ประกาศมหาวิทยาลัยราชภัฏสุราษฎร์ธานี เรื่อง นโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2565
ด้วยมหาวิทยาลัยราชภัฏสุราษฎร์ธานีตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล จึงได้จัดทำนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้มีการคุ้มครองข้อมูลบุคลากร นักศึกษา ผู้รับบริการ และบุคคลอื่น ๆ ให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และการดำเนินการตามนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัยราชภัฏสุราษฎร์ธานี ในการคุ้มครองข้อมูลส่วนบุคคลและความเป็นส่วนตัวของข้อมูลส่วนบุคคล เพื่อสร้างความเชื่อมั่นของเจ้าของข้อมูลส่วนบุคคลของมหาวิทยาลัยราชภัฏสุราษฎร์ธานีให้ผู้ที่เกี่ยวข้องเข้าใจถึงหลักปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล การเก็บรวบรวม การใช้ข้อมูล และการเปิดเผยข้อมูลส่วนบุคคลโดยมีขอบเขตการให้บริการต่างๆ
อาศัยอำนาจตามความในมาตรา 31 (1) แห่งพระราชบัญญัติมหาวิทยาลัยราชภัฏ พ.ศ. 2547 จึงออกประกาศ เรื่อง นโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2565 ไว้ดังต่อไปนี้
ข้อ 1 ในประกาศนี้
“มหาวิทยาลัย” หมายถึง มหาวิทยาลัยราชภัฏสุราษฎร์ธานี
“ธุรกรรมทางอิเล็กทรอนิกส์” หมายถึง ธุรกรรมที่กระทำขึ้นโดยวิธีการทางอิเล็กทรอนิกส์ทั้งหมดหรือบางส่วน
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“เจ้าของข้อมูล” หมายถึง บุคลากร นักศึกษา ผู้รับบริการ และบุคคลอื่นที่ติดต่อประสานงานหรือทำธุรกรรมกับมหาวิทยาลัยราชภัฏสุราษฎร์ธานี
“การประมวลผลข้อมูล” หมายถึง การดำเนินการซึ่งกระทำต่อข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บ บันทึก จัดระบบ จัดโครงสร้าง เก็บรักษา เปลี่ยนแปลงหรือปรับเปลี่ยน การรับ พิจารณา ใช้ เปิดเผยด้วยการส่งต่อ เผยแพร่ หรือการกระทำอื่นใด ซึ่งทำให้เกิดความพร้อมใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การกำจัด การลบ หรือทำลาย
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือคณะบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเผยแพร่ข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยที่ผู้ประมวลผลข้อมูลส่วนบุคคลต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
“คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล” หมายถึง คณะกรรมการที่มหาวิทยาลัยราชภัฏสุราษฎร์ธานีแต่งตั้งขึ้น โดยมีอำนาจและหน้าที่กำกับดูแล ออกหลักเกณฑ์ มาตรการ หรือข้อปฏิบัติอื่นใดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
“หน่วยงาน” หมายถึง คณะ วิทยาลัย สถาบัน สำนัก สำนักงานอธิการบดีหรือหน่วยงานที่เรียกชื่ออย่างอื่นที่มีฐานะเทียบเท่าคณะ และกองต่างๆ ในสังกัดมหาวิทยาลัยราชภัฏสุราษฎร์ธานี
หมวดที่ 1 ขอบเขตและวัตถุประสงค์
ข้อ 2 วัตถุประสงค์
2.1 เพื่อให้ผู้ที่มีส่วนเกี่ยวข้องเข้าถึงหลักปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล
2.2 เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลและความเป็นส่วนตัวของผู้ใช้บริการดำเนินการอย่างมีมาตรฐานและครอบคลุมการดำเนินงานของมหาวิทยาลัย ในด้านการบริหารจัดการข้อมูลอย่างครบถ้วน
2.3 เพื่อคงไว้ซึ่งความเชื่อมั่นของผู้ใช้บริการในการใช้บริการธุรกรรม หรือธุรกรรมอิเล็กทรอนิกส์และการเข้าถึงข้อมูลของมหาวิทยาลัย
ข้อ 3 ประกาศนี้มีขอบเขตครอบคลุมถึงขั้นตอนการปฏิบัติงานในการบริหารจัดการข้อมูลส่วนบุคคล เพื่อการให้บริการธุรกรรม ธุรกรรมอิเล็กทรอนิกส์ และการเข้าถึงข้อมูลของมหาวิทยาลัย ซึ่งหน่วยงานจะต้องดำเนินการให้มีการคุ้มครองข้อมูลส่วนบุคคลตลอดวงจรข้อมูลของมหาวิทยาลัย
หมวดที่ 2 คณะกรรมการ
ข้อ 4 ให้อธิการบดีมีคำสั่งแต่งตั้งคณะกรรมการคณะหนึ่ง เรียกว่า คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มีอำนาจและหน้าที่ กำกับดูแล ออกหลักเกณฑ์ มาตรการ หรือข้อปฏิบัติอื่นใดที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
หมวดที่ 3 แนวปฏิบัติ
ข้อ 5 หน่วยงานต้องมีขั้นตอนวิธีปฏิบัติ ดังนี้
5.1 การสร้างข้อมูล
(1) ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนการเก็บรวบรวมข้อมูลโดยแจ้งวัตถุประสงค์ของการเก็บรวบรวมข้อมูลและการนำไปใช้แก่เจ้าของข้อมูลส่วนบุคคลอย่างชัดเจน
(2) การเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลต้องได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลหรือเป็นไปตามข้อยกเว้นตามกฎหมาย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่นที่เกี่ยวข้อง
(3) ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคล เว้นแต่ ได้แจ้งถึงการเก็บรวบรวมและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
5.2 การจัดเก็บข้อมูล
(1) ให้มีมาตรการเชิงป้องกันตามความเหมาะสม เพื่อป้องกันการเข้าถึงการดัดแปลงแก้ไขและการทำลายข้อมูลโดยมิได้รับอนุญาต
(2) ต้องเก็บรักษาข้อมูลส่วนบุคคลให้ปลอดภัยทั้งทางดิจิทัล และทางกายภาพ
5.3 การใช้ข้อมูล
(1) การใช้ข้อมูลส่วนบุคคลนอกเหนือวัตถุประสงค์ที่ได้รับความยินยอมไว้ หรือมีการเปลี่ยนแปลงวัตถุประสงค์จะต้องแจ้งให้เจ้าของข้อมูลทราบและขอความยินยอมก่อน เว้นแต่เข้าข่ายข้อยกเว้นที่กฎหมายกำหนด
(2) กรณีที่หน่วยงานว่าจ้างให้หน่วยงานภายนอกดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลหน่วยงานภายนอกต้องลงนามในข้อตกลงการรักษาความลับ และต้องใช้ตามวัตถุประสงค์ดำเนินงานเท่านั้น
(3) การใช้ข้อมูลระหว่างหน่วยงานภายใน ถือเป็นการใช้งานข้อมูลในการดำเนินงานของมหาวิทยาลัย ซึ่งได้รับการยินยอมจากเจ้าของข้อมูลส่วนบุคคล ตามข้อ 5.3 (1) แล้ว
5.4 การเผยแพร่ข้อมูล
(1) ให้รักษาข้อมูลส่วนบุคคลไว้เป็นความลับและไม่เปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการเว้นแต่ เพื่อการดำเนินงานของมหาวิทยาลัย หรือก่อเกิดประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล
(2) มหาวิทยาลัยอาจเปิดเผยข้อมูลส่วนบุคคลที่มีการจัดเก็บรวบรวมไว้กับหน่วยงานภายนอกอื่น ในกรณีต่อไปนี้
(2.1) กรณีที่กฎหมายกำหนดไว้ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ และกฎหมายที่เกี่ยวข้อง
(2.2) เพื่อพัฒนาคุณภาพการให้บริการให้เกิดประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลโดยจะขอขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อนการเปิดเผย และเมื่อยินยอมแล้วก็สามารถแจ้งมหาวิทยาลัยยกเลิกการให้ข้อมูลกับหน่วยงานภายนอกในภายหลังได้
5.5 การจัดเก็บข้อมูลถาวร
หน่วยงานสามารถย้ายข้อมูลส่วนบุคคลไปจัดเก็บสำรองไว้ เพื่อให้เกิดประสิทธิภาพในการดำเนินงาน โดยต้องมีกระบวนการที่เป็นมาตรฐาน และมีความมั่นคงปลอดภัยเพียงพอในการจัดการกับข้อมูลที่ได้จัดเก็บสำรองไว้
5.6 การทำลายข้อมูล
(1) กรณีที่หน่วยงานยกเลิกการให้บริการธุรกรรมอิเล็กทรอนิกส์ หน่วยงานสามารถดำเนินการทำลายข้อมูลส่วนบุคคลที่จัดเก็บเหล่านั้น โดยประกาศต่อสาธารณะ และให้เจ้าของข้อมูลส่วนบุคคลทราบล่วงหน้าไม่น้อยกว่า 30 วัน
(2) เมื่อต้องทำลายข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลดูแลให้การทำลายข้อมูลเป็นไปตามแนวปฏิบัติการทำลายข้อมูลหรือกำจัดสื่อบันทึกข้อมูล
หมวด 4 บทบาทหน้าที่และความรับผิดชอบ
ข้อ 6 คณะกรรมการควบคุมข้อมูลส่วนบุคคล มีหน้าที่และความรับผิดชอบ ดังนี้
6.1 จัดทำนโยบายป้องกันสิทธิส่วนบุคคล ความปลอดภัยข้อมูล การคุ้มครองข้อมูลส่วนบุคคล และจัดทำแนวปฏิบัติของมหาวิทยาลัย
6.2 วิเคราะห์และเสนอความเห็นไปยังมหาวิทยาลัยผ่านผู้บริหารด้านสารสนเทศ หากมีปัญหาอันเกิดจากการบังคับใช้แนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย
ข้อ 7 ผู้บริหารด้านสารสนเทศ มีหน้าที่และความรับผิดชอบในการบริหารจัดการด้านเทคโนโลยีสารสนเทศและการสื่อสารในภาพรวมของมหาวิทยาลัย กำกับดูแล ติดตาม และทบทวนภาพรวมของนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล โดยดำเนินการร่วมกับคณะกรรมการควบคุมข้อมูลส่วนบุคคล
ข้อ 8 ผู้บริหารหน่วยงาน มีหน้าที่และความรับผิดชอบ ดังนี้
8.1 จัดเตรียม กำหนดผู้ควบคุมข้อมูลส่วนบุคคล และผู้ประมวลผลข้อมูลส่วนบุคคลในการบริหารจัดการข้อมูลส่วนบุคคลให้เป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล
8.2 กำกับดูแลให้มีการปฏิบัติตามนโยบายและแนวปฏิบัติ
ข้อ 9 ผู้ควบคุมข้อมูลส่วนบุคคล มีหน้าที่และความรับผิดชอบ ดังนี้
9.1 ดำเนินการให้หน่วยงานจัดเตรียมช่องทางการให้บริการเพื่อให้เป็นไปตามสิทธิ
ของเจ้าของข้อมูลส่วนบุคคล โดยกำหนดรูปแบบและระยะเวลาให้มีความเหมาะสม
9.2 จัดให้หน่วยงานกำหนดวัตถุประสงค์การจัดเก็บข้อมูล และจัดเก็บ รวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยจัดเก็บข้อมูลเท่าที่จำเป็นในการให้บริการ
9.3 จัดให้หน่วยงานสำรวจข้อมูลที่จัดเก็บในหน่วยงาน และจัดทำโครงร่างข้อมูล โดยระบุประเภท คุณลักษณะของข้อมูล ความเชื่อมโยง ระบุแหล่งที่มาของข้อมูล และรายชื่อผู้มีสิทธิในการเข้าถึง
9.4 จัดให้หน่วยงานตรวจสอบ ประเมินความเสี่ยง และกำหนดมาตรการเชิงเทคนิคและเชิงบริหาร เพื่อรักษาความมั่นคงปลอดภัยเสนอต่อมหาวิทยาลัย
9.5 เมื่อมีการเปิดเผยข้อมูลโดยมิชอบ ผู้ควบคุมข้อมูลส่วนบุคคลต้องดำเนินการแจ้งต่อมหาวิทยาลัยทราบโดยเร็ว นับแต่ทราบเหตุแห่งการนั้น และติดตามแก้ไขปัญหาจนแล้วเสร็จ
ข้อ 10 ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ความรับผิดชอบในการประมวลผลข้อมูลตามข้อตกลงระหว่างผู้ควบคุมและประมวลผลข้อมูล
ข้อ 11 การคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลโดยหน่วยงานรับผิดชอบข้อมูลส่วนบุคคลต้องจัดให้มีช่องทางในการแจ้งขอแก้ไขหรือปรับปรุงข้อมูลส่วนบุคคล และปฏิเสธการใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยเจ้าของข้อมูลส่วนบุคคล
หมวด 5 การเก็บ รวบรวม และการใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ข้อ 12 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลทำการเก็บรวบรวมข้อมูลส่วนบุคคล โดยมิได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่เป็นตามมาตรา 24 หรือมาตรา 26 แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ข้อ 13 ห้ามมิให้ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคล โดยมิได้รับความยินยอมจากข้อมูลข่าวสารส่วนบุคคล เว้นแต่เป็นข้อมูลข่าวสารส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา 24 หรือมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บุคคลหรือนิติบุคคลที่ได้รับข้อมูลส่วนบุคคลตามวรรคหนึ่ง จะต้องไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์นอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับผู้ควบคุมข้อมูลส่วนบุคคลในการขอรับข้อมูลส่วนบุคคลนั้น
ในกรณีผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้รับการยกเว้นไม่ต้องขอความยินยอมตามวรรคหนึ่ง ผู้ควบคุมข้อมูลส่วนบุคคลต้องบันทึกการใช้หรือการเปิดเผยนั้นไว้ในรายการตามมาตรา ๓๙ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
หมวด 6 การตรวจสอบการดำเนินการ
ข้อ 14 ให้หน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลปฏิบัติตามแนวนโยบายและแนวปฏิบัติที่ได้แสดงไว้ให้คณะกรรมการตรวจสอบแนวนโยบายและแนวปฏิบัติที่กำหนดไว้ ตลอดจนให้มีการประเมินความเสี่ยงด้านสารสนเทศอย่างสม่ำเสมอ
ข้อ 15 การตรวจสอบการดำเนินงาน หน่วยงานต้องจัดเตรียมข้อมูล ดังต่อไปนี้
15.1 เอกสารขอความยินยอมจัดเก็บข้อมูล
15.2 เอกสารการกำหนดสิทธิ์การเขียน อ่าน แก้ไขข้อมูล
15.3 เอกสารแสดงถึงกระบวนการรักษาข้อมูลให้ปลอดภัย
15.4 เอกสารแสดงถึงกระบวนการแจ้งให้เจ้าของข้อมูลรับทราบ
15.5 เอกสารสัญญารักษาความลับ
15.6 เอกสารแสดงถึงกระบวนการในการสำรองข้อมูล
15.7 เอกสารประกาศการทำลายข้อมูล
15.8 เอกสารการจัดทำโครงร่างข้อมูล
หมวด 7 การทบทวนนโยบายและแนวปฏิบัติ
ข้อ 16 ให้มีการทบทวนนโยบายและแนวปฏิบัติอย่างน้อยปีละหนึ่งครั้ง หรือเมื่อมีเหตุการณ์สำคัญที่อาจจะส่งผลกระทบอย่างมีนัยสำคัญต่อการให้บริการธุรกรรม ธุรกรรมอิเล็กทรอนิกส์ และการเข้าถึงข้อมูลของมหาวิทยาลัย
ประกาศ ณ วันที่ 1 มิถุนายน พ.ศ. 2565