นโยบายความเป็นส่วนตัว
ประกาศมหาวิทยาลัยมหิดล
เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓
โดยที่มหาวิทยาลัยมหิดลมีการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลของบุคลากรนักศึกษา ผู้รับบริการ และบุคคลอื่น เพื่อการดำเนินงานด้านต่าง ๆ ของมหาวิทยาลัย จึงเป็นการสมควรที่มหาวิทยาลัยจะกำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) ให้สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้การดำเนินงานของมหาวิทยาลัยมหิดลเป็นไปอย่างเรียบร้อย มีการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสมและได้มาตรฐาน
อาศัยอำนาจตามความในมาตรา ๓๔ (๘) แห่งพระราชบัญญัติมหาวิทยาลัยมหิดล พ.ศ. ๒๕๕๐ คณะกรรมการประจำมหาวิทยาลัยมหิดล ในการประชุมครั้งที่ ๒๐/๒๕๖๓ เมื่อวันที่ ๒๘ ตุลาคม พ.ศ. ๒๕๖๓ อธิการบดีจึงกำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลไว้ ดังต่อไปนี้
ข้อ ๑. ในประกาศนี้
“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ซึ่งรวมถึงข้อมูลส่วนบุคคลของบุคลากร นักศึกษา ผู้รับบริการ และผู้เข้าร่วมการวิจัยแต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
ข้อ ๒. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัย จะต้องสอดคล้องกับหลักการคุ้มครองข้อมูลส่วนบุคคลดังนี้
(๑) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย มีความโปร่งใสและสามารถตรวจสอบได้ (Lawfulness, Fairness and Transparency)
(๒) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายใต้ขอบเขตและวัตถุประสงค์ที่มหาวิทยาลัยกำหนด และไม่นำไปใช้หรือเปิดเผยนอกเหนือขอบเขตและวัตถุประสงค์ของการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลนั้น (Purpose Limitation)
(๓) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเพียงพอ เกี่ยวข้อง และเท่าที่จำเป็นตามวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Data Minimization)
(๔) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ถูกต้องและดำเนินการให้ข้อมูลเป็นปัจจุบันในกรณีที่จำเป็น (Accuracy)
(๕) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่จำเป็น (Storage Limitation)
(๖) เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม (Integrity and Confidentiality)
ข้อ ๓. ข้อมูลส่วนบุคคลที่มหาวิทยาลัยมหิดลเก็บรวบรวม ใช้ หรือเปิดเผย จะต้องเป็นไปเพื่อการดำเนินงานตามอำนาจและหน้าที่ของมหาวิทยาลัยในภาระหน้าที่ด้านต่าง ๆ เพื่อให้บรรลุวัตถุประสงค์ของมหาวิทยาลัย เช่น การทำการวิจัยและนำความรู้ไปใช้เพื่อประโยชน์ในการพัฒนาประเทศและสังคมและก่อให้เกิดประโยชน์แก่มหาวิทยาลัย การผลิตบัณฑิต การส่งเสริม ประยุกต์ และพัฒนาวิชาการและวิชาชีพชั้นสูง การให้บริการทางการแพทย์ การพยาบาล การสาธารณสุข และการบริการทางวิชาการและวิชาชีพ การสนับสนุนและส่งเสริมให้บุคลากรของสถาบันอื่นเข้าร่วมในการสร้างและพัฒนาองค์ความรู้และเข้ารับการถ่ายทอดองค์ความรู้ การร่วมมือกับสถาบันอื่นทั้งในและต่งประเทศ และการส่งเสริมและทะนุบำรุงศาสนา ศิลปะ วัฒนธรรม รวมทั้งบำรุงรักษาและใช้ประโยชน์จากสิ่งแวดล้อมและทรัพยากรธรรมชาติอย่างสมดุลยั่งยืน
การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัยตามวรรคหนึ่ง ต้องเป็นไปตามบทบัญญัติชองกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่นที่เกี่ยวข้อง
ในกรณีที่ข้อมูลส่วนบุคคลดังกล่าว เป็นข้อมูลด้านสุขภาพของบุคคล ซึ่งเป็นความลับส่วนบุคคลมหาวิทยาลัยจะนำไปเปิดเผยในประการที่น่าจะทำให้เจ้าของข้อมูลส่วนบุคคลเสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์ของบุคคลนั้นโดยตรง หรือมีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลหรือกฎหมายอื่นบัญญัติให้เปิดเผยได้ ทั้งนี้ เพื่อให้เป็นไปตามกฎหมายว่าด้วยสุขภาพแห่งชาติ
ข้อ ๔. ในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล เพื่อการดำเนินงานด้านต่าง ๆ ของมหาวิทยาลัยมหิดล มหาวิทยาสัยมหิดลถือเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล มหาวิทยาลัยมหิดลและทุกส่วนงานของมหาวิทยาลัยจึงต้องปฏิบัติตามหน้าที่ที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
ข้อ ๕. การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในการดำเนินงานของมหาวิทยาลัย จะต้องเป็นไปตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะที่เก็บรวบรวม เว้นแต่จะได้แจ้งวัตถุประสงค์ใหม่ให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมก่อนเก็บรวบรวม ใช้ หรือเปิดเผยแล้ว หรือบทบัญญัติแห่งกฎหมายบัญญัติให้กระทำได้
ข้อ ๖. มหาวิทยาลัยจะเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการดำเนินงานของมหาวิทยาลัยได้เท่าที่จำเป็น ตามระยะเวลาการเก็บรักษาที่จำเป็นและเหมาะสม ภายใต้วัตถุประสงค์อันชอบด้วยกฎหมาย โดยอาศัยฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล (Lawful Basis for Processing Personal Data) ที่สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
ข้อ ๗. ในกรณีที่มหาวิทยาลัยใช้ฐานความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล การขอความยินยอมต้องทำโดยชัดแจ้ง เป็นหนังสือหรือทำโดยผ่านระบบอิเล็กทรอนิกส์ เว้นแต่โดยสภาพไม่อาจขอความยินยอมด้วยวิธีการดังกล่าวได้ และในการขอความยินยอม มหาวิทยาลัยจะต้องแจ้งวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไปด้วย และการขอความยินยอมนั้น ต้องแยกส่วนออกจากข้อความอื่นอย่างชัดเจน มีแบบหรือข้อความที่เข้าถึงได้ง่ายและเข้าใจได้ รวมทั้งใช้ภาษาที่อ่านง่าย และไม่เป็นการหลอกลวงหรือทำให้เจ้าของข้อมูลส่วนบุคคลเข้าใจผิดในวัตถุประสงค์ดังกล่าว
ในการขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล มหาวิทยาลัยต้องคำนึงอย่างถึงที่สุดในความเป็นอิสระของเจ้าของข้อมูลส่วนบุคคลในการให้ความยินยอม ทั้งนี้ ในการเข้าทำสัญญา ซึ่งรวมถึงการให้บริการใด ๆ ของมหาวิทยาลัย ต้องไม่มีเงื่อนไขในการให้ความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ไม่มีความจำเป็นหรือเกี่ยวข้องสำหรับการเข้าทำสัญญาซึ่งรวมถึงการให้บริการนั้น ๆ
เจ้าของข้อมูลส่วนบุคคลจะถอนความยินยอมที่ได้ให้ไว้เสียเมื่อใดก็ได้ โดยจะต้องถอนความยินยอมได้ง่ายเช่นเดียวกับการให้ความยินยอม เว้นแต่มีข้อจำกัดสิทธิในการถอนความยินยอมโดยกฎหมายหรือสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคล ทั้งนี้ การถอนความยินยอมย่อมไม่ส่งผลกระทบต่อการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมไปแล้วโดยชอบ อย่างไรก็ตาม ในกรณีที่การถอนความยินยอมส่งผลกระทบต่อเจ้าของข้อมูลส่วนบุคคลในเรื่องใด มหาวิทยาลัยต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบถึงผลกระทบจากการถอนความยินยอมนั้น
ข้อ ๘. ในการขอความยินยอมเพื่อเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้เยาว์ซึ่งยังไม่บรรลุนิติภาวะโดยการสมรส หรือไม่มีฐานะเสมือนดังบุคคลซึ่งบรรลุนิติภาวะแล้วตามมาตรา ๒๗ แห่งประมวลกฎหมายแพ่งและพาณิชย์ รวมทั้งข้อมูลส่วนบุคคลของคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ หรือการถอนความยินยอมของบุคคลดังกล่าว มหาวิทยาลัยจะดำเนินการให้เป็นไปตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลบัญญัติ
ข้อ ๙. ในการเก็บรวบรวมข้อมูลส่วนบุคคลเพื่อการดำเนินงานของมหาวิทยาลัย มหาวิทยาลัยจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบรายละเอียดตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด (Privacy Notice) ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงรายละเอียดนั้นอยู่แล้ว
ข้อ ๑๐. ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Personal Data) ซึ่งอาจรวมถึงข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด มหาวิทยาลัยมีหน้าที่คุ้มครองข้อมูลส่วนบุคคลดังกล่าวเป็นพิเศษจากการเก็บรวบรวม ใช้ หรือเปิดเผยที่มิชอบหรือเกินความจำเป็น และจะต้องได้รับความยินยอมโดยชัดแจ้ง (Explicit Consent) จากเจ้าของข้อมูลส่วนบุคคล เว้นแต่จะอาศัยฐานทางกฎหมายในการประมวลผลข้อมูลส่วนบุคคล (Lawful Basis for Processing Personal Data) อื่นที่สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
ข้อ ๑๑. เนื่องจากกิจกรรมหลักส่วนหนึ่งในการดำเนินงานของมหาวิทยาลัย เป็นการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่มีความอ่อนไหวตามข้อ ๑๐ มหาวิทยาลัยต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) เพื่อปฏิบัติหน้าที่ตามที่กฎหมายกำหนด และมหาวิทยาลัยต้องสนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลโดยจัดหาเครื่องมือหรืออุปกรณ์อย่างเพียงพอ รวมทั้งอำนวยความสะดวกในการเข้าถึงข้อมูลส่วนบุคคลเพื่อการปฏิบัติหน้าที่ด้วย และจะต้องดูแลให้การปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลดังกล่าวเป็นไปโดยอิสระ ปราศจากการแทรกแชง ทั้งนี้ ในกรณีที่มีปัญหาในการปฏิบัติหน้าที่ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลต้องสามารถรายงานไปยังอธิการบดีหัวหน้าส่วนงานที่เกี่ยวข้อง หรือผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของมหาวิทยาลัยโดยตรงได้
ข้อ ๑๒. เพื่อประโยชน์ในการดำเนินงานของมหาวิทยาลัยและการให้บริการแก่เจ้าของข้อมูลส่วนบุคคล มหาวิทยาลัยอาจมีความจำเป็นในการเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลธรรมดาหรือนิติบุคคลอื่นทั้งในและต่างประเทศ ที่เป็นผู้ประมวลผลข้อมูลส่วนบุคคล หรือเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยในการเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลธรรมดาหรือนิติบุคคลดังกล่าว มหาวิทยาลัยจะดำเนินการให้บุคคลเหล่านั้นเก็บรักษาข้อมูลส่วนบุคคลดังกล่าวไว้เป็นความลับ และป้องกันมิให้ผู้นั้นใช้หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์อื่นนอกเหนือจากขอบเขตที่มหาวิทยาลัยกำหนด หรือโดยปราศจากอำนาจหรือโดยมิชอบ
ข้อ ๑๓. ในการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ มหาวิทยาลัยจะดำเนินการเพื่อให้มั่นใจว่าประเทศปลายทางหรือองค์การระหว่างประเทศที่รับข้อมูลส่วนบุคคลตังกล่าวมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ เว้นแต่เป็นกรณีตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด
ข้อ ๑๔. มหาวิทยาลัยจะต้องจัดให้มีช่องทางและอำนวยความสะดวกให้แก่เจ้าของข้อมูลส่วนบุคคลหรือผู้มีอำนาจกระทำการแทนในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ซึ่งรวมถึงสิทธิดังต่อไปนี้
(๑) สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความรับผิดชอบของมหาวิทยาลัย หรือขอให้เปิดเผยถึงการได้มาชื่งข้อมูลส่วนบุคคลที่ตนไม่ได้ให้ความยินยอม (Right of Access)
Object)
(๒) สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากมหาวิทยาลัย ในกรณีที่มหาวิทยาลัยได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งสิทธิขอให้มหาวิทยาลัยส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ และสิทธิขอรับข้อมูลส่วนบุคคลที่มหาวิทยาลัยส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้ (Right to Data Portability)
(๓) สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน (Right to Object)
(๔) สิทธิขอให้มหาวิทยาลัยดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ (Right to Erasure)
(๕) สิทธิขอให้มหาวิทยาลัยระงับการใช้ข้อมูลส่วนบุคคล (Right to Restriction of Processing)
(๖) สิทธิร้องขอให้มหาวิทยาลัยดำเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด (Right to Rectification)
ทั้งนี้ ตามที่กฎหมายบัญญัติ และมหาวิทยาลัยอาจปฏิเสธการใช้สิทธิดังกล่าวข้างต้นของเจ้าของข้อมูลส่วนบุคคลหรือผู้มีอำนาจกระทำการแทนได้หากไม่ขัดต่อกฎหมาย
ข้อ ๑๕. เพื่อเป็นการคุ้มครองข้อมูลส่วนบุคคล มหาวิทยาลัยและส่วนงานต้องจัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสมเพื่อป้องกันการสูญหาย การเข้าถึง ทำลาย ใช้ แปลง แก้ไขหรือเปิดเผยข้อมูลโดยมิชอบ และต้องทบทวนมาตรการดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ ต้องเป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
ข้อ ๑๖. ในกรณีที่มีเหตุการละเมิดข้อมูลส่วนบุคคล ส่วนงานจะต้องแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลดังกล่าวให้มหาวิทยาลัย และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัยทราบตามหลักเกณฑ์ วิธีการ และเงื่อนไขที่มหาวิทยาลัยประกาศกำหนด และมหาวิทยาลัยจะต้องดำเนินการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลดังกล่าวแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือเจ้าของข้อมูลส่วนบุคคล แล้วแต่กรณี ให้เป็นไปตามที่กฎหมายกำหนด
ข้อ ๑๗. มหาวิทยาลัยจะต้องให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลตลอดจนหน่วยงานที่กำกับดูแลหรือมีหน้าที่และอำนาจตามกฎหมายที่เกี่ยวข้อง เพื่อให้การคุ้มครองข้อมูลส่วนบุคคลเป็นไปตามที่กฎหมายบัญญัติ
ข้อ ๑๘. ผู้บริหาร บุคลากร และนักศึกษาทุกระดับของส่วนงานภายในมหาวิทยาลัย จะต้องให้ความร่วมมือและปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่น ตลอดจนนโยบายแนวปฏิบัติ และมาตรการคุ้มครองข้อมูลส่วนบุคคลที่มหาวิทยาลัยกำหนดขึ้นตามประกาศนี้
มหาวิทยาลัยและส่วนงานมีหน้าที่กำกับดูแลให้ผู้บริหาร บุคลากร และนักศึกษาของมหาวิทยาลัยหรือส่วนงานปฏิบัติตามกฎหมาย นโยบาย แนวปฏิบัติ และมาตรการตามวรรคหนึ่ง
ให้มหาวิทยาลัยและส่วนงานดำเนินการให้การคุ้มครองข้อมูลส่วนบุคคล เป็นส่วนหนึ่งของการบริหารความเสี่ยง (Enterprise Risk Management) ของมหาวิทยาลัยและส่วนงาน ที่มีการควบคุมความเสี่ยงอย่างเหมาะสมและมีการติดตามและทบทวนอย่างสม่ำเสมอ
ข้อ ๑๙. มหาวิทยาลัยอาจจัดให้มีระบบการจัดการข้อร้องเรียนเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลตามหลักเกณฑ์และวิธีการที่มหาวิทยาลัยกำหนด
ข้อ ๒๐. ผู้บริหารและบุคลากรที่เกี่ยวข้องของมหาวิทยาลัยและส่วนงาน มีหน้าที่เตรียมการเพื่อให้การดำเนินงานของมหาวิทยาลัยและส่วนงานสอดคล้องกับบทบัญญัติแห่งกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลตามกำหนดเวลาที่บทบัญญัติดังกล่าวจะมีผลใช้บังคับ และมีหน้าที่กำกับดูแลและดำเนินการให้การดำเนินงานหลังจากนั้นเป็นไปตามบทบัญญัติแห่งกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และประกาศฉบับนี้
ข้อ ๒๑. การดำเนินการเพื่อให้เป็นไปตามนโนบายของประกาศนี้ ให้เป็นไปตามข้อบังคับและประกาศที่มหาวิทยาลัยกำหนด
ปรับปรุงเมื่อวันที่ 27 ตุลาคม 2566
ในกรณีที่ท่านมีข้อสงสัย ข้อเสนอแนะ หรือข้อติชมใดๆ เกี่ยวกับ นโยบายการคุ้มครองข้อมูล ส่วนบุคคล หรือการปฏิบัติตาม นโยบายการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ บัณฑิตวิทยาลัย ยินดีที่จะตอบข้อสงสัย รับฟังข้อเสนอแนะ และคําติชมทั้งหลาย อันจะเป็นประโยชน์ต่อการปรับปรุงการให้บริการของ บัณฑิตวิทยาลัยต่อไป โดยท่านสามารถติดต่อกับบัณฑิตวิทยาลัย ตามที่อยู่ ที่ปรากฏข้างล่างนี้
บัณฑิตวิทยาลัย มหาวิทยาลัยมหิดล
ที่อยู่ : 25/25 หมู่ 5 อาคารบัณฑิตวิทยาลัย มหาวิทยาลัยมหิดล ถ. พุทธมณฑลสาย 4 ต. ศาลายา อ. พุทธมณฑล จ.นครปฐม 73170
โทรศัพท์ : 0 2441 4125
e-mail : grwww@mahidol.ac.th
Website : https://muce.mahidol.ac.th
Privacy Policy
Mahidol University Announcement
Re: Personal Data Protection Policy B.E.2563 (A.D.2020)
Mahidol University has carried out the process of collecting, using and disclosing personal data of its staff members, students, clients and other individuals for its own operations. It is therefore appropriate to establish a personal data protection policy in compliance with the law concerning personal data protection so as to ensure its smooth operations with a suitable and standard personal data protection policy.
By virtue of Section 34 (8) of Mahidol University Act B.E.2550 (B.E. 2007), at the 20th/2563 meeting of Mahidol University Committee on 28th October B.E.2563 (A.D.2020), the President hereby set up a personal data protection policy as follows:
Clause 1 In this announcement,
“Personal Data” means any information relating to a person which enables the identification of such person, whether directly or indirectly, including the personal information of staff members, students, clients, and research participants, but not including the information of deceased persons in particular.
Clause 2 The University shall collect, use and disclose in compliance with the following personal data protection principles:
(1) Lawfulness, Fairness and Transparency: The collection, use or disclosure of the Personal Data shall be lawful, fair and transparent.
(2) Purpose Limitation: The collection, use or disclosure of the Personal Data shall be proceeding under the scope and purposes specified by the University, and shall not be used or disclosed in any way other than the scope and purposes of collecting, using or disclosing those data.
(3) Data Minimization: The collection, use, or disclosure of the Personal Data shall be limited as adequate, relevant and necessary, and shall complied with the purposes of collecting, using and disclosing those data.
(4) Accuracy: The Personal Data that are collected, used, or disclosed shall be accurate up to date where it is necessary.
(5) Storage Limitation: The Personal Data that are collected, used or disclosed shall be retained to the extent necessary.
(6) Integrity and Confidentiality: The collection, use or disclosure of the Personal Data shall be handled safely with appropriate security measures.
Clause 3 The University shall collect, use or disclose the Personal Data in accordance with its authority and accountability to perform duties in order to achieve its purposes, including conducting research with applying its results for developing the country and society as well as providing benefits for the University, producing university graduates, promoting and applying as well as developing academic affairs and advanced professions. Those also includes providing medical, nursing, public health, academic and professional services, encouraging with promoting other institutions’ staff members to participate in creation and development of knowledge, attending knowledge transfer, collaborating with domestic and international institutions, promoting and preserving religion, arts and culture, and also maintaining with utilizing the environment and natural resources in a balanced and sustainable manner.
The collection, use or disclosure of the Personal Data as stated in the first paragraph shall comply with the provisions of the law concerning personal data protection and other related laws.
In the case that such Personal Data are regarding personal health which are personal confidentiality, the University shall not disclose in a manner that is likely to cause damage to the data subject regarding to the National Health Law, unless such disclosure is directly based on the data subject’s demand, or it is permitted to do so by the law concerning personal data protection or any other laws.
Clause 4 To collect, use, and disclose the Personal Data for any operations of Mahidol University, Mahidol University shall be deemed to be a data controller who has the authority to make decisions on collecting, using, and disclosing the Personal Data. Mahidol University and its units shall perform their duties as prescribed in the law concerning personal data protection.
Clause 5 The collection, use, or disclosure of the Personal Data for the University’s operations shall be complied with the purposes notified to the data subject prior to or at the time of such collection, except the case where the data subject has been informed of the new purposes and his/her consent has been obtained prior to collecting, using or disclosing the data, or it is permitted to do so by the provisions of law.
Clause 6 The University shall collect the Personal Data for its operations to the extent necessary with appropriate retention period in relation to the lawful purposes based on the lawful basis for processing the Personal Data that is consistent with the law concerning personal data protection.
Clause 7 In the event that the University shall use the consent basis to collect, use or disclose the Personal Data, a request for consent is required to be made explicitly in a written statement or made through the electronic means unless it cannot be done by its nature. Additionally, to request such consent, the University is required to inform the data subject of the purpose for collecting, using or disclosing the Personal Data. Such request for consent shall be clearly separated from the other text. The consent form or statement shall be easily accessible and intelligible with using clear and plain language and does not deceptive or misleading to the data subject regarding those purposes.
To request for consent from the data subject, the University shall utmost take into account that the data subject's consent is freely given. Also, the entering into a contract as well as providing any university service shall not be a conditions to obtaining consent for collecting, using, or disclosing of the Personal Data that are neither necessary nor relevant to entering into the contract including providing those services.
The data subject may withdraw his or her given consent at any time and the consent shall be withdrawn as easily as given, unless there is a restriction on the withdrawal of consent by law or a contract that grants benefits to the data subject. Nonetheless, the withdrawal of consent shall not affect the collection, use, or disclosure of the Personal Data for which the data subject has already given his/her consent legally. Also, in the event that the withdrawal of consent affects the data subject in any matter, the University shall inform him or her of the consequences of that consent’s withdrawal.
Clause 8 To request consent for collecting, using, or disclosing the personal data from the minor who is not sui juris by marriage or has no capacity as sui juris person under Section 27 of the Civil and Commercial Code as well as the personal data of an incompetent or a quasi-incompetent, or the consent’s withdrawal of those persons, the University shall operate in accordance with the law concerning personal data protection.
Clause 9 To collect the Personal Data for the University's operations, the University shall inform the data subject a privacy notice as stipulated in the law concerning personal data protection prior to or at the time of such collection unless the data subject already knows of those details.
Clause 10 collect, use or disclose the sensitive personal data which may include racial, ethnic origin, political opinions, cult, religious or philosophical beliefs, sexual behavior, criminal records, health data, disability, trade union information, genetic data, biometric data, or any other data affecting the data subject in the same manner, as specified by the personal data committee, the University shall have the duties to protect such Personal Data in particular from being collected, used or disclosed those data unlawfully or redundantly, and the subject data's consent shall be obtained explicitly unless it is permitted by another
lawful basis for processing Personal Data in compliance with the law concerning personal data protection.
Clause 11 Due to the fact that part of main activities of the University’s operations shall be the collection, use, or disclosure of the sensitive personal data under Clause 10, it is required to provide a data protection officer (DPO) to perform duties as prescribed by law. Moreover, the University shall support the DPO’s work by providing adequate tools or equipment as well as facilitating access to Personal Data in order to carry out his or her duties, and shall supervise him or her to work independently without interference. However, in the event of any problem in performing DPO’s duties, he or she shall report directly to the President, Head of related working units, or the data processor who operates the processing of collection, use or disclosure of the Personal Data according to the orders, or on behalf of the University.
Clause 12 For the benefits of the University’s operations and the provision of services to the data subject, it is necessary for the University to disclose the Personal Data to other person or juristic person, who is in whether the Kingdom of Thailand or a foreign country, as a personal data processor or a data controller who has the authority to decide on the collection, use, or disclosure of the Personal Data. To disclose the personal data to that person or juristic person, the University shall proceed to have him or her keep the personal data confidential and prevent such person from using or disclosing such Personal Data for any purpose other than the scope specified by the University, or without authorization, or unlawfully.
Clause 13 To send or transfer the Personal Data to a foreign country, the University shall manage to ensure that the destination country or the international organization that receives the Personal Data shall have adequate data protection standard except the case where it is permitted to do so by the law concerning personal data protection.
Clause 14 The University shall provide access and facilities to the data subject or his/her authorized representative for exercising the data subject’s rights in accordance with the law concerning personal data protection, which include as follows:
(1) Right to access to and obtain copy of the Personal Data related to him or her which is under responsibility of the University or to request the disclosure of the acquisition of the Personal Data obtained without his or her consent.
(2) Right to receive the Personal Data related to him or her. In this case, the University shall arrange such data in a readable or commonly used format with an automatic tools or equipment, and such format can be used or disclosed the Personal Data through automated means. Additionally, the right to request the University to send or transfer the Personal Data in such format to another data controller if it can be done by the automated means, and the right to directly obtain the Personal Data in such format transferred by the University to another data controller except where technically infeasible.
(3) Right to object the collection, use, and disclosure of his or her Personal Data.
(4) Right to request the University to erase, destroy or anonymize the Personal data to become the data which cannot identify the data subject.
(5) Right to request the University to restrict the use of the Personal Data.
(6) Right to request the University to keep his/her Personal Data accurate, up-to- date, and complete without misleading.
However, the University may reject those above requests of the data subject or his/her authorized representative if is not contrary to the laws.
Clause 15 In order to protect the Personal Data, the University and its units shall provide appropriate security measures for preventing the unlawful loss, destruction, access to, use, alteration, correction and disclosure of Personal Data. In addition, such measures are required to be reviewed when necessary, or when technology changes in order to maintain effective and appropriate security. This, however, shall meet the minimum standard set by the Personal Data Protection Committee.
Clause 16 In case of any Personal Data breach, the unit shall notify the University and its DPO of this incident according to the criteria, procedure and methods set by the University. Then the University shall report such breach of Personal Data to Office of Personal Data Protection Commission and/or the data subject, as the case may be, as prescribed by law.
Clause 17 The University shall cooperate with Office of the Personal Data Protection Commission as well as the agencies that supervise or have the authority under related laws to ensure that the protection of personal data complies with the law.
Clause 18 All of the executives, staff members and students of the units of the University shall cooperate and comply with the law concerning personal data protection and other laws as well as the policies, guidelines and measures for protecting Personal Data prescribed by the University in accordance with this announcement.
The University and its units are responsible for supervising their executives, staff members and students to comply with the laws, policies, guidelines, and measures under the first paragraph.
The University and its units shall take the personal data protection as part of their enterprise risk management which risks are appropriately controlled as well as regularly monitored and reviewed.
Clause 19 The University may set up a complaint management system with regard to personal data protection under the criteria and procedure prescribed by the University.
Clause 20 The executives and related staff members of Mahidol University and its units are responsible for preparation of their operations in correspondence with provisions of the law concerning personal data protection as scheduled in those provision which will be effective. Also, they are responsible for supervising and proceeding to subsequent operations in compliance with the provisions of the law concerning personal data protection and this announcement.
Clause 21 Any operations under this announcement shall be handled in accordance with the regulations and announcements issued by the University.
Updated on October 27, 2023
In case that you have any inquires, comments, or recommendations about the privacy policy, personal information, or the compliance with this privacy policy document, the Faculty of Graduate Studies is pleased to answer any questions and accept any comments or recommendations which are considered as beneficial for further development. You can contact the faculty from the following address:
Faculty of Graduate Studies, Mahidol University
Address : 25/25 Moo. 5, Faculty of Graduate Studies Building, Mahidol University Salaya, Phuttamonthon District, Nakhon Pathom
Telephone : 0 2441 4125
e-mail : grwww@mahidol.ac.th
Website : https://muce.mahidol.ac.th/