นโยบายคุ้มครองข้อมูลส่วนบุคคล มหาวิทยาลัยมหาสารคาม พ.ศ. 2565
โดยที่เป็นการสมควรออกประกาศกำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคล เพื่อให้บุคลากร นิสิต นักเรียนในสังกัดมหาวิทยาลัยมหาสารคาม ในฐานะเจ้าของข้อมูลส่วนบุคคลและสาธารณชนรับทราบและเข้าใจถึงแนวทางการจัดการและการคุ้มครองข้อมูลส่วนบุคคล รวมถึงมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่ดำเนินการโดยมหาวิทยาลัยมหาสารคาม ให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้การบริหารราชการและการดำเนินงานของมหาวิทยาลัยมหาสารคาม ดำเนินไปด้วยความเรียบร้อย เป็นไปตามนโยบายและวัตถุประสงค์ที่กำหนดไว้ เพื่อประสิทธิภาพในการปฏิบัติราชการ และเพื่อคุ้มครองข้อมูลส่วนบุคคล
อาศัยอำนาจตามความในมาตรา 20(1) แห่งพระราชบัญญัติมหาวิทยาลัยมหาสารคาม พ.ศ. 2537 ประกอบมติที่ประชุมคณะกรรมการบริหารมหาวิทยาลัยมหาสารคาม ครั้งที่ 7/2565 เมื่อวันที่ 5 เมษายน 2565 จึงออกประกาศกำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคล รายละเอียดแนบท้ายประกาศนี้
มหาวิทยาลัยมหาสารคามในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถเชื่อมั่นได้ว่า มหาวิทยาลัยมหาสารคามมีความโปร่งใสและความรับผิดชอบในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลสอดคล้องตามที่กฎหมายกำหนด นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้จึงได้ถูกจัดทำขึ้นเพื่อชี้แจงแก่เจ้าของข้อมูลส่วนบุคคลถึงรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลซึ่งดำเนินการโดยมหาวิทยาลัยมหาสารคาม รวมถึงเจ้าหน้าที่และบุคคลที่เกี่ยวข้อง ตลอดจนผู้ดำเนินการแทนหรือในนามของมหาวิทยาลัยมหาสารคาม โดยมีเนื้อหาสาระดังต่อไปนี้
นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ มีขอบเขตการบังคับใช้กับทุกกิจกรรมการดำเนินงานของมหาวิทยาลัยที่มีการประมวลผลข้อมูลส่วนบุคคล รวมถึงการประมวลผลข้อมูลส่วนบุคคลโดยคู่สัญญาหรือบุคคลภายนอกที่ดำเนินการแทนหรือในนามมหาวิทยาลัยมหาสารคาม (“ผู้ประมวลผลข้อมูลส่วนบุคคล”) ภายใต้ผลิตภัณฑ์และบริการต่าง ๆ เช่น เว็บไซต์ ระบบ แอปพลิเคชัน เอกสาร หรือบริการในรูปแบบอื่นที่ควบคุมดูแลโดยมหาวิทยาลัยมหาสารคาม (รวมเรียกว่า “บริการ”)
นอกจากนโยบายฉบับนนี้แล้ว มหาวิทยาลัยอาจกำหนดให้มีคำประกาศเกี่ยวกับความเป็นส่วนตัวสำหรับกิจกรรม ผลิตภัณฑ์หรือบริการของมหาวิทยาลัยมหาสารคามเป็นการเฉพาะเจาะจง เพื่อชี้แจงให้เจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้ใช้บริการได้ทราบถึงข้อมูลส่วนบุคคลที่ถูกประมวลผล วัตถุประสงค์และเหตุผลอันชอบด้วยกฎหมายในการประมวลผล ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล รวมถึงสิทธิในข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลพึงมีในกิจกรรม ผลิตภัณฑ์หรือบริการนั้น
ทั้งนี้ ในกรณีที่มีความขัดแย้งกันในสาระสำคัญระหว่างความในประกาศเกี่ยวกับความเป็นส่วนตัวและนโยบายนี้ ให้ถือตามความในประกาศเกี่ยวกับความเป็นส่วนตัวของกิจกรรม ผลิตภัณฑ์หรือบริการนั้น
“มหาวิทยาลัย” หมายถึง มหาวิทยาลัยมหาสารคาม
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ข้อมูลส่วนบุคคลอ่อนไหว” หมายถึง ข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา ๒๖ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ซึ่งได้แก่ ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
“การประมวลผลข้อมูลส่วนบุคคล” หมายถึง การดำเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น เก็บรวบรวม บันทึก สำเนา จัดระเบียบ เก็บรักษา ปรับปรุง เปลี่ยนแปลง ใช้ กู้คืน เปิดเผย ส่งต่อ เผยแพร่ โอน รวม ลบ ทำลาย เป็นต้น
“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลที่ข้อมูลส่วนบุคคลระบุไปถึง
“บุคคล” หมายถึง บุคคลธรรมดา
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายถึง บุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
มหาวิทยาลัยเก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่าง ๆ จากแหล่งข้อมูลดังต่อไปนี้
(1) ข้อมูลส่วนบุคคลที่มหาวิทยาลัยเก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงในกิจกรรมต่าง ๆ เช่น การสมัคร ลงทะเบียน ลงนามในสัญญา เอกสาร ทำแบบสำรวจหรือใช้งานบริการ หรือกิจกรรมอื่น ๆ ที่ควบคุมดูแลโดยมหาวิทยาลัย หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับมหาวิทยาลัย ณ ที่ทำการหรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดยมหาวิทยาลัย เป็นต้น
(2) ข้อมูลที่มหาวิทยาลัยเก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ ผลิตภัณฑ์หรือบริการอื่น ๆ ตามสัญญาหรือตามพันธกิจ เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ ผลิตภัณฑ์หรือบริการของมหาวิทยาลัยด้วยการใช้คุกกี้ (Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น
(3) ข้อมูลส่วนบุคคลที่มหาวิทยาลัยเก็บรวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล โดยที่แหล่งข้อมูลดังกล่าวมีอำนาจหน้าที่ มีเหตุผลที่ชอบด้วยกฎหมายหรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลแก่มหาวิทยาลัย เช่น การรับข้อมูลส่วนบุคคลจากหน่วยงานของรัฐแห่งอื่น รวมถึงจากความจำเป็นเพื่อให้บริการตามสัญญาที่อาจมีการแลกเปลี่ยนข้อมูลส่วนบุคคลกับหน่วยงานคู่สัญญาได้
มหาวิทยาลัยพิจารณากำหนดฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลตามความเหมาะสมและตามบริบทของกิจกรรม ผลิตภัณฑ์หรือบริการที่ดำเนินการโดยมหาวิทยาลัย ทั้งนี้ ฐานกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลที่มหาวิทยาลัยใช้ ประกอบด้วย
เป็นการทำหน้าที่ตามกฎหมายเพื่อประโยชน์สาธารณะหรือการใช้อำนาจรัฐ (Public Task) | เพื่อการดำเนินงานตามอำนาจและหน้าที่ของมหาวิทยาลัย และเพื่อให้บรรลุวัตถุประสงค์ อันได้แก่ การให้การศึกษา ส่งเสริมวิชาการและวิชาชีพชั้นสูง ทำการสอน ทำการวิจัย ให้บริการทางวิชาการแก่สังคมและทำนุบำรุงศิลปวัฒนธรรม และเพื่อปรับปรุงคุณภาพการให้บริการของมหาวิทยาลัยโดยคำนึงถึงประโยชน์แก่ผู้ใช้บริการเป็นหลัก รวมถึง กฎ ระเบียบ คำสั่งและมติคณะรัฐมนตรีที่เกี่ยวข้อง เป็นต้น |
เพื่อการปฏิบัติตามกฎหมาย ( Legal Obligations) | เพื่อให้มหาวิทยาลัยสามารถปฏิบัติตามที่กฎหมายที่ควบคุมมหาวิทยาลัย เช่น – การเก็บรวบรวมข้อมูลจราจรทางคอมพิวเตอร์ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๖๐ – พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. ๒๕๔๐ – การดำเนินการตามคำสั่งศาล เป็นต้น |
เพื่อประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest) | เพื่อประโยชน์โดยชอบด้วยกฎหมายของมหาวิทยาลัยและของบุคคลอื่น ซึ่งประโยชน์ดังกล่าวมีความสำคัญไม่น้อยไปกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เช่น เพื่อการรักษาความปลอดภัยอาคารสถานที่ของมหาวิทยาลัย หรือการประมวลผลข้อมูลส่วนบุคคลเพื่อการดำเนินงานตามอำนาจและหน้าที่ของมหาวิทยาลัย เป็นต้น เว้นแต่กรณีที่กำหนดให้จัดเก็บเพิ่มเติม หรือเพื่อป้องกันผลประโยชน์ได้เสียโดยชอบธรรมของมหาวิทยาลัย |
เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกายหรือสุขภาพ (Vital Interest) | เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่น การให้บริการแอปพลิเคชันเพื่อเฝ้าระวังโรคระบาดตามนโยบายของรัฐบาล เป็นต้น |
เพื่อความจำเป็นต่อการทำตามสัญญา (Contract) | เพื่อให้มหาวิทยาลัยสามารถปฏิบัติหน้าที่ตามสัญญา หรือดำเนินการอันเป็นความจำเป็นต่อการเข้าทำสัญญา ระหว่างคู่สัญญากับ มหาวิทยาลัย เช่น การจ้างงาน จ้างทำของ การทำบันทึกข้อตกลงความร่วมมือหรือสัญญาในรูปแบบอื่น เป็นต้น |
เพื่อประโยชน์ในการศึกษา วิจัย หรือการจัดทำสถิติ (Scientific / Historical Research) | เพื่อให้มหาวิทยาลัย สามารถจัดทำหรือสนับสนุนการจัดทำเอกสารประวัติศาสตร์ วิจัยหรือสถิติตามที่มหาวิทยาลัยอาจได้รับมอบหมาย เช่น การจัดทำทำเนียบผู้ดำรงตำแหน่งผู้บริหาร หรือคณะกรรมการ เป็นต้น |
การได้รับความยินยอม (Consent) | เพื่อการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลในกรณีที่ มหาวิทยาลัยจำเป็นต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล โดยได้มีการแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลก่อนการขอความยินยอมแล้ว เช่น การเก็บรวบรวมข้อมูลส่วนบุคคลอ่อนไหวด้วยวัตถุประสงค์ที่ไม่เป็นไปตามข้อยกเว้นมาตรา ๒๔ หรือ ๒๖ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ หรือการนำเสนอ ประชาสัมพันธ์ผลิตภัณฑ์และบริการของคู่สัญญาหรือพันธมิตรทางธุรกิจแก่เจ้าของข้อมูลส่วนบุคคล เป็นต้น |
ในกรณีที่มหาวิทยาลัยมีความจำเป็นต้องเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการปฏิบัติตามสัญญา การปฏิบัติหน้าที่ตามกฎหมายหรือเพื่อความจำเป็นในการเข้าทำสัญญา หากเจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลส่วนบุคคลหรือ คัดค้านการดำเนินการประมวลผลตามวัตถุประสงค์ของกิจกรรมนั้น ๆ อาจมีผลทำให้มหาวิทยาลัยไม่สามารถดำเนินการหรือให้บริการตามที่ร้องขอได้ทั้งหมดหรือบางส่วน
มหาวิทยาลัยอาจเก็บรวบรวม หรือได้มาซึ่งข้อมูลดังต่อไปนี้ ซึ่งขึ้นอยู่กับประเภทของกิจกรรม รวมถึงข้อพิจารณาอื่นที่มีผลกับการเก็บรวบรวมข้อมูลส่วนบุคคล โดยประเภทของข้อมูลที่ระบุไว้เป็นเพียงกรอบการเก็บรวบรวมข้อมูลส่วนบุคคลของมหาวิทยาลัยเป็นการทั่วไป ทั้งนี้ เฉพาะข้อมูลที่เกี่ยวข้องกับกิจกรรม ผลิตภัณฑ์หรือบริการที่เจ้าของข้อมูลใช้งานหรือมีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้
ข้อมูลเฉพาะตัวบุคคล | ข้อมูลระบุชื่อเรียกของเจ้าของข้อมูล หรือข้อมูลจากเอกสารราชการที่ระบุข้อมูลเฉพาะตัวของเจ้าของข้อมูล เช่น คำนำหน้าชื่อ ชื่อ นามสกุล ชื่อกลาง ชื่อเล่น ลายมือชื่อ เลขที่บัตรประจำตัวประชาชน สัญชาติ เลขที่ใบขับขี่ เลขที่หนังสือเดินทาง ข้อมูลทะเบียนบ้าน หมายเลขใบประกอบการ หมายเลขใบอนุญาตการประกอบวิชาชีพ (สำหรับแต่ละอาชีพ) หมายเลขประจำตัวผู้ประกันตน หมายเลขประกันสังคม เป็นต้น |
ข้อมูลเกี่ยวกับคุณลักษณะของบุคคล | ข้อมูลรายละเอียดเกี่ยวกับเจ้าของข้อมูล เช่น วันเดือนปีเกิด เพศ ส่วนสูง น้ำหนัก อายุ สถานภาพการสมรส สถานภาพการเกณฑ์ทหาร รูปถ่าย ภาษาพูด ข้อมูลพฤติกรรม ความชื่นชอบ ข้อมูลการเป็นบุคคลล้มละลาย ข้อมูลการเป็นคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ เป็นต้น |
ข้อมูลสำหรับการติดต่อ | ข้อมูลสำหรับใช้ในการติดต่อเจ้าของข้อมูล เช่น เบอร์โทรศัพท์บ้าน เบอร์โทรศัพท์เคลื่อนที่ หมายเลขโทรสาร อีเมล ที่อยู่ทางไปรษณีย์บ้าน ชื่อผู้ใช้งานในสังคมออนไลน์ (Line ID, MS Teams) แผนที่ตั้งของที่พัก เป็นต้น |
ข้อมูลเกี่ยวกับการทำงานและการศึกษา | รายละเอียดการจ้างงาน รวมถึงประวัติการทำงานและประวัติการศึกษา เช่น ประเภทการจ้างงาน อาชีพ ยศ ตำแหน่ง หน้าที่ ความเชี่ยวชาญ สถานภาพใบอนุญาตทำงาน ข้อมูลบุคคลอ้างอิง หมายเลขประจำตัวผู้เสียภาษี ประวัติการดำรงตำแหน่ง ประวัติการทำงาน ข้อมูลเงินเดือน วันเริ่มงาน วันออกจากงาน ผลการประเมิน สวัสดิการและสิทธิประโยชน์ พัสดุในครอบครองของผู้ปฏิบัติงาน ผลงาน หมายเลขบัญชีธนาคาร สถาบันการศึกษา วุฒิการศึกษา ผลการศึกษา วันที่สำเร็จการศึกษา เป็นต้น |
ข้อมูลเกี่ยวกับกรมธรรม์ประกันภัย | รายละเอียดเกี่ยวกับกรมธรรม์ประกันภัยผู้ปฏิบัติงาน เช่น ผู้รับประกันภัย ผู้เอาประกันภัย ผู้รับประโยชน์ หมายเลขกรมธรรม์ ประเภทกรมธรรม์ วงเงินคุ้มครอง เป็นต้น |
ข้อมูลเกี่ยวกับความสัมพันธ์ทางสังคม | ข้อมูลความสัมพันธ์ทางสังคม เช่น สถานภาพทางการเมือง การดำรงตำแหน่งทางการเมือง การดำรงตำแหน่งกรรมการ ความสัมพันธ์กับผู้ปฏิบัติงานของมหาวิทยาลัย ข้อมูลการเป็นผู้มีสัญญาจ้างกับมหาวิทยาลัย ข้อมูลการเป็นผู้มีส่วนได้เสียในกิจการที่ทำกับมหาวิทยาลัย เป็นต้น |
ข้อมูลเกี่ยวกับการใช้บริการของมหาวิทยาลัย | รายละเอียดเกี่ยวกับการใช้งานบริการของมหาวิทยาลัย เช่น ชื่อบัญชีผู้ใช้งาน รหัสผ่าน หมายเลข PIN รหัส OTP ข้อมูลการจราจรทางคอมพิวเตอร์ ข้อมูลระบุพิกัด ภาพถ่าย วีดีโอ บันทึกเสียง ข้อมูลพฤติกรรมการใช้งานเว็บไซต์ที่อยู่ในความดูแลของมหาวิทยาลัย เช่น www.msu.ac.th หรือแอปพลิเคชันต่าง ๆ ประวัติการสืบค้น คุกกี้หรือเทคโนโลยีในลักษณะเดียวกัน หมายเลขอุปกรณ์ (Device ID) ประเภทอุปกรณ์ รายละเอียดการเชื่อมต่อ ข้อมูล Browser ภาษาที่ใช้งาน ระบบปฏิบัติการที่ใช้งาน เป็นต้น |
ข้อมูลส่วนบุคคลที่ละเอียดอ่อน | ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน เช่น เชื้อชาติ ข้อมูลศาสนา ข้อมูลความพิการ ข้อมูลความเห็นทางการเมือง ประวัติอาชญากรรม ข้อมูลชีวภาพ ข้อมูลภาพจำลองใบหน้า ข้อมูลเกี่ยวกับสุขภาพ เป็นต้น |
มหาวิทยาลัยเก็บรวบรวมและใช้คุกกี้รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกันในเว็บไซต์ที่อยู่ภายใต้ความดูแลของมหาวิทยาลัย เช่น www.msu.ac.th หรือบนอุปกรณ์ของผู้ใช้บริการตามแต่บริการที่ใช้งาน ทั้งนี้ เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของมหาวิทยาลัย และเพื่อให้ผู้ใช้งานได้รับความสะดวกและประสบการณ์ที่ดีในการใช้งานบริการของมหาวิทยาลัย และข้อมูลเหล่านี้จะถูกนำไปเพื่อปรับปรุงเว็บไซต์ ให้ตรงกับความต้องการของผู้ใช้บริการมากยิ่งขึ้น ทั้งนี้ ผู้ใช้บริการสามารถตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเองจากการตั้งค่าในเว็บเบราว์เซอร์ (Web Browser)
กรณีที่มหาวิทยาลัยทราบว่าข้อมูลส่วนบุคคลที่จำเป็นต้องได้รับความยินยอมในการเก็บรวบรวม เป็นของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ มหาวิทยาลัยจะไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นจนกว่าจะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายกำหนด
กรณีที่มหาวิทยาลัยไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ และมาพบในภายหลังว่ามหาวิทยาลัยได้เก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลดังกล่าวโดยยังมิได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี มหาวิทยาลัยจะดำเนินการลบทำลายข้อมูลส่วนบุคคลนั้นโดยเร็ว หากมหาวิทยาลัยไม่มีเหตุอันชอบด้วยกฎหมายประการอื่นนอกเหนือจากความยินยอมในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลดังกล่าว
มหาวิทยาลัยดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์หลายประการ ซึ่งขึ้นอยู่กับประเภทของกิจกรรมหรือบริการนั้น ๆ ทั้งนี้ การเก็บรวบรวมข้อมูลส่วนบุคคลต้องอยู่ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย หรือหน้าที่และอำนาจของมหาวิทยาลัย โดยต้องแจ้งถึงวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบและขอความยินยอมก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล ทั้งนี้ เว้นแต่ในกรณีต่อไปนี้ ไม่ต้องขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
(1) เพื่อประโยชน์เกี่ยวกับการศึกษาวิจัยหรือสถิติซึ่งเป็นไปเพื่อประโยชน์สาธารณะ และได้เก็บข้อมูลส่วนบุคคลนั้นไว้เป็นความลับ
(2) เพื่อป้องกันหรือระงับเหตุอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
(3) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยตรงหรือโดยปริยายของเจ้าของข้อมูลส่วนบุคคล
(4) เป็นการจำเป็นเพื่อการปฏิบัติตามสัญญา ซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญาหรือเพื่อใช้ในการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนเข้าทำสัญญานั้น
(5) เป็นการจำเป็นเพื่อการดำเนินภารกิจเพื่อประโยชน์สาธารณะของมหาวิทยาลัย
(6) เป็นการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของมหาวิทยาลัย หรือของบุคคลหรือนิติบุคคลอื่น
(7) เป็นการปฏิบัติตามกฎหมายหรือการใช้อำนาจของมหาวิทยาลัย
มหาวิทยาลัยอาจเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลดังต่อไปนี้ ทั้งนี้ ประเภทของบุคคลผู้รับข้อมูลที่ระบุไว้ดังต่อไปนี้เป็นเพียงกรอบการเปิดเผยข้อมูลส่วนบุคคลโดยมหาวิทยาลัยเป็นการทั่วไป เฉพาะบุคคลผู้รับข้อมูลที่เกี่ยวข้องกับกิจกรรมหรือบริการ หรือมีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้
หน่วยงานของรัฐหรือผู้มีอำนาจที่ มหาวิทยาลัยต้องเปิดเผยข้อมูลเพื่อวัตถุประสงค์ในการดำเนินการตามกฎหมายหรือวัตถุประสงค์สำคัญอื่น เช่น การดำเนินการเพื่อประโยชน์สาธารณะ | หน่วยงานผู้บังคับใช้กฎหมาย หรือมีอำนาจควบคุมกำกับดูแลหรือมีวัตถุประสงค์อื่นที่มีความสำคัญ เช่น คณะรัฐมนตรี รัฐมนตรีผู้รักษาการ กรมการปกครอง กรมสรรพากร สำนักงานตำรวจแห่งชาติ ศาล สำนักงานอัยการ กรมควบคุมโรค กรมการกงสุล กองทุนเงินให้กู้ยืมเพื่อการศึกษา กระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม เป็นต้น |
คู่สัญญาซึ่งดำเนินการเกี่ยวกับสวัสดิการของผู้ปฏิบัติงานของมหาวิทยาลัย | บุคคลภายนอกที่มหาวิทยาลัยจัดซื้อจัดจ้างให้ดำเนินการเกี่ยวกับสวัสดิการ เช่น บริษัทประกันชีวิต เป็นต้น |
พันธมิตรทางธุรกิจ | มหาวิทยาลัยอาจเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่ร่วมงานกับ มหาวิทยาลัย เช่น สถาบันการเงิน ผู้ให้บริการแพลตฟอร์ม ผู้ให้บริการโทรคมนาคม เป็นต้น |
ผู้ให้บริการ | มหาวิทยาลัยอาจมอบหมายให้บุคคลอื่นเป็นผู้ให้บริการแทน หรือสนับสนุนการดำเนินการของมหาวิทยาลัย เช่น ผู้ให้บริการด้านการจัดเก็บข้อมูล (เช่น คลาวด์ โกดังเอกสาร) ผู้พัฒนาระบบซอฟต์แวร์ แอปพลิเคชัน เว็บไซต์ ผู้ให้บริการจัดส่งเอกสาร ผู้ให้บริการด้านการชำระเงิน ผู้ให้บริการอินเทอร์เน็ต ผู้ให้บริการโทรศัพท์ ผู้ให้บริการด้าน Digital ID ผู้ให้บริการสื่อสังคมออนไลน์ ผู้ให้บริการด้านการบริหารความเสี่ยง ที่ปรึกษาภายนอก ผู้ให้บริการขนส่ง เป็นต้น |
ผู้รับข้อมูลประเภทอื่น | มหาวิทยาลัยอาจเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลผู้รับข้อมูลประเภทอื่น เช่น มูลนิธิที่ไม่แสวงหากำไร วัด โรงพยาบาล สถานศึกษา หรือหน่วยงานอื่น ๆ เป็นต้น ทั้งนี้ เพื่อการดำเนินการเกี่ยวกับบริการของมหาวิทยาลัย การฝึกอบรม การรับรางวัล การร่วมทำบุญ บริจาค เป็นต้น |
การเปิดเผยข้อมูลต่อสาธารณะ | มหาวิทยาลัยอาจเปิดเผยข้อมูลส่วนบุคคลต่อสาธารณะในกรณีที่จำเป็น |
ในบางกรณี มหาวิทยาลัยอาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศเพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการแก่ผู้รับบริการ เช่น เพื่อส่งข้อมูลส่วนบุคคลไปยังระบบคลาวด์ (Cloud) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย (Server) อยู่ต่างประเทศ ทั้งนี้ ขึ้นอยู่กับบริการหรือผู้มีส่วนเกี่ยวข้องเป็นรายกิจกรรม
อย่างไรก็ตาม ประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ ตามหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด เว้นแต่กรณีดังต่อไปนี้
(1) เป็นการปฏิบัติตามกฎหมายที่กำหนดให้มหาวิทยาลัยต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
(2) ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอม ในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศกำหนด
(3) เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญากับมหาวิทยาลัย หรือเป็นการทำตามคำขอของเจ้าของข้อมูลก่อนการเข้าทำสัญญานั้น
(4) เป็นการกระทำตามสัญญาของมหาวิทยาลัยกับบุคคลหรือนิติบุคคลอื่น เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
(5) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือของบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
(6) เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
มหาวิทยาลัยจะเก็บรักษาข้อมูลส่วนบุคคลไว้ในระยะเวลาเท่าที่ข้อมูลนั้นยังมีความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลเท่านั้น ตามรายละเอียดที่ได้กำหนดไว้ในนโยบาย ประกาศหรือตามกฎหมายที่เกี่ยวข้อง ทั้งนี้ เมื่อพ้นระยะเวลาและข้อมูลส่วนบุคคลสิ้นความจำเป็นตามวัตถุประสงค์ดังกล่าวแล้ว มหาวิทยาลัยจะทำการลบ ทำลายข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลนั้นไม่สามารถระบุตัวตนได้ต่อไป ตามรูปแบบและมาตรฐานการลบทำลายข้อมูลส่วนบุคคลที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนดหรือตามมาตรฐานสากล อย่างไรก็ดี ในกรณีที่มีข้อพิพาท การใช้สิทธิหรือคดีความอันเกี่ยวข้องกับข้อมูลส่วนบุคคล มหาวิทยาลัยขอสงวนสิทธิในการเก็บรักษาข้อมูลนั้นต่อไปจนกว่าข้อพิพาทนั้นจะได้มีคำสั่งหรือคำพิพากษาถึงที่สุด
มหาวิทยาลัยอาจมีการมอบหมายหรือจัดซื้อจัดจ้างบุคคลที่สาม (ผู้ประมวลผลข้อมูลส่วนบุคคล) ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของมหาวิทยาลัย ซึ่งบุคคลที่สามดังกล่าวอาจเสนอบริการในลักษณะต่างๆ เช่น การเป็นผู้ดูแล (Hosting) รับงานบริการช่วง (Outsourcing) หรือเป็นผู้ให้บริการคลาวด์ (Cloud computing service/provider) หรือเป็นงานในลักษณะการจ้างทำของในรูปแบบอื่น
การมอบหมายให้บุคคลที่สามทำการประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลนั้น มหาวิทยาลัยจะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของมหาวิทยาลัยในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และของบุคคลที่มหาวิทยาลัยมอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งรวมถึงกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่มหาวิทยาลัยมอบหมายให้ประมวลผล รวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น ๆ ที่เกี่ยวข้อง ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของมหาวิทยาลัยเท่านั้น โดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้
ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลต้องได้รับความยินยอมเป็นหนังสือจากมหาวิทยาลัยก่อน ความยินยอมดังกล่าวนั้นไม่เป็นเหตุให้ผู้ประมวลผลข้อมูลส่วนบุคคลพ้นความรับผิด และผู้ประมวลผลข้อมูลส่วนบุคคลจะยังคงต้องรับผิดในความผิดและความประมาทเลินเล่อของผู้ประมวลผลช่วง หรือตัวแทนหรือลูกจ้างของผู้ประมวลผลช่วงนั้นทุกประการ
มหาวิทยาลัยมีมาตรการปกป้องข้อมูลส่วนบุคคล โดยการจำกัดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้โดยเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายที่มีความจำเป็นต้องใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามมาตรการปกป้องข้อมูลส่วนบุคคลอย่างเคร่งครัด ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอำนาจหน้าที่ โดยมหาวิทยาลัยมีมาตรการรักษาความปลอดภัยข้อมูลทั้งในเชิงบริหารและเชิงเทคนิคที่ได้มาตรฐานสากล และเป็นไปตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
นอกจากนี้ เมื่อมหาวิทยาลัยมีการส่ง โอนหรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม ไม่ว่าเพื่อการให้บริการตามพันธกิจ ตามสัญญา หรือข้อตกลงในรูปแบบอื่น มหาวิทยาลัยจะกำหนดมาตรการรักษาความปลอดภัยข้อมูลส่วนบุคคลและการรักษาความลับที่เหมาะสมและเป็นไปตามที่กฎหมายกำหนด เพื่อยืนยันว่าข้อมูลส่วนบุคคลที่มหาวิทยาลัยเก็บรวบรวมจะมีความมั่นคงปลอดภัยอยู่เสมอ
มหาวิทยาลัยได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อทำหน้าที่ตรวจสอบ กำกับและให้คำแนะนำในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล รวมถึงการประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
เจ้าของข้อมูลสามารถใช้สิทธิตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด โดยมีสิทธิดังต่อไปนี้
(1) มีสิทธิในการขอเข้าถึง รับสำเนาและขอให้เปิดเผยที่มาของข้อมูลส่วนบุคคลที่มหาวิทยาลัยเก็บรวบรวมไว้โดยปราศจากความยินยอม เว้นแต่กรณีที่มหาวิทยาลัยมีสิทธิปฏิเสธคำขอด้วยเหตุตามกฎหมายหรือคำสั่งศาล หรือกรณีที่การใช้สิทธินั้นจะมีผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
(2) หากพบว่าข้อมูลส่วนบุคคลของตนไม่ถูกต้อง ไม่ครบถ้วนหรือไม่เป็นปัจจุบัน เจ้าของข้อมูลมีสิทธิขอให้แก้ไขเพื่อให้มีความถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิดได้
(3) มีสิทธิในการขอให้ลบหรือทำลายข้อมูลส่วนบุคคลของตน หรือทำให้ข้อมูลส่วนบุคคลของตนนั้นไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้อีกต่อไป ทั้งนี้ การใช้สิทธิลบหรือทำลายข้อมูลส่วนบุคคลนี้จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมายกำหนด
(4) มีสิทธิในการขอให้มหาวิทยาลัยระงับการใช้ข้อมูลส่วนบุคคลของตนได้ ทั้งนี้ ในกรณีดังต่อไปนี้
(4.1) เมื่ออยู่ในช่วงเวลาที่มหาวิทยาลัยทำการตรวจสอบตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์และเป็นปัจจุบัน
(4.2) ข้อมูลส่วนบุคคลของตนถูกเก็บรวบรวม ใช้หรือเปิดเผยโดยมิชอบด้วยกฎหมาย
(4.3) เมื่อข้อมูลส่วนบุคคลของตนหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่มหาวิทยาลัยได้แจ้งในการเก็บรวบรวม แต่เจ้าของข้อมูลส่วนบุคคลประสงค์ให้มหาวิทยาลัยเก็บรักษาข้อมูลนั้นต่อไปเพื่อประกอบการใช้สิทธิตามกฎหมาย
(4.4) เมื่ออยู่ในช่วงเวลาที่มหาวิทยาลัยกำลังพิสูจน์ถึงเหตุอันชอบด้วยกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือตรวจสอบความจำเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์สาธารณะ อันเนื่องมาจากการที่เจ้าของข้อมูลส่วนบุคคลได้ใช้สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
(5) มีสิทธิในการคัดค้านการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน เว้นแต่กรณีที่มหาวิทยาลัยมีเหตุในการปฏิเสธคำขอโดยชอบด้วยกฎหมาย
(6) มีสิทธิในการขอถอนความยินยอม ในกรณีที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมแก่มหาวิทยาลัย ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (ไม่ว่าความยินยอมนั้นจะได้ให้ไว้ก่อนหรือหลังพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มีผลใช้บังคับ) เจ้าของข้อมูลส่วนบุคคลมีสิทธิถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของตนนั้นถูกเก็บรักษาโดยมหาวิทยาลัย เว้นแต่มีข้อจำกัดสิทธิโดยกฎหมายให้มหาวิทยาลัยจำเป็นต้องเก็บรักษาข้อมูลต่อไปหรือยังคงมีสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับมหาวิทยาลัยที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลอยู่
(7) มีสิทธิในการขอรับข้อมูลส่วนบุคคลของตนจากมหาวิทยาลัย ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยวิธีการอัตโนมัติ รวมถึงอาจขอให้มหาวิทยาลัย ส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ทั้งนี้ การใช้สิทธินี้จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมายกำหนด
การไม่ปฏิบัติตามนโยบายอาจมีผลเป็นความผิดและถูกลงโทษทางวินัยตามกฎเกณฑ์ของมหาวิทยาลัย (สำหรับเจ้าหน้าที่หรือผู้ปฏิบัติงานของมหาวิทยาลัย) หรือตามข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (สำหรับผู้ประมวลผลข้อมูลส่วนบุคคล) ทั้งนี้ ตามแต่กรณีและความสัมพันธ์ที่มีต่อมหาวิทยาลัย และอาจได้รับโทษตามที่กำหนดโดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ รวมทั้งกฎหมายลำดับรอง กฎ ระเบียบ คำสั่งที่เกี่ยวข้อง
ในกรณีที่พบว่ามหาวิทยาลัยมิได้ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนไปยังคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานที่มีอำนาจกำกับดูแลที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือตามกฎหมาย ทั้งนี้ ก่อนการร้องเรียนดังกล่าว มหาวิทยาลัยขอให้เจ้าของข้อมูลส่วนบุคคลโปรดติดต่อมายังมหาวิทยาลัย เพื่อให้มหาวิทยาลัยมีโอกาสได้รับทราบข้อเท็จจริงและได้ชี้แจงในประเด็นต่าง ๆ รวมถึงจัดการแก้ไขข้อกังวลของเจ้าของข้อมูลส่วนบุคคลก่อนในโอกาสแรก
มหาวิทยาลัยจะปรับปรุงนโยบายการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้สอดคล้องกับการเปลี่ยนแปลงของกฎหมายและการดำเนินงานของมหาวิทยาลัย รวมถึงอาจปรับปรุงเพื่อให้สอดคล้องกับข้อเสนอแนะจากเจ้าของข้อมูล โดยจะประกาศแจ้งให้ทราบอย่างชัดเจนก่อนเริ่มดำเนินการ หรืออาจส่งประกาศแจ้งเตือนให้เจ้าของข้อมูลทราบโดยตรงตามช่องทางการสื่อสารของมหาวิทยาลัย
ในกรณีที่เจ้าของข้อมูลส่วนบุคคลมีข้อสงสัยหรือข้อเสนอแนะเพิ่มเติมเกี่ยวกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ หรือต้องการใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล สามารถติดต่อสอบถามได้ที่
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล มหาวิทยาลัยมหาสารคาม
สำนักคอมพิวเตอร์ ตำบลขามเรียง อำเภอกันทรวิชัย จังหวัดมหาสารคาม 44150
โทรศัพท์ 043 754 352 เว็บไซต์ pdpa.msu.ac.th อีเมล dpo@uat.msu.ac.th
ประกาศ ณ วันที่ 24 พฤษภาคม พ.ศ. 2565
รองศาสตราจารย์ประยุกต์ ศรีวิไล
อธิการบดีมหาวิทยาลัยมหาสารคาม