นโยบายความเป็นส่วนตัว (Privacy Policy)
1. บทนำ
วิทยาลัยบัณฑิตศึกษาด้านการจัดการ มหาวิทยาลัยศรีปทุม ให้ความสำคัญอย่างยิ่งกับการคุ้มครองข้อมูลส่วนบุคคล และการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และโดยที่การดำเนินงานของวิทยาลัยฯต้องมีการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคล วิทยาลัยฯจึงเป็นผู้ควบคุมข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่ต้องมีหน้าที่และความรับผิดชอบในการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมาย
วิทยาลัยฯจึงได้มีการจัดทำนโยบายความเป็นส่วนตัวนี้ขึ้น (“นโยบาย”) เพื่อกำหนดแนวทางและหลักปฏิบัติในการดำเนินการคุ้มครองข้อมูลส่วนบุคคลของวิทยาลัยฯ
2. ขอบเขต
นโยบายนี้มีผลบังคับใช้กับผู้ที่เกี่ยวข้องกับการบริหารจัดการข้อมูลตลอดวงจรชีวิตข้อมูลของวิทยาลัยฯ เช่น พนักงาน คณะกรรมการสอบ และนักศึกษา หรือหน่วยงานภายนอกหรือบุคคลภายนอกที่ปฏิบัติงานในนามหรือร่วมงานกับวิทยาลัยฯ เป็นต้น ตลอดจนผู้ที่อยู่ในโครงสร้างธรรมาภิบาลข้อมูล และผู้ที่มีหน้าที่โดยตรงในการสนับสนุนการดำเนินการและการปฏิบัติตามนโยบายนี้
วิทยาลัยฯมุ่งหวังให้ผู้ที่ต้องปฏิบัติตามนโยบายนี้ ได้มีการทำความเข้าใจหลักการและแนวทางที่กำหนดนโยบายนี้ และพึงยึดถือปฏิบัติอย่างเคร่งครัด หากมีผู้ที่ปฏิบัติฝ่าฝืนนโยบาย รวมถึงแนวปฏิบัติต่าง ๆ ภายใต้นโยบายนี้ วิทยาลัยฯจะพิจารณาดำเนินมาตรการที่จำเป็นเพื่อลงโทษผู้ที่ฝ่าฝืนนั้น
3. วัตถุประสงค์
1. เพื่อให้การดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลของวิทยาลัยฯเป็นไปตามข้อกำหนดของกฎหมาย
2. เพื่อเป็นแนวทางในการดำเนินการคุ้มครองข้อมูลส่วนบุคคลที่วิทยาลัยฯมีการเก็บรวบรวมและประมวลผล ให้กับนักศึกษาและผู้ที่มีส่วนเข้าไปเกี่ยวข้องกับข้อมูลส่วนบุคคลดังกล่าวได้ยึดถือปฏิบัติโดยเคร่งครัด
3. เพื่อให้เจ้าของข้อมูลส่วนบุคคลมั่นใจว่าข้อมูลส่วนบุคคลที่วิทยาลัยฯมีการเก็บรวบรวมไว้จะได้รับการปกป้องดูแลและนำไปประมวลผลอย่างเหมาะสม โปร่งใส และเป็นไปตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลส่วนบุคคล
4. คำนิยาม
กฎหมายคุ้มครองข้อมูลส่วนบุคคล หมายความว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และที่มีการแก้ไขเพิ่มเติมในอนาคต รวมถึงกฎหมายลำดับรองและกฎเกณฑ์ต่าง ๆ ที่เกี่ยวข้อง
ข้อมูลส่วนบุคคล (Personal Data) หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม อาทิเช่น ชื่อ นามสกุล ชื่อเล่น อีเมล หมายเลขโทรศัพท์ ที่อยู่ ทะเบียนรถยนต์ รวมถึงข้อมูลทางชีวมิติ (Biometric) เช่น ใบหน้า ลายนิ้วมือ เป็นต้น แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรม
ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายความว่า บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
เจ้าของข้อมูล (Data Subject) หมายความว่า บุคคลธรรมดาที่เป็นเจ้าของข้อมูลส่วนบุคคลนั้น แต่ไม่ใช่กรณีที่บุคคลมีความเป็นเจ้าของข้อมูล (Ownership) หรือเป็นผู้สร้างหรือเก็บรวบรวมข้อมูลนั้นเอง
การประมวลผล (Processing) หมายความว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
พนักงาน หมายความว่า ผู้บริหาร พนักงาน ลูกจ้าง ผู้ที่ทำงานหรือปฏิบัติงานให้กับวิทยาลัยฯด้วยมีข้อตกลงของสัญญา หรือได้รับการแต่งตั้งตามกฎหมายให้มาปฏิบัติงาน
5. หลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล
วิทยาลัยฯจะประมวลผลข้อมูลส่วนบุคคล โดยอยู่บนพื้นฐานหลักการสำคัญดังต่อไปนี้
1. การประมวลผลข้อมูลส่วนบุคคลต้องเป็นไปโดยชอบด้วยกฎหมาย เป็นธรรม และมีความโปร่งใส ต่อเจ้าของข้อมูลส่วนบุคคล (Lawfulness, Fairness and Transparency)
2. การประมวลผลข้อมูลส่วนบุคคลจะดำเนินการภายในขอบเขตวัตถุประสงค์ที่วิทยาลัยฯกำหนด โดยเป็นวัตถุประสงค์ที่มีความแจ้งชัด และมีผลบังคับตามกฎหมาย และจะไม่มีการประมวลผลข้อมูลไปในทางที่ไม่สอดคล้องหรือไม่เป็นไปตามวัตถุประสงค์ดังกล่าว (Purpose Limitation)
3. การประมวลผลข้อมูลส่วนบุคคล ต้องเป็นไปเท่าที่เพียงพอ มีความเกี่ยวข้อง และจำเป็น ต่อวัตถุประสงค์ของการประมวลผลข้อมูลดังกล่าว (Data Minimization)
4. การประมวลผลข้อมูลส่วนบุคคล ต้องเป็นการดำเนินการที่ถูกต้อง และต้องทำให้ข้อมูลเป็นปัจจุบันในกรณีที่จำเป็น โดยจะมีการดำเนินการตามขั้นตอนที่เหมาะสมเพื่อให้แน่ใจว่าข้อมูลที่ไม่ถูกต้องดังกล่าวได้รับการปรับปรุงแก้ไข (Accuracy)
5. การจัดเก็บข้อมูลส่วนบุคคลต้องเป็นไปตามระยะเวลาเท่าที่จำเป็นต่อการประมวลผลข้อมูลนั้น (Storage Limitation) เว้นแต่กรณีมีกฎหมายกำหนดไว้ให้วิทยาลัยฯมีหน้าที่ต้องจัดเก็บข้อมูลส่วนบุคคลไว้นานกว่าระยะเวลาเท่าที่จำเป็นดังกล่าว
6. การประมวลผลข้อมูลส่วนบุคคลต้องมีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม รวมถึงมีการป้องกันการประมวลผลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย และป้องกันการสูญหายโดยอุบัติเหตุ การถูกทำลาย หรือถูกทำให้เสียหาย (Integrity and Confidentiality)
6. การปฏิบัติให้สอดคล้องตามหลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล
วิทยาลัยฯให้ความสำคัญอย่างยิ่งกับการคุ้มครองข้อมูลส่วนบุคคล โดยมีการกำหนดมาตรการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด รวมถึงมีการกำหนดมาตรการควบคุมภายใน จัดทำแนวทางปฏิบัติ คู่มือที่เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้การดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิภาพ สอดคล้องตามหลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคล และพนักงาน คณะกรรมการสอบ และนักศึกษาของวิทยาลัยฯ มีการปฏิบัติตามกฎหมาย นโยบายและแนวปฏิบัติอย่างเคร่งครัด
วิทยาลัยฯมีแนวทางการดำเนินงานเพื่อให้มั่นใจได้ว่า หลักการสำคัญในการคุ้มครองข้อมูลส่วนบุคคลตามข้อ 5. จะมีการนำไปสู่การปฏิบัติจริงได้ โดย
1. ให้มีการกำหนดโครงสร้างองค์กรเพื่อกำหนดผู้รับผิดชอบ และหน้าที่ความรับผิดชอบในการควบคุมดูแลและอำนวยการให้การดำเนินงานของวิทยาลัยฯมีความสอดคล้องและเป็นไปตามวัตถุประสงค์ของนโยบายนี้ และเป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด ตลอดจนการให้คำปรึกษาแก่พนักงาน คณะกรรมการสอบ และนักศึกษา และเป็นตัวแทนของวิทยาลัยฯในการติดต่อประสานงานกับเจ้าของข้อมูล และวิทยาลัยฯคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
2. ให้มีการกำหนดแนวปฏิบัติและกำหนดหน้าที่ความรับผิดชอบของพนักงาน คณะกรรมการสอบ และนักศึกษาเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งสอดคล้องกับนโยบายนี้และกฎหมายคุ้มครองข้อมูลส่วนบุคคล ตลอดจนนโยบายอื่น ๆ ที่เกี่ยวข้อง
3. ให้มีการอบรมให้ความรู้ สร้างความตระหนักและความเข้าใจกับพนักงาน คณะกรรมการสอบ และนักศึกษาของวิทยาลัยฯเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
4. ให้มีการแจ้งผู้ใช้บริการหรือผู้ที่มีการติดต่อกับวิทยาลัยฯให้ทราบว่า เหตุใดวิทยาลัยฯต้องมีการประมวลผลข้อมูลของผู้ใช้บริการหรือผู้ที่มาติดต่อกับวิทยาลัยฯ รวมถึงวิทยาลัยฯจะมีการแบ่งปันหรือเปิดเผยข้อมูลเหล่านี้กับใครบ้าง ผ่านทางประกาศความเป็นส่วนตัว (Privacy Notice) และประกาศการใช้คุกกี้ (Cookie Notice) ที่ชัดเจน
5. ในกรณีที่ต้องมีการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล การขอความยินยอมดังกล่าวต้องชัดแจ้ง มีการใช้ถ้อยคำที่ชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย
6. ให้มีการกำหนดวิธีการ ช่องทาง และผู้รับผิดชอบในการรับเรื่องร้องเรียน คำร้อง และดำเนินการใด ๆ เกี่ยวกับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
7. ให้มีการกำหนดกระบวนการ และผู้รับผิดชอบในการดำเนินการเกี่ยวกับการตรวจสอบ การสืบสวนสอบสวน และการจัดทำรายงานภายในวิทยาลัยฯ กรณีมีเหตุละเมิดข้อมูลส่วนบุคคล
8. ให้มีการบันทึกรายการตามมาตรา 39 กฎหมายคุ้มครองข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลและวิทยาลัยฯคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตรวจสอบได้ เช่น ข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ข้อมูลเกี่ยวกับผู้ควบคุมข้อมูล เป็นต้น และให้มีการทบทวน ตรวจสอบรายการบันทึกดังกล่าว อย่างน้อยปีละ 1 ครั้ง
9. ให้มีการจัดทำตารางการจัดเก็บข้อมูล (Retention Schedule) เพื่อให้มั่นใจว่า ข้อมูลส่วนบุคคลที่วิทยาลัยฯ จัดเก็บ มีระยะเวลาการจัดเก็บเท่าที่จำเป็นและเป็นไปตามวัตถุประสงค์
10. ให้มีการจัดทำข้อตกลงหรือสัญญาการประมวลผลข้อมูลส่วนบุคคล กรณีที่วิทยาลัยฯมีการว่าจ้างหรือมอบหมายให้บุคคลภายนอกมาดำเนินการประมวลผลข้อมูลส่วนบุคคลของวิทยาลัยฯ
11. ให้มีการกำหนดมาตรการภายใน สำหรับกรณีการส่งหรือโอนข้อมูลส่วนบุคคลไปนอกวิทยาลัยฯ ทั้งในประเทศและต่างประเทศ
7. หลักการในการประมวลผลข้อมูล
การประมวลผลข้อมูลส่วนบุคคลใด ๆ ที่ดำเนินการโดยวิทยาลัยฯจะเป็นไปโดยชอบด้วยกฎหมาย โดยอยู่บนหลักการสำคัญ ดังนี้
1. การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา หรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
2. การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
3. การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูลส่วนบุคคล หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคล
4. การประมวลผลข้อมูลนั้นเป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล เว้นแต่ประโยชน์ดังกล่าวมีความสำคัญน้อยกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
5. การประมวลผลข้อมูลนั้นเพื่อให้บรรลุวัตถุประสงค์ที่เกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือที่เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งได้จัดให้มีมาตรการปกป้องที่เหมาะสม เพื่อคุ้มครองสิทธิและเสรีภาพของเจ้าของข้อมูลส่วนบุคคล โดยเป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
6. การประมวลผลข้อมูลนั้นเป็นการปฏิบัติตามหน้าที่ที่กฎหมายกำหนด
7. เจ้าของข้อมูลได้ให้ความยินยอมแล้ว
8. สิทธิของเจ้าของข้อมูล
วิทยาลัยฯตระหนักดีว่า เจ้าของข้อมูลมีสิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และวิทยาลัยฯให้ความสำคัญอย่างยิ่งในการดูแลและอำนวยความสะดวกแก่เจ้าของข้อมูลในการดำเนินการตามสิทธิเหล่านั้น ดังนี้
1. สิทธิในการได้รับแจ้ง วิทยาลัยฯจะมีการแจ้ง “ประกาศความเป็นส่วนตัว (Privacy Notice)” ที่มีรายละเอียดวัตถุประสงค์ในการประมวลผลที่ชัดเจน รวมถึง “ประกาศการใช้คุกกี้ (Cookie Policy)” ที่แสดงถึงประเภทเทคโนโลยีคุกกี้ที่วิทยาลัยฯ มีการใช้ รวมถึงวัตถุประสงค์ในการใช้เทคโนโลยีคุกกี้เหล่านั้น และในกรณีที่วิทยาลัยฯมีการประมวลผลข้อมูลไม่เป็นไปตามวัตถุประสงค์ หรือที่นอกเหนือความยินยอมใด ๆ ที่ได้ให้ไว้ วิทยาลัยฯจะแจ้ง และ/หรือขอความยินยอมจากเจ้าของข้อมูลก่อนการประมวลผลข้อมูลส่วนบุคคลที่อยู่นอกวัตถุประสงค์ดังกล่าว
2. สิทธิในการเพิกถอนความยินยอม เจ้าของข้อมูลสามารถขอเพิกถอนความยินยอมที่เคยให้วิทยาลัยฯไว้ได้ทุกเมื่อ
3. สิทธิในการเข้าถึงข้อมูล เจ้าของข้อมูลสามารถขอเข้าถึงข้อมูลส่วนบุคคลของตนเอง และขอสำเนาข้อมูลกิจกรรมการประมวลผลข้อมูลส่วนบุคคล ตลอดจนสามารถขอให้วิทยาลัยฯเปิดเผยการได้มาซึ่งข้อมูลดังกล่าวได้
4. สิทธิในการแก้ไขข้อมูล เจ้าของข้อมูลสามารถขอปรับปรุงแก้ไขข้อมูลส่วนบุคคลที่ไม่ถูกต้องได้ เพื่อให้ข้อมูลดังกล่าวมีความถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดความเข้าใจผิด
5. สิทธิในการลบข้อมูล เจ้าของข้อมูลสามารถขอให้วิทยาลัยฯลบ หรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้
6. สิทธิในการโอนข้อมูล ในกรณีที่ระบบข้อมูลของวิทยาลัยฯรองรับการอ่านหรือใช้งานโดยทั่วไปด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานอัตโนมัติ และสามารถใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ เจ้าของข้อมูลส่วนบุคคลสามารถขอรับสำเนาข้อมูลส่วนบุคคลของตนได้ รวมถึงขอให้มีการโอนถ่ายข้อมูลดังกล่าวไปยังผู้ควบคุมข้อมูลอื่นโดยอัตโนมัติได้ และขอรับข้อมูลส่วนบุคคลที่มีการส่งหรือโอนดังกล่าวได้
7. สิทธิในการระงับการใช้ข้อมูล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้วิทยาลัยฯระงับการใช้ข้อมูลส่วนบุคคลได้
8. สิทธิในการคัดค้านการประมวลผลข้อมูล เจ้าของข้อมูลสามารถขอคัดค้านการประมวลผลข้อมูลส่วนบุคคลได้
เจ้าของข้อมูลสามารถอ่านเงื่อนไขการขอใช้สิทธิเพิ่มเติมได้ในประกาศความเป็นส่วนตัว (Privacy Notice) ทั้งนี้ ในบางกรณี วิทยาลัยฯอาจปฏิเสธคำขอใช้สิทธิข้างต้น หากมีเหตุอันชอบธรรมด้วยกฎหมาย หรือเป็นการดำเนินการใด ๆ เพื่อวัตถุประสงค์หรือเป็นกรณีที่ต้องปฏิบัติตามกฎหมายหรือคำสั่งศาล หรือเป็นกรณีที่อาจส่งผลกระทบและก่อให้เกิดความเสียหายต่อสิทธิหรือเสรีภาพของเจ้าของข้อมูลหรือบุคคลอื่น
กรณีที่เจ้าของข้อมูลต้องการดำเนินการตามสิทธิที่กล่าวมาข้างต้น สามารถแจ้งขอใช้สิทธิได้ที่ spu.thesis@spu.ac.th โดยรายละเอียดวิธีการขอใช้สิทธิสามารถอ่านได้ที่ การตรวจสอบและการขอใช้สิทธิ บนเว็บไซต์ วิทยาลัยบัณฑิตศึกษาด้านการจัดการ มหาวิทยาลัยศรีปทุม
9. นโยบาย แนวปฏิบัติและคู่มืออื่นที่เกี่ยวข้อง
1. นโยบายธรรมาภิบาลข้อมูล
2. ขั้นตอนการปฏิบัติงาน เรื่อง การบริหารจัดการข้อมูล
3. นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
4. แนวทางและขั้นตอนการรับคำร้องขอใช้สิทธิของเจ้าของข้อมูล
10. การทบทวนและปรับปรุงนโยบาย
วิทยาลัยฯจะมีการทบทวนนโยบายนี้ให้เป็นปัจจุบันเสมออย่างน้อย 5 ปีต่อครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่จำเป็นต้องได้รับการปรับปรุง เพื่อให้นโยบายนี้มีความเหมาะสมกับสถานการณ์ที่มีการเปลี่ยนแปลง และจะมีการประกาศให้ทราบบนเว็บไซต์ วิทยาลัยบัณฑิตศึกษาด้านการจัดการ มหาวิทยาลัยศรีปทุม และช่องทางการสื่อสารอื่น ๆ ที่เหมาะสม