BSRU PDPA

ประกาศมหาวิทยาลัยราชภัฏบ้านสมเด็จเจ้าพระยา เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล โดยที่เป็นการสมควรกําหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัยราชภัฏบ้านสมเด็จเจ้าพระยาให้สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ เพื่อให้การดําเนินงาน ของมหาวิทยาลัยเป็นไปอย่างเรียบร้อย มีการคุ้มครองข้อมูลส่วนบุคคลอย่างมีประสิทธิภาพและเป็นไปตามมาตรฐานของกฎหมาย 

อาศัยอํานาจตามความในมาตรา ๒๗ แห่งพระราชบัญญัติมหาวิทยาลัยราชภัฏ พ.ศ. ๒๕๔๗ อธิการบดีมหาวิทยาลัยราชภัฏบ้านสมเด็จเจ้าพระยาจึงกําหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย ราชภัฏบ้านสมเด็จเจ้าพระยาไว้ ดังต่อไปนี้

ข้อ 1. ในประกาศนี้

• มหาวิทยาลัย หมายความว่า มหาวิทยาลัยราชภัฏบ้านสมเด็จเจ้าพระยา
• ข้อมูลส่วนบุคคล หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทําให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม เช่น ข้อมูลส่วนบุคคลของบุคลากร นักศึกษา นักเรียน ศิษย์เก่าและผู้รับบริการ แต่ไม่รวมถึง ข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
• ธุรกรรมทางอิเล็กทรอนิกส์ หมายความว่า ธุรกรรมที่กระทําขึ้นโดยใช้วิธีการทางอิเล็กทรอนิกส์ ทั้งหมดหรือบางส่วน
• ผู้ควบคุมข้อมูลส่วนบุคคล หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอํานาจหน้าที่ตัดสินใจเกี่ยวกับ การเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล 
• เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หมายความว่า เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
• บุคลากร หมายความว่า ข้าราชการพลเรือนในสถาบันอุดมศึกษา พนักงานมหาวิทยาลัย พนักงาน ราชการ ลูกจ้างประจํา รวมทั้งบุคลากรของหน่วยงานในกํากับและโครงการวิจัยของมหาวิทยาลัยราชภัฏบ้านสมเด็จเจ้าพระยา
• นักศึกษา หมายความว่า นักศึกษามหาวิทยาลัยราชภัฏบ้านสมเด็จเจ้าพระยาระดับปริญญาตรี และบัณฑิตศึกษา รวมถึงศิษย์เก่าที่สําเร็จการศึกษาจากมหาวิทยาลัย
• นักเรียน หมายความว่า นักเรียนโรงเรียนสาธิตมหาวิทยาลัยราชภัฏบ้านสมเด็จเจ้าพระยา 

 

ข้อ 2. วัตถุประสงค์ในการเก็บรวบรวม

• เพื่อให้ผู้มีส่วนเกี่ยวข้องเข้าใจถึงหลักปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล
• เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลและความเป็นส่วนตัวของผู้ใช้บริการดําเนินการอย่างมี มาตรฐานและครอบคลุมการทํางานของมหาวิทยาลัยในด้านการบริหารจัดการข้อมูลอย่างครบถ้วน
• เพื่อคงไว้ซึ่งความเชื่อมั่นของผู้ใช้บริการในการใช้บริการธุรกรรม ธุรกรรมอิเล็กทรอนิกส์และ การเข้าถึงข้อมูลของมหาวิทยาลัย

 

ข้อ 3. การเก็บรวบรวมข้อมูล ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล จะต้องสอดคล้องกับหลักการคุ้มครอง ข้อมูลส่วนบุคคล ดังนี้ 

• ชอบด้วยกฎหมาย มีความโปร่งใสและสามารถตรวจสอบได้ (Lawfulness, Fairness and Transparency)
• อยู่ภายใต้ขอบเขตและวัตถุประสงค์ที่มหาวิทยาลัยกําหนด และไม่นําไปใช้หรือเปิดเผยนอกเหนือ ขอบเขตและวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลนั้น (Purpose Limitation)
• ดําเนินการเท่าที่จําเป็นตามวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Data Minimization)
• มีความถูกต้องและดําเนินการให้ข้อมูลเป็นปัจจุบันในกรณีที่จําเป็น (Accuracy) 
• เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่จําเป็น (Storage Limitation)
• มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม (Integrity and Confidentiality)

 

ข้อ 4. ข้อมูลส่วนบุคคลที่มหาวิทยาลัยเก็บรวบรวม ใช้ หรือเปิดเผย

จะกระทําโดยมีวัตถุประสงค์ ขอบเขต และใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม เพื่อการดําเนินงานตามอํานาจและหน้าที่ของมหาวิทยาลัย ในภาระหน้าที่ด้านต่างๆ เช่น การทําการวิจัยและนําความรู้ไปใช้เพื่อประโยชน์ในการพัฒนาประเทศและสังคมและ ก่อให้เกิดประโยชน์แก่มหาวิทยาลัย การผลิตบัณฑิต การส่งเสริม ประยุกต์ และพัฒนาวิชาการ ซึ่งมหาวิทยาลัย จะดําเนินการอย่างจํากัดเพียงเท่าที่จําเป็นแก่การให้บริการทางการศึกษา การจัดกิจกรรมทางการศึกษา หรือบริการ ด้วยวิธีการทางอิเล็กทรอนิกส์อื่นใดภายใต้วัตถุประสงค์ของมหาวิทยาลัยเท่านั้น 

 

ข้อ 5. อํานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

มหาวิทยาลัยเป็นผู้ควบคุมข้อมูลส่วนบุคคลและมีอํานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล มหาวิทยาลัยและทุกส่วนงานของมหาวิทยาลัยจึงต้องปฏิบัติตามที่กฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด 

 

ข้อ 6. อำนาจหน้าที่ และวัตถุประสงค์ในการดําเนินงานของมหาวิทยาลัย

มหาวิทยาลัยจะจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลไว้เท่าที่จําเป็นภายใต้อํานาจหน้าที่ และวัตถุประสงค์ในการดําเนินงานของมหาวิทยาลัยตามที่กฎหมายกําหนด หรือรับรองตามมาตรา ๒๔ แห่งพระราชบัญญัติข้อมูลข่าวสารราชการ พ.ศ. ๒๕๔๐ เท่านั้น ในกรณีที่มหาวิทยาลัยประสงค์จะใช้ข้อมูลส่วนบุคคล ของเจ้าของข้อมูลเพื่อวัตถุประสงค์อื่น มหาวิทยาลัยจะแจ้งความประสงค์ให้เจ้าของข้อมูลทราบและขอความยินยอม จากเจ้าของข้อมูลก่อน เว้นแต่เป็นกรณีที่กฎหมายกําหนดหรือในกรณีอื่น ๆ ตามที่กําหนดไว้ในประกาศฉบับนี้

 

ข้อ 7. ความยินยอมจากเจ้าของข้อมูลก่อนทําการเก็บรวบรวม

มหาวิทยาลัยต้องขอความยินยอมจากเจ้าของข้อมูลก่อนทําการเก็บรวบรวม เว้นแต่

• เป็นกรณีที่กฎหมายกําหนด
• เป็นไปเพื่อประโยชน์ของเจ้าของข้อมูล และการขอความยินยอมไม่อาจกระทําได้ในเวลานั้น
• เป็นไปเพื่อประโยชน์เกี่ยวกับชีวิต สุขภาพ หรือความปลอดภัยของเจ้าของข้อมูลและผู้ใช้
• เพื่อประโยชน์แก่การสอบสวนของพนักงานสอบสวน หรือการพิจารณาพิพากษาคดีของศาล
• เพื่อประโยชน์ในการศึกษา วิจัย หรือการจัดทําสถิติ

 

ข้อ 8. ข้อมูลส่วนบุคคลที่ไม่จัดเก็บ

มหาวิทยาลัยจะไม่จัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลซึ่งเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดที่อาจเป็นผลร้าย ทําให้เสียชื่อเสียง หรืออาจก่อให้เกิด ความรู้สึกเกี่ยวกับการเลือกปฏิบัติโดยไม่เป็นธรรมหรือความไม่เท่าเทียมกันแก่บุคคลใด เว้นแต่ บริการอื่น 

• ได้รับความยินยอมเป็นลายลักษณ์อักษรจากเจ้าของข้อมูล
• เป็นกรณีที่กฎหมายกําหนด
• เป็นไปเพื่อประโยชน์ของเจ้าของข้อมูล และการขอความยินยอมไม่อาจกระทําได้ในเวลานั้น
• เป็นไปเพื่อประโยชน์เกี่ยวกับชีวิต สุขภาพ หรือความปลอดภัยของเจ้าของข้อมูลและผู้ใช้
• เพื่อประโยชน์แก่การสอบสวนของพนักงานสอบสวน หรือการพิจารณาพิพากษาคดีของศาล (๖) เพื่อประโยชน์ในการศึกษา วิจัย หรือการจัดทําสถิติ

 

ข้อ 9. การเก็บรวบรวมข้อมูลส่วนบุคคล

มหาวิทยาลัยจะไม่ให้ผู้ควบคุมข้อมูลส่วนบุคคลทําการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่ง อื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง เว้นแต่ 

• ได้แจ้งถึงการเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นให้แก่เจ้าของข้อมูลส่วนบุคคลทราบ โดยไม่ชักช้า แต่ต้องไม่เกินสามสิบวันนับแต่วันที่เก็บรวบรวมและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
• เป็นการเก็บรวบรวมข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามมาตรา ๒๔ หรือมาตรา ๒๖ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ 

 

ข้อ 10. มาตรการรักษาความมั่นคงปลอดภัยของข้อมูล

มาตรการรักษาความมั่นคงปลอดภัยของข้อมูล มหาวิทยาลัยตระหนักถึงความสําคัญของ การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล จึงกําหนดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของ ข้อมูลส่วนบุคคลอย่างเหมาะสมและสอดคล้องกับการรักษาความลับของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย การเข้าถึง ทําลาย ใช้ แปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือไม่ชอบด้วยกฎหมาย โดยให้เป็นไป ตามที่กําหนดในนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศของมหาวิทยาลัย 

 

ข้อ 11. สิทธิของเจ้าของข้อมูลส่วนบุคคล

มหาวิทยาลัยต้องจัดให้มีช่องทางและอํานวยความสะดวกให้แก่เจ้าของข้อมูลส่วนบุคคลหรือ ผู้มีอํานาจกระทําการแทนในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ซึ่งรวมถึงสิทธิดังต่อไปนี้ 

(๑) สิทธิขอเข้าถึงและขอรับสําเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของ มหาวิทยาลัย หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม 
(๒) สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากมหาวิทยาลัย ในกรณีที่มหาวิทยาลัยได้ทําให้ข้อมูล ส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทํางานได้โดยอัตโนมัติและ สามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งสิทธิขอให้มหาวิทยาลัยส่งหรือโอนข้อมูลส่วน บุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทําได้ด้วยวิธีการอัตโนมัติ และสิทธิขอรับข้อมูล ส่วนบุคคลที่มหาวิทยาลัยส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่ โดยสภาพทางเทคนิคไม่สามารถทําได้ 
(๓) สิทธิตรวจดูความมีอยู่ ลักษณะของข้อมูลส่วนบุคคล วัตถุประสงค์ของการนําข้อมูลไปใช้ และสถานที่ทําการของมหาวิทยาลัย นอกจากนี้ยังมีสิทธิ ดังต่อไปนี้ 

• ขอสําเนาหรือขอสําเนารับรองถูกต้องเกี่ยวกับข้อมูลส่วนบุคคลของตน
• ขอแก้ไขหรือเปลี่ยนแปลงข้อมูลส่วนบุคคลของตนให้ถูกต้องสมบูรณ์ ค. ขอระงับการใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน
• ขอให้ดําเนินการลบหรือทําลายข้อมูลส่วนบุคคลที่เกี่ยวกับตน
• ขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่เกี่ยวกับตนในกรณีที่เป็นข้อมูลซึ่งผู้ใช้บริการ ไม่ได้ให้ความยินยอมในการรวบรวมหรือจัดเก็บ 

ทั้งนี้ มหาวิทยาลัยอาจปฏิเสธสิทธิของเจ้าของข้อมูลได้ในกรณีที่กฎหมายกําหนด หรือในกรณีที่ข้อมูล ส่วนบุคคลของเจ้าของข้อมูลถูกทําให้ไม่ปรากฏชื่อหรือสิ่งบอกลักษณะอันสามารถระบุตัวเจ้าของข้อมูลได้อีก และไม่ขัด ต่อกฎหมาย 

 

ข้อ 12. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

มหาวิทยาลัยต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อปฏิบัติหน้าที่ตามที่กฎหมาย กําหนด กรณีที่มีปัญหาในการปฏิบัติหน้าที่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องดําเนินการแจ้งให้มหาวิทยาลัยทราบ นับแต่ทราบเหตุแห่งการนั้นโดยเร็ว และติดตามแก้ไขปัญหาจนแล้วเสร็จ 

 

ข้อ 13. ความร่วมมือและปฏิบัติตามกฎหมาย

ผู้บริหาร บุคลากร และนักศึกษาทุกระดับของส่วนงานภายในมหาวิทยาลัย จะต้องให้ ความร่วมมือและปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่น ตลอดจนนโยบาย แนวปฏิบัติ และมาตรการคุ้มครองข้อมูลส่วนบุคคลที่มหาวิทยาลัยกําหนดขึ้นตามประกาศนี้ 

 

ข้อ 14. ระบบการจัดการข้อร้องเรียน

มหาวิทยาลัยอาจจัดให้มีระบบการจัดการข้อร้องเรียนเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ตามหลักเกณฑ์และวิธีการที่มหาวิทยาลัยกําหนด 

 

ข้อ 15. หน้าที่ในการดําเนินงานของมหาวิทยาลัย

ผู้บริหารและบุคลากรที่เกี่ยวข้องของมหาวิทยาลัยและส่วนงาน มีหน้าที่เตรียมการเพื่อให้ การดําเนินงานของมหาวิทยาลัยและส่วนงานสอดคล้องกับบทบัญญัติแห่งกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ตามกําหนดเวลาที่บทบัญญัติดังกล่าวจะมีผลใช้บังคับ และมีหน้าที่กํากับดูแลและดําเนินการให้การดําเนินงาน หลังจากนั้นเป็นไปตามบทบัญญัติแห่งกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและประกาศฉบับนี้ 

 

ข้อ 16. นโยบายของประกาศ

การดําเนินการเพื่อให้เป็นไปตามนโยบายของประกาศนี้ ให้เป็นไปตามที่มหาวิทยาลัยกําหนด การคุ้มครองข้อมูลส่วนบุคคลที่ไม่ได้กําหนดไว้ตามประกาศนี้หรือตามประกาศที่ต้องมีตามวรรคหนึ่ง ให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล