ประกาศความเป็นส่วนตัวฉบับนี้จัดทำขึ้นเพื่อให้เจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้ใช้งานระบบของมหาวิทยาลัยเชียงใหม่
ได้ทราบและเข้าใจรูปแบบการเก็บรวบรวม ใช้และเปิดเผย (รวมเรียกว่า
“การประมวลผล”)
ข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ไว้กับมหาวิทยาลัยเชียงใหม่
ภายใต้ขอบเขตที่มหาวิทยาลัยเชียงใหม่เป็นผู้ดำเนินการและเป็นผู้ควบคุมข้อมูลส่วนบุคคลในข้อมูลส่วนบุคคลที่เก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลเพื่อการดำเนินการภายใต้ระบบนี้
อาศัยอำนาจตามความในมาตรา 35 มาตรา 38
แห่งพระราชบัญญัติมหาวิทยาลัยเชียงใหม่ พ.ศ. 2551
ประกอบกับมติสภามหาวิทยาลัยเชียงใหม่ ในการประชุมครั้งที่ 10/2551
เมื่อวันที่ 27 กันยายน 2551 จึงออกประกาศ ดังต่อไปนี้
ข้อ 1 ประกาศนี้ เรียกว่า
“ประกาศมหาวิทยาลัยเชียงใหม่ เรื่อง คำประกาศความเป็นส่วนตัว
มหาวิทยาลัยเชียงใหม่ (CMU Privacy Notice)”
ข้อ 2 ประกาศนี้
ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศเป็นต้นไป
ข้อ 3 ในประกาศนี้
- “มหาวิทยาลัย” หมายถึง มหาวิทยาลัยเชียงใหม่
- “อธิการบดี” หมายถึง อธิการบดีมหาวิทยาลัยเชียงใหม่
-
“กฎหมายคุ้มครองข้อมูลส่วนบุคคล” หมายความว่า
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมาย กฎ
อื่นที่เกี่ยวข้อง
- “บุคคล” หมายความว่า บุคคลธรรมดา
-
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคล (Personal
Data)
ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม
แต่ไม่รวมถึงข้อมูลนิติบุคคล
และข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
-
“การประมวลผลข้อมูลส่วนบุคคล” หมายความว่า การเก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลส่วนบุคคล (Personal Data Processing)
-
“เจ้าของข้อมูลส่วนบุคคล” หมายความว่า
บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่ มหาวิทยาลัย
เก็บรวบรวม ใช้ หรือเปิดเผย (Data Subject)
-
“ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า มหาวิทยาลัย หรือบุคคล
คณะบุคคล หรือ
นิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม
ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Data Controller)
-
“ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคล
คณะบุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล
ทั้งนี้ บุคคล คณะบุคคล
หรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
(Data Processor)
-
“เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หมายความว่า บุคคล
หรือคณะบุคคลซึ่งทำหน้าที่ตรวจสอบ
กำกับและให้คำแนะนำในการเก็บรวบรวม ใช้
หรือเปิดเผยข้อมูลส่วนบุคคล
ตลอดจนประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล
(Data Protection Officer: DPO)
ข้อ 4 หลักการและวัตถุประสงค์
มหาวิทยาลัยมีความมุ่งมั่นในการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 ซึ่งเพิ่มเติมจากที่ได้มีการบัญญัติไว้ตามกฎหมายเฉพาะ
มหาวิทยาลัย จึงได้จัดทำประกาศความเป็นส่วนตัวมหาวิทยาลัยเชียงใหม่
(CMU Privacy Notice) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
พ.ศ. 2562 และกฎหมายอื่นที่เกี่ยวข้อง
ข้อ 5 ขอบเขตการบังคับใช้
ประกาศความเป็นส่วนตัวฉบับนี้
มีขอบเขตการบังคับใช้ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลทั้งหมดที่ดำเนินการโดยมหาวิทยาลัย
รวมถึงเจ้าหน้าที่ บุคคล คณะบุคคล
นิติบุคคลเฉพาะผู้ที่มีอำนาจหน้าที่เกี่ยวข้องซึ่งล่วงรู้ข้อมูลส่วนบุคคลเนื่องจากเกี่ยวข้องกับการดำเนินงานของมหาวิทยาลัยจะต้องปฏิบัติตามประกาศความเป็นส่วนตัวฉบับนี้และตามกรอบที่กฎหมายกำหนด
ข้อ 6 การเก็บรวบรวมข้อมูลส่วนบุคคล
มหาวิทยาลัยจะเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ข้อมูลอัตลักษณ์
ข้อมูลติดต่อ ข้อมูลทางการเงิน และข้อมูลทางเทคนิค
โดยมีแหล่งที่มาและวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล
ดังต่อไปนี้
(1) แหล่งที่มาของข้อมูลส่วนบุคคลที่ทำการจัดเก็บรวบรวม
(2) ประเภทข้อมูลส่วนบุคคลที่มีการจัดเก็บ
(3) วัตถุประสงค์ในการประมวลข้อมูลส่วนบุคคล
ข้อ 7 หลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล
มหาวิทยาลัยจะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลเท่านั้น
ข้อ 8 การใช้และการเปิดเผยข้อมูลส่วนบุคคล
ภายใต้วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่ได้ระบุไว้ในนโยบายของมหาวิทยาลัย
มหาวิทยาลัยจะใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์และหลักการที่แจ้งข้างต้น
โดยมหาวิทยาลัยอาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้แก่บุคคลต่างๆ
ตามที่กำหนด
ข้อ 9 ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
มหาวิทยาลัยจะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไว้ในระยะเวลาเท่าที่ข้อมูลนั้นยังมีความจำเป็นตามกฎหมาย
กฎ ข้อบังคับ ระเบียบ ประกาศ คำสั่งที่มหาวิทยาลัยต้องปฏิบัติหรือ
วัตถุประสงค์ในการเก็บรวบรวมข้อมูลเท่านั้น
ข้อ 10 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
ในบางกรณีมหาวิทยาลัยอาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังต่างประเทศเพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการแก่เจ้าของข้อมูลส่วนบุคคล
ข้อ 11 สิทธิของเจ้าของข้อมูลส่วนบุคคล
(1) สิทธิในการขอเข้าถึงข้อมูลส่วนบุคค
(2) สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
(3) สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล
(4) สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคล
(5) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล
(6) สิทธิในการขอถอนความยินยอม
(7) สิทธิในการขอรับ ส่งหรือโอนข้อมูลส่วนบุคคล
ข้อ 12 การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
มหาวิทยาลัย มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
โดยการจำกัดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้โดยเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายที่มีความจำเป็นต้องใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น
ข้อ 13 การติดต่อสอบถามหรือใช้สิทธิ
หากเจ้าของข้อมูลส่วนบุคคลมีข้อสงสัย
ข้อเสนอแนะหรือข้อกังวลเกี่ยวกับการเก็บรวบรวม ใช้
และเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัย หรือเกี่ยวกับประกาศนี้
หรือเจ้าของข้อมูลส่วนบุคคลต้องการใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลตามที่ระบุในข้อ
11 เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อสอบถามได้ที่
(1) มหาวิทยาลัยเชียงใหม่
239 ถนนห้วยแก้ว ต.สุเทพ อ.เมือง จ.เชียงใหม่ 50200
โทรศัพท์: +66 5394 1000, +66 5394 1300
โทรสาร: +66 5321 7143
อีเมล:
ccarc@cmu.ac.th
(2) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection
Officer: DPO)
มหาวิทยาลัยเชียงใหม่ 239 ถนนห้วยแก้ว ต.สุเทพ อ.เมือง
จ.เชียงใหม่ 50200
โทรศัพท์: +66 5394 1000, +66 5394 1300
โทรสาร: +66 5321 7143
อีเมล:
ccarc@cmu.ac.th
ข้อ 14 ให้อธิการบดีเป็นผู้รักษาการในประกาศนี้
ในกรณีมีปัญหาในทางปฏิบัติตามประกาศนี้
ให้อธิการบดีเป็นผู้วินิจฉัยชี้ขาด และให้ถือเป็นที่สุด