ข้อ ใด คือ ข้อมูลส่วนตัว ของ นักเรียน

ทำไมเราจึงต้องมีล็อคเกอร์ ใส่กุญแจไว้เก็บของสำคัญไม่ให้สูญหายหรือโดนขโมย ข้อมูลที่สำคัญก็เหมือนกันที่ต้องมีมาตรการการเก็บรักษาให้ปลอดภัย อาจใช้การใส่รหัสไว้ส่วนตัว หรือเป็นการเข้ารหัสจากตัวระบบเอง วัตถุประสงค์ก็เพื่อไม่ให้เกิดการละเมิดข้อมูลตามมา ซึ่งจะส่งผลให้เกิดความเสียหายได้

ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ซึ่งไทยได้บังคับใช้บางส่วนมื่อปีที่ผ่านมา กล่าวถึงรายละเอียดการเก็บรวบรวมข้อมูลส่วนบุคคลไว้ โดยข้อมูลส่วนบุคคลเป็นข้อมูลที่สามารถระบุถึงตัวเจ้าของข้อมูลนั้นได้ อาจเป็นได้ทั้งรูปแบบออนไลน์และออฟไลน์ เช่น ชื่อ ที่อยู่ เบอร์โทรศัพท์ บัญชีธนาคาร อีเมล ไอดีไลน์ ลายนิ้วมือ เป็นต้น ในส่วนของกฎหมาย GDPR ซึ่งเป็นกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปก็มีการกล่าวถึงกำหนดระยะเวลาของการเก็บรักษาข้อมูล (Data Retention) ไว้เช่นกัน วัตถุประสงค์ของการเก็บรักษาข้อมูลส่วนบุคคลของกฎหมายทั้ง 2 ฉบับ ก็เพื่อป้องกันไม่ให้ผู้ไม่ประสงค์ดีทำการแฮ็กข้อมูลเพื่อข่มขู่หวังผลประโยชน์จากทั้งตัวเจ้าของข้อมูลเองหรือจากบุคคลที่ดูแลข้อมูล

ในการเก็บรวบรวมข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งเป็นบุคคลที่มีหน้าที่ตัดสินใจในการเก็บรวบรวม การใช้ หรือเปิดเผยข้อมูล มีหน้าที่ต่อเจ้าของข้อมูลส่วนบุคคลดังนี้

• แจ้งวัตถุประสงค์ที่จะเก็บจากเจ้าของข้อมูลก่อนให้ชัดเจน
• ในกรณีที่ต้องขอความยินยอมต้องให้อิสระเจ้าของข้อมูลในการเลือกให้ความยินยอม
• ต้องเก็บข้อมูลเท่าที่จำเป็น และลบทำลายข้อมูลเมื่อครบกำหนดระยะเวลาที่ได้แจ้งไว้
• แจ้งสถานที่ติดต่อและผู้ดูแลหรือผู้ประสานงาน
• ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ไม่สามารถเก็บข้อมูลจากแหล่งอื่นได้ เช่น จะซื้อข้อมูลต่อจากที่อื่น หรือใช้ข้อมูลจากแหล่งอื่นไม่ได้ แต่ถ้าจำเป็นต้องใช้ข้อมูลจากแหล่งอื่น ก็ต้องขอความยินยอมจากเจ้าของข้อมูลโดยเร็ว หรือภายใน 30 วัน
• อาจไม่ต้องขอความยินยอมก็ได้ เช่น เป็นกรณีเจ้าของข้อมูลเคยให้ความยินยอมไว้อยู่แล้ว หรือ กรณีเร่งด่วนจำเป็น เจ้าของข้อมูลเกิดอุบัติเหตุต้องเข้ารับการรักษาฉุกเฉิน แพทย์ก็อาจใช้ข้อมูลได้ ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลต้องพิจารณาเป็นรายกรณีไป และศึกษาข้อยกเว้นที่ไม่ต้องขอความยินยอมให้ละเอียดครบถ้วน เพราะหากพลาดพลั้งไป ก็มีความเสี่ยงที่จะทำผิด PDPA และมีโทษตามกฎหมายได้

องค์กรในฐานะผู้ควบคุมข้อมูลส่วนบุคคล คงจะทำงานเพียงคนเดียวไม่ได้ ถ้าองค์กรไม่กำหนดนโยบายให้ชัดเจน ในทางปฏิบัติควรให้ทุกฝ่ายในองค์กรทั้ง IT, HR, Marketing, Customer service, Compliance, Sales, กฎหมาย, บัญชี ประชุมร่วมกัน

โดยดำเนินการตาม 6 ขั้นตอน ดังต่อไปนี้

1. จัดทำนโยบายการเก็บรักษาข้อมูล สร้างมาตรฐานการรักษาความปลอดภัยของข้อมูลร่วมกัน เพื่อให้ทิศทางการเก็บข้อมูลในแต่ละฝ่ายเป็นไปในทิศทางเดียวกัน
2. ให้แต่ละฝ่ายระบุข้อมูลที่จำเป็นต้องเก็บ ระยะเวลาที่เก็บข้อมูล หากข้อมูลนั้นจำเป็นจะต้องเก็บ จะเก็บต่อเป็นระยะเวลาเท่าใด หรือถ้าไม่จำเป็นจะลบทำลายได้หรือไม่
3. จัดทำฐานการประมวลผลข้อมูล แบ่งประเภทข้อมูล ทั้งข้อมูลที่จัดเก็บในฐานข้อมูลอิเล็กทรอนิกส์ ข้อมูล hard copy ที่จับต้องได้ ข้อมูลส่วนบุคคลทั่วไป ข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) เพื่อจัดเก็บข้อมูลให้เป็นระเบียบ ทำให้มีหลักฐานพิสูจน์อำนาจในการจัดเก็บข้อมูลตามระยะเวลาที่กำหนดด้วย
4. ปฏิบัติตามนโยบายการเก็บรักษาข้อมูล โดยแจ้งให้เจ้าของข้อมูลส่วนบุคคลได้รับทราบและยินยอมตามวัตถุประสงค์ของการขอเก็บข้อมูล โดยอาจเขียนรวมกับนโยบายความเป็นส่วนตัว (Privacy Policy) หรือจะเขียนแยกเพื่อให้ชัดเจนมากขึ้นก็ได้ สร้าง Privacy Policy สอดคล้อง PDPA ฟรี ! เก็บรักษาและลบทำลายข้อมูลตามระยะเวลาของนโยบายการเก็บรักษาข้อมูล เช่น หากลูกค้าไม่ได้ใช้บริการ ไม่ได้ซื้อสินค้ากับองค์กร หรือไม่ได้เป็นสมาชิกแล้ว ให้มีการลบทำลายข้อมูลลูกค้าและข้อมูลการใช้บริการภายใน 3 ปี การเก็บรักษาข้อมูลส่วนบุคคลของบุคลากรซึ่งมีทั้งข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่อ่อนไหว (ลายนิ้วมือ ข้อมูลสุขภาพ) ให้ลบทำลายข้อมูลเมื่อพ้นสภาพพนักงานภายใน 1 ปี การเก็บรักษาเวชระเบียนทางการแพทย์หรือข้อมูลสุขภาพของผู้ป่วยซึ่งเป็นข้อมูลส่วนบุคคลอ่อนไหว เมื่อผู้ป่วยขาดการติดต่อกับโรงพยาบาลเกิน 5 ปี สามารถลบหรือทำลายข้อมูลนั้นได้ เป็นต้น การลบทำลายข้อมูลก็เพื่อให้องค์กรไม่ต้องดูแลหรือเสียค่าใช้จ่ายเพื่อเก็บรักษาข้อมูลที่ไม่จำเป็นอีกต่อไป
5. จ้างเจ้าหน้าที่คุ้มครองข้อมูล หรือ DPO (Data Protection Officer) ซึ่งเป็นผู้เชี่ยวชาญกฎหมาย PDPA และ GDPR เพื่อขอคำปรึกษาหากไม่มั่นใจว่าองค์กรปฏิบัติถูกต้องหรือไม่ หรือถ้าเกิดเหตุข้อมูลลูกค้าถูกละเมิดจริง ก็เป็นผู้ประสานงานกับหน่วยงานรัฐที่เกี่ยวข้องได้

นโยบายการเก็บรักษาข้อมูลเป็นเครื่องมือที่สำคัญต่อความปลอดภัยของข้อมูลส่วนบุคคลของลูกค้า ซึ่งหากผู้ควบคุมข้อมูลส่วนบุคคลและบุคลากรในองค์กร มีความรู้ความเข้าใจและปฏิบัติตามมาตรการรักษาความปลอดภัยของข้อมูลแล้ว ความเสี่ยงกรณีข้อมูลถูกละเมิดก็จะน้อยลง ทำให้องค์กรเกิดความน่าเชื่อถือ และยกระดับมาตรฐานองค์กรในสายตาผู้บริโภคได้มากขึ้นอีกด้วย

นโยบายคุ้มครองความเป็นส่วนตัว สำหรับผู้ใช้งานเว็บไซต์ของสำนักบริการคอมพิวเตอร์ มหาวิทยาลัยเกษตรศาสตร์ (สบค.) ฉบับนี้จัดทำขึ้นเพื่อคุ้มครองความเป็นส่วนตัวของท่านซึ่งได้แวะเข้าเยี่ยมชมหรือใช้งานเว็บไซต์นี้ ของ สบค.

โปรดทราบว่านโยบายคุ้มครองความเป็นส่วนตัวฉบับนี้อาจมีการเปลี่ยนแปลงได้ โดยการเปลี่ยนแปลงทั้งหมดจะแสดงอยู่บนเว็บไซต์นี้ ทั้งนี้ เมื่อใดที่มีการเปลี่ยนแปลงสาระของนโยบายคุ้มครองความเป็นส่วนตัว สบค. จะมีข้อความเตือนอย่างชัดเจนเพื่อให้ท่านได้ทราบถึงการดำเนินการดังกล่าว ซึ่งจะกระทำล่วงหน้าอย่างน้อย 30 วันก่อนวันที่การเปลี่ยนแปลงจะมีผลใช้บังคับ

นโยบายฉบับนี้ครอบคลุมถึงการปฏิบัติของสบค. ต่อข้อมูลส่วนบุคคลที่ได้รับหรือจัดเก็บอันสืบเนื่องมาจากการที่ท่านเข้าเยี่ยมชมหรือใช้งานเว็บไซต์นี้ โดยข้อมูลส่วนบุคคล หมายถึง ข้อมูลที่ทำให้สามารถระบุได้ถึงตัวตนของบุคคล และมิใช่ข้อมูลที่โดยปกติสาธารณชนจะเข้าถึงได้ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ตัวอย่างของข้อมูลส่วนบุคคล เช่น ชื่อ อายุ เพศ สัญชาติ เลขที่บัตรประจำตัวหรือหนังสือเดินทาง ที่อยู่หรือที่ทำงาน หมายเลขโทรศัพท์ หรือที่อยู่ทางไปรษณีย์อิเล็กทรอนิกส์ เป็นต้น

นโยบายฉบับนี้ไม่ได้ใช้กับเว็บไซต์ของบุคคลที่สามซึ่งเชื่อมโยงมายังเว็บไซต์นี้ หรือเชื่อมโยงไปจากเว็บไซต์นี้

ผู้ประสงค์จะใช้บริการผ่านเว็บไซต์นี้ อาจต้องให้ข้อมูลส่วนบุคคลของท่านที่จำเป็นต่อการให้บริการดังกล่าว ตัวอย่างของการดำเนินการที่ผู้ใช้บริการต้องแจ้งข้อมูลส่วนบุคคล เช่น การให้ชื่อสำหรับจัดทำประกาศนียบัตร การสำรวจความคิดเห็น เป็นต้น

การเข้าถึงและการใช้ข้อมูลส่วนบุคคลของท่านจะกระทำไปเพื่อประโยชน์เกี่ยวกับเรื่องที่ท่านขอให้ดำเนินการเท่านั้น สบค.อาจนำข้อมูลส่วนบุคคลของผู้ใช้งานจากหน่วยงานอื่น มารวบรวม จัดเก็บ ใช้ และเปิดเผย เพื่อให้บรรลุวัตถุประสงค์ภายใต้กฎหมายที่อยู่ในการกำกับดูแลของ สบค.

สบค. จะไม่นำข้อมูลส่วนบุคคลของท่านไปจำหน่าย หรือนำไปแลกเปลี่ยนหรือเปิดเผยต่อบุคคลอื่นใด อันเป็นการไม่สอดคล้องกับวัตถุประสงค์ของการรวบรวมและจัดเก็บข้อมูลส่วนบุคคลของท่าน เว้นแต่ ในกรณีดังต่อไปนี้

• เป็นการดำเนินการตามกฎหมายที่อยู่ในการกำกับดูแลของ สบค.
• เป็นการดำเนินการตามหน้าที่ ที่กำหนดตามกฎหมาย ตามคำสั่งศาล ตามคำสั่งของผู้มีอำนาจตามกฎหมาย หรือกรณีอื่นใดที่มีลักษณะทำนองเดียวกัน หรือ
• เป็นการดำเนินการตามที่จำเป็นในกรณีที่อาจกระทบถึงความปลอดภัยในสวัสดิภาพ ชีวิต และร่างกายของบุคคลอื่น หรือในกรณีที่มีการละเมิดข้อตกลงและเงื่อนไขในการใช้เว็บไซต์ของ สบค.

สบค. มีมาตรการและกำหนดวิธีปฏิบัติภายในเพื่อรักษาความลับและความปลอดภัยของข้อมูลข่าวสารของท่าน ซึ่งรวมถึงการกำหนดสิทธิในการเข้าถึงและใช้ข้อมูลความลับ นอกจากนี้ สบค. ยังมีการใช้โปรโตคอล Secure Socket Layer (SSL) Protocol เพื่อจัดให้การสื่อสารข้อมูลระหว่างผู้ใช้และสบค. กระทำผ่านช่องทางสื่อสารแบบปลอดภัยด้วยการเข้ารหัสลับข้อมูลดังกล่าว

สบค. ใช้คุกกี้ในการเก็บข้อมูลผู้เยี่ยมชม ซึ่งข้อมูลดังกล่าวจะช่วยให้เว็บไซต์นั้นสามารถให้บริการท่านในครั้งต่อไปได้ตรงตามความต้องการของท่าน แต่ท่านสามารถยกเลิกการให้ข้อมูลคุกกี้ได้ อนึ่ง หากท่านเข้าเยี่ยมชมเว็บไซต์ของสบค. โดยใช้โปรแกรมค้นผ่าน (search engine) โปรแกรมค้นผ่านดังกล่าวอาจมีการใช้คุกกี้เพื่อเก็บข้อมูลของท่าน ท่านจึงควรศึกษานโยบายคุ้มครองความเป็นส่วนตัวที่กำหนดโดยโปรแกรมค้นผ่านดังกล่าวด้วย

สำนักบริการคอมพิวเตอร์ (สบค) มหาวิทยาลัยเกษตรศาสตร์ มีจุดมุ่งหมายที่จะสร้างประโยชน์จากการเรียนรู้ ให้กับสังคมโดยส่วนรวม ซึ่งเป็นภารกิจหลักอย่างหนึ่งของ สบค.ในการบริการวิชาการสู่สังคม

เนื้อหาและสื่อนี้ต้องการให้นักเรียน ประชาชน สามารถเข้ามาศึกษา เรียนรู้ สามารถนำเนื้อหาไปใช้ประโยชน์และ เผยแพร่ต่อได้ ทั้งนี้เพื่อประโยชน์กับสาธารณะเท่านั้นและไม่ถือเป็นการให้คำแนะนำเพื่อใช้ในเชิงวิชาชีพ

ท่านมีอิสระที่จะอ่านและพิมพ์บทความ ข้อความ และสื่ออื่น ๆ นี้โดยไม่มีการเก็บค่าใช้จ่าย สามารถแบ่งปันและนำบทความและสื่ออื่น ๆ ของเรา กลับมาใช้ใหม่ภายใต้ใบอนุญาตแบบ Creative Common และ แบบเปิด ภายใต้เงื่อนไขดังต่อไปนี้:

• ความรับผิดชอบ - ท่านต้องรับผิดชอบต่อการแก้ไขของคุณ (เนื่องจากเราเป็นผู้ให้บริการเฉพาะเนื้อหา และเนื่องจาก เป็นเนื้อหาทางวิชาการ ตัวเลข ข้อมูล ความรู้ใหม่ มีการเปลี่ยนแปลงได้ ตลอดเวลา ท่านจะต้องใช้วิจารณญาณ และตรวจสอบความถูกต้องด้วยตัวเอง)
• ความสุภาพ – ต้องเคารพสภาพแวดล้อมทางการใช้งานที่ดีต่อสังคมและไม่ก่อกวนผู้ใช้รายอื่น
• พฤติกรรมที่ชอบด้วยกฎหมาย - ไม่ละเมิดลิขสิทธิ์หรือกฎหมายอื่น ๆ
• ไม่เป็นอันตราย – ไม่ทำให้เกิดอันตรายต่อโครงสร้างพื้นฐานเทคโนโลยีของเรา