เพื่อให้การดำเนินการตามนโยบายคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัยสวนดุสิตเป็นไป ด้วยความเรียบร้อย จึงกำหนดแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลไว้ ดังนี้
2.1 เพื่อคุ้มครองข้อมูลส่วนบุคคลและความเป็นส่วนตัวของเจ้าของข้อมูลส่วนบุคคล
2.2 เพื่อสร้างความเชื่อมั่นของเจ้าของข้อมูลส่วนบุคคลต่อการใช้บริการหรือติดต่อกับมหาวิทยาลัย
2.3 เพื่อให้ผู้มีส่วนเกี่ยวข้องเข้าใจถึงหลักปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล การเก็บรวบรวม การใช้ข้อมูล และการเปิดเผยข้อมูลส่วนบุคคล
4 เพื่อให้ผู้มีส่วนเกี่ยวข้องตระหนักถึงความสำคัญของกฎหมายคุ้มครองข้อมูลส่วนบุคคล ที่อาจส่งผลกระทบหรือก่อให้เกิดความเสียหายต่อสังคมโดยรวม
5 เพื่อให้การดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ เปิดเผย หรือทำลายข้อมูลส่วนบุคคล เป็นไปตามวัตถุประสงค์การดำเนินการของมหาวิทยาลัย ทั้งด้านให้การศึกษา ส่งเสริมวิชาการและวิชาชีพชั้นสูง สร้างบัณฑิต วิจัย บริการทางวิชาการแก่สังคมและท้องถิ่น ริเริ่ม ปรับปรุง ถ่ายทอด และพัฒนาองค์ความรู้ในด้านที่มีความเชี่ยวชาญ และทะนุบํารุงศิลปะและวัฒนธรรม
3.1 การแต่งตั้งผู้มีหน้าที่รับผิดชอบในการคุ้มครองข้อมูลส่วนบุคคล
3.2 เก็บรวบรวมข้อมูลส่วนบุคคล
      3.2.1 หน่วยงานจะต้องทำวัตถุประสงค์ของการเก็บรวบรวมข้อมูลและการนำไปใช้ แก่เจ้าของข้อมูลส่วนบุคคล และให้เจ้าของข้อมูลรับทราบและแสดงความยินยอมการให้ข้อมูลส่วนบุคคลก่อนการเก็บรวบรวมข้อมูล โดยให้เก็บรวบรวมข้อมูลส่วนบุคคลได้เท่าที่จำเป็น ข้อความแจ้งข้างต้นอาจอยู่ในรูปแบบเอกสารหรืออิเล็กทรอนิกส์ก็ได้
      3.2.2 ในการเก็บรวบรวมข้อมูลส่วนบุคคลเกี่ยวกับเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใด ซึ่งกระทบต่อเจ้าของข้อมูล ส่วนบุคคล จะต้องแจ้งวัตถุประสงค์การเก็บรวบรวมเพื่อขอความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูลส่วนบุคคล ผ่านรูปแบบเอกสารหรืออิเล็กทรอนิกส์ก็ได้
3.3 การรักษาและระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล
ข้อ 3.3.1 ให้มีมาตรการป้องกันการเข้าถึงข้อมูลส่วนบุคคล โดยกำหนดสิทธิการเข้าถึงข้อมูลหรือมีการเข้ารหัสข้อมูล เพื่อป้องกันการทำลาย การดัดแปลงแก้ไข และการเข้าถึงข้อมูลส่วนบุคคล โดยไม่ได้รับอนุญาต
      3.3.2 จัดให้มีพื้นที่ปลอดภัยในการจัดเก็บข้อมูลส่วนบุคคล กำหนดผู้รับผิดชอบ และสิทธิในการเข้าถึงพื้นที่
      3.3.3 ให้ผู้ควบคุมข้อมูลส่วนบุคคลกำหนดระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล มาตรการในการทำลายข้อมูลส่วนบุคคล และการย้ายข้อมูลส่วนบุคคลที่มีความถี่การใช้งานน้อย แต่ไม่สามารถลบได้ ไปจัดเก็บไว้ยังที่ปลอดภัยและเสนอให้มหาวิทยาลัยจัดทำเป็นประกาศของมหาวิทยาลัยเพื่อเผยแพร่ทางเว็บไซต์ หรือช่องทางการสื่อสารอื่นของมหาวิทยาลัย
      3.3.4 ผู้ควบคุมข้อมูลต้องดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด
3.4 การใช้งานข้อมูลส่วนบุคคล
      3.4.1 ข้อมูลส่วนบุคคลที่จัดเก็บ จะต้องถูกใช้ตามวัตถุประสงค์และภารกิจ ของมหาวิทยาลัย ภายใต้ขอบเขตของกฎหมายที่เกี่ยวข้อง หากมีการเปลี่ยนแปลงวัตถุประสงค์จะต้องแจ้งให้เจ้าของข้อมูลรับทราบและขอความยินยอมก่อนใช้งาน
      3.4.2 กรณีที่ส่วนงานว่าจ้างให้หน่วยงานภายนอกดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล กำหนดให้หน่วยงานภายนอกต้องลงนามในสัญญาเก็บรักษาความลับที่มหาวิทยาลัยกำหนด และต้องใช้ตามวัตถุประสงค์เท่านั้น
3.5 การเปิดเผยข้อมูลส่วนบุคคล
      3.5.1 ให้รักษาข้อมูลส่วนบุคคลไว้เป็นความลับและไม่เปิดเผยข้อมูลส่วนบุคคล ของเจ้าของข้อมูลส่วนบุคคลกับบุคคลอื่น
      3.5.2 มหาวิทยาลัยอาจเปิดเผยข้อมูลส่วนบุคคลที่มีการจัดเก็บรวบรวมไว้ให้กับบุคคลอื่นในกรณี ดังต่อไปนี้
            (ก) เพื่อประโยชน์ในการศึกษาวิจัย หรือจัดทำสถิติ ข้อมูล โดยไม่ระบุชื่อหรือ ส่วนที่ทำให้รู้ว่าเป็นข้อมูลส่วนบุคคลที่เกี่ยวกับบุคลใด
            (ข) เป็นการให้ซึ่งจำเป็น เพื่อการป้องกันหรือระงับอันตรายต่อชีวิตหรือสุขภาพของบุคคล
            (ค) เพื่อประกอบการพิจารณาคดีในศาล หรือเจ้าหน้าที่ของรัฐ หน่วยงานของรัฐ หรือบุคคลที่มีอำนาจตามกฎหมายร้องขอข้อมูลส่วนบุคคลดังกล่าว
            (ง) กรณีอื่นตามที่กฎหมายกำหนด
เจ้าของข้อมูลส่วนบุคคลมีสิทธิในการดำเนินการ ดังต่อไปนี้
      4.1 สิทธิในการเพิกถอนความยินยอม เจ้าของข้อมูลมีสิทธิเพิกถอนความยินยอมในการเก็บรวบรวมใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ได้ให้ความยินยอมกับมหาวิทยาลัยได้ ตลอดระยะเวลาที่ข้อมูลส่วนบุคคลอยู่กับมหาวิทยาลัย เว้นแต่มีข้อจำกัดสิทธิตามข้อบังคับ ระเบียบ ประกาศ ของมหาวิทยาลัยและกฎหมายอื่น ๆ ที่เกี่ยวข้อง
      4.2 สิทธิในการเข้าถึงข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิในการเข้าถึงข้อมูลส่วนบุคคลและขอให้มหาวิทยาลัย ทำสำเนาข้อมูลส่วนบุคคลดังกล่าวให้ รวมถึงขอให้มหาวิทยาลัยเปิดเผยการได้มาซึ่งข้อมูลส่วนบุคคลที่ไม่ได้ ให้ความยินยอมต่อมหาวิทยาลัยได้
      4.3 สิทธิในการให้โอนย้ายข้อมูลส่วนบุคคล             เจ้าของข้อมูลมีสิทธิขอรับข้อมูลส่วนบุคคลจากมหาวิทยาลัยได้ ในกรณีที่มหาวิทยาลัยได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่าน หรือใช้งานโดยทั่วไปได้ และสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ รวมทั้งมีสิทธิขอให้มหาวิทยาลัย ส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่น และมีสิทธิขอรับข้อมูลส่วนบุคคลที่มหาวิทยาลัย ส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง
      4.4 สิทธิในการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิในการคัดค้านการเก็บรวบรวม หรือเปิดเผยข้อมูลส่วนบุคคลได้ หากข้อมูลส่วนบุคคลดังกล่าว เป็นข้อมูลส่วนบุคคลที่เก็บรวบรวมได้โดยได้รับยกเว้นไม่ต้องขอความยินยอม ตามมาตรา ๒๔ (๔) และ (๕) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ เว้นแต่มหาวิทยาลัยพิสูจน์ ได้ว่าการเก็บรวบรวม การใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้น มหาวิทยาลัยมีเหตุอันชอบด้วยกฎหมายที่สำคัญยิ่งกว่า หรือเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นเป็นไปเพื่อก่อตั้งสิทธิเรียกร้องตามกฎหมายการปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเป็นไปเพื่อวัตถุประสงค์เกี่ยวกับการศึกษาวิจัยวิทยาศาสตร์ ประวัติศาสตร์ สถิติ
      4.5 สิทธิในการลบข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิในการขอให้มหาวิทยาลัย ดำเนินการลบหรือทำลายข้อมูล ส่วนบุคคลได้ หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้
                  (ก) เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
                  (ข) เมื่อมีการถอนความยินยอมในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลและมหาวิทยาลัยไม่มีอำนาจตามกฎหมายที่จะเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลนั้นได้ต่อไป
                  (ค) เมื่อมีการคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล และ มหาวิทยาลัยไม่อาจปฏิเสธคำขอได้
                  (ง) เมื่อข้อมูลส่วนบุคคลได้ถูกเก็บรวบรวม ใช้ หรือเปิดเผยโดยไม่ชอบด้วยกฎหมาย ทั้งนี้ มหาวิทยาลัยจะไม่ดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลตามรายละเอียดข้างต้น หากเป็นการเก็บรักษาข้อมูลส่วนบุคคลนั้นไว้เพื่อวัตถุประสงค์ในการใช้เสรีภาพในการแสดงความคิดเห็น การเก็บรักษาไว้เพื่อวัตถุประสงค์ตามมาตรา ๒๔ (๔) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ การใช้เพื่อการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมายหรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย
      4.6 สิทธิในการระงับการใช้ข้อมูลส่วนบุคคล
เจ้าของข้อมูลมีสิทธิขอให้มหาวิทยาลัยระงับการใช้ข้อมูลส่วนบุคคลได้ ในกรณีดังต่อไปนี้
                  (ก) เมื่อมหาวิทยาลัยอยู่ในระหว่างการตรวจสอบตามที่ร้องขอให้ดำเนินการแก้ไข
                  (ข) เมื่อเป็นข้อมูลส่วนบุคคลที่ต้องลบหรือทำลาย แต่ขอให้ระงับการใช้แทน
                  (ค) เมื่อข้อมูลส่วนบุคคลหมดความจำเป็นในการเก็บรักษาไว้ตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคล แต่มีความจำเป็นต้องขอให้เก็บรักษาไว้เพื่อใช้ในการก่อตั้งสิทธิเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้สิทธิเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้สิทธิเรียกร้องตามกฎหมาย
                  (ง) เมื่อมหาวิทยาลัยอยู่ในระหว่างการพิสูจน์ตามมาตรา ๓๒ (๑) เพื่อปฏิเสธการคัดค้านของเจ้าของข้อมูลส่วนบุคคลตามมาตรา ๓๒ วรรคสาม แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
ข้อ ๔.๗ สิทธิในการแก้ไขข้อมูลส่วนบุคคลให้ถูกต้อง
เจ้าของข้อมูลมีสิทธิในการขอให้มหาวิทยาลัยแก้ไขข้อมูลที่ไม่ถูกต้อง หรือเพิ่มเติมข้อมูลที่ไม่สมบูรณ์
ทั้งนี้ ส่วนงานหรือมหาวิทยาลัยต้องจัดให้มีช่องทางหรือกระบวนการรับเรื่อง เพื่อดำเนินการให้ เป็นไปตามคำร้อง ตามสิทธิข้างต้น อย่างน้อย ๑ ช่องทาง โดยส่วนงานหรือมหาวิทยาลัย จะพิจารณาและแจ้งผลการพิจารณาตามคำร้องขอภายใน ๑๐ วัน นับแต่วันที่ได้รับคำร้องขอ
      5.1 คณะกรรมการดำเนินการกำหนดนโยบายข้อมูลส่วนบุคคลของมหาวิทยาลัยสวนดุสิต มีอำนาจและหน้าที่ ดังนี้
            1. ดำเนินงานด้านส่งเสริมและคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับนโยบายการคุ้มครองข้อมูลส่วนบุคคล
            2. กำหนดหลักเกณฑ์นโยบายและแนวทางปฏิบัติการให้ความคุ้มครองข้อมูลส่วนบุคคล
            3. ส่งเสริมและสนับสนุนการคุ้มครองข้อมูลส่วนบุคคล มาตรการรักษาความปลอดภัย ความมั่นคงของข้อมูลส่วนบุคคลในมหาวิทยาลัยสวนดุสิต
            4. แต่งตั้งคณะอนุกรรมการหรือคณะทำงาน เพื่อปฏิบัติงานภาตใต้หน้าที่และอำนาจของคณะกรรมการ
            5. ตีความ วินิจฉัยการขอเปิดเผยข้อมูลส่วนบุคคล และวินิจฉัยปัญหาที่เกิดจากการบังคับใช้ข้อบังคับนี้

            6. ปฏิบัติการอื่นใดตามที่ได้รับมอบหมายจากมหาวิทยาลัยหรือกฎหมายอื่นกำหนดให้เป็นอำนาจหน้าที่       5.2 ผู้อำนวยการ
            5.2.1 จัดเตรียม สนับสนุนการดำเนินการที่เกี่ยวข้องกับการประเมินผลข้อมูลส่วนบุคคลและการบริหารจัดการข้อมูลส่วนบุคคล ให้เป็นไปตามแนวนโยบายการคุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย และตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
            5.2.2 กำกับดูแลให้มีการปฏิบัติตามนโยบายและแนวปฏิบัติของมหาวิทยาลัย
      5.3 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO)
            5.3.1 ดำเนินการตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลและผู้ประมวลผล
            5.3.2 ประสานงานและให้ความร่วมมือกับส่วนงาน กรณีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
      5.4 ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller : DC)
            5.4.1 จัดเตรียมช่องทางการให้บริการเพื่อให้เป็นไปตามสิทธิของเจ้าของข้อมูล ส่วนบุคคล โดยกำหนดรูปแบบ และระยะเวลาให้มีความเหมาะสม
            5.4.2 กำหนดวัตถุประสงค์การจัดเก็บข้อมูล และการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยจัดเก็บข้อมูลเท่าที่จำเป็นในการให้บริการ
            5.4.3 สำรวจข้อมูลที่จัดเก็บในหน่วยงาน และจัดทำบัญชีข้อมูล (Data Catalog) โดยระบุประเภท คุณลักษณะ ของข้อมูล ความเชื่อมโยง ระบุแหล่งที่มาข้อมูลและรายชื่อผู้มีสิทธิในการเข้าถึง
            5.4.4 ประเมินความเสี่ยง และกำหนดมาตรฐานเชิงเทคนิคและเชิงบริหาร เพื่อรักษาความมั่นคงปลอดภัยเสนอต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
            5.4.5 ดำเนินการ ประสานงาน และแก้ไขปัญหาเมื่อมีการรั่วไหลของข้อมูล
      5.5 ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor : DP)
ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคำสั่งหรือในนาม ของผู้ควบคุมข้อมูลส่วนบุคคล
            มหาวิทยาลัยมีการเผยแพร่ นโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคลผ่านเว็บไซต์หรือช่องทางอื่นของมหาวิทยาลัย ซึ่งเจ้าของข้อมูลส่วนบุคคลสามารถรับทราบนโยบายและแนวปฏิบัติการคุ้มครองข้อมูล ส่วนบุคคล หากเจ้าของข้อมูลส่วนบุคคลมีข้อสงสัยในรายละเอียด ให้ติดต่อผู้รับผิดชอบตามที่มหาวิทยาลัยกำหนด
            การโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ ประเทศปลายทาง หรือองค์กรระหว่างประเทศที่รับข้อมูลส่วนบุคคลต้องมีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลที่เพียงพอ และมหาวิทยาลัยจะดำเนินการตามประกาศกำหนดหลักเกณฑ์การให้ความคุ้มครองข้อมูลส่วนบุคคลตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลกำหนด
            กรณีการส่งหรือโอนข้อมูลส่วนบุคคล ไปยังผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งอยู่ต่างประเทศและอยู่ในเครือกิจการเดียวกันเพื่อการประกอบกิจการหรือธุรกิจร่วมกัน นโยบายในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงาน สถาบันการศึกษา หรือองค์กรดังกล่าว จะต้องได้รับการตรวจสอบและรับรองจากสำนักงานการส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศที่เป็นไปตามนโยบายในการคุ้มครองข้อมูลส่วนบุคคลที่ได้รับการตรวจสอบและรับรองตามมาตรฐานของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วงนบุคคล
            ให้คณะกรรมการดำเนินการกำหนดนโยบายข้อมูลส่วนบุคคลของมหาวิทยาลัยสวนดุสิต ทบทวนนโยบายอย่างน้อยปีละหนึ่งครั้ง หรือเมื่อมีเหตุการณ์สำคัญที่อาจส่งผลกระทบต่อข้อมูลส่วนบุคคล
            มหาวิทยาลัยอาจมีการเปลี่ยนแปลงนโยบายการคุ้มครองข้อมูลส่วนบุคคลตามความจำเป็น โดยมหาวิทยาลัยจะประกาศแจ้งการเปลี่ยนแปลงให้ทราบอย่างชัดเจนก่อนเริ่มดำเนินการ
สามารถติดต่อได้ที่ ดร.สวงค์ บุญปลูก รองอธิการบดีฝ่ายเทคโนโลยีสารสนเทศ มหาวิทยาลัยสวนดุสิต
เลขที่ 295 ถนนนครราชสีมา เขตดุสิต แขวงดุสิต กรุงเทพฯ 10300
โทร. 02 244 5449 หรือ 02 244 5339
E-mail : sawong_boo@dusit.ac.th
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และบรรดากฎหมายลำดับรองที่ออก ตามพระราชบัญญัตินี้