทรอนิกส์ และการเข้าถึงข้อมูลของมหาวิทยาลัย

ประกาศ ณ วันที่ 1 มิถุนายน พ.ศ. 2565