นโยบายคุ้มครองข้อมูลส่วนบุคคล

มหาวิทยาลัยนวมินทราธิราช พ.ศ. 2568

(NMU Privacy Protection Policy)

                นโยบายนี้มีวัตถุประสงค์เพื่ออธิบาย วิธีการที่มหาวิทยาลัยดำเนินการต่อข้อมูลส่วนบุคคล อันประกอบด้วยการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคล ภายใต้หลักการคุ้มครองข้อมูล ส่วนบุคคล เพื่อป้องกันมิให้มีการละเมิดสิทธิความเป็นส่วนตัวของบุคคล ซึ่งอาจก่อให้เกิดความเดือดร้อนรำคาญหรือความเสียหายแก่เจ้าของข้อมูลส่วนบุคคล ขณะเดียวกันก็ยังคงไว้ซึ่ง ความจำเป็นในการใช้ประโยชน์จากข้อมูลส่วนบุคคลตามวัตถุประสงค์ของการเก็บรวบรวมข้อมูลส่วนบุคคล โดยชอบด้วยกฎหมาย

ข้อ 1 วัตถุประสงค์ของการคุ้มครองข้อมูลส่วนบุคคล

                มหาวิทยาลัยตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลและข้อมูลอื่นอันเกี่ยวกับเจ้าของข้อมูลส่วนบุคคล และมีความมุ่งมั่นที่จะแสดงให้เห็นถึงความโปร่งใสและความรับผิดชอบ ในการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลดังกล่าว ตามบทบัญญัติแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ รวมถึงกฎหมาย กฎ หรือข้อบังคับอื่นที่เกี่ยวข้อง

                 นโยบายการคุ้มครองข้อมูลส่วนบุคคลนี้จึงถูกจัดทำขึ้นเพื่อ ชี้แจงและสื่อสาร ให้เจ้าของข้อมูลส่วนบุคคลทราบถึงรายละเอียดเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล ซึ่งดำเนินการโดยมหาวิทยาลัย รวมถึงเจ้าหน้าที่ บุคคล คณะบุคคล หรือนิติบุคคลที่เกี่ยวข้องซึ่งดำเนินการแทนหรือในนามของมหาวิทยาลัย โดยมีเนื้อหาสาระและมีผลผูกพันตามที่กำหนดในนโยบายนี้

ข้อ 2 ขอบเขตการบังคับใช้ของนโยบาย

                นโยบายนี้ใช้บังคับกับข้อมูลส่วนบุคคลของบุคคลซึ่งมีความสัมพันธ์กับมหาวิทยาลัย ในปัจจุบันและที่อาจมีในอนาคต ซึ่งถูกประมวลผลข้อมูลส่วนบุคคลโดย ผู้ควบคุมข้อมูลส่วนบุคคล หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล ภายใต้ผลิตภัณฑ์และบริการต่าง ๆ ของมหาวิทยาลัย ซึ่งรวมถึงแต่ไม่จำกัดเพียง เว็บไซต์ ระบบ แอปพลิเคชัน เอกสาร หรือบริการในรูปแบบอื่นที่ควบคุมดูแลโดยมหาวิทยาลัย (รวมเรียกว่า “บริการ”)

                บุคคลมีความสัมพันธ์กับมหาวิทยาลัย ตามความในวรรคแรก รวมถึง

                (1) ผู้รับบริการซึ่งเป็นบุคคลธรรมดา

                (2) พนักงานมหาวิทยาลัย

                (3) คู่ค้าและผู้ให้บริการ

                (4) กรรมการ ผู้รับมอบอำนาจ ผู้แทน ตัวแทน ผู้ถือหุ้น ลูกจ้าง หรือบุคคลอื่นที่มีความสัมพันธ์ในรูปแบบเดียวกันของนิติบุคคลที่มีความสัมพันธ์กับมหาวิทยาลัย

                (5) ผู้ใช้งานผลิตภัณฑ์หรือบริการของมหาวิทยาลัย

                (6) ผู้เข้าชมหรือใช้งานเว็บไซต์ https://www.nmu.ac.th/ รวมทั้งระบบ แอปพลิเคชัน อุปกรณ์ หรือ ช่องทางการสื่อสารอื่นซึ่งควบคุมดูแลโดยมหาวิทยาลัย

                (7) บุคคลอื่นที่มหาวิทยาลัยเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ผู้สมัครงาน ครอบครัวของผู้ปฏิบัติงานในมหาวิทยาลัย ผู้ค้ำประกัน ผู้รับประโยชน์ในนิติกรรม เป็นต้น

                นอกจากนโยบายฉบับนี้แล้ว มหาวิทยาลัยอาจกำหนดให้มี คำประกาศเกี่ยวกับความเป็นส่วนตัว (“ประกาศ”) เพื่อชี้แจงให้เจ้าของข้อมูลส่วนบุคคลได้ทราบถึงข้อมูลส่วนบุคคลที่ถูกประมวลผล วัตถุประสงค์และเหตุผลอันชอบด้วยกฎหมายในการประมวลผล ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล รวมถึงสิทธิในข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลพึงมีในการประมวลผลข้อมูลส่วนบุคคลนั้น เป็นการเฉพาะเจาะจง

ข้อ 3 แหล่งที่มาของข้อมูลส่วนบุคคล

                มหาวิทยาลัยเก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลประเภทต่าง ๆ จากแหล่งข้อมูล ดังต่อไปนี้

                 (1) ข้อมูลส่วนบุคคลที่เก็บรวบรวมจากเจ้าของข้อมูลส่วนบุคคลโดยตรง เป็นข้อมูลที่มหาวิทยาลัยได้รับโดยตรงผ่านช่องทางการให้บริการต่าง ๆ อาทิ ในขั้นตอนการสมัคร ลงทะเบียน สมัครงาน ลงนามในสัญญาหรือเอกสาร การทำแบบสำรวจ หรือการใช้งานผลิตภัณฑ์ บริการ หรือช่องทางให้บริการอื่นที่ควบคุมดูแลโดยมหาวิทยาลัย หรือเมื่อเจ้าของข้อมูลส่วนบุคคลติดต่อสื่อสารกับมหาวิทยาลัย ณ ที่ทำการหรือผ่านช่องทางติดต่ออื่นที่ควบคุมดูแลโดยมหาวิทยาลัย เป็นต้น

                 (2) ข้อมูลที่เก็บรวบรวมจากการเข้าใช้งานเว็บไซต์หรือบริการ  เป็นข้อมูลที่มหาวิทยาลัยเก็บรวบรวมจากการที่เจ้าของข้อมูลส่วนบุคคลเข้าใช้งานเว็บไซต์ ผลิตภัณฑ์ หรือบริการอื่น ๆ ตามสัญญาหรือตามพันธกิจ อาทิ ข้อมูลจราจรคอมพิวเตอร์ ข้อมูลการติดตามพฤติกรรมการใช้งานเว็บไซต์หรือบริการของมหาวิทยาลัย ด้วยการใช้ คุกกี้ (Cookies) หรือจากซอฟต์แวร์บนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล เป็นต้น

                (3) ข้อมูลส่วนบุคคลที่เก็บรวบรวมจากแหล่งอื่นนอกเหนือจากเจ้าของข้อมูลส่วนบุคคล  เป็นข้อมูลที่มหาวิทยาลัยเก็บรวบรวมจากแหล่งอื่น โดยที่แหล่งข้อมูลดังกล่าวนั้นมีอำนาจหน้าที่ มีเหตุผลที่ชอบด้วยกฎหมาย หรือได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วในการเปิดเผยข้อมูลให้แก่มหาวิทยาลัย อาทิ การเชื่อมโยงบริการดิจิทัลของหน่วยงานของรัฐในการให้บริการเพื่อประโยชน์สาธารณะแบบเบ็ดเสร็จ การรับข้อมูลส่วนบุคคลจากหน่วยงานของรัฐแห่งอื่นในฐานะที่มหาวิทยาลัยมีหน้าที่ตามพันธกิจในการดำเนินการจัดให้มีศูนย์แลกเปลี่ยนข้อมูลกลางเพื่อสนับสนุนการดำเนินการของหน่วยงานของรัฐ รวมถึงข้อมูลจากความจำเป็นเพื่อให้บริการตามสัญญาที่อาจมีการแลกเปลี่ยนข้อมูลส่วนบุคคลกับหน่วยงานคู่สัญญา

                ในกรณีที่เจ้าของข้อมูลส่วนบุคคลเป็นผู้ให้ข้อมูลส่วนบุคคลของ บุคคลภายนอก แก่มหาวิทยาลัย เจ้าของข้อมูลส่วนบุคคลมีหน้าที่รับผิดชอบในการแจ้งรายละเอียดตามนโยบายนี้หรือประกาศของผลิตภัณฑ์หรือบริการ ตามแต่กรณี ให้บุคคลดังกล่าวทราบ ตลอดจน ขอความยินยอมจากบุคคลนั้น หากเป็นกรณีที่ต้องได้รับความยินยอมในการเปิดเผยข้อมูลแก่มหาวิทยาลัย

                ทั้งนี้ ในกรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลที่มีความจำเป็นในการให้บริการของมหาวิทยาลัย อาจเป็นผลให้มหาวิทยาลัย ไม่สามารถให้บริการนั้นแก่เจ้าของข้อมูลส่วนบุคคลดังกล่าวได้ทั้งหมดหรือบางส่วน

ข้อ 4 หลักการในการเก็บรวบรวมข้อมูลส่วนบุคคล

              มหาวิทยาลัยจะเก็บรวบรวมข้อมูลส่วนบุคคล เท่าที่จำเป็น เพื่อการดำเนินงานตาม วัตถุประสงค์อันชอบด้วยกฎหมาย ที่ได้แจ้งต่อเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคลเท่านั้น และมหาวิทยาลัยจะขอ ความยินยอมโดยชัดแจ้ง จากเจ้าของข้อมูลส่วนบุคคลก่อนหรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่เป็นกรณีที่สามารถดำเนินการได้โดยไม่ต้องขอความยินยอม ตามข้อยกเว้นดังต่อไปนี้

                 (1) การจัดทำเอกสารประวัติศาสตร์ วิจัย หรือสถิติที่สำคัญ การดำเนินการจัดทำหรือสนับสนุนการจัดทำเอกสารประวัติศาสตร์ งานวิจัย หรือสถิติที่สำคัญ ตามที่มหาวิทยาลัยอาจได้รับมอบหมายหรือตามพันธกิจ อาทิ การจัดทำทำเนียบผู้ดำรงตำแหน่ง ผู้บริหาร ผู้ทรงคุณวุฒิ คณะกรรมการ นักศึกษา หรือสถิติการใช้บริการ เป็นต้น

                (2) ป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ การใช้ข้อมูลส่วนบุคคลเพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล อาทิ การให้บริการแอปพลิเคชันเพื่อเฝ้าระวังโรคระบาด เป็นต้น

                (3) การปฏิบัติตามสัญญา การดำเนินการตามหน้าที่ตามสัญญา หรือการดำเนินการอันเป็นความจำเป็นต่อการเข้าทำสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญากับมหาวิทยาลัย อาทิ การจ้างงาน การจ้างทำของ หรือการทำบันทึกข้อตกลงความร่วมมือ เป็นต้น

                อนึ่ง กรณีที่เจ้าของข้อมูลส่วนบุคคลปฏิเสธไม่ให้ข้อมูลส่วนบุคคล หรือคัดค้านการดำเนินการประมวลผลตามวัตถุประสงค์ของการปฏิบัติตามสัญญา อาจมีผลทำให้มหาวิทยาลัยไม่สามารถดำเนินการหรือให้บริการตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอได้ทั้งหมดหรือบางส่วน

                (4) การดำเนินภารกิจเพื่อประโยชน์สาธารณะหรือการใช้อำนาจรัฐ การใช้อำนาจรัฐและดำเนินภารกิจเพื่อประโยชน์สาธารณะตามพันธกิจซึ่งกำหนดไว้ตามกฎหมาย กฎ ข้อบังคับ ระเบียบ คำสั่งของมหาวิทยาลัย และ/หรือมติคณะรัฐมนตรีที่เกี่ยวข้อง เป็นต้น

                 (5) ประโยชน์โดยชอบด้วยกฎหมาย การใช้ข้อมูลส่วนบุคคลเพื่อประโยชน์โดยชอบด้วยกฎหมายของมหาวิทยาลัยและของบุคคลอื่น ซึ่งประโยชน์ดังกล่าวนั้นมีความสำคัญไม่น้อยไปกว่าสิทธิขั้นพื้นฐานในข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล อาทิ เพื่อการรักษาทรัพย์สินของมหาวิทยาลัย เพื่อการรักษาความปลอดภัยภายในอาคารสถานที่ หรือการประมวลผลข้อมูลส่วนบุคคลเพื่อกิจการภายในของมหาวิทยาลัยหรือตามกฎหมาย เป็นต้น

                (6) การปฏิบัติหน้าที่ตามกฎหมาย การปฏิบัติตามที่กฎหมายกำหนดหรือควบคุม อาทิ
การเก็บรวบรวมข้อมูลจราจรทางคอมพิวเตอร์ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 กฎหมายว่าด้วยข้อมูลข่าวสารของราชการ กฎหมายว่าด้วยภาษีอากร รวมถึง การดำเนินการตามคำสั่งของผู้บังคับใช้กฎหมาย เจ้าพนักงาน หรือศาล เป็นต้น

ข้อ 5 ประเภทของข้อมูลส่วนบุคคลที่มหาวิทยาลัยเก็บรวบรวม

                มหาวิทยาลัยอาจเก็บรวบรวมหรือได้มาซึ่งข้อมูลส่วนบุคคลดังต่อไปนี้ ทั้งนี้ ให้ขึ้นอยู่กับประเภทของบริการที่เจ้าของข้อมูลส่วนบุคคลใช้ หรือบริบทความสัมพันธ์ที่เจ้าของข้อมูลส่วนบุคคลมีต่อมหาวิทยาลัย รวมถึงข้อพิจารณาอื่นที่มีผลกับการเก็บรวบรวมข้อมูลส่วนบุคคล โดยประเภทของข้อมูลที่ระบุนี้เป็นเพียงกรอบการเก็บรวบรวมข้อมูลส่วนบุคคลของมหาวิทยาลัยเป็นการทั่วไป และจะมีผลบังคับใช้เฉพาะข้อมูลที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการที่เจ้าของข้อมูลส่วนบุคคลใช้งานหรือมีความสัมพันธ์ด้วยเท่านั้น

                (1) ข้อมูลเฉพาะตัวบุคคล (Personal Identifiers) ข้อมูลที่สามารถระบุชื่อเรียกของเจ้าของข้อมูลส่วนบุคคล หรือข้อมูลจากเอกสารราชการที่ระบุข้อมูลเฉพาะตัว อาทิ คำนำหน้าชื่อ ชื่อ นามสกุล ชื่อกลาง ชื่อเล่น ลายมือชื่อ เลขที่บัตรประจำตัวประชาชน สัญชาติ เลขที่ใบขับขี่ เลขที่หนังสือเดินทาง ข้อมูลทะเบียนบ้าน หมายเลขใบประกอบการ หมายเลขประจำตัวผู้ประกันตน และหมายเลขประกันสังคม เป็นต้น

                (2) ข้อมูลเกี่ยวกับคุณลักษณะของบุคคล (Personal Attributes) ข้อมูลรายละเอียดเกี่ยวกับตัวเจ้าของข้อมูลส่วนบุคคล อาทิ วันเดือนปีเกิด เพศ ส่วนสูง น้ำหนัก อายุ สถานภาพการสมรส สถานภาพการเกณฑ์ทหาร รูปถ่าย ภาษาพูด ข้อมูลพฤติกรรม ความชื่นชอบ ข้อมูลการเป็นบุคคลล้มละลาย ข้อมูลการเป็นคนไร้ความสามารถ หรือคนเสมือนไร้ความสามารถ คนเสมือนไร้ความสามารถ เป็นต้น

                (3) ข้อมูลสำหรับการติดต่อ (Contact Information) ข้อมูลเพื่อใช้ในการติดต่อเจ้าของข้อมูลส่วนบุคคล อาทิ เบอร์โทรศัพท์บ้าน เบอร์โทรศัพท์เคลื่อนที่ อีเมล ที่อยู่ทางไปรษณีย์บ้าน ชื่อผู้ใช้งานในสังคมออนไลน์ (เช่น Line ID, MS Teams) และแผนที่ตั้งของที่พัก เป็นต้น

                (4) ข้อมูลเกี่ยวกับการทำงานและการศึกษา (Employment and Educational Data) รายละเอียดการจ้างงาน ประวัติการทำงาน และประวัติการศึกษา อาทิ ประเภทการจ้างงาน อาชีพ ยศ ตำแหน่ง หน้าที่ ความเชี่ยวชาญ สถานภาพใบอนุญาตทำงาน ข้อมูลบุคคลอ้างอิง หมายเลขประจำตัวผู้เสียภาษี ข้อมูลเงินเดือน วันเริ่มงาน วันออกจากงาน ผลการประเมิน สวัสดิการและสิทธิประโยชน์ หมายเลขบัญชีธนาคาร สถาบันการศึกษา วุฒิการศึกษา ผลการศึกษา และวันที่สำเร็จการศึกษา เป็นต้น

                (5) ข้อมูลเกี่ยวกับกรมธรรม์ประกันภัย (Insurance Data) รายละเอียดเกี่ยวกับกรมธรรม์ประกันภัยของผู้ปฏิบัติงาน อาทิ ผู้รับประกันภัย ผู้เอาประกันภัย ผู้รับประโยชน์ หมายเลขกรมธรรม์ ประเภทกรมธรรม์ วงเงินคุ้มครอง และข้อมูลเกี่ยวกับการขอรับค่าชดเชย เป็นต้น

                (6) ข้อมูลเกี่ยวกับความสัมพันธ์ทางสังคม (Social Relationship Data) ข้อมูลความสัมพันธ์ทางสังคมของเจ้าของข้อมูลส่วนบุคคล อาทิ สถานภาพทางการเมือง การดำรงตำแหน่งกรรมการ ความสัมพันธ์กับผู้ปฏิบัติงานของมหาวิทยาลัย ข้อมูลการเป็นผู้มีสัญญาจ้างกับมหาวิทยาลัย หรือข้อมูลการเป็นผู้มีส่วนได้เสียในกิจการที่ทำกับมหาวิทยาลัย เป็นต้น

                (7) ข้อมูลเกี่ยวกับการใช้บริการของมหาวิทยาลัย (Service Usage Data) ข้อมูลที่เกิดจากการใช้บริการของมหาวิทยาลัย อาทิ ชื่อบัญชีผู้ใช้งาน รหัสผ่าน รหัส OTP ข้อมูลการจราจรทางคอมพิวเตอร์ ข้อมูลระบุพิกัด ภาพถ่าย วิดีโอ บันทึกเสียง ข้อมูลพฤติกรรมการใช้งาน (เว็บไซต์และแอปพลิเคชัน) ประวัติการสืบค้น คุกกี้ หมายเลขอุปกรณ์ (Device ID) ประเภทอุปกรณ์ รายละเอียดการเชื่อมต่อ ข้อมูล Browser ภาษาที่ใช้งาน และระบบปฏิบัติการที่ใช้งาน เป็นต้น   

                (8) ข้อมูลเกี่ยวกับการรักษาความปลอดภัยและการดูแลทรัพย์สิน (Security Data) ข้อมูลเกี่ยวกับการรักษาความปลอดภัย การดูแลชีวิต สุขภาพ และทรัพย์สินของผู้ที่อยู่ในพื้นที่มหาวิทยาลัย อาทิ ข้อมูลกล้องวงจรปิด (CCTV) การประมวลผลภาพและเสียง และการจัดเก็บในรูปแบบข้อมูลอิเล็กทรอนิกส์ โดยข้อมูลดังกล่าวอาจเชื่อมโยงไประบุตัวบุคคลได้

                (9) ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน (Sensitive Personal Data) ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนของเจ้าของข้อมูลส่วนบุคคล อาทิ เชื้อชาติ ข้อมูลศาสนา ความเชื่อในลัทธิ พฤติกรรมทางเพศ ข้อมูลความพิการ ข้อมูลความเห็นทางการเมือง ประวัติอาชญากรรม ข้อมูลชีวภาพ (ข้อมูลภาพจำลองใบหน้า) ข้อมูลพันธุกรรม ข้อมูลเกี่ยวกับสุขภาพ ข้อมูลการรักษาพยาบาล หรือข้อมูลอื่นอันเป็นผลร้ายหรือก่อให้เกิดการเลือกปฏิบัติโดยไม่เป็นธรรม เป็นต้น

ข้อ 6 คุกกี้

               มหาวิทยาลัยดำเนินการเก็บรวบรวมและใช้ คุกกี้ (Cookies) รวมถึงเทคโนโลยีอื่นในลักษณะเดียวกัน ผ่านเว็บไซต์ที่อยู่ภายใต้ความดูแลของมหาวิทยาลัย อาทิ https://www.nmu.ac.th/ หรือบนอุปกรณ์ของเจ้าของข้อมูลส่วนบุคคล ตามประเภทของบริการที่เจ้าของข้อมูลส่วนบุคคลใช้งาน ทั้งนี้ เพื่อวัตถุประสงค์ดังต่อไปนี้

              (1) เพื่อการดำเนินการด้าน ความมั่นคงปลอดภัย ในการให้บริการของมหาวิทยาลัย

                (2) เพื่อให้เจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้ใช้งานได้รับความสะดวกและประสบการณ์ที่ดี ในการใช้งานบริการของมหาวิทยาลัย

                (3) เพื่อนำข้อมูลที่ได้ไปวิเคราะห์และปรับปรุง เว็บไซต์ของมหาวิทยาลัยให้ตรงกับความต้องการของเจ้าของข้อมูลส่วนบุคคลมากยิ่งขึ้น

                เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการ ตั้งค่าหรือลบการใช้งานคุกกี้ได้ด้วยตนเอง ผ่าน การตั้งค่าในโปรแกรมเว็บเบราว์เซอร์ (Web Browser) ที่เจ้าของข้อมูลส่วนบุคคลใช้งาน

ข้อ 7 ข้อมูลส่วนบุคคลของผู้เยาว์ และคนไร้ความสามารถ

                กรณีที่มหาวิทยาลัยทราบว่าข้อมูลส่วนบุคคลที่จำเป็นต้องได้รับความยินยอมในการเก็บรวบรวม เป็นของเจ้าของข้อมูลส่วนบุคคลซึ่งเป็น ผู้เยาว์ หรือ คนไร้ความสามารถ มหาวิทยาลัยจะไม่ดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น จนกว่าจะได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาล แล้วแต่กรณี ทั้งนี้ ให้เป็นไปตามเงื่อนไขที่กฎหมายกำหนด

                ในกรณีที่มหาวิทยาลัยไม่ทราบมาก่อนว่าเจ้าของข้อมูลส่วนบุคคลเป็นผู้เยาว์ หรือคนไร้ความสามารถ และได้ตรวจพบในภายหลังว่ามหาวิทยาลัยได้เก็บรวบรวมข้อมูลส่วนบุคคลดังกล่าวโดยยังมิได้รับความยินยอมจากผู้ใช้อำนาจปกครองที่มีอำนาจกระทำการแทนผู้เยาว์ หรือผู้อนุบาลแล้วแต่กรณี มหาวิทยาลัยจะดำเนินการ ลบ ทำลายข้อมูลส่วนบุคคลนั้นโดยเร็ว เว้นแต่ มีเหตุอันชอบด้วยกฎหมายประการอื่นนอกเหนือจากความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลดังกล่าว

ข้อ 8 วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล

                มหาวิทยาลัยดำเนินการเก็บรวบรวมข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์หลายประการ โดยจะพิจารณาจากประเภทของบริการหรือกิจกรรมที่ข้อมูลถูกประมวลผล ตลอดจนลักษณะความสัมพันธ์ของเจ้าของข้อมูลส่วนบุคคลกับมหาวิทยาลัย หรือข้อพิจารณาในแต่ละบริบทเป็นสำคัญ ทั้งนี้ มหาวิทยาลัยจะประมวลผลข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์อันชอบด้วยกฎหมายที่ได้แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือขณะเก็บรวบรวมข้อมูลเท่านั้น

                วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลของมหาวิทยาลัย รวมถึงแต่ไม่จำกัดเพียงวัตถุประสงค์ดังต่อไปนี้

                (1) การดำเนินการตามพันธกิจตามกฎหมายและอำนาจรัฐ เพื่อดำเนินการตามที่จำเป็นในการดำเนินงานตามที่มหาวิทยาลัยได้รับมอบหมายให้สำเร็จลุล่วง หรือเป็นการจำเป็นเพื่อใช้อำนาจทางกฎหมายที่มหาวิทยาลัยมีอำนาจหน้าที่ในการดำเนินการตามพันธกิจดังปรากฏใน พระราชบัญญัติมหาวิทยาลัยนวมินทราธิราช พ.ศ. 2553 และกฎหมาย กฎ ข้อบังคับ ประกาศ หรือคำสั่งที่เกี่ยวข้อง อาทิ เพื่อการจัดการศึกษา การส่งเสริมวิชาการและวิชาชีพชั้นสูง การวิจัยเพื่อความเป็นเลิศทางวิชาการและประโยชน์แก่สังคม การบริการทางวิชาการแก่สังคม การทะนุบำรุงและส่งเสริมศิลปวัฒนธรรม การอนุรักษ์สิ่งแวดล้อม และการรักษาพยาบาลประชาชน เป็นต้น

                (2) การยืนยันและพิสูจน์ตัวตน เพื่อใช้ยืนยันตัวตน หรือพิสูจน์ตัวตนของเจ้าของข้อมูล
ส่วนบุคคลในการให้บริการของมหาวิทยาลัย

                (3) การวิเคราะห์และพัฒนาระบบ เพื่อใช้วิเคราะห์ ปรับปรุง พัฒนาคุณภาพการให้บริการของมหาวิทยาลัย หรือเพื่อทำการวิจัยหรือบริการทางวิชาการ

                 (4) การบริหารจัดการองค์กรและทรัพยากรบุคคล เพื่อดำเนินการตามที่จำเป็นในการบริหารจัดการภายในองค์กรของมหาวิทยาลัย รวมถึงการรับสมัครพนักงานมหาวิทยาลัย การสรรหาผู้ดำรงตำแหน่งต่าง ๆ ตามที่กำหนดในพระราชบัญญัติมหาวิทยาลัยนวมินทราธิราช พ.ศ. ๒๕๕๓ และกฎหมายที่เกี่ยวข้อง ตลอดจนการจัดการเกี่ยวกับสิทธิและสวัสดิการของบุคลากร

                (5) การประชาสัมพันธ์และการสื่อสาร เพื่อการประชาสัมพันธ์กิจกรรม โครงการของมหาวิทยาลัย หรือโครงการที่มหาวิทยาลัยร่วมมือกับหน่วยงานแห่งอื่น หรือเพื่อการสื่อสารข้อมูลของมหาวิทยาลัย

                (6) การปฏิบัติตามกฎหมายและข้อบังคับ เพื่อควบคุมการดำเนินงานภายในมหาวิทยาลัยให้เป็นไปตามกฎหมาย กฎ ข้อบังคับ ประกาศ หรือคำสั่งที่เกี่ยวข้อง หรือเพื่อการปฏิบัติตามกฎหมายที่มีผลบังคับใช้ หรือการดำเนินการเกี่ยวกับคดีความ ตลอดจนเป็นการปฏิบัติตามหน้าที่ที่มหาวิทยาลัยมีต่อหน่วยงานของรัฐที่มีอำนาจตามกฎหมาย

ข้อ 9 ประเภทบุคคลที่มหาวิทยาลัย เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล

                ภายใต้วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่ได้ระบุไว้ในนโยบายฉบับนี้ มหาวิทยาลัยอาจดำเนินการเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลให้แก่บุคคล ดังต่อไปนี้

                (1) หน่วยงานของรัฐหรือผู้มีอำนาจตามกฎหมาย เพื่อวัตถุประสงค์ในการดำเนินการตามกฎหมาย วัตถุประสงค์สำคัญอื่น การดำเนินการเพื่อประโยชน์สาธารณะ ป้องกันหรือป้องปัดภยันตราย  การปฏิบัติตามอำนาจหน้าที่ของหน่วยงานผู้บังคับใช้กฎหมาย หรือหน่วยงานที่มีอำนาจควบคุมกำกับดูแล ซึ่งรวมถึงแต่ไม่จำกัดเพียง คณะรัฐมนตรี รัฐมนตรีผู้รักษาการ กรมการปกครอง กรมสรรพากร สำนักงานตำรวจ ศาล สำนักงานอัยการ กรมควบคุมโรค กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม สำนักงานปลัดสำนักนายกรัฐมนตรี กรมการกงสุล กรุงเทพมหานคร กองทุนเงินให้กู้ยืมเพื่อการศึกษา เป็นต้น

                (2) คณะกรรมการที่เกี่ยวข้องกับการดำเนินการตามกฎหมายของมหาวิทยาลัย การเปิดเผยข้อมูลแก่บุคคลผู้ดำรงตำแหน่งกรรมการในคณะต่าง ๆ เช่น สภามหาวิทยาลัย สภาวิชาการ สภาคณาจารย์และพนักงาน คณะกรรมการบริหารมหาวิทยาลัย คณะกรรมการบริหารงานบุคคล คณะกรรมการอุทธรณ์และร้องทุกข์ คณะกรรมการสืบสวน/สอบสวน และคณะกรรมการสรรหา เป็นต้น

                (3) คู่สัญญาเกี่ยวกับสวัสดิการ สิทธิประโยชน์ของผู้ปฏิบัติงาน การเปิดเผยข้อมูลแก่บุคคลภายนอกที่มหาวิทยาลัยได้จัดซื้อจัดจ้างให้ดำเนินการเกี่ยวกับสวัสดิการหรือสิทธิประโยชน์ เช่น บริษัทประกันภัย โรงพยาบาล บริษัทผู้จัดทำ Payroll ธนาคาร ผู้ให้บริการโทรศัพท์ และกองทุนสำรองเลี้ยงชีพ
เป็นต้น

                (4) พันธมิตรทางธุรกิจ การเปิดเผยข้อมูลแก่บุคคลที่ร่วมงานกับมหาวิทยาลัยเพื่อประโยชน์ในการให้บริการแก่เจ้าของข้อมูลส่วนบุคคล เช่น หน่วยงานผู้ให้บริการที่เจ้าของข้อมูลส่วนบุคคลติดต่อผ่านบริการของมหาวิทยาลัย ผู้ให้บริการด้านการตลาด สื่อโฆษณา สถาบันการเงิน ผู้ให้บริการแพลตฟอร์ม
และผู้ให้บริการโทรคมนาคม เป็นต้น

                (5) ผู้ให้บริการที่สนับสนุนการดำเนินการของมหาวิทยาลัย มหาวิทยาลัยอาจมอบหมายให้บุคคลอื่นเป็นผู้ให้บริการแทนหรือสนับสนุนการดำเนินการ เช่น ผู้ให้บริการด้านการจัดเก็บข้อมูล (อาทิ คลาวด์ โกดังเอกสาร) ผู้พัฒนาระบบ ซอฟต์แวร์ แอปพลิเคชัน เว็บไซต์ ผู้ให้บริการจัดส่งเอกสาร ผู้ให้บริการด้าน การชำระเงิน ผู้ให้บริการอินเทอร์เน็ต โทรศัพท์ ผู้ให้บริการด้าน Digital ID ผู้ให้บริการสื่อสังคมออนไลน์ ผู้ให้บริการด้านการบริหารความเสี่ยง ที่ปรึกษาภายนอก และผู้ให้บริการขนส่ง เป็นต้น

                (6) ผู้รับข้อมูลประเภทอื่น การเปิดเผยข้อมูลแก่บุคคลผู้รับข้อมูลประเภทอื่น เช่น ผู้ติดต่อมหาวิทยาลัย สมาชิกในครอบครัว มูลนิธิที่ไม่แสวงหากำไร วัด โรงพยาบาล สถานศึกษา หรือหน่วยงานอื่น ๆ เพื่อดำเนินการเกี่ยวกับบริการ การฝึกอบรม การรับรางวัล การร่วมทำบุญ หรือการบริจาคของมหาวิทยาลัย เป็นต้น

                (7) การเปิดเผยข้อมูลต่อสาธารณะ มหาวิทยาลัยอาจเปิดเผยข้อมูลของเจ้าของข้อมูล ส่วนบุคคลต่อสาธารณะในกรณีที่เป็นการจำเป็นตามกฎหมายกำหนด เช่น การดำเนินการที่ต้องประกาศลงในราชกิจจานุเบกษา หรือตามมติคณะรัฐมนตรี เป็นต้น

                ประเภทของบุคคลผู้รับข้อมูลที่ระบุไว้ข้างต้นเป็นเพียงกรอบการเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัยเป็นการทั่วไป โดยจะมีการบังคับใช้เฉพาะบุคคลผู้รับข้อมูลที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการที่เจ้าของข้อมูลส่วนบุคคลใช้งานหรือมีความสัมพันธ์ด้วยเท่านั้น

ข้อ 10 การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

                ในบางกรณี มหาวิทยาลัยอาจมีความจำเป็นต้องดำเนินการส่งหรือโอนข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไปยังประเทศปลายทาง เพื่อให้สามารถบรรลุวัตถุประสงค์ในการให้บริการแก่เจ้าของข้อมูลส่วนบุคคลได้ เช่น การส่งข้อมูลไปยังระบบคลาวด์ (Cloud) ซึ่งมีแพลตฟอร์มหรือเครื่องแม่ข่าย (Server) ตั้งอยู่ในต่างประเทศ เพื่อสนับสนุนระบบเทคโนโลยีสารสนเทศนอกราชอาณาจักร ทั้งนี้ ให้ขึ้นอยู่กับบริการหรือกิจกรรมที่เกี่ยวข้องเป็นรายกรณี

                กรณีที่มหาวิทยาลัยมีความจำเป็นต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังประเทศปลายทาง มหาวิทยาลัยจะดำเนินการเพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลที่ถูกส่งหรือโอนไปนั้น มีมาตรการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอ ตามมาตรฐานสากล หรือดำเนินการตามเงื่อนไขที่กฎหมายกำหนด ณ ขณะที่มีการส่งข้อมูลส่วนบุคคล ดังต่อไปนี้

                (1) เป็นการปฏิบัติตามกฎหมาย ที่กำหนดให้มหาวิทยาลัยต้องส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

                (2) ได้แจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบและได้รับความยินยอม จากเจ้าของข้อมูล
ส่วนบุคคล ในกรณีที่ประเทศปลายทางมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่ไม่เพียงพอ ตามประกาศรายชื่อประเทศที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

                (3) เป็นการจำเป็นเพื่อปฏิบัติตามสัญญา ที่เจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญากับมหาวิทยาลัย หรือเป็นการดำเนินการตามคำขอของเจ้าของข้อมูลส่วนบุคคลก่อนการเข้าทำสัญญานั้น

                (4) เป็นการกระทำตามสัญญาของมหาวิทยาลัยกับบุคคลหรือนิติบุคคลอื่น เพื่อประโยชน์ของเจ้าของข้อมูลส่วนบุคคล

                (5) เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพ ของเจ้าของข้อมูลส่วนบุคคลหรือของบุคคลอื่น ในกรณีที่เจ้าของข้อมูลส่วนบุคคลไม่สามารถให้ความยินยอมได้ในขณะนั้น

                (6) เป็นการจำเป็นเพื่อดำเนินภารกิจเพื่อประโยชน์สาธารณะที่สำคัญ

                มหาวิทยาลัยจะดำเนินการเพื่อให้มั่นใจว่าประเทศปลายทางดังกล่าวมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ อย่างไรก็ดี หากประเทศปลายทางไม่มีมาตรฐานการคุ้มครองที่เพียงพอ การส่งหรือโอนข้อมูลส่วนบุคคลดังกล่าวย่อมเป็นไปตามข้อยกเว้นตามหลักเกณฑ์ที่มหาวิทยาลัยกำหนดโดยไม่ขัดต่อกฎหมาย

ข้อ 11 ระยะเวลาในการเก็บรวบรวมข้อมูลส่วนบุคคล

                มหาวิทยาลัยจะเก็บรักษาข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไว้ในระยะเวลาเท่าที่ข้อมูลนั้นยังคงมีความจำเป็น เพื่อให้เป็นไปตามกฎหมาย กฎ ข้อบังคับ ระเบียบ ประกาศ หรือคำสั่งที่มหาวิทยาลัยต้องปฏิบัติ หรือเพื่อบรรลุวัตถุประสงค์ในการเก็บรวบรวมข้อมูลเท่านั้น ทั้งนี้ รายละเอียดระยะเวลาที่แน่นอนจะขึ้นอยู่กับประเภทของบริการ กิจกรรมที่ข้อมูลถูกประมวลผล ลักษณะความสัมพันธ์ของเจ้าของข้อมูลส่วนบุคคลกับมหาวิทยาลัย หรือข้อพิจารณาในแต่ละบริบทเป็นสำคัญ

                เมื่อพ้นระยะเวลาที่กำหนดและข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล สิ้นความจำเป็นตามกฎหมาย กฎ ข้อบังคับ ระเบียบ ประกาศ คำสั่ง หรือวัตถุประสงค์ดังกล่าวแล้ว มหาวิทยาลัยจะดำเนินการ ลบ ทำลายข้อมูลส่วนบุคคล ของเจ้าของข้อมูลส่วนบุคคล หรือดำเนินการให้ข้อมูลส่วนบุคคลนั้น ไม่สามารถระบุตัวตนที่เป็นเจ้าของข้อมูลได้ต่อไป โดยจะดำเนินการตามรูปแบบและมาตรฐานการลบทำลายข้อมูลส่วนบุคคลที่คณะกรรมการหรือกฎหมายที่เกี่ยวข้องจะได้ประกาศกำหนด หรือตามมาตรฐานสากล

                ในกรณีที่เกิดข้อโต้แย้งเกี่ยวกับสิทธิหรือหน้าที่ของบุคคลใดตามกฎหมาย ซึ่งจำเป็นต้องมีการใช้สิทธิทางศาล มหาวิทยาลัยถือว่ามีความจำเป็นต้องเก็บรักษาข้อมูลส่วนบุคคลนั้นต่อไป และขอสงวนสิทธิในการเก็บรักษาข้อมูลดังกล่าวจนกว่าข้อโต้แย้งนั้นจะได้มีคำสั่งหรือคำพิพากษาถึงที่สุด และรวมถึงระยะเวลาเท่าที่จำเป็นเพื่อปฏิบัติตามคำพิพากษาหรือคำสั่งที่เกี่ยวข้อง

ข้อ 12 การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง

                มหาวิทยาลัยอาจดำเนินการมอบหมายหรือจัดซื้อจัดจ้างให้ บุคคลที่สาม ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของมหาวิทยาลัย ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล โดยบริการดังกล่าวอาจมีลักษณะการเป็นผู้ดูแลระบบ (Hosting) การรับงานบริการช่วง (Outsourcing) การเป็นผู้ให้บริการคลาวด์ (Cloud computing service/provider) หรือลักษณะอื่นใดในรูปแบบการจ้างทำของ

                ในการมอบหมายให้ผู้ประมวลผลข้อมูลส่วนบุคคลทำการประมวลผลข้อมูลส่วนบุคคลไม่ว่าจะในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลหรือในฐานะอื่น (เช่น ผู้ควบคุมข้อมูลส่วนบุคคลร่วม) มหาวิทยาลัยจะจัดให้มี ข้อตกลง เพื่อระบุสิทธิและหน้าที่ของมหาวิทยาลัยในฐานะผู้ควบคุมข้อมูลส่วนบุคคล และของบุคคลที่มหาวิทยาลัยมอบหมายในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลหรือในฐานะอื่น ซึ่งข้อตกลงดังกล่าว จะกำหนดรายละเอียดเกี่ยวกับประเภทข้อมูลส่วนบุคคลที่มอบหมายให้ประมวลผล วัตถุประสงค์ และขอบเขตในการประมวลผลข้อมูลส่วนบุคคล ซึ่งผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ ต้องประมวลผลข้อมูลส่วนบุคคลตามขอบเขตที่ระบุในข้อตกลงและตามคำสั่งของมหาวิทยาลัยเท่านั้น และไม่สามารถประมวลผลเพื่อวัตถุประสงค์อื่นได้

                ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีความจำเป็นต้องมอบหมายให้ ผู้ให้บริการช่วง (ผู้ประมวลผลช่วง) ทำการประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของผู้ประมวลผลข้อมูลส่วนบุคคล มหาวิทยาลัยได้กำหนดให้เป็น หน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล ที่ต้องดำเนินการดังต่อไปนี้

                (1) จัดให้มีเอกสารข้อตกลงระหว่างผู้ประมวลผลข้อมูลส่วนบุคคลกับผู้ให้บริการช่วง เพื่อกำหนดสิทธิ หน้าที่ ความรับผิด และรายละเอียดในการประมวลผลข้อมูลส่วนบุคคล ในรูปแบบและมาตรฐานที่ไม่ต่ำกว่าข้อตกลงระหว่างมหาวิทยาลัยกับผู้ประมวลผลข้อมูลส่วนบุคคล

                (2) แจ้งการดำเนินการมอบหมายผู้ให้บริการช่วงดังกล่าวให้มหาวิทยาลัยทราบ เพื่อให้ การปกป้องคุ้มครองข้อมูลส่วนบุคคลมีประสิทธิภาพและเป็นไปตามหลักการที่กำหนดในนโยบายนี้

ข้อ 13 การรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล

                มหาวิทยาลัยได้จัดให้มีและธำรงไว้ซึ่ง มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ทั้งในเชิงองค์กรและเชิงเทคนิค ตามมาตรฐานสากลและตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนด โดยมาตรการดังกล่าวรวมถึงแต่ไม่จำกัดเพียงการจำกัดสิทธิการเข้าถึงข้อมูลส่วนบุคคล ให้สามารถเข้าถึงได้เฉพาะเจ้าหน้าที่ หรือบุคคลที่มีอำนาจหน้าที่ หรือผู้ที่ได้รับมอบหมายซึ่งมีความจำเป็นต้องใช้ข้อมูลตามวัตถุประสงค์ที่ได้แจ้งแก่เจ้าของข้อมูลส่วนบุคคลไว้แล้วเท่านั้น ซึ่งบุคคลที่ได้รับสิทธิให้เข้าถึงข้อมูลส่วนบุคคลดังกล่าว มีหน้าที่ต้องยึดมั่นและปฏิบัติตามมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของมหาวิทยาลัยอย่างเคร่งครัด และมีหน้าที่ รักษาความลับของข้อมูลส่วนบุคคล ที่ตนได้รับทราบจากการปฏิบัติการตามอำนาจหน้าที่

               ในกรณีที่มหาวิทยาลัยมีการส่ง โอน หรือเปิดเผยข้อมูลส่วนบุคคลแก่บุคคลที่สาม ไม่ว่าเพื่อการให้บริการตามพันธกิจ ตามสัญญา หรือข้อตกลงในรูปแบบอื่นใด มหาวิทยาลัยจะ กำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและการรักษาความลับที่เหมาะสม และเป็นไปตามที่กฎหมายกำหนด เพื่อให้มั่นใจได้ว่าข้อมูลส่วนบุคคลที่มหาวิทยาลัยเก็บรวบรวมจะมีความมั่นคงปลอดภัยอยู่เสมอ

ข้อ 14 การเชื่อมต่อเว็บไซต์หรือบริการภายนอก

                บริการของมหาวิทยาลัยอาจมีการเชื่อมต่อหรือมีส่วนประกอบที่นำไปสู่ เว็บไซต์หรือบริการของบุคคลที่สาม ซึ่งเว็บไซต์หรือบริการดังกล่าวอาจมีการประกาศนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่มีสาระสำคัญแตกต่างจากนโยบายนี้ มหาวิทยาลัยจึงขอแนะนำให้เจ้าของข้อมูลส่วนบุคคลพึงศึกษาและทำความเข้าใจในนโยบายการคุ้มครองข้อมูลส่วนบุคคลของเว็บไซต์หรือบริการนั้น ๆ เพื่อทราบรายละเอียดก่อนการเข้าใช้งานหรือการดำเนินการใด ๆ

                ทั้งนี้ มหาวิทยาลัย มิได้มีความเกี่ยวข้องและไม่มีอำนาจควบคุม มาตรการคุ้มครองข้อมูล ส่วนบุคคลของเว็บไซต์หรือบริการของบุคคลที่สามดังกล่าว มหาวิทยาลัยจึง ไม่สามารถรับผิดชอบ ต่อเนื้อหา นโยบาย ความเสียหาย หรือการกระทำละเมิดใด ๆ ที่เกิดขึ้นอันเนื่องมาจากการใช้งานเว็บไซต์หรือบริการของบุคคลที่สามนั้น

ข้อ 15 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล

                มหาวิทยาลัย ได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเพื่อทำหน้าที่ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ข้อ 16 สิทธิของเจ้าของข้อมูลส่วนบุคคล

                เจ้าของข้อมูลส่วนบุคคลย่อมมีสิทธิตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ซึ่งมีผลใช้บังคับแล้ว ดังต่อไปนี้

                (1) สิทธิในการขอเข้าถึงข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตน รวมถึงมีสิทธิขอให้เปิดเผยที่มาของข้อมูลส่วนบุคคลที่มหาวิทยาลัยเก็บรวบรวมไว้โดยปราศจากความยินยอมของตน เว้นแต่ กรณีที่มหาวิทยาลัยมีสิทธิปฏิเสธคำขอด้วยเหตุตามกฎหมาย คำสั่งศาล หรือกรณีที่การใช้สิทธินั้นอาจก่อให้เกิดความเสียหายต่อสิทธิและเสรีภาพของบุคคลอื่น

                (2) สิทธิในการขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์ และเป็นปัจจุบัน เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้มหาวิทยาลัยดำเนินการแก้ไขข้อมูลส่วนบุคคลให้มีความถูกต้อง สมบูรณ์ และเป็นปัจจุบัน เพื่อมิให้เกิดความเข้าใจผิด

               (3) สิทธิในการลบหรือทำลายข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้มหาวิทยาลัยดำเนินการลบ ทำลายข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล หรือทำให้ข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลได้ต่อไป

                (4) สิทธิในการขอให้ระงับการใช้ข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอให้มหาวิทยาลัยระงับการใช้ข้อมูลส่วนบุคคลได้ในกรณี ดังต่อไปนี้

                          (4.1) อยู่ระหว่างการตรวจสอบคำร้องขอแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง สมบูรณ์ และเป็นปัจจุบัน

                          (4.2) ข้อมูลส่วนบุคคลถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยมิชอบด้วยกฎหมาย

                          (4.3) ข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาตามวัตถุประสงค์
แต่เจ้าของข้อมูลส่วนบุคคลประสงค์ให้เก็บรักษาข้อมูลนั้นต่อไปเพื่อประกอบการใช้สิทธิตามกฎหมาย

                          (4.4) อยู่ระหว่างการพิสูจน์ถึงเหตุอันชอบด้วยกฎหมายในการเก็บรวบรวม หรือ
การตรวจสอบความจำเป็นในการประมวลผลข้อมูลส่วนบุคคลเพื่อประโยชน์อันชอบด้วยกฎหมายของมหาวิทยาลัย

               (5) สิทธิในการคัดค้านการประมวลผลข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน เว้นแต่ มหาวิทยาลัยมีเหตุอันชอบด้วยกฎหมายในการปฏิเสธคำขอ เช่น มหาวิทยาลัยสามารถแสดงให้เห็นว่าการประมวลผลข้อมูลส่วนบุคคลมีเหตุอันชอบด้วยกฎหมายยิ่งกว่า หรือเพื่อการก่อตั้งสิทธิเรียกร้องทางกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องทางกฎหมาย หรือเพื่อประโยชน์สาธารณะของมหาวิทยาลัย

                (6) สิทธิในการขอถอนความยินยอม ในกรณีที่การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูล ส่วนบุคคลได้กระทำไปโดยอาศัยความยินยอม เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอถอนความยินยอมนั้นเมื่อใด ก็ได้ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลถูกเก็บรักษาโดยมหาวิทยาลัย เว้นแต่ มีข้อจำกัดสิทธิโดยกฎหมาย หรือยังคงมีสัญญาที่ให้ประโยชน์แก่เจ้าของข้อมูลส่วนบุคคลอยู่

                (7) สิทธิในการขอรับ ส่งหรือโอนข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคลมีสิทธิขอรับข้อมูลส่วนบุคคลของตนจากมหาวิทยาลัยในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานโดยอัตโนมัติ และสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้โดยวิธีการอัตโนมัติ รวมถึงมีสิทธิขอให้มหาวิทยาลัยส่งหรือโอนข้อมูลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลรายอื่น ทั้งนี้ การใช้สิทธิดังกล่าวให้เป็นไปตามเงื่อนไขที่กฎหมายกำหนด

                การใช้สิทธิตามวรรคหนึ่งข้างต้น ให้เป็นไปตามเงื่อนไขที่กฎหมาย กฎ ข้อบังคับ ระเบียบ ประกาศ หรือคำสั่งกำหนด และมหาวิทยาลัยอาจปฏิเสธการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลได้ตามกฎหมาย หรือหลักเกณฑ์ที่มหาวิทยาลัยกำหนดโดยไม่ขัดต่อกฎหมาย

                อนึ่ง การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลบางกรณี อาจต้องมีการชำระค่าธรรมเนียมหรือค่าใช้จ่ายใด ๆ ที่จำเป็นเพื่อการใช้สิทธิดังกล่าวข้างต้น ซึ่งมหาวิทยาลัยจะแจ้งให้เจ้าของข้อมูลส่วนบุคคลทราบโดยไม่ชักช้า

ข้อ 17 การไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล

                มหาวิทยาลัยรับทราบและจะดำเนินการให้ บุคลากรของมหาวิทยาลัย และ บุคคลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ทั้งหมดทราบว่า การไม่ปฏิบัติตามนโยบายนี้ อาจมีผลดังต่อไปนี้

                (1) ความรับผิดทางวินัยและตามสัญญา ถือเป็นความผิดและอาจถูกลงโทษทางวินัยตาม ข้อบังคับของมหาวิทยาลัย หรือถูกดำเนินการตามที่กำหนดไว้ใน ข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (สำหรับผู้ประมวลผลข้อมูลส่วนบุคคล) ทั้งนี้ ให้พิจารณาตามแต่กรณีและความสัมพันธ์ทางกฎหมายระหว่างบุคคลดังกล่าวกับมหาวิทยาลัย

                (2) ความรับผิดตามกฎหมาย อาจต้องได้รับโทษตามที่กำหนดใน พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ รวมถึงกฎหมายลำดับรอง กฎ ระเบียบ และคำสั่งที่เกี่ยวข้อง

ข้อ 18 การร้องเรียนต่อหน่วยงานผู้มีอำนาจกำกับดูแล

                ในกรณีที่เจ้าของข้อมูลส่วนบุคคลพบว่า มหาวิทยาลัยมิได้ปฏิบัติตามบทบัญญัติแห่งกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และเจ้าของข้อมูลส่วนบุคคลได้แจ้งให้มหาวิทยาลัยดำเนินการแก้ไข ข้อสงสัย หรือปฏิบัติการให้ถูกต้องตามกฎหมายดังกล่าวแล้ว แต่ มหาวิทยาลัยเพิกเฉย ไม่ดำเนินการแก้ไข หรือไม่ปฏิบัติตามเงื่อนไขหรือเงื่อนเวลาที่กฎหมาย กฎ ข้อบังคับ ระเบียบ ประกาศ หรือคำสั่งกำหนด เจ้าของข้อมูลส่วนบุคคลย่อมมีสิทธิในการยื่นคำร้องเรียนไปยัง คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ หน่วยงานที่มีอำนาจกำกับดูแลที่ได้รับการแต่งตั้งโดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ตามที่กฎหมายกำหนด แล้วแต่กรณี

ข้อ 19 การปรับปรุงแก้ไขนโยบายการคุ้มครองข้อมูลส่วนบุคคล

                มหาวิทยาลัยอาจพิจารณาปรับปรุง แก้ไข หรือเปลี่ยนแปลงนโยบายนี้ตามที่เห็นสมควร และจะดำเนินการเผยแพร่นโยบายฉบับที่มีผลบังคับใช้ให้เจ้าของข้อมูลส่วนบุคคลสามารถรับทราบได้ผ่านช่องทางหลักของมหาวิทยาลัย อันได้แก่ เว็บไซต์ https://www.nmu.ac.th/ หรือ แอปพลิเคชัน หรือ ช่องทางเฉพาะกิจกรรมที่มหาวิทยาลัยดำเนินการ โดยจะปรากฏวันที่ที่มีผลบังคับใช้ของแต่ละฉบับกำกับไว้

                มหาวิทยาลัยขอแนะนำและสนับสนุนให้เจ้าของข้อมูลส่วนบุคคลทำการตรวจสอบนโยบายฉบับใหม่อย่างสม่ำเสมอผ่านช่องทางตามที่ระบุในวรรคแรก โดยเฉพาะอย่างยิ่งก่อนที่จะทำการเปิดเผยข้อมูลส่วนบุคคลแก่มหาวิทยาลัย

                การเข้าใช้งานผลิตภัณฑ์หรือบริการของมหาวิทยาลัย ภายหลังวันที่มีผลบังคับใช้ของนโยบายฉบับใหม่ ถือเป็นการรับทราบและให้ความยินยอมตามข้อตกลงในนโยบายใหม่แล้ว ทั้งนี้ กรณีที่เจ้าของข้อมูลส่วนบุคคลไม่เห็นด้วยกับรายละเอียดใด ๆ ในนโยบายฉบับนี้ เจ้าของข้อมูลส่วนบุคคลสามารถดำเนินการ
หยุดใช้งานหรือยุติการใช้บริการ รวมถึงสามารถติดต่อมายังมหาวิทยาลัยเพื่อชี้แจงข้อเท็จจริงหรือสอบถามข้อมูลเพิ่มเติมได้

ข้อ 20 การติดต่อสอบถามหรือใช้สิทธิ

                กรณีที่เจ้าของข้อมูลส่วนบุคคลมีข้อสงสัย ข้อเสนอแนะ หรือข้อกังวลเกี่ยวกับการเก็บรวบรวม การใช้ หรือการเปิดเผยข้อมูลส่วนบุคคลของมหาวิทยาลัย หรือเกี่ยวกับนโยบายนี้ หรือมีความประสงค์ในการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามที่กำหนดไว้ในนโยบายนี้ เจ้าของข้อมูลส่วนบุคคลมีสิทธิและสามารถดำเนินการติดต่อสอบถามหรือแจ้งความประสงค์ได้ที่

(1)  นายปกรณ์ มงคลประสิทธิ์ (DPO)

สำนักงานสภามหาวิทยาลัย

                เลขที่ 3 ถนนขาว แขวงวชิรพยาบาล เขตดุสิต กรุงเทพมหานคร 10300

                Email : council@nmu.ac.th

                โทร : 0 2244 3929

(2) ฝ่ายเทคโนโลยีสารสนเทศ สำนักงานอธิการบดี มหาวิทยาลัยนวมินทราธิราช

                เลขที่ 3 ถนนขาว แขวงวชิรพยาบาล เขตดุสิต กรุงเทพมหานคร 10300

                Email : saraband-oop@nmu.ac.th

                โทร : 0 2244 3846