PDPA
มหาวิทยาลัยเห็นความสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA (Personal Data Protection Act) ซึ่งจะให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล หมายเลขบัตรประชาชน รวมไปถึงข้อมูลที่มีความอ่อนไหว เช่น เชื้อชาติ ศาสนา พฤติกรรมทางเพศ ข้อมูลทางสุขภาพ ฯลฯ ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษหนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้ นักศึกษา จึงจำเป็นต้องรู้เท่าทันกฎหมายฉบับนี้ เพื่อให้รอดพ้นจากการกระทำที่รู้เท่าไม่ถึงการณ์ ซึ่งอาจได้รับผลกระทบตามมาหากขาดความรู้เกี่ยวกับ พ.ร.บ.ฉบับนี้ สำนักส่งเสริมวิชาการและงานทะเบียน จึงได้สรุปข้อมูลที่นักศึกษาควรรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลคือ ?
1. ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะเป็นทางตรงหรือทางอ้อม เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล หมายเลขบัตรประชาชน
2. ข้อมูลที่มีความอ่อนไหว เช่น เชื้อชาติ เผ่าพันธุ์ ศาสนา ลัทธิ ความเชื่อ พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลทางสุขภาพ พันธุกรรม และชีวภาพ ฯลฯ
บุคคลสำคัญตาม PDPA
1. เจ้าของข้อมูลส่วนบุคคล (data Subject) คือ บุคคลที่ข้อมูลส่วนบุคคลสามารถระบุถึงตัวบุคคลนั้นได้ ซึ่งเป็นบุคคลธรรมดา ไม่รวมผู้ถึงแก่กรรมและนิติบุคคล
2. ผู้ควบคุมข้อมูลส่วนบุคคล (data Controller) คือ บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล เช่น กำหนดวัตถุประสงค์ วิธีการประมวลผล วิธีใช้ประโยชน์จากข้อมูลส่วนบุคคล
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (data processor) คือ บุคคลหรือนิติบุคคลที่ประมวลผลข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งไม่ใช่พนักงานหรือส่วนหนึ่งของผู้ควบคุมข้อมูลส่วนบุคคล
4. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (data protection officer : DPO) คือ บุคคลที่ได้รับมอบหมายเพื่อทำหน้าที่ให้คำแนะนำ ประสานงาน และตรวจสอบการคุ้มครองข้อมูลส่วนบุคลของหน่วยงานให้เป็นไปตามกฎหมาย
มาตรการในการรักษาความปลอดภัย
1. ควบคุมการเข้าถึงข้อมูลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคล
2. กำหนดและจำกัดสิทธิการเข้าถึงข้อมูลส่วนบุคคล
3. กำหนดหน้าที่และความรับผิดชอบผู้ใช้งานเพื่อป้องกันการเข้าถึงข้อมูลโดยไม่ชอบด้วยกฎหมาย
4. กำหนดกระบวนการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
5. ตรวจสอบการเข้าถึงข้อมูลส่วนบุคคลย้อนหลัง มีระบบป้องกันการโจมตีจากบุคคลภายนอก
หน้าที่ของสำนักส่งเสริมวิชาการและงานทะเบียน ในการคุ้มครองข้อมูลส่วนบุคคล
1. หน้าที่ในการแจ้ง สำนักส่งเสริมวิชาการฯ ต้องแจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล เช่น วัตถุประสงค์ ข้อมูลที่เก็บรวบรวม สิทธิของเจ้าของข้อมูลส่วนบุคคล ฯลฯ
2. หน้าที่จัดทำบันทึกรายการกิจกรรมประมวลผล สำนักส่งเสริมวิชาการฯ จัดทำและเก็บรักษาบันทึกรายการกิจกรรมประมวลผลข้อมูลของแต่ละประเภทกิจกรรมไว้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถตรวจสอบรายละเอียดการประมวลผลข้อมูลส่วนบุคคลได้
3. หน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัย สำนักส่งเสริมวิชาการฯ มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลของนักศึกษา เพื่อป้องกันการเข้าถึง การใช้ การเปลี่ยนแปลงแก้ไข และการเปิดเผยข้อมูลโดยไม่ชอบด้วยกฎหมาย รวมถึงป้องกันการสูญหายของข้อมูลส่วนบุคคล และได้สร้างความตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ให้แก่นักศึกษาทราบเพื่อให้ปฏิบัติตามอย่างเคร่งครัด
4. หน้าที่จัดให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธิ สำนักส่งเสริมวิชาการฯ มีช่องทางการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลสามารถใช้สิทธิตามที่กฎหมายกำหนดได้
