สรุปแนวทางการกำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสถาบันการศึกษา
ดาว์นโหลดเอกสาร PDF ได้ที่ http://www.erp.mju.ac.th/openFile.aspx?id=NDA2NjQ5&method=inline
โดยนางสาวณัฐกฤตา โกมลนาค
ตำแหน่งนักวิชาการคอมพิวเตอร์ปฏิบัติการ
กองเทคโนโลยีดิจิทัล สำนักงานมหาวิทยาลัย
โดยที่การดำเนินการของสถาบันการศึกษา จะต้องปฏิบัติการตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการ ระเบียบคณะกรรมการการอุดมศึกษาฯ คณะกรรมการข้าราชการพลเรือนในสถาบันอุดมศึกษา จำเป็นต้องมีการจัดเก็บข้อมูลส่วนบุคคลของบุคลากร นักศึกษา และผู้รับบริการของสถาบันการศึกษา และบางกรณีมีความจำเป็นต้องดำเนินการทางอิเล็กทรอนิกส์ เพื่อให้สามารถบริการได้อย่างทั่วถึง สะดวก รวดเร็ว และมีประสิทธิภาพ
ดังนั้น เพื่อรักษาความปลอดภัยและป้องกันการนำข้อมูลส่วนบุคคลของผู้ใช้บริการเว็บไซต์ของสถาบันการศึกษา ไปใช้โดยมีเจตนาไม่สุจริต และให้มีมาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลในภารกิจของสถาบันฯ จึงได้เข้าร่วมการแลกเปลี่ยนเรียนรู้เกี่ยวกับแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล ซึ่งบริษัทลานนาคอม จำกัด ได้มาให้ความรู้แก่บุคลากร กองเทคโนโลยีดิจิทัล สำนักงานมหาวิทยาลัย มหาวิทยาลัยแม่โจ้ เมื่อวันที่ 10 มีนาคม 2563 และได้ดำเนินการศึกษาค้นคว้าและทบทวนเอกสารเผยแพร่ทางอินเตอร์เน็ตเกี่ยวกับนโยบายคุ้มครองข้อมูลส่วนบุคคลจากสถาบันการศึกษาต่างๆ รวมถึงหน่วยงานอื่นๆ ที่ได้จัดทำนโยบายและแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลโดยความเห็นชอบของคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เมื่อ 17 เมษายน 2563 จำนวน 21 หน่วยงาน https://bit.ly/2RysjH1) และจากแนวทางการปฏิบัติของศูนย์วิจัยกฎหมายและการพัฒนา คณะนิติศาสตร์ จุฬาลงกรณ์สถาบันฯ (https://bit.ly/2ZLtXJY) ซึ่งสนับสนุนโดยสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) บริษัท เอพี (ไทยแลนด์) จำกัด (มหาชน) และบริษัท อาร์แอนด์ที เอเชีย (ประเทศไทย) จำกัด เผยแพร่เพื่อประโยชน์สาธารณะ
จึงได้สรุปเป็นแนวทางการกำหนดหัวข้อปฏิบัติเพื่อการคุ้มครองข้อมูลส่วนบุคคล สำหรับสถาบันการศึกษาไว้ดังนี้
- การเก็บรวบรวมข้อมูลส่วนบุคคลอย่างจำกัด
สถาบันการศึกษา มีการกำหนดแนวปฏิบัติเกี่ยวกับการจำกัดการจัดเก็บข้อมูล โดยจะจัดเก็บข้อมูลส่วนบุคคลของผู้ใช้บริการเว็บไซต์ของสถาบันการศึกษาไว้เท่าที่จำเป็น โดยขึ้นอยู่กับประเภทของบริการ ภายใต้โดเมนเนมของสถาบันการศึกษา เช่นการลงทะเบียนสมัครใช้บริการบางประการ การลงทะเบียนกิจกรรมต่างๆ และต้องเป็นการจัดเก็บจากเจ้าของข้อมูลโดยตรง ภายใต้อำนาจหน้าที่และวัตถุประสงค์ในการดำเนินงานของสถาบันการศึกษา ตามที่กฎหมายกำหนด หรือรับรองตามมาตรา 24 แห่งพระราชบัญญัติข้อมูลข่าวสารราชการ พ.ศ. 2540 หรือตามที่คณะกรรมการอุดมศึกษาฯ กำหนดจัดเก็บข้อมูลสารสนเทศ เท่านั้น ในกรณีที่สถาบันการศึกษา ประสงค์จะใช้ข้อมูลส่วนบุคคลของผู้ใช้บริการเพื่อวัตถุประสงค์อื่น สถาบันการศึกษา จะต้องแจ้งความประสงค์ให้เจ้าของข้อมูลทราบ และขอความยินยอมจากเจ้าของข้อมูลก่อน เว้นแต่เป็นกรณีที่กฎหมายกำหนด
- การบันทึกข้อมูลผู้ใช้บริการ
สถาบันการศึกษา มีการกำหนดแนวปฏิบัติเกี่ยวกับการบันทึกข้อมูลผู้ใช้บริการ โดยจะมีการเก็บบันทึกข้อมูลผู้ใช้บริการเว็บไซด์ของสถาบันการศึกษา ได้แก่ หมายเลขไอพี (IP Address) วันที่ และเวลา เว็บไซด์ที่เข้าออกก่อนและหลัง ประเภทของเว็บบราวเซอร์ (Brower) เป็นต้น ทั้งนี้สถาบันการศึกษา จะนำข้อมูลที่บันทึกหรือเก็บรวบรวมไว้ ไปใช้ในการวิเคราะห์เชิงสถิติ หรือในการดำเนินการเพื่อปรับปรุงคุณภาพการให้บริการต่อไป โดยการบันทึกข้อมูลดังกล่าวเป็นไปตามมาตรา 26 วรรคหนึ่งแห่งพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ซึ่งแก้ไขเพิ่มเติมโดยพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560 ที่กำหนดให้ผู้ให้บริการต้องเก็บข้อมูลจราจรคอมพิวเตอร์ไม่น้อยกว่า 90 วัน นับแต่วันที่ข้อมูลนั้นเข้าสู่ระบบคอมพิวเตอร์ แต่ในกรณีจำเป็น พนักงานเจ้าหน้าที่จะสั่งให้ผู้ให้บริการผู้ใดเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ไว้เกิน 90 วัน แต่ไม่เกิน 2 ปี เป็นกรณีพิเศษเฉพาะรายและเฉพาะคราวก็ได้
สถาบันการศึกษา มีการกำหนดแนวปฏิบัติเกี่ยวกับการใช้ข้อมูลส่วนบุคคล โดยจะเก็บรวบรวม รักษา และใช้ข้อมูลส่วนบุคคล เพื่อประโยชน์ในการให้บริการ และการดำเนินการตามวัตถุประสงค์ และภารกิจของสถาบันการศึกษา ภายใต้ขอบเขตของกฎหมายที่เกี่ยวข้อง
สถาบันการศึกษา มีการกำหนดแนวปฏิบัติเกี่ยวกับคุณภาพของข้อมูลส่วนบุคคล โดยจะมีการรวบรวมและจัดเก็บข้อมูลส่วนบุคคลของผู้ใช้บริการ โดยให้ความสำคัญถึงความถูกต้อง ครบถ้วน และเป็นปัจจุบันของข้อมูล
- การระบุวัตถุประสงค์ในการรวบรวมและจัดเก็บข้อมูล
สถาบันการศึกษา มีการกำหนดแนวปฏิบัติเกี่ยวกับการระบุวัตถุประสงค์ในการรวบรวมข้อมูลและจัดเก็บข้อมูล โดยจะมีการรวบรวม จัดเก็บ ใช้ ข้อมูลส่วนบุคคลของผู้ใช้บริการ ตามวัตถุประสงค์เพื่อให้บริการผ่านระบบเครือข่ายอินเทอร์เน็ต เช่น ระบบสารสนเทศเพื่อการบริหารจัดการ ระบบสารสนเทศบุคลากร ระบบสารสนเทศนักศึกษา ระบบสารสนเทศด้านการคลัง เป็นต้น และเพื่อประโยชน์ในการดำเนินการตามวัตถุประสงค์ ของสำนักงานปลัดกระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม เช่น ระบบสารสนเทศด้านการศึกษา ทั้งนี้ หากภายหลังสถาบันการศึกษา มีการเปลี่ยนแปลงวัตถุประสงค์ในการรวบรวมและจัดเก็บข้อมูลส่วนบุคคล สถาบันการศึกษา จะต้องแจ้งให้ผู้ใช้บริการทราบและขอความยินยอม นอกจากนี้ สถาบันการศึกษา ได้กำหนดให้มีการบันทึกการแก้ไขเพิ่มเติมไว้เป็นหลักฐานด้วย
- ข้อจำกัดในการนำข้อมูลส่วนบุคคลไปใช้
สถาบันการศึกษา มีการกำหนดแนวปฏิบัติเกี่ยวกับข้อจำกัดในการนำข้อมูลส่วนบุคคลไปใช้ โดยจะต้องไม่เปิดเผย หรือแสดง หรือทำให้ปรากฏในลักษณะอื่นใดซึ่งข้อมูลส่วนบุคคลที่ไม่สอดคล้องกับวัตถุประสงค์ของการรวบรวมและจัดเก็บข้อมูล เว้นแต่จะได้รับความยินยอมจากเจ้าของข้อมูล หรือตามคำสั่งศาล หรือเป็นกรณีเปิดเผยตามที่กฎหมายกำหนดให้กระทำได้ รวมถึงมีการกำหนดแนวปฏิบัติที่จะไม่เปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สามเพื่อนำไปใช้ในการดำเนินกิจกรรมที่ไม่เกี่ยวข้อง เช่นการเสนอขายสินค้าทางโทรศัพท์เป็นต้น
- การรักษาความมั่นคงปลอดภัยสำหรับข้อมูลส่วนบุคคล
สถาบันการศึกษา มีการกำหนดแนวปฏิบัติเกี่ยวกับการรักษาความมั่นคงปลอดภัยสำหรับข้อมูลส่วนบุคคล โดยจะมีการใช้มาตรการด้านความมั่นคงปลอดภัยข้อมูลส่วนบุคคลอย่างเหมาะสม เพื่อป้องกันมิให้ข้อมูลสูญหาย การเข้าถึง การใช้ข้อมูล การทำลายข้อมูล และการนำข้อมูลไปใช้โดยมิชอบ รวมถึงการเปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต และให้เป็นไปตามประกาศของสถาบันการศึกษา เรื่อง นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ รวมถึงให้มีการจำกัดการเข้าใช้งานข้อมูลส่วนบุคคลไว้เพียงเจ้าหน้าที่สถาบันการศึกษาที่เกี่ยวข้อง กรณีที่มีการจ้าง จะต้องกำหนดให้ผู้รับจ้าง (Outsource) จำเป็นต้องเก็บรักษาความลับและความปลอดภัยของข้อมูลของผู้ใช้บริการ โดยห้ามนำข้อมูลไปใช้นอกเหนือจากที่กำหนดให้ดำเนินการ
สถาบันการศึกษา มีการกำหนดแนวปฏิบัติเกี่ยวกับการใช้คุกกี้ (Cookies) ซึ่งเป็นกระบวนการเพื่อทำให้ผู้ใช้บริการสามารถใช้งานเว็บไซด์ของสถาบันการศึกษาได้สะดวกขึ้น ซึ่งมีประโยชน์สำหรับให้เว็บเซิร์ฟเวอร์สามารถเรียกใช้ข้อมูลเหล่านั้นได้ในภายหลัง โดยการทำงานของคุกกี้จะถูกติดตั้งในขณะที่ผู้ใช้บริการเรียกดูเว็บไซด์ หลังจากที่ผู้ใช้บริการเลิกใช้งานโปรแกรมบราวเซอร์ (Browser) แล้ว คุกกี้บางตัวจะถูกจัดเก็บไว้ที่เครื่องคอมพิวเตอร์ของผู้ใช้บริการในรูปแบบไฟล์ หรืออาจจะหมดอายุ หรือไม่มีการเก็บ ก็ได้ โดยสถาบันการศึกษา อาจกำหนดเป็นแนวปฏิบัติ ที่จะอนุญาตให้ผู้ใช้บริการสามารถปรับโปรแกรมบราวเซอร์ (Browser) ของผู้ใช้บริการให้รองรับการทำงานของคุกกี้หรือไม่ก็ได้
- ข้อแนะนำในการรักษาความปลอดภัยข้อมูลส่วนบุคคล
สถาบันการศึกษา มีการกำหนดแนวปฏิบัติเกี่ยวกับข้อแนะนำในการรักษาความปลอดภัยข้อมูลส่วนบุคคล โดยสถาบันการศึกษา ควรแจ้งผู้ใช้บริการเกี่ยวกับหน้าที่ของผู้ใช้บริการในการการเก็บรักษาบัญชีรายชื่อและการเปลี่ยนรหัสผ่าน เมื่อผู้ใช้บริการลงทะเบียน เพื่อขอรับบริการทางอิเล็กทรอนิกส์ของสถาบันการศึกษา ผู้ใช้บริการจะได้รับหมายเลขประจำตัวผู้ใช้ (User ID) และรหัสผ่าน (Password) สำหรับเข้าสู่ระบบ สถาบันการศึกษาจะทราบหมายเลขประจำตัวผู้ใช้ (User ID) ของผู้ใช้บริการ แต่จะไม่ทราบรหัสผ่าน (Password) ของผู้ใช้บริการ โดยผู้ใช้บริการมีหน้าที่รักษาหมายเลขประจำตัวผู้ใช้ (User ID) และรหัสผ่าน (Password) ของตนเองอย่างเคร่งครัด ไม่เปิดเผยข้อมูลดังกล่าวแก่บุคคลอื่น ทั้งนี้ ผู้ใช้บริการควรเปลี่ยนรหัสผ่าน (Password) เป็นประจำ และทุกครั้งที่ใช้บริการเสร็จ ควรคลิก “ออกจากระบบ” เพื่อป้องกันมิให้ผู้อื่นสามารถทำรายการจากบัญชีผู้ใช้งานนั้นได้
- การมีส่วนร่วมของเจ้าของข้อมูล
สถาบันการศึกษา มีการกำหนดแนวปฏิบัติเกี่ยวกับการมีส่วนร่วมของเจ้าของข้อมูล โดยจะเปิดเผยรายละเอียดข้อมูลส่วนบุคคล ให้แก่เจ้าของข้อมูลต่อเมื่อได้รับคำร้องขอจากเจ้าของข้อมูล ผู้สืบสิทธิ์ ทายาท หรือผู้แทนโดยชอบธรรม ผู้พิทักษ์ตามกฎหมาย ผู้อนุบาล โดยยื่นคำร้องขอและวัตถุประสงค์ของการนำไปใช้ ในกรณีที่เจ้าของข้อมูล ผู้สืบสิทธิ์ ทายาท หรือผู้แทนโดยชอบธรรม ผู้พิทักษ์ตามกฎหมาย
ผู้อนุบาล มีการคัดค้านการจัดเก็บ ความถูกต้อง หรือการกระทำใดๆ เช่น การแจ้งปรับปรุงแก้ไขข้อมูลส่วนบุคคล หรือลบข้อมูลส่วนบุคคล เป็นต้น หลังจากสถาบันการศึกษา ได้ตรวจสอบหลักฐานที่เชื่อถือได้
ซึ่งเจ้าของข้อมูลได้แสดงต่อสถาบันการศึกษาแล้ว จะบันทึกคำคัดค้านเพื่อเก็บไว้เป็นหลักฐานด้วย กรณีที่สถาบันการศึกษา ปฏิเสธการให้ข้อมูลส่วนบุคคลใดๆ สถาบันการศึกษาจะจัดทำคำชี้แจ้งให้เจ้าของข้อมูลทราบ
- ความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูลส่วนบุคคล
สถาบันการศึกษา มีการกำหนดแนวปฏิบัติเกี่ยวกับความรับผิดชอบของบุคคลซึ่งทำหน้าที่ควบคุมข้อมูลส่วนบุคคล โดยกำหนดให้เจ้าหน้าที่ทุกคนที่จัดเก็บข้อมูลส่วนบุคคลของบุคลากร นักศึกษา และผู้ใช้บริการธุรกรรมทางอิเล็กทรอนิกส์ ต้องให้ความสำคัญและรับผิดชอบในการจัดเก็บและคุ้มครองข้อมูลส่วนบุคคลที่ตนจัดเก็บตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลที่กำหนดไว้อย่างเคร่งครัด
- การเปิดเผยเกี่ยวกับการดำเนินการ แนวปฏิบัติ และนโยบายที่เกี่ยวกับข้อมูลส่วนบุคคล
สถาบันการศึกษา มีการกำหนดแนวปฏิบัติเกี่ยวกับการดำเนินการ แนวปฏิบัติ และนโยบายที่เกี่ยวกับข้อมูลส่วนบุคคล โดยจะเปิดเผยนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล และเผยแพร่ทางเว็บไซด์ของสถาบันการศึกษา และเว็บไซด์ของผู้ควบคุมข้อมูลส่วนบุคคล เช่นกองการเจ้าหน้าที่ เป็นต้น ทั้งนี้ สถาบันการศึกษา ควรมีช่องทางให้เจ้าของข้อมูลส่วนบุคคล สามารถตรวจดูความมีอยู่ ลักษณะของข้อมูลส่วนบุคคล และวัตถุประสงค์ของการนำข้อมูลไปใช้ ด้วย
- การปรับปุรงนโยบายคุ้มครองข้อมูลส่วนบุคคล
สถาบันการศึกษา มีการกำหนดแนวปฏิบัติเกี่ยวกับการปรับปรุงนโยบายคุ้มครองข้อมูลส่วนบุคคล โดยแจ้งให้ทราบว่า ทางสถาบันฯ อาจทำการปรับปรุงหรือแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคล โดยไม่ได้แจ้งให้ทราบล่วงหน้า ทั้งนี้เพื่อความเหมาะสมและประสิทธิภาพในการให้บริการ ดังนั้น สถาบันการศึกษา ขอแนะนำให้อ่านนโยบายคุ้มครองข้อมูลส่วนบุคคลทุกครั้งที่ใช้บริการเว็บไซด์ของสถาบันการศึกษา
- การปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลและการติดต่อกับสถาบันการศึกษา
สถาบันการศึกษา มีการกำหนดแนวปฏิบัติเกี่ยวกับการปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลและการติดต่อกับสถาบันการศึกษา โดยกำหนดให้เจ้าหน้าที่สถาบันการศึกษา ที่เกี่ยวข้องต้องให้ความสำคัญและรับผิดชอบในการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้เป็นไปตามนโยบายการคุ้มครองข้อมูลส่วนบุคคลของสถาบันการศึกษา
https://www.ocsc.go.th/privacy-policy นโยบายการคุ้มครองข้อมูลส่วนบุคคลของ สำนักงาน ก.พ.
https://www.dlt.go.th/th/announce/view.php?_did=2305 นโยบายการคุ้มครองข้อมูลส่วนบุคคลกรมขนส่งทางบก
https://www.law.chula.ac.th/wp-content/uploads/2019/10/TDPG2.0-C5-20191009.pdf จุฬาลงกรณ์สถาบันฯ