นโยบายการคุ้มครองข้อมูลส่วนบุคคล
ด้วยปัจจุบันมีการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคล ซึ่งสร้างความเดือดร้อนรำคาญและความเสียหายให้แก่เจ้าของข้อมูลส่วนบุคคล ประกอบกับความก้าวหน้าของเทคโนโลยีทำให้การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอันเป็นการล่วงละเมิดดังกล่าว ทำได้โดยง่าย สะดวก และรวดเร็วมหาวิทยาลัยศรีปทุม ได้เห็นถึงความสำคัญของการล่วงละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลดังกล่าว จึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal data protection policy) ขึ้น เพื่อคุ้มครองข้อมูลส่วนบุคคลที่มหาวิทยาลัยศรีปทุมได้ทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และเพื่อให้เจ้าของข้อมูลได้ทราบและเข้าใจนโยบายคุ้มครองข้อมูลส่วนบุคคล รวมถึงสิทธิต่าง ๆ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ฉะนั้น อาศัยอำนาจตามความในมาตรา 43 (1) แห่งพระราชบัญญัติสถาบันอุดมศึกษาเอกชน พ.ศ. 2546 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงออกประกาศไว้ดังต่อไปนี้
ข้อ 1 ประกาศนี้เรียกว่า “ประกาศมหาวิทยาลัยศรีปทุม เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคลมหาวิทยาลัยศรีปทุม พ.ศ. 2563”
ข้อ 2 ประกาศนี้ให้ใช้บังคับตั้งแต่บัดนี้เป็นต้นไป
ข้อ 3 นิยาม
“มหาวิทยาลัย” หมายถึง มหาวิทยาลัยศรีปทุม บางเขน มหาวิทยาลัยศรีปทุม วิทยาเขตชลบุรี มหาวิทยาลัยศรีปทุม วิทยาเขตขอนแก่น
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่ความตายโดยเฉพาะ
“เจ้าของข้อมูล” หมายถึง บุคคลธรรมดา หรือนิติบุคคล ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล
ข้อ 4 การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
4.1 การเก็บรวบรวมข้อมูลส่วนบุคคล มหาวิทยาลัยจะกระทำโดยมีวัตถุประสงค์ ขอบเขต และใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม ซึ่งมหาวิทยาลัยจะดำเนินการอย่างจำกัดเพียงเท่าที่จำเป็นแก่การให้บริการทางการศึกษา การจัดกิจกรรมทางการศึกษา หรือบริการด้วยวิธีการทางอิเล็คทรอนิกส์อื่นใดภายใต้วัตถุประสงค์ของมหาวิทยาลัยเท่านั้น โดยมหาวิทยาลัยจะดำเนินการแจ้งให้เจ้าของข้อมูลรับรู้และให้ความยินยอม ตามแบบฟอร์มและวิธีการที่มหาวิทยาลัยกำหนด
อนึ่ง มหาวิทยาลัยอาจทำการเก็บรวบรวมข้อมูลส่วนบุคคลซึ่งเกี่ยวกับความสนใจและบริการต่าง ๆ ที่ใช้ ซึ่งอาจประกอบด้วย เชื้อชาติ เผ่าพันธุ์ ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ อัตลักษณ์ หรือข้อมูลอื่นใดที่เป็นประโยชน์ในการใช้บริการทางการศึกษา อย่างไรก็ตาม กรณีดังกล่าวข้างต้น มหาวิทยาลัยจะขอความยินยอมจากเจ้าของข้อมูลก่อนทำการเก็บรวบรวม
4.2 การเปิดเผยข้อมูลส่วนบุคล มหาวิทยาลัยจะกระทำโดยมีวัตถุประสงค์ ขอบเขต และภายใต้ความยินยอมของเจ้าของข้อมูลที่ได้ให้ไว้กับมหาวิทยาลัยเท่านั้น และจะใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม ซึ่งมหาวิทยาลัยจะดำเนินการอย่างจำกัดเพียงเท่าที่จำเป็นแก่การให้บริการทางการศึกษา การจัดกิจกรรมทางการศึกษา หรือบริการด้วยวิธีการทางอิเล็คทรอนิกส์อื่นใด ภายใต้วัตถุประสงค์ของมหาวิทยาลัยเท่านั้น
ข้อ 5 วัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
มหาวิทยาลัยจะรวบรวม จัดเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลให้เป็นไปด้วยความเรียบร้อยและสอดคล้องกับกฎหมาย เพื่อประโยชน์ในการบริหารจัดการ การให้บริการแก่เจ้าของข้อมูลเมื่อเข้าใช้บริการต่าง ๆ เช่น การติดต่อ สอบถามข้อมูล การร้องเรียน แจ้งข้อเสนอแนะ รวมถึงเรื่องอื่น ๆ ที่จำเป็นกับมหาวิทยาลัยหรือเพื่อประโยชน์ในการวิเคราะห์ข้อมูลการนำเสนอบริการ หรือผลิตภัณฑ์ใดของมหาวิทยาลัย หรือตัวแทนของมหาวิทยาลัย และเพื่อวัตถุประสงค์อื่นใดที่ไม่ต้องห้ามตามกฎหมาย หรือเพื่อปฏิบัติตามกฎหมาย หรือกฎ ระเบียบต่าง ๆ ที่เกี่ยวข้อง ทั้งที่มีผลใช้บังคับในปัจจุบันและที่จะมีการแก้ไขหรือเพิ่มเติมในอนาคต รวมทั้งยินยอมให้มหาวิทยาลัยส่ง โอน และ/หรือเปิดเผยข้อมูลส่วนบุคคลให้แก่กลุ่มธุรกิจ พันธมิตรทางธุรกิจ ที่มีสัญญาอยู่กับมหาวิทยาลัย รวมถึงหน่วยงานและองค์กรของรัฐที่มีอำนาจตามกฎหมาย ทั้งนี้ มหาวิทยาลัยจะเก็บรักษาข้อมูลดังกล่าวไว้ตามระยะเวลาเท่าที่จำเป็นสำหรับวัตถุประสงค์เหล่านี้เท่านั้น มหาวิทยาลัยอาจทบทวน แก้ไข นโยบายฉบับนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับพระราชบัญญัติ และ/หรือกฎหมายลำดับรอง ข้อบังคับ ประกาศของหน่วยงานราชการที่ออกมาใช้บังคับในภายหลัง และมหาวิทยาลัยจะประกาศให้ท่านทราบ
มหาวิทยาลัยจะนำข้อมูลส่วนบุคคลมาประมวลข้อมูลเมื่อได้รับความยินยอมจากเจ้าของข้อมูลแล้วเท่านั้น ยกเว้นการประมวลผลภายใต้ฐานการประมวลผลข้อมูล ดังต่อไปนี้
5.1 ฐานสัญญา (Contract) เมื่อผู้ใช้บริการสมัครเป็นสมาชิก หรือไม่ได้เป็นสมาชิก รวมถึงการใช้บริการด้านอื่น ๆ จำเป็นอย่างยิ่งที่เจ้าของข้อมูลต้องให้ข้อมูลแก่มหาวิทยาลัย เพื่อมหาวิทยาลัยจะได้นำข้อมูลส่วนบุคคลดังกล่าวไปประมวลผลเกี่ยวกับการให้บริการตามเงื่อนไขข้อตกลงในการใช้บริการ รวมถึงนำไปใช้ในการติดต่อสื่อสารกับเจ้าของข้อมูล ติดตามและแจ้งผลประโยชน์เกี่ยวกับสินค้าหรือบริการ ซึ่งหากเจ้าของข้อมูลไม่ได้ให้ข้อมูลส่วนบุคคลดังกล่าวจะทำให้มหาวิทยาลัยไม่สามารถรับการใช้บริการของเจ้าของข้อมูลได้ ไม่สามารถจัดสิทธิประโยชน์ตามเงื่อนไขไม่สามารถสื่อสารหรือตรวจสอบความสามารถในการทำสัญญา รวมถึงตรวจสอบความเป็นตัวตนของเจ้าของข้อมูล
5.2 ฐานความยินยอม (Consent) กรณีจำเป็นมหาวิทยาลัยอาจนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปใช้ในการประมวลผลเพื่อออกแบบหรือพัฒนาเกี่ยวกับการศึกษา และ/หรือการบริการเพื่อนำเสนอ การจัดกิจกรรมทางการตลาด เกี่ยวกับการศึกษาของมหาวิทยาลัย หรือเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล
5.3 ฐานประโยชน์อันชอบธรรม (Legitimate Interest) กรณีจำเป็นมหาวิทยาลัยอาจนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปใช้ในการประมวลผลเพื่อการจัดการและการจัดทำรายงานเพื่อจำเป็นภายในมหาวิทยาลัย การดูแลรักษาระบบ เพื่อรักษามาตรฐานหรือการพัฒนาการบริการ การจัดการบริหารความเสี่ยงในมหาวิทยาลัย การควบคุมและการตรวจสอบภายใน ซึ่งมีความจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลและการนำไปใช้ของผู้ประมวลผลข้อมูล
5.4 ฐานหน้าที่ตามกฎหมาย (Legal Obligation) กรณีมีความจำเป็นมหาวิทยาลัยอาจนำข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปใช้ในการประมวลผลข้อมูลเพื่อปฏิบัติตามกฎหมาย ทั้งที่มีผลใช้บังคับในปัจจุบัน และที่จะมีการแก้ไขหรือเพิ่มเติมในอนาคต
ข้อ 6 มาตรการรักษาความมั่นคงปลอดภัยของข้อมูล
6.1 มหาวิทยาลัยศรีปทุม ได้เห็นถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ซึ่งถือเป็นสิทธิขั้นพื้นฐานในความเป็นส่วนตัว (Privacy Right) จึงกำหนดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสมและสอดคล้องกับนโยบายการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศของมหาวิทยาลัย และการรักษาความลับของข้อมูลส่วนบุคคลเพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ ดัดแปลง แก้ไขหรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือโดยไม่ชอบด้วยกฎหมาย ตลอดจนการป้องกันมิให้มีการนำข้อมูลส่วนบุคคลไปใช้โดยมิได้รับอนุญาต
6.2 ข้อมูลส่วนบุคคลที่มหาวิทยาลัยได้รับมา อาทิ ชื่อ-สกุล ที่อยู่ หมายเลขโทรศัพท์ หมายเลขบัตรประจำตัวประชาชน อีเมล์ ข้อมูลทางการเงิน ฯลฯ ซึ่งสามารถบ่งบอกตัวบุคคลของเจ้าของข้อมูลได้ และเป็นข้อมูลส่วนบุคคลที่มีความถูกต้องและเป็นปัจจุบันจะถูกนำไปใช้ให้เป็นไปตามวัตถุประสงค์การดำเนินงานของมหาวิทยาลัยเท่านั้น และมหาวิทยาลัยจะดำเนินมาตรการที่เหมาะสมเพื่อคุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคล
ข้อ 7 ข้อจำกัดในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
7.1 มหาวิทยาลัยจะเก็บรักษาข้อมูลส่วนบุคคล และคุ้มครองข้อมูลส่วนบุคคลจากการเข้าถึง การเปลี่ยนแปลง การเปิดเผย หรือการทำลายข้อมูลที่มหาวิทยาลัยเก็บรักษาโดยไม่ได้รับอนุญาต สำหรับการใช้ และ/หรือการเปิดเผยข้อมูลส่วนบุคคลจะต้องได้รับความยินยอมจากเจ้าของข้อมูลโดยจะต้องเป็นการใช้ตามวัตถุประสงค์ของการการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัยเท่านั้น ทั้งนี้ มหาวิทยาลัยจะกำกับดูแลเจ้าหน้าที่และผู้ปฏิบัติงานของมหาวิทยาลัยมิให้ใช้และ/หรือเปิดเผย ข้อมูลส่วนบุคคลของเจ้าของข้อมูลนอกเหนือไปจากวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลหรือเปิดเผยต่อบุคคลภายนอก เว้นแต่
7.1.1 เป็นการปฏิบัติตามกฎหมาย
7.1.2 เป็นไปเพื่อประโยชน์แก่การสอบสวนของพนักงานสอบสวน หรือการพิจารณาพิพากษาคดีของศาล
7.1.3 เป็นไปเพื่อประโยชน์ของเจ้าของข้อมูล และการขอความยินยอมไม่อาจกระทำได้ในเวลานั้น
7.1.4 เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของมหาวิทยาลัย หรือของบุคคลหรือนิติบุคคลอื่น
7.1.5 เป็นการจำเป็นเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
7.1.6 เป็นการจำเป็นเพื่อ การปฏิบัติตามสัญญา ซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญา
7.1.7 เพื่อให้บรรลุวัตถุประสงค์ของมหาวิทยาลัยเกี่ยวกับการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ เพื่อประโยชน์สาธารณะ หรือเพื่อการศึกษา วิจัย การจัดทำสถิติ ซึ่งได้จัดให้มีมาตรการที่เหมาะสม
7.2 ระยะเวลาในการจัดเก็บ มหาวิทยาลัยจะจัดเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลไว้ตามระยะเวลาขั้นต่ำที่กฎหมายในเรื่องนั้น ๆ กำหนดไว้ หรือจะจัดเก็บข้อมูลส่วนบุคคลไว้ในระยะเวลาอย่างน้อย 10 ปี ภายหลังจากที่สิ้นสุดความสัมพันธ์กับมหาวิทยาลัย อย่างไรก็ตาม มหาวิทยาลัยอาจยังคงจัดเก็บข้อมูลส่วนบุคคลไว้ต่อไปหลังจากสิ้นสุดระยะเวลาดังกล่าว หากมหาวิทยาลัยเห็นว่ายังมีความจำเป็นในการจัดเก็บข้อมูลไว้เพื่อใช้ตามวัตถุประสงค์ในการจัดเก็บรวบรวมข้อมูลดังกล่าว หรือเพื่อความจำเป็นอื่นใดที่มหาวิทยาลัยเห็นสมควร เช่น การบังคับสิทธิตามกฎหมาย หรือตามสัญญาของมหาวิทยาลัย เป็นต้น
ข้อ 8 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
มหาวิทยาลัยได้ดำเนินการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) เพื่อตรวจสอบการดำเนินการของมหาวิทยาลัย ที่เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงกฎหมายที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล นอกจากนี้ มหาวิทยาลัยได้จัดทำระเบียบ คำสั่งให้ผู้เกี่ยวข้องดำเนินการตามที่กำหนดไว้ เพื่อให้การดำเนินงานตามแนวนโยบายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลเป็นไปด้วยความเรียบร้อย
ข้อ 9 ช่องทางการติดต่อ
มหาวิทยาลัยศรีปทุม
ที่อยู่ 2410/2 ถนนพหลโยธิน แขวงเสนานิคม เขตจตุจักร กรุงเทพมหานคร 10900
เบอร์โทรศัพท์ : 0 2597 1111 , 0 2561 2222
โทรสาร : 02 561 1721
อีเมล : DPO@spu.ac.th
