คำสั่งมหาวิทยาลัยเทคโนโลยีราชมงคลอีสาน
เรื่อง แต่งตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัยเทคโนโลยีราชมงคลอีสาน
เพื่อให้การดำเนินการในการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัยเทคโนโลยีราชมงคลอีสาน เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และบรรลุวัตถุประสงค์ด้วยความเรียบร้อย
อาศัยอำนาจตามความในมาตรา 24 และมาตรา 27 แห่งพระราชบัญญัติมหาวิทยาลัยเทคโนโลยีราชมงคล พ.ศ.2548 ประกอบกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงขอแต่งตั้งคณะกรรมการควบคุมข้อมูลส่วนบุคคลของมหาวิทยาลัยเทคโนโลยีราชมงคลอีสาน ดังต่อไปนี้
1. | อธิการบดี | ประธานกรรมการ |
2. | รองอธิการบดีฝ่ายบริหารและพัฒนาทรัพยากรมนุษย์ | รองประธานกรรมการ |
3. | รองอธิการบดีฝ่ายวิชาการและวิเทศสัมพันธ์ | กรรมการ |
4. | รองอธิการบดีฝ่ายวิจัย พัฒนานวัตกรรม และบริการวิชาการ | กรรมการ |
5. | รองอธิการบดีฝ่ายยุทธศาสตร์ นโยบายและแผน | กรรมการ |
6. | รองอธิการบดีฝ่ายกิจการนักศึกษาและศิษย์เก่าสัมพันธ์ | กรรมการ |
7. | รองอธิการบดีฝ่ายกิจการพิเศษ | กรรมการ |
8. | รองอธิการบดีประจำวิทยาเขตขอนแก่น | กรรมการ |
9. | รองอธิการบดีประจำวิทยาเขตสุรินทร์ | กรรมการ |
10 | รองอธิการบดีประจำวิทยาเขตสกลนคร | กรรมการ |
11 | รองอธิการบดีฝ่ายเทคโนโลยีดิจิทัล สารสนเทศและกิจการสภามหาวิทยาลัย | กรรมการและเลขานุการ |
12 | ผู้อำนวยการสำนักวิทยบริการและเทคโนโลยีสารสเทศ | กรรมการและผู้ช่วยเลขานุการ |
(1) | จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ รวมถึงทบทวนมาตรการดังกล่าว เมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล |
(2) | ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล ต้องดำเนินการเพื่อป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจหรือโดยมิชอบ |
(3) | จัดให้มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล |
(4) | แจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล โดยไม่ชักช้าภายในเจ็ดสิบสองชั่วโมง นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล ให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยา โดยไม่ชักช้าด้วย ทั้งนี้ การแจ้งดังกล่าวและข้อยกเว้นให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล |
(5) | ดำเนินการหรือมอบหมายให้ตัวแทนดำเนินการบันทึกรายการข้อมูลตามความในมาตรา34 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตลอดถึงการอื่นใดที่กำหนดตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล |
(6) | จัดให้มีข้อตกลงการประมวลผลข้อมูลส่วนบุคคลระหว่างผู้ควบคุมข้อมูลส่วนบุคคลและ ผู้ประมวลผลข้อมูลส่วนบุคคล ในกรณีที่มีการมอบหมายการประมวลผลข้อมูลส่วนบุคคล ให้ผู้ประมวลผลข้อมูลส่วนบุคคล |
(7) | แจ้งข้อมูลเกี่ยวกับผู้ควบคุมข้อมูลส่วนบุคคล ตัวแทนหรือเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคล สถานที่ติดต่อ และวิธีการติดต่อให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ |
(8) | ดำเนินการแต่งตั้งบุคคล คณะบุคคล คณะอนุกรรมการหรือนิติบุคคล เพื่อปฏิบัติหน้าที่ ดังนี้ (8.1) เจ้าหน้าที่ประมวลผลข้อมูลส่วนบุคคล (8.2) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (8.3) คณะกรรมการควบคุมข้อมูลส่วนบุคคลประจำหน่วยงาน (8.4) เพื่อดำเนินการอย่างหนึ่งอย่างใดอันอยู่ในอำนาจและหน้าที่ของคณะกรรมการ ทั้งนี้ ให้กำหนดหน้าที่ ควบคุมกำกับดูแล และสนับสนุนการดำเนินงานของเจ้าหน้าที่ ตามข้อ 8 |
(9) | ออกประกาศ หรือคำสั่งใด ๆ เพื่อรองรับการดำเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 |
ประกาศมหาวิทยาลัยเทคโนโลยีราชมงคลอีสาน
เรื่อง แนวนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัยเทคโนโลยีราชมงคลอีสาน
โดยที่พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 บัญญัติให้หน่วยงานของรัฐต้องจัดทำแนวนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลประกอบกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้กำหนดมาตรการในการคุ้มครองข้อมูลส่วนบุคคล ดังนั้น เพื่อให้การดำเนินการคุ้มครองข้อมูลส่วนบุคคลสำหรับการทำธุรกรรมทางอิเล็กทรอนิกส์ของมหาวิทยาลัยเทคโนโลยีราชมงคลอีสานเป็นไปอย่างมีประสิทธิภาพ สามารถปฏิบัติตามได้อย่างเป็นรูปธรรม
อาศัยอำนาจตามความในมาตรา 24 และมาตรา 27 แห่งพระราชบัญญัติมหาวิทยาลัยเทคโนโลยีราชมงคล พ.ศ. 2548 ประกอบกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และพระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2547 มหาวิทยาลัยเทคโนโลยี ราชมงคลอีสานจึงออกประกาศไว้ ดังต่อไปนี้
ประกาศนื้ เรียกว่า “ประกาศมหาวิทยาลัยเทคโนโลยีราชมงคลอีสาน เรื่อง แนวนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัยเทคโนโลยีราชมงคลอีสาน”
ประกาศนี้ให้ใช้บังคับตั้งแต่วันประกาศเป็นต้นไป
ในประกาศนี้
“มหาวิทยาลัย” หมายความว่า มหาวิทยาลัยเทคโนโลยีราชมงคลอีสาน
“แนวนโยบาย” หมายความว่า หลักการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่มหาวิทยาลัยเทคโนโลยีราชมงคลอีสานกำหนดขึ้นและประกาศใช้งาน
“แนวปฏิบัติ” หมายความว่า ข้อปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่มหาวิทยาลัยเทคโนโลยีราชมงคลอีสาน กำหนดขึ้นและประกาศใช้งาน เพื่อให้ผู้ใช้งานปฏิบัติตามโดยเคร่งครัด
“บุคลากร” หมายความว่า ข้าราชการ พนักงานในสถาบันอุดมศึกษา ลูกจ้างประจำ พนักงานราชการและลูกจ้างเงินรายได้ในสังกัดมหาวิทยาลัยเทคโนโลยีราชมงคลอีสาน
“ผู้ให้บริการภายนอก” หมายความว่า หน่วยงานภายนอกที่รับจ้างปฏิบัติงานด้านเทคโนโลยีสารสนเทศหรือรับจ้างปฏิบัติงานอื่น ๆ ตามความต้องการของมหาวิทยาลัยเทคโนโลยีราชมงคลอีสาน เช่น ผู้ให้บริการอินเทอร์เน็ต ผู้ให้บริการด้านฮาร์ดแวร์ ผู้ให้บริการด้านซอฟต์แวร์ ผู้ให้บริการด้านระบบงาน
“บุคคล” หมายความว่า บุคคลธรรมดา
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
“เจ้าของข้อมูลส่วนบุคคล” หมายความว่า บุคคลผู้เป็นเจ้าของข้อมูลส่วนบุคคลหรือผู้มีสิทธิโดยชอบตามกฎหมาย
“ผู้ใช้บริการ” หมายความว่า ผู้ใช้บริการที่มีการขอรับบริการด้านเทคโนโลยีสารสนเทศและด้านอื่น ๆ เช่น การสมัครเข้าเป็นนักศึกษา บุคลากร หรือการเข้ารับบริการโดยตรงกับมหาวิทยาลัย
แนวนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย มีดังนี้
การจัดเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ใช้บริการ มหาวิทยาลัยจะใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรมจัดเก็บข้อมูลเท่าที่จำเป็นแก่การให้บริการธุรกรรมทางอิเล็กทรอนิกส์ ตามวัตถุประสงค์ในการดำเนินงานของมหาวิทยาลัยตามที่กฎหมายกำหนดเท่านั้น และมหาวิทยาลัยจะขอความยินยอมจากผู้ใช้บริการก่อนทำการเก็บรวบรวม เว้นแต่เป็นกรณีที่กฎหมายกำหนดหรือในกรณีอื่นๆ ตามที่กำหนดไว้ในประกาศนี้
มหาวิทยาลัยมีการรวบรวมและจัดเก็บข้อมูลส่วนบุคคลของผู้ใช้บริการจะให้ความสำคัญถึงความถูกต้อง ครบถ้วน และเป็นปัจจุบันของข้อมูล
มหาวิทยาลัยมีการรวบรวม จัดเก็บ ใช้ ข้อมูลส่วนบุคคลของผู้ใช้บริการ โดยมีวัตถุประสงค์เพื่อนำไปใช้ประโยชน์ต่อการดำเนินงานตามอำนาจหน้าที่ของมหาวิทยาลัยตามที่กฎหมายกำหนดเท่านั้น ทั้งนี้ หากภายหลังมหาวิทยาลัยมีการเปลี่ยนแปลงวัตถุประสงค์ในการรวบรวมและจัดเก็บข้อมูลส่วนบุคคล จะแจ้งให้ผู้ใช้บริการทราบ และขอความยินยอม และมหาวิทยาลัยจะทำการบันทึกการแก้ไขเพิ่มเติมไว้เป็นหลักฐานด้วย
มหาวิทยาลัยจะไม่เปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการ นอกเหนือจากวัตถุประสงค์ในการรวบรวมและจัดเก็บข้อมูล เว้นแต่ได้รับความยินยอมจากเจ้าของข้อมูล หรือตามคำสั่งศาล และกำหนดให้ผู้ให้บริการภายนอกเก็บรักษาความลับ และความปลอดภัยของข้อมูลของผู้ใช้บริการ โดยห้ามนำข้อมูลไปใช้นอกเหนือจากที่กำหนดให้ดำเนินการ
มหาวิทยาลัยมีมาตรการในการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลของผู้ใช้บริการธุรกรรมทางอิเล็กทรอนิกส์เพื่อป้องกันมิให้ข้อมูลสูญหาย การเข้าถึง การใช้ข้อมูล การทำลายข้อมูล และการนำข้อมูลไปใช้โดยมิชอบ รวมถึงการเปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต โดยเป็นไปตาม นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของมหาวิทยาลัย
มหาวิทยาลัยมีการดำเนินการตามแนวนโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย โดยจะเผยแพร่ผ่านทางเว็บไซต์ https://www.rmuti.ac.th รวมทั้งหากมีการปรับปรุงแก้ไขแนวนโยบาย และแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล ก็จะดำเนินการเผยแพร่ผ่านช่องทางดังกล่าว
ทั้งนี้ มหาวิทยาลัยจะมีช่องทางให้เจ้าของข้อมูลส่วนบุคคลสามารถตรวจดูความมีอยู่ลักษณะของข้อมูลส่วนบุคคล วัตถุประสงค์ของการนำข้อมูลไปใช้ ผู้ควบคุมข้อมูลส่วนบุคคล และสถานที่ทำการของผู้ควบคุมข้อมูลส่วนบุคคลได้ที่มหาวิทยาลัย
มหาวิทยาลัยจะเปิดเผยรายละเอียดข้อมูลส่วนบุคคลให้แก่เจ้าของข้อมูล ต่อเมื่อได้รับคำร้องขอจากเจ้าของข้อมูลส่วนบุคคล โดยยื่นคำร้องขอและวัตถุประสงค์ของการนำไปใช้ ทั้งนี้ มหาวิทยาลัยจะดำเนินการให้แล้วเสร็จภายใน ๓๐ วัน นับแต่วันที่ได้รับคำร้องในกรณีที่เจ้าของข้อมูลส่วนบุคคลมีการคัดค้านการจัดเก็บ ความถูกต้อง หรือการกระทำใด ๆ ต่อข้อมูลส่วนบุคคลภายหลังจากมหาวิทยาลัย ได้ตรวจหลักฐานที่เชื่อถือได้ซึ่งเจ้าของข้อมูลได้แสดงต่อมหาวิทยาลัย โดยมหาวิทยาลัยจะบันทึกคำคัดค้านเพื่อเก็บไว้เป็นหลักฐานด้วย
ทั้งนี้ มหาวิทยาลัยอาจปฏิเสธคำร้องขอข้อมูลส่วนบุคคลได้ในกรณีที่เป็นการปฏิเสธตามกฎหมายหรือคำสั่งศาล หรือในกรณีที่ข้อมูลส่วนบุคคลของผู้ใช้บริการถูกทำให้ไม่ปรากฎชื่อ หรือสิ่งบอกลักษณะอันสามารถระบุตัวผู้ใช้บริการนั้นได้ โดยจัดทำคำชี้แจงแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบ
มหาวิทยาลัยกำหนดให้ผู้ที่เกี่ยวข้องกับการรวบรวม จัดเก็บ ใช้ และเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้บริการธุรกรรมทางอิเล็กทรอนิกส์ ต้องให้ความสำคัญและรับผิดชอบในการจัดเก็บ และคุ้มครองข้อมูล ส่วนบุคคลที่ตนจัดเก็บตามแนวนโยบาย และแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลที่กำหนดไว้อย่างเคร่งครัด
- แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัยฉบับนี้จัดทำขึ้นเพื่อใช้บังคับตามแนวนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย
- กำหนดขอบเขตให้การคุ้มครองข้อมูลส่วนบุคคลนี้ใช้กับการดำเนินการใด ๆ ของมหาวิทยาลัยต่อข้อมูลส่วนบุคคลที่มหาวิทยาลัย รวบรวม จัดเก็บ หรือได้รับมาตามวัตถุประสงค์เท่านั้น ซึ่งข้อมูลดังกล่าวรวมถึงข้อมูลที่ผู้ใช้บริการได้ใช้บริการของมหาวิทยาลัย ซึ่งข้อมูลส่วนบุคคล คือ ข้อมูลที่ระบุตัวบุคคลของผู้ใช้บริการได้เช่นเดียวกับชื่อ ที่อยู่ หมายเลขบัตรประจำตัวประชาชน หมายเลขโทรศัพท์หรืออีเมล์ของผู้ใช้บริการ ทั้งนี้ ข้อมูลส่วนบุคคลในที่นี้ไม่รวมถึงข้อมูลที่สาธารณชนสามารถเข้าถึงกันได้เป็นการทั่วไป นอกจากนี้ยังได้ระบุขอบเขตการแนวนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัยดังกล่าวเพิ่มเติมว่าไม่ใช้กับแนวปฏิบัติต่อข้อมูลส่วนบุคคลของหน่วยงานอื่นที่มหาวิทยาลัยมิได้เกี่ยวข้องหรือสามารถควบคุมได้และไม่ใช้บังคับกับแนวปฏิบัติของบุคคลที่มิได้เป็นบุคลากรหรือผู้ให้บริการภายนอกหรือที่มหาวิทยาลัยไม่มีอำนาจควบคุมดูแล
- กรณีที่มีการเปลี่ยนแปลงวัตถุประสงค์หรือแนวนโยบายในการคุ้มครองข้อมูลส่วนบุคคล มหาวิทยาลัยจะประกาศแจ้งให้ทราบและขอความยินยอมจากผู้ใช้บริการผ่านทางหน้าเว็บไซต์ของมหาวิทยาลัย https://www.rmuti.ac.th ล่วงหน้าเป็นเวลาไม่น้อยกว่า ๓๐ วัน และมหาวิทยาลัยอาจทำการปรับปรุง หรือแก้ไขแนวนโยบายการคุ้มครองข้อมูลส่วนบุคคลโดยไม่ได้แจ้งให้ผู้ใช้บริการทราบล่วงหน้าได้ ทั้งนี้ เพื่อความเหมาะสมและความมีประสิทธิภาพในการให้บริการ ดังนั้น จึงขอแนะนำให้ผู้ใช้บริการอ่านแนวนโยบายการคุ้มครองข้อมูลส่วนบุคคลก่อนที่จะใช้บริการทุกครั้ง
มหาวิทยาลัยมีการให้บริการธุรกรรมทางอิเล็กทรอนิกส์ทั้งทางเว็บไซต์ https://www.rmuti.ac.th และทางกระดาษเป็นไปตามแบบฟอร์มการให้บริการในด้านต่าง ๆ โดยข้อมูลที่จำเป็นต้องกรอกลงไป เช่น ชื่อ ชื่อสกุล หมายเลขประจำตัวบัตรประชาชน ที่อยู่ หมายเลขโทรศัพท์ และอีเมล เป็นต้น ซึ่งเป็นไปตามอำนาจหน้าที่และภารกิจของมหาวิทยาลัยตามกฎหมายว่าด้วยการจัดตั้งมหาวิทยาลัยเทคโนโลยีราชมงคล แล้วนำมาแปลงข้อมูลเข้าสู่ระบบอิเล็กทรอนิกส์หรือจัดเก็บโดยวิธีอื่น
ผู้ใช้บริการอาจได้รับการร้องขอให้แจ้งข้อมูลส่วนบุคคลในเวลาใด ๆ ที่ติดต่อกับมหาวิทยาลัยและมหาวิทยาลัย อาจมีการใช้งานข้อมูลส่วนบุคคลนี้ในหน่วยงาน โดยจะใช้ข้อมูลส่วนบุคคลให้สอดคล้องกับแนวนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย รวมทั้งอาจผนวกข้อมูลส่วนบุคคลนี้เข้ากับข้อมูลอื่นๆ เพื่อการดำเนินงานของหน่วยงาน และข้อมูลที่ผนวกเข้าด้วยกันนี้ จะถือว่าเป็นข้อมูลส่วนบุคคลตราบเท่าที่ยังคงผนวกเข้าด้วยกันอยู่
มหาวิทยาลัยจะดำเนินการจัดเก็บข้อมูลส่วนบุคคลของผู้ใช้บริการที่ส่งเรื่องร้องเรียน/ ติดต่อทางเว็บไซต์ เช่น ชื่อผู้ร้องเรียน อีเมล หมายเลขโทรศัพท์ จัดเก็บข้อมูลหมายเลขไอพีแอดเดรส (IP Address) เป็นต้น โดยจัดเก็บรวบรวมข้อมูลดังกล่าวของผู้ใช้บริการทุกท่านที่เข้าเยี่ยมชมเว็บไซต์ของมหาวิทยาลัยเพื่อใช้เป็นข้อมูลอ้างอิงต่อไป
มหาวิทยาลัยจะใช้ข้อมูลส่วนบุคคลของผู้ใช้บริการ เช่น ชื่อสกุล ที่อยู่ หมายเลขประจำตัวประชาชน หมายเลขโทรศัพท์ และอีเมล เป็นต้น เพียงเท่าที่จำเป็นเพื่อใช้ในการติดต่อการให้บริการ ประชาสัมพันธ์ ประมวลผลหรือให้ข้อมูลข่าวสารของมหาวิทยาลัยเท่านั้น
ในกรณีที่มหาวิทยาลัยว่าจ้างให้ผู้ให้บริการภายนอกดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของเว็บไซต์อื่นที่เชื่อมโยงจากเว็บไซต์ของมหาวิทยาลัยเพื่อรับทราบและเข้าใจว่าเว็บไซต์ดังกล่าวเก็บ รวบรวม ใช้ หรือดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของผู้ใช้บริการอย่างไร ทั้งนี้ มหาวิทยาลัยไม่สามารถรับรองข้อความ หรือรับรองการดำเนินการตามที่ได้มีประกาศไว้ได้ และไม่รับผิดชอบใดๆ หากเว็บไซต์เหล่านั้นไม่สามารถปฏิบัติการ หรือดำเนินการใด ๆ ตามประกาศนี้
มหาวิทยาลัยจะติดต่อกับผู้ใช้บริการด้วยการส่งจดหมายอิเล็กทรอนิกส์ หรือทางโทรศัพท์ถึงผู้ใช้บริการ เพื่อตรวจสอบชื่อผู้ใช้บริการและรหัสผ่าน ทั้งนี้ ผู้ใช้บริการอาจแจ้งความประสงค์ให้ติดต่อด้วยวิธีการอื่นได้ในขณะที่ทำการลงทะเบียน นอกจากนี้ ผู้ใช้บริการสามารถเข้าถึงข้อมูลข่าวสารต่างๆ ของมหาวิทยาลัยได้ผ่านช่องทางอื่นอีกหลายทาง เช่น เว็บไซต์ของมหาวิทยาลัย https://www.rmuti.ac.th
มหาวิทยาลัยมีการใช้งานคุกกี้ (Cookies) เพื่อช่วยอำนวยความสะดวกของผู้ใช้บริการในการเข้าใช้บริการของมหาวิทยาลัย โดยคุกกี้เป็นไฟล์ข้อมูลขนาดเล็กที่ระบบบริการของเว็บไซต์มหาวิทยาลัยส่งไปยังโปรแกรมบราวเซอร์ (Browser) ของผู้ใช้บริการ เมื่อผู้ใช้บริการเข้าเยี่ยมชมเว็บไซต์มหาวิทยาลัยโดยคุกกี้เหล่านี้ช่วยให้การติดต่อระหว่างเครื่องคอมพิวเตอร์ของผู้ใช้บริการกับระบบธุรกรรมทางอิเล็กทรอนิกส์ของมหาวิทยาลัยเป็นไปได้อย่างปกติ คุกกี้ทำให้ผู้ใช้บริการได้รับประโยชน์จากการให้บริการในลักษณะต่าง ๆ ของมหาวิทยาลัยและผู้ใช้บริการควรปล่อยให้คุกกี้ทำงานไปตามปกติ ซึ่งคุกกี้ดังกล่าวมิได้เก็บข้อมูลส่วนบุคคลของผู้ใช้บริการเว็บไซต์มหาวิทยาลัยไว้ อย่างไรก็ตาม หากผู้ใช้บริการไม่ต้องการที่จะยอมรับคุกกี้ ผู้ใช้บริการสามารถเลือกที่จะปฏิเสธคุกกี้ ผู้ใช้บริการก็ยังคงสามารถที่จะเข้าเยี่ยมชมเว็บไซต์ของมหาวิทยาลัยได้ แต่การทำงานบางอย่างบนเว็บไซต์อาจไม่ถูกต้อง หรือไม่ดีเท่าที่ควร
มหาวิทยาลัยมีการรวบรวมข้อมูลสถิติเกี่ยวกับประชากรที่สามารถเชื่อมโยงกับข้อมูลระบุตัวบุคคลได้ เพื่อสำรวจความนิยมในการใช้งานหรือเพื่องานวิชาการหรือการวิจัย และบริการอันเป็นประโยชน์ในการนำข้อมูลสถิติไปใช้สำหรับการปรับปรุงคุณภาพในการให้บริการและพัฒนาด้านวิชาการและบริการของมหาวิทยาลัย
การให้บริการเว็บไซต์ของมหาวิทยาลัย กำหนดให้มีการเก็บบันทึกการเข้าออก และระหว่างการใช้บริการของผู้ใช้บริการโดยอัตโนมัติที่สามารถเชื่อมโยงข้อมูลดังกล่าวกับข้อมูลที่ระบุตัวบุคคล เช่น หมายเลขไอพี (IP Address) วันที่ และเวลาของผู้ใช้บริการซึ่งใช้เป็นข้อมูลที่เชื่อมโยงกลับไปที่ข้อมูลการเชื่อมต่ออินเทอร์เน็ต เป็นต้น ซึ่งอาจระบุแหล่งที่มาการโพสต์หรือบุคคลที่โพสต์ได้ รวมถึงเว็บไซต์ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ และที่แก้ไขเพิ่มเติม(ฉบับที่ ๒) พ.ศ. ๒๕๖๐ มาตรา ๒๖ ที่กำหนดให้ผู้บริการต้องเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ไว้ไม่น้อยกว่า ๙๐ วัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็น พนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้เกิน ๙๐ วัน แต่ไม่เกิน ๒ ปี เป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้
ในการจัดเก็บรวบรวมข้อมูลผ่านทางเว็บไซต์ หน้าเว็บไซต์จะระบุสิทธิที่จะให้ข้อมูลของผู้ใช้บริการ โดยแบ่งออกเป็น ๒ ส่วน คือ ส่วนของข้อมูลที่ผู้ใช้บริการจะต้องให้ กับส่วนของข้อมูลที่ผู้ใช้บริการมีสิทธิเลือกที่จะให้หรือไม่ก็ได้ เช่น ข้อมูลช่องทางที่สามารถติดต่อผู้ใช้บริการได้สะดวก เป็นต้น นอกจากนี้ มีการจัดช่องทางอื่นในการติดต่อสื่อสารให้กับผู้ใช้บริการที่ประสงค์จะให้ข้อมูลผ่านทางช่องทางอื่นเพื่อเป็นทางเลือก เช่น ทางจดหมายอิเล็กทรอนิกส์ โทรสาร ไปรษณีย์ หรือเจ้าหน้าที่ที่เกี่ยวข้องโดยตรงก็ได้
นอกจากเว็บไซต์ของมหาวิทยาลัยแล้ว มหาวิทยาลัยยังมีการเชื่อมโยงเว็บไซต์กับเว็บไซต์ของหน่วยงาน หรือองค์กรอื่น ๆ ของรัฐ เช่น กระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม กรมการปกครอง กรมพัฒนาธุรกิจการค้า เป็นต้น โดยให้ข้อมูลหรือใช้ข้อมูลระหว่างกัน เช่น เลขประจำตัวประชาชน เลขทะเบียนนิติบุคคล เป็นต้น ตามภารกิจของมหาวิทยาลัยโดยการจัดเก็บ รวบรวม และรักษาความปลอดภัยของข้อมูลดังกล่าวที่เชื่อมโยงกันนั้น มหาวิทยาลัยปฏิบัติตามแนวนโยบายและแนวปฏิบัติของหน่วยงานอื่นอาจมีความแตกต่างกัน ดังนั้น มหาวิทยาลัยขอแนะนำให้ผู้ใช้บริการศึกษาแนวนโยบาย และแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานเหล่านั้นด้วย
มหาวิทยาลัย ต้องแจ้งให้ผู้ใช้บริการทราบเพื่อให้ความยินยอมล่วงหน้าก่อนทำการเปลี่ยนแปลงการเชื่อมโยงข้อมูลกับหน่วยงานอื่น หรือองค์กรอื่น
ในบางกรณีมหาวิทยาลัยอาจจะนำข้อมูลส่วนบุคคลที่ผู้ใช้บริการให้ข้อมูลผ่านทางเว็บไซต์รวมเข้ากับข้อมูลที่ได้มาจากแหล่งอื่น เช่น ข้อมูลที่อยู่ของผู้ใช้บริการจากกรมการปกครอง กระทรวงมหาดไทย เป็นต้น ทั้งนี้เพื่อทำให้ข้อมูลของมหาวิทยาลัยมีความครบถ้วน ถูกต้อง และเป็นปัจจุบัน เพื่อทำให้มหาวิทยาลัยสามารถให้บริการตามภารกิจและหน้าที่ได้อย่างดีขึ้น
มหาวิทยาลัยไม่อนุญาตให้บุคคลอื่นเข้าถึงหรือใช้ข้อมูลที่มหาวิทยาลัยการจัดเก็บรวบรวมข้อมูลเกี่ยวกับผู้ใช้บริการ เว้นแต่กรณีที่มีการบังคับให้เปิดเผยข้อมูลส่วนบุคคลตามกฎหมายกำหนด เพื่อประโยชน์แก่การสอบสวนของพนักงานสอบสวน หรือการพิจารณาพิพากษาคดีของศาลตามหมายศาล หรือคำสั่งศาล มหาวิทยาลัยมีหน้าที่ที่จะต้องปฏิบัติตาม
มหาวิทยาลัย มีการจัดเก็บ รวบรวม และการใช้ข้อมูลเกี่ยวกับผู้ใช้บริการเท่าที่จำเป็นแก่การให้บริการธุรกรรมทางอิเล็กทรอนิกส์ตามวัตถุประสงค์ในการดำเนินงานของมหาวิทยาลัยเท่านั้น ทั้งนี้ กำหนดให้มีผู้ควบคุมข้อมูลส่วนบุคคล เป็นผู้รวม จัดเก็บ ใช้ และเปิดเผยข้อมูลที่ใช้ร่วมกัน
ในกรณีที่มหาวิทยาลัย จะนำข้อมูลส่วนบุคคลที่ผู้ใช้บริการให้ข้อมูลไว้ไปใช้เพื่อวัตถุประสงค์อย่างอื่น หรือที่นอกเหนือจากที่ระบุไว้ โดยจะขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลก่อน และให้สิทธิผู้ใช้บริการเลือกสิทธิห้ามไม่ให้ใช้ข้อมูลส่วนบุคคลนอกเหนือวัตถุประสงค์ที่ได้ระบุไว้ในครั้งแรก สำหรับกรณีที่ผู้ใช้บริการได้ให้ความยินยอมให้นำข้อมูลส่วนบุคคลไปใช้เพื่อวัตถุประสงค์อย่างอื่นหรือที่นอกเหนือจากที่ระบุไว้แล้ว หากประสงค์จะยกเลิกการให้ความยินยอมดังกล่าวก็สามารถแจ้งการยกเลิกได้โดยวิธีการส่งจดหมายอิเล็กทรอนิกส์มาที่ info@rmuti.ac.th หรือมาติดต่อด้วยตนเอง ณ มหาวิทยาลัย
ในกรณีที่ผู้ใช้บริการได้ให้ข้อมูลต่าง ๆ กับมหาวิทยาลัยผ่านทางเว็บไซต์ของมหาวิทยาลัย และประสงค์จะแก้ไขหรือปรับปรุงข้อมูลดังกล่าวให้ถูกต้อง หรือให้เป็นปัจจุบัน สามารถติดต่อมหาวิทยาลัยได้ โดยช่องทางเว็บไซต์ของมหาวิทยาลัย https://www.rmuti.ac.th หรือมาติดต่อด้วยตนเอง ณ มหาวิทยาลัย ทั้งนี้ ให้หน่วยงานเจ้าของข้อมูลเป็นผู้แก้ไขหรือปรับปรุงข้อมูล ให้ถูกต้องหรือให้เป็นปัจจุบัน
มหาวิทยาลัยมีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลเป็นไปตามแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของมหาวิทยาลัย ที่ทางวิทยาลัยกำหนด และสอดคล้องตามมาตรฐานความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001 โดยมีการปฏิบัติ ดังนี้
- เสริมสร้างความสำนึกในการรับผิดชอบด้านความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้แก่บุคลากร และผู้ที่เกี่ยวข้อง ด้วยการเผยแพร่ข้อมูลข่าวสารให้ความรู้ จัดสัมมนา หรือฝึกอบรมในเรื่องดังกล่าวให้แก่บุคลากรในองค์กรเป็นประจำ โดยเป็นไปตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ มหาวิทยาลัย
- จำกัดการเข้าถึงข้อมูลส่วนบุคคลไว้ให้เฉพาะบุคลากรที่มีความจำเป็นต้องใช้ข้อมูลในการปฏิบัติงานในหน้าที่ในแต่ละลำดับชั้น และจัดให้มีการบันทึกและทำสำรองข้อมูลของการเข้าถึง หรือการเข้าใช้งานในระยะเวลาที่เหมาะสมหรือตามระยะเวลาที่กฎหมายกำหนด นอกจากนี้ ในบางกรณีอาจจะใช้การเข้ารหัส SSL เพื่อรักษาความมั่นคงปลอดภัยในการส่งผ่านข้อมูล โดยเป็นไปตามประกาศมหาวิทยาลัยเรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
- จัดให้มีการตรวจสอบและประเมินความเสี่ยงด้านความมั่นคงปลอดภัยของเว็บไซต์หรือระบบสารสนเทศทั้งหมดอย่างน้อยปีละ ๑ ครั้ง โดยเป็นไปตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของมหาวิทยาลัย
- กำหนดให้มีการใช้มาตรการที่เหมาะสมและเป็นการเฉพาะสำหรับการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่มีความสำคัญยิ่งหรือเป็นข้อมูลที่อาจกระทบต่อความรู้สึก ความเชื่อ ความสงบเรียบร้อย และศีลธรรมอันดีของประชาชนซึ่งเป็นผู้ใช้บริการของมหาวิทยาลัย หรืออาจก่อให้เกิดความเสียหาย หรือมีผลกระทบต่อสิทธิเสรีภาพของผู้เป็นเจ้าของข้อมูลอย่างชัดเจน เช่น หมายเลขประจำตัวประชาชน หมายเลขโทรศัพท์ เป็นต้น โดยเป็นไปตามประกาศมหาวิทยาลัยเรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
- เว็บไซต์ของมหาวิทยาลัย เป็นเว็บไซต์สำหรับบุคคลทั่วไป ไม่ได้ออกแบบหรือมีเจตนาเพื่อเก็บข้อมูลส่วนบุคคลจากผู้เยาว์ จึงขอให้พ่อแม่ผู้ปกครองดูแลผู้เยาว์ของท่านขณะเข้าเว็บไซต์
ในกรณีที่ผู้ใช้บริการมีข้อสงสัย ข้อเสนอแนะ หรือข้อติชมใด ๆ เกี่ยวกับนโยบาย และแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย ผู้ใช้บริการสามารถติดต่อได้ที่มหาวิทยาลัย
ที่อยู่ : 744 ถนนสุรนารายณ์ ตำบลในเมือง อำเภอเมืองนครราชสีมา จังหวัดนครราชสีมา
โทรศัพท์ : 044-233-000
โทรสาร : 044-233-052
Email : info@rmuti.ac.th
เว็บไซต์ : https://www.rmuti.ac.th
ให้มหาวิทยาลัยดำเนินการเผยแพร่ประกาศนี้ให้ผู้ปฏิบัติงานที่เกี่ยวข้องทั้งหมดได้รับทราบโดยทั่วกัน พร้อมทั้งสร้างความรู้ ความเข้าใจ และจัดอบรมแก่ผู้ปฏิบัติงานที่เกี่ยวข้องเพื่อให้เกิดความตระหนัก ความเข้าใจในการดำเนินการต่าง ๆ เพื่อคุ้มครองและป้องกันการละเมิดข้อมูลส่วนบุคคล
ให้สำนักวิทยบริการและเทคโนโลยีสารสนเทศ เป็นผู้รับผิดชอบดำเนินการให้เป็นไปตามประกาศนี้ และให้สำนักวิทยบริการและเทคโนโลยีสารสนเทศ และสำนักงานกฎหมายร่วมกันทบทวนประกาศนี้ให้สอดคล้องกับสภาวการณ์ในปัจจุบัน อย่างน้อยปีละ 1 ครั้ง
เอกสารที่เกี่ยวข้อง