สำนักการจัดการนวัตกรรมและถ่ายทอดเทคโนโลยี มหาวิทยาลัยเทคโนโลยีราชมงคลศรีวิชัย ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล จึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) ขึ้น โดยนโยบายนี้ ได้อธิบายถึงวิธีการที่หน่วยงานปฏิบัติต่อข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม การจัดเก็บรักษา การใช้ การเปิดเผย รวมถึงสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคลเพื่อให้เจ้าของข้อมูลได้รับทราบถึงนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน หน่วยงานจึงประกาศนโยบายคุ้มครองข้อมูลส่วนบุคคล ดังต่อไปนี้
1. ขอบเขตของนโยบาย
ข. ข้อมูลติดต่อ ได้แก่ ที่อยู่ หมายเลขโทรศัพท์ Line ID ช่องทางติดต่อในสื่อสังคมออนไลน์ สถานที่ทำงานตำแหน่งงาน หน่วยงานหรือองค์กร
ค. ข้อมูลเกี่ยวกับการใช้งานระบบอิเล็กทรอนิกส์ ได้แก่ email หมายเลขไอพี (IP Address) ประเภทของโปรแกรมบราวเซอร์ (Browser) และคุกกี้ (Cookies) ประวัติการสนทนาในแอปพลิเคชันต่าง ๆ
ง. ข้อมูลที่ท่านได้ให้ไว้เมื่อท่านติดต่อหรือร่วมกิจกรรมใด ๆ กับหน่วยงาน เป็นต้น
2. การเก็บรวบรวมข้อมูลส่วนบุคคล
หน่วยงานจะทำการเก็บรวบรวมข้อมูลส่วนบุคคลโดยมี วัตถุประสงค์ ขอบเขต และใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม โดยในการเก็บรวบรวมนั้น จะทำเพียงเท่าที่จำเป็นแก่การดำเนินงานภายใต้วัตถุประสงค์ของหน่วยงานเท่านั้น ทั้งนี้ หน่วยงานจะดำเนินการให้เจ้าของข้อมูล รับรู้ ให้ความยินยอมทางอิเล็กทรอนิกส์ หรือตามแบบวิธีการของหน่วยงาน กรณีที่หน่วยงานจัดเก็บข้อมูลส่วนบุคคลอ่อนไหวของเจ้าของข้อมูล หน่วยงานจะขอความยินยอมจากเจ้าของข้อมูลโดยชัดแจ้งก่อนทำการเก็บรวบรวม เว้นแต่การเก็บข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลอ่อนไหวจะเข้าข้อยกเว้นตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมายอื่นกำหนดไว้
3. วัตถุประสงค์ในการเก็บรวบรวม หรือใช้ข้อมูลส่วนบุคคล
หน่วยงานจะทำการเก็บรวบรวม หรือใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูล เพื่อประโยชน์ในการดำเนินงานของหน่วยงาน เช่น การจัดซื้อจัดจ้าง การทำสัญญา การทำธุรกรรมทางการเงิน การดำเนินกิจกรรมหน่วยงาน การติดต่อประสานงานต่าง ๆ หรือเพื่อปรับปรุงคุณภาพการทำงานให้มีประสิทธิภาพมากยิ่งขึ้น เช่น การจัดทำฐานข้อมูล วิเคราะห์และพัฒนากระบวนการดำเนินงานของหน่วยงาน และเพื่อวัตถุประสงค์อื่นใดที่ไม่ต้องห้ามตามกฎหมาย และหรือ เพื่อปฏิบัติตามกฎหมายหรือกฎระเบียบที่เกี่ยวข้องต่อการดำเนินงานของหน่วยงาน โดยหน่วยงานจะจัดเก็บและใช้ข้อมูลดังกล่าวตามระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลหรือตามที่กฎหมายกำหนดไว้เท่านั้น
หน่วยงานจะไม่กระทำการใด ๆ แตกต่างจากที่ระบุในวัตถุประสงค์ของการเก็บรวบรวมข้อมูล เว้นแต่
ทั้งนี้ หากภายหลังมีการเปลี่ยนแปลงวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล หน่วยงานจะแจ้งให้ท่านทราบ และดำเนินการอื่นใดตามที่กฎหมายกำหนด รวมถึงจัดให้มีบันทึกการแก้ไขเพิ่มเติมไว้เป็นหลักฐาน
4. การเปิดเผยข้อมูลส่วนบุคคล
หน่วยงานจะไม่เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปให้บุคคลใดโดยปราศจากความยินยอม และจะเปิดเผยตามวัตถุประสงค์ที่ได้มีการแจ้งไว้แล้ว แต่อย่างไรก็ดี เพื่อให้เป็นประโยชน์ต่อการดำเนินงานของหน่วยงานและการให้บริการแก่เจ้าของข้อมูล หน่วยงานอาจมีความจำเป็นในการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ให้แก่หน่วยงานในเครือหรือบุคคลอื่นทั้งในและต่างประเทศ เช่น ผู้ให้บริการต่าง ๆ ที่ต้องดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล โดยในการเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลดังกล่าว หน่วยงานจะดำเนินการให้บุคคลเหล่านั้น เก็บรักษาข้อมูลส่วนบุคคลไว้เป็นความลับ และไม่นำไปใช้เพื่อวัตถุประสงค์อื่นนอกเหนือจากขอบเขตที่หน่วยงานได้กำหนดไว้
นอกจากนี้ หน่วยงานอาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ภายใต้หลักเกณฑ์ที่กฎหมายกำหนด เช่น การเปิดเผยข้อมูลต่อหน่วยงานราชการ หน่วยงานภาครัฐ หน่วยงานกำกับดูแล รวมถึงในกรณีที่มีการร้องขอให้เปิดเผยข้อมูลโดยอาศัยอำนาจตามกฎหมาย เช่น การร้องขอข้อมูลเพื่อการฟ้องร้องหรือดำเนินคดีตามกฎหมาย หรือการร้องขอจากหน่วยงานเอกชน หรือบุคคลภายนอกอื่น ๆ ที่มีความเกี่ยวข้องกับกระบวนการทางกฎหมาย ทั้งนี้ ในกรณีที่ต้องมีการโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ หน่วยงาน จะดำเนินการตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดไว้อย่างเคร่งครัด
5. แนวทางในการดำเนินการคุ้มครองข้อมูลส่วนบุคคล
หน่วยงานจะกำหนดมาตรการต่าง ๆ รวมถึงมาตรการด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่สอดคล้องกับกฎหมาย ระเบียบ หลักเกณฑ์ และแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลให้แก่พนักงานของหน่วยงานและบุคคลอื่นที่เกี่ยวข้อง รวมถึงสนับสนุนและส่งเสริมให้พนักงานมีความรู้และตระหนักถึงหน้าที่และความรับผิดชอบในการเก็บรวบรวม การจัดเก็บรักษา การใช้ และการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล โดยพนักงานของหน่วยงานต้องปฏิบัติตามนโยบายฯ และแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลตามที่หน่วยงานกำหนดไว้ เพื่อให้หน่วยงานสามารถปฏิบัติตามนโยบายและกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้อย่างถูกต้องและมีประสิทธิภาพ
6. สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการดำเนินการ ดังต่อไปนี้
เจ้าของข้อมูลสามารถขอใช้สิทธิดังกล่าวข้างต้นได้ โดยยื่นคำร้องขอใช้สิทธิต่อหน่วยงานเป็นลายลักษณ์อักษรหรือผ่านทางจดหมายอิเล็กทรอนิกส์ตามแบบฟอร์มที่หน่วยงานกำหนด ผ่าน “ช่องทางการติดต่อของหน่วยงาน” ด้านล่าง โดยหน่วยงานจะพิจารณาและแจ้งผลการพิจารณาตามคำร้องฯ ของเจ้าของข้อมูล ภายใน 30 วัน นับแต่วันที่ได้รับคำร้องฯ ดังกล่าว ทั้งนี้ หน่วยงานอาจปฏิเสธสิทธิของเจ้าของข้อมูลได้ในกรณีที่มีกฎหมายกำหนดไว้
7. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคล
หน่วยงานจะเก็บรักษาข้อมูลส่วนบุคคลของท่านเป็นระยะเวลาเท่าที่จำเป็น เพื่อวัตถุประสงค์ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลซึ่งได้ระบุไว้ในคำประกาศฉบับนี้ ตามหลักเกณฑ์ที่ใช้กำหนดระยะเวลาเก็บ ได้แก่ ระยะเวลาที่หน่วยงานยังมีความสัมพันธ์กับท่านในฐานะลูกค้าของหน่วยงาน และอาจเก็บต่อไปตามระยะเวลาที่จำเป็นเพื่อการปฏิบัติตามกฎหมายหรือตามอายุความทางกฎหมาย เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามกฎหมายหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อเหตุอื่นตามนโยบายและข้อกำหนดภายในของหน่วยงาน
ในกรณีที่ไม่สามารถระบุระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคลได้ชัดเจน หน่วยงานจะเก็บรักษาข้อมูลไว้ตามระยะเวลาที่อาจคาดหมายได้ตามมาตรฐานของการเก็บรวบรวม (เช่น อายุความตามกฎหมายทั่วไปสูงสุด 10 ปี)
8. การรักษาความมั่นคงปลอดภัย
หน่วยงาน กำหนดให้มีมาตรการที่เหมาะสม และเข้มงวดในการรักษาความมั่นคงปลอดภัย ตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศของหน่วยงาน เพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ แปลง แก้ไขหรือมิให้มีการนำข้อมูลส่วนบุคคลไปใช้โดยไม่มีสิทธิหรือไม่ชอบด้วยกฎหมาย
9. การทบทวนและเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคล
หน่วยงานอาจทำการปรับปรุงหรือแก้ไขนโยบายนี้เป็นครั้งคราว เพื่อให้สอดคล้องกับข้อกำหนดตามกฎหมาย การเปลี่ยนแปลงการดำเนินงานของหน่วยงาน รวมถึงข้อเสนอแนะและความคิดเห็นจากหน่วยงานต่าง ๆ หากมีการแก้ไขเปลี่ยนแปลงหน่วยงาน จะแจ้งให้ทราบด้วยการเผยแพร่ผ่านการประกาศที่เหมาะสมของหน่วยงาน
10. ช่องทางการติดต่อหน่วยงาน
หน่วยงาน ได้มีการดำเนินการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) เพื่อตรวจสอบการดำเนินการของหน่วยงานที่เกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล ได้ที่
Copyrights © RUTS | IMTT. All Rights Reserved