นโยบายความเป็นส่วนตัว

ระบบบริหารงานบุคคล · คณะวิทยาการสารสนเทศ มหาวิทยาลัยมหาสารคาม · ปรับปรุงล่าสุด: 24 มิถุนายน 2569

สารบัญ

1. ข้อมูลที่เราเก็บ
2. วัตถุประสงค์ในการประมวลผล
3. ฐานทางกฎหมาย
4. การเปิดเผยข้อมูลแก่บุคคลภายนอก
5. ระยะเวลาเก็บข้อมูล
6. สิทธิของเจ้าของข้อมูล
7. มาตรการรักษาความมั่นคงปลอดภัย
8. ติดต่อเจ้าหน้าที่คุ้มครองข้อมูล

คณะวิทยาการสารสนเทศ มหาวิทยาลัยมหาสารคาม (ต่อไปเรียกว่า "คณะ") ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และให้ความสำคัญกับการคุ้มครองสิทธิของท่านตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) นโยบายนี้อธิบายว่าระบบบริหารงานบุคคลของคณะเก็บข้อมูลใด ใช้อย่างไร และท่านมีสิทธิอะไรบ้าง

1. ข้อมูลที่เราเก็บ

ระบบเก็บรวบรวมข้อมูลส่วนบุคคลของบุคลากรคณะเท่าที่จำเป็นต่อการบริหารงานบุคคล ได้แก่:

ข้อมูลพื้นฐาน: คำนำหน้า ชื่อ-นามสกุล (ไทย/อังกฤษ) เพศ วันเดือนปีเกิด เลขประจำตัวประชาชน
ข้อมูลติดต่อ: หมายเลขโทรศัพท์ อีเมล ที่อยู่
ข้อมูลการจ้างงาน: รหัสพนักงาน ตำแหน่ง สังกัด ประเภทการจ้าง วันเริ่มงาน
ประวัติ: การศึกษา การทำงาน การอบรม ตำแหน่งวิชาการ เครื่องราชอิสริยาภรณ์
ข้อมูลการลา: คำขอลา เหตุผล โควต้าที่ใช้
ข้อมูลทางเทคนิค: หมายเลข IP เวลาเข้าใช้งาน บันทึกการกระทำ (audit log) เพื่อความปลอดภัย

2. วัตถุประสงค์ในการประมวลผล

เพื่อบริหารงานบุคคลของคณะตามภารกิจของหน่วยงานราชการ
เพื่อพิจารณาคำขอลา ตำแหน่งวิชาการ และเครื่องราชอิสริยาภรณ์
เพื่อจัดทำรายงาน สถิติ และวางแผนกำลังคน (ข้อมูลสรุปไม่ระบุตัวบุคคล)
เพื่อความปลอดภัยของระบบและตรวจสอบเหตุการณ์ผิดปกติ

3. ฐานทางกฎหมาย

การประมวลผลข้อมูลส่วนบุคคลของท่านอ้างอิงฐานทางกฎหมายต่อไปนี้:

การปฏิบัติตามภารกิจของรัฐ — ม.24(4) แห่ง PDPA
การปฏิบัติตามสัญญา — ระหว่างบุคลากรกับมหาวิทยาลัย
ความยินยอม — สำหรับข้อมูลที่ไม่จำเป็นต้องเก็บโดยกฎหมาย

คณะจะไม่เปิดเผยข้อมูลส่วนบุคคลของท่านให้บุคคลภายนอก ยกเว้น:

หน่วยงานของมหาวิทยาลัย ตามภารกิจที่จำเป็น
หน่วยงานราชการอื่น เช่น กรมบัญชีกลาง สำนักนายกรัฐมนตรี ตามที่กฎหมายกำหนด
ตามคำสั่งศาลหรือกฎหมายอื่น

5. ระยะเวลาเก็บข้อมูล

ระหว่างปฏิบัติงาน: เก็บตลอดช่วงเวลาที่ท่านเป็นบุคลากรของคณะ
หลังพ้นสภาพ: เก็บอีก 10 ปี ตามระเบียบของทางราชการ จากนั้นจะลบหรือ anonymize
Audit log: เก็บอย่างน้อย 90 วัน เพื่อตรวจสอบเหตุการณ์ผิดปกติ

6. สิทธิของเจ้าของข้อมูล

ตาม PDPA ท่านมีสิทธิดังต่อไปนี้:

สิทธิในการเข้าถึง (Right of Access) — ขอดูข้อมูลส่วนบุคคลที่ระบบเก็บ
สิทธิในการแก้ไข (Right to Rectification) — ขอแก้ไขข้อมูลที่ไม่ถูกต้อง
สิทธิในการลบ (Right to Erasure) — ขอลบข้อมูลในกรณีที่มีเหตุผลตามกฎหมาย
สิทธิในการคัดค้าน (Right to Object) — คัดค้านการประมวลผลในบางกรณี
สิทธิในการให้ส่งหรือโอนข้อมูล (Right to Portability) — ขอข้อมูลในรูปแบบที่อ่านได้ด้วยเครื่อง
สิทธิในการระงับการใช้ (Right to Restriction) — ขอระงับการประมวลผลชั่วคราว
สิทธิในการถอนความยินยอม (Withdraw Consent) — กรณีที่ประมวลผลตามฐานความยินยอม

💡 ท่านสามารถใช้สิทธิเหล่านี้ผ่าน หน้าคำขอใช้สิทธิเจ้าของข้อมูล

7. มาตรการรักษาความมั่นคงปลอดภัย

เข้ารหัสรหัสผ่านด้วย Argon2id
ป้องกัน SQL Injection ด้วย Prepared Statement
ป้องกัน XSS ด้วยการ escape ข้อมูลทุกการแสดงผล
ป้องกัน CSRF ด้วย token ในทุก request ที่เปลี่ยนแปลงข้อมูล
จำกัดจำนวนการ login ผิด (5 ครั้ง / 15 นาที)
บันทึก audit log ทุกการกระทำสำคัญ
Mask เลขประจำตัวประชาชนในรายงาน export
Session-based authentication พร้อม HTTPOnly + SameSite cookies

8. ติดต่อเจ้าหน้าที่คุ้มครองข้อมูล

หากท่านมีข้อสงสัย ข้อร้องเรียน หรือต้องการใช้สิทธิตามกฎหมาย กรุณาติดต่อ:

สำนักงานคณะวิทยาการสารสนเทศ
มหาวิทยาลัยมหาสารคาม ต.ขามเรียง อ.กันทรวิชัย จ.มหาสารคาม 44150
โทรศัพท์: 043-754-322 ต่อ ...
อีเมล: itadmin@msu.ac.th

เอกสารนี้ปรับปรุงล่าสุด: 24 มิถุนายน 2569

← เข้าสู่ระบบ