นโยบายการคุ้มครองข้อมูลส่วนบุคคล

ประกาศมหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย
เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๕

โดยที่มหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย มีการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วน บุคคลของบุคลากร นิสิต นักศึกษา ผู้รับบริการ ผู้มีส่วนได้ส่วนเสีย และบุคคลอื่น เพื่อการดําเนินงานด้านต่าง ของมหาวิทยาลัย จึงเป็นการสมควรที่มหาวิทยาลัยจะกําหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) ให้สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้การดําเนินงาน ของมหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย เป็นไปด้วยความเรียบร้อย มีการคุ้มครองข้อมูลส่วนบุคคลอย่าง เหมาะสมและได้มาตรฐาน

อาศัยอํานาจตามความในมาตรา ๒๗ (๑) แห่งพระราชบัญญัติมหาวิทยาลัยมหาจุฬาลงกรณราช วิทยาลัย พ.ศ.๒๕๔๐ และมติที่ประชุมคณะกรรมการดําเนินโครงการอบรมสัมมนาให้ความรู้แก่ผู้บริหาร และผู้มี ส่วนเกี่ยวข้อง ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ในคราวประชุมครั้งที่ ๑/๒๕๖๕ เมื่อ วันที่ ๒๕ มกราคม พ.ศ. ๒๕๖๕ จึงกําหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลไว้ ดังต่อไปนี้

ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศมหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย เรื่อง นโยบายการ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๕”

ข้อ ๒ ให้ใช้ประกาศนี้ตั้งแต่วันถัดจากวันประกาศเป็นต้นไป

ข้อ ๓ บรรดาประกาศ คําสั่งหรือข้อกําหนดอื่นใดที่ขัดหรือแย้งกับประกาศนี้ ให้ใช้ประกาศนี้แทน

ข้อ ๔ ในประกาศนี้
“มหาวิทยาลัย” หมายความว่า มหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย
“ส่วนงาน” หมายความว่า ส่วนงานตามประกาศมหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย เรื่อง การแบ่งส่วนงาน พ.ศ. ๒๕๕๖
“อธิการบดี” หมายความว่า อธิการบดีมหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย
“คณะกรรมการ” หมายความว่า คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลมหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย
“บุคลากร” หมายความว่า ผู้ปฏิบัติงานในมหาวิทยาลัยโดยได้รับค่าจ้างจากงบประมาณแผ่นดิน หรือ เงินรายได้ของมหาวิทยาลัย รวมถึงผู้ปฏิบัติงานให้แก่มหาวิทยาลัยโดยไม่รับค่าจ้าง
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทําให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่า ทางตรงหรือทางอ้อม ซึ่งรวมถึงข้อมูลส่วนบุคคลของบุคลากร นิสิต นักศึกษา ผู้รับบริการ และผู้มีส่วนได้ส่วน เสีย แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือส่วนงาน ซึ่งมีหน้าที่และอํานาจตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ข้อ ๕ ให้อธิการบดีแต่งตั้งคณะกรรมการคณะหนึ่งเรียกว่า “คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มหาวิทยาลัยมหาจุฬาลงกรณราชวิทยาลัย” โดยคําแนะนําของคณะกรรมการประจําสํานักหอสมุดและ เทคโนโลยีสารสนเทศ ประกอบด้วย
(๑) ประธานกรรมการ ได้แก่ อธิการบดีหรือรองอธิการบดีที่อธิการบดีมอบหมาย
(๒) กรรมการผู้ดํารงตําแหน่ง รองอธิการบดี ผู้ช่วยอธิการบดี คณบดี ผู้อํานวยการ หรือหัวหน้า ส่วนงานที่เรียกชื่ออย่างอื่นที่มีฐานะเทียบเท่าคณะ จํานวนเจ็ดรูปหรือคน
(๓) กรรมการผู้ทรงคุณวุฒิ จํานวนสามรูปหรือคน
(๔) กรรมการและเลขานุการ ได้แก่ ผู้อํานวยการสํานักหอสมุดและเทคโนโลยีสารสนเทศ
(๕) กรรมการและผู้ช่วยเลขานุการ จํานวนสามรูปหรือคน ได้แก่ ผู้อํานวยการกองกลาง ผู้อํานวยการกองนิติการ และผู้อํานวยการสํานักงานตรวจสอบภายใน อธิการบดีอาจแต่งตั้งผู้ปฏิบัติงานในมหาวิทยาลัยเป็นผู้ช่วยเลขานุการ จํานวนไม่เกินสองรูป หรือคน โดยคําแนะนําของกรรมการและเลขานุการ

ข้อ ๖ กรรมการตามข้อ ๕ (๒) และ (๓) มีวาระการดํารงตําแหน่งคราวละสามปี แต่อาจได้รับการ แต่งตั้งอีกได้ นอกจากพ้นจากตําแหน่งตามวาระแล้ว กรรมการตามข้อ ๕ (๒) และ (๓) พ้นจากตําแหน่ง เมื่อ
(๑) มรณภาพหรือตาย
(๒) ลาออก
(๓) ขาดคุณสมบัติของการเป็นกรรมการในประเภทนั้น
ในกรณีมีกรรมการตามข้อ ๕ (๒) และ (๓) พ้นจากตําแหน่งก่อนครบวาระและมีการแต่งตั้งผู้ ดํารงตําแหน่งแทนแล้ว ให้ผู้ที่ได้รับแต่งตั้งเป็นกรรมการแทนนั้นอยู่ในตําแหน่งเพียงเท่าวาระที่เหลืออยู่ของผู้พ้น สภาพจากตําแหน่ง
ในกรณีที่มีกรรมการตามข้อ ๕ (๒) และ (๓) พ้นจากตําแหน่งตามวาระ แต่ยังมิได้แต่งตั้ง กรรมการขึ้นใหม่ ให้กรรมการซึ่งพ้นจากตําแหน่งปฏิบัติหน้าที่ต่อไปจนกว่าจะได้การแต่งตั้งกรรมการใหม่ แต่ ทั้งนี้ต้องไม่เกินเก้าสิบวัน

ข้อ ๗ ให้คณะกรรมการประชุมปีละไม่น้อยกว่าสองครั้ง วิธีการประชุมให้นําข้อบังคับมหาวิทยาลัย มหาจุฬาลงกรณราชวิทยาลัย ว่าด้วยการประชุมสภามหาวิทยาลัยมาใช้โดยอนุโลม

ข้อ ๘ ให้คณะกรรมการ มีหน้าที่และอํานาจ ดังนี้
(๑) ดําเนินงานด้านส่งเสริมและคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคล
(๒) กําหนดหลักเกณฑ์และแนวทางปฏิบัติการให้ความคุ้มครองข้อมูลส่วนบุคคล
(๓) ส่งเสริมและสนับสนุนการคุ้มครองข้อมูลส่วนบุคคล
(๔) แต่งตั้งคณะอนุกรรมการหรือคณะทํางาน เพื่อปฏิบัติงานภายใต้หน้าที่และอํานาจของคณะกรรมการ
(๕) ตีความ วินิจฉัยการขอเปิดเผยข้อมูลส่วนบุคคล และวินิจฉัยปัญหาที่เกิดจากการใช้ ประกาศนี้
(๖) ปฏิบัติการอื่นใดตามที่ได้รับมอบหมายจากมหาวิทยาลัย

ข้อ ๙ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัย จะต้องสอดคล้องกับ หลักการคุ้มครองข้อมูลส่วนบุคคล ดังนี้
(๑) เป็นการดําเนินการโดยชอบด้วยกฎหมาย มีความโปร่งใสและสามารถตรวจสอบได้ (Lawfulness, Fairness and Transparency)
(๒) เป็นการดําเนินการภายใต้ขอบเขตและวัตถุประสงค์ที่มหาวิทยาลัยกําหนด และไม่ นําไปใช้หรือเปิดเผยนอกเหนือขอบเขตและวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลนั้น (Purpose Limitation)
(๓) เป็นการดําเนินการอย่างเพียงพอ เกี่ยวข้อง และเท่าที่จําเป็นตามวัตถุประสงค์ของการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Data Minimization)
(๔) เป็นการดําเนินการที่ถูกต้องและดําเนินให้ข้อมูลเป็นปัจจุบันในกรณีที่จําเป็น (Accuracy)
(๕) เป็นการดําเนินการตามระยะเวลาเท่าที่จําเป็น (Storage Limitation)
(๖) เป็นการดําเนินการที่มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม (Integrity and Confidentiality)

ข้อ ๑๐ ข้อมูลส่วนบุคคลที่มหาวิทยาลัยเก็บรวบรวม ใช้ หรือเปิดเผย จะต้องเป็นไปเพื่อการ ดําเนินงานตามหน้าที่และอํานาจของมหาวิทยาลัยภายใต้ภารกิจหลัก เพื่อให้บรรลุวัตถุประสงค์ของ มหาวิทยาลัย การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัยตามวรรคหนึ่ง ต้องเป็นไป ตามบทบัญญัติของกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่นที่เกี่ยวข้อง

ข้อ ๑๑ ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เพื่อการดําเนินงานด้านต่าง ๆ ของ มหาวิทยาลัย มหาวิทยาลัยถือเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งมีอํานาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล มหาวิทยาลัยและทุกส่วนงานของมหาวิทยาลัยจึงต้อง ปฏิบัติตามหน้าที่ที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด

ข้อ ๑๒ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการดําเนินงานของมหาวิทยาลัย จะต้อง เป็นไปตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะที่เก็บรวบรวม เว้นแต่จะได้แจ้ง วัตถุประสงค์ใหม่ให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว หรือบทบัญญัติแห่งกฎหมายบัญญัติให้กระทําได้

ข้อ ๑๓ มหาวิทยาลัยจะเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการดําเนินงานของมหาวิทยาลัยได้เท่าที่ จําเป็น ตามระยะเวลาการเก็บรักษาที่จําเป็นและเหมาะสม ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย โดยอาศัย ฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล (Lawful Basis for Processing Personal Data) ที่ สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

ข้อ ๑๔ ในกรณีที่มหาวิทยาลัยใช้ฐานความยินยอมในการเก็บรวบรวม หรือเปิดเผยข้อมูลส่วนบุคคล การขอความยินยอมต้องทําให้ชัดแจ้ง เป็นหนังสือหรือทําโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจ ขอความยินยอมด้วยวิธีการดังกล่าวได้ และในการขอความยินยอม มหาวิทยาลัยจะต้องแจ้งวัตถุประสงค์ของ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้น ต้องแยกส่วนออกจาก ข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็น การหลอกลวงหรือทําให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว

ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล มหาวิทยาลัยต้องคํานึงอย่างถึงที่สุดใน ความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทําสัญญา ซึ่งรวมถึงการ ให้บริการใด ๆ ของมหาวิทยาลัย ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลที่ไม่มีความจําเป็นหรือเกี่ยวข้องสําหรับการเข้าทําสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ

เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมที่ได้ให้ไว้เสียเมื่อใดก็ได้ โดยจะต้องถอนความ ยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจํากัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือ สัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บ รวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบ อย่างไรก็ ตาม ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด มหาวิทยาลัยจะต้องแจ้ง ให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอมนั้น

ข้อ ๑๕ ในการขอความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เยาว์ซึ่งยังไม่ บรรลุนิติภาวะโดยการสมรส หรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วตามมาตรา ๒๗ แห่งประมวล กฎหมายแพ่งและพาณิชย์ รวมทั้งข้อมูลส่วนบุคคลของคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ หรือ การถอนความยินยอมของบุคคลดังกล่าว มหาวิทยาลัยจะดําเนินการให้เป็นไปตามที่กฎหมายว่าด้วยการ คุ้มครองข้อมูลส่วนบุคคลบัญญัติ

ข้อ ๑๖ ในการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการดําเนินงานของมหาวิทยาลัย มหาวิทยาลัยจะต้อง แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบรายละเอียดตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด (Privacy Notice) ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล

ข้อ ๑๗ ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ซึ่งอาจรวมถึงข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทํานองเดียวกันตามที่ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกําหนด มหาวิทยาลัยมีหน้าที่คุ้มครองข้อมูลส่วนบุคคลดังกล่าว เป็นพิเศษจากการเก็บรวบรวม ใช้ หรือเปิดเผยที่มิชอบหรือเกินความจําเป็น และจะต้องได้รับความยินยอมโดย ชัดแจ้ง (Explicit Consent) จากเจ้าของข้อมูลส่วนบุคคล เว้นแต่จะอาศัยฐานทางกฎหมายในการประมวลผล ข้อมูลส่วนบุคคล (Lawful Basis for Processing Personal Data) อื่นที่สอดคล้องกับกฎหมายว่าด้วยการ คุ้มครองข้อมูลส่วนบุคคล

ข้อ ๑๘ การจัดกิจกรรมหลักส่วนหนึ่งในการดําเนินงานของมหาวิทยาลัย เป็นการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามข้อ ๑๗ มหาวิทยาลัยจะต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วน บุคคล (Data Protection Officer : DPO) เพื่อปฏิบัติหน้าที่ตามที่กฎหมายกําหนด และมหาวิทยาลัยจะต้อง สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอํานวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่ด้วย และจะต้องดูแลให้การปฏิบัติ หน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลดังกล่าวเป็นไปโดยอิสระ ปราศจากการแทรกแซง ทั้งนี้ ในกรณีที่มี ปัญหาในการปฏิบัติหน้าที่ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะต้องสามารถรายงานไปยังอธิการบดี หัวหน้าส่วน งานที่เกี่ยวข้อง หรือผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งดําเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของมหาวิทยาลัยโดยตรงได้

ข้อ ๑๙ เพื่อประโยชน์ในการดําเนินงานของมหาวิทยาลัยและการให้บริการแก่เจ้าของข้อมูลส่วน บุคคล มหาวิทยาลัยอาจมีความจําเป็นในการเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลธรรมดาหรือนิติบุคคลอื่นทั้ง ในและต่างประเทศ ที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล หรือเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ที่มีอํานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยในการเปิดเผยข้อมูล ส่วนบุคคลให้แก่บุคคลธรรมดาหรือนิติบุคคลดังกล่าว มหาวิทยาลัยจะดําเนินการให้บุคคลเหล่านั้นเก็บรักษา ข้อมูลส่วนบุคคลดังกล่าวไว้เป็นความลับ และป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ อื่นนอกเหนือจากขอบเขตที่มหาวิทยาลัยกําหนด หรือโดยปราศจากอํานาจหรือโดยมิชอบ

ข้อ ๒๐ ในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ มหาวิทยาลัยจะดําเนินการเพื่อให้มั่นใจ ว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลดังกล่าวมีมาตรฐานการคุ้มครองข้อมูล ส่วนบุคคลที่เพียงพอ เว้นแต่เป็นกรณีตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนด

ข้อ ๒๑ มหาวิทยาลัยจะต้องจัดให้มีช่องทางและอํานวยความสะดวกให้แก่เจ้าของข้อมูลส่วนบุคคล หรือผู้มีอํานาจกระทําการแทนในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคล ซึ่งรวมถึงสิทธิดังต่อไปนี้
(๑) สิทธิขอเข้าถึงและขอรับสําเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของ มหาวิทยาลัย หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม (Right of Access)
(๒) สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากมหาวิทยาลัย ในกรณีที่มหาวิทยาลัยได้ทําให้ ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทํางานได้ โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งสิทธิขอให้มหาวิทยาลัยส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทําได้ด้วยวิธีการ อัตโนมัติ และสิทธิขอรับข้อมูลส่วนบุคคลที่มหาวิทยาลัยส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทําได้ (Right to Data Portability)
(๓) สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน (Right to Object)
(๔) สิทธิขอให้มหาวิทยาลัยดําเนินการลบหรือทําลาย หรือทําให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (Right to Erasure)
(๕) สิทธิขอให้มหาวิทยาลัยระงับการใช้ข้อมูลส่วนบุคคล (Right to Restriction of Processing)
(๖) สิทธิร้องขอให้มหาวิทยาลัยดําเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด (Right to Rectification)

ทั้งนี้ ตามกฎหมายบัญญัติ และมหาวิทยาลัยอาจปฏิเสธการใช้สิทธิดังกล่าวข้างต้นของเจ้าของ ข้อมูลส่วนบุคคลหรือผู้มีอํานาจกระทําการแทนได้หากไม่ขัดต่อกฎหมาย

ข้อ ๒๒ เพื่อเป็นการคุ้มครองข้อมูลส่วนบุคคล มหาวิทยาลัยและส่วนงานจะต้องจัดให้มีมาตรการใน การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสมเพื่อป้องกันการสูญหาย การเข้าถึง ทําลาย ใช้แปลง แก้ไขหรือเปิดเผยข้อมูลโดยมิชอบ และจะต้องทบทวนมาตรการดังกล่าวเมื่อมีความจําเป็นหรือเมื่อ เทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ต้องเป็นไป ตามมาตรฐานขั้นต่ําที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกําหนด

ข้อ ๒๓ ในกรณีที่มีเหตุการณ์ละเมิดข้อมูลส่วนบุคคล ส่วนงานจะต้องแจ้งเหตุการณ์ละเมิดข้อมูลส่วน บุคคลดังกล่าวให้มหาวิทยาลัย และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัยทราบตามหลักเกณฑ์ วิธีการ และเงื่อนไขที่มหาวิทยาลัยประกาศกําหนด และมหาวิทยาลัยจะต้องดําเนินการแจ้งเหตุการณ์ละเมิด ข้อมูลส่วนบุคคลดังกล่าวแก่สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือเจ้าของข้อมูลส่วน บุคคล แล้วแต่กรณี ให้เป็นไปตามที่กฎหมายกําหนด

ข้อ ๒๔ มหาวิทยาลัยจะต้องให้ความร่วมมือกับสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ตลอดจนหน่วยงานที่กํากับดูแลหรือมีหน้าที่และอํานาจตามกฎหมายที่เกี่ยวข้อง เพื่อให้การคุ้มครองข้อมูลส่วน บุคคลเป็นไปตามที่กฎหมายบัญญัติ

ข้อ ๒๕ ผู้บริหาร บุคลากร นิสิตและนักศึกษาทุกระดับของส่วนงานภายในมหาวิทยาลัย จะต้องให้ ความร่วมมือและปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่น ตลอดจนนโยบาย แนวปฏิบัติ และมาตรการการคุ้มครองข้อมูลส่วนบุคคลที่มหาวิทยาลัยกําหนดขึ้นตามประกาศนี้ มหาวิทยาลัยและส่วนงานมีหน้าที่กํากับดูแลให้ผู้บริหาร บุคลากร นิสิตและนักศึกษาของ มหาวิทยาลัยหรือส่วนงานปฏิบัติตามกฎหมาย นโยบาย แนวปฏิบัติ และมาตรการตามวรรคหนึ่ง ให้มหาวิทยาลัยและส่วนงานดําเนินการให้การคุ้มครองข้อมูลส่วนบุคคล เป็นส่วนหนึ่งของการ บริหารความเสี่ยงองค์กร (Enterprise Risk Management) ของมหาวิทยาลัยและส่วนงาน ที่มีการควบคุมความ เสี่ยงอย่างเหมาะสมและมีการติดตามและทบทวนอย่างสม่ำเสมอ

ข้อ ๒๖ มหาวิทยาลัยจะต้องจัดให้มีระบบการจัดการข้อร้องเรียนเกี่ยวกับการคุ้มครองข้อมูลส่วน บุคคลตามหลักเกณฑ์และวิธีการที่มหาวิทยาลัยกําหนด

ข้อ ๒๗ ผู้บริหารและบุคลากรที่เกี่ยวข้องของมหาวิทยาลัยและส่วนงาน มีหน้าที่เตรียมการเพื่อให้การ ดําเนินงานของมหาวิทยาลัยและส่วนงานสอดคล้องกับบทบัญญัติแห่งกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วน บุคคล ตามกําหนดเวลาที่บัญญัติดังกล่าวจะมีผลใช้บังคับ และมีหน้าที่กํากับดูแลและดําเนินการให้การดําเนินงาน หลังจากนั้นเป็นไปตามบทบัญญัติแห่งกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และประกาศฉบับนี้

ข้อ ๒๘ มหาวิทยาลัยจะต้องจัดให้มีการอบรมหรือให้ความรู้แก่บุคลากร นิสิต นักศึกษา และบุคคล อื่นที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลให้ตระหนักในหน้าที่และความรับผิดชอบในการคุ้มครอง ข้อมูลส่วนบุคคลตามประกาศฉบับนี้

ข้อ ๒๙ มหาวิทยาลัยจะต้องกําหนดให้มีการทบทวนนโยบายอย่างน้อยปีละหนึ่งครั้ง หรือเมื่อมี เหตุการณ์สําคัญที่อาจจะส่งผลกระทบอย่างมีนัยสําคัญต่อข้อมูลส่วนบุคคลหรือการดําเนินงานของมหาวิทยาลัย

ข้อ ๓๐ ในกรณีที่มีปัญหาในการตีความ หรือการปฏิบัติตามประกาศนี้ ให้อธิการบดีเป็นผู้วินิจฉัย และการวินิจฉัยของอธิการบดีให้ถือเป็นที่สิ้นสุด

ข้อ ๓๑ ให้อธิการบดีรักษาการให้เป็นไปตามประกาศนี้

ประกาศ ณ วันที่ ๒๒ เมษายน พ.ศ. ๒๕๖๕