นโยบายคุ้มครองข้อมูลส่วนบุคคล มหาวิทยาลัยเชียงใหม่


โดยที่เป็นการสมควรกำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อเป็นหลักเกณฑ์ในการให้ความคุ้มครองข้อมูลส่วนบุคคลของเจ้าของข้อมูล ส่วนบุคคล และกำหนดมาตรการในการบริหารจัดการเกี่ยวกับการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล ที่มีประสิทธิภาพและเหมาะสม สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงกฎหมายหรือกฎอื่นที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล
อาศัยอำนาจตามความในมาตรา 35 มาตรา 38 แห่งพระราชบัญญัติมหาวิทยาลัยเชียงใหม่ พ.ศ. 2551 ประกอบกับมติสภามหาวิทยาลัยเชียงใหม่ ในการประชุมครั้งที่ 10/2551 เมื่อวันที่ 27 กันยายน 2551 จึงออกประกาศดังต่อไปนี้
  • ข้อ 1 ประกาศนี้ เรียกว่า “ประกาศมหาวิทยาลัยเชียงใหม่ เรื่อง นโยบายคุ้มครองข้อมูลส่วนบุคคล มหาวิทยาลัยเชียงใหม่ (CMU Privacy Policy)”
  • ข้อ 2 ประกาศนี้ ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศเป็นต้นไป
  • ข้อ 3 ในประกาศนี้
    • “มหาวิทยาลัย” หมายถึง มหาวิทยาลัยเชียงใหม่
    • “อธิการบดี” หมายถึง อธิการบดีมหาวิทยาลัยเชียงใหม่
    • “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” หมายความว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมาย กฎ อื่นที่เกี่ยวข้อง
    • "บุคคล" หมายความว่า บุคคลธรรมดา
    • “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคล (Personal Data) ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลนิติบุคคล และข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
    • “การประมวลผลข้อมูลส่วนบุคคล” หมายความว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Personal Data Processing)
    • “เจ้าของข้อมูลส่วนบุคคล” หมายความว่า บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่ มหาวิทยาลัย เก็บรวบรวม ใช้ หรือเปิดเผย (Data Subject)
    • “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า มหาวิทยาลัย หรือบุคคล คณะบุคคล หรือ นิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Data Controller)
    • “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคล คณะบุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคล คณะบุคคล หรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Processor)
    • “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หมายความว่า บุคคล หรือคณะบุคคลซึ่งทำหน้าที่ตรวจสอบ กำกับและให้คำแนะนำในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตลอดจนประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
    • “นโยบาย” หมายความว่า นโยบายคุ้มครองข้อมูลส่วนบุคคล มหาวิทยาลัยเชียงใหม่ (CMU Privacy Policy)”
    • “คุกกี้” หมายความว่า ไฟล์คอมพิวเตอร์เล็กๆ ที่จะเก็บข้อมูลส่วนบุคคลชั่วคราวที่จำเป็นลงในเครื่องคอมพิวเตอร์ของเจ้าของข้อมูลส่วนบุคคล (Cookies) เพื่อความสะดวกและรวดเร็วในการติดต่อสื่อสาร ซึ่งจะมีผลในขณะที่เข้าใช้งานระบบเว็บไซต์เท่านั้น
  • ข้อ 4 วัตถุประสงค์ของการคุ้มครองข้อมูลส่วนบุคคล
    มหาวิทยาลัย ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลและข้อมูลอื่นอันเกี่ยวกับเจ้าของข้อมูลส่วนบุคคล เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถเชื่อมั่นได้ว่ามหาวิทยาลัยมีความโปร่งใสและความรับผิดชอบในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงกฎหมาย กฎอื่นที่เกี่ยวข้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้ จึงได้ถูกจัดทำขึ้นเพื่อชี้แจงแก่เจ้าของข้อมูลส่วนบุคคลถึงรายละเอียดเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลซึ่งดำเนินการโดยมหาวิทยาลัย รวมถึงเจ้าหน้าที่และบุคคล คณะบุคคล หรือนิติบุคคลที่เกี่ยวข้องผู้ดำเนินการแทนหรือในนามของมหาวิทยาลัย โดยมีเนื้อหาสาระตามประกาศนี้
  • ข้อ 5 ขอบเขตการบังคับใช้นโยบาย
    นโยบายนี้ใช้บังคับกับข้อมูลส่วนบุคคลของบุคคลซึ่งมีความสัมพันธ์กับมหาวิทยาลัยในปัจจุบันและที่อาจมีในอนาคต ซึ่งถูกประมวลผลข้อมูลส่วนบุคคลโดยผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคล ภายใต้ผลิตภัณฑ์และบริการต่าง ๆ เช่น เว็บไซต์ ระบบ แอปพลิเคชัน เอกสาร หรือบริการในรูปแบบอื่นที่ควบคุมดูแลโดยมหาวิทยาลัย (รวมเรียกว่า “บริการ”)
    บุคคลมีความสัมพันธ์กับมหาวิทยาลัย ตามความในวรรคแรก รวมถึง
    • (1) ผู้รับบริการซึ่งเป็นบุคคลธรรมดา
    • (2) พนักงานมหาวิทยาลัย
    • (3) คู่ค้าและผู้ให้บริการ
    • (4) กรรมการ ผู้รับมอบอำนาจ ผู้แทน ตัวแทน ผู้ถือหุ้น ลูกจ้าง หรือบุคคลอื่นที่มีความสัมพันธ์ในรูปแบบเดียวกันของนิติบุคคลที่มีความสัมพันธ์กับมหาวิทยาลัย
    • (5) ผู้ใช้งานผลิตภัณฑ์หรือบริการของมหาวิทยาลัย
    • (6) ผู้เข้าชมหรือใช้งานเว็บไซต์ https://cmu.ac.th/ รวมทั้งระบบ แอปพลิเคชัน อุปกรณ์ หรือ ช่องทางการสื่อสารอื่นซึ่งควบคุมดูแลโดยมหาวิทยาลัย
    • (7) บุคคลอื่นที่ มหาวิทยาลัย เก็บรวบรวมข้อมูลส่วนบุคคล เช่น ผู้สมัครงาน ครอบครัวของผู้ปฏิบัติงานในมหาวิทยาลัย ผู้ค้ำประกัน ผู้รับประโยชน์ในนิติกรรม เป็นต้น
    นอกจากนโยบายฉบับนี้แล้ว มหาวิทยาลัยอาจกำหนดให้มีคำประกาศเกี่ยวกับความเป็นส่วนตัว (“ประกาศ”) เพื่อชี้แจงให้เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงข้อมูลส่วนบุคคลที่ถูกประมวลผล วัตถุประสงค์และเหตุผลอันชอบด้วยกฎหมายในการประมวลผล ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล รวมถึงสิทธิในข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลพึงมีในการประมวลผลข้อมูลส่วนบุคคลนั้นเป็นการเฉพาะเจาะจง
  • ข้อ 6 แหล่งที่มาของข้อมูลส่วนบุคคลที่มหาวิทยาลัยเก็บรวบรวม
    มหาวิทยาลัย เก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่าง ๆ จากแหล่งข้อมูลดังต่อไปนี้
    • (1) ข้อมูลส่วนบุคคลที่มหาวิทยาลัย เก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงในช่องทางให้บริการต่าง ๆ เช่น ขั้นตอนการสมัคร ลงทะเบียน สมัครงาน ลงนามในสัญญา เอกสาร ทำแบบสำรวจหรือใช้งานผลิตภัณฑ์ บริการ หรือช่องทางให้บริการอื่นที่ควบคุมดูแลโดยมหาวิทยาลัย หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับมหาวิทยาลัย ณ ที่ทำการหรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดย มหาวิทยาลัย เป็นต้น
    • (2) ข้อมูลที่มหาวิทยาลัย เก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ ผลิตภัณฑ์หรือบริการอื่น ๆ ตามสัญญาหรือตามพันธกิจ เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ ผลิตภัณฑ์หรือบริการของมหาวิทยาลัย ด้วยการใช้คุกกี้(Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น
    • (3) ข้อมูลส่วนบุคคลที่มหาวิทยาลัย เก็บรวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล โดยที่แหล่งข้อมูลดังกล่าวมีอำนาจหน้าที่ มีเหตุผลที่ชอบด้วยกฎหมายหรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลแก่มหาวิทยาลัย เช่น การเชื่อมโยงบริการดิจิทัลของหน่วยงานของรัฐในการให้บริการเพื่อประโยชน์สาธารณะแบบเบ็ดเสร็จแก่เจ้าของข้อมูลส่วนบุคคลเอง การรับข้อมูลส่วนบุคคลจากหน่วยงานของรัฐแห่งอื่นในฐานะที่มหาวิทยาลัย มีหน้าที่ตามพันธกิจในการดำเนินการจัดให้มีศูนย์แลกเปลี่ยนข้อมูลกลางเพื่อสนับสนุนการดำเนินการของหน่วยงานของรัฐในการให้บริการประชาชนผ่านระบบดิจิทัล รวมถึงจากความจำเป็นเพื่อให้บริการตามสัญญาที่อาจมีการแลกเปลี่ยนข้อมูลส่วนบุคคลกับหน่วยงานคู่สัญญาได้
    นอกจากนี้ ยังหมายความรวมถึงกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้ให้ข้อมูลส่วนบุคคลของบุคคลภายนอกแก่มหาวิทยาลัย ดังนี้ เจ้าของข้อมูลส่วนบุคคลมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดตามนโยบายนี้หรือประกาศของผลิตภัณฑ์หรือบริการ ตามแต่กรณี ให้บุคคลดังกล่าวทราบ ตลอดจนขอความยินยอมจากบุคคลนั้นหากเป็นกรณีที่ต้องได้รับความยินยอมในการเปิดเผยข้อมูลแก่มหาวิทยาลัย
    ทั้งนี้ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลที่มีความจำเป็นในการให้บริการของมหาวิทยาลัยอาจเป็นผลให้มหาวิทยาลัยไม่สามารถให้บริการนั้นแก่เจ้าของข้อมูลส่วนบุคคลดังกล่าวได้ทั้งหมดหรือบางส่วน
  • ข้อ 7 หลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล
    มหาวิทยาลัยจะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลเท่านั้น โดยมหาวิทยาลัยจะขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่ในกรณีดังต่อไปนี้ มหาวิทยาลัยสามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้ โดยไม่ต้อง ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
    • (1) การจัดทำเอกสารประวัติศาสตร์ วิจัยหรือสถิติที่สำคัญ มหาวิทยาลัยสามารถจัดทำหรือสนับสนุนการจัดทำเอกสารประวัติศาสตร์ วิจัยหรือสถิติตามที่มหาวิทยาลัย อาจได้รับมอบหมาย เช่น การจัดให้มีทำเนียบผู้ดำรงตำแหน่ง ผู้บริหาร ผู้ทรงคุณวุฒิ คณะกรรมการ นักศึกษา นักศึกษาเก่าหรือ ผู้มีอุปการคุณต่อมหาวิทยาลัย การจัดทำสถิติการใช้บริการดิจิทัลภาครัฐ งานติดตามการดำเนินนโยบายรัฐบาลดิจิทัล เป็นต้น
    • (2) การจำเป็นเพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล มหาวิทยาลัยสามารถใช้เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่น การให้บริการแอปพลิเคชันเพื่อเฝ้าระวังโรคระบาด เป็นต้น
    • (3) การปฏิบัติตามสัญญา มหาวิทยาลัยสามารถปฏิบัติหน้าที่ตามสัญญา หรือดำเนินการอันเป็นความจำเป็นต่อการเข้าทำสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญากับมหาวิทยาลัย เช่น การจ้างงาน จ้างทำของ การทำบันทึกข้อตกลงความร่วมมือหรือสัญญาในรูปแบบอื่น เป็นต้น
      ทั้งนี้ กรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลส่วนบุคคลหรือ คัดค้านการดำเนินการประมวลผลตามวัตถุประสงค์ของการปฏิบัติตามสัญญา อาจมีผลทำให้มหาวิทยาลัย ไม่สามารถดำเนินการหรือให้บริการตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอได้ทั้งหมดหรือบางส่วน
    • (4) การดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือการใช้อำนาจรัฐ มหาวิทยาลัยสามารถใช้อำนาจรัฐและดำเนินภารกิจเพื่อประโยชน์สาธารณะตามพันธกิจซึ่งกำหนดไว้ตามกฎหมาย เช่น พระราชบัญญัติมหาวิทยาลัยเชียงใหม่ พ.ศ.2551 พระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 รวมตลอดถึง กฎหมาย กฎ ข้อบังคับ ระเบียบ คำสั่งและหรือมติคณะรัฐมนตรีที่เกี่ยวข้องอื่นๆ เป็นต้น
    • (5) การจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย มหาวิทยาลัยสามารถใช้ เพื่อประโยชน์โดยชอบด้วยกฎหมายของมหาวิทยาลัยและของบุคคลอื่น ซึ่งประโยชน์ดังกล่าวมีความสำคัญ ไม่น้อยไปกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เช่น เพื่อการรักษาทรัพย์สินของมหาวิทยาลัย เพื่อการรักษาความปลอดภัยภายในอาคารสถานที่หรือบริเวณพื้นที่ของมหาวิทยาลัย หรือ การประมวลผลข้อมูลส่วนบุคคลเพื่อกิจการภายในของมหาวิทยาลัยหรือตามพระราชบัญญัติมหาวิทยาลัยเชียงใหม่ พ.ศ.2551 เป็นต้น
    • (6) การปฏิบัติหน้าที่ตามกฎหมาย มหาวิทยาลัยสามารถปฏิบัติตามที่กฎหมายกำหนดหรือควบคุม เช่น การเก็บรวบรวมข้อมูลจราจรทางคอมพิวเตอร์ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 กฎหมายว่าด้วยภาษีอากร รวมตลอดถึงการดำเนินการตามคำสั่งของผู้บังคับใช้กฎหมาย เจ้าพนักงานหรือศาล เป็นต้น
  • ข้อ 8 ประเภทของข้อมูลส่วนบุคคลที่มหาวิทยาลัยเก็บรวบรวม
    มหาวิทยาลัย อาจเก็บรวบรวมหรือได้มาซึ่งข้อมูลดังต่อไปนี้ ซึ่งอาจรวมถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ขึ้นอยู่กับบริการที่เจ้าของข้อมูลส่วนบุคคลใช้หรือบริบทความสัมพันธ์ที่เจ้าของข้อมูลส่วนบุคคลมีกับมหาวิทยาลัย รวมถึงข้อพิจารณาอื่นที่มีผลกับการเก็บรวบรวมข้อมูลส่วนบุคคล โดยประเภทของข้อมูลที่ระบุไว้ดังต่อไปนี้เป็นเพียงกรอบการเก็บรวบรวมข้อมูลส่วนบุคคลของมหาวิทยาลัย เป็นการทั่วไป ทั้งนี้ เฉพาะข้อมูลที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการที่เจ้าของข้อมูลส่วนบุคคลใช้งานหรือ มีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้
    • (1) ข้อมูลเฉพาะตัวบุคคล เป็นข้อมูลระบุชื่อเรียกของเจ้าของข้อมูลส่วนบุคคลหรือข้อมูลจากเอกสารราชการที่ระบุข้อมูลเฉพาะตัวของเจ้าของข้อมูลส่วนบุคคล เช่น คำนำหน้าชื่อ ชื่อ นามสกุล ชื่อกลาง ชื่อเล่น ลายมือชื่อ เลขที่บัตรประจำตัวประชาชน สัญชาติ เลขที่ใบขับขี่ เลขที่หนังสือเดินทาง ข้อมูลทะเบียนบ้าน หมายเลขใบประกอบการ หมายเลขใบอนุญาตการประกอบวิชาชีพ (สำหรับแต่ละอาชีพ) หมายเลขประจำตัวผู้ประกันตน หมายเลขประกันสังคม เป็นต้น
    • (2) ข้อมูลเกี่ยวกับคุณลักษณะของบุคคล เป็นข้อมูลรายละเอียดเกี่ยวกับตัวเจ้าของข้อมูลส่วนบุคคล เช่น วันเดือนปีเกิด เพศ ส่วนสูง น้ำหนัก อายุ สถานภาพการสมรส สถานภาพการเกณฑ์ทหาร รูปถ่าย ภาษาพูด ข้อมูลพฤติกรรม ความชื่นชอบ ข้อมูลการเป็นบุคคลล้มละลาย ข้อมูลการเป็นคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ เป็นต้น
    • (3) ข้อมูลสำหรับการติดต่อ เป็นข้อมูลเพื่อการติดต่อเจ้าของข้อมูลส่วนบุคคล เช่น เบอร์โทรศัพท์บ้าน เบอร์โทรศัพท์เคลื่อนที่ หมายเลขโทรสาร อีเมล ที่อยู่ทางไปรษณีย์บ้าน ชื่อผู้ใช้งานในสังคมออนไลน์ (Line ID, MS Teams ฯลฯ) แผนที่ตั้งของที่พัก เป็นต้น
    • (4) ข้อมูลเกี่ยวกับการทำงานและการศึกษา เป็นรายละเอียดการจ้างงาน รวมถึงประวัติการทำงานและประวัติการศึกษา เช่น ประเภทการจ้างงาน อาชีพ ยศ ตำแหน่ง หน้าที่ ความเชี่ยวชาญ สถานภาพใบอนุญาตทำงาน ข้อมูลบุคคลอ้างอิง หมายเลขประจำตัวผู้เสียภาษี ประวัติการดำรงตำแหน่ง ประวัติการทำงาน ข้อมูลเงินเดือน วันเริ่มงาน วันออกจากงาน ผลการประเมิน สวัสดิการและสิทธิประโยชน์ พัสดุในครอบครองของผู้ปฏิบัติงาน ผลงาน หมายเลขบัญชีธนาคาร สถาบันการศึกษา วุฒิการศึกษา ผลการศึกษา วันที่สำเร็จการศึกษา เป็นต้น
    • (5) ข้อมูลเกี่ยวกับกรมธรรม์ประกันภัย เป็นรายละเอียดเกี่ยวกับกรมธรรม์ประกันภัยผู้ปฏิบัติงาน เช่น ผู้รับประกันภัย ผู้เอาประกันภัย ผู้รับประโยชน์ หมายเลขกรมธรรม์ ประเภทกรมธรรม์ วงเงินคุ้มครอง ข้อมูลเกี่ยวกับการเคลม เป็นต้น
    • (6) ข้อมูลเกี่ยวกับความสัมพันธ์ทางสังคม เป็นข้อมูลความสัมพันธ์ทางสังคมของเจ้าของข้อมูลส่วนบุคคล เช่น สถานภาพทางการเมือง การดำรงตำแหน่งทางการเมือง การดำรงตำแหน่งกรรมการ ความสัมพันธ์กับผู้ปฏิบัติงานของมหาวิทยาลัย ข้อมูลการเป็นผู้มีสัญญาจ้างกับมหาวิทยาลัย ข้อมูลการเป็น ผู้มีส่วนได้เสียในกิจการที่ทำกับมหาวิทยาลัย เป็นต้น
    • (7) ข้อมูลเกี่ยวกับการใช้บริการของมหาวิทยาลัย เช่น ชื่อบัญชีผู้ใช้งาน รหัสผ่าน หมายเลข PIN ข้อมูล Single Sign-on (SSO ID) รหัส OTP ข้อมูลการจราจรทางคอมพิวเตอร์ ข้อมูลระบุพิกัด ภาพถ่าย วีดีโอ บันทึกเสียง ข้อมูลพฤติกรรมการใช้งาน(เว็บไซต์ที่อยู่ในความดูแลของมหาวิทยาลัย เช่น https://www.cmu.ac.th/ หรือ แอปพลิเคชันต่าง ๆ) ประวัติการสืบค้น คุกกี้หรือเทคโนโลยีในลักษณะเดียวกัน หมายเลขอุปกรณ์ (Device ID) ประเภทอุปกรณ์ รายละเอียดการเชื่อมต่อ ข้อมูล Browser ภาษาที่ใช้งาน ระบบปฏิบัติการที่ใช้งาน เป็นต้น
    • (8) ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน เป็นข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนของเจ้าของข้อมูลส่วนบุคคล เช่น เชื้อชาติ ข้อมูลศาสนา ข้อมูลความพิการ ข้อมูลความเห็นทางการเมือง ประวัติอาชญากรรม ข้อมูลชีวภาพ (ข้อมูลภาพจำลองใบหน้า) ข้อมูลเกี่ยวกับสุขภาพ เป็นต้น
  • ข้อ 9 คุกกี้
    มหาวิทยาลัยเก็บรวบรวมและใช้คุกกี้ รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกันในเว็บไซต์ที่อยู่ภายใต้ความดูแลของมหาวิทยาลัย เช่น https://www.cmu.ac.th/ หรือบนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคลตามแต่บริการที่เจ้าของข้อมูลส่วนบุคคลใช้งาน ทั้งนี้ เพื่อการดำเนินการด้านความปลอดภัยในการให้บริการของมหาวิทยาลัย และเพื่อให้เจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้ใช้งานได้รับความสะดวกและประสบการณ์ที่ดีในการใช้งานบริการของมหาวิทยาลัย และข้อมูลเหล่านี้จะถูกนำไปเพื่อปรับปรุงเว็บไซต์ของ มหาวิทยาลัยให้ตรงกับความต้องการของเจ้าของข้อมูลส่วนบุคคลมากยิ่งขึ้น โดยเจ้าของข้อมูลส่วนบุคคลสามารถตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเองจากการตั้งค่าในเว็บเบราว์เซอร์ (Web Browser) ของเจ้าของข้อมูลส่วนบุคคล
  • ข้อ 10 ข้อมูลส่วนบุคคลของผู้เยาว์ คนไร้ความสามารถ และคนเสมือนไร้ความสามารถ
    กรณีที่มหาวิทยาลัย ทราบว่าข้อมูลส่วนบุคคลที่จำเป็นต้องได้รับความยินยอมในการเก็บรวบรวม เป็นของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้เยาว์ คนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ มหาวิทยาลัยจะไม่ทำการเก็บรวบรวมข้อมูลส่วนบุคคลนั้นจนกว่าจะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี ทั้งนี้ เป็นไปตามเงื่อนไขที่กฎหมายกำหนด
    กรณีที่มหาวิทยาลัย ไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ คนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ และมาพบในภายหลังว่ามหาวิทยาลัย ได้เก็บรวบรวมข้อมูลของเจ้าของข้อมูลส่วนบุคคลดังกล่าวโดยยังมิได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล หรือผู้พิทักษ์ตามแต่กรณี มหาวิทยาลัยจะดำเนินการลบ ทำลายข้อมูลส่วนบุคคลนั้นโดยเร็ว เว้นแต่ มีเหตุอันชอบด้วยกฎหมายประการอื่นนอกเหนือจากความยินยอมในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลดังกล่าว
  • ข้อ 11 วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล
    มหาวิทยาลัย ดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์หลายประการ ซึ่งขึ้นอยู่กับประเภทของบริการหรือกิจกรรมที่เจ้าของข้อมูลส่วนบุคคลได้ ถูกประมวลผลข้อมูล ตลอดจนลักษณะความสัมพันธ์ของเจ้าของข้อมูลส่วนบุคคลกับมหาวิทยาลัย หรือข้อพิจารณาในแต่ละบริบทเป็นสำคัญ ทั้งนี้ มหาวิทยาลัยจะประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือขณะเก็บรวบรวมข้อมูลเท่านั้น
    โดยวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของมหาวิทยาลัย รวมถึงแต่ไม่จำกัดเพียงวัตถุประสงค์ที่ระบุดังต่อไปนี้
    • (1) เพื่อดำเนินการตามที่จำเป็นในการดำเนินงานตามที่มหาวิทยาลัยได้รับมอบหมายให้สำเร็จลุล่วง หรือเป็นการจำเป็นเพื่อใช้อำนาจทางกฎหมายที่มหาวิทยาลัยมีอำนาจหน้าที่ในการดำเนินการ ตามพันธกิจดังปรากฏในพระราชบัญญัติมหาวิทยาลัย พ.ศ.2551 และกฎหมาย กฎ ข้อบังคับ ประกาศหรือคำสั่งที่เกี่ยวข้อง เช่น เพื่อจัดการศึกษา เพื่อส่งเสริมวิชาการและวิชาชีพชั้นสูง เพื่อทำการวิจัยเพื่อความเป็นเลิศทางวิชาการและเกิดประโยชน์แก่สังคมเป็นส่วนรวม เพื่อบริการทางวิชาการแก่สังคม เพื่อทะนุบํารุงและส่งเสริมศิลปวัฒนธรรม เพื่ออนุรักษ์สิ่งแวดล้อม เป็นต้น
    • (2) เพื่อใช้ยืนยันตัวตน หรือพิสูจน์ตัวตนของเจ้าของข้อมูลส่วนบุคคลในการให้บริการของมหาวิทยาลัย
    • (3) เพื่อใช้วิเคราะห์ ปรับปรุง พัฒนาคุณภาพการให้บริการของมหาวิทยาลัย หรือเพื่อทำการวิจัยหรือบริการทางวิชาการ
    • (4) เพื่อดำเนินการตามที่จำเป็นในการบริหารจัดการภายในองค์กรของมหาวิทยาลัย รวมถึงการรับสมัครพนักงานมหาวิทยาลัย การสรรหาผู้ดำรงตำแหน่งต่างๆ ตามที่กำหนดในพระราชบัญญัติมหาวิทยาลัย พ.ศ.2551 และกฎหมาย กฎ ข้อบังคับ ประกาศหรือคำสั่งที่เกี่ยวข้อง ตลอดจนการจัดการเกี่ยวกับสิทธิและสวัสดิการ
    • (5) เพื่อการประชาสัมพันธ์กิจกรรม โครงการของมหาวิทยาลัยหรือที่มหาวิทยาลัยร่วมมือกับหน่วยงานแห่งอื่น หรือการสื่อสารข้อมูลของมหาวิทยาลัย
    • (6) เพื่อควบคุมการดำเนินงานภายในมหาวิทยาลัยให้เป็นไปตามกฎหมาย กฎ ข้อบังคับ ประกาศหรือคำสั่งที่เกี่ยวข้อง หรือเพื่อการปฏิบัติตามกฎหมาย กฎ ข้อบังคับ ประกาศหรือคำสั่งที่เกี่ยวข้องที่มีผลบังคับใช้ หรือการดำเนินการเกี่ยวกับคดีความ ตลอดจนเป็นการปฏิบัติตามหน้าที่ที่มหาวิทยาลัยมีต่อหน่วยงานของรัฐแห่งอื่นที่มีอำนาจตามกฎหมาย
  • ข้อ 12 ประเภทบุคคลที่มหาวิทยาลัย เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
    ภายใต้วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่ได้ระบุไว้ในนโยบายฉบับนี้ มหาวิทยาลัยอาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้แก่บุคคลดังต่อไปนี้
    • (1) หน่วยงานของรัฐหรือผู้มีอำนาจที่มหาวิทยาลัยต้องเปิดเผยข้อมูลเพื่อวัตถุประสงค์ในการดำเนินการตามกฎหมายหรือวัตถุประสงค์สำคัญอื่น การดำเนินการเพื่อประโยชน์สาธารณะ หน่วยงาน ผู้บังคับใช้กฎหมาย หรือมีอำนาจควบคุมกำกับดูแลหรือมีวัตถุประสงค์อื่นที่มีความสำคัญ เช่น คณะรัฐมนตรี รัฐมนตรีผู้รักษาการ กรมการปกครอง กรมสรรพากร สำนักงานตำรวจ ศาล สำนักงานอัยการ กรมควบคุมโรค กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม สำนักงานปลัดสำนักนายกรัฐมนตรี กรมการกงสุล กองทุนเงินให้กู้ยืมเพื่อการศึกษา เป็นต้น
    • (2) คณะกรรมการต่าง ๆ ที่เกี่ยวข้องกับการดำเนินการตามกฎหมายของมหาวิทยาลัยมหาวิทยาลัย อาจเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลแก่บุคคลผู้ดำรงตำแหน่งกรรมการในคณะต่าง ๆ เช่น สภามหาวิทยาลัย สภาวิชาการ สภาพนักงาน คณะกรรมการบริหารมหาวิทยาลัย คณะกรรมการบริหารงานบุคคล คณะกรรมการอุทธรณ์และร้องทุกข์ คณะกรรมการสืบสวน/สอบสวน คณะกรรมการสรรหา เป็นต้น
    • (3) คู่สัญญาซึ่งดำเนินการเกี่ยวกับสวัสดิการของผู้ปฏิบัติงานของมหาวิทยาลัยบุคคลภายนอกที่มหาวิทยาลัย จัดซื้อจัดจ้างให้ดำเนินการเกี่ยวกับสวัสดิการ สิทธิประโยชน์ เช่น บริษัทประกันภัย โรงพยาบาล บริษัทผู้จัดทำ Payroll ธนาคาร ผู้ให้บริการโทรศัพท์ กองทุนสำรองเลี้ยงชีพเป็นต้น
    • (4) พันธมิตรทางธุรกิจ มหาวิทยาลัยอาจเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลแก่บุคคลที่ร่วมงานกับ มหาวิทยาลัย เพื่อประโยชน์ในการให้บริการแก่เจ้าของข้อมูลส่วนบุคคล เช่น หน่วยงาน ผู้ให้บริการที่เจ้าของข้อมูลส่วนบุคคลติดต่อผ่านบริการของ มหาวิทยาลัย ผู้ให้บริการด้านการตลาด สื่อโฆษณา สถาบันการเงิน ผู้ให้บริการแพลตฟอร์ม ผู้ให้บริการโทรคมนาคม เป็นต้น
    • (5) ผู้ให้บริการ มหาวิทยาลัย อาจมอบหมายให้บุคคลอื่นเป็นผู้ให้บริการแทน หรือสนับสนุนการดำเนินการของมหาวิทยาลัย เช่น ผู้ให้บริการด้านการจัดเก็บข้อมูล (เช่น คลาวด์ โกดังเอกสาร) ผู้พัฒนาระบบ ซอฟต์แวร์ แอปพลิเคชัน เว็บไซต์ ผู้ให้บริการจัดส่งเอกสาร ผู้ให้บริการด้านการชำระเงิน ผู้ให้บริการอินเทอร์เน็ต ผู้ให้บริการโทรศัพท์ ผู้ให้บริการด้าน Digital ID ผู้ให้บริการสื่อสังคมออนไลน์ ผู้ให้บริการด้านการบริหารความเสี่ยง ที่ปรึกษาภายนอก ผู้ให้บริการขนส่ง เป็นต้น
    • (6) ผู้รับข้อมูลประเภทอื่น มหาวิทยาลัยอาจเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลให้แก่บุคคลผู้รับข้อมูลประเภทอื่น เช่น ผู้ติดต่อ มหาวิทยาลัย สมาชิกในครอบครัว มูลนิธิที่ไม่แสวงหากำไร วัด โรงพยาบาล สถานศึกษา หรือหน่วยงานอื่น ๆ เป็นต้น ทั้งนี้ เพื่อการดำเนินการเกี่ยวกับบริการของ มหาวิทยาลัย การฝึกอบรม การรับรางวัล การร่วมทำบุญ บริจาค เป็นต้น
    • (7) การเปิดเผยข้อมูลต่อสาธารณะ มหาวิทยาลัยอาจเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลต่อสาธารณะในกรณีที่จำเป็น เช่น การดำเนินการที่กำหนดให้ มหาวิทยาลัยต้องประกาศลงในราชกิจจานุเบกษา หรือมติคณะรัฐมนตรี เป็นต้น
    ทั้งนี้ ประเภทของบุคคลผู้รับข้อมูลที่ระบุไว้ข้างต้น เป็นเพียงกรอบการเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัย เป็นการทั่วไป เฉพาะบุคคลผู้รับข้อมูลที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการที่เจ้าของข้อมูลส่วนบุคคลใช้งานหรือมีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้
  • ข้อ 13 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
    ในบางกรณีมหาวิทยาลัยอาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังต่างประเทศเพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการแก่เจ้าของข้อมูลส่วนบุคคล เช่น เพื่อส่งข้อมูลส่วนบุคคลไปยังระบบคลาวด์ (Cloud) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย (Server) อยู่ต่างประเทศ เพื่อสนับสนุนระบบเทคโนโลยีสารสนเทศที่ตั้งอยู่นอกประเทศไทย ทั้งนี้ ขึ้นอยู่กับบริการของ มหาวิทยาลัย ที่เจ้าของข้อมูลส่วนบุคคลใช้งานหรือมีส่วนเกี่ยวข้องเป็นรายกิจกรรม
    กรณีที่ มหาวิทยาลัย มีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังประเทศปลายทาง มหาวิทยาลัยจะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลที่ส่งหรือโอนไปมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามมาตรฐานสากล หรือดำเนินการตามเงื่อนไขเพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมายกำหนด ณ ขณะที่มีการส่งข้อมูลส่วนบุคคลไปยังประเทศปลายทาง ได้แก่
    • (1) เป็นการปฏิบัติตามกฎหมายที่กำหนดให้มหาวิทยาลัย ต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
    • (2) ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศกำหนด
    • (3) เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญากับ มหาวิทยาลัย หรือเป็นการทำตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนการเข้าทำสัญญานั้น
    • (4) เป็นการกระทำตามสัญญาของมหาวิทยาลัย กับบุคคลหรือนิติบุคคลอื่น เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
    • (5) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือของบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
    • (6) เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
    มหาวิทยาลัยอาจส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ทั้งนี้ มหาวิทยาลัยจะดำเนินการเพื่อให้มั่นใจว่าประเทศปลายทางดังกล่าวมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
    อย่างไรก็ดี ในกรณีที่ประเทศปลายทางไม่มีมาตฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ การส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวจะเป็นไปตามข้อยกเว้นตามหลักเกณฑ์ที่มหาวิทยาลัยกำหนดโดยไม่ขัดต่อกฎหมาย
  • ข้อ 14 ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล
    มหาวิทยาลัย จะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไว้ในระยะเวลาเท่าที่ข้อมูลนั้นยังมีความจำเป็นตามกฎหมาย กฎ ข้อบังคับ ระเบียบ ประกาศ คำสั่งที่มหาวิทยาลัยต้องปฏิบัติหรือ วัตถุประสงค์ในการเก็บรวบรวมข้อมูลเท่านั้น ซึ่งรายละเอียดขึ้นอยู่กับประเภทของบริการหรือกิจกรรมที่เจ้าของข้อมูลส่วนบุคคลได้ถูกประมวลผลข้อมูล ตลอดจนลักษณะความสัมพันธ์ของเจ้าของข้อมูลส่วนบุคคลกับมหาวิทยาลัย หรือข้อพิจารณาในแต่ละบริบทเป็นสำคัญ ทั้งนี้ เมื่อพ้นระยะเวลาและข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลสิ้นความจำเป็นตามกฎหมาย กฎ ข้อบังคับ ระเบียบ ประกาศ คำสั่ง หรือวัตถุประสงค์ดังกล่าวแล้ว มหาวิทยาลัยจะทำการลบ ทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ต่อไป ตามรูปแบบและมาตรฐานการลบทำลายข้อมูลส่วนบุคคลที่คณะกรรมการหรือกฎหมายจะได้ประกาศกำหนดหรือตามมาตรฐานสากล
    อย่างไรก็ดี ในกรณีที่มีข้อโต้แย้งเกิดขึ้น เกี่ยวกับสิทธิหรือหน้าที่ของบุคคลใดตามกฎหมาย ซึ่งจะต้องใช้สิทธิทางศาล ในกรณีเช่นนี้ถือว่ามหาวิทยาลัยมีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลต่อไป จึงขอสงวนสิทธิในการเก็บรักษาข้อมูลนั้นต่อไปจนกว่าข้อโต้แย้งนั้นจะได้มีคำสั่งหรือคำพิพากษาถึงที่สุดและรวมตลอดถึงเท่าที่จำเป็นเพื่อปฏิบัติตามคำพิพากษาหรือคำสั่ง
  • ข้อ 15 การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง
    มหาวิทยาลัย อาจมอบหมายหรือจัดซื้อจัดจ้างผู้ประมวลผลข้อมูลส่วนบุคคล ซึ่งเป็นบุคคล ที่สาม ให้ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของมหาวิทยาลัย ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลดังกล่าวอาจเสนอบริการในลักษณะต่าง ๆ เช่น การเป็นผู้ดูแล (Hosting) รับงานบริการช่วง (Outsourcing) หรือเป็น ผู้ให้บริการคลาวด์ (Cloud computing service/provider) หรือเป็นงานในลักษณะการจ้างทำของในรูปแบบอื่น
    การมอบหมายให้ผู้ประมวลผลข้อมูลส่วนบุคคลทำการประมวลผลข้อมูลส่วนบุคคลในฐานะ ผู้ประมวลผลข้อมูลส่วนบุคคล หรือในฐานะอื่น เช่น ผู้ควบคุมข้อมูลส่วนบุคคลร่วม มหาวิทยาลัยจะจัดให้มีข้อตกลงระบุสิทธิและหน้าที่ของมหาวิทยาลัย ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลและของบุคคลที่ มหาวิทยาลัยมอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล หรือในฐานะอื่น ซึ่งรวมถึงกำหนดรายละเอียดประเภทข้อมูลส่วนบุคคลที่มหาวิทยาลัยมอบหมายให้ประมวลผลรวมถึงวัตถุประสงค์ ขอบเขตในการประมวลผลข้อมูลส่วนบุคคลและข้อตกลงอื่น ๆ ที่เกี่ยวข้อง ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของมหาวิทยาลัยเท่านั้น โดยไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้
    ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีการมอบหมายผู้ให้บริการช่วง(ผู้ประมวลผลช่วง) เพื่อทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล ดังนี้ มหาวิทยาลัย ได้กำหนดให้เป็นหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลที่ต้องดำเนินการให้ผู้ประมวลผลข้อมูลส่วนบุคคล จัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ให้บริการช่วง(ผู้ประมวลผลช่วง)เพื่อกำหนดสิทธิและหน้าที่ ความรับผิด และรายละเอียดในการประมวลผลข้อมูลส่วนบุคคลในรูปแบบและมาตรฐาน ที่ไม่ต่ำกว่าข้อตกลงระหว่างมหาวิทยาลัยกับผู้ประมวลผลข้อมูลส่วนบุคคล ทั้งนี้ เพื่อให้การปกป้องคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพ มหาวิทยาลัยได้กำหนดให้ผู้ประมวลผลข้อมูลส่วนบุคคลต้องแจ้งการดำเนินการดังกล่าวให้มหาวิทยาลัยทราบด้วย
  • ข้อ 16 การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
    มหาวิทยาลัย มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล โดยการจำกัดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้โดยเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายที่มีความจำเป็นต้องใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของมหาวิทยาลัย อย่างเคร่งครัด ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอำนาจหน้าที่ โดยมหาวิทยาลัย มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลทั้งในเชิงองค์กรหรือเชิงเทคนิคที่ได้มาตรฐานสากล และเป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
    นอกจากนี้ เมื่อมหาวิทยาลัย มีการส่ง โอนหรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม ไม่ว่าเพื่อการให้บริการตามพันธกิจ ตามสัญญา หรือข้อตกลงในรูปแบบอื่น มหาวิทยาลัยจะกำหนดมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลและการรักษาความลับที่เหมาะสมและเป็นไปตามที่กฎหมายกำหนด เพื่อยืนยันว่าข้อมูลส่วนบุคคลที่มหาวิทยาลัยเก็บรวบรวมจะมีความมั่นคงปลอดภัยอยู่เสมอ
  • ข้อ 17 การเชื่อมต่อเว็บไซต์หรือบริการภายนอก
    บริการของมหาวิทยาลัยอาจมีการเชื่อมต่อไปยังเว็บไซต์หรือบริการของบุคคลที่สาม ซึ่งเว็บไซต์หรือบริการดังกล่าวอาจมีการประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่มีเนื้อหาสาระแตกต่างจากนโยบายนี้ มหาวิทยาลัย ขอแนะนำให้เจ้าของข้อมูลส่วนบุคคลศึกษานโยบายการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการนั้น ๆ เพื่อทราบรายละเอียดก่อนการเข้าใช้งาน
    ทั้งนี้ มหาวิทยาลัย ไม่มีความเกี่ยวข้องและไม่มีอำนาจควบคุมถึงมาตรการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการของบุคคลที่สามดังกล่าวและไม่สามารถรับผิดชอบต่อเนื้อหา นโยบายความเสียหาย หรือการกระทำละเมิดอันเกิดจากเว็บไซต์หรือบริการของบุคคลที่สาม
  • ข้อ 18 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
    มหาวิทยาลัย ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อทำหน้าที่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
  • ข้อ 19 สิทธิของเจ้าของข้อมูลส่วนบุคคล
    สิทธิของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลใช้บังคับแล้วนั้น เจ้าของข้อมูลส่วนบุคคลจะมีสิทธิ ดังต่อไปนี้
    • (1) สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึง รับสำเนาและขอให้เปิดเผยที่มาของข้อมูลส่วนบุคคลที่มหาวิทยาลัย เก็บรวบรวมไว้โดยปราศจากความยินยอมของเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่มหาวิทยาลัย มีสิทธิปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลด้วยเหตุตามกฎหมายหรือคำสั่งศาล หรือกรณีที่การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลจะมีผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
    • (2) สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์และเป็นปัจจุบัน หากเจ้าของข้อมูลส่วนบุคคลพบว่าข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไม่ถูกต้อง ไม่ครบถ้วนหรือไม่เป็นปัจจุบัน เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้แก้ไขเพื่อให้มีความถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิดได้
    • (3) สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ มหาวิทยาลัย ลบหรือทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ต่อไป
    • (4) สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ในกรณีดังต่อไปนี้
      • (ก) เมื่ออยู่ในช่วงเวลาที่มหาวิทยาลัย ทำการตรวจสอบตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์และเป็นปัจจุบัน
      • (ข) ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้หรือเปิดเผยโดยมิชอบด้วยกฎหมาย
      • (ค) เมื่อข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่มหาวิทยาลัย ได้แจ้งในการเก็บรวบรวม แต่เจ้าของข้อมูลส่วนบุคคลประสงค์ให้ มหาวิทยาลัย เก็บรักษาข้อมูลนั้นต่อไปเพื่อประกอบการใช้สิทธิตามกฎหมาย
      • (ง) เมื่ออยู่ในช่วงเวลาที่มหาวิทยาลัย กำลังพิสูจน์ถึงเหตุอันชอบด้วยกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือตรวจสอบความจำเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์สาธารณะ อันเนื่องมาจากการที่เจ้าของข้อมูลส่วนบุคคลได้ใช้สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
    • (5) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่ มหาวิทยาลัย มีเหตุในการปฏิเสธคำขอโดยชอบด้วยกฎหมาย เช่น มหาวิทยาลัย สามารถแสดงให้เห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลมีเหตุอันชอบด้วยกฎหมายยิ่งกว่า หรือเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือเพื่อประโยชน์สาธารณะของมหาวิทยาลัย
    • (6) สิทธิในการขอถอนความยินยอม ในกรณีที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมแก่ มหาวิทยาลัย ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลถูกเก็บรักษาโดย มหาวิทยาลัย เว้นแต่มีข้อจำกัดสิทธิโดยกฎหมายให้มหาวิทยาลัย จำเป็นต้องเก็บรักษาข้อมูลต่อไปหรือยังคงมีสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับมหาวิทยาลัย ที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลอยู่
    • (7) สิทธิในการขอรับ ส่งหรือโอนข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอรับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจากมหาวิทยาลัย ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยวิธีการอัตโนมัติ รวมถึงอาจขอให้มหาวิทยาลัย ส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ทั้งนี้ การใช้สิทธินี้จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมายกำหนด
    การใช้สิทธิตามวรรคหนึ่ง จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมาย กฎ ข้อบังคับ ระเบียบ ประกาศ คำสั่งกำหนด และมหาวิทยาลัยอาจปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้ตามกฎหมาย กฎ ข้อบังคับ ระเบียบ ประกาศ คำสั่ง หรือหลักเกณฑ์ที่มหาวิทยาลัยกำหนดโดยไม่ขัดต่อกฎหมาย
    การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลบางกรณี อาจต้องชำระค่าธรรมเนียมหรือค่าใช้จ่ายใด ๆ ที่จำเป็นเพื่อการใช้สิทธิดังกล่าวข้างต้น มหาวิทยาลัยจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า
  • ข้อ 20 การไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล
    มหาวิทยาลัย รับทราบและจะดำเนินการให้บุคคลากรของมหาวิทยาลัย หรือบุคคลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ทราบว่า การไม่ปฏิบัติตามนโยบายอาจมีผลเป็นความผิดและ ถูกลงโทษทางวินัยตามข้อบังคับของมหาวิทยาลัย(สำหรับพนักงานมหาวิทยาลัย) หรือตามข้อตกลงการประมวลผลข้อมูลส่วนบุคคล(สำหรับผู้ประมวลผลข้อมูลส่วนบุคคล) ทั้งนี้ ตามแต่กรณีและความสัมพันธ์ที่เจ้าของข้อมูลส่วนบุคคลมีต่อมหาวิทยาลัย และอาจได้รับโทษตามที่กำหนดโดยพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมทั้งกฎหมายลำดับรอง กฎ ระเบียบ คำสั่งที่เกี่ยวข้อง
  • ข้อ 21 การร้องเรียนต่อหน่วยงานผู้มีอำนาจกำกับดูแล
    ในกรณีที่เจ้าของข้อมูลส่วนบุคคลพบว่า มหาวิทยาลัย มิได้ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล และเจ้าของข้อมูลส่วนบุคคลได้แจ้งให้มหาวิทยาลัยแก้ไขข้อกังวลหรือขอให้ปฏิบัติให้ถูกต้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลแล้ว มหาวิทยาลัยเพิกเฉยไม่ดำเนินการตามเงื่อนไขหรือเงื่อนเวลาที่กฎหมาย กฎ ข้อบังคับ ระเบียบ ประกาศ คำสั่งกำหนด เจ้าของข้อมูลส่วนบุคคลมีสิทธิร้องเรียนไปยังคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานที่มีอำนาจกำกับดูแลที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือตามกฎหมายแล้วแต่กรณี
  • ข้อ 22 การปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคล
    มหาวิทยาลัย อาจพิจารณาปรับปรุง แก้ไขหรือเปลี่ยนแปลงนโยบายนี้ตามที่เห็นสมควร และจะเผยแพร่ให้เจ้าของข้อมูลส่วนบุคคลสามารถรับทราบ ผ่านช่องทางเว็บไซต์ https://www.cmu.ac.th/ หรือแอปพลิเคชัน หรือช่องทางเฉพาะกิจกรรมที่มหาวิทยาลัยดำเนินการ โดยปรากฎวันที่มีผลบังคับใช้ของแต่ละฉบับแก้ไขกำกับอยู่
    อย่างไรก็ดี มหาวิทยาลัย แนะนำและสนับสนุนให้เจ้าของข้อมูลส่วนบุคคลทำการตรวจสอบเพื่อรับทราบนโยบายฉบับใหม่อย่างสม่ำเสมอผ่าน https://www.cmu.ac.th/ หรือ แอปพลิเคชัน หรือช่องทางเฉพาะกิจกรรมที่มหาวิทยาลัยดำเนินการ โดยเฉพาะก่อนที่เจ้าของข้อมูลส่วนบุคคลจะทำการเปิดเผยข้อมูลส่วนบุคคลแก่มหาวิทยาลัย
    การเข้าใช้งานผลิตภัณฑ์หรือบริการของมหาวิทยาลัย ภายหลังการบังคับใช้นโยบายใหม่ ถือเป็นการรับทราบตามข้อตกลงในนโยบายใหม่แล้ว ทั้งนี้ กรณีที่เจ้าของข้อมูลส่วนบุคคลไม่เห็นด้วยกับรายละเอียดในนโยบายฉบับนี้ เจ้าของข้อมูลส่วนบุคคลสามารถหยุดใช้งานหรือใช้บริการ รวมถึงสามารถติดต่อมายังมหาวิทยาลัย เพื่อชี้แจงข้อเท็จจริงต่อไป
  • ข้อ 23 การติดต่อสอบถามหรือใช้สิทธิ
    หากเจ้าของข้อมูลส่วนบุคคลมีข้อสงสัย ข้อเสนอแนะหรือข้อกังวลเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัย หรือเกี่ยวกับนโยบายนี้ หรือเจ้าของข้อมูลส่วนบุคคลต้องการใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลตามที่ระบุในข้อ 19 เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อสอบถามได้ที่
    • (1) มหาวิทยาลัยเชียงใหม่
      239 ถนนห้วยแก้ว ต.สุเทพ อ.เมือง จ.เชียงใหม่ 50200
      โทรศัพท์ :+66 5394 1000, +66 5394 1300
      โทรสาร : +66 5321 7143
      อีเมล : ccarc@cmu.ac.th
    • (2) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) มหาวิทยาลัยเชียงใหม่
      239 ถนนห้วยแก้ว ต.สุเทพ อ.เมือง จ.เชียงใหม่ 50200
      โทรศัพท์ :+66 5394 1000, +66 5394 1300
      โทรสาร : +66 5321 7143
      อีเมล: ccarc@cmu.ac.th
  • ข้อ 24 ให้อธิการบดีเป็นผู้รักษาการในประกาศนี้ ในกรณีมีปัญหาในทางปฏิบัติตามประกาศนี้ให้อธิการบดีเป็นผู้วินิจฉัยชี้ขาด และให้ถือเป็นที่สุด
ประกาศความเป็นส่วนตัวฉบับนี้จัดทำขึ้นเพื่อให้เจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้ใช้งานระบบของมหาวิทยาลัยเชียงใหม่ ได้ทราบและเข้าใจรูปแบบการเก็บรวบรวม ใช้และเปิดเผย (รวมเรียกว่า “การประมวลผล”) ข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลได้ให้ไว้กับมหาวิทยาลัยเชียงใหม่ ภายใต้ขอบเขตที่มหาวิทยาลัยเชียงใหม่เป็นผู้ดำเนินการและเป็นผู้ควบคุมข้อมูลส่วนบุคคลในข้อมูลส่วนบุคคลที่เก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลเพื่อการดำเนินการภายใต้ระบบนี้
อาศัยอำนาจตามความในมาตรา 35 มาตรา 38 แห่งพระราชบัญญัติมหาวิทยาลัยเชียงใหม่ พ.ศ. 2551 ประกอบกับมติสภามหาวิทยาลัยเชียงใหม่ ในการประชุมครั้งที่ 10/2551 เมื่อวันที่ 27 กันยายน 2551 จึงออกประกาศ ดังต่อไปนี้
  • ข้อ 1 ประกาศนี้ เรียกว่า “ประกาศมหาวิทยาลัยเชียงใหม่ เรื่อง คำประกาศความเป็นส่วนตัว มหาวิทยาลัยเชียงใหม่ (CMU Privacy Notice)”
  • ข้อ 2 ประกาศนี้ ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศเป็นต้นไป
  • ข้อ 3 ในประกาศนี้
    • “มหาวิทยาลัย” หมายถึง มหาวิทยาลัยเชียงใหม่
    • “อธิการบดี” หมายถึง อธิการบดีมหาวิทยาลัยเชียงใหม่
    • “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” หมายความว่า พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมาย กฎ อื่นที่เกี่ยวข้อง
    • "บุคคล" หมายความว่า บุคคลธรรมดา
    • “ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคล (Personal Data) ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลนิติบุคคล และข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
    • “การประมวลผลข้อมูลส่วนบุคคล” หมายความว่า การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Personal Data Processing)
    • “เจ้าของข้อมูลส่วนบุคคล” หมายความว่า บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคลที่ มหาวิทยาลัย เก็บรวบรวม ใช้ หรือเปิดเผย (Data Subject)
    • “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายความว่า มหาวิทยาลัย หรือบุคคล คณะบุคคล หรือ นิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Data Controller)
    • “ผู้ประมวลผลข้อมูลส่วนบุคคล” หมายความว่า บุคคล คณะบุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคล คณะบุคคล หรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Processor)
    • “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” หมายความว่า บุคคล หรือคณะบุคคลซึ่งทำหน้าที่ตรวจสอบ กำกับและให้คำแนะนำในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตลอดจนประสานงานและให้ความร่วมมือกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
  • ข้อ 4 หลักการและวัตถุประสงค์
    มหาวิทยาลัยมีความมุ่งมั่นในการคุ้มครองข้อมูลส่วนบุคคลให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งเพิ่มเติมจากที่ได้มีการบัญญัติไว้ตามกฎหมายเฉพาะ มหาวิทยาลัย จึงได้จัดทำประกาศความเป็นส่วนตัวมหาวิทยาลัยเชียงใหม่ (CMU Privacy Notice) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่นที่เกี่ยวข้อง
  • ข้อ 5 ขอบเขตการบังคับใช้
    ประกาศความเป็นส่วนตัวฉบับนี้ มีขอบเขตการบังคับใช้ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลทั้งหมดที่ดำเนินการโดยมหาวิทยาลัย รวมถึงเจ้าหน้าที่ บุคคล คณะบุคคล นิติบุคคลเฉพาะผู้ที่มีอำนาจหน้าที่เกี่ยวข้องซึ่งล่วงรู้ข้อมูลส่วนบุคคลเนื่องจากเกี่ยวข้องกับการดำเนินงานของมหาวิทยาลัยจะต้องปฏิบัติตามประกาศความเป็นส่วนตัวฉบับนี้และตามกรอบที่กฎหมายกำหนด
    สำหรับข้อมูลส่วนบุคคลที่ได้เก็บรวบรวมไว้ก่อนที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ใช้บังคับ มหาวิทยาลัยจะเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปตามวัตถุประสงค์เดิมโดยการเปิดเผยและการดำเนินการอื่นที่ไม่ใช่การเก็บรวบรวมและการใช้ข้อมูลส่วนบุคคลข้างต้นจะปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
  • ข้อ 6 การเก็บรวบรวมข้อมูลส่วนบุคคล
    มหาวิทยาลัยจะเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ข้อมูลอัตลักษณ์ ข้อมูลติดต่อ ข้อมูลทางการเงิน และข้อมูลทางเทคนิค โดยมีแหล่งที่มาและวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล ดังต่อไปนี้
    • (1) แหล่งที่มาของข้อมูลส่วนบุคคลที่ทำการจัดเก็บรวบรวม
      • (ก) ข้อมูลส่วนบุคคลที่มหาวิทยาลัยเก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรงในช่องทางให้บริการต่าง ๆ เช่น ขั้นตอนการสมัคร ลงทะเบียน สมัครงาน ลงนามในสัญญา เอกสาร ทำแบบสำรวจหรือใช้งานผลิตภัณฑ์ บริการ หรือช่องทางให้บริการอื่นที่ควบคุมดูแลโดยมหาวิทยาลัยหรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับมหาวิทยาลัย ณ ที่ทำการหรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดย มหาวิทยาลัย เป็นต้น
      • (ข) ข้อมูลที่มหาวิทยาลัยเก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ ผลิตภัณฑ์หรือบริการอื่น ๆ ตามสัญญาหรือตามพันธกิจ เช่น การติดตามพฤติกรรมการใช้งานเว็บไซต์ ผลิตภัณฑ์หรือบริการของมหาวิทยาลัย ด้วยการใช้คุกกี้(Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น
      • (ค) ข้อมูลส่วนบุคคลที่มหาวิทยาลัยเก็บรวบรวมจากแหล่งอื่นนอกจากเจ้าของข้อมูลส่วนบุคคล โดยที่แหล่งข้อมูลดังกล่าวมีอำนาจหน้าที่ มีเหตุผลที่ชอบด้วยกฎหมายหรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลแก่มหาวิทยาลัย เช่น การเชื่อมโยงบริการดิจิทัลของหน่วยงานของรัฐในการให้บริการเพื่อประโยชน์สาธารณะแบบเบ็ดเสร็จแก่เจ้าของข้อมูลส่วนบุคคลเอง การรับข้อมูลส่วนบุคคลจากหน่วยงานของรัฐแห่งอื่นในฐานะที่มหาวิทยาลัย มีหน้าที่ตามพันธกิจในการดำเนินการจัดให้มีศูนย์แลกเปลี่ยนข้อมูลกลางเพื่อสนับสนุนการดำเนินการของหน่วยงานของรัฐในการให้บริการประชาชนผ่านระบบดิจิทัล รวมถึงจากความจำเป็นเพื่อให้บริการตามสัญญาที่อาจมีการแลกเปลี่ยนข้อมูลส่วนบุคคลกับหน่วยงานคู่สัญญาได้
    • (2) ประเภทข้อมูลส่วนบุคคลที่มีการจัดเก็บ เช่น
      • (ก) ข้อมูลเฉพาะตัวบุคคล เป็นข้อมูลระบุชื่อเรียกของเจ้าของข้อมูลส่วนบุคคลหรือข้อมูลจากเอกสารราชการที่ระบุข้อมูลเฉพาะตัวของเจ้าของข้อมูลส่วนบุคคล เช่น คำนำหน้าชื่อ ชื่อ นามสกุล ชื่อกลาง ชื่อเล่น ลายมือชื่อ เลขที่บัตรประจำตัวประชาชน สัญชาติ เลขที่ใบขับขี่ เลขที่หนังสือเดินทาง ข้อมูลทะเบียนบ้าน หมายเลขใบประกอบการ หมายเลขใบอนุญาตการประกอบวิชาชีพ (สำหรับแต่ละอาชีพ) หมายเลขประจำตัวผู้ประกันตน หมายเลขประกันสังคม เป็นต้น
      • (ข) ข้อมูลเกี่ยวกับคุณลักษณะของบุคคล เป็นข้อมูลรายละเอียดเกี่ยวกับตัวเจ้าของข้อมูลส่วนบุคคล เช่น วันเดือนปีเกิด เพศ ส่วนสูง น้ำหนัก อายุ สถานภาพการสมรส สถานภาพการเกณฑ์ทหาร รูปถ่าย ภาษาพูด ข้อมูลพฤติกรรม ความชื่นชอบ ข้อมูลการเป็นบุคคลล้มละลาย ข้อมูลการเป็นคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ เป็นต้น
      • (ค) ข้อมูลสำหรับการติดต่อ เป็นข้อมูลเพื่อการติดต่อเจ้าของข้อมูลส่วนบุคคล เช่น เบอร์โทรศัพท์บ้าน เบอร์โทรศัพท์เคลื่อนที่ หมายเลขโทรสาร อีเมล ที่อยู่ทางไปรษณีย์บ้าน ชื่อผู้ใช้งานในสังคมออนไลน์ (Line ID, MS Teams ฯลฯ) แผนที่ตั้งของที่พัก เป็นต้น
      • (ง) ข้อมูลเกี่ยวกับการทำงานและการศึกษา เป็นรายละเอียดการจ้างงาน รวมถึงประวัติการทำงานและประวัติการศึกษา เช่น ประเภทการจ้างงาน อาชีพ ยศ ตำแหน่ง หน้าที่ ความเชี่ยวชาญ สถานภาพใบอนุญาตทำงาน ข้อมูลบุคคลอ้างอิง หมายเลขประจำตัวผู้เสียภาษี ประวัติการดำรงตำแหน่ง ประวัติการทำงาน ข้อมูลเงินเดือน วันเริ่มงาน วันออกจากงาน ผลการประเมิน สวัสดิการและสิทธิประโยชน์ พัสดุในครอบครองของผู้ปฏิบัติงาน ผลงาน หมายเลขบัญชีธนาคาร สถาบันการศึกษา วุฒิการศึกษา ผลการศึกษา วันที่สำเร็จการศึกษา เป็นต้น
      • (จ) ข้อมูลเกี่ยวกับกรมธรรม์ประกันภัย เป็นรายละเอียดเกี่ยวกับกรมธรรม์ประกันภัยผู้ปฏิบัติงาน เช่น ผู้รับประกันภัย ผู้เอาประกันภัย ผู้รับประโยชน์ หมายเลขกรมธรรม์ ประเภทกรมธรรม์ วงเงินคุ้มครอง ข้อมูลเกี่ยวกับการเคลม เป็นต้น
      • (ฉ) ข้อมูลเกี่ยวกับความสัมพันธ์ทางสังคม เป็นข้อมูลความสัมพันธ์ทางสังคมของเจ้าของข้อมูลส่วนบุคคล เช่น สถานภาพทางการเมือง การดำรงตำแหน่งทางการเมือง การดำรงตำแหน่งกรรมการ ความสัมพันธ์กับผู้ปฏิบัติงานของมหาวิทยาลัย ข้อมูลการเป็นผู้มีสัญญาจ้างกับมหาวิทยาลัย ข้อมูลการเป็นผู้มีส่วนได้เสียในกิจการที่ทำกับมหาวิทยาลัย เป็นต้น
      • (ช) ข้อมูลเกี่ยวกับการใช้บริการของมหาวิทยาลัย เช่น ชื่อบัญชีผู้ใช้งาน รหัสผ่าน หมายเลข PIN ข้อมูล Single Sign-on (SSO ID) รหัส OTP ข้อมูลการจราจรทางคอมพิวเตอร์ ข้อมูลระบุพิกัด ภาพถ่าย วีดีโอ บันทึกเสียง ข้อมูลพฤติกรรมการใช้งาน(เว็บไซต์ที่อยู่ในความดูแลของมหาวิทยาลัย เช่น https://www.cmu.ac.th/ หรือ แอปพลิเคชันต่าง ๆ) ประวัติการสืบค้น คุกกี้หรือเทคโนโลยีในลักษณะเดียวกัน หมายเลขอุปกรณ์ (Device ID) ประเภทอุปกรณ์ รายละเอียดการเชื่อมต่อ ข้อมูล Browser ภาษาที่ใช้งาน ระบบปฏิบัติการที่ใช้งาน เป็นต้น
      • (ซ) ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน เป็นข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนของเจ้าของข้อมูลส่วนบุคคล เช่น เชื้อชาติ ข้อมูลศาสนา ข้อมูลความพิการ ข้อมูลความเห็นทางการเมือง ประวัติอาชญากรรม ข้อมูลชีวภาพ (ข้อมูลภาพจำลองใบหน้า) ข้อมูลเกี่ยวกับสุขภาพ เป็นต้น
    • (3) วัตถุประสงค์ในการประมวลข้อมูลส่วนบุคคล
      มหาวิทยาลัยดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์หลายประการ ซึ่งขึ้นอยู่กับประเภทของบริการหรือกิจกรรมที่เจ้าของข้อมูลส่วนบุคคลได้ ถูกประมวลผลข้อมูล ตลอดจนลักษณะความสัมพันธ์ของเจ้าของข้อมูลส่วนบุคคลกับมหาวิทยาลัย หรือข้อพิจารณาในแต่ละบริบทเป็นสำคัญ ทั้งนี้ มหาวิทยาลัยจะประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือขณะเก็บรวบรวมข้อมูลเท่านั้น โดยวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของมหาวิทยาลัย รวมถึงแต่ไม่จำกัดเพียงวัตถุประสงค์ที่ระบุดังต่อไปนี้
      • (ก) เพื่อดำเนินการตามที่จำเป็นในการดำเนินงานตามที่มหาวิทยาลัยได้รับมอบหมายให้สำเร็จลุล่วง หรือเป็นการจำเป็นเพื่อใช้อำนาจทางกฎหมายที่มหาวิทยาลัยมีอำนาจหน้าที่ในการดำเนินการ ตามพันธกิจดังปรากฏในพระราชบัญญัติมหาวิทยาลัย พ.ศ.2551 และกฎหมาย กฎ ข้อบังคับ ประกาศหรือคำสั่งที่เกี่ยวข้อง เช่น เพื่อจัดการศึกษา เพื่อส่งเสริมวิชาการและวิชาชีพชั้นสูง เพื่อทำการวิจัยเพื่อความเป็นเลิศทางวิชาการและเกิดประโยชน์แก่สังคมเป็นส่วนรวม เพื่อบริการทางวิชาการแก่สังคม เพื่อทะนุบํารุงและส่งเสริมศิลปวัฒนธรรม เพื่ออนุรักษ์สิ่งแวดล้อม เป็นต้น
      • (ข) เพื่อใช้ยืนยันตัวตน หรือพิสูจน์ตัวตนของเจ้าของข้อมูลส่วนบุคคลในการให้บริการของมหาวิทยาลัย
      • (ค) เพื่อใช้วิเคราะห์ ปรับปรุง พัฒนาคุณภาพการให้บริการของมหาวิทยาลัย หรือเพื่อทำการวิจัยหรือบริการทางวิชาการ
      • (ง) เพื่อดำเนินการตามที่จำเป็นในการบริหารจัดการภายในองค์กรของมหาวิทยาลัย รวมถึงการรับสมัครพนักงานมหาวิทยาลัย การสรรหาผู้ดำรงตำแหน่งต่างๆ ตามที่กำหนดในพระราชบัญญัติมหาวิทยาลัย พ.ศ.2551 และกฎหมาย กฎ ข้อบังคับ ประกาศหรือคำสั่งที่เกี่ยวข้อง ตลอดจนการจัดการเกี่ยวกับสิทธิและสวัสดิการ
      • (จ) เพื่อการประชาสัมพันธ์กิจกรรม โครงการของมหาวิทยาลัยหรือที่มหาวิทยาลัยร่วมมือกับหน่วยงานแห่งอื่น หรือการสื่อสารข้อมูลของมหาวิทยาลัย
      • (ฉ) เพื่อควบคุมการดำเนินงานภายในมหาวิทยาลัยให้เป็นไปตามกฎหมาย กฎ ข้อบังคับ ประกาศหรือคำสั่งที่เกี่ยวข้อง หรือเพื่อการปฏิบัติตามกฎหมาย กฎ ข้อบังคับ ประกาศหรือคำสั่งที่เกี่ยวข้องที่มีผลบังคับใช้ หรือการดำเนินการเกี่ยวกับคดีความ ตลอดจนเป็นการปฏิบัติตามหน้าที่ที่มหาวิทยาลัยมีต่อหน่วยงานของรัฐแห่งอื่นที่มีอำนาจตามกฎหมาย
  • ข้อ 7 หลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล
    มหาวิทยาลัยจะเก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลเท่านั้น โดยมหาวิทยาลัยจะขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่ในกรณีดังต่อไปนี้ มหาวิทยาลัยสามารถเก็บรวบรวมข้อมูลส่วนบุคคลได้ โดยไม่ต้อง ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล
    • (1) การจัดทำเอกสารประวัติศาสตร์ วิจัยหรือสถิติที่สำคัญ มหาวิทยาลัยสามารถจัดทำหรือสนับสนุนการจัดทำเอกสารประวัติศาสตร์ วิจัยหรือสถิติตามที่มหาวิทยาลัย อาจได้รับมอบหมาย เช่น การจัดให้มีทำเนียบผู้ดำรงตำแหน่ง ผู้บริหาร ผู้ทรงคุณวุฒิ คณะกรรมการ นักศึกษา นักศึกษาเก่าหรือ ผู้มีอุปการคุณต่อมหาวิทยาลัย การจัดทำสถิติการใช้บริการดิจิทัลภาครัฐ งานติดตามการดำเนินนโยบายรัฐบาลดิจิทัล เป็นต้น
    • (2) การจำเป็นเพื่อการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล มหาวิทยาลัยสามารถใช้เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่น การให้บริการแอปพลิเคชันเพื่อเฝ้าระวังโรคระบาด เป็นต้น
    • (3) การปฏิบัติตามสัญญา มหาวิทยาลัยสามารถปฏิบัติหน้าที่ตามสัญญา หรือดำเนินการอันเป็นความจำเป็นต่อการเข้าทำสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญากับมหาวิทยาลัย เช่น การจ้างงาน จ้างทำของ การทำบันทึกข้อตกลงความร่วมมือหรือสัญญาในรูปแบบอื่น เป็นต้น
      ทั้งนี้ กรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลส่วนบุคคลหรือ คัดค้านการดำเนินการประมวลผลตามวัตถุประสงค์ของการปฏิบัติตามสัญญา อาจมีผลทำให้มหาวิทยาลัยไม่สามารถดำเนินการหรือให้บริการตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอได้ทั้งหมดหรือบางส่วน
    • (4) การดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือการใช้อำนาจรัฐ มหาวิทยาลัยสามารถใช้อำนาจรัฐและดำเนินภารกิจเพื่อประโยชน์สาธารณะตามพันธกิจซึ่งกำหนดไว้ตามกฎหมาย เช่น พระราชบัญญัติมหาวิทยาลัยเชียงใหม่ พ.ศ.2551 พระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562 รวมตลอดถึง กฎหมาย กฎ ข้อบังคับ ระเบียบ คำสั่งและหรือมติคณะรัฐมนตรีที่เกี่ยวข้องอื่นๆ เป็นต้น
    • (5) การจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย มหาวิทยาลัยสามารถใช้ เพื่อประโยชน์โดยชอบด้วยกฎหมายของมหาวิทยาลัยและของบุคคลอื่น ซึ่งประโยชน์ดังกล่าวมีความสำคัญ ไม่น้อยไปกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล เช่น เพื่อการรักษาทรัพย์สินของมหาวิทยาลัย เพื่อการรักษาความปลอดภัยภายในอาคารสถานที่หรือบริเวณพื้นที่ของมหาวิทยาลัย หรือ การประมวลผลข้อมูลส่วนบุคคลเพื่อกิจการภายในของมหาวิทยาลัยหรือตามพระราชบัญญัติมหาวิทยาลัยเชียงใหม่ พ.ศ.2551 เป็นต้น
    • (6) การปฏิบัติหน้าที่ตามกฎหมาย มหาวิทยาลัยสามารถปฏิบัติตามที่กฎหมายกำหนดหรือควบคุม เช่น การเก็บรวบรวมข้อมูลจราจรทางคอมพิวเตอร์ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 กฎหมายว่าด้วยภาษีอากร รวมตลอดถึงการดำเนินการตามคำสั่งของผู้บังคับใช้กฎหมาย เจ้าพนักงานหรือศาล เป็นต้น
  • ข้อ 8 การใช้และการเปิดเผยข้อมูลส่วนบุคคล
    ภายใต้วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่ได้ระบุไว้ในนโยบายของมหาวิทยาลัย มหาวิทยาลัยจะใช้ข้อมูลส่วนบุคคลตามวัตถุประสงค์และหลักการที่แจ้งข้างต้น โดยมหาวิทยาลัยอาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้แก่บุคคล ดังต่อไปนี้
    • (1) หน่วยงานของรัฐหรือผู้มีอำนาจที่มหาวิทยาลัยต้องเปิดเผยข้อมูลเพื่อวัตถุประสงค์ในการดำเนินการตามกฎหมายหรือวัตถุประสงค์สำคัญอื่น การดำเนินการเพื่อประโยชน์สาธารณะ หน่วยงาน ผู้บังคับใช้กฎหมาย หรือมีอำนาจควบคุมกำกับดูแลหรือมีวัตถุประสงค์อื่นที่มีความสำคัญ เช่น คณะรัฐมนตรี รัฐมนตรีผู้รักษาการ กรมการปกครอง กรมสรรพากร สำนักงานตำรวจ ศาล สำนักงานอัยการ กรมควบคุมโรค กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม สำนักงานปลัดสำนักนายกรัฐมนตรี กรมการกงสุล กองทุนเงินให้กู้ยืมเพื่อการศึกษา เป็นต้น
    • (2) คณะกรรมการต่าง ๆ ที่เกี่ยวข้องกับการดำเนินการตามกฎหมายของมหาวิทยาลัยมหาวิทยาลัย อาจเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลแก่บุคคลผู้ดำรงตำแหน่งกรรมการในคณะต่าง ๆ เช่น สภามหาวิทยาลัย สภาวิชาการ สภาพนักงาน คณะกรรมการบริหารมหาวิทยาลัย คณะกรรมการบริหารงานบุคคล คณะกรรมการอุทธรณ์และร้องทุกข์ คณะกรรมการสืบสวน/สอบสวน คณะกรรมการสรรหา เป็นต้น
    • (3) คู่สัญญาซึ่งดำเนินการเกี่ยวกับสวัสดิการของผู้ปฏิบัติงานของมหาวิทยาลัยบุคคลภายนอกที่มหาวิทยาลัย จัดซื้อจัดจ้างให้ดำเนินการเกี่ยวกับสวัสดิการ สิทธิประโยชน์ เช่น บริษัทประกันภัย โรงพยาบาล บริษัทผู้จัดทำ Payroll ธนาคาร ผู้ให้บริการโทรศัพท์ กองทุนสำรองเลี้ยงชีพเป็นต้น
    • (4) พันธมิตรทางธุรกิจ มหาวิทยาลัยอาจเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลแก่บุคคลที่ร่วมงานกับ มหาวิทยาลัย เพื่อประโยชน์ในการให้บริการแก่เจ้าของข้อมูลส่วนบุคคล เช่น หน่วยงาน ผู้ให้บริการที่เจ้าของข้อมูลส่วนบุคคลติดต่อผ่านบริการของมหาวิทยาลัย ผู้ให้บริการด้านการตลาด สื่อโฆษณา สถาบันการเงิน ผู้ให้บริการแพลตฟอร์ม ผู้ให้บริการโทรคมนาคม เป็นต้น
    • (5) ผู้ให้บริการ มหาวิทยาลัยอาจมอบหมายให้บุคคลอื่นเป็นผู้ให้บริการแทน หรือสนับสนุนการดำเนินการของมหาวิทยาลัย เช่น ผู้ให้บริการด้านการจัดเก็บข้อมูล (เช่น คลาวด์ โกดังเอกสาร) ผู้พัฒนาระบบ ซอฟต์แวร์ แอปพลิเคชัน เว็บไซต์ ผู้ให้บริการจัดส่งเอกสาร ผู้ให้บริการด้านการชำระเงิน ผู้ให้บริการอินเทอร์เน็ต ผู้ให้บริการโทรศัพท์ ผู้ให้บริการด้าน Digital ID ผู้ให้บริการสื่อสังคมออนไลน์ ผู้ให้บริการด้านการบริหารความเสี่ยง ที่ปรึกษาภายนอก ผู้ให้บริการขนส่ง เป็นต้น
    • (6) ผู้รับข้อมูลประเภทอื่น มหาวิทยาลัยอาจเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลให้แก่บุคคลผู้รับข้อมูลประเภทอื่น เช่น ผู้ติดต่อ มหาวิทยาลัย สมาชิกในครอบครัว มูลนิธิที่ไม่แสวงหากำไร วัด โรงพยาบาล สถานศึกษา หรือหน่วยงานอื่น ๆ เป็นต้น ทั้งนี้ เพื่อการดำเนินการเกี่ยวกับบริการของ มหาวิทยาลัย การฝึกอบรม การรับรางวัล การร่วมทำบุญ บริจาค เป็นต้น
    • (7) การเปิดเผยข้อมูลต่อสาธารณะ มหาวิทยาลัยอาจเปิดเผยข้อมูลของเจ้าของข้อมูลส่วนบุคคลต่อสาธารณะในกรณีที่จำเป็น เช่น การดำเนินการที่กำหนดให้ มหาวิทยาลัยต้องประกาศลงในราชกิจจานุเบกษา หรือมติคณะรัฐมนตรี เป็นต้น
    ทั้งนี้ การใช้และเปิดเผยข้อมูลส่วนบุคคลข้างต้นเป็นเพียงกรอบการใช้ และเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัย เป็นการทั่วไป เฉพาะบุคคลผู้รับข้อมูลที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการที่เจ้าของข้อมูลส่วนบุคคลใช้งานหรือมีความสัมพันธ์ด้วยเท่านั้นที่จะมีผลบังคับใช้
  • ข้อ 9 ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
    มหาวิทยาลัยจะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไว้ในระยะเวลาเท่าที่ข้อมูลนั้นยังมีความจำเป็นตามกฎหมาย กฎ ข้อบังคับ ระเบียบ ประกาศ คำสั่งที่มหาวิทยาลัยต้องปฏิบัติหรือ วัตถุประสงค์ในการเก็บรวบรวมข้อมูลเท่านั้น ซึ่งรายละเอียดขึ้นอยู่กับประเภทของบริการหรือกิจกรรมที่เจ้าของข้อมูลส่วนบุคคลได้ถูกประมวลผลข้อมูล ตลอดจนลักษณะความสัมพันธ์ของเจ้าของข้อมูลส่วนบุคคลกับมหาวิทยาลัย หรือข้อพิจารณาในแต่ละบริบทเป็นสำคัญ ทั้งนี้ เมื่อพ้นระยะเวลาและข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลสิ้นความจำเป็นตามกฎหมาย กฎ ข้อบังคับ ระเบียบ ประกาศ คำสั่ง หรือวัตถุประสงค์ดังกล่าวแล้ว มหาวิทยาลัยจะทำการลบ ทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ต่อไป ตามรูปแบบและมาตรฐานการลบทำลายข้อมูลส่วนบุคคลที่คณะกรรมการหรือกฎหมายจะได้ประกาศกำหนดหรือตามมาตรฐานสากล
    อย่างไรก็ดี ในกรณีที่มีข้อโต้แย้งเกิดขึ้น เกี่ยวกับสิทธิหรือหน้าที่ของบุคคลใดตามกฎหมาย ซึ่งจะต้องใช้สิทธิทางศาล ในกรณีเช่นนี้ถือว่ามหาวิทยาลัยมีความจำเป็นต้องเก็บข้อมูลส่วนบุคคลต่อไป จึงขอสงวนสิทธิในการเก็บรักษาข้อมูลนั้นต่อไปจนกว่าข้อโต้แย้งนั้นจะได้มีคำสั่งหรือคำพิพากษาถึงที่สุดและรวมตลอดถึงเท่าที่จำเป็นเพื่อปฏิบัติตามคำพิพากษาหรือคำสั่ง
  • ข้อ 10 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
    ในบางกรณีมหาวิทยาลัยอาจจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังต่างประเทศเพื่อดำเนินการตามวัตถุประสงค์ในการให้บริการแก่เจ้าของข้อมูลส่วนบุคคล เช่น เพื่อส่งข้อมูลส่วนบุคคลไปยังระบบคลาวด์ (Cloud) ที่มีแพลตฟอร์มหรือเครื่องแม่ข่าย (Server) อยู่ต่างประเทศ เพื่อสนับสนุนระบบเทคโนโลยีสารสนเทศที่ตั้งอยู่นอกประเทศไทย ทั้งนี้ ขึ้นอยู่กับบริการของ มหาวิทยาลัย ที่เจ้าของข้อมูลส่วนบุคคลใช้งานหรือมีส่วนเกี่ยวข้องเป็นรายกิจกรรม
    กรณีที่มหาวิทยาลัยมีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังประเทศปลายทาง มหาวิทยาลัยจะดำเนินการเพื่อให้ข้อมูลส่วนบุคคลที่ส่งหรือโอนไปมีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอตามมาตรฐานสากล หรือดำเนินการตามเงื่อนไขเพื่อให้สามารถส่งหรือโอนข้อมูลนั้นได้ตามกฎหมายกำหนด ณ ขณะที่มีการส่งข้อมูลส่วนบุคคลไปยังประเทศปลายทาง ได้แก่
    • (1) เป็นการปฏิบัติตามกฎหมายที่กำหนดให้มหาวิทยาลัย ต้องส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ
    • (2) ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ทั้งนี้ ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองส่วนบุคคลประกาศกำหนด
    • (3) เป็นการจำเป็นเพื่อปฏิบัติตามสัญญาที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญากับ มหาวิทยาลัย หรือเป็นการทำตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนการเข้าทำสัญญานั้น
    • (4) เป็นการกระทำตามสัญญาของมหาวิทยาลัย กับบุคคลหรือนิติบุคคลอื่น เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล
    • (5) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของเจ้าของข้อมูลส่วนบุคคลหรือของบุคคลอื่น เมื่อเจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมในขณะนั้นได้
    • (6) เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ
    มหาวิทยาลัยอาจส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ทั้งนี้ มหาวิทยาลัยจะดำเนินการเพื่อให้มั่นใจว่าประเทศปลายทางดังกล่าวมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ
    อย่างไรก็ดี ในกรณีที่ประเทศปลายทางไม่มีมาตฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ การส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวจะเป็นไปตามข้อยกเว้นตามหลักเกณฑ์ที่มหาวิทยาลัยกำหนดโดยไม่ขัดต่อกฎหมาย
  • ข้อ 11 สิทธิของเจ้าของข้อมูลส่วนบุคคล
    สิทธิของเจ้าของข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งมีผลใช้บังคับแล้วนั้น เจ้าของข้อมูลส่วนบุคคลจะมีสิทธิ ดังต่อไปนี้
    • (1) สิทธิในการขอเข้าถึงข้อมูลส่วนบุคค เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึง รับสำเนาและขอให้เปิดเผยที่มาของข้อมูลส่วนบุคคลที่มหาวิทยาลัย เก็บรวบรวมไว้โดยปราศจากความยินยอมของเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่มหาวิทยาลัยมีสิทธิปฏิเสธคำขอของเจ้าของข้อมูลส่วนบุคคลด้วยเหตุตามกฎหมายหรือคำสั่งศาล หรือกรณีที่การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลจะมีผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
    • (2) สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์และเป็นปัจจุบัน หากเจ้าของข้อมูลส่วนบุคคลพบว่าข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไม่ถูกต้อง ไม่ครบถ้วนหรือไม่เป็นปัจจุบัน เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้แก้ไขเพื่อให้มีความถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิดได้
    • (3) สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคลเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ มหาวิทยาลัย ลบหรือทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ต่อไป
    • (4) สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคลเจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ ในกรณีดังต่อไปนี้
      • (ก) เมื่ออยู่ในช่วงเวลาที่มหาวิทยาลัยทำการตรวจสอบตามคำร้องขอของเจ้าของข้อมูลส่วนบุคคลให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์และเป็นปัจจุบัน
      • (ข) ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้หรือเปิดเผยโดยมิชอบด้วยกฎหมาย
      • (ค) เมื่อข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ที่มหาวิทยาลัย ได้แจ้งในการเก็บรวบรวม แต่เจ้าของข้อมูลส่วนบุคคลประสงค์ให้ มหาวิทยาลัย เก็บรักษาข้อมูลนั้นต่อไปเพื่อประกอบการใช้สิทธิตามกฎหมาย
      • (ง) เมื่ออยู่ในช่วงเวลาที่มหาวิทยาลัย กำลังพิสูจน์ถึงเหตุอันชอบด้วยกฎหมายในการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือตรวจสอบความจำเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อประโยชน์สาธารณะ อันเนื่องมาจากการที่เจ้าของข้อมูลส่วนบุคคลได้ใช้สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
    • (5) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับเจ้าของข้อมูลส่วนบุคคล เว้นแต่กรณีที่ มหาวิทยาลัย มีเหตุในการปฏิเสธคำขอโดยชอบด้วยกฎหมาย เช่น มหาวิทยาลัย สามารถแสดงให้เห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลมีเหตุอันชอบด้วยกฎหมายยิ่งกว่า หรือเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือเพื่อประโยชน์สาธารณะของมหาวิทยาลัย
    • (6) สิทธิในการขอถอนความยินยอม ในกรณีที่เจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมแก่ มหาวิทยาลัย ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิถอนความยินยอมเมื่อใดก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลถูกเก็บรักษาโดย มหาวิทยาลัย เว้นแต่มีข้อจำกัดสิทธิโดยกฎหมายให้มหาวิทยาลัย จำเป็นต้องเก็บรักษาข้อมูลต่อไปหรือยังคงมีสัญญาระหว่างเจ้าของข้อมูลส่วนบุคคลกับมหาวิทยาลัย ที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลอยู่
    • (7) สิทธิในการขอรับ ส่งหรือโอนข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการขอรับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจากมหาวิทยาลัย ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยวิธีการอัตโนมัติ รวมถึงอาจขอให้มหาวิทยาลัย ส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ทั้งนี้ การใช้สิทธินี้จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมายกำหนด
    การใช้สิทธิตามวรรคหนึ่ง จะต้องอยู่ภายใต้เงื่อนไขตามที่กฎหมาย กฎ ข้อบังคับ ระเบียบ ประกาศ คำสั่งกำหนด และมหาวิทยาลัยอาจปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้ตามกฎหมาย กฎ ข้อบังคับ ระเบียบ ประกาศ คำสั่ง หรือหลักเกณฑ์ที่มหาวิทยาลัยกำหนดโดยไม่ขัดต่อกฎหมาย
    การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลบางกรณีอาจต้องชำระค่าธรรมเนียมหรือค่าใช้จ่ายใด ๆ ที่จำเป็นเพื่อการใช้สิทธิดังกล่าวข้างต้น มหาวิทยาลัยจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า
  • ข้อ 12 การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล
    มหาวิทยาลัย มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล โดยการจำกัดสิทธิ์การเข้าถึงข้อมูลส่วนบุคคลให้สามารถเข้าถึงได้โดยเจ้าหน้าที่เฉพาะรายหรือบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายที่มีความจำเป็นต้องใช้ข้อมูลดังกล่าวตามวัตถุประสงค์ที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น ซึ่งบุคคลดังกล่าวจะต้องยึดมั่นและปฏิบัติตามมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของมหาวิทยาลัย อย่างเคร่งครัด ตลอดจนมีหน้าที่รักษาความลับของข้อมูลส่วนบุคคลที่ตนเองรับรู้จากการปฏิบัติการตามอำนาจหน้าที่ โดยมหาวิทยาลัย มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลทั้งในเชิงองค์กรหรือเชิงเทคนิคที่ได้มาตรฐานสากล และเป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด
    นอกจากนี้ เมื่อมหาวิทยาลัยมีการส่ง โอนหรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม ไม่ว่าเพื่อการให้บริการตามพันธกิจ ตามสัญญา หรือข้อตกลงในรูปแบบอื่น มหาวิทยาลัย จะกำหนดมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลและการรักษาความลับที่เหมาะสมและเป็นไปตามที่กฎหมายกำหนด เพื่อยืนยันว่าข้อมูลส่วนบุคคลที่มหาวิทยาลัย เก็บรวบรวมจะมีความมั่นคงปลอดภัยอยู่เสมอ
  • ข้อ 13 การติดต่อสอบถามหรือใช้สิทธิ
    หากเจ้าของข้อมูลส่วนบุคคลมีข้อสงสัย ข้อเสนอแนะหรือข้อกังวลเกี่ยวกับการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัย หรือเกี่ยวกับประกาศนี้ หรือเจ้าของข้อมูลส่วนบุคคลต้องการใช้สิทธิตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลตามที่ระบุในข้อ 11 เจ้าของข้อมูลส่วนบุคคลสามารถติดต่อสอบถามได้ที่
    • (1) มหาวิทยาลัยเชียงใหม่
      239 ถนนห้วยแก้ว ต.สุเทพ อ.เมือง จ.เชียงใหม่ 50200
      โทรศัพท์ :+66 5394 1000, +66 5394 1300
      โทรสาร : +66 5321 7143
      อีเมล : ccarc@cmu.ac.th
    • (2) เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
      มหาวิทยาลัยเชียงใหม่
      239 ถนนห้วยแก้ว ต.สุเทพ อ.เมือง จ.เชียงใหม่ 50200
      โทรศัพท์ :+66 5394 1000, +66 5394 1300
      โทรสาร : +66 5321 7143
      อีเมล: ccarc@cmu.ac.th
  • ข้อ 14 ให้อธิการบดีเป็นผู้รักษาการในประกาศนี้ ในกรณีมีปัญหาในทางปฏิบัติตามประกาศนี้ ให้อธิการบดีเป็นผู้วินิจฉัยชี้ขาด และให้ถือเป็นที่สุด
มหาวิทยาลัยเชียงใหม่ (ซึ่งต่อไปในประกาศนี้ เรียกว่า “มหาวิทยาลัย”) และส่วนงานภายในได้ดำเนินการเก็บรวบรวมภาพดิจิทัลซึ่งอาจจะมีข้อมูลส่วนบุคคลของผู้ใช้พื้นที่ของมหาวิทยาลัยอันได้แก่ นักศึกษา บุคลากร ผู้ปฏิบัติงาน ส่วนงานภายในมหาวิทยาลัย และคู่ค้า (ซึ่งต่อไปนี้จะเรียกรวมกันว่า “ผู้ใช้พื้นที่”) ตลอดจนบุคคลทั่วไป จากการติดตั้งกล้องวงจรปิดภายในพื้นที่ของมหาวิทยาลัย
ในการนี้มหาวิทยาลัยเชียงใหม่เห็นสมควรที่จะประกาศข้อมูลเกี่ยวกับความเป็นส่วนตัวและการดำเนินการเก็บรวบรวม ใช้หรือเปิดเผย เนื่องจากข้อมูลภาพดิจิทัลข้างต้นที่สามารถทำให้สามารถระบุตัวผู้ใช้พื้นที่ รวมทั้งสิทธิต่าง ๆ ของผู้ใช้พื้นที่อันถือเป็นเจ้าของข้อมูลส่วนบุคคลนั้น เพื่อให้เป็นไปตามนโยบายคุ้มครองข้อมูลส่วนบุคคลมหาวิทยาลัยเชียงใหม่ ประกาศ ณ วันที่ 25 พฤษภาคม พ.ศ.2565 ตามความที่แจ้งแล้วนั้น
  • 1. ฐานกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
    มหาวิทยาลัยดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลในลักษณะภาพดิจิทัลของผู้ใช้พื้นที่ภายใต้ฐานกฎหมายดังต่อไปนี้
    • ก. ความจำเป็นในการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของท่านหรือบุคคลอื่น
    • ข. ความจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของมหาวิทยาลัยหรือบุคคลอื่น โดยประโยชน์ดังกล่าวมีความสำคัญไม่น้อยไปกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของผู้ใช้พื้นที่
    • ค. ความจำเป็นในการปฏิบัติตามกฎหมายที่เกี่ยวข้อง ซึ่งควบคุมดูแลเกี่ยวกับความปลอดภัยและสภาพแวดล้อมในสถานที่ทำงาน และทรัพย์สินของมหาวิทยาลัย
  • 2. วัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ใช้พื้นที่
    มหาวิทยาลัยดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลของผู้ใช้พื้นที่เพื่อวัตถุประสงค์ ดังต่อไปนี้
    • ก. เพื่อการปกป้องสุขภาพและความปลอดภัยส่วนตัวของผู้ใช้พื้นที่ ซึ่งรวมไปถึงทรัพย์สินของท่าน
    • ข. เพื่อการปกป้องอาคาร สิ่งอำนวยความสะดวกและทรัพย์สินของมหาวิทยาลัยจากความเสียหาย การขัดขวาง การทำลายซึ่งทรัพย์สินหรืออาชญากรรมอื่น
    • ค. เพื่อสนับสนุนหน่วยงานที่เกี่ยวข้องในการบังคับใช้กฎหมายเพื่อการยับยั้ง ป้องกัน สืบค้น และ ดำเนินคดีทางกฎหมาย
    • ง. เพื่อการให้ความช่วยเหลือในกระบวนการระงับข้อพิพาทซึ่งเกิดขึ้นในระหว่างที่มีกระบวนการทางวินัยหรือกระบวนการร้องทุกข์
    • จ. เพื่อการให้ความช่วยเหลือในกระบวนการสอบสวน หรือ กระบวนการเกี่ยวกับการส่งเรื่องร้องเรียน
    • ฉ. เพื่อการให้ความช่วยเหลือในกระบวนการริเริ่มหรือป้องกันการฟ้องร้องทางแพ่ง ซึ่งรวมไปถึงแต่ไม่จำกัดเพียงการดำเนินการทางกฎหมายที่เกี่ยวข้องกับการจ้างงาน
    • ช. เพื่อเพิ่มประสิทธิภาพในการบริหารจัดการงานของมหาวิทยาลัย
    • ซ. อื่น ๆ โดยไม่ขัดกับสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของผู้ใช้พื้นที่
  • 3. ข้อมูลส่วนบุคคลที่มหาวิทยาลัยเก็บรวบรวมและใช้
    ตามวัตถุประสงค์ตามที่ได้แจ้งในข้อ 2. มหาวิทยาลัยได้ทำการติดตั้งกล้องวงจรปิดในตำแหน่งที่มองเห็นได้ โดยจะจัดวางป้ายเตือนว่ามีการใช้งานกล้องวงจรปิด ณ ทางเข้าและทางออก รวมถึงพื้นที่ที่มหาวิทยาลัยเห็นสมควรว่าเป็นจุดที่ต้องมีการเฝ้าระวัง เพื่อเก็บรวบรวมภาพดิจิทัลอันเป็นข้อมูลส่วนบุคคลของผู้ใช้พื้นที่เมื่อเข้ามายังพื้นที่ ดังต่อไปนี้
    รายการข้อมูลส่วนบุคคลที่เก็บรวบรวม
    • • ภาพนิ่ง
    • • ภาพเคลื่อนไหว
    • • เสียง
    • • ภาพทรัพย์สินของผู้ใช้พื้นที่ เช่น พาหนะ กระเป๋า หมวก เครื่องแต่งกาย เป็นต้น
    • • อื่น ๆ โดยไม่ขัดกับสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของผู้ใช้พื้นที่
    ทั้งนี้ มหาวิทยาลัยจะไม่ทำการติดตั้งกล้องวงจรปิดในพื้นที่ที่อาจล่วงละเมิดสิทธิขั้นพื้นฐานของนักศึกษา บุคลากร และผู้ใช้พื้นที่อื่นๆ จนเกินสมควร ได้แก่ ห้องพัก ห้องน้ำ ห้องอาบน้ำ หรือสถานที่เพื่อใช้ในการพักผ่อนของผู้ปฏิบัติงาน
  • 4. การเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้พื้นที่
    มหาวิทยาลัยจะเก็บรักษาข้อมูลในกล้องวงจรปิดที่เกี่ยวกับผู้ใช้พื้นที่ไว้เป็นความลับ และจะไม่ทำการเปิดเผย เว้นแต่ กรณีที่มหาวิทยาลัยมีความจำเป็นเพื่อให้สามารถบรรลุวัตถุประสงค์ในการเฝ้าระวังสังเกตการณ์ตามที่ได้ระบุในประกาศฉบับนี้ มหาวิทยาลัยอาจเปิดเผยข้อมูลในกล้องวงจรปิดแก่ประเภทของบุคคลหรือนิติบุคคล ดังต่อไปนี้
    • 1. หน่วยงานที่มีอำนาจหน้าที่ตามที่กฎหมายกำหนด เพื่อช่วยเหลือ สนับสนุนในการบังคับใช้กฎหมาย หรือเพื่อการดำเนินการสืบสวน สอบสวน หรือการดำเนินคดีความต่าง ๆ
    • 2. ผู้ปกครองของนักเรียนหรือนักศึกษาที่จำเป็นต้องตรวจสอบข้อมูลที่เกี่ยวข้องกับนักเรียนหรือนักศึกษาภายใต้ผู้ปกครอง
    • 3. ผู้ให้บริการซึ่งเป็นบุคคลภายนอก เพื่อความจำเป็นในการสร้างความมั่นใจในเรื่องการป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย สุขภาพ รวมทั้งทรัพย์สินของผู้ใช้พื้นที่หรือบุคคลอื่น
    • 4. อื่น ๆ โดยไม่ขัดกับสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของผู้ใช้พื้นที่
  • 5. สิทธิตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของผู้ใช้พื้นที่
    พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 มีวัตถุประสงค์เพื่อให้ข้อมูลส่วนบุคคลอยู่ในความควบคุมของเจ้าของข้อมูล โดยผู้ใช้พื้นที่สามารถใช้สิทธิตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 นี้ เมื่อบทบัญญัติในส่วนที่เกี่ยวกับสิทธิของเจ้าของข้อมูลส่วนบุคคลมีผลใช้บังคับ ซึ่งมีรายละเอียดดังต่อไปนี้
    • 1. สิทธิในการเข้าถึง รับสำเนา และขอให้เปิดเผยที่มาของข้อมูลส่วนบุคคลของผู้ใช้พื้นที่ที่มหาวิทยาลัยเก็บรวบรวมอยู่ เว้นแต่กรณีที่มหาวิทยาลัยมีสิทธิปฏิเสธคำขอของผู้ใช้พื้นที่ตามกฎหมายหรือคำสั่งศาล หรือกรณีที่คำขอของผู้ใช้พื้นที่จะมีผลกระทบที่อาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น
    • 2. สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลของผู้ใช้พื้นที่ที่ไม่ถูกต้องหรือไม่ครบถ้วน เพื่อให้มีความถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
    • 3. สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคลของท่านในกรณีหนึ่งกรณีใด ดังต่อไปนี้
      • 3.1. เมื่ออยู่ในช่วงเวลาที่มหาวิทยาลัยทำการตรวจสอบตามคำร้องขอของผู้ใช้พื้นที่ให้แก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์และเป็นปัจจุบัน
      • 3.2. ข้อมูลส่วนบุคคลของผู้ใช้พื้นที่ถูกเก็บรวบรวม ใช้หรือเปิดเผยโดยมิชอบด้วยกฎหมาย
      • 3.3. เมื่อข้อมูลส่วนบุคคลของผู้ใช้พื้นที่หมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์มหาวิทยาลัยได้แจ้งไว้ในการเก็บรวบรวม แต่ผู้ใช้พื้นที่ประสงค์ให้มหาวิทยาลัยเก็บรักษาข้อมูลนั้นต่อไปเพื่อประกอบการใช้สิทธิตามกฎหมายของผู้ใช้พื้นที่
      • 3.4. เมื่ออยู่ในช่วงเวลาที่มหาวิทยาลัยกำลังพิสูจน์ให้ผู้ใช้พื้นที่เห็นถึงเหตุอันชอบด้วยกฎหมายในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้พื้นที่ หรือตรวจสอบความจำเป็นในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้พื้นที่เพื่อประโยชน์สาธารณะ อันเนื่องมาจากการที่ท่านได้ใช้สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้พื้นที่
    • 4. สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้พื้นที่ เว้นแต่กรณีที่มหาวิทยาลัยเหตุในการปฏิเสธคำขอของผู้ใช้พื้นที่โดยชอบด้วยกฎหมาย (เช่น มหาวิทยาลัยสามารถแสดงให้เห็นว่าการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้พื้นที่มีเหตุอันชอบด้วยกฎหมายยิ่งกว่า หรือเพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือเพื่อประโยชน์สาธารณะตามภารกิจของมหาวิทยาลัย)
  • 6. ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
    เพื่อบรรลุวัตถุประสงค์ของการเฝ้าระวังสังเกตโดยการใช้อุปกรณ์กล้องวงจรปิดตามที่ประกาศนี้กำหนด มหาวิทยาลัย จะเก็บรักษาข้อมูลส่วนบุคคลจากกล้องวงจรปิดในระยะเวลาไม่น้อยกว่า 1 อาทิตย์ แต่ไม่เกินหนึ่งเดือน หรือ ตามความสามารถของกล้องวงจรปิดที่ติดตั้งจะสามารถทำได้ หรือ ตามระยะเวลาเท่าที่ข้อมูลนั้นยังมีความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลเท่านั้น ตามรายละเอียดที่ได้กำหนดไว้ใน นโยบาย ประกาศหรือตามกฎหมายที่เกี่ยวข้อง ทั้งนี้ เมื่อพ้นระยะเวลาและข้อมูลส่วนบุคคลของผู้รับบริการสิ้น ความจำเป็นตามวัตถุประสงค์ดังกล่าวแล้ว มหาวิทยาลัย จะทำการลบ ทำลายข้อมูลส่วนบุคคลของผู้ใช้พื้นที่ หรือทำให้ข้อมูลส่วนบุคคลของผู้ใช้พื้นที่ ไม่สามารถระบุตัวตนได้ต่อไป ตามรูปแบบและมาตรฐานการลบ ทำลายข้อมูลส่วนบุคคลที่คณะกรรมการหรือกฎหมายจะได้ประกาศกำหนดหรือตามมาตรฐานสากล อย่างไรก็ ดี ในกรณีที่มีข้อพิพาท การใช้สิทธิหรือคดีความอันเกี่ยวข้องกับข้อมูลส่วนบุคคลของผู้ใช้พื้นที่ มหาวิทยาลัยขอสงวนสิทธิในการเก็บรักษาข้อมูลนั้นต่อไป จนกว่าข้อพิพาทนั้นจะได้มีคำสั่งหรือคำพิพากษาถึงที่สุด
  • 7. การรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคล
    มหาวิทยาลัยมีมาตรการในการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลของผู้ใช้พื้นที่ในลักษณะข้างต้นอย่างเหมาะสม ทั้งในเชิงเทคนิคและการบริหารจัดการ เพื่อป้องกันมิให้ข้อมูลสูญหาย หรือมีการเข้าถึง ลบ ทำลาย ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต ซึ่งสอดคล้องกับนโยบายและแนวปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy) ของมหาวิทยาลัย
    นอกจากนี้ มหาวิทยาลัยได้กำหนดให้มีนโยบายการคุ้มครองข้อมูลส่วนบุคคลขึ้นโดยประกาศให้ทราบกันโดยทั่วทั้งองค์กร พร้อมแนวทางปฏิบัติเพื่อให้เกิดความมั่นคงปลอดภัยในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยธำรงไว้ซึ่งความเป็นความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของข้อมูลส่วนบุคคล โดยมหาวิทยาลัยได้จัดให้มีการทบทวนนโยบายดังกล่าวรวมถึงประกาศนี้ในระยะเวลาตามที่เหมาะสม
  • 8. ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล
    มหาวิทยาลัยได้กำหนดให้เจ้าหน้าที่เฉพาะผู้ที่มีอำนาจหน้าที่เกี่ยวข้องในการจัดเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของกิจกรรมการประมวลผลนี้เท่านั้นที่จะสามารถเข้าถึงข้อมูลส่วนบุคคลของท่านได้ โดยมหาวิทยาลัยจะดำเนินการให้เจ้าหน้าที่ปฏิบัติตามประกาศนี้อย่างเคร่งครัด
  • 9. การเปลี่ยนแปลงแก้ไขคำประกาศเกี่ยวกับความเป็นส่วนตัว
    ในการปรับปรุงหรือเปลี่ยนแปลงประกาศนี้ มหาวิทยาลัยอาจพิจารณาแก้ไขเปลี่ยนแปลงตามที่เห็นสมควร และจะทำการแจ้งให้ผู้ใช้พื้นที่และสาธารณชนทราบผ่านช่องทางเว็บเพจของทางมหาวิทยาลัย cmu.ac.th ขอให้สาธารณชนโปรดตรวจสอบเพื่อรับทราบประกาศฉบับอันเป็นปัจจุบันอย่างสม่ำเสมอ โดยเฉพาะก่อนที่จะเข้ามาในพื้นที่ของมหาวิทยาลัย
    การเข้ามาในพื้นที่ของสาธารณชน ถือเป็นการรับทราบตามข้อตกลงในประกาศนี้ ทั้งนี้ โปรดระงับการเข้าพื้นที่ หากไม่เห็นด้วยกับข้อตกลงในประกาศฉบับนี้ หากสาธารณชนยังคงเข้ามาในพื้นที่ต่อไปภายหลังจากที่ประกาศนี้มีการแก้ไขและนำขึ้นประกาศในช่องทางข้างต้นแล้ว จะถือว่าสาธารณชนเป็นผู้ใช้พื้นที่และได้รับทราบการเปลี่ยนแปลงดังกล่าวแล้ว
  • 10. การติดต่อสอบถาม
    ผู้ใช้พื้นที่สามารถติดต่อสอบถามเกี่ยวกับประกาศฉบับนี้ได้ที่
    • 1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
      • ชื่อ: มหาวิทยาลัยเชียงใหม่
      • สถานที่ติดต่อ: 239 ถนนห้วยแก้ว ตำบลสุเทพ อำเภอเมือง จังหวัดเชียงใหม่ 50200
      • ช่องทางการติดต่อ: ccarc@cmu.ac.th
    • 2. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO)
      • สถานที่ติดต่อ: 239 ถนนห้วยแก้ว ตำบลสุเทพ อำเภอเมือง จังหวัดเชียงใหม่ 50200
      • ช่องทางการติดต่อ: ccarc@cmu.ac.th