นโยบายคุ้มครองข้อมูลส่วนบุคคล

มหาวิทยาลัยเชียงใหม่ หรือ ส่วนงานของมหาวิทยาลัยเชียงใหม่ (ต่อไปนี้จะเรียกรวมว่า “มหาวิทยาลัยเชียงใหม่”) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล จึงได้จัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) ขึ้น โดยนโยบายนี้ได้อธิบายถึงวิธีการที่มหาวิทยาลัยเชียงใหม่ปฏิบัติต่อข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม การจัดเก็บรักษา การใช้ การเปิดเผย รวมถึงสิทธิต่าง ๆ ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น เพื่อให้เจ้าของข้อมูลได้รับทราบถึงนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัยเชียงใหม่ มหาวิทยาลัยเชียงใหม่จึงประกาศนโยบายฯ ดังต่อไปนี้

นโยบายการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัยเชียงใหม่นี้อยู่ภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมหาวิทยาลัยเชียงใหม่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการรวบรวมข้อมูล ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ซึ่งตามกฎหมายเรียกว่า “ผู้ควบคุมข้อมูลส่วนบุคคล”

1. คำนิยาม

“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลผู้ถึงแก่กรรมโดยเฉพาะ

“ข้อมูลส่วนบุคคลอ่อนไหว” หมายถึง ข้อมูลที่เป็นเรื่องส่วนบุคคลโดยแท้ของบุคคล แต่มีความละเอียดอ่อนและอาจสุ่มเสี่ยงในการเลือกปฏิบัติอย่างไม่เป็นธรรม เช่น เชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ประกาศกำหนด

2. วัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

มหาวิทยาลัยเชียงใหม่จะทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล เพื่อประโยชน์ในการดำเนินงานของมหาวิทยาลัยเชียงใหม่ เช่น การประเมินและคัดกรองสุขภาพจิตเบื้องต้น การดำเนินกิจกรรมเพื่อส่งเสริมป้องกันปัญหาสุขภาพจิตของนักศึกษาและบุคลากรมหาวิทยาลัยเชียงใหม่ การติดต่อประสานงานต่างๆ เพื่อประโยชน์ในการพัฒนาระบบและกลไกการดูแลนักศึกษาและบุคลากรด้านสุขภาพจิต รวมทั้งการติดตามดูแลช่วยเหลือผู้ที่เสี่ยงมีปัญหาสุขภาพจิต หรือเพื่อปรับปรุงคุณภาพการทำงานให้มีประสิทธิภาพมากยิ่งขึ้น เช่น การจัดทำฐานข้อมูล วิเคราะห์และพัฒนากระบวนการดำเนินงานของมหาวิทยาลัยเชียงใหม่ และเพื่อวัตถุประสงค์อื่นใดที่ไม่ต้องห้ามตามกฎหมาย และ/หรือเพื่อปฏิบัติตามกฎหมายหรือกฎระเบียบที่เกี่ยวข้องต่อการดำเนินงานของมหาวิทยาลัยเชียงใหม่ โดยมหาวิทยาลัยเชียงใหม่จะจัดเก็บและใช้ข้อมูลดังกล่าวตามระยะเวลาเท่าที่จำเป็นตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลหรือตามที่กฎหมายกำหนดไว้เท่านั้น

หากภายหลังมีการเปลี่ยนแปลงวัตถุประสงค์ มหาวิทยาลัยจะแจ้งให้เจ้าของข้อมูลทราบ เพื่อขอความยินยอมและจัดให้มีบันทึกแก้ไขเพิ่มเติมไว้เป็นหลักฐาน

ทั้งนี้ มหาวิทยาลัยเชียงใหม่จะไม่กระทำการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เพื่อประโยชน์อย่างอื่นที่นอกเหนือจากวัตถุประสงค์ที่ได้แจ้งไว้กับเจ้าของข้อมูล เว้นแต่

(1) ได้แจ้งวัตถุประสงค์ใหม่ให้แก่เจ้าของข้อมูลทราบ และได้รับความยินยอมจากเจ้าของข้อมูล

(2) เป็นการปฏิบัติตามพระราชบัญญัติข้อมูลส่วนบุคคล หรือกฎหมายอื่นที่เกี่ยวข้อง

3. การเก็บรวบรวมข้อมูลส่วนบุคคล

มหาวิทยาลัยเชียงใหม่จะทำการเก็บรวบรวมข้อมูลส่วนบุคคลโดยมีวัตถุประสงค์ ขอบเขต และใช้วิธีการที่ชอบด้วยกฎหมายและเป็นธรรม โดยในการเก็บรวบรวมนั้นจะทำเพียงเท่าที่จำเป็นแก่การดำเนินงาน ภายใต้วัตถุประสงค์ของมหาวิทยาลัยที่ได้แจ้งไว้ใน ข้อ 2 ทั้งนี้ มหาวิทยาลัยเชียงใหม่จะดำเนินการให้เจ้าของข้อมูล รับรู้ ให้ความยินยอมทางอิเล็กทรอนิกส์ หรือตามแบบวิธีการของมหาวิทยาลัยเชียงใหม่ กรณีที่มหาวิทยาลัยเชียงใหม่จัดเก็บข้อมูลส่วนบุคคลอ่อนไหวของเจ้าของข้อมูล มหาวิทยาลัยเชียงใหม่จะขอความยินยอมจากเจ้าของข้อมูลโดยชัดแจ้งก่อนทำการเก็บรวบรวม เว้นแต่กรณีที่กฎหมายให้อำนาจไว้ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

มหาวิทยาลัยจะไม่เก็บรวบรวมข้อมูลของเจ้าของข้อมูลจากแหล่งที่มาอื่นที่ไม่ใช่จากเจ้าของข้อมูลโดยตรง เว้นแต่กรณีที่มหาวิทยาลัยได้แจ้งเจ้าของข้อมูลถึงการเก็บรวบรวมข้อมูลจากแหล่งที่มาอื่น ภายใน 30 วัน และได้รับความยินยอมจากเจ้าของข้อมูลแล้ว หรือเป็นการเก็บรวบรวมข้อมูลที่ได้รับการยกเว้นไม่ต้องขอความยินยอมตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

4. การใช้หรือเปิดเผยข้อมูลส่วนบุคคล

มหาวิทยาลัยเชียงใหม่จะไม่ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลไปให้บุคคลใดโดยปราศจากความยินยอม และจะใช้หรือเปิดเผยตามวัตถุประสงค์ที่ได้มีการแจ้งไว้ อย่างไรก็ดี เพื่อให้เป็นประโยชน์ต่อการดำเนินงานของมหาวิทยาลัยเชียงใหม่และการให้บริการแก่เจ้าของข้อมูล

มหาวิทยาลัยเชียงใหม่อาจมีความจำเป็นในการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลให้แก่หน่วยงานในสังกัดมหาวิทยาลัยเชียงใหม่ หรือบุคคลอื่นทั้งในและต่างประเทศ เช่น สถานพยาบาลผู้ให้บริการต่าง ๆ ที่ต้องดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคล โดยในการเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลดังกล่าว มหาวิทยาลัยเชียงใหม่จะดำเนินการให้บุคคลเหล่านั้นเก็บรักษาข้อมูลส่วนบุคคลไว้เป็นความลับ และไม่นำไปใช้เพื่อวัตถุประสงค์อื่นนอกเหนือจากขอบเขตที่มหาวิทยาลัยเชียงใหม่ได้กำหนดไว้

นอกจากนี้ มหาวิทยาลัยเชียงใหม่อาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล ภายใต้หลักเกณฑ์ที่กฎหมายกำหนด เช่น การเปิดเผยข้อมูลต่อหน่วยงานราชการ หน่วยงานภาครัฐ หน่วยงานกำกับดูแล รวมถึงในกรณีที่มีการร้องขอให้เปิดเผยข้อมูลโดยอาศัยอำนาจตามกฎหมาย เช่น การร้องขอข้อมูลเพื่อการฟ้องร้องหรือดำเนินคดีตามกฎหมาย หรือการร้องขอจากหน่วยงานเอกชน หรือบุคคลภายนอกอื่น ๆ ที่มีความเกี่ยวข้องกับกระบวนการทางกฎหมาย

5. แนวทางในการดำเนินการคุ้มครองข้อมูลส่วนบุคคล

มหาวิทยาลัยเชียงใหม่จะกำหนดมาตรการต่าง ๆ รวมถึงมาตรการด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่สอดคล้องกับกฎหมาย ระเบียบ หลักเกณฑ์ และแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลให้แก่เจ้าหน้าที่สังกัดของมหาวิทยาลัยเชียงใหม่และบุคคลอื่นที่เกี่ยวข้อง รวมถึงสนับสนุนและส่งเสริมให้พนักงานมีความรู้และตระหนักถึงหน้าที่และความรับผิดชอบในการเก็บรวบรวม การจัดเก็บรักษา การใช้ และการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูล โดยเจ้าหน้าที่สังกัดของมหาวิทยาลัยเชียงใหม่ต้องปฏิบัติตามนโยบายฯ และแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลตามที่มหาวิทยาลัยเชียงใหม่กำหนดไว้ เพื่อให้มหาวิทยาลัยเชียงใหม่สามารถปฏิบัติตามนโยบายและกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้อย่างถูกต้องและมีประสิทธิภาพ

6. สิทธิของเจ้าของข้อมูลส่วนบุคคล

เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการดำเนินการ ดังต่อไปนี้

6.1 สิทธิในการเพิกถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้ ทั้งนี้ การเพิกถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมไว้แล้ว

6.2 สิทธิในการเข้าถึงข้อมูลส่วนบุคคลและขอทำสำเนาข้อมูลส่วนบุคคล รวมถึงการขอให้เปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่ไม่ได้ให้ความยินยอม

6.3 สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง เจ้าของข้อมูลมีสิทธิแก้ไขข้อมูลของตนให้ถูกต้อง เป็นปัจจุบัน และไม่ก่อให้เกิดการเข้าใจผิด

6.4 สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิขอลบหรือทำลายข้อมูลส่วนบุคคลของตน หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของได้

6.5 สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล

6.6 สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล

6.7 สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล เจ้าของข้อมูลสามารถขอใช้สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลได้ โดยยื่นคำร้องขอใช้สิทธิต่อมหาวิทยาลัยเชียงใหม่เป็นลายลักษณ์อักษรหรือผ่านทางจดหมายอิเล็กทรอนิกส์ตามแบบฟอร์มที่มหาวิทยาลัยเชียงใหม่กำหนด ผ่าน “ช่องทางการติดต่อของมหาวิทยาลัยเชียงใหม่” ด้านล่าง โดยมหาวิทยาลัยเชียงใหม่จะพิจารณาและแจ้งผลการพิจารณาตามคำร้องฯ ของเจ้าของข้อมูล ภายใน 30 วัน นับแต่วันที่ได้รับคำร้องฯ ดังกล่าว ทั้งนี้ มหาวิทยาลัยเชียงใหม่อาจปฏิเสธสิทธิของเจ้าของข้อมูลได้ในกรณีที่มีกฎหมายกำหนดไว้

7. การทบทวนและเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคล

มหาวิทยาลัยเชียงใหม่อาจทำการปรับปรุงหรือแก้ไขนโยบายนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับข้อกำหนดตามกฎหมาย การเปลี่ยนแปลงการดำเนินงานของมหาวิทยาลัยเชียงใหม่ รวมถึงข้อเสนอแนะและความคิดเห็นจากหน่วยงานต่าง ๆ โดยมหาวิทยาลัยเชียงใหม่จะประกาศแจ้งการเปลี่ยนแปลงให้ทราบอย่างชัดเจน ก่อนจะเริ่มดำเนินการเปลี่ยนแปลง

8. ช่องทางการติดต่อ

8.1 มหาวิทยาลัยเชียงใหม่ เลขที่ 239 ต.สุเทพ อ.เมือง จ.เชียงใหม่ 50200

8.2 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของแบบประเมิน CMU Mind Email: cmumind@gmail.com