คำแถลงและวัตถุประสงค์ของนโยบาย
ก. มหาวิทยาลัยนานาชาติแสตมฟอร์ด (“นายจ้าง”) มีหน้าที่ที่จะต้องทำให้แน่ใจว่าข้อมูลส่วนบุคคลทั้งหมดที่เราเป็นผู้จัดการจะได้รับการประมวลผลโดยเป็นไปตามมาตรฐานด้านการปฏิบัติตามข้อกำหนดตามกฎหมายของการคุ้มครองข้อมูลและความมั่นคงปลอดภัยของข้อมูล
ข. เราขอให้การยืนยันในเรื่องของวัตถุประสงค์ของกฎหมายว่าด้วยเรื่องการคุ้มครองข้อมูล ซึ่งนายจ้างมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการสร้างงานของท่าน สิ่งนี้หมายถึงว่าเราจะเป็นผู้กำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลของท่าน
ค. วัตถุประสงค์ของนโยบายนี้ก็คือเพื่อที่จะช่วยให้เราบรรลุวัตถุประสงค์เรื่องการคุ้มครองข้อมูลและความมั่นคงปลอดภัยของข้อมูล โดยการดำเนินการดังต่อไปนี้
- แจ้งให้พนักงานของเราทราบถึงประเภทของข้อมูลส่วนบุคคลของพนักงาน ลูกค้า ผู้จัดหาของเรา และบุคคลภายนอกรายอื่นที่เราอาจเก็บรักษาไว้และสิ่งที่เราดำเนินการกับข้อมูลนั้น
- กำหนดระเบียบเรื่องการคุ้มครองข้อมูลและเงื่อนไขตามกฎหมายที่จะต้องปฏิบัติตามในระหว่างที่เราเก็บรวบรวม ได้รับ จัดการ ประมวลผล โอน และจัดเก็บข้อมูลส่วนบุคคล และทำให้แน่ใจว่าพนักงานของเราเข้าใจในระเบียบและมาตรฐานตามกฎหมาย และ
- ชี้แจงให้ทราบถึงความรับผิดชอบในหน้าที่ของพนักงานในส่วนของการคุ้มครองข้อมูลและความมั่นคงปลอดภัยของข้อมูล
ง. เอกสารนี้เป็นคำแถลงนโยบายเท่านั้นและจะไม่ถือว่าเป็นส่วนหนึ่งของสัญญาจ้างงานของท่าน เราอาจใช้ดุลยพินิจของตนเองในการแก้ไขปรับเปลี่ยนนโยบายนี้ไม่ว่าเมื่อใดก็ตาม
จ. เพื่อให้เป็นไปตามวัตถุประสงค์ของนโยบายนี้แล้ว
- ข้อมูลบันทึกประวัติอาชญากรรม จะหมายถึงข้อมูลเกี่ยวกับคำตัดสินและการกระทำผิดอาญาของบุคคล และข้อมูลที่เกี่ยวข้องกับข้อกล่าวหาและการพิจารณาคดีความทางอาญา
- กฎหมายเรื่องการคุ้มครองข้อมูล หมายถึงกฎหมายทั้งหมดที่นำมาบังคับใช้อันมีส่วนเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ซึ่งในระหว่างระยะเวลาที่นำมาบังคับใช้แล้ว ก็จะรวมถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของประเทศไทยรวมทั้งกฎหมายย่อย
- เจ้าของข้อมูล หมายถึงบุคคลที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคล
- ข้อมูลส่วนบุคคล หมายถึงข้อมูลใดๆที่เกี่ยวข้องกับบุคคลที่สามารถถูกระบุตัวตนโดยใช้ข้อมูลนั้นได้
- การประมวลผล หมายถึงการนำเอาข้อมูลนั้นมาใช้งานใดๆ ซึ่งจะรวมถึงการเก็บรวบรวม การจัดเก็บ การแก้ไข การเปิดเผย หรือการทำลายข้อมูลนั้น
- ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (หรือหมวดหมู่พิเศษของข้อมูลส่วนบุคคล) หมายถึงข้อมูลที่เกี่ยวข้องกับเชื้อชาติ ชาติพันธุ์ ถิ่นกำเนิด ความเห็นทางการเมือง ลัทธิ ศาสนา หรือความเชื่อทางปรัชญา รสนิยม/พฤติกรรมทางเพศ บันทึกประวัติอาชญากรรม ข้อมูลด้านสุขภาพ ความทุพพลภาพ ข้อมูลเกี่ยวกับสหภาพการค้า ข้อมูลพันธุกรรม ข้อมูลไบโอเมตทริกซ์
หลักการในการคุ้มครองข้อมูล
- พนักงานที่มีหน้าที่ที่เกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคลของพนักงานหรือบุคคลอื่นจะต้องปฏิบัติตามนโยบายนี้รวมทั้งหลักการในการคุ้มครองข้อมูลดังต่อไปนี้ซึ่งกำหนดไว้ว่า ข้อมูลส่วนบุคคลจะต้องมีลักษณะดังต่อไปนี้
ก. ข้อมูลส่วนบุคคลจะต้องได้รับการประมวลผลอย่างถูกต้องตามกฎหมาย
ข. การเก็บรวบรวมข้อมูลส่วนบุคคลจะต้องเป็นไปตามวัตถุประสงค์ที่ระบุไว้ มีความชัดเจน และชอบด้วยกฎหมาย
ค. ข้อมูลส่วนบุคคลจะต้องเหมาะสม เกี่ยวข้อง และถูกจำกัดไว้ตามขอบเขตเท่าที่จำเป็นในการประมวลผลข้อมูลดังกล่าว
ง. ข้อมูลส่วนบุคคลจะต้องได้รับการตรวจสอบให้แน่ใจว่ามีความถูกต้องและเป็นปัจจุบัน
จ. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลจะต้องไม่นานไปกว่าเท่าที่จำเป็น
ฉ. ข้อมูลส่วนบุคคลจะต้องได้รับการประมวลผลโดยเป็นไปตามสิทธิของบุคคล
ช. ข้อมูลส่วนบุคคลจะต้องได้รับการเก็บรักษาไว้อย่างปลอดภัย
ซ. ข้อมูลส่วนบุคคลจะต้องไม่ถูกโอนไปยังประเทศที่สามซึ่งมิได้มีระดับในการคุ้มครองที่เหมาะสม
ใครเป็นผู้รับผิดชอบเรื่องการคุ้มครองข้อมูลและความมั่นคงปลอดภัยของข้อมูล?
- การรักษาไว้ซึ่งมาตรฐานในการคุ้มครองข้อมูลและความมั่นคงปลอดภัยของข้อมูลที่เหมาะสมถือเป็นหน้าที่ของทั้งเราและท่าน นโยบายนี้รวมทั้งระเบียบที่ปรากฏอยู่ในนโยบายจะถูกนำไปบังคับใช้กับพนักงานทั้งหมดของนายจ้าง ไม่ว่าจะมีระดับอาวุโส อายุงาน และช่วงเวลาในการปฏิบัติหน้าที่ในระดับใดก็ตาม ซึ่งจะรวมถึง พนักงาน กรรมการและเจ้าหน้าที่ ที่ปรึกษา และผู้รับเหมา พนักงานที่ทำงานเป็นครั้งคราวหรือตัวแทน ผู้ฝึกงาน ผู้ทำงานจากที่บ้าน แล้วพนักงานที่มีระยะเวลาการจ้างงานแบบตายตัว รวมทั้งอาสาสมัครใดๆ (“พนักงาน”)
- หากมีข้อสงสัยเกี่ยวกับนโยบายนี้ หรือต้องการข้อมูลเพิ่มเติม ก็ขอให้ติดต่อกับเจ้าหน้าที่คุ้มครองข้อมูล
- พนักงานทุกคนมีหน้าที่รับผิดชอบในการทำให้แน่ใจว่าตนเองได้ปฏิบัติตามนโยบายนี้ รวมทั้งจัดการข้อมูลส่วนบุคคลทั้งหมดให้สอดคล้องกับหลักการที่ระบุไว้ในนโยบายนี้ และทำให้แน่ใจว่า ได้มีการนำเอามาตรการมาใช้ในการคุ้มครองความมั่นคงปลอดภัยของข้อมูล ผู้จัดการทั้งหลายจะมีความรับผิดชอบพิเศษในการกระทำตนเป็นตัวอย่าง รวมทั้งตรวจติดตามและบังคับให้มีการปฏิบัติตามข้อกำหนด เจ้าหน้าที่คุ้มครองข้อมูลจะต้องได้รับแจ้งหากมีการฝ่าฝืนนโยบายนี้ หรือเป็นที่ต้องสงสัยว่าไม่มีการปฏิบัติตามนโยบายนี้ ในทันทีที่สามารถดำเนินการได้ตามความเหมาะสม
- การกระทำผิดใดๆ ต่อนโยบายนี้จะต้องได้รับการดำเนินการอย่างเข้มงวดและอาจส่งผลทำให้มีการลงโทษทางวินัยซึ่งจะรวมถึงการไล่ออก การกระทำผิดที่สำคัญหรือจงใจ เช่น การเข้าถึงข้อมูลส่วนบุคคลของพนักงานหรือลูกค้าโดยไม่ได้รับอนุญาตหรือมีเหตุผลที่ชอบด้วยกฎหมายในการกระทำการดังกล่าว ก็จะถือว่าเป็นการประพฤติผิดอย่างร้ายแรงและอาจส่งผลทำให้ถูกไล่ออกโดยไม่จำเป็นต้องแจ้งให้ทราบ
ข้อมูลส่วนบุคคลและกิจกรรมใดบ้างที่เกี่ยวข้องกับนโยบายนี้?
- นโยบายนี้จะเกี่ยวข้องกับข้อมูลส่วนบุคคล
ก. ที่เกี่ยวข้องกับการใช้ชีวิตตามธรรมชาติของบุคคลที่สามารถถูกระบุตัวตนได้จากข้อมูลนั้นหรือนำเอาข้อมูลนั้นไปประกอบกับข้อมูลอื่นที่เราครอบครองอยู่
ข. ที่ถูกจัดเก็บไว้ในรูปแบบอิเล็กทรอนิกส์หรือเป็นเอกสารกระดาษในระบบแฟ้มข้อมูล
ค. ที่อยู่ในรูปแบบของการแสดงความคิดเห็นตลอดจนข้อเท็จจริง
ง. ซึ่งเกี่ยวข้องกับพนักงาน (พนักงานในปัจจุบัน ในอดีต หรือในอนาคต) หรือบุคคลอื่นใดที่ข้อมูลส่วนบุคคลของตนเองอยู่ภายใต้การบริหารจัดการหรือการควบคุมของเรา
จ. ที่เราได้รับมา แจ้งให้เราทราบ ที่เราถือไว้หรือจัดเก็บไว้ จัดระเบียบ เปิดเผยหรือโอน แก้ไข นำกลับมา ใช้งาน จัดการ ประมวลผล นำส่ง หรือทำลาย - ข้อมูลส่วนบุคคลนี้จะอยู่ภายใต้การคุ้มครองดูแลตามกฎหมายตามที่ระบุไว้ในกฎหมายเรื่องการคุ้มครองข้อมูล
ข้อมูลส่วนบุคคลใดบ้างที่เกี่ยวข้องกับพนักงานที่เราจัดเก็บไว้?
- เราเก็บรวบรวมข้อมูลส่วนบุคคลที่เกี่ยวกับท่าน ซึ่ง
ก. เป็นข้อมูลที่ท่านแจ้งให้ทราบหรือเรารวบรวมมาก่อนหรือในระหว่างการจ้างงานของท่านหรือในระหว่างที่ท่านทำงานให้แก่เรา
ข. เป็นข้อมูลที่ได้รับจากบุคคลภายนอก เช่น บุคคลอ้างอิงหรือข้อมูลที่ได้รับจากผู้จัดหาหรือบุคคลอื่นที่เราทำธุรกิจด้วย หรือ
ค. เป็นข้อมูลที่ทราบกันโดยสาธารณะ - ประเภทของข้อมูลส่วนบุคคลที่เราอาจจะทำการเก็บรวบรวม จัดเก็บ และนำมาใช้ซึ่งเกี่ยวข้องกับท่านรวมถึงบันทึกต่างๆ ที่เกี่ยวข้องกับสิ่งที่เป็นของท่านจะมีดังต่อไปนี้
ก. ที่อยู่ รายละเอียดการติดต่อ และรายละเอียดการติดต่อของญาติสนิทของท่าน
ข. การสรรหาพนักงาน (ซึ่งจะรวมถึงใบสมัครของท่านหรือประวัติย่อของท่าน ข้อมูลอ้างอิงที่ได้รับ รวมทั้งรายละเอียดคุณสมบัติของท่าน)
ค. บันทึกการจ่ายเงิน หมายเลขประกันสังคม และรายละเอียดของภาษีและสิทธิประโยชน์ในการจ้างงานใดๆ เช่นเงินบำนาญและประกันสุขภาพ (รวมทั้งรายละเอียดของการเรียกเงินค่าสินไหมทดแทนใดๆ)
ง. เบอร์โทรศัพท์ ที่อยู่ไปรษณีย์อิเล็กทรอนิกส์ อินเทอร์เน็ต เบอร์โทรศัพท์ หรือข้อความแบบส่งทันทีที่ท่านใช้อยู่
จ. ผลการปฏิบัติหน้าที่รวมทั้งเรื่องที่เกี่ยวข้องกับวินัย คำร้องทุกข์ คำร้อง หรือข้อกังวลที่ท่านมีส่วนเกี่ยวข้อง
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน
- ในบางครั้งคราว เราจำเป็นที่จะต้องประมวลผลข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (ในบางครั้งอาจเรียกว่า “หมวดหมู่พิเศษของข้อมูลส่วนบุคคล”)
- เราจะประมวลผลข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนก็ต่อเมื่อ
ก. เรามีหลักการที่ชอบด้วยกฎหมายในการกระทำการดังกล่าว เช่น เป็นเรื่องจำเป็นต่อการปฏิบัติตามสัญญาจ้างงาน และ
ข. เป็นไปตามเงื่อนไขพิเศษในการประมวลผลข้อมูลส่วนบุคคลดังต่อไปนี้
1. เจ้าของข้อมูลให้ความยินยอมอย่างชัดแจ้ง
2. การประมวลผลเป็นเรื่องที่จำเป็นต่อการใช้สิทธิตามกฎหมายในการจ้างงานหรือภาระผูกพันของมหาวิทยาลัยหรือเจ้าของข้อมูล
3. การประมวลผลเป็นเรื่องจำเป็นในการคุ้มครองสิทธิประโยชน์ที่เกี่ยวข้องกับชีวิตของเจ้าของข้อมูล แล้วเจ้าของข้อมูลเป็นคนไร้ความสามารถจนไม่สามารถที่จะให้ความยินยอมได้
4. การประมวลผลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่เจ้าของข้อมูลแจ้งให้สาธารณชนรับทราบอย่างชัดแจ้ง
5. การประมวลผลเป็นเรื่องที่จำเป็นต่อการจัดตั้ง การใช้สิทธิ์ หรือการแก้ต่าง หรือการเรียกร้องตามกฎหมาย หรือ
6. การประเมินผลเป็นเรื่องจำเป็นต่อผลประโยชน์สาธารณะที่สำคัญ - ก่อนที่จะทำการประมวลผลข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนใดๆ พนักงานจะต้องแจ้งให้เจ้าหน้าที่คุ้มครองข้อมูลทราบถึงการประมวลผลข้อมูลตามที่เสนอ เพื่อที่เจ้าหน้าที่คุ้มครองข้อมูลจะได้ประเมินว่าการประมวลผลข้อมูลเป็นไปตามหลักเกณฑ์ที่กล่าวถึงข้างต้นหรือไม่
- ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนจะไม่ถูกประมวลผลจนกว่าจะมีการประเมินตามที่กล่าวถึงข้างต้น และบุคคลที่เกี่ยวข้องได้รับแจ้งให้ทราบถึงลักษณะในการประมวลผล วัตถุประสงค์ในการประมวลผล และหลักการทางด้านกฎหมายที่ใช้ในการประมวลผล
- ประกาศเรื่องความเป็นส่วนตัวของเราจะเป็นตัวกำหนดประเภทของข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนที่เราเป็นผู้ประมวลผล ซึ่งจะถูกนำไปใช้ในการประมวลผลโดยอ้างตามหลักการที่ชอบด้วยกฎหมาย
ข้อมูลบันทึกประวัติอาชญากรรม
- เราจะดำเนินการกับข้อมูลบันทึกประวัติอาชญากรรมและประมวลผลโดยเป็นไปตามกฎหมายเรื่องการคุ้มครองข้อมูล
เรานำเอาข้อมูลส่วนบุคคลของท่านไปใช้อย่างไร
- เราจะแจ้งให้ท่านทราบเกี่ยวกับเหตุผลในการประมวลผลข้อมูลส่วนบุคคลของท่าน วิธีการที่เราใช้ข้อมูลดังกล่าว และหลักการทางกฎหมายในการประมวลผลข้อมูลที่ปรากฏอยู่ในประกาศเรื่องความเป็นส่วนตัวของเรา เราจะไม่ประมวลผลข้อมูลส่วนบุคคลของพนักงานด้วยเหตุผลอื่นใด
- โดยทั่วไปแล้ว เราจะใช้ข้อมูลเพื่อทำธุรกิจของเรา บริหารจัดการการจ้างงานหรือการรับจ้างของท่าน รวมทั้งรับมือกับปัญหาหรือข้อกังวลใจใดๆ ที่ท่านอาจมีอยู่ ซึ่งจะรวมถึงหากแต่มิได้จำกัดไว้แค่เพียง
ก. รายการที่อยู่ของพนักงาน เพื่อที่จะรวบรวมและแจ้งเวียนรายการของที่อยู่และรายละเอียดการติดต่อ เพื่อที่จะติดต่อกับท่านนอกเวลางาน
ข. บันทึกความเจ็บป่วย เพื่อที่จะดูแลรักษาบันทึกเกี่ยวกับการลาป่วยของท่านและสำเนาของเอกสารจากแพทย์หรือเอกสารอื่นๆ ที่ส่งมาให้เราอันมีความเกี่ยวข้องกับสุขภาพของท่าน เพื่อที่จะแจ้งให้เพื่อนร่วมงานและบุคคลอื่นทราบว่าท่านลาป่วย ตามที่จำเป็นต่อการบริหารจัดการการขาดงานของท่าน เพื่อที่จะดำเนินการกับการลาป่วยที่มากจนเกินไปหรือต้องสงสัย เพื่อที่จะแจ้งให้ผู้ตรวจสอบดำเนินการประเมินระดับการลาป่วยของท่าน และเพื่อที่จะตีพิมพ์รายละเอียดของระดับการขาดงานโดยรวมแบบไม่ระบุชื่อภายในองค์กร
ค. การตรวจติดตามระบบไอที – เพื่อที่จะตรวจติดตามการใช้ไปรษณีย์อิเล็กทรอนิกส์ อินเทอร์เน็ต โทรศัพท์และโทรสาร เครื่องคอมพิวเตอร์ หรือการติดต่อสื่อสารอื่นๆ หรือทรัพยากรไอทีของท่าน
ง. งานด้านวินัย คำร้องทุกข์ หรือเรื่องราวทางกฎหมาย – ในส่วนที่เกี่ยวข้องกับงานด้านวินัย คำร้องทุกข์ กฎหมาย การควบคุม หรือการปฏิบัติตามข้อกำหนด หรือการพิจารณาคดีที่อาจเกี่ยวข้องกับท่าน
จ. การตรวจสอบผลปฏิบัติหน้าที่ – เพื่อดำเนินการตรวจสอบผลการปฏิบัติหน้าที่
ฉ. การตรวจติดตามโอกาสที่เท่าเทียม – เพื่อดำเนินการตรวจติดตามโอกาสที่เท่าเทียมและทำการตีพิมพ์ข้อมูลโดยรวมที่เกี่ยวข้องกับการแจกแจงพนักงานของนายจ้างโดยไม่ระบุชื่อ
ความถูกต้องและความสอดคล้อง
- เราจะดำเนินการดังต่อไปนี้
ก. ตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลใดๆ ที่ได้รับการประมวลผลเป็นข้อมูลที่เป็นปัจจุบัน ถูกต้อง เหมาะสม สอดคล้อง และไม่เกินจริง โดยพิจารณาตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลนั้น
ข. ไม่ประมวลผลข้อมูลส่วนบุคคลที่ได้รับมาเพื่อวัตถุประสงค์อย่างใดอย่างหนึ่ง เว้นแต่ท่านให้ความยินยอมหรือคาดว่าสิ่งนี้จะเกิดขึ้นตามสมควร - หากท่านพิจารณาแล้วเห็นว่าข้อมูลใดๆ ที่เกี่ยวกับท่านซึ่งเราเก็บรักษาไว้เป็นข้อมูลที่ไม่ถูกต้องหรือไม่เป็นปัจจุบัน ท่านจะต้องแจ้งให้เจ้าหน้าที่คุ้มครองข้อมูลทราบ หากได้รับความเห็นชอบว่าข้อมูลนั้นไม่ถูกต้องหรือไม่เป็นปัจจุบัน เจ้าหน้าที่ควบคุมข้อมูลจากทำการแก้ไขทันที หากเจ้าหน้าที่ควบคุมข้อมูลไม่เห็นว่าข้อมูลนั้นจำเป็นที่จะต้องแก้ไข ก็จะมีการบันทึกข้อคิดเห็นของท่านไว้
การจัดเก็บและการเก็บรักษา
- ข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่ละเอียดอ่อนจะได้รับการจัดเก็บไว้อย่างปลอดภัยโดยเป็นไปตามนโยบายการคุ้มครองข้อมูลของเรา
- ระยะเวลาที่เราจะเก็บรักษาข้อมูลส่วนบุคคลไว้จะปรากฏอยู่ในประกาศเรื่องความเป็นส่วนตัวของเรา
สิทธิของบุคคล
- ท่านมีสิทธิ์ในข้อมูลส่วนบุคคลของท่านดังต่อไปนี้
- คำร้องขอเข้าถึงข้อมูลโดยเจ้าของข้อมูล
ก. ท่านมีสิทธิ์ที่จะยื่นคำร้องขอเข้าถึงข้อมูล หากท่านยื่นคำร้องดังกล่าว เราจะแจ้งให้ท่านทราบถึงข้อมูลดังต่อไปนี้
1. ข้อมูลส่วนบุคคลของท่านได้รับการประมวลผลหรือไม่ และหากได้รับการประมวลผลก็จะแจ้งให้ทราบถึงเหตุผลที่เกี่ยวข้อง หมวดหมู่ของข้อมูลส่วนบุคคลที่เกี่ยวข้อง และแหล่งข้อมูลหากเราไม่ได้รับข้อมูลนั้นมาจากท่านโดยตรง
2. เราอาจเปิดเผยข้อมูลส่วนบุคคลของท่านต่อใครบ้าง ซึ่งจะรวมถึงผู้รับข้อมูลที่อยู่นอกราชอาณาจักรไทย และมาตรการป้องกันที่นำมาใช้ในการโอนข้อมูลดังกล่าว
3. ข้อมูลส่วนบุคคลของท่านจะถูกจัดเก็บไว้เป็นระยะเวลานานเท่าใด (หรือวิธีการกำหนดช่วงระยะเวลานั้น)
4. สิทธิในการแก้ไขหรือลบข้อมูลของท่าน หรือสิทธิในการจำกัดหรือครับตามการประมวลผล
5. สิทธิในการร้องทุกข์ต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหากท่านคิดว่าเราไม่ปฏิบัติตามสิทธิในการคุ้มครองข้อมูลของท่าน และ
6. เราได้ใช้รูปแบบการตัดสินใจโดยอัตโนมัติหรือไม่ และตรรกะที่นำมาใช้กับการตัดสินใจดังกล่าว
ข. เราจะจัดทำสำเนาข้อมูลส่วนบุคคลที่อยู่ในระหว่างการประมวลผลให้แก่ท่าน ซึ่งโดยทั่วไปแล้วจะอยู่ในรูปแบบอิเล็กทรอนิกส์ หากท่านยื่นคำร้องในรูปแบบอิเล็กทรอนิกส์ เว้นแต่ท่านจะตกลงให้เป็นอย่างอื่น
ค. หากท่านต้องการยื่นคำร้องในการเข้าถึงข้อมูล ให้ติดต่อเราได้ที่ pdpa@stamford.edu.
ง. เราอาจจำเป็นที่จะต้องขอหลักฐานยืนยันตัวตนก่อนที่จะดำเนินการตามคำร้องของท่าน เราจะแจ้งให้ท่านทราบหากเราต้องการที่จะตรวจสอบอัตลักษณ์ของท่านรวมทั้งเอกสารที่เราร้องขอ
จ. โดยทั่วไปแล้ว เราจะดำเนินการตามคำร้องของท่านภายในระยะเวลา 30 วัน นับจากวันที่ได้รับคำร้อง ในบางกรณี เช่น มีข้อมูลส่วนบุคคลจำนวนมากอยู่ในระหว่างการประมวลผล เราอาจจะตอบกลับภายในระยะเวลา 2 เดือนนับจากวันที่ได้รับคำร้องจากท่าน ในกรณีนี้ เราจะทำหนังสือถึงท่านภายในระยะเวลา 28 วันหลังจากที่ได้รับคำร้องต้นฉบับจากท่าน
ฉ. หากพบว่าคำร้องของท่านไม่เหมาะสมหรือเกินจากความเป็นจริงอย่างชัดแจ้ง เราก็ไม่มีหน้าที่ที่จะต้องปฏิบัติตามคำร้องนั้น - สิทธิอื่นๆ
ก. ท่านมีสิทธิอื่นๆ ในข้อมูลส่วนบุคคลของท่านอีกมากมาย ท่านสามารถที่จะร้องขอให้เราดำเนินการดังต่อไปนี้
1. แก้ไขข้อมูลที่ไม่ถูกต้อง
2. หยุดการประมวลผลข้อมูลหรือลบข้อมูลที่ไม่จำเป็นต้องประมวลผลอีกต่อไป
3. หยุดการประมวลผลหรือลบข้อมูลหากผลประโยชน์ของท่านมีความสำคัญมากกว่ามูลเหตุที่ชอบด้วยกฎหมายในการประมวลผลข้อมูล (ซึ่งเราจะยึดถือในผลประโยชน์ที่ชอบด้วยกฎหมายของเราในการประมวลผลข้อมูล)
4. หยุดการประมวลผลข้อมูลเป็นระยะเวลาหนึ่งหากข้อมูลไม่ถูกต้องหรือมีข้อพิพาทที่ว่าผลประโยชน์ของท่านมีความสำคัญมากกว่ามูลเหตุที่ชอบด้วยกฎหมายของนายจ้างในการประมวลผลข้อมูลหรือไม่
ข. ในการร้องขอให้เราดำเนินการใดๆ กรุณาส่งคำร้องมาที่ pdpa@stamford.edu.
ความมั่นคงปลอดภัยของข้อมูล
- เราจะใช้มาตรการด้านเทคนิคและการจัดแจงที่เหมาะสมเพื่อที่จะทำให้ข้อมูลส่วนบุคคลมีความปลอดภัย และโดยเฉพาะอย่างยิ่ง เพื่อที่จะป้องกันมิให้มีการประมวลผลข้อมูลโดยไม่ได้รับอนุญาตหรือผิดกฎหมาย รวมทั้งในส่วนของความสูญเสีย การถูกทำลาย หรือความเสียหายที่ไม่คาดฝัน
- การรักษาไว้ซึ่งความมั่นคงปลอดภัยของข้อมูลจะหมายถึงการทำให้แน่ใจว่า
ก. จะมีเฉพาะบุคคลที่ได้รับอนุญาตให้ใช้งานเท่านั้นจึงจะสามารถเข้าถึงข้อมูลได้
ข. ในกรณีที่เป็นไปได้ก็จะทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลแสงหรือเข้ารหัส
ค. ข้อมูลมีความถูกต้องและเหมาะสมต่อวัตถุประสงค์ในการประมวลผลข้อมูล และ
ง. ผู้ที่ได้รับอนุญาตสามารถที่จะเข้าถึงข้อมูลหากต้องการที่จะนำข้อมูลไปใช้เพื่อวัตถุประสงค์ที่ได้รับอนุญาต - ตามกฎหมายแล้ว เราจะต้องใช้ระเบียบปฏิบัติและเทคโนโลยีในการรักษาความปลอดภัยให้แก่ข้อมูลส่วนบุคคลตลอดระยะเวลาที่เราเก็บรักษาข้อมูลหรือควบคุมข้อมูลนั้น นับตั้งแต่การได้รับไปจนถึงการทำลายข้อมูล
- ข้อมูลส่วนบุคคลจะต้องไม่ถูกโอนไปให้แก่บุคคลใดๆ เพื่อทำการประมวลผล (เช่น ในระหว่างที่ให้บริการแก่เราหรือในนามของเรา) เว้นแต่บุคคลนั้นตกลงที่จะปฏิบัติตามระเบียบปฏิบัติเรื่องความมั่นคงปลอดภัยของข้อมูลของเรา หรือเราพิจารณาแล้วเห็นว่ามีการนำเอามาตรการอื่นที่เหมาะสมมาใช้
- ระเบียบปฏิบัติเรื่องความมั่นคงปลอดภัยจะประกอบด้วย
ก. โต๊ะหรือตู้ที่มีข้อมูลที่เป็นความลับอยู่จะต้องถูกล็อคไว้
ข. คอมพิวเตอร์ควรที่จะถูกล็อคไว้ด้วยรหัสผ่านที่ยากต่อการคาดเดาและมีการเปลี่ยนแปลงเป็นประจำ หรือปิดเครื่องคอมพิวเตอร์เมื่อไม่มีคนใช้งาน และควรที่จะใช้ดุลยพินิจในการดูข้อมูลส่วนบุคคลบนหน้าจอเพื่อทำให้แน่ใจว่าบุคคลอื่นไม่สามารถมองเห็นได้
ค. ข้อมูลที่จะเก็บไว้ในแผ่นซีดีหรืออุปกรณ์หน่วยความจำจะต้องได้รับการเข้ารหัสหรือป้องกันด้วยรหัสผ่านและปิดล็อคที่จัดเก็บไว้อย่างแน่นหนาเมื่อไม่มีการใช้งาน
ง. เจ้าหน้าที่คุ้มครองข้อมูลจะให้การอนุมัติในการใช้คลาวด์เพื่อมาจัดเก็บข้อมูล
จ. ไม่ควรที่จะบันทึกข้อมูลเข้าไปยังอุปกรณ์มือถือ เช่น คอมพิวเตอร์แล็ปท็อป แท็บเล็ต หรือสมาร์ทโฟนโดยตรง
ฉ. เครื่องแม่ข่ายทั้งหมดที่มีข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนจะต้องได้รับการอนุมัติและคุ้มครองโดยซอฟต์แวร์รักษาความปลอดภัย
ช. เครื่องแม่ข่ายที่มีข้อมูลส่วนบุคคลบันทึกไว้จะต้องได้รับการจัดเก็บไว้ในสถานที่ที่ปลอดภัย ห่างจากพื้นที่สำนักงานทั่วไป
ซ. ข้อมูลควรที่จะได้รับการสำรองไว้โดยเป็นไปตามระเบียบปฏิบัติในการสำรองข้อมูลของนายจ้าง - คำเตือนเรื่องการใช้โทรศัพท์ พนักงานที่ตอบข้อซักถามผ่านทางโทรศัพท์จะต้องให้ความใส่ใจเป็นพิเศษเพื่อที่จะหลีกเลี่ยงไม่ให้มีการเปิดเผยข้อมูลอย่างไม่เหมาะสม โดยเฉพาะอย่างยิ่ง
ก. จะต้องมีการตรวจสอบยืนยันอัตลักษณ์ของผู้ที่โทรมาก่อนที่จะมีการเปิดเผยข้อมูลส่วนบุคคลใดๆ
ข. หากไม่สามารถตรวจสอบอัตลักษณ์ของผู้ที่โทรมาได้เป็นที่พึงพอใจ ก็ควรที่จะขอให้ผู้ที่โทรมาจัดทำข้อซักถามเป็นลายลักษณ์อักษร
ค. อย่าปล่อยให้ผู้ที่โทรมาหลอกล่อให้ท่านเปิดเผยข้อมูล ในกรณีที่มีปัญหาหรือความไม่แน่นอนใดๆ ให้ติดต่อกับเจ้าหน้าที่โครงสร้างข้อมูล - วิธีการในการจำหน่ายจ่ายโอน สำเนาของข้อมูลส่วนบุคคล ไม่ว่าจะปรากฏอยู่บนกระดาษหรืออยู่ในอุปกรณ์เก็บข้อมูล จะต้องได้รับการทำลายทิ้งในกรณีที่ไม่จำเป็นที่จะต้องใช้งานอีกแล้ว เอกสารที่เป็นกระดาษควรที่จะถูกทำลายโดยเครื่องทำลายกระดาษและแผ่นซีดีหรืออุปกรณ์หน่วยความจำหรืออุปกรณ์ที่คล้ายคลึงกันจะต้องทำให้ไม่สามารถอ่านได้อย่างถาวร
การประเมินผลกระทบที่มีต่อข้อมูล
- การประมวลผลบางประเภทที่นายจ้างเป็นผู้ดำเนินการอาจก่อให้เกิดความเสี่ยงต่อความเป็นส่วนตัว
- ในกรณีที่การประมวลผลจะก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของพนักงานในระดับสูง นายจ้างจะต้องดำเนินการประเมินผลกระทบต่อการคุ้มครองข้อมูลและกำหนดความจำเป็นและสัดส่วนในการประมวลผล ในส่วนนี้จะรวมถึงการพิจารณาวัตถุประสงค์ของการดำเนินการดังกล่าว ความเสี่ยงที่เกิดขึ้นกับบุคคลที่เกี่ยวข้อง และมาตรการที่สามารถนำมาใช้เพื่อบรรเทาความเสี่ยงดังกล่าว
การกระทำผิดเกี่ยวกับข้อมูล
- หากเราพบว่ามีการกระทำผิดต่อข้อมูลส่วนบุคคลของพนักงานซึ่งสร้างความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลที่เกี่ยวข้อง เราจะรายงานให้คณะกรรมการสารสนเทศทราบภายในระยะเวลา 72 ชั่วโมงหลังจากที่ตรวจพบ
- เราจะบันทึกการกระทำผิดเกี่ยวกับข้อมูลทั้งหมด ไม่ว่าผลลัพธ์ที่ออกมาจะเป็นเช่นใด ซึ่งเป็นไปตามนโยบายการรับมือกับการกระทำผิดของเรา
- หากการกระทำผิดเป็นไปได้ว่าจะก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของท่านซึ่งอยู่ในระดับสูง เราจะแจ้งให้บุคคลที่ได้รับผลกระทบทราบว่ามีการกระทำผิดรวมทั้งแจ้งข้อมูลเพิ่มเติมเกี่ยวกับผลลัพธ์ที่อาจเกิดขึ้นได้และมาตรการในการบรรเทาผลลัพธ์ที่นำมาใช้
การโอนข้อมูลไปยังต่างประเทศ
- ในการทำธุรกิจของเรา เราอาจจำเป็นที่จะต้องโอนข้อมูลส่วนบุคคลของท่านไปยังประเทศอื่นนอกราชอาณาจักรไทย ซึ่งจะรวมถึงมหาวิทยาลัยในกลุ่มมหาวิทยาลัยหรือบุคคลอื่นที่เราทำธุรกิจด้วย
- ข้อมูลส่วนบุคคลของท่านจะถูกโอนไปยังประเทศนอกราชอาณาจักรไทยหากประเทศเหล่านั้นมีระดับการคุ้มครองข้อมูลที่เหมาะสม ทั้งนี้ เพื่อเป็นการทำให้แน่ใจว่าข้อมูลของท่านมีระดับในการคุ้มครองที่เหมาะสม เราได้นำเอาระเบียบปฏิบัติที่เหมาะสมมาใช้กับบุคคลภายนอกที่เราแบ่งปันข้อมูลส่วนบุคคลของท่านให้ เพื่อทำให้แน่ใจว่าบุคคลภายนอกเหล่านั้นจะปฏิบัติกับข้อมูลส่วนบุคคลของท่านโดยใช้วิธีการที่สอดคล้องและให้ความเคารพต่อกฎหมายเรื่องการคุ้มครองข้อมูล
- หากท่านมีความประสงค์ที่จะทราบข้อมูลเพิ่มเติมเกี่ยวกับการโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศ ท่านอาจจะติดต่อกับเจ้าหน้าที่คุ้มครองข้อมูล
ความรับผิดชอบของบุคคล
- พนักงานทั้งหลายมีหน้าที่รับผิดชอบในการช่วยนายจ้างให้ได้รับข้อมูลส่วนบุคคลของตนเองที่เป็นปัจจุบัน
- พนักงานจะต้องแจ้งให้นายจ้างทราบในกรณีที่ข้อมูลส่วนบุคคลของตนเองเกิดการเปลี่ยนแปลง เช่น ท่านย้ายบ้านหรือเปลี่ยนแปลงรายละเอียดบัญชีธนาคารของตนเอง
- ท่านอาจจะเข้าถึงข้อมูลส่วนบุคคลของพนักงานรายอื่นและข้อมูลส่วนบุคคลของลูกค้าของเราในระหว่างการจ้างงานของท่าน ในกรณีนี้ นายจ้างจะไว้ใจให้เจ้าหน้าที่ให้ความช่วยเหลือในการปฏิบัติตามภาระผูกพันเรื่องการคุ้มครองข้อมูลที่มีต่อเจ้าหน้าที่และลูกค้า
- บุคคลทั่วไปที่สามารถเข้าถึงข้อมูลส่วนบุคคลได้จะต้องปฏิบัติดังต่อไปนี้
ก. เข้าถึงข้อมูลส่วนบุคคลที่ตนเองได้รับมอบหมายให้เข้าถึงเท่านั้นและดำเนินการเพื่อวัตถุประสงค์ที่ได้รับอนุญาตแล้วเท่านั้น
ข. ไม่เปิดเผยข้อมูลส่วนบุคคล เว้นแต่เปิดเผยต่อบุคคล (ไม่ว่าจะเป็นบุคคลภายในองค์กรหรือนอกองค์กรของนายจ้าง) ที่ได้รับการอนุญาตอย่างเหมาะสม
ค. เก็บรักษาข้อมูลส่วนบุคคลไว้อย่างปลอดภัย (เช่น โดยการปฏิบัติตามระเบียบในการเข้าถึงสถานที่ เข้าใช้งานคอมพิวเตอร์ รวมถึงการคุ้มครองด้วยรหัสผ่าน และปกป้องการจัดเก็บไฟล์และการทำลาย)
ง. ห้ามไม่ให้เคลื่อนย้ายข้อมูลส่วนบุคคลหรือลบข้อมูลออกจากอุปกรณ์ที่มีข้อมูลส่วนบุคคลหรือสามารถนำไปใช้ในการเข้าถึงข้อมูลส่วนบุคคลออกจากสถานที่ของนายจ้างโดยมิได้นำเอามาตรการในการรักษาความปลอดภัยที่เหมาะสมมาใช้ (เช่นการเข้ารหัสหรือการปกป้องด้วยรหัสผ่าน) ในการรักษาความปลอดภัยให้แก่ข้อมูลและอุปกรณ์ และ
จ. ไม่จัดเก็บข้อมูลส่วนบุคคลไว้ในไดรฟ์ของเครื่องคอมพิวเตอร์หรืออุปกรณ์ส่วนตัวที่นำมาใช้ในการทำงาน
การฝึกอบรม
- เราจะจัดการฝึกอบรมให้แก่บุคคลทุกคนในหัวข้อที่เกี่ยวข้องกับความรับผิดชอบในการคุ้มครองข้อมูล โดยถือเป็นส่วนหนึ่งของกระบวนการปฐมนิเทศ และหลังจากนั้น ก็จะจัดการฝึกอบรมเป็นประจำตามช่วงเวลาที่กำหนดไว้
- บุคคลที่มีหน้าที่ที่จะต้องเข้าถึงข้อมูลส่วนบุคคลอยู่เป็นประจำ หรือบุคคลที่มีหน้าที่รับผิดชอบในการนำเอานโยบายนี้ไปปรับใช้ หรือดำเนินการตามคำร้องในการเข้าถึงข้อมูลของเจ้าของข้อมูลตามนโยบายนี้ จะได้รับการฝึกอบรมเพิ่มเติม เพื่อช่วยให้ทำความเข้าใจในหน้าที่ของตนเองและวิธีการในการปฏิบัติตามข้อกำหนด