ประกาศมหาวิทยาลัยกรุงเทพ
ที่ 9/2564
เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล มหาวิทยาลัยกรุงเทพ พ.ศ.2564
............................................................................
ด้วยมหาวิทยาลัยมีหน้าที่เก็บรวบรวม ใช้ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลของบุคลากร นักศึกษา หรือบุคคลที่เกี่ยวข้องอื่น ๆ เพื่อวัตถุประสงค์ในการดำเนินการด้านต่างๆ ของมหาวิทยาลัย และมหาวิทยาลัยตระหนักถึงหน้าที่ความรับผิดชอบของมหาวิทยาลัยภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล ฉะนั้น อาศัยอำนาจตามความในมาตรา 43 (1) แห่งพระราชบัญญัติสถาบันอุดมศึกษาเอกชน พ.ศ.2546 อธิการบดี จึงออกประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคล มหาวิทยาลัยกรุงเทพ พ.ศ.2564 ฉบับนี้ขึ้น เพื่อชี้แจงรายละเอียดและวิธีการดำเนินการของมหาวิทยาลัยเกี่ยวกับข้อมูลส่วนบุคคล และให้มีผลใช้บังคับกับการเก็บรวบรวม ใช้ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลที่ดำเนินการโดยมหาวิทยาลัย ดังต่อไปนี้
ข้อ 1. ประกาศฉบับนี้ ให้ใช้บังคับนับตั้งแต่วันที่ประกาศเป็นต้นไป
ข้อ 2. ในประกาศนี้
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลใดๆ ที่เกี่ยวกับบุคคลที่ทำให้สามารถระบุตัวตนบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม รวมทั้งข้อมูลทุกประเภทที่สามารถบ่งชี้ตัวตน ซึ่งรวมถึงแต่ไม่จำกัดเพียง ชื่อ หมายเลขประจำตัวบัตรประชาชน ข้อมูลสถานที่อยู่ ข้อมูลออนไลน์ ข้อมูลเอกลักษณ์ทางกายภาพทางจิตใจ ทางสังคม เศรษฐกิจ วัฒนธรรม ที่สามารถระบุตัวตนได้
“เจ้าของข้อมูลส่วนบุคคล” หมายความว่า บุคคลที่ข้อมูลส่วนบุคคลระบุไปถึง
“กฎหมายคุ้มครองข้อมูลส่วนบุคคล” หมายความว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือฉบับอื่นที่อาจมีการแก้ไขในภายหลัง รวมถึงพระราชกฤษฎีกา กฎกระทรวง ประกาศ คำสั่ง และกฎหมายอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
ข้อ 3. นโยบายการดำเนินการของมหาวิทยาลัย
ในการเก็บรวบรวม ใช้ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลของบุคลากร นักศึกษา หรือบุคคลที่เกี่ยวข้องอื่นๆ มหาวิทยาลัยในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ดังนี้
(1) เก็บรวบรวม ใช้ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลอย่างถูกต้อง และภายใต้ขอบเขตที่กฎหมายกำหนดอย่างถูกต้องตามกฎหมาย
(2) สนับสนุนให้มีการคุ้มครองข้อมูลส่วนบุคคล
(3) จัดให้มีระบบรักษาความปลอดภัยและการเก็บรักษาข้อมูลส่วนบุคคลที่คุ้มครองและให้ความปลอดภัยกับความลับของข้อมูลส่วนบุคคลตามมาตรฐานที่กฎหมายกำหนด
(4) จัดทำระบบและเก็บรวบรวม ใช้ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลโดยคำนึงถึงความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล
ข้อ 4. มหาวิทยาลัยจะดำเนินการเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลภายใต้หลัก 6 ประการดังต่อไปนี้
(1) มหาวิทยาลัยจะเก็บรวบรวม ใช้ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย เป็นธรรม และโปร่งใส
(2) มหาวิทยาลัยจะเก็บรวบรวม ใช้ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ได้เก็บรวบรวมมาหรือตามอำนาจหน้าที่ตามกฎหมายหรือตามขอบเขตหน้าที่การงานตามที่ระบุไว้หรือเพื่อประโยชน์ในการดำเนินงานหรือกิจการของมหาวิทยาลัยเท่านั้น
(3) มหาวิทยาลัยจะเก็บรวบรวม ใช้ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลเฉพาะเท่าที่จำเป็นที่เกี่ยวข้องกับวัตถุประสงค์ที่กำหนดไว้เท่านั้น เว้นแต่กฎหมายระบุให้ดำเนินการเพิ่มเติม หรือเก็บรวบรวม ใช้ ประมวลผล หรือเปิดเผยเพื่อป้องกันผลประโยชน์ได้เสียโดยชอบธรรมของมหาวิทยาลัย
(4) มหาวิทยาลัยจะดำเนินการตรวจสอบให้ข้อมูลส่วนบุคคลมีความถูกต้อง ทันสมัย และสามารถแก้ไขข้อผิดพลาดได้โดยเร็ว
(5) มหาวิทยาลัยจะเก็บข้อมูลส่วนบุคคลไว้ไม่เกินระยะเวลาเท่าที่จำเป็นหรือระยะเวลาตามกฎหมายสำหรับวัตถุประสงค์ที่มหาวิทยาลัยกำหนด เว้นแต่กรณีที่กำหนดให้จัดเก็บเพิ่มเติมหรือเพื่อป้องกันผลประโยชน์ได้เสียโดยชอบธรรมของมหาวิทยาลัย
(6) มหาวิทยาลัยจะใช้มาตรการรักษาความมั่นคงปลอดภัยที่ได้มาตรฐานสำหรับข้อมูลส่วนบุคคลที่มหาวิทยาลัยจัดเก็บ เพื่อป้องกันไม่ให้ข้อมูลส่วนบุคคลที่อยู่ในความควบคุมของมหาวิทยาลัยถูกเข้าถึงโดย ไม่ชอบ สูญหาย หรือถูกทำลายโดยบุคคลภายนอกหรือถูกใช้โดยไม่ชอบด้วยกฎหมาย
ข้อ 5. ข้อมูลส่วนบุคคลที่มหาวิทยาลัยจำเป็นต้องเก็บรวบรวม ใช้ เปิดเผย ประกอบด้วย
(1) ข้อมูลส่วนบุคคลประเภททั่วไป (normal personal data) ซึ่งรวมถึงแต่ไม่จำกัดเพียง ชื่อ นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล เป็นต้น
(2) ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (sensitive personal data) ตามมาตรา 26 ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งรวมถึงแต่ไม่จำกัดเพียง เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดที่มีลักษณะเดียวกัน โดยมหาวิทยาลัยจะเข้าถึง เก็บรวบรวม ใช้ เปิดเผย หรือควบคุมข้อมูลส่วนบุคคลด้วยความระมัดระวังตามขอบเขตที่กฎหมายกำหนด มหาวิทยาลัยจะแจ้งข้อมูลรายละเอียดการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคลประเภทพิเศษดังกล่าวก่อนหรือขณะที่มหาวิทยาลัยเก็บรวบรวมข้อมูลจากเจ้าของข้อมูลภายใต้เงื่อนไขหลักเกณฑ์ ที่กฎหมายกำหนด
(3) ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการกระทำความผิดกฎหมาย ในกรณีที่มีการกระทำความผิดตามกฎหมายเกิดขึ้น ไม่ว่าจะเป็นความผิดในทางแพ่งหรือทางอาญาหรือกฎหมายอื่นใด มหาวิทยาลัยมีสิทธิเก็บรวบรวมหรือใช้ข้อมูลการกระทำความผิดกฎหมายได้ โดยมหาวิทยาลัยจะเข้าถึง เก็บรวบรวม ใช้ เปิดเผย หรือควบคุมข้อมูลส่วนบุคคลด้วยความระมัดระวังตามขอบเขตที่กฎหมายกำหนด
(4) เพื่อปกป้องผลประโยชน์ได้เสียของมหาวิทยาลัย มหาวิทยาลัยได้ติดตั้งกล้องวงจรปิดเพื่อความปลอดภัยภายในบริเวณมหาวิทยาลัย มหาวิทยาลัยหรือผู้ให้บริการซึ่งเป็นบุคคลภายนอกที่มหาวิทยาลัยจัดหา (ว่าจ้าง) จะดำเนินการเก็บรวบรวม ใช้ ประมวลผลข้อมูลจากภาพนิ่งหรือภาพเคลื่อนไหวและข้อมูลส่วนบุคคลของผู้ที่ใช้และเข้ามาในบริเวณพื้นที่ของมหาวิทยาลัย เพื่อความปลอดภัยของมหาวิทยาลัยและบุคคลทั่วไป
ข้อ 6. มหาวิทยาลัยอาจเก็บรวบรวม ใช้ เปิดเผย และประมวลผลข้อมูลส่วนบุคคลที่มหาวิทยาลัยรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรง หรือเก็บรวบรวมข้อมูลส่วนบุคคลจากบุคคลภายนอก
ในบางกรณี มหาวิทยาลัยอาจขอให้เจ้าของข้อมูลส่วนบุคคลให้ข้อมูลบางประเภทแก่มหาวิทยาลัยเพิ่มเติมเพื่อให้มหาวิทยาลัยสามารถปฏิบัติตามสัญญาหรือดำเนินการใดๆ ตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ ทั้งนี้ การไม่ให้ข้อมูลส่วนบุคคลแก่มหาวิทยาลัยอาจเป็นผลให้มหาวิทยาลัยยุติสัญญาที่มีระหว่างกัน หรือมหาวิทยาลัยไม่สามารถดำเนินการใดๆ ตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอได้
ข้อ 7. มหาวิทยาลัยจะไม่เก็บรวบรวม ใช้ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคล โดยไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่เป็นการกระทำตามกฎหมาย เพื่อปฏิบัติตามสัญญา เพื่อประโยชน์สาธารณะ เพื่อประโยชน์ในการดำเนินงานหรือกิจการของมหาวิทยาลัย หรือมีสิทธิโดยชอบด้วยกฎหมายให้สามารถดำเนินการได้
ข้อ 8. มหาวิทยาลัยอาจประมวลผลข้อมูลส่วนบุคคล ในกรณีที่กฎหมายให้อำนาจมหาวิทยาลัยให้สามารถกระทำได้ ทั้งนี้ ประเภทและขอบเขตของการประมวลผลข้อมูลส่วนบุคคลของมหาวิทยาลัยจะเป็นไปเท่าที่จำเป็นตามที่กฎหมายกำหนด เพื่อวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัย หรือเพื่อประโยชน์ในการดำเนินงานหรือกิจการของมหาวิทยาลัย ที่กำหนดไว้เท่านั้น
ข้อ 9. มหาวิทยาลัยจะไม่เก็บรวบรวม ใช้ ประมวลผล หรือเปิดเผยข้อมูลที่มีความอ่อนไหว (sensitive data) เช่น ข้อมูลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ โดยไม่ได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่มหาวิทยาลัยมีฐานทางกฎหมายรองรับให้สามารถดำเนินการได้ ตามที่กำหนดในกฎหมายคุ้มครองข้อมูลส่วนบุคคล เช่น
(1) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคลซึ่งเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ ไม่ว่าด้วยเหตุใดก็ตาม
(2) เป็นข้อมูลที่เปิดเผยต่อสาธารณะด้วยความยินยอมโดยชัดแจ้งของเจ้าของข้อมูลส่วนบุคคล
(3) เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับเวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์
(4) เป็นการจำเป็นในการปฏิบัติตามกฎหมายเพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับประโยชน์สาธารณะ การศึกษาวิจัยทางวิทยาศาสตร์ ประวัติศาสตร์ หรือสถิติ หรือประโยชน์สาธารณะอื่น มหาวิทยาลัยจะแจ้งข้อมูลรายละเอียดการเก็บรวบรวม ใช้ เปิดเผย ข้อมูลส่วนบุคคลที่มีความอ่อนไหวดังกล่าวต่อเจ้าของข้อมูลส่วนบุคคลก่อนหรือขณะที่มหาวิทยาลัยเก็บรวบรวมข้อมูลจากเจ้าของข้อมูลส่วนบุคคลภายใต้เงื่อนไขหลักเกณฑ์ที่กฎหมายกำหนด
ข้อ 10. วัตถุประสงค์ในการเก็บรวบรวม ใช้ ประมวลผลข้อมูลส่วนบุคคล
มหาวิทยาลัยเก็บรวบรวมข้อมูล ใช้ ประมวลผลเพื่อวัตถุประสงค์ในการดำเนินงานหรือกิจการของมหาวิทยาลัย การศึกษา การวิจัย หรือการจัดทำสถิติ เพื่อปรับปรุงคุณภาพของการให้บริการของมหาวิทยาลัยให้มีประสิทธิภาพมากยิ่งขึ้น เพื่อวัตถุประสงค์ในการจัดเก็บข้อมูล เพื่อปฏิบัติตามกฎหมาย เพื่อประโยชน์สาธารณะ และเพื่อประโยชน์อันชอบด้วยกฎหมายของมหาวิทยาลัย
ข้อ 11. ความยินยอมของเจ้าของข้อมูลส่วนบุคคล
การให้ความยินยอมของเจ้าของข้อมูลส่วนบุคคลต้องกระทำโดยสมัครใจ โดยทำในรูปแบบที่เป็นลายลักษณ์อักษรไม่ว่าโดยกระดาษหรือโดยทางอิเล็กทรอนิกส์ (ผ่านระบบคอมพิวเตอร์ หรือระบบมือถือ หรือวิธีติดต่อสื่อสารทางสังคมโซเชียลมีเดีย หรือระบบการสื่อสารโทรคมนาคม เป็นต้น) ทั้งนี้ เจ้าของข้อมูลส่วนบุคคลอาจให้ความยินยอมโดยวาจาได้เป็นบางกรณี และมหาวิทยาลัยจะทำการบันทึกการให้ความยินยอมดังกล่าวทุกครั้ง
เจ้าของข้อมูลส่วนบุคคลที่ไม่ประสงค์ให้มหาวิทยาลัยเก็บรวบรวม ใช้ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลอีกต่อไป สามารถเพิกถอนความยินยอมได้โดยการทำคำร้องแจ้งมายังเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย
การเพิกถอนความยินยอมดังกล่าว จะต้องอยู่ภายใต้เงื่อนไข ข้อกำหนด ประกาศ หรือระเบียบที่กำหนดในกฎหมายคุ้มครองข้อมูลส่วนบุคคล รวมถึงนโยบายคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย และหลักเกณฑ์อื่นๆ ที่มหาวิทยาลัยกำหนด
ข้อ 12. บุคคลที่มหาวิทยาลัยอาจเปิดเผยข้อมูลส่วนบุคคล
มหาวิทยาลัยตระหนักถึงความสำคัญในการทำให้มั่นใจถึงการป้องกันข้อมูลส่วนบุคคลที่เพียงพอ มหาวิทยาลัยจะจำกัดการเข้าถึงข้อมูลส่วนบุคคลให้แก่บุคคลที่มีความจำเป็นที่จะต้องเข้าถึงข้อมูลดังกล่าวเพื่อปฏิบัติหน้าที่ที่มีอยู่ พนักงาน บุคลากรของมหาวิทยาลัย รวมทั้งบุคคลภายนอกที่มีสัญญาให้บริการแก่มหาวิทยาลัยเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลข้างต้นและคู่สัญญาอื่นๆ ที่กระทำในนามมหาวิทยาลัยจะเป็นผู้ได้รับและประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล มหาวิทยาลัยจะเปิดเผยและแบ่งปันข้อมูลกับผู้ให้บริการแก่มหาวิทยาลัยเหล่านั้นเท่าที่จำเป็น เพื่อประมวลผลข้อมูลส่วนบุคคล เพื่อการให้บริการ และเพื่อปกป้องส่วนได้เสียของมหาวิทยาลัยเท่านั้น และตกลงที่จะป้องกันข้อมูลส่วนบุคคลจาก การใช้ การเข้าถึงหรือการเปิดเผยโดยไม่ได้รับอนุญาต
มหาวิทยาลัยอาจให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลแก่มหาวิทยาลัยอื่นใดหรือหน่วยงานใดๆ เพื่อดำเนินงานหรือกิจการของมหาวิทยาลัย หรือการดำเนินกิจกรรมร่วมกัน การเดินทาง การจัดงานร่วมกัน การเชื่อมโยง/เกี่ยวข้องทางวิชาชีพ (profession affiliations) และการวิจัย มหาวิทยาลัยอาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้กับหน่วยงานราชการที่ควบคุมในเรื่อง การตรวจคนเข้าเมือง ภาษี ความมั่นคงของชาติและอาชญากรรม หรือเหตุอื่นใดตามที่กฎหมายกำหนด
นอกจากนี้ เจ้าของข้อมูลส่วนบุคคลตกลงยินยอมให้มหาวิทยาลัยเปิดเผยหรือโอนข้อมูลส่วนบุคคลให้แก่หน่วยงานในเครือ หรือพันธมิตรของมหาวิทยาลัย เพื่อวัตถุประสงค์ในการดำเนินงานหรือกิจการของมหาวิทยาลัย หรือเพื่อการปฏิบัติตามนโยบาย เพื่อปกป้องประโยชน์ได้เสียหรือสิทธิโดยชอบด้วยกฎหมายของมหาวิทยาลัย หรือประกาศที่มหาวิทยาลัยจะกำหนดเป็นกรณีๆ ไป
ข้อ 13. เจ้าของข้อมูลส่วนบุคคลมีสิทธิ ดังต่อไปนี้
(1) สิทธิในการเข้าถึงข้อมูลส่วนบุคคลที่มหาวิทยาลัยได้เก็บรวบรวม รวมถึงมีสิทธิที่จะขอรับสำเนาข้อมูลดังกล่าวจากมหาวิทยาลัย
(2) สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง หากเห็นว่าข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของมหาวิทยาลัยไม่ถูกต้อง
(3) สิทธิที่จะขอให้มหาวิทยาลัยลบ หรือทำลายข้อมูลส่วนบุคคลที่อยู่ในความครอบครองของมหาวิทยาลัยได้ เว้นแต่การดำเนินการดังกล่าวขัดต่อกฎหมาย หรืออาจก่อให้เกิดผลกระทบและความเสียหายต่อมหาวิทยาลัย
(4) สิทธิที่จะขอให้มหาวิทยาลัยระงับการใช้ข้อมูลส่วนบุคคลได้ เว้นแต่การดำเนินการดังกล่าว ขัดต่อกฎหมาย หรืออาจก่อให้เกิดผลกระทบและความเสียหายต่อมหาวิทยาลัย
(5) สิทธิที่จะขอรับสำเนาข้อมูลส่วนบุคคลในรูปแบบอิเล็กทรอนิกส์ในกรณีที่มหาวิทยาลัยได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมถึงขอให้มหาวิทยาลัยส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปให้บุคคลภายนอก เว้นแต่การดำเนินการดังกล่าวขัดต่อกฎหมาย หรืออาจก่อให้เกิดผลกระทบและความเสียหายต่อมหาวิทยาลัย
(6) สิทธิที่จะคัดค้านการใช้ รวบรวม จัดเก็บและเปิดเผยข้อมูลส่วนบุคคลที่เป็นการใช้ รวบรวม จัดเก็บและเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่น เว้นแต่การดำเนินการดังกล่าวขัดต่อกฎหมาย หรืออาจก่อให้เกิดผลกระทบและความเสียหายต่อมหาวิทยาลัย
(7) สิทธิในการขอให้ระงับการประมวลผลโดยระบบอัตโนมัติหรือ Artificial Intelligence (AI)
ทั้งนี้ การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลจะต้องอยู่ภายใต้ข้อกำหนด ประกาศ ระเบียบที่มหาวิทยาลัยกำหนด ซึ่งจะเป็นไปตามหลักเกณฑ์ของกฎหมายคุ้มครองข้อมูลส่วนบุคคล รวมถึงนโยบายคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย และหลักเกณฑ์อื่นๆ ที่มหาวิทยาลัยกำหนด
ข้อ 14. กระบวนการในการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย แยกเป็น 3 ส่วน ประกอบ ด้วย
(1) การบริหารจัดการผ่านบุคลากรของมหาวิทยาลัย (people)
(2) การบริหารจัดการผ่านระบบการจัดการข้อมูลส่วนบุคคล (process)
(3) การใช้เทคโนโลยีคุ้มครองข้อมูลส่วนบุคคล (technology)
มหาวิทยาลัยจะจัดให้มีการประเมินผลกระทบความเป็นส่วนตัวสำหรับการดำเนินโครงการต่างๆ ของมหาวิทยาลัยที่เกี่ยวข้องกับข้อมูลส่วนบุคคล เพื่อระบุความเสี่ยงต่อความเป็นส่วนตัวและวางแผนที่เหมาะสมเพื่อบรรเทาความเสี่ยงดังกล่าว
ข้อ 15. การรักษาข้อมูลส่วนบุคคลเป็นความลับ
ข้อมูลส่วนบุคคลถือเป็นข้อมูลความลับ ห้ามไม่ให้ผู้ใดนำข้อมูลส่วนบุคคลดังกล่าวไปใช้โดยไม่ได้รับอนุญาต ทั้งนี้ การใช้ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลใดๆ โดยผู้ที่ไม่มีสิทธิดำเนินการตามหน้าที่โดยชอบถือว่าเป็นการดำเนินการโดยมิชอบ
มหาวิทยาลัยจะจำกัดการเข้าถึงข้อมูลส่วนบุคคลให้แก่บุคคลที่มีความจำเป็นที่จะต้องเข้าถึงข้อมูลส่วนบุคคลดังกล่าวเพื่อปฏิบัติหน้าที่ที่มีอยู่ พนักงาน บุคลากรของมหาวิทยาลัย รวมทั้งบุคคลภายนอกที่มีสัญญาให้บริการแก่มหาวิทยาลัยเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลข้างต้นและคู่สัญญาอื่นๆ ที่กระทำ ในนามมหาวิทยาลัยจะเป็นผู้ได้รับและประมวลผลข้อมูลส่วนบุคคล มหาวิทยาลัยจะเปิดเผยและแบ่งปันข้อมูลส่วนบุคคลกับผู้ให้บริการแก่มหาวิทยาลัยเหล่านั้นเท่าที่จำเป็นเพื่อประมวลผลข้อมูลส่วนบุคคลเพื่อการให้บริการ เพื่อดำเนินงานหรือกิจการของมหาวิทยาลัย และเพื่อปกป้องส่วนได้เสียของมหาวิทยาลัยเท่านั้น และตกลงที่จะป้องกันข้อมูลส่วนบุคคลจากการใช้ การเข้าถึงหรือการเปิดเผยโดยไม่ได้รับอนุญาต
ข้อ 16. เจ้าของข้อมูลส่วนบุคคลตกลงให้มหาวิทยาลัยส่งข้อมูลส่วนบุคคลให้แก่บุคคลอื่นหรือ หน่วยงานที่อยู่ต่างประเทศตามวัตถุประสงค์ที่ระบุในข้อ 10 ของประกาศฉบับนี้ ไม่ว่ากฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเทศนั้นอาจถึงเกณฑ์หรือไม่ถึงเกณฑ์มาตรฐานของกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย ทั้งนี้ มหาวิทยาลัยจะปฏิบัติตามขั้นตอนที่เหมาะสมในการคุ้มครองรักษาความปลอดภัยของข้อมูลส่วนบุคคล ในระดับเดียวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย
ข้อ 17. มหาวิทยาลัยจะเก็บรวบรวมข้อมูลส่วนบุคคล ภายใต้กรอบระยะเวลาตามความจำเป็นในการเก็บรวบรวมข้อมูลส่วนบุคคลหรือตามกฎหมายกำหนด
ข้อ 18. มหาวิทยาลัยมีนโยบายและโปรแกรมรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศที่ได้มาตรฐานสากล เพื่อรักษาความลับและความปลอดภัยของข้อมูลส่วนบุคคล และป้องกันการสูญหาย ทำลาย เข้าถึง เปิดเผย หรือประมวลผลข้อมูลส่วนบุคคลโดยมิชอบ
ข้อ 19. มหาวิทยาลัยได้ดำเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล เพื่อตรวจสอบการดำเนินการของมหาวิทยาลัยให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
หากมีข้อสงสัยหรือความกังวล หรือต้องการสอบถาม ขอข้อมูล หรือร้องเรียนใดๆ ที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ ประมวลผล หรือเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัย สามารถติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัยได้ทันทีทางช่องทางการติดต่อดังต่อไปนี้:
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล มหาวิทยาลัยกรุงเทพ
ที่อยู่ 9/1 หมู่ 5 ถนนพหลโยธิน ตำบลคลองหนึ่ง อำเภอคลองหลวง จังหวัดปทุมธานี 12120
โทรศัพท์ 02 407 3888
อีเมล pdpc@bu.ac.th
ประกาศ ณ วันที่ 19 มีนาคม 2564
(อาจารย์เพชร โอสถานุเคราะห์)
อธิการบดี
