มหาวิทยาลัยเห็นความสำคัญของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือกฎหมาย PDPA (Personal Data Protection Act) ซึ่งจะให้ความคุ้มครองข้อมูลส่วนบุคคล เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล หมายเลขบัตรประชาชน รวมไปถึงข้อมูลที่มีความอ่อนไหว
เช่น เชื้อชาติ ศาสนา พฤติกรรมทางเพศ ข้อมูลทางสุขภาพ ฯลฯ ซึ่งข้อมูลเหล่านี้สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งข้อมูลในรูปแบบเอกสาร กระดาษหนังสือ หรือจัดเก็บในรูปแบบอิเล็กทรอนิกส์ก็ได้ นักศึกษา จึงจำเป็นต้องรู้เท่าทันกฎหมายฉบับนี้ เพื่อให้รอดพ้นจากการกระทำที่รู้เท่าไม่ถึงการณ์ ซึ่งอาจได้รับผลกระทบตามมาหากขาดความรู้เกี่ยวกับ พ.ร.บ.ฉบับนี้
สำนักงานบริการอาคารวิทยาศาสตร์ จึงได้สรุปข้อมูลที่นักศึกษาควรรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
ข้อมูลส่วนบุคคลคือ ?
1. ข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะเป็นทางตรงหรือทางอ้อม เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล หมายเลขบัตรประชาชน
2. ข้อมูลที่มีความอ่อนไหว เช่น เชื้อชาติ เผ่าพันธุ์ ศาสนา ลัทธิ ความเชื่อ พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลทางสุขภาพ พันธุกรรม และชีวภาพ ฯลฯ
บุคคลสำคัญตาม PDPA
1. เจ้าของข้อมูลส่วนบุคคล (data Subject) คือ บุคคลที่ข้อมูลส่วนบุคคลสามารถระบุถึงตัวบุคคลนั้นได้ ซึ่งเป็นบุคคลธรรมดา ไม่รวมผู้ถึงแก่กรรมและนิติบุคคล
2. ผู้ควบคุมข้อมูลส่วนบุคคล (data Controller) คือ บุคคลหรือนิติบุคคลที่มีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล เช่น กำหนดวัตถุประสงค์ วิธีการประมวลผล วิธีใช้ประโยชน์จากข้อมูลส่วนบุคคล
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (data processor) คือ บุคคลหรือนิติบุคคลที่ประมวลผลข้อมูลส่วนบุคคลตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งไม่ใช่พนักงานหรือส่วนหนึ่งของผู้ควบคุมข้อมูลส่วนบุคคล
4. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (data protection officer : DPO) คือ บุคคลที่ได้รับมอบหมายเพื่อทำหน้าที่ให้คำแนะนะ ประสานงาน และตรวจสอบการคุ้มครองข้อมูลส่วนบุคลของหน่วยงานให้เป็นไปตามกฎหมาย
มาตรการในการรักษาความปลอดภัย
1. ควบคุมการเข้าถึงข้อมูลและอุปกรณ์ในการจัดเก็บและประมวลผลข้อมูลส่วนบุคคล
2. กำหนดและจำกัดสิทธิการเข้าถึงข้อมูลส่วนบุคคล
3. กำหนดหน้าที่และความรับผิดชอบผู้ใช้งานเพื่อป้องกันการเข้าถึงข้อมูลโดยไม่ชอบด้วยกฎหมาย
4. กำหนดกระบวนการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล
5. ตรวจสอบการเข้าถึงข้อมูลส่วนบุคคลย้อนหลัง มีระบบป้องกันการโจมตีจากบุคคลภายนอก
หน้าที่ของสำนักงานบริการอาคารวิทยาศาสตร์ในการคุ้มครองข้อมูลส่วนบุคคล
1. สำนักงานบริการฯ ต้องแจ้งรายละเอียดการประมวลผลข้อมูลส่วนบุคคลให้เจ้าของข้อมูลทราบก่อน หรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล เช่น วัตถุประสงค์ ข้อมูลที่เก็บรวบรวม สิทธิของเข้าของข้อมูลส่วนบุคคล ฯลฯ
2. สำนักงานบริการฯ จัดทำและเก็บรักษาบันทึกข้อมูลประมวลผลของแต่ละรายการไว้ เพื่อให้เจ้าของข้อมูลส่วนบุคคลสามารถตรวจสอบรายละเอียดการประมวลผลข้อมูลส่วนบุคคลได้ เช่น การแก้ไขข้อมูลส่วนตัว การตรวจสอบยอดการชำระเงิน
3. สำนักงานบริการฯ มีมาตรการรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลของนักศึกษา เพื่อป้องกันการเข้าถึง การใช้ การเปลื่ยนแปลงแก้ไข และการเปิดเผยข้อมูลโดยไม่ชอบด้วยกฎหมาย รวมถึงป้องกันการสูญหายของข้อมูลส่วนบุคคล และได้สร้างความตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ให้แก่นักศึกษาทราบเพื่อให้ปฏิบัติตามอย่างเคร่งครัด
4. สำนักงานบริการฯ มีช่องทางการขอใช้สิทธิของเจ้าของข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลสามารถ ใช้สิทธิตามที่กฎหมายกำหนดได้