นโยบายเรื่องการคุ้มครองข้อมูลและความมั่นคงปลอดภัยของข้อมูล

คำแถลงและวัตถุประสงค์ของนโยบาย 

ก. มหาวิทยาลัยนานาชาติแสตมฟอร์ด (“นายจ้าง”) มีหน้าที่ที่จะต้องทำให้แน่ใจว่าข้อมูลส่วนบุคคลทั้งหมดที่เราเป็นผู้จัดการจะได้รับการประมวลผลโดยเป็นไปตามมาตรฐานด้านการปฏิบัติตามข้อกำหนดตามกฎหมายของการคุ้มครองข้อมูลและความมั่นคงปลอดภัยของข้อมูล 

ข. เราขอให้การยืนยันในเรื่องของวัตถุประสงค์ของกฎหมายว่าด้วยเรื่องการคุ้มครองข้อมูล ซึ่งนายจ้างมีฐานะเป็นผู้ควบคุมข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการสร้างงานของท่าน สิ่งนี้หมายถึงว่าเราจะเป็นผู้กำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลของท่าน 

ค. วัตถุประสงค์ของนโยบายนี้ก็คือเพื่อที่จะช่วยให้เราบรรลุวัตถุประสงค์เรื่องการคุ้มครองข้อมูลและความมั่นคงปลอดภัยของข้อมูล โดยการดำเนินการดังต่อไปนี้ 

  1. แจ้งให้พนักงานของเราทราบถึงประเภทของข้อมูลส่วนบุคคลของพนักงาน ลูกค้า ผู้จัดหาของเรา และบุคคลภายนอกรายอื่นที่เราอาจเก็บรักษาไว้และสิ่งที่เราดำเนินการกับข้อมูลนั้น 
  2. กำหนดระเบียบเรื่องการคุ้มครองข้อมูลและเงื่อนไขตามกฎหมายที่จะต้องปฏิบัติตามในระหว่างที่เราเก็บรวบรวม ได้รับ จัดการ ประมวลผล โอน และจัดเก็บข้อมูลส่วนบุคคล และทำให้แน่ใจว่าพนักงานของเราเข้าใจในระเบียบและมาตรฐานตามกฎหมาย และ 
  3. ชี้แจงให้ทราบถึงความรับผิดชอบในหน้าที่ของพนักงานในส่วนของการคุ้มครองข้อมูลและความมั่นคงปลอดภัยของข้อมูล 

ง. เอกสารนี้เป็นคำแถลงนโยบายเท่านั้นและจะไม่ถือว่าเป็นส่วนหนึ่งของสัญญาจ้างงานของท่าน เราอาจใช้ดุลยพินิจของตนเองในการแก้ไขปรับเปลี่ยนนโยบายนี้ไม่ว่าเมื่อใดก็ตาม 

จ. เพื่อให้เป็นไปตามวัตถุประสงค์ของนโยบายนี้แล้ว 

  1. ข้อมูลบันทึกประวัติอาชญากรรม จะหมายถึงข้อมูลเกี่ยวกับคำตัดสินและการกระทำผิดอาญาของบุคคล และข้อมูลที่เกี่ยวข้องกับข้อกล่าวหาและการพิจารณาคดีความทางอาญา 
  2. กฎหมายเรื่องการคุ้มครองข้อมูล หมายถึงกฎหมายทั้งหมดที่นำมาบังคับใช้อันมีส่วนเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ซึ่งในระหว่างระยะเวลาที่นำมาบังคับใช้แล้ว ก็จะรวมถึงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ของประเทศไทยรวมทั้งกฎหมายย่อย 
  3. เจ้าของข้อมูล หมายถึงบุคคลที่มีความเกี่ยวข้องกับข้อมูลส่วนบุคคล 
  4. ข้อมูลส่วนบุคคล หมายถึงข้อมูลใดๆที่เกี่ยวข้องกับบุคคลที่สามารถถูกระบุตัวตนโดยใช้ข้อมูลนั้นได้ 
  5. การประมวลผล หมายถึงการนำเอาข้อมูลนั้นมาใช้งานใดๆ ซึ่งจะรวมถึงการเก็บรวบรวม การจัดเก็บ การแก้ไข การเปิดเผย หรือการทำลายข้อมูลนั้น 
  6. ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (หรือหมวดหมู่พิเศษของข้อมูลส่วนบุคคล) หมายถึงข้อมูลที่เกี่ยวข้องกับเชื้อชาติ ชาติพันธุ์ ถิ่นกำเนิด ความเห็นทางการเมือง ลัทธิ ศาสนา หรือความเชื่อทางปรัชญา รสนิยม/พฤติกรรมทางเพศ บันทึกประวัติอาชญากรรม ข้อมูลด้านสุขภาพ ความทุพพลภาพ ข้อมูลเกี่ยวกับสหภาพการค้า ข้อมูลพันธุกรรม ข้อมูลไบโอเมตทริกซ์ 

หลักการในการคุ้มครองข้อมูล 

  1. พนักงานที่มีหน้าที่ที่เกี่ยวข้องกับการใช้ข้อมูลส่วนบุคคลของพนักงานหรือบุคคลอื่นจะต้องปฏิบัติตามนโยบายนี้รวมทั้งหลักการในการคุ้มครองข้อมูลดังต่อไปนี้ซึ่งกำหนดไว้ว่า ข้อมูลส่วนบุคคลจะต้องมีลักษณะดังต่อไปนี้ 

         ก. ข้อมูลส่วนบุคคลจะต้องได้รับการประมวลผลอย่างถูกต้องตามกฎหมาย 
         ข. การเก็บรวบรวมข้อมูลส่วนบุคคลจะต้องเป็นไปตามวัตถุประสงค์ที่ระบุไว้ มีความชัดเจน และชอบด้วยกฎหมาย 
         ค. ข้อมูลส่วนบุคคลจะต้องเหมาะสม เกี่ยวข้อง และถูกจำกัดไว้ตามขอบเขตเท่าที่จำเป็นในการประมวลผลข้อมูลดังกล่าว 
         ง. ข้อมูลส่วนบุคคลจะต้องได้รับการตรวจสอบให้แน่ใจว่ามีความถูกต้องและเป็นปัจจุบัน 
         จ. ระยะเวลาในการจัดเก็บข้อมูลส่วนบุคคลจะต้องไม่นานไปกว่าเท่าที่จำเป็น 
         ฉ. ข้อมูลส่วนบุคคลจะต้องได้รับการประมวลผลโดยเป็นไปตามสิทธิของบุคคล 
         ช. ข้อมูลส่วนบุคคลจะต้องได้รับการเก็บรักษาไว้อย่างปลอดภัย 
         ซ. ข้อมูลส่วนบุคคลจะต้องไม่ถูกโอนไปยังประเทศที่สามซึ่งมิได้มีระดับในการคุ้มครองที่เหมาะสม 

ใครเป็นผู้รับผิดชอบเรื่องการคุ้มครองข้อมูลและความมั่นคงปลอดภัยของข้อมูล?

  1. การรักษาไว้ซึ่งมาตรฐานในการคุ้มครองข้อมูลและความมั่นคงปลอดภัยของข้อมูลที่เหมาะสมถือเป็นหน้าที่ของทั้งเราและท่าน นโยบายนี้รวมทั้งระเบียบที่ปรากฏอยู่ในนโยบายจะถูกนำไปบังคับใช้กับพนักงานทั้งหมดของนายจ้าง ไม่ว่าจะมีระดับอาวุโส อายุงาน และช่วงเวลาในการปฏิบัติหน้าที่ในระดับใดก็ตาม ซึ่งจะรวมถึง พนักงาน กรรมการและเจ้าหน้าที่ ที่ปรึกษา และผู้รับเหมา พนักงานที่ทำงานเป็นครั้งคราวหรือตัวแทน ผู้ฝึกงาน ผู้ทำงานจากที่บ้าน แล้วพนักงานที่มีระยะเวลาการจ้างงานแบบตายตัว รวมทั้งอาสาสมัครใดๆ (“พนักงาน”)
  2. หากมีข้อสงสัยเกี่ยวกับนโยบายนี้ หรือต้องการข้อมูลเพิ่มเติม ก็ขอให้ติดต่อกับเจ้าหน้าที่คุ้มครองข้อมูล 
  3. พนักงานทุกคนมีหน้าที่รับผิดชอบในการทำให้แน่ใจว่าตนเองได้ปฏิบัติตามนโยบายนี้ รวมทั้งจัดการข้อมูลส่วนบุคคลทั้งหมดให้สอดคล้องกับหลักการที่ระบุไว้ในนโยบายนี้ และทำให้แน่ใจว่า ได้มีการนำเอามาตรการมาใช้ในการคุ้มครองความมั่นคงปลอดภัยของข้อมูล ผู้จัดการทั้งหลายจะมีความรับผิดชอบพิเศษในการกระทำตนเป็นตัวอย่าง รวมทั้งตรวจติดตามและบังคับให้มีการปฏิบัติตามข้อกำหนด เจ้าหน้าที่คุ้มครองข้อมูลจะต้องได้รับแจ้งหากมีการฝ่าฝืนนโยบายนี้ หรือเป็นที่ต้องสงสัยว่าไม่มีการปฏิบัติตามนโยบายนี้ ในทันทีที่สามารถดำเนินการได้ตามความเหมาะสม 
  4. การกระทำผิดใดๆ ต่อนโยบายนี้จะต้องได้รับการดำเนินการอย่างเข้มงวดและอาจส่งผลทำให้มีการลงโทษทางวินัยซึ่งจะรวมถึงการไล่ออก การกระทำผิดที่สำคัญหรือจงใจ เช่น การเข้าถึงข้อมูลส่วนบุคคลของพนักงานหรือลูกค้าโดยไม่ได้รับอนุญาตหรือมีเหตุผลที่ชอบด้วยกฎหมายในการกระทำการดังกล่าว ก็จะถือว่าเป็นการประพฤติผิดอย่างร้ายแรงและอาจส่งผลทำให้ถูกไล่ออกโดยไม่จำเป็นต้องแจ้งให้ทราบ 

ข้อมูลส่วนบุคคลและกิจกรรมใดบ้างที่เกี่ยวข้องกับนโยบายนี้?

  1. นโยบายนี้จะเกี่ยวข้องกับข้อมูลส่วนบุคคล 
         ก. ที่เกี่ยวข้องกับการใช้ชีวิตตามธรรมชาติของบุคคลที่สามารถถูกระบุตัวตนได้จากข้อมูลนั้นหรือนำเอาข้อมูลนั้นไปประกอบกับข้อมูลอื่นที่เราครอบครองอยู่ 
         ข. ที่ถูกจัดเก็บไว้ในรูปแบบอิเล็กทรอนิกส์หรือเป็นเอกสารกระดาษในระบบแฟ้มข้อมูล 
         ค. ที่อยู่ในรูปแบบของการแสดงความคิดเห็นตลอดจนข้อเท็จจริง 
         ง. ซึ่งเกี่ยวข้องกับพนักงาน (พนักงานในปัจจุบัน ในอดีต หรือในอนาคต) หรือบุคคลอื่นใดที่ข้อมูลส่วนบุคคลของตนเองอยู่ภายใต้การบริหารจัดการหรือการควบคุมของเรา
         จ. ที่เราได้รับมา แจ้งให้เราทราบ ที่เราถือไว้หรือจัดเก็บไว้ จัดระเบียบ เปิดเผยหรือโอน แก้ไข นำกลับมา ใช้งาน จัดการ ประมวลผล นำส่ง หรือทำลาย 
  2. ข้อมูลส่วนบุคคลนี้จะอยู่ภายใต้การคุ้มครองดูแลตามกฎหมายตามที่ระบุไว้ในกฎหมายเรื่องการคุ้มครองข้อมูล 

ข้อมูลส่วนบุคคลใดบ้างที่เกี่ยวข้องกับพนักงานที่เราจัดเก็บไว้?

  1. เราเก็บรวบรวมข้อมูลส่วนบุคคลที่เกี่ยวกับท่าน ซึ่ง 
         ก. เป็นข้อมูลที่ท่านแจ้งให้ทราบหรือเรารวบรวมมาก่อนหรือในระหว่างการจ้างงานของท่านหรือในระหว่างที่ท่านทำงานให้แก่เรา 
         ข. เป็นข้อมูลที่ได้รับจากบุคคลภายนอก เช่น บุคคลอ้างอิงหรือข้อมูลที่ได้รับจากผู้จัดหาหรือบุคคลอื่นที่เราทำธุรกิจด้วย หรือ 
         ค. เป็นข้อมูลที่ทราบกันโดยสาธารณะ 
  2. ประเภทของข้อมูลส่วนบุคคลที่เราอาจจะทำการเก็บรวบรวม จัดเก็บ และนำมาใช้ซึ่งเกี่ยวข้องกับท่านรวมถึงบันทึกต่างๆ ที่เกี่ยวข้องกับสิ่งที่เป็นของท่านจะมีดังต่อไปนี้ 
         ก. ที่อยู่ รายละเอียดการติดต่อ และรายละเอียดการติดต่อของญาติสนิทของท่าน
         ข. การสรรหาพนักงาน (ซึ่งจะรวมถึงใบสมัครของท่านหรือประวัติย่อของท่าน ข้อมูลอ้างอิงที่ได้รับ รวมทั้งรายละเอียดคุณสมบัติของท่าน)
         ค. บันทึกการจ่ายเงิน หมายเลขประกันสังคม และรายละเอียดของภาษีและสิทธิประโยชน์ในการจ้างงานใดๆ เช่นเงินบำนาญและประกันสุขภาพ (รวมทั้งรายละเอียดของการเรียกเงินค่าสินไหมทดแทนใดๆ)
         ง. เบอร์โทรศัพท์ ที่อยู่ไปรษณีย์อิเล็กทรอนิกส์ อินเทอร์เน็ต เบอร์โทรศัพท์ หรือข้อความแบบส่งทันทีที่ท่านใช้อยู่ 
         จ. ผลการปฏิบัติหน้าที่รวมทั้งเรื่องที่เกี่ยวข้องกับวินัย คำร้องทุกข์ คำร้อง หรือข้อกังวลที่ท่านมีส่วนเกี่ยวข้อง 

ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน 

  1. ในบางครั้งคราว เราจำเป็นที่จะต้องประมวลผลข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (ในบางครั้งอาจเรียกว่า “หมวดหมู่พิเศษของข้อมูลส่วนบุคคล”)
  2. เราจะประมวลผลข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนก็ต่อเมื่อ 
         ก. เรามีหลักการที่ชอบด้วยกฎหมายในการกระทำการดังกล่าว เช่น เป็นเรื่องจำเป็นต่อการปฏิบัติตามสัญญาจ้างงาน และ 
         ข. เป็นไปตามเงื่อนไขพิเศษในการประมวลผลข้อมูลส่วนบุคคลดังต่อไปนี้
              1. เจ้าของข้อมูลให้ความยินยอมอย่างชัดแจ้ง 
              2. การประมวลผลเป็นเรื่องที่จำเป็นต่อการใช้สิทธิตามกฎหมายในการจ้างงานหรือภาระผูกพันของมหาวิทยาลัยหรือเจ้าของข้อมูล 
              3. การประมวลผลเป็นเรื่องจำเป็นในการคุ้มครองสิทธิประโยชน์ที่เกี่ยวข้องกับชีวิตของเจ้าของข้อมูล แล้วเจ้าของข้อมูลเป็นคนไร้ความสามารถจนไม่สามารถที่จะให้ความยินยอมได้ 
              4. การประมวลผลที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่เจ้าของข้อมูลแจ้งให้สาธารณชนรับทราบอย่างชัดแจ้ง 
              5. การประมวลผลเป็นเรื่องที่จำเป็นต่อการจัดตั้ง การใช้สิทธิ์ หรือการแก้ต่าง หรือการเรียกร้องตามกฎหมาย หรือ 
              6. การประเมินผลเป็นเรื่องจำเป็นต่อผลประโยชน์สาธารณะที่สำคัญ 
  3. ก่อนที่จะทำการประมวลผลข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนใดๆ พนักงานจะต้องแจ้งให้เจ้าหน้าที่คุ้มครองข้อมูลทราบถึงการประมวลผลข้อมูลตามที่เสนอ เพื่อที่เจ้าหน้าที่คุ้มครองข้อมูลจะได้ประเมินว่าการประมวลผลข้อมูลเป็นไปตามหลักเกณฑ์ที่กล่าวถึงข้างต้นหรือไม่ 
  4. ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนจะไม่ถูกประมวลผลจนกว่าจะมีการประเมินตามที่กล่าวถึงข้างต้น และบุคคลที่เกี่ยวข้องได้รับแจ้งให้ทราบถึงลักษณะในการประมวลผล วัตถุประสงค์ในการประมวลผล และหลักการทางด้านกฎหมายที่ใช้ในการประมวลผล 
  5. ประกาศเรื่องความเป็นส่วนตัวของเราจะเป็นตัวกำหนดประเภทของข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนที่เราเป็นผู้ประมวลผล ซึ่งจะถูกนำไปใช้ในการประมวลผลโดยอ้างตามหลักการที่ชอบด้วยกฎหมาย 

ข้อมูลบันทึกประวัติอาชญากรรม 

  1. เราจะดำเนินการกับข้อมูลบันทึกประวัติอาชญากรรมและประมวลผลโดยเป็นไปตามกฎหมายเรื่องการคุ้มครองข้อมูล 

เรานำเอาข้อมูลส่วนบุคคลของท่านไปใช้อย่างไร 

  1. เราจะแจ้งให้ท่านทราบเกี่ยวกับเหตุผลในการประมวลผลข้อมูลส่วนบุคคลของท่าน วิธีการที่เราใช้ข้อมูลดังกล่าว และหลักการทางกฎหมายในการประมวลผลข้อมูลที่ปรากฏอยู่ในประกาศเรื่องความเป็นส่วนตัวของเรา เราจะไม่ประมวลผลข้อมูลส่วนบุคคลของพนักงานด้วยเหตุผลอื่นใด 
  2. โดยทั่วไปแล้ว เราจะใช้ข้อมูลเพื่อทำธุรกิจของเรา บริหารจัดการการจ้างงานหรือการรับจ้างของท่าน รวมทั้งรับมือกับปัญหาหรือข้อกังวลใจใดๆ ที่ท่านอาจมีอยู่ ซึ่งจะรวมถึงหากแต่มิได้จำกัดไว้แค่เพียง 
         ก. รายการที่อยู่ของพนักงาน เพื่อที่จะรวบรวมและแจ้งเวียนรายการของที่อยู่และรายละเอียดการติดต่อ เพื่อที่จะติดต่อกับท่านนอกเวลางาน 
         ข. บันทึกความเจ็บป่วย เพื่อที่จะดูแลรักษาบันทึกเกี่ยวกับการลาป่วยของท่านและสำเนาของเอกสารจากแพทย์หรือเอกสารอื่นๆ ที่ส่งมาให้เราอันมีความเกี่ยวข้องกับสุขภาพของท่าน เพื่อที่จะแจ้งให้เพื่อนร่วมงานและบุคคลอื่นทราบว่าท่านลาป่วย ตามที่จำเป็นต่อการบริหารจัดการการขาดงานของท่าน เพื่อที่จะดำเนินการกับการลาป่วยที่มากจนเกินไปหรือต้องสงสัย เพื่อที่จะแจ้งให้ผู้ตรวจสอบดำเนินการประเมินระดับการลาป่วยของท่าน  และเพื่อที่จะตีพิมพ์รายละเอียดของระดับการขาดงานโดยรวมแบบไม่ระบุชื่อภายในองค์กร 
         ค. การตรวจติดตามระบบไอที – เพื่อที่จะตรวจติดตามการใช้ไปรษณีย์อิเล็กทรอนิกส์ อินเทอร์เน็ต โทรศัพท์และโทรสาร เครื่องคอมพิวเตอร์ หรือการติดต่อสื่อสารอื่นๆ หรือทรัพยากรไอทีของท่าน 
         ง. งานด้านวินัย คำร้องทุกข์ หรือเรื่องราวทางกฎหมาย – ในส่วนที่เกี่ยวข้องกับงานด้านวินัย คำร้องทุกข์ กฎหมาย การควบคุม หรือการปฏิบัติตามข้อกำหนด หรือการพิจารณาคดีที่อาจเกี่ยวข้องกับท่าน 
         จ. การตรวจสอบผลปฏิบัติหน้าที่ – เพื่อดำเนินการตรวจสอบผลการปฏิบัติหน้าที่ 
         ฉ. การตรวจติดตามโอกาสที่เท่าเทียม – เพื่อดำเนินการตรวจติดตามโอกาสที่เท่าเทียมและทำการตีพิมพ์ข้อมูลโดยรวมที่เกี่ยวข้องกับการแจกแจงพนักงานของนายจ้างโดยไม่ระบุชื่อ 

ความถูกต้องและความสอดคล้อง 

  1. เราจะดำเนินการดังต่อไปนี้ 
         ก. ตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลใดๆ ที่ได้รับการประมวลผลเป็นข้อมูลที่เป็นปัจจุบัน ถูกต้อง เหมาะสม สอดคล้อง และไม่เกินจริง โดยพิจารณาตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลนั้น 
         ข. ไม่ประมวลผลข้อมูลส่วนบุคคลที่ได้รับมาเพื่อวัตถุประสงค์อย่างใดอย่างหนึ่ง เว้นแต่ท่านให้ความยินยอมหรือคาดว่าสิ่งนี้จะเกิดขึ้นตามสมควร 
  2. หากท่านพิจารณาแล้วเห็นว่าข้อมูลใดๆ ที่เกี่ยวกับท่านซึ่งเราเก็บรักษาไว้เป็นข้อมูลที่ไม่ถูกต้องหรือไม่เป็นปัจจุบัน ท่านจะต้องแจ้งให้เจ้าหน้าที่คุ้มครองข้อมูลทราบ หากได้รับความเห็นชอบว่าข้อมูลนั้นไม่ถูกต้องหรือไม่เป็นปัจจุบัน เจ้าหน้าที่ควบคุมข้อมูลจากทำการแก้ไขทันที หากเจ้าหน้าที่ควบคุมข้อมูลไม่เห็นว่าข้อมูลนั้นจำเป็นที่จะต้องแก้ไข ก็จะมีการบันทึกข้อคิดเห็นของท่านไว้ 

การจัดเก็บและการเก็บรักษา 

  1. ข้อมูลส่วนบุคคลและข้อมูลส่วนบุคคลที่ละเอียดอ่อนจะได้รับการจัดเก็บไว้อย่างปลอดภัยโดยเป็นไปตามนโยบายการคุ้มครองข้อมูลของเรา 
  2. ระยะเวลาที่เราจะเก็บรักษาข้อมูลส่วนบุคคลไว้จะปรากฏอยู่ในประกาศเรื่องความเป็นส่วนตัวของเรา 

สิทธิของบุคคล 

  1. ท่านมีสิทธิ์ในข้อมูลส่วนบุคคลของท่านดังต่อไปนี้ 
  2. คำร้องขอเข้าถึงข้อมูลโดยเจ้าของข้อมูล 
         ก. ท่านมีสิทธิ์ที่จะยื่นคำร้องขอเข้าถึงข้อมูล หากท่านยื่นคำร้องดังกล่าว เราจะแจ้งให้ท่านทราบถึงข้อมูลดังต่อไปนี้ 
              1. ข้อมูลส่วนบุคคลของท่านได้รับการประมวลผลหรือไม่ และหากได้รับการประมวลผลก็จะแจ้งให้ทราบถึงเหตุผลที่เกี่ยวข้อง หมวดหมู่ของข้อมูลส่วนบุคคลที่เกี่ยวข้อง และแหล่งข้อมูลหากเราไม่ได้รับข้อมูลนั้นมาจากท่านโดยตรง 
              2. เราอาจเปิดเผยข้อมูลส่วนบุคคลของท่านต่อใครบ้าง ซึ่งจะรวมถึงผู้รับข้อมูลที่อยู่นอกราชอาณาจักรไทย และมาตรการป้องกันที่นำมาใช้ในการโอนข้อมูลดังกล่าว 
              3. ข้อมูลส่วนบุคคลของท่านจะถูกจัดเก็บไว้เป็นระยะเวลานานเท่าใด (หรือวิธีการกำหนดช่วงระยะเวลานั้น)
              4. สิทธิในการแก้ไขหรือลบข้อมูลของท่าน หรือสิทธิในการจำกัดหรือครับตามการประมวลผล 
              5. สิทธิในการร้องทุกข์ต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหากท่านคิดว่าเราไม่ปฏิบัติตามสิทธิในการคุ้มครองข้อมูลของท่าน และ 
              6. เราได้ใช้รูปแบบการตัดสินใจโดยอัตโนมัติหรือไม่ และตรรกะที่นำมาใช้กับการตัดสินใจดังกล่าว 
         ข. เราจะจัดทำสำเนาข้อมูลส่วนบุคคลที่อยู่ในระหว่างการประมวลผลให้แก่ท่าน ซึ่งโดยทั่วไปแล้วจะอยู่ในรูปแบบอิเล็กทรอนิกส์ หากท่านยื่นคำร้องในรูปแบบอิเล็กทรอนิกส์ เว้นแต่ท่านจะตกลงให้เป็นอย่างอื่น 
         ค. หากท่านต้องการยื่นคำร้องในการเข้าถึงข้อมูล ให้ติดต่อเราได้ที่ pdpa@stamford.edu.
         ง. เราอาจจำเป็นที่จะต้องขอหลักฐานยืนยันตัวตนก่อนที่จะดำเนินการตามคำร้องของท่าน เราจะแจ้งให้ท่านทราบหากเราต้องการที่จะตรวจสอบอัตลักษณ์ของท่านรวมทั้งเอกสารที่เราร้องขอ 
         จ. โดยทั่วไปแล้ว เราจะดำเนินการตามคำร้องของท่านภายในระยะเวลา 30 วัน นับจากวันที่ได้รับคำร้อง ในบางกรณี เช่น มีข้อมูลส่วนบุคคลจำนวนมากอยู่ในระหว่างการประมวลผล เราอาจจะตอบกลับภายในระยะเวลา 2 เดือนนับจากวันที่ได้รับคำร้องจากท่าน ในกรณีนี้ เราจะทำหนังสือถึงท่านภายในระยะเวลา 28 วันหลังจากที่ได้รับคำร้องต้นฉบับจากท่าน 
         ฉ. หากพบว่าคำร้องของท่านไม่เหมาะสมหรือเกินจากความเป็นจริงอย่างชัดแจ้ง เราก็ไม่มีหน้าที่ที่จะต้องปฏิบัติตามคำร้องนั้น 
  3. สิทธิอื่นๆ 
         ก. ท่านมีสิทธิอื่นๆ ในข้อมูลส่วนบุคคลของท่านอีกมากมาย ท่านสามารถที่จะร้องขอให้เราดำเนินการดังต่อไปนี้ 
              1. แก้ไขข้อมูลที่ไม่ถูกต้อง 
              2. หยุดการประมวลผลข้อมูลหรือลบข้อมูลที่ไม่จำเป็นต้องประมวลผลอีกต่อไป 
              3. หยุดการประมวลผลหรือลบข้อมูลหากผลประโยชน์ของท่านมีความสำคัญมากกว่ามูลเหตุที่ชอบด้วยกฎหมายในการประมวลผลข้อมูล (ซึ่งเราจะยึดถือในผลประโยชน์ที่ชอบด้วยกฎหมายของเราในการประมวลผลข้อมูล)
              4. หยุดการประมวลผลข้อมูลเป็นระยะเวลาหนึ่งหากข้อมูลไม่ถูกต้องหรือมีข้อพิพาทที่ว่าผลประโยชน์ของท่านมีความสำคัญมากกว่ามูลเหตุที่ชอบด้วยกฎหมายของนายจ้างในการประมวลผลข้อมูลหรือไม่ 
         ข. ในการร้องขอให้เราดำเนินการใดๆ กรุณาส่งคำร้องมาที่ pdpa@stamford.edu.

ความมั่นคงปลอดภัยของข้อมูล 

  1. เราจะใช้มาตรการด้านเทคนิคและการจัดแจงที่เหมาะสมเพื่อที่จะทำให้ข้อมูลส่วนบุคคลมีความปลอดภัย และโดยเฉพาะอย่างยิ่ง เพื่อที่จะป้องกันมิให้มีการประมวลผลข้อมูลโดยไม่ได้รับอนุญาตหรือผิดกฎหมาย รวมทั้งในส่วนของความสูญเสีย การถูกทำลาย หรือความเสียหายที่ไม่คาดฝัน 
  2. การรักษาไว้ซึ่งความมั่นคงปลอดภัยของข้อมูลจะหมายถึงการทำให้แน่ใจว่า 
         ก. จะมีเฉพาะบุคคลที่ได้รับอนุญาตให้ใช้งานเท่านั้นจึงจะสามารถเข้าถึงข้อมูลได้ 
         ข. ในกรณีที่เป็นไปได้ก็จะทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลแสงหรือเข้ารหัส 
         ค. ข้อมูลมีความถูกต้องและเหมาะสมต่อวัตถุประสงค์ในการประมวลผลข้อมูล และ 
         ง. ผู้ที่ได้รับอนุญาตสามารถที่จะเข้าถึงข้อมูลหากต้องการที่จะนำข้อมูลไปใช้เพื่อวัตถุประสงค์ที่ได้รับอนุญาต 
  3. ตามกฎหมายแล้ว เราจะต้องใช้ระเบียบปฏิบัติและเทคโนโลยีในการรักษาความปลอดภัยให้แก่ข้อมูลส่วนบุคคลตลอดระยะเวลาที่เราเก็บรักษาข้อมูลหรือควบคุมข้อมูลนั้น นับตั้งแต่การได้รับไปจนถึงการทำลายข้อมูล 
  4. ข้อมูลส่วนบุคคลจะต้องไม่ถูกโอนไปให้แก่บุคคลใดๆ เพื่อทำการประมวลผล (เช่น ในระหว่างที่ให้บริการแก่เราหรือในนามของเรา) เว้นแต่บุคคลนั้นตกลงที่จะปฏิบัติตามระเบียบปฏิบัติเรื่องความมั่นคงปลอดภัยของข้อมูลของเรา หรือเราพิจารณาแล้วเห็นว่ามีการนำเอามาตรการอื่นที่เหมาะสมมาใช้ 
  5. ระเบียบปฏิบัติเรื่องความมั่นคงปลอดภัยจะประกอบด้วย 
         ก. โต๊ะหรือตู้ที่มีข้อมูลที่เป็นความลับอยู่จะต้องถูกล็อคไว้ 
         ข. คอมพิวเตอร์ควรที่จะถูกล็อคไว้ด้วยรหัสผ่านที่ยากต่อการคาดเดาและมีการเปลี่ยนแปลงเป็นประจำ หรือปิดเครื่องคอมพิวเตอร์เมื่อไม่มีคนใช้งาน และควรที่จะใช้ดุลยพินิจในการดูข้อมูลส่วนบุคคลบนหน้าจอเพื่อทำให้แน่ใจว่าบุคคลอื่นไม่สามารถมองเห็นได้ 
         ค. ข้อมูลที่จะเก็บไว้ในแผ่นซีดีหรืออุปกรณ์หน่วยความจำจะต้องได้รับการเข้ารหัสหรือป้องกันด้วยรหัสผ่านและปิดล็อคที่จัดเก็บไว้อย่างแน่นหนาเมื่อไม่มีการใช้งาน 
         ง. เจ้าหน้าที่คุ้มครองข้อมูลจะให้การอนุมัติในการใช้คลาวด์เพื่อมาจัดเก็บข้อมูล 
         จ. ไม่ควรที่จะบันทึกข้อมูลเข้าไปยังอุปกรณ์มือถือ เช่น คอมพิวเตอร์แล็ปท็อป แท็บเล็ต หรือสมาร์ทโฟนโดยตรง 
         ฉ. เครื่องแม่ข่ายทั้งหมดที่มีข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนจะต้องได้รับการอนุมัติและคุ้มครองโดยซอฟต์แวร์รักษาความปลอดภัย 
         ช. เครื่องแม่ข่ายที่มีข้อมูลส่วนบุคคลบันทึกไว้จะต้องได้รับการจัดเก็บไว้ในสถานที่ที่ปลอดภัย ห่างจากพื้นที่สำนักงานทั่วไป 
         ซ. ข้อมูลควรที่จะได้รับการสำรองไว้โดยเป็นไปตามระเบียบปฏิบัติในการสำรองข้อมูลของนายจ้าง 
  6. คำเตือนเรื่องการใช้โทรศัพท์ พนักงานที่ตอบข้อซักถามผ่านทางโทรศัพท์จะต้องให้ความใส่ใจเป็นพิเศษเพื่อที่จะหลีกเลี่ยงไม่ให้มีการเปิดเผยข้อมูลอย่างไม่เหมาะสม โดยเฉพาะอย่างยิ่ง 
         ก. จะต้องมีการตรวจสอบยืนยันอัตลักษณ์ของผู้ที่โทรมาก่อนที่จะมีการเปิดเผยข้อมูลส่วนบุคคลใดๆ 
         ข. หากไม่สามารถตรวจสอบอัตลักษณ์ของผู้ที่โทรมาได้เป็นที่พึงพอใจ ก็ควรที่จะขอให้ผู้ที่โทรมาจัดทำข้อซักถามเป็นลายลักษณ์อักษร 
         ค. อย่าปล่อยให้ผู้ที่โทรมาหลอกล่อให้ท่านเปิดเผยข้อมูล ในกรณีที่มีปัญหาหรือความไม่แน่นอนใดๆ ให้ติดต่อกับเจ้าหน้าที่โครงสร้างข้อมูล 
  7. วิธีการในการจำหน่ายจ่ายโอน สำเนาของข้อมูลส่วนบุคคล ไม่ว่าจะปรากฏอยู่บนกระดาษหรืออยู่ในอุปกรณ์เก็บข้อมูล จะต้องได้รับการทำลายทิ้งในกรณีที่ไม่จำเป็นที่จะต้องใช้งานอีกแล้ว เอกสารที่เป็นกระดาษควรที่จะถูกทำลายโดยเครื่องทำลายกระดาษและแผ่นซีดีหรืออุปกรณ์หน่วยความจำหรืออุปกรณ์ที่คล้ายคลึงกันจะต้องทำให้ไม่สามารถอ่านได้อย่างถาวร 

การประเมินผลกระทบที่มีต่อข้อมูล 

  1. การประมวลผลบางประเภทที่นายจ้างเป็นผู้ดำเนินการอาจก่อให้เกิดความเสี่ยงต่อความเป็นส่วนตัว 
  2. ในกรณีที่การประมวลผลจะก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของพนักงานในระดับสูง นายจ้างจะต้องดำเนินการประเมินผลกระทบต่อการคุ้มครองข้อมูลและกำหนดความจำเป็นและสัดส่วนในการประมวลผล ในส่วนนี้จะรวมถึงการพิจารณาวัตถุประสงค์ของการดำเนินการดังกล่าว ความเสี่ยงที่เกิดขึ้นกับบุคคลที่เกี่ยวข้อง และมาตรการที่สามารถนำมาใช้เพื่อบรรเทาความเสี่ยงดังกล่าว 

การกระทำผิดเกี่ยวกับข้อมูล 

  1. หากเราพบว่ามีการกระทำผิดต่อข้อมูลส่วนบุคคลของพนักงานซึ่งสร้างความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลที่เกี่ยวข้อง เราจะรายงานให้คณะกรรมการสารสนเทศทราบภายในระยะเวลา 72 ชั่วโมงหลังจากที่ตรวจพบ 
  2. เราจะบันทึกการกระทำผิดเกี่ยวกับข้อมูลทั้งหมด ไม่ว่าผลลัพธ์ที่ออกมาจะเป็นเช่นใด ซึ่งเป็นไปตามนโยบายการรับมือกับการกระทำผิดของเรา
  3. หากการกระทำผิดเป็นไปได้ว่าจะก่อให้เกิดความเสี่ยงต่อสิทธิและเสรีภาพของท่านซึ่งอยู่ในระดับสูง เราจะแจ้งให้บุคคลที่ได้รับผลกระทบทราบว่ามีการกระทำผิดรวมทั้งแจ้งข้อมูลเพิ่มเติมเกี่ยวกับผลลัพธ์ที่อาจเกิดขึ้นได้และมาตรการในการบรรเทาผลลัพธ์ที่นำมาใช้

การโอนข้อมูลไปยังต่างประเทศ

  1. ในการทำธุรกิจของเรา เราอาจจำเป็นที่จะต้องโอนข้อมูลส่วนบุคคลของท่านไปยังประเทศอื่นนอกราชอาณาจักรไทย ซึ่งจะรวมถึงมหาวิทยาลัยในกลุ่มมหาวิทยาลัยหรือบุคคลอื่นที่เราทำธุรกิจด้วย 
  2. ข้อมูลส่วนบุคคลของท่านจะถูกโอนไปยังประเทศนอกราชอาณาจักรไทยหากประเทศเหล่านั้นมีระดับการคุ้มครองข้อมูลที่เหมาะสม ทั้งนี้ เพื่อเป็นการทำให้แน่ใจว่าข้อมูลของท่านมีระดับในการคุ้มครองที่เหมาะสม เราได้นำเอาระเบียบปฏิบัติที่เหมาะสมมาใช้กับบุคคลภายนอกที่เราแบ่งปันข้อมูลส่วนบุคคลของท่านให้ เพื่อทำให้แน่ใจว่าบุคคลภายนอกเหล่านั้นจะปฏิบัติกับข้อมูลส่วนบุคคลของท่านโดยใช้วิธีการที่สอดคล้องและให้ความเคารพต่อกฎหมายเรื่องการคุ้มครองข้อมูล 
  3. หากท่านมีความประสงค์ที่จะทราบข้อมูลเพิ่มเติมเกี่ยวกับการโอนข้อมูลส่วนบุคคลของท่านไปยังต่างประเทศ ท่านอาจจะติดต่อกับเจ้าหน้าที่คุ้มครองข้อมูล 

ความรับผิดชอบของบุคคล 

  1. พนักงานทั้งหลายมีหน้าที่รับผิดชอบในการช่วยนายจ้างให้ได้รับข้อมูลส่วนบุคคลของตนเองที่เป็นปัจจุบัน 
  2. พนักงานจะต้องแจ้งให้นายจ้างทราบในกรณีที่ข้อมูลส่วนบุคคลของตนเองเกิดการเปลี่ยนแปลง เช่น ท่านย้ายบ้านหรือเปลี่ยนแปลงรายละเอียดบัญชีธนาคารของตนเอง 
  3. ท่านอาจจะเข้าถึงข้อมูลส่วนบุคคลของพนักงานรายอื่นและข้อมูลส่วนบุคคลของลูกค้าของเราในระหว่างการจ้างงานของท่าน ในกรณีนี้ นายจ้างจะไว้ใจให้เจ้าหน้าที่ให้ความช่วยเหลือในการปฏิบัติตามภาระผูกพันเรื่องการคุ้มครองข้อมูลที่มีต่อเจ้าหน้าที่และลูกค้า 
  4. บุคคลทั่วไปที่สามารถเข้าถึงข้อมูลส่วนบุคคลได้จะต้องปฏิบัติดังต่อไปนี้ 
         ก. เข้าถึงข้อมูลส่วนบุคคลที่ตนเองได้รับมอบหมายให้เข้าถึงเท่านั้นและดำเนินการเพื่อวัตถุประสงค์ที่ได้รับอนุญาตแล้วเท่านั้น 
         ข. ไม่เปิดเผยข้อมูลส่วนบุคคล เว้นแต่เปิดเผยต่อบุคคล (ไม่ว่าจะเป็นบุคคลภายในองค์กรหรือนอกองค์กรของนายจ้าง) ที่ได้รับการอนุญาตอย่างเหมาะสม 
         ค. เก็บรักษาข้อมูลส่วนบุคคลไว้อย่างปลอดภัย (เช่น โดยการปฏิบัติตามระเบียบในการเข้าถึงสถานที่ เข้าใช้งานคอมพิวเตอร์ รวมถึงการคุ้มครองด้วยรหัสผ่าน และปกป้องการจัดเก็บไฟล์และการทำลาย)
         ง. ห้ามไม่ให้เคลื่อนย้ายข้อมูลส่วนบุคคลหรือลบข้อมูลออกจากอุปกรณ์ที่มีข้อมูลส่วนบุคคลหรือสามารถนำไปใช้ในการเข้าถึงข้อมูลส่วนบุคคลออกจากสถานที่ของนายจ้างโดยมิได้นำเอามาตรการในการรักษาความปลอดภัยที่เหมาะสมมาใช้ (เช่นการเข้ารหัสหรือการปกป้องด้วยรหัสผ่าน) ในการรักษาความปลอดภัยให้แก่ข้อมูลและอุปกรณ์ และ 
         จ. ไม่จัดเก็บข้อมูลส่วนบุคคลไว้ในไดรฟ์ของเครื่องคอมพิวเตอร์หรืออุปกรณ์ส่วนตัวที่นำมาใช้ในการทำงาน 

การฝึกอบรม 

  1. เราจะจัดการฝึกอบรมให้แก่บุคคลทุกคนในหัวข้อที่เกี่ยวข้องกับความรับผิดชอบในการคุ้มครองข้อมูล โดยถือเป็นส่วนหนึ่งของกระบวนการปฐมนิเทศ และหลังจากนั้น ก็จะจัดการฝึกอบรมเป็นประจำตามช่วงเวลาที่กำหนดไว้ 
  2. บุคคลที่มีหน้าที่ที่จะต้องเข้าถึงข้อมูลส่วนบุคคลอยู่เป็นประจำ หรือบุคคลที่มีหน้าที่รับผิดชอบในการนำเอานโยบายนี้ไปปรับใช้ หรือดำเนินการตามคำร้องในการเข้าถึงข้อมูลของเจ้าของข้อมูลตามนโยบายนี้ จะได้รับการฝึกอบรมเพิ่มเติม เพื่อช่วยให้ทำความเข้าใจในหน้าที่ของตนเองและวิธีการในการปฏิบัติตามข้อกำหนด