นโยบายคุ้มครองข้อมูลส่วนบุคคล

คณะบริหารธุรกิจ มหาวิทยาลัยเทคโนโลยีราชมงคลกรุงเทพ (RKBS)
ระบบติดตามและเชื่อมโยงศิษย์เก่า
มีผลบังคับใช้: 1 มิถุนายน 2568 ปรับปรุงล่าสุด: 30 มีนาคม 2569 พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
1 บทนำ

คณะบริหารธุรกิจ มหาวิทยาลัยเทคโนโลยีราชมงคลกรุงเทพ ("คณะฯ" หรือ "เรา") ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลของศิษย์เก่า อาจารย์ นักศึกษา และบุคคลที่เกี่ยวข้อง ทุกท่านที่ใช้งานระบบติดตามและเชื่อมโยงศิษย์เก่า RKBS Alumni ("ระบบ")

นโยบายนี้จัดทำขึ้นตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เพื่อแจ้งให้ท่านทราบถึงวิธีการเก็บรวบรวม ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของท่าน

ขอบเขตการบังคับใช้: นโยบายนี้ครอบคลุมการดำเนินงานของระบบ RKBS Alumni ทุกช่องทาง ได้แก่ เว็บแอปพลิเคชัน และระบบที่เกี่ยวข้องทั้งหมด
2 ข้อมูลส่วนบุคคลที่เก็บรวบรวม

ระบบเก็บรวบรวมข้อมูลส่วนบุคคลของท่านใน 4 หมวดหมู่ ดังนี้

หมวดข้อมูล รายการข้อมูล แหล่งที่มา
ข้อมูลตัวตน ชื่อ–นามสกุล, เลขบัตรประชาชน, รูปถ่าย, รหัสนักศึกษา (RMUTK ID) ผู้ใช้กรอกเอง / ผู้ดูแลระบบ
ข้อมูลติดต่อ อีเมล, เบอร์โทรศัพท์, ที่อยู่, Line ID, Facebook, LinkedIn ผู้ใช้กรอกเอง
ข้อมูลการศึกษา สาขาวิชา, หลักสูตรที่จบ, ปีการศึกษาที่เข้า–จบ, วุฒิการศึกษา ผู้ใช้กรอกเอง / ผู้ดูแลระบบ
ข้อมูลอาชีพ อาชีพปัจจุบัน, ตำแหน่งงาน, ชื่อองค์กร, ประวัติการทำงาน, ไฟล์ยืนยันอาชีพ ผู้ใช้กรอกเอง
ข้อมูลการใช้งาน Log การเข้าสู่ระบบ, วันเวลาใช้งาน, IP Address, การกระทำในระบบ ระบบบันทึกอัตโนมัติ
ข้อมูลอ่อนไหว: เลขบัตรประชาชนถือเป็นข้อมูลส่วนบุคคลที่มีความอ่อนไหว ระบบจัดเก็บในรูปแบบที่เข้ารหัสและจำกัดการเข้าถึงเฉพาะผู้มีสิทธิ์เท่านั้น
3 วัตถุประสงค์ในการใช้ข้อมูล

คณะฯ ใช้ข้อมูลส่วนบุคคลของท่านเพื่อวัตถุประสงค์ดังต่อไปนี้

ติดตามและเชื่อมโยงศิษย์เก่า

สร้างเครือข่ายศิษย์เก่า อำนวยความสะดวกในการติดต่อประสานงาน และเสริมสร้างความสัมพันธ์ระหว่างศิษย์เก่ากับคณะฯ

วิจัยและพัฒนาหลักสูตร

วิเคราะห์ข้อมูลเชิงสถิติเพื่อประกอบการพัฒนาหลักสูตรและปรับปรุงคุณภาพการศึกษาให้ตรงกับความต้องการตลาดแรงงาน

การสื่อสารและประชาสัมพันธ์

ส่งข่าวสาร กิจกรรม โอกาสงาน และข้อมูลที่เป็นประโยชน์แก่ศิษย์เก่า (เฉพาะผู้ที่ยินยอม)

ความปลอดภัยของระบบ

ตรวจสอบและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต ตรวจจับกิจกรรมที่ผิดปกติ และรักษาความสมบูรณ์ของข้อมูล

4 ฐานทางกฎหมายในการประมวลผล

คณะฯ ประมวลผลข้อมูลส่วนบุคคลของท่านโดยอาศัยฐานทางกฎหมายตาม PDPA ดังนี้

ฐานทางกฎหมาย กรณีที่ใช้
ความยินยอม
(Consent)
การส่งจดหมายข่าว ประชาสัมพันธ์กิจกรรม การเผยแพร่ข้อมูลในไดเรกทอรีศิษย์เก่า
สัญญา
(Contract)
การลงทะเบียนใช้งานระบบ การยืนยันตัวตน การให้บริการพื้นฐานของระบบ
ประโยชน์โดยชอบด้วยกฎหมาย
(Legitimate Interest)
การบันทึก Log เพื่อความปลอดภัย การวิเคราะห์เชิงสถิติแบบไม่ระบุตัวตน
หน้าที่ตามกฎหมาย
(Legal Obligation)
การรายงานต่อหน่วยงานกำกับดูแลตามที่กฎหมายกำหนด
5 การเปิดเผยข้อมูลส่วนบุคคล

คณะฯ จะไม่ขายหรือให้เช่าข้อมูลส่วนบุคคลของท่านแก่บุคคลภายนอก และจะเปิดเผยเฉพาะในกรณีดังนี้

  • หน่วยงานภายในมหาวิทยาลัย
    สำนักทะเบียน กองบริหารงานบุคคล และหน่วยงานที่เกี่ยวข้องในการให้บริการนักศึกษาและศิษย์เก่า
  • ผู้ให้บริการเทคโนโลยี
    ผู้ให้บริการระบบที่รับจ้างประมวลผลข้อมูลในนามของคณะฯ เช่น ผู้ให้บริการเซิร์ฟเวอร์ และ บริการส่งอีเมล (ผูกพันโดยสัญญาประมวลผลข้อมูล)
  • หน่วยงานของรัฐ
    เมื่อมีคำสั่งหรือหมายศาล หรือตามที่กฎหมายกำหนด เช่น สกสว. สป.อว. หรือหน่วยงานตรวจสอบ
ทุกกรณีที่เปิดเผยข้อมูลแก่บุคคลภายนอก คณะฯ จะดำเนินการภายใต้มาตรการคุ้มครองที่เหมาะสมและกำหนดไว้ในสัญญา
6 ระยะเวลาการเก็บรักษาข้อมูล
ประเภทข้อมูล ระยะเวลา เหตุผล
ข้อมูลโปรไฟล์ศิษย์เก่า ตลอดที่บัญชียังเปิดใช้งาน
+ 5 ปีหลังปิดบัญชี
เพื่อการติดตามและวิจัยระยะยาว
Log การใช้งานระบบ 90 วัน ความปลอดภัยและตรวจสอบย้อนหลัง
Log การเข้าสู่ระบบ 1 ปี ตรวจสอบการเข้าถึงโดยไม่ได้รับอนุญาต
ไฟล์แนบและเอกสาร ตามอายุบัญชี ประกอบการตรวจสอบสิทธิ์
ข้อมูลสำรอง (Backup) 30 วัน กู้คืนข้อมูลกรณีฉุกเฉิน

เมื่อครบระยะเวลา คณะฯ จะลบหรือทำให้ข้อมูลไม่สามารถระบุตัวตนได้ (Anonymization) อย่างปลอดภัย

7 มาตรการรักษาความปลอดภัยของข้อมูล

คณะฯ ใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลของท่าน ดังนี้

เข้ารหัสรหัสผ่าน

ใช้ bcrypt hashing (PASSWORD_DEFAULT) ไม่จัดเก็บรหัสผ่านแบบข้อความธรรมดา

ควบคุมการเข้าถึง

ระบบ Role-Based Access Control (RBAC) แยกสิทธิ์ Admin / อาจารย์ / สมาชิก

ป้องกัน SQL Injection

ใช้ Prepared Statements ทุก Query เพื่อป้องกันการโจมตีฐานข้อมูล

บันทึก Audit Log

บันทึกการกระทำสำคัญทั้งหมด เช่น เข้าสู่ระบบ แก้ไขข้อมูล เพื่อตรวจสอบย้อนหลัง

Session Management

จำกัดอายุ Session และบังคับออกจากระบบเมื่อหมดเวลา

เปลี่ยนรหัสผ่านแรกเข้า

บังคับให้ผู้ใช้ใหม่เปลี่ยนรหัสผ่านชั่วคราวก่อนใช้งานระบบ

8 สิทธิของเจ้าของข้อมูลส่วนบุคคล

ภายใต้ พ.ร.บ. PDPA ท่านมีสิทธิดังต่อไปนี้

สิทธิในการเข้าถึง

ขอดูข้อมูลส่วนบุคคลของท่านที่คณะฯ เก็บรักษาไว้

สิทธิในการแก้ไข

ขอแก้ไขข้อมูลที่ไม่ถูกต้อง ไม่สมบูรณ์ หรือทำให้เข้าใจผิด

สิทธิในการลบ

ขอให้ลบข้อมูลส่วนบุคคลเมื่อสิ้นสุดความจำเป็น

สิทธิในการคัดค้าน

คัดค้านการประมวลผลข้อมูลเพื่อวัตถุประสงค์บางประการ

สิทธิในการระงับ

ขอให้ระงับการใช้ข้อมูลในระหว่างตรวจสอบหรือคัดค้าน

สิทธิในการโอนย้าย

ขอรับข้อมูลในรูปแบบที่เครื่องอ่านได้ (Machine-readable)

สิทธิถอนความยินยอม

ถอนความยินยอมที่เคยให้ไว้ได้ทุกเมื่อผ่านการตั้งค่าบัญชี

สิทธิในการร้องเรียน

ยื่นร้องเรียนต่อสำนักงาน PDPC หากพบการละเมิดสิทธิ์

วิธีใช้สิทธิ์: ท่านสามารถใช้สิทธิ์บางส่วนผ่านระบบได้โดยตรง เช่น แก้ไขข้อมูลโปรไฟล์ และตั้งค่าการรับแจ้งเตือน หรือติดต่อผู้ควบคุมข้อมูลตามข้อ 11 เพื่อยื่นคำร้องอย่างเป็นทางการ คณะฯ จะตอบกลับภายใน 30 วันทำการ
9 การโอนข้อมูลไปยังต่างประเทศ

ปัจจุบันระบบ RKBS Alumni จัดเก็บข้อมูลในเซิร์ฟเวอร์ที่ตั้งอยู่ในประเทศไทย อย่างไรก็ตาม บริการบางส่วนที่ใช้งาน เช่น บริการส่งอีเมล (SMTP) อาจมีการประมวลผลในต่างประเทศ

ในกรณีดังกล่าว คณะฯ จะดำเนินการให้มีมาตรการคุ้มครองที่เพียงพอตามที่ พ.ร.บ. PDPA กำหนด เช่น การทำ Standard Contractual Clauses (SCCs) กับผู้ให้บริการ

10 การเปลี่ยนแปลงนโยบาย

คณะฯ ขอสงวนสิทธิ์ในการปรับปรุงนโยบายนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับกฎหมาย ข้อบังคับ หรือการเปลี่ยนแปลงการดำเนินงาน

  • การเปลี่ยนแปลงที่ไม่มีสาระสำคัญ จะแจ้งผ่านการอัปเดตวันที่บนหน้านี้
  • การเปลี่ยนแปลงที่มีสาระสำคัญ จะแจ้งให้ท่านทราบล่วงหน้าผ่านอีเมลหรือการแจ้งเตือนในระบบ อย่างน้อย 30 วัน ก่อนมีผล

การใช้งานระบบต่อเนื่องหลังวันมีผลบังคับใช้ ถือว่าท่านยอมรับนโยบายที่ปรับปรุงแล้ว

11 ติดต่อผู้ควบคุมข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูล

คณะบริหารธุรกิจ (RKBS) มหาวิทยาลัยเทคโนโลยีราชมงคลกรุงเทพ

2 ถนนนางลิ้นจี่ แขวงทุ่งมหาเมฆ เขตสาทร กรุงเทพมหานคร 10120

0-2287-9600

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

dpo@rmutk.ac.th

วันจันทร์–ศุกร์ เวลา 08.30–16.30 น.


ร้องเรียนต่อ สำนักงาน PDPC: https://www.pdpc.or.th