ประกาศสถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง
เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคลสถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง
(KMITL Privacy Policy)
สถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง (“สถาบัน”) ให้ความสําคัญกับความเป็นส่วนตัว " ของนักศึกษา บุคลากรและบุคคลอื่นที่เกี่ยวข้องกับสถาบัน เพื่อให้เกิดความมั่นใจว่าบุคคลดังกล่าวจะได้รับความ คุ้มครองสิทธิอย่างครบถ้วนตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“พระราชบัญญัติ”) นโยบาย ฉบับนี้จะอธิบายเกี่ยวกับการกํากับดูแลการคุ้มครองข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่สถาบันประมวลผล การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล การกํากับมาตรการ การคุ้มครองข้อมูลส่วนบุคคล บทบาท หน้าที่และความรับผิดชอบของสถาบัน และบทลงโทษของการไม่ปฏิบัติ ตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสถาบัน จึงประกาศออกมาเพื่อให้สถาบันมีหลักเกณฑ์ กลไก มาตรการกํากับดูแล และการบริหารจัดการข้อมูลส่วนบุคคลอย่างชัดเจนและเหมาะสม
อาศัยอํานาจตามความในข้อ 4 วรรคสอง ของข้อบังคับสถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหาร ลาดกระบัง ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2565 ประกอบกับมติที่ประชุมคณะกรรมการเพื่อเตรียม ความพร้อมในการดําเนินการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในการประชุม ครั้งที่ 6/2565 เมื่อวันที่ 19 พฤษภาคม พ.ศ. 2565 จึงให้ประกาศดังนี้
- ข้อ 1 ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศเป็นต้นไป
- ข้อ 2 ขอบเขตการบังคับใช้
นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ ใช้กับบุคลากรของสถาบันเทคโนโลยีพระจอมเกล้า เจ้าคุณทหารลาดกระบัง และบุคคลอื่นที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลตามคําสั่งหรือในนาม ของสถาบัน - ข้อ 3 คํานิยาม
- 3.1 การประมวลผล (Processing) หมายถึง การดําเนินการใด ๆ กับข้อมูลส่วนบุคคล เช่น การเก็บรวบรวม บันทึก จัดระบบ ทําโครงสร้าง เก็บรักษา ปรับปรุง เปลี่ยนแปลง กู้คืน ใช้ เปิดเผย ส่งต่อ เผยแพร่ โอน ผสมเข้าด้วยกัน ลบ ทําลาย
- 3.2 ข้อมูลส่วนบุคคล (Personal Data) หมายถึง ข้อมูลที่เกี่ยวกับบุคคลธรรมดา ซึ่งทําให้ สามารถระบุตัวตนของบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม เช่น ชื่อ นามสกุล อีเมล เบอร์โทรศัพท์ IP Address รูปภาพ เชื้อชาติ ศาสนา ความคิดเห็นทางการเมือง ข้อมูลทางพันธุกรรม ข้อมูลทางชีวภาพ (Biometric data)
- 3.3 เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลธรรมดาที่ข้อมูลส่วนบุคคล สามารถระบุตัวตนของบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
- 3.4 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง บุคคลธรรมดาหรือนิติบุคคล ซึ่งมีอํานาจหน้าที่ตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
- 3.5 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) หมายถึง บุคคลธรรมดาหรือนิติบุคคล ซึ่งดําเนินการเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
- ข้อ 4 นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการกํากับดูแลการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Governance)
- 4.1 สถาบันจะจัดให้มีโครงสร้างการกํากับดูแลข้อมูลส่วนบุคคล เพื่อกําหนดวิธีการและมาตรการ ที่เหมาะสมในการปฏิบัติตามพระราชบัญญัติ ดังนี้
- กําหนดให้มีโครงสร้างองค์กร (Organizational Structure) หรือกระบวนงาน (Work Process) รวมทั้งกําหนดบทบาท ภารกิจและความรับผิดชอบของหน่วยงานและผู้ปฏิบัติงานที่เกี่ยวข้อง ให้ชัดเจน เพื่อสร้างกลไกการกํากับดูแล การควบคุม ความรับผิดชอบ การปฏิบัติงาน การบังคับใช้ และการติดตาม มาตรการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของ สถาบัน
- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของสถาบัน (KMITL Data Protection Officer: KMITL DPO) โดยมีบทบาทและหน้าที่ตามที่กําหนดในข้อบังคับสถาบันว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคล
- 4.2 สถาบันจะจัดทํานโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล ให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล และข้อบังคับสถาบันว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
- 4.3 สถาบันจะจัดให้มีกระบวนการบริหารการปฏิบัติตามนโยบาย (Policy Management Process) เพื่อควบคุมดูแลให้มีการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสถาบันอย่างต่อเนื่อง
- 4.4 สถาบันจะดําเนินการฝึกอบรมบุคลากรของสถาบัน เพื่อให้บุคลากรของสถาบันตระหนัก ถึงความสําคัญของการคุ้มครองข้อมูลส่วนบุคคล และทําให้มั่นใจได้ว่าพนักงานของสถาบันที่เกี่ยวข้องทุกคน ผ่านการอบรม และมีความรู้ความเข้าใจในการคุ้มครองข้อมูลส่วนบุคคล และปฏิบัติตามนโยบายการคุ้มครอง ข้อมูลส่วนบุคคลของสถาบัน
- 4.1 สถาบันจะจัดให้มีโครงสร้างการกํากับดูแลข้อมูลส่วนบุคคล เพื่อกําหนดวิธีการและมาตรการ ที่เหมาะสมในการปฏิบัติตามพระราชบัญญัติ ดังนี้
- ข้อ 5 นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการประมวลผลข้อมูลส่วนบุคคล (Personal Data Processing)
- 5.1 สถาบันจะประมวลผลข้อมูลส่วนบุคคล ทั้งในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและหรือ เป็นผู้ประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยคํานึงถึงความถูกต้อง ของข้อมูลส่วนบุคคล ทั้งนี้ การกําหนดขอบเขตวัตถุประสงค์การประมวลผลข้อมูลส่วนบุคคลและระยะเวลา ในการจัดเก็บข้อมูลส่วนบุคคล ให้ทําได้เท่าที่จําเป็นภายใต้วัตถุประสงค์อันชอบด้วยกฎหมายและแนวทาง การดําเนินงานของสถาบัน อีกทั้งสถาบันจะดําเนินการรักษาความลับ ความถูกต้องสมบูรณ์ และความปลอดภัย ของข้อมูลส่วนบุคคลอย่างเพียงพอ
- 5.2 สถาบันจะดําเนินการและรักษาบันทึกการประมวลผลข้อมูลส่วนบุคคล (Records of Processing: RoP) สําหรับบันทึกรายการและกิจกรรมต่าง ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล รวมทั้งจะปรับปรุงบันทึกการประมวลผลข้อมูลส่วนบุคคล เมื่อมีการเปลี่ยนแปลงรายการหรือกิจกรรมที่เกี่ยวข้อง
- 5.3 สถาบันจะจัดให้มีกลไกการตรวจสอบความถูกต้องของข้อมูลส่วนบุคคล รวมทั้งจัดให้มีกลไก - การแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
- 5.4 ในกรณีที่สถาบันส่ง โอน หรือให้บุคคลอื่นใช้ข้อมูลส่วนบุคคล สถาบันจะจัดทําข้อตกลงกับ ผู้ที่รับหรือใช้ข้อมูลส่วนบุคคลนั้นเพื่อกําหนดสิทธิและหน้าที่ให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสถาบัน
- 5.5 สถาบันจะลบ หรือทําให้ข้อมูลไม่สามารถระบุไปยังเจ้าของข้อมูลส่วนบุคคลได้ เมื่อครบ กําหนดระยะเวลา โดยปฏิบัติให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลและแนวทางการดําเนินงาน ของสถาบัน
- 5.6 สถาบันจะประเมินความเสี่ยงและจัดทํามาตรการเพื่อบรรเทาความเสี่ยงและลดผลกระทบ ที่จะเกิดขึ้นกับการประมวลผลข้อมูลส่วนบุคคล
- ข้อ 6 นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการรองรับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject Rights)
สถาบันจะจัดให้มีช่องทางและวิธีการเพื่อให้เจ้าของข้อมูลส่วนบุคคลใช้สิทธิของตนได้ตามที่ กฎหมายกําหนด รวมทั้งจะดําเนินการบันทึกและประเมินผลการตอบสนองต่อคําขอใช้สิทธิของเจ้าของข้อมูล ส่วนบุคคล - ข้อ 7 นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการรักษาความมั่นคงปลอดภัยของข้อมูล ส่วนบุคคล (Personal Data Security)
- 7.1 สถาบันจะจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเพียงพอ รวมทั้งดําเนินการป้องกันไม่ให้เกิดการรั่วไหลของข้อมูลส่วนบุคคลและการนําข้อมูลส่วนบุคคลไปใช้โดยไม่ได้รับ อนุญาต
- 7.2 สถาบันจะจัดให้มีนโยบายการบริหารจัดการเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูล ส่วนบุคคล (Privacy Incident Management Policy) และแนวทางการตอบสนองต่อเหตุการณ์ผิดปกติ (Incident Response Program) เพื่อให้สามารถระบุและจัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้องกับข้อมูล ส่วนบุคคลได้อย่างทันท่วงที
- ข้อ 8 นโยบายการคุ้มครองข้อมูลส่วนบุคคล : ด้านการกํากับให้เกิดการปฏิบัติตามมาตรการคุ้มครอง ข้อมูลส่วนบุคคล (Personal Data Protection Compliance)
สถาบันจะจัดให้มีการทบทวนและปรับปรุงนโยบาย (Policy) มาตรฐานการปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้องกับการคุ้มครอง ข้อมูลส่วนบุคคลเป็นประจํา เพื่อให้ทันสมัยสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลและสถานการณ์ ในแต่ละช่วงเวลา\ - ข้อ 9 บทบาท หน้าที่และความรับผิดชอบของบุคลากรของสถาบัน 9.1 หน่วยงานภายในสถาบัน มีบทบาท หน้าที่และความรับผิดชอบดังต่อไปนี้
- ดําเนินการให้มีโครงสร้างการกํากับดูแลข้อมูลส่วนบุคคล เพื่อให้เกิดการปฏิบัติ ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสถาบัน
- กํากับดูแลและสนับสนุนให้สถาบันดําเนินการคุ้มครองข้อมูลส่วนบุคคลให้มี ประสิทธิภาพและสอดคล้องกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
- 9.2 ผู้บริหาร มีบทบาท หน้าที่ และความรับผิดชอบในการติดตามควบคุมให้หน่วยงานที่ดูแล ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสถาบัน และส่งเสริมการสร้างความตระหนักรู้ให้เกิดขึ้น กับพนักงานของสถาบัน
- 9.3 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของสถาบัน (KMITL DPO) มีบทบาท หน้าที่และความ รับผิดชอบตามที่กฎหมายกําหนด ซึ่งรวมถึงหน้าที่ดังต่อไปนี้
- รายงานสถานการณ์คุ้มครองข้อมูลส่วนบุคคลให้คณะกรรมการคุ้มครองข้อมูล ส่วนบุคคลสถาบันทราบอย่างสม่ําเสมอ และจัดทําข้อเสนอแนะเพื่อปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลของ สถาบันให้ทันสมัยและสอดคล้องกับกฎหมายอยู่เสมอ
- ให้คําแนะนําบุคลากรของสถาบันเกี่ยวกับการปฏิบัติตามกฎหมายคุ้มครองข้อมูล ส่วนบุคคล และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสถาบัน
- ตรวจสอบการดําเนินงานของหน่วยงานในสถาบัน ให้เป็นไปตามกฎหมายคุ้มครอง ข้อมูลส่วนบุคคล และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสถาบัน
- 9.4 บุคลากรของสถาบันมีบทบาท หน้าที่ และความรับผิดชอบดังต่อไปนี้
- ปฏิบัติให้สอดคล้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสถาบัน มาตรฐาน การปฏิบัติงาน (Standards) แนวปฏิบัติ (Guidelines) ขั้นตอนปฏิบัติ (Procedures) และเอกสารอื่นที่เกี่ยวข้อง กับการคุ้มครองข้อมูลส่วนบุคคล
- รายงานเหตุการณ์ผิดปกติที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล และ การไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสถาบัน ให้ผู้บังคับบัญชาทราบ
- ข้อ 10 โทษของการไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสถาบัน
สถาบันกําหนดให้หน่วยงานหรือบุคลากรของสถาบันที่เกี่ยวข้องกับข้อมูลส่วนบุคคลมีหน้าที่ รับผิดชอบในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเคร่งครัด หากไม่ปฏิบัติหรือฝ่าฝืนตามนโยบาย การคุ้มครองข้อมูลส่วนบุคคลของสถาบัน อาจมีความผิดและถูกลงโทษทางวินัยตามข้อบังคับของสถาบัน และอาจต้องรับโทษตามที่กฎหมายกําหนด
อ้างอิงเอกสารเพิ่มเติม ประกาศสถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง