นโยบายการคุ้มครองข้อมูลส่วนบุคคล


ประกาศมหาวิทยาลัยศรีปทุม
เรื่องนโยบายการคุ้มครองข้อมูลส่วนบุคคลมหาวิทยาลัยศรีปทุม
(Personal data protection policy of Sripatum University)
-----------------------------------------------------

             ด้วยปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคล  ซึ่งสร้างความเดือดร้อนรำคาญและความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล  ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม  ใช้  หรือเปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว  ทำได้โดยง่าย  สะดวก  และรวดเร็วมหาวิทยาลัยศรีปทุม  ได้เห็นถึงความสำคัญของการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลดังกล่าว  จึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal data protection policy) ขึ้น  เพื่อคุ้มครองข้อมูลส่วนบุคคลที่มหาวิทยาลัยศรีปทุมได้ทำการเก็บรวบรวม  ใช้  หรือเปิดเผยข้อมูลส่วนบุคคล  และเพื่อให้เจ้าของข้อมูลได้ทราบและเข้าใจนโยบายคุ้มครองข้อมูลส่วนบุคคล  รวมถึงสิทธิต่าง ๆ  ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล  พ.ศ. 2562

             ฉะนั้น  อาศัยอำนาจตามความในมาตรา 43 (1)  แห่งพระราชบัญญัติสถาบันอุดมศึกษาเอกชน  พ.ศ. 2546  และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล  พ.ศ. 2562  จึงออกประกาศไว้ดังต่อไปนี้
                   ข้อ 1  ประกาศนี้เรียกว่า  “ประกาศมหาวิทยาลัยศรีปทุม  เรื่อง  นโยบายการคุ้มครองข้อมูลส่วนบุคคลมหาวิทยาลัยศรีปทุม  พ.ศ. 2563”
                   ข้อ 2  ประกาศนี้ให้ใช้บังคับตั้งแต่บัดนี้เป็นต้นไป
                   ข้อ 3  นิยาม
                               “มหาวิทยาลัย”  หมายถึง  มหาวิทยาลัยศรีปทุม บางเขน   มหาวิทยาลัยศรีปทุม วิทยาเขตชลบุรี  มหาวิทยาลัยศรีปทุม วิทยาเขตขอนแก่น
                                “ข้อมูลส่วนบุคคล”  หมายถึง  ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม  ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล  แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่ความตายโดยเฉพาะ
                                “เจ้าของข้อมูล”  หมายถึง  บุคคลธรรมดา  หรือนิติบุคคล  ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล
                   ข้อ 4   การเก็บรวบรวม  ใช้  หรือเปิดเผยข้อมูลส่วนบุคคล
                              4.1  การเก็บรวบรวมข้อมูลส่วนบุคคล  มหาวิทยาลัยจะกระทำโดยมีวัตถุประสงค์  ขอบเขต  และใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม  ซึ่งมหาวิทยาลัยจะดำเนินการอย่างจำกัดเพียงเท่าที่จำเป็นแก่การให้บริการทางการศึกษา  การจัดกิจกรรมทางการศึกษา  หรือบริการด้วยวิธีการทางอิเล็คทรอนิกส์อื่นใดภายใต้วัตถุประสงค์ของมหาวิทยาลัยเท่านั้น  โดยมหาวิทยาลัยจะดำเนินการแจ้งให้เจ้าของข้อมูลรับรู้และให้ความยินยอม  ตามแบบฟอร์มและวิธีการที่มหาวิทยาลัยกำหนด
         อนึ่ง  มหาวิทยาลัยอาจทำการเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งเกี่ยวกับความสนใจและบริการต่าง ๆ  ที่ใช้ ซึ่งอาจประกอบด้วย  เชื้อชาติ  เผ่าพันธุ์  ความเชื่อในลัทธิ  ศาสนาหรือปรัชญา  พฤติกรรมทางเพศ  ประวัติอาชญากรรม  ข้อมูลสุขภาพ  ความพิการ  อัตลักษณ์  หรือข้อมูลอื่นใดที่เป็นประโยชน์ในการใช้บริการทางการศึกษา  อย่างไรก็ตาม  กรณีดังกล่าวข้างต้น  มหาวิทยาลัยจะขอความยินยอมจากเจ้าของข้อมูลก่อนทำการเก็บรวบรวม
                               4.2  การเปิดเผยข้อมูลส่วนบุคล มหาวิทยาลัยจะกระทำโดยมีวัตถุประสงค์  ขอบเขต  และภายใต้ความยินยอมของเจ้าของข้อมูลที่ได้ให้ไว้กับมหาวิทยาลัยเท่านั้น  และจะใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม  ซึ่งมหาวิทยาลัยจะดำเนินการอย่างจำกัดเพียงเท่าที่จำเป็นแก่การให้บริการทางการศึกษา  การจัดกิจกรรมทางการศึกษา  หรือบริการด้วยวิธีการทางอิเล็คทรอนิกส์อื่นใด  ภายใต้วัตถุประสงค์ของมหาวิทยาลัยเท่านั้น
               ข้อ 5  วัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
                               มหาวิทยาลัยจะรวบรวม  จัดเก็บ  ใช้  และเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปด้วยความเรียบร้อยและสอดคล้องกับกฎหมาย  เพื่อประโยชน์ในการบริหารจัดการ  การให้บริการแก่เจ้าของข้อมูลเมื่อเข้าใช้บริการต่าง ๆ  เช่น  การติดต่อ  สอบถามข้อมูล  การร้องเรียน แจ้งข้อเสนอแนะ  รวมถึงเรื่องอื่น ๆ  ที่จำเป็นกับมหาวิทยาลัยหรือเพื่อประโยชน์ในการวิเคราะห์ข้อมูลการนำเสนอบริการ  หรือผลิตภัณฑ์ใดของมหาวิทยาลัย  หรือตัวแทนของมหาวิทยาลัย  และเพื่อวัตถุประสงค์อื่นใดที่ไม่ต้องห้ามตามกฎหมาย  หรือเพื่อปฏิบัติตามกฎหมาย  หรือกฎ  ระเบียบต่าง ๆ  ที่เกี่ยวข้อง  ทั้งที่มีผลใช้บังคับในปัจจุบันและที่จะมีการแก้ไขหรือเพิ่มเติมในอนาคต  รวมทั้งยินยอมให้มหาวิทยาลัยส่ง  โอน  และ/หรือเปิดเผยข้อมูลส่วนบุคคลให้แก่กลุ่มธุรกิจ  พันธมิตรทางธุรกิจ  ที่มีสัญญาอยู่กับมหาวิทยาลัย  รวมถึงหน่วยงานและองค์กรของรัฐที่มีอำนาจตามกฎหมาย  ทั้งนี้  มหาวิทยาลัยจะเก็บรักษาข้อมูลดังกล่าวไว้ตามระยะเวลาเท่าที่จำเป็นสำหรับวัตถุประสงค์เหล่านี้เท่านั้น  มหาวิทยาลัยอาจทบทวน  แก้ไข  นโยบายฉบับนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับพระราชบัญญัติ  และ/หรือกฎหมายลำดับรอง  ข้อบังคับ  ประกาศของหน่วยงานราชการที่ออกมาใช้บังคับในภายหลัง  และมหาวิทยาลัยจะประกาศให้ท่านทราบ
                              มหาวิทยาลัยจะนำข้อมูลส่วนบุคคลมาประมวลข้อมูลเมื่อได้รับความยินยอมจากเจ้าของข้อมูลแล้วเท่านั้น  ยกเว้นการประมวลผลภายใต้ฐานการประมวลผลข้อมูล  ดังต่อไปนี้
                               5.1  ฐานสัญญา (Contract) เมื่อผู้ใช้บริการสมัครเป็นสมาชิก หรือไม่ได้เป็นสมาชิก  รวมถึงการใช้บริการด้านอื่น ๆ  จำเป็นอย่างยิ่งที่เจ้าของข้อมูลต้องให้ข้อมูลแก่มหาวิทยาลัย  เพื่อมหาวิทยาลัยจะได้นำข้อมูลส่วนบุคคลดังกล่าวไปประมวลผลเกี่ยวกับการให้บริการตามเงื่อนไขข้อตกลงในการใช้บริการ  รวมถึงนำไปใช้ในการติดต่อสื่อสารกับเจ้าของข้อมูล  ติดตามและแจ้งผลประโยชน์เกี่ยวกับสินค้าหรือบริการ  ซึ่งหากเจ้าของข้อมูลไม่ได้ให้ข้อมูลส่วนบุคคลดังกล่าวจะทำให้มหาวิทยาลัยไม่สามารถรับการใช้บริการของเจ้าของข้อมูลได้  ไม่สามารถจัดสิทธิประโยชน์ตามเงื่อนไขไม่สามารถสื่อสารหรือตรวจสอบความสามารถในการทำสัญญา  รวมถึงตรวจสอบความเป็นตัวตนของเจ้าของข้อมูล
                               5.2  ฐานความยินยอม (Consent) กรณีจำเป็นมหาวิทยาลัยอาจนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปใช้ในการประมวลผลเพื่อออกแบบหรือพัฒนาเกี่ยวกับการศึกษา  และ/หรือการบริการเพื่อนำเสนอ  การจัดกิจกรรมทางการตลาด  เกี่ยวกับการศึกษาของมหาวิทยาลัย  หรือเก็บรวบรวม  ใช้  หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล
                               5.3  ฐานประโยชน์อันชอบธรรม (Legitimate Interest) กรณีจำเป็นมหาวิทยาลัยอาจนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปใช้ในการประมวลผลเพื่อการจัดการและการจัดทำรายงานเพื่อจำเป็นภายในมหาวิทยาลัย  การดูแลรักษาระบบ  เพื่อรักษามาตรฐานหรือการพัฒนาการบริการ  การจัดการบริหารความเสี่ยงในมหาวิทยาลัย  การควบคุมและการตรวจสอบภายใน  ซึ่งมีความจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลและการนำไปใช้ของผู้ประมวลผลข้อมูล
                               5.4  ฐานหน้าที่ตามกฎหมาย (Legal Obligation) กรณีมีความจำเป็นมหาวิทยาลัยอาจนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปใช้ในการประมวลผลข้อมูลเพื่อปฏิบัติตามกฎหมาย  ทั้งที่มีผลใช้บังคับในปัจจุบัน  และที่จะมีการแก้ไขหรือเพิ่มเติมในอนาคต
               ข้อ 6  มาตรการรักษาความมั่นคงปลอดภัยของข้อมูล
                          6.1  มหาวิทยาลัยศรีปทุม  ได้เห็นถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy)  ซึ่งถือเป็นสิทธิขั้นพื้นฐานในความเป็นส่วนตัว (Privacy Right)  จึงกำหนดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสมและสอดคล้องกับนโยบายการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศของมหาวิทยาลัย  และการรักษาความลับของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย  การเข้าถึง  ทำลาย  ใช้  ดัดแปลง  แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย  ตลอดจนการป้องกันมิให้มีการนำข้อมูลส่วนบุคคลไปใช้โดยมิได้รับอนุญาต
                         6.2  ข้อมูลส่วนบุคคลที่มหาวิทยาลัยได้รับมา  อาทิ  ชื่อ-สกุล  ที่อยู่  หมายเลขโทรศัพท์  หมายเลขบัตรประจำตัวประชาชน  อีเมล์  ข้อมูลทางการเงิน ฯลฯ  ซึ่งสามารถบ่งบอกตัวบุคคลของเจ้าของข้อมูลได้  และเป็นข้อมูลส่วนบุคคลที่มีความถูกต้องและเป็นปัจจุบันจะถูกนำไปใช้ให้เป็นไปตามวัตถุประสงค์การดำเนินงานของมหาวิทยาลัยเท่านั้น  และมหาวิทยาลัยจะดำเนินมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล
               ข้อ 7  ข้อจำกัดในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
                         7.1  มหาวิทยาลัยจะเก็บรักษาข้อมูลส่วนบุคคล และคุ้มครองข้อมูลส่วนบุคคลจากการเข้าถึง  การเปลี่ยนแปลง  การเปิดเผย  หรือการทำลายข้อมูลที่มหาวิทยาลัยเก็บรักษาโดยไม่ได้รับอนุญาต  สำหรับการใช้  และ/หรือการเปิดเผยข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมจากเจ้าของข้อมูลโดยจะต้องเป็นการใช้ตามวัตถุประสงค์ของการการเก็บรวบรวม  ใช้  หรือเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัยเท่านั้น ทั้งนี้ มหาวิทยาลัยจะกำกับดูแลเจ้าหน้าที่และผู้ปฏิบัติงานของมหาวิทยาลัยมิให้ใช้และ/หรือเปิดเผย  ข้อมูลส่วนบุคคลของเจ้าของข้อมูลนอกเหนือไปจากวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลหรือเปิดเผยต่อบุคคลภายนอก  เว้นแต่
                                    7.1.1   เป็นการปฏิบัติตามกฎหมาย
                                    7.1.2   เป็นไปเพื่อประโยชน์แก่การสอบสวนของพนักงานสอบสวน  หรือการพิจารณาพิพากษาคดีของศาล
                                    7.1.3   เป็นไปเพื่อประโยชน์ของเจ้าของข้อมูล  และการขอความยินยอมไม่อาจกระทำได้ในเวลานั้น
                                    7.1.4   เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของมหาวิทยาลัย  หรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่บริษัท
                                    7.1.5   เป็นการจำเป็นเพื่อป้องกันหรือระงับอันตรายต่อชีวิต  ร่างกาย  หรือสุขภาพของบุคคล
                                    7.1.6   เป็นการจำเป็นเพื่อ การปฏิบัติตามสัญญา   ซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา
                                    7.1.7   เพื่อให้บรรลุวัตถุประสงค์ของมหาวิทยาลัยเกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ  เพื่อประโยชน์สาธารณะ  หรือเพื่อการศึกษา  วิจัย  การจัดทำสถิติ  ซึ่งได้จัดให้มีมาตรการที่เหมาะสม
                         7.2  ระยะเวลาในการจัดเก็บ  มหาวิทยาลัยจะจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลไว้ตามระยะเวลาขั้นต่ำที่กฎหมายในเรื่องนั้น ๆ  กำหนดไว้  หรือจะจัดเก็บข้อมูลส่วนบุคคลไว้ในระยะเวลาอย่างน้อย 10 ปี  ภายหลังจากที่สิ้นสุดความสัมพันธ์กับมหาวิทยาลัย  อย่างไรก็ตาม มหาวิทยาลัยอาจยังคงจัดเก็บข้อมูลส่วนบุคคลไว้ต่อไปหลังจากสิ้นสุดระยะเวลาดังกล่าว  หากมหาวิทยาลัยเห็นว่ายังมีความจำเป็นในการจัดเก็บข้อมูลไว้เพื่อใช้ตามวัตถุประสงค์ในการจัดเก็บรวบรวมข้อมูลดังกล่าว  หรือเพื่อความจำเป็นอื่นใดที่มหาวิทยาลัยเห็นสมควร  เช่น  การบังคับสิทธิตามกฎหมาย  หรือตามสัญญาของมหาวิทยาลัย เป็นต้น
               ข้อ 8  เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
                         มหาวิทยาลัยได้ดำเนินการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล  พ.ศ. 2562  โดยได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)  เพื่อตรวจสอบการดำเนินการของมหาวิทยาลัย  ที่เกี่ยวกับการเก็บรวบรวม  ใช้  หรือเปิดเผยข้อมูลส่วนบุคคลให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล  พ.ศ. 2562  รวมถึงกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล  นอกจากนี้  มหาวิทยาลัยได้จัดทำระเบียบ  คำสั่งให้ผู้เกี่ยวข้องดำเนินการตามที่กำหนดไว้  เพื่อให้การดำเนินงานตามแนวนโยบายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเป็นไปด้วยความเรียบร้อย
               ข้อ 9  ช่องทางการติดต่อ
                          มหาวิทยาลัยศรีปทุม
                          ที่อยู่ 2410/2 ถนนพหลโยธิน แขวงเสนานิคม เขตจตุจักร กรุงเทพมหานคร 10900
                          เบอร์โทรศัพท์ :  0 2597 1111 , 0 2561 2222
                          โทรสาร : 02 561 1721
                          อีเมล : DPO@spu.ac.th