ประกาศความเป็นส่วนตัวด้านข้อมูลของบุคลากร มหาวิทยาลัยมหิดล

Version 2.0 ฉบับเสนอที่ประชุมคณะกรรมการบริหารทรัพยากรบุคคล ครั้งที่ 9/2565 วันที่ 11 พฤษภาคม พ.ศ.2565
          มหาวิทยาลัยมหิดลเคารพสิทธิความเป็นส่วนตัวของบุคลากร และเพื่อให้เกิดความมั่นใจว่าบุคลากรได้รับความคุ้มครองข้อมูลส่วนบุคคล จึงได้จัดทำประกาศความเป็นส่วนตัวด้านข้อมูลของบุคลากรฉบับนี้ขึ้น เพื่อแจ้งให้ทราบถึงรายละเอียดที่เกี่ยวข้องกับการเก็บรวบรวม การใช้ และการเปิดเผย (รวมเรียกว่า “การประมวลผล”) รวมตลอดถึงการลบ และทำลายข้อมูลส่วนบุคคลของบุคลากร ทั้งช่องทางออนไลน์ และช่องทางอื่น ๆ ตามที่พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนด
          ประกาศความเป็นส่วนตัวด้านข้อมูลส่วนบุคคลนี้ใช้กับข้อมูลส่วนบุคคลที่ได้รับจากบุคลากรโดยตรง และข้อมูลส่วนบุคคลที่ได้รับจากบุคคลหรือหน่วยงานอื่นที่เกี่ยวข้องซึ่งมหาวิทยาลัยจะต้องแจ้งให้บุคลากรรับทราบภายใน 30 วัน โปรดอ่านและทำความเข้าใจถึงกระบวนการที่มหาวิทยาลัยดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลของบุคลากร
           ในกรณีที่มีการเปลี่ยนแปลงเกี่ยวกับประกาศความเป็นส่วนตัวด้านข้อมูลส่วนบุคคล ทางมหาวิทยาลัยมหิดลจะแจ้งประกาศความเป็นส่วนตัวด้านข้อมูลส่วนบุคคลใหม่ไปยัง E-mail ของบุคลากรและในช่องทางอื่นที่บุคลากรสามารถเข้าถึงได้ เช่น บนหน้า Website : https://privacy.mahidol.ac.th เป็นต้น

ข้อมูลส่วนบุคคลคืออะไร
          “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่เกี่ยวข้องกับบุคคลซึ่งทำให้สามารถระบุตัวตนบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม ซึ่งอาจรวมถึง ชื่อของบุคลากร หรืออาจรวมถึงข้อมูลและสารสนเทศอื่น ๆ เช่น วันเดือนปีเกิด สัญชาติ เพศ ที่อาจรวมกันแล้วสามารถระบุถึงบุคลากรได้ ข้อมูลและสารสนเทศนี้อาจเก็บได้ในหลายรูปแบบ เช่น ทางอิเล็กทรอนิกส์ หรือแบบฟอร์มกระดาษ

ฐานกฎหมายในการประมวลผลข้อมูลส่วนบุคคล
          ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล มหาวิทยาลัมหิดลถือเป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ซึ่งมีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ทั้งนี้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่แจ้งให้บุคลากรทราบถึงแนวทางที่มหาวิทยาลัยใช้ในการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล เช่น ข้อมูลอะไรที่ทางมหาวิทยาลัยจัดเก็บ ใช้พื้นฐานกฎหมายหรือข้อบังคับอะไร ทำไมถึงต้องจัดเก็บ จัดเก็บจากที่ใด และมีการแบ่งปันข้อมูลส่วนบุคคลให้ใคร รวมถึงแจ้งสิทธิให้กับข้อมูลส่วนบุคคลของบุคลากร

ประเภทของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย
  1. ข้อมูลเกี่ยวกับตัวของบุคลากร เช่น ชื่อ นามสกุล ลายมือชื่อ วันเดือนปีเกิด อายุ เพศ สถานะการสมรส รูปถ่าย หรือข้อมูลที่เกี่ยวข้อง
  2. ข้อมูลในการติดต่อกับบุคลากร เช่น ที่อยู่ หมายเลขโทรศัพท์ อีเมล หรือข้อมูลที่เกี่ยวข้อง
  3. ข้อมูลเกี่ยวกับสมาชิกครอบครัวหรือผู้อยู่ในความดูแลของบุคลากรที่มีสิทธิได้รับสวัสดิการตามข้อบังคับและระเบียบการบริหารงานบุคคลของมหาวิทยาลัย เช่น ข้อมูลเกี่ยวกับคู่สมรส ข้อมูลเกี่ยวกับบุตร ข้อมูลเกี่ยวกับบิดามารดา ผู้รับผลประโยชน์ ทั้งนี้ ก่อนการให้ข้อมูลกับมหาวิทยาลัยให้บุคลากรแจ้งประกาศความเป็นส่วนตัวด้านข้อมูลของบุคลากรนี้ให้บุคคลดังกล่าวทราบด้วย
  4. ข้อมูลที่จำเป็นสำหรับการรายงานหน่วยงานที่กำกับดูแล
  5. ข้อมูลทางการเงิน เช่น ข้อมูลค่าจ้าง เงินเดือน ค่าตอบแทน เงินได้ เงินหัก ภาษี กองทุนสำรองเลี้ยงชีพ บัญชีธนาคาร การกู้ยืมเงิน รายการยกเว้นหรือหักลดหย่อนทางภาษี หรือข้อมูลที่เกี่ยวข้อง
  6. ข้อมูลที่เกี่ยวข้องกับการประกันสังคม การคุ้มครองแรงงาน สิทธิประโยชน์ สวัสดิการ และผลประโยชน์ที่บุคลากรได้รับหรือมีสิทธิที่จะได้รับตามข้อบังคับและประกาศของมหาวิทยาลัยมหิดลและกฎหมายที่เกี่ยวข้อง
  7. ข้อมูลประวัติการปฏิบัติงาน ตำแหน่งงาน ภาระงาน ผลงานทางวิชาการ ความเชี่ยวชาญ ผลการปฏิบัติงาน ผลการเลื่อนเงินเดือน รางวัลต่าง ๆ ที่เกี่ยวกับการเชิดชูเกียรติ การเข้าประชุม หรือข้อมูลที่เกี่ยวข้อง
  8. ข้อมูลที่รวบรวมจากการมีส่วนร่วมกับมหาวิทยาลัยหรือส่วนงานอื่น ๆ เช่น ภาพถ่าย ภาพเคลื่อนไหว และเสียงที่ถูกบันทึกที่อาจมีการถ่ายหรือบันทึกระหว่างที่มีการจัดงาน กิจกรรม หรือการประชุม การตอบแบบสำรวจ การตอบแบบประเมิน
  9. ข้อมูลอื่น ๆ ที่จำเป็นต่อการปฏิบัติตามสัญญาจ้าง การดูแลสิทธิประโยชน์สวัสดิการ การวิเคราะห์ และการบริหารงานของมหาวิทยาลัย การดูแลบุคลากรและสมาชิกในครอบครัวหลังพ้นสภาพการเป็นบุคลากร และ การปฏิบัติตามกฎหมายต่าง ๆ
  10. ข้อมูลที่เกี่ยวกับการร้องเรียน การร้องทุกข์ การสอบสวน การลงโทษทางวินัย
  11. ข้อมูลเกี่ยวกับการศึกษา ความสามารถ และการพัฒนาศักยภาพ และคุณสมบัติอื่น ๆ ของบุคลากร เช่น ระดับการศึกษา วุฒิการศึกษา สถาบัน / มหาวิทยาลัย ประวัติการศึกษา ประวัติการฝึกอบรม ผลการศึกษา ผลการทดสอบ สิทธิในการทำงานอย่างถูกต้องตามกฎหมาย คุณสมบัติด้านวิชาชีพ ความสามารถทางด้านภาษา และความสามารถอื่น ๆ ข้อมูลจากการอ้างอิงที่บุคลากรได้ให้แก่มหาวิทยาลัย รวมถึงข้อมูลที่ได้จากสถาบัน สมาคมที่มหาวิทยาลัยทำการตรวจสอบ
  12. สำเนาเอกสารที่สามารถใช้เพื่อระบุตัวตนของบุคลากร สมาชิกในครอบครัว ผู้ค้ำประกันของบุคลากร เช่น เลขประจำตัวประชาชน หนังสือเดินทาง เอกสารอื่น ๆ ที่ออกให้โดยหน่วยงานของรัฐ ทะเบียนราษฎร์
  13. ข้อมูลเกี่ยวกับประสบการณ์ทำงานและข้อมูลเกี่ยวกับการจ้างงานในอดีต เช่น ตำแหน่งงาน รายละเอียดของนายจ้าง เงินเดือนและค่าตอบแทน สวัสดิการที่ได้รับ
  14. สถานภาพทางการทหาร
  15. ข้อมูลเกี่ยวกับลักษณะของบุคลากร เช่น นิสัย พฤติกรรม ทัศนคติ ความถนัด ทักษะ ภาวะความเป็นผู้นำความสามารถในการทำงานร่วมกับผู้อื่น ความฉลาดทางอารมณ์ ความผูกพันต่อองค์กร ซึ่งอาจได้มาจากการสังเกตวิเคราะห์ และประมวลผลข้อมูลของมหาวิทยาลัยในระหว่างการปฏิบัติงานหรือเข้าร่วมกิจกรรมกับมหาวิทยาลัย
  16. รายละเอียดของผู้ที่สามารถติดต่อได้ในกรณีฉุกเฉิน
  17. ข้อมูลเกี่ยวกับยานพาหนะ ใบอนุญาตขับขี่ ความสามารถในการขับขี่ยานพาหนะ
  18. ข้อมูลเกี่ยวกับโรคและการเจ็บป่วย ข้อมูลเกี่ยวกับอุบัติเหตุ ทั้งในกรณีที่บุคลากรประสบอุบัติเหตุในเวลางานหรืออันเนื่องมาจากการปฏิบัติงานและอุบัติเหตุอื่น ๆ
  19. บันทึกการเข้าออกงานและระยะเวลาในการปฏิบัติงาน การทำงานล่วงเวลา การขาด ลา มาสาย
  20. ข้อมูลการใช้งานและการเข้าถึงระบบสารสนเทศ คอมพิวเตอร์ ระบบงาน เว็บไซต์ แอปพลิเคชัน ระบบอีเมล เพื่อให้สอดคล้องกับนโยบายเทคโนโลยีสารสนเทศและกฎหมายที่เกี่ยวข้อง
  21. ข้อมูลที่บุคลากรเลือกจะแบ่งปันและเปิดเผยผ่านระบบ แอปพลิเคชัน เครื่องมือ แบบสอบถาม แบบประเมิน และเอกสารต่าง ๆ ของมหาวิทยาลัย
ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน
          มหาวิทยาลัยมีความจำเป็นต้องเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนของบุคลากรและสมาชิกในครอบครัว เพื่อนำมาใช้ประโยชน์ในการจัดสวัสดิการและสิทธิประโยชน์สำหรับบุคลากร เช่น ข้อมูลศาสนา ข้อมูลสุขภาพ และจำเป็นต้องใช้ข้อมูลส่วนบุคคลของบุคลากรที่เกี่ยวข้องกับข้อมูลการพิสูจน์ความผิดทางกฎหมาย และข้อมูลความพิการของบุคลากรเพื่อประโยชน์ในการบริหารงานด้านทรัพยากรบุคคล หากมหาวิทยาลัยได้รับข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนจากเอกสารที่เกี่ยวข้องจากบุคลากรและผู้เกี่ยวข้อง จะถือว่าบุคลากรยินยอมให้มหาวิทยาลัยจัดเก็บ รวบรวม ข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน ทั้งนี้ มหาวิทยาลัยจะไม่นำข้อมูลส่วนบุคคลที่มีความละเอียดอ่อนไปใช้ประโยชน์อื่นนอกเหนือจากที่แจ้งไว้ในประกาศฉบับนี้ และจะมีการควบคุมการเข้าถึงและแบ่งปันข้อมูลที่มีความละเอียดอ่อนอย่างระมัดระวังกับผู้ที่เกี่ยวข้องเท่านั้น และจะคืนข้อมูลการพิสูจน์ความผิดทางกฎหมายให้แก่เจ้าของข้อมูลเมื่อมหาวิทยาลัยทราบผลการตรวจสอบ รวมถึงกรณีที่ต้องให้ความยินยอม มหาวิทยาลัยจะแจ้งเหตุผลของการใช้ข้อมูลดังกล่าว และให้เหตุผลของผลกระทบจากการไม่ให้ข้อมูลดังกล่าว เพื่อให้บุคลากรสามารถพิจารณาถึงเหตุผล ความจำเป็นได้

สารสนเทศที่มหาวิทยาลัยมหิดลได้รับและส่งต่อให้หน่วยงานหรือองค์กรอื่นที่เกี่ยวข้อง
          มหาวิทยาลัยได้ทำงานร่วมกับหน่วยงานหรือองค์กรอื่นที่เกี่ยวข้อง ข้อมูลและสารสนเทศบางส่วนที่มีการระบุต่อไปนี้อาจมีการจัดเก็บในบางกรณีหรือบางสถานการณ์ และอาจไม่จัดเก็บกับบุคลากรทุกคน ตัวอย่างหน่วยงานที่มหาวิทยาลัยได้ทำงานด้วย ได้แก่
  • มหาวิทยาลัยมหิดลจำเป็นต้องปฏิบัติตามกฎหมายที่เกี่ยวข้องกับการดำเนินการของสถาบันการอุดมศึกษา ตามพระราชบัญญัติการอุดมศึกษา พ.ศ. 2562 ในการส่งข้อมูลส่วนบุคคลของบุคลากรให้กับกระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัย และนวัตกรรม ตามที่กำหนด
  • มหาวิทยาลัยอาจดำเนินการเป็นผู้ประสานงานในการรับและส่งข้อมูลส่วนบุคคลของบุคลากรให้กับหน่วยงานที่ให้ทุนสนับสนุนการดำเนินการตามพันธกิจหลัก ได้แก่ การเรียนการสอน การวิจัย การบริการวิชาการทั้งในและต่างประเทศ เพื่อประโยชน์ในการพัฒนาศักยภาพของบุคลากร
  • ในบางกรณีที่บุคลากรอาจต้องไปเข้าร่วมกิจกรรม ศึกษา วิจัย หรือศึกษาดูงาน ณ ต่างประเทศ ระหว่างที่เป็นบุคลากรของมหาวิทยาลัยมหิดล ซึ่งจะดำเนินการผ่านการทำสัญญาก่อน โดยมหาวิทยาลัยจำเป็นต้องมีการดำเนินการในการรับและส่งข้อมูลส่วนบุคคลของบุคลากรกับสถานทูตหรือต่างประเทศ โดยรายละเอียดเพิ่มเติมแสดงในหัวข้อ การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
  • มหาวิทยาลัยมหิดลทำงานร่วมกับสถาบันการเงิน ซึ่งจำเป็นต้องมีการส่งข้อมูลส่วนบุคคลเพื่อใช้ทำบัตรบุคลากร การจ่ายเงินเดือน การจัดสวัสดิการเงินกู้ต่าง ๆ การทำธุรกรรมทางการเงินซึ่งอาจมีการส่งมอบข้อมูลส่วนบุคคลของบุคลากรและส่งกลับเพื่อยืนยันสถานะการทำธุรกรรม การใช้งานแอปพลิเคชันด้านทรัพยากรบุคคลที่พัฒนาขึ้น ซึ่งจำเป็นต้องมีการส่งและรับข้อมูลส่วนบุคคลของบุคลากร รวมถึงการทำ Promotion ต่าง ๆ อาจมีการส่งและรับข้อมูลส่วนบุคคลของบุคลากรซึ่งต้องผ่านการยินยอมของบุคลากร
  • มหาวิทยาลัยจำเป็นต้องส่งข้อมูลส่วนบุคคลให้กับสำนักงบประมาณ กรมบัญชีกลาง สำนักงานตรวจเงินแผ่นดิน เพื่อประโยชน์ในการพิจารณาประกอบการจัดสรรและตรวจสอบการใช้งบประมาณ
  • มหาวิทยาลัยอาจดำเนินการเป็นผู้ประสานงาน ในการรับและส่งข้อมูลส่วนบุคคลของบุคลากรให้กับหน่วยงานที่บุคลากรสมัครเข้าทำงาน ฝึกอบรม หรือศึกษาดูงาน
  • มหาวิทยาลัยมหิดลอาจต้องแลกเปลี่ยนหรือให้ข้อมูลผู้ทรงคุณวุฒิเพื่ออ่านและประเมินผลงานทางวิชาการของบุคลากรกับสถาบันการศึกษาต่าง ๆ เพื่อประโยชน์ทางวิชาการ
  • มหาวิทยาลัยอาจจำเป็นต้องเปิดเผยและแบ่งปันข้อมูลส่วนบุคคลของบุคลากรแก่หน่วยงานภาครัฐและเอกชนที่เกี่ยวข้องเพื่อประโยชน์ในการบริหารงานด้านทรัพยากรบุคคลของมหาวิทยาลัย เช่น ผู้ให้บริการพัฒนาระบบสารสนเทศด้านทรัพยากรบุคคล บริษัทเอกชนที่ร่วมดำเนินการจัดสวัสดิการและสิทธิประโยชน์ให้กับบุคลากรของมหาวิทยาลัย เป็นต้น
  • เพื่อคุ้มครองสิทธิขั้นพื้นฐาน มหาวิทยาลัยมีการประสานงานกับบริษัทประกันภัยฯ เพื่อคุ้มครองอุบัติเหตุและประกันสุขภาพของบุคลากร จึงจำเป็นต้องมีการประสานกับบริษัทประกันภัย ในการรับและส่งข้อมูลส่วนบุคคลของบุคลากรเพื่อใช้ในการคุ้มครองสิทธิ
  • มหาวิทยาลัยมหิดลอาจจำเป็นต้องมีการส่งข้อมูลส่วนบุคคลให้กับส่วนราชการตามที่กฎหมายกำหนด เช่น สำนักนายกรัฐมนตรี สำนักงานประกันสังคม กรมสรรพากร เป็นต้น
  • มหาวิทยาลัยมหิดลอาจจำเป็นต้องส่งข้อมูลพิสูจน์ความผิดว่าด้วยธุรกรรมทางคอมพิวเตอร์แก่ผู้ให้บริการสารสนเทศที่เกี่ยวข้อง
          ทั้งนี้ มหาวิทยาลัยจะกำหนดให้ผู้ที่ได้รับข้อมูลมีมาตรการปกป้องข้อมูลของบุคลากรอย่างเหมาะสมและประมวลผลข้อมูลส่วนบุคคลดังกล่าวเท่าที่จำเป็นเท่านั้น และดำเนินการเพื่อป้องกันไม่ให้ใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอำนาจโดยมิชอบ

วัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
วัตถุประสงค์ ประเภทข้อมูลส่วนบุคคล ฐานกฎหมายที่ใช้
1. เพื่อใช้ในการดำเนินการตามคำขอของบุคลากรก่อนเข้าทำสัญญาหรือเพื่อปฏิบัติตามสัญญาซึ่งบุคลากรเป็นคู่สัญญากับมหาวิทยาลัย เช่น จัดทำสัญญาจ้างงาน ข้อตกลง การปฏิบัติตามสัญญาจ้างงาน การปฏิบัติตามข้อบังคับและระเบียบการบริหารงานบุคคลของมหาวิทยาลัย จรรยาบรรณ การมอบหมายให้ปฏิบัติงาน การโอนย้ายบุคลากร การพัฒนาบุคลากร การประเมินผลการปฏิบัติงาน การพิจารณาตำแหน่งงานและค่าตอบแทน การบริหารสวัสดิการและสิทธิประโยชน์ การดูแลเรื่องสุขภาพ อาชีวอนามัย และความปลอดภัยของบุคลากร ข้อมูลส่วนบุคคลตามที่ระบุไว้ในหัวข้อประเภทของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย การปฏิบัติตามสัญญา และความจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมาย เพื่อให้บรรลุวัตถุประสงค์เกี่ยวกับเวชศาสตร์ป้องกันหรืออาชีวเวชศาสตร์
2. เพื่อให้สามารถปฏิบัติตามพระราชบัญญัติการอุดมศึกษา พระราชบัญญัติมหาวิทยาลัยมหิดล พ.ศ. 2550 และกฎหมายอื่นที่เกี่ยวข้อง เช่น พระราชบัญญัติประกันสังคม พระราชบัญญัติกองทุนเงินให้กู้ยืมเพื่อการศึกษาพระราชบัญญัติเงินทดแทน เป็นต้น ข้อมูลส่วนบุคคลตามที่ระบุไว้ในหัวข้อประเภทของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย การปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล
3. เพื่อประโยชน์โดยชอบด้วยกฎหมายของมหาวิทยาลัย หรือของบุคคลอื่น เช่น การบริหารจัดการทรัพยากรบุคคล การศึกษาวิเคราะห์และการบริหารอัตรากำลัง การพัฒนาบุคลากร การจัดสวัสดิการรักษาพยาบาล การจัดสวัสดิการด้านการประกันภัย และสวัสดิการอื่น ๆ ของบุคลากร เช่น สถานพยาบาล โรงอาหาร ศูนย์กีฬา สถานที่ออกกำลังกาย การดำเนินการเรื่องกิจกรรมบุคลากร การบริหารด้านการเงินและงบประมาณ การติดต่อภายใน การติดต่อกับบุคคลภายนอก การดำเนินการต่าง ๆ ทางทะเบียน การมอบอำนาจ การจัดทำหนังสือรับรอง การจัดทำเอกสารเผยแพร่แก่สาธารณะ รวมทั้งการประชาสัมพันธ์ ภาพถ่าย วีดีโอ การจัดทำรายงาน การส่งข้อมูลให้หน่วยงานราชการ/หน่วยงานกำกับดูแล การตรวจสอบภายในและภายนอก การยืนยันตัวตนและตรวจสอบความถูกต้องของข้อมูลที่ได้รับจากบุคลากร การวิเคราะห์และจัดทำฐานข้อมูลเกี่ยวกับประวัติการทำงาน การติดต่อ ส่งข่าวสาร และประชาสัมพันธ์ การปรับปรุงสภาพแวดล้อมในการทำงาน การจัดให้มีสิ่งอำนวยความสะดวก การรักษาความมั่นคงปลอดภัยทางสารสนเทศ การสร้างบัญชีผู้ใช้งาน การระบุตัวตนเพื่อเข้าใช้ระบบงาน และการเข้าถึงระบบสารสนเทศ การรักษาความปลอดภัย การป้องกันอุบัติเหตุและอาชญากรรม การตรวจสอบและจัดการเกี่ยวกับข้อร้องเรียน ร้องทุกข์ และการทุจริต คดีหรือข้อพิพาทต่าง ๆ เป็นต้น การดูแลบุคลากรหลังพ้นสภาพการเป็นบุคลากร และสมาชิกในครอบครัว ข้อมูลส่วนบุคคลตามที่ระบุไว้ในหัวข้อประเภทของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย การปฏิบัติตามสัญญาและการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
4. เพื่อประโยชน์ในการบริหารสวัสดิการและสิทธิประโยชน์ในเรื่องสิทธิการลาที่เกี่ยวข้องกับข้อมูลศาสนา เช่น การลาอุปสมบท การลาประกอบพิธีฮัญจ์ เป็นต้น และสิทธิสวัสดิการรักษาพยาบาลของบุคลากรตามที่มหาวิทยาลัยกำหนด ประเภทของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยและข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน เช่น ข้อมูลศาสนา และข้อมูลสุขภาพของบุคลากร การใช้ฐานความยินยอมโดยชัดแจ้ง
5. เพื่อการสืบค้นข้อมูลในกระบวนการบริหารงานบุคคล และพันธกิจของมหาวิทยาลัย ข้อมูลส่วนบุคคลตามที่ระบุไว้ในหัวข้อประเภทของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย กรณีเป็นการสืบค้นข้อมูลที่มีความละเอียดอ่อน มหาวิทยาลัยจะกำหนดสิทธิในการเข้าถึง และแบ่งปันข้อมูลที่มีความละเอียดอ่อนอย่างระมัดระวัง การปฏิบัติตามสัญญาและการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
6. เพื่อป้องกันและระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคลากรหรือบุคคลอื่น เช่น การติดต่อในกรณีฉุกเฉิน การควบคุมและป้องกันโรคติดต่อ ข้อมูลส่วนบุคคลตามที่ระบุไว้ในหัวข้อประเภทของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผยและข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน การป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล
7. เพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะของมหาวิทยาลัย หรือปฏิบัติหน้าที่ในการใช้อำนาจรัฐที่ได้มอบให้ ข้อมูลส่วนบุคคลตามที่ระบุไว้ในหัวข้อประเภทของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย การปฏิบัติตามสัญญาและการจำเป็นเพื่อประโยชน์โดยชอบด้วยกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคลหรือของบุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคล
8. เพื่อบรรลุวัตถุประสงค์ตามความยินยอมที่บุคลากรได้ให้ไว้ในแต่ละคราว ข้อมูลส่วนบุคคลตามที่ระบุไว้ในหัวข้อประเภทของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย การใช้ฐานความยินยอมโดยชัดแจ้ง
9. เพื่อเก็บบันทึกข้อมูลจราจรทางคอมพิวเตอร์ (Log File) ข้อมูลส่วนบุคคลตามที่ระบุไว้ในหัวข้อประเภทของข้อมูลส่วนบุคคลที่มีการเก็บรวบรวม ใช้ หรือเปิดเผย การปฏิบัติตามกฎหมายของผู้ควบคุมข้อมูลส่วนบุคคล ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ ฉบับที่ 2 พ.ศ 2560

การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
          ในบางกรณีข้อมูลความเป็นส่วนบุคคลของบุคลากรอาจจำเป็นต้องมีการส่งออกไปยังต่างประเทศ มหาวิทยาลัยจะดำเนินการเพื่อให้เกิดความมั่นใจว่าข้อมูลของบุคลากรจะมีการส่งผ่านหรือโอนย้ายข้อมูลส่วนบุคคลไปยังต่างประเทศตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง ในกรณีประเทศที่ต้องมีการรับโอนย้ายมีการโอนย้ายข้อมูลส่วนบุคคลไม่ดีพอหรือไม่สอดคล้องตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล มหาวิทยาลัยจะทำข้อตกลงกับบุคลากรเพื่อขอส่งหรือโอนข้อมูลไปต่างประเทศตามวัตถุประสงค์ที่กำหนดเท่านั้น เช่น การจัดทำข้อตกลงกับบุคลากรในกรณีที่เป็นบุคลากรอาจต้องเข้าร่วมกิจกรรม ศึกษา วิจัย ศึกษาดูงาน หรือการตรวจสอบคุณวุฒิ ณ ต่างประเทศ

หลักการคุ้มครองข้อมูลส่วนบุคคล
          แนวทางการดำเนินการเมื่อมีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล มหาวิทยาลัยมหิดลมหิดลจะทำตามประกาศมหาวิทยาลัยมหิดล เรื่อง นโยบายคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2563 โดยจะสอดคล้องกับหลักการคุ้มครองข้อมูลส่วนบุคคลดังต่อไปนี้
  1. เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลโดยชอบด้วยกฎหมาย มีความโปร่งใส และสามารถตรวจสอบได้ (Lawfulness, Fairness and Transparency)
  2. เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลภายใต้ขอบเขตและวัตถุประสงค์ที่มหาวิทยาลัยกำหนด และไม่นำไปใช้หรือเปิดเผยนอกเหนือขอบเขตและวัตถุประสงค์ของการเก็บรวบรวม ใช้ เปิดเผยข้อมูลนั้น (Purpose Limitation)
  3. เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลอย่างเพียงพอ เกี่ยวข้อง และเท่าที่จำเป็นตามวัตถุประสงค์ของการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Data Minimization)
  4. เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่ถูกต้องและดำเนินการให้ข้อมูลเป็นปัจจุบันในกรณีที่จำเป็น (Accuracy)
  5. เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามระยะเวลาเท่าที่จำเป็น (Storage Limitation)
  6. เป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลที่เหมาะสม (Integrity and Confidentiality)
ระยะเวลาการเก็บรักษา
          มหาวิทยาลัยเก็บรักษาข้อมูลส่วนบุคคลของบุคลากรและสมาชิกในครอบครัวไว้ตลอดระยะเวลาที่เป็นบุคลากรของมหาวิทยาลัย และจำเป็นต้องเก็บข้อมูลส่วนบุคคลของบุคลากรและสมาชิกในครอบครัวต่อไปอีกแม้จะสิ้นสุดสถานภาพการเป็นบุคลากรของมหาวิทยาลัยไปแล้ว เพื่อประโยชน์ในการบริหารงานด้านทรัพยากรบุคคลและประโยชน์ในการจัดสวัสดิการและสิทธิประโยชน์แก่บุคลากรของมหาวิทยาลัย โดยมีรายละเอียดดังต่อไปนี้
          1. ข้อมูลส่วนบุคคลที่จำเป็นต้องเก็บตลอดไป ได้แก่ ข้อมูลเกี่ยวกับตัวของบุคลากร เช่น ชื่อ นามสกุล วันเดือนปีเกิด อายุ เพศ สถานะการสมรส รูปถ่าย หรือข้อมูลที่เกี่ยวข้อง ข้อมูลในการติดต่อกับบุคลากร เช่น ที่อยู่ หมายเลขโทรศัพท์ อีเมล หรือข้อมูลที่เกี่ยวข้อง ข้อมูลเกี่ยวกับสมาชิกครอบครัวหรือผู้อยู่ในความดูแลของบุคลากรที่มีสิทธิได้รับสวัสดิการตามข้อบังคับและระเบียบการบริหารงานบุคคลของมหาวิทยาลัย ข้อมูลที่จำเป็นสำหรับการรายงานหน่วยงานที่กำกับดูแล ข้อมูลทางการเงิน เช่น ข้อมูลค่าจ้าง เงินเดือน รายได้ ภาษี กองทุนสำรองเลี้ยงชีพ บัญชีธนาคาร การกู้ยืมเงิน รายการยกเว้นหรือหักลดหย่อนทางภาษี หรือข้อมูลที่เกี่ยวข้อง ข้อมูลที่เกี่ยวข้องกับการประกันสังคม การคุ้มครองแรงงาน สิทธิประโยชน์ สวัสดิการ และผลประโยชน์ที่บุคลากรได้รับหรือมีสิทธิที่จะได้รับตามข้อบังคับและประกาศของมหาวิทยาลัยมหิดล ข้อมูลประวัติการปฏิบัติงาน ตำแหน่งงาน ภาระงาน ผลงานทางวิชาการ ความเชี่ยวชาญ ผลการปฏิบัติงาน การเข้าประชุม หรือข้อมูลที่เกี่ยวข้อง ข้อมูลที่รวบรวมจากการมีส่วนร่วมกับมหาวิทยาลัย ข้อมูลอื่น ๆ ที่จำเป็นต่อการปฏิบัติตามสัญญาจ้าง การดูแลสิทธิประโยชน์สวัสดิการ การวิเคราะห์และการบริหารงานของมหาวิทยาลัย การดูแลบุคลากรหลังพ้นสภาพการเป็นบุคลากร และการปฏิบัติตามกฎหมายต่าง ๆ ข้อมูลที่เกี่ยวกับการร้องเรียน การร้องทุกข์ การสอบสวน การลงโทษทางวินัย
          2. ข้อมูลส่วนบุคคลที่เจ้าของข้อมูลสามารถแจ้งความประสงค์ลบข้อมูลหลังครบอายุเกษียณแล้ว 10 ปี ได้แก่ ข้อมูลเกี่ยวกับการศึกษา ความสามารถ และการพัฒนาศักยภาพ สำเนาเอกสารที่สามารถใช้เพื่อระบุตัวตนของบุคลากร ข้อมูลเกี่ยวกับประสบการณ์ทำงานและข้อมูลเกี่ยวกับการจ้างงานในอดีต (ก่อนบรรจุเป็นบุคลากรของมหาวิทยาลัย) สถานภาพทางการทหาร ข้อมูลเกี่ยวกับลักษณะของบุคลากรได้มาจากการสังเกตและวิเคราะห์ของมหาวิทยาลัย รายละเอียดของผู้ที่สามารถติดต่อได้ในกรณีฉุกเฉิน ข้อมูลเกี่ยวกับยานพาหนะ ใบอนุญาตขับขี่ ความสามารถในการขับขี่ยานพาหนะ ข้อมูลเกี่ยวกับอุบัติเหตุ รายงานการปฏิบัติงาน การทำงานล่วงเวลา การขาดและลางาน ข้อมูลการใช้งานและการเข้าถึงระบบสารสนเทศ ข้อมูลที่บุคลากรเลือกจะแบ่งปันและเปิดเผยผ่านระบบ แอปพลิเคชัน เครื่องมือ แบบสอบถาม แบบประเมิน และเอกสารต่าง ๆ ของมหาวิทยาลัย

สิทธิของเจ้าของข้อมูลส่วนบุคคล
          การใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล รวมถึงช่องทาง และการอำนวยความสะดวกให้แก่เจ้าของข้อมูลส่วนบุคลมีดังต่อไปนี้ นี้
  1. สิทธิขอเข้าถึงและขอรับสำเนาข้อมูลส่วนบุคคลที่เกี่ยวกับตนซึ่งอยู่ในความคุ้มครองของมหาวิทยาลัย หรือขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลส่วนบุคคลที่ตนไม่ได้รับความยินยอม (Right of Access)
  2. สิทธิขอรับข้อมูลส่วนบุคคลที่เกี่ยวกับตนจากมหาวิทยาลัย ในกรณีที่มหาวิทยาลัยได้ทำให้ข้อมูลส่วนบุคคลนั้นอยู่ในรูปแบบที่สามารถอ่านหรือใช้งานโดยทั่วไปได้ด้วยเครื่องมือหรืออุปกรณ์ที่ทำงานได้โดยอัตโนมัติและสามารถใช้หรือเปิดเผยข้อมูลส่วนบุคคลได้ด้วยวิธีการอัตโนมัติ รวมทั้งสิทธิขอให้มหาวิทยาลัยส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยังผู้ควบคุมข้อมูลส่วนบุคคลอื่นเมื่อสามารถทำได้ด้วยวิธีการอัตโนมัติ และสิทธิขอรับข้อมูลส่วนบุคคลที่มหาวิทยาลัยส่งหรือโอนข้อมูลส่วนบุคคลในรูปแบบดังกล่าวไปยัง ผู้ควบคุมข้อมูลส่วนบุคคลอื่นโดยตรง เว้นแต่โดยสภาพทางเทคนิคไม่สามารถทำได้ (Right to Data Portability)
  3. สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับตน (Right to Object)
  4. สิทธิขอให้มหาวิทยาลัยดำเนินการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุ ตัวบุคคลที่เป็นเจ้าของข้อมูลได้ (Right to Erasure)
  5. สิทธิขอให้มหาวิทยาลัยระงับการใช้ข้อมูลส่วนบุคคล (Right to Restriction of Processing)
  6. สิทธิร้องขอให้มหาวิทยาลัยดำเนินการให้ข้อมูลส่วนบุคคลถูกต้อง เป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิด ความเข้าใจผิด (Right to Rectification)
          มหาวิทยาลัยเคารพสิทธิของบุคลากรในฐานะเจ้าของข้อมูลภายใต้กฎหมายที่เกี่ยวข้อง ซึ่งบุคลากรสามารถติดต่อผู้ปฏิบัติงานด้านทรัพยากรบุคคลในหน่วยงานที่บุคลากรสังกัดอยู่ เพื่อแจ้งความประสงค์ขอใช้สิทธิของเจ้าของข้อมูลดังกล่าวข้างต้น ทั้งนี้ ตามกฎหมายบัญญัติและมหาวิทยาลัยอาจปฏิเสธการใช้สิทธิดังกล่าวข้างต้นของเจ้าของข้อมูลส่วนบุคคลหรือผู้มีอำนาจกระทำแทนได้หากไม่ขัดต่อกฎหมาย

ข้อมูลเพิ่มเติมเกี่ยวกับประกาศด้านความเป็นส่วนบุคคล และการติดต่อประสานงาน
           ในกรณีที่บุคลากรมีข้อสงสัยหรือคำถามเกี่ยวกับข้อมูลความเป็นส่วนบุคคลของบุคลากร และในประกาศฉบับนี้ไม่ได้ระบุไว้ สามารถศึกษาเพิ่มเติมได้บนหน้า Website : https://privacy.mahidol.ac.th รวมถึงข้อเสนอแนะต่าง ๆ เกี่ยวกับข้อมูลส่วนบุคคล และประกาศมหาวิทยาลัยมหิดล เรื่อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2563
          ในกรณีที่ต้องการความช่วยเหลือเพิ่มเติม สามารถประสานงานได้ผ่านเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของมหาวิทยาลัย (Data Protection Officer: DPO) หรือประสานงานผ่านทาง E-mail: privacy@mahidol.ac.th