CHINIS DATA PROTECTION AND PRIVACY POLICY

นโยบายการคุ้มครองข้อมูลส่วนบุคคล (PDPA Policy)

โรงเรียนนานาชาติจีน

1. คำประกาศนโยบาย

โรงเรียนนานาชาติจีนตระหนักถึงความสำคัญของสิทธิความเป็นส่วนตัวและการคุ้มครองข้อมูลส่วนบุคคลของนักเรียน ผู้ปกครอง บุคลากร และผู้ที่เกี่ยวข้องทุกฝ่าย โรงเรียนมีความมุ่งมั่นที่จะดำเนินการเก็บ ใช้ เปิดเผย และเก็บรักษาข้อมูลส่วนบุคคลด้วยความรับผิดชอบ โปร่งใส และสอดคล้องกับ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ตลอดจนกฎหมายและมาตรฐานที่เกี่ยวข้อง

2. ขอบเขตการบังคับใช้

นโยบายนี้ครอบคลุมถึงข้อมูลส่วนบุคคลของ

  • นักเรียน (ปัจจุบัน อดีต และผู้สมัครเรียน)
  • ผู้ปกครอง ผู้แทนโดยชอบธรรม และผู้ติดต่อฉุกเฉิน
  • ครูและบุคลากรทุกฝ่าย
  • คู่สัญญา ผู้รับเหมา และผู้ให้บริการภายนอก
  • ผู้มาติดต่อหรือผู้เยี่ยมชมโรงเรียน
  • ศิษย์เก่า

3. คำจำกัดความ

  • ข้อมูลส่วนบุคคล หมายถึง ข้อมูลที่สามารถระบุตัวบุคคลได้ ไม่ว่าจะทางตรงหรือทางอ้อม
  • ข้อมูลส่วนบุคคลที่มีความอ่อนไหว (Sensitive Data) ได้แก่ ข้อมูลสุขภาพ ศาสนา เชื้อชาติ ประวัติทางวินัย หรือประวัติอาชญากรรม ฯลฯ
  • ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) หมายถึง โรงเรียนนานาชาติจีน ซึ่งกำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูล
  • ผู้ประมวลผลข้อมูล (Data Processor) หมายถึง บุคคล/นิติบุคคลที่ประมวลผลข้อมูลแทนโรงเรียน
  • เจ้าของข้อมูลส่วนบุคคล (Data Subject) หมายถึง บุคคลซึ่งเป็นเจ้าของข้อมูลนั้น

4. ประเภทของข้อมูลที่เก็บรวบรวม

ข้อมูลนักเรียน:

  • ข้อมูลระบุตัวตน เช่น ชื่อ-สกุล วันเกิด สัญชาติ เลขบัตรประชาชน/หนังสือเดินทาง
  • ประวัติการศึกษา ผลการเรียน และข้อมูลการประเมิน
  • ข้อมูลสุขภาพและการดูแลด้านความปลอดภัย
  • ประวัติการกระทำผิดทางวินัย
  • ข้อมูลการเข้าร่วมกิจกรรมและพฤติกรรมในโรงเรียน
  • ภาพถ่าย วิดีโอ หรือสื่อประชาสัมพันธ์
  • ข้อมูลจากกล้องวงจรปิด (CCTV) และระบบควบคุมการเข้าออก
  • ข้อมูลการใช้ระบบสารสนเทศ (เช่น Log-in, E-learning system)
  • ข้อมูลทางการเงิน เช่น การชำระค่าเล่าเรียน

ข้อมูลบุคลากร:

  • ข้อมูลส่วนบุคคลและข้อมูลการจ้างงาน
  • ประวัติการศึกษา คุณวุฒิ และประวัติการทำงาน
  • ข้อมูลเงินเดือนและสิทธิประโยชน์
  • ข้อมูลสุขภาพ และข้อมูลที่เกี่ยวข้องกับการทำงาน
  • ข้อมูล CCTV และระบบเข้าออก

ข้อมูลผู้ปกครอง/ผู้เยี่ยมชม:

  • ชื่อ-สกุล และข้อมูลติดต่อ
  • ข้อมูลที่จำเป็นสำหรับการประสานงานฉุกเฉิน
  • ภาพจาก CCTV หรือบันทึกการเข้าเยี่ยมชม

5. วัตถุประสงค์ในการใช้ข้อมูลส่วนบุคคล

โรงเรียนจะใช้ข้อมูลเพื่อวัตถุประสงค์ดังต่อไปนี้:

  • การจัดการเรียนการสอนและการบริหารด้านวิชาการ
  • การติดต่อสื่อสารกับผู้ปกครองและผู้มีส่วนได้ส่วนเสีย
  • การดูแลความปลอดภัยและการจัดการด้านการรักษาความปลอดภัย (รวมถึง CCTV)
  • การบริหารจัดการบุคลากรและทรัพยากรบุคคล
  • การจัดการด้านการเงินและธุรกรรมต่าง ๆ
  • การประชาสัมพันธ์ กิจกรรม และงานด้านการตลาด (โดยขอความยินยอมก่อนเผยแพร่)
  • การปฏิบัติตามกฎหมาย ระเบียบ หรือข้อกำหนดจากหน่วยงานที่เกี่ยวข้อง

6. การจัดการข้อมูลส่วนบุคคลที่มีความอ่อนไหว

ข้อมูลที่มีความอ่อนไหวจะถูกรวบรวม ใช้ หรือเปิดเผย เฉพาะเมื่อได้รับความยินยอมโดยชัดแจ้งจากเจ้าของข้อมูล หรือในกรณีที่กฎหมายกำหนดและจำเป็นต่อการปฏิบัติหน้าที่ของโรงเรียน

7. การเก็บรักษาและการลบข้อมูล

  • โรงเรียนจะเก็บรักษาข้อมูลเท่าที่จำเป็นตามวัตถุประสงค์ทางการศึกษา กฎหมาย หรือข้อกำหนดทางธุรการ
  • เมื่อข้อมูลหมดความจำเป็น โรงเรียนจะทำลาย หรือนิรนามข้อมูล (Anonymization) อย่างปลอดภัย
  • ข้อมูลบางประเภท เช่น ใบแสดงผลการศึกษา อาจถูกเก็บรักษาในระยะยาวตามข้อกฎหมาย

8. การรักษาความมั่นคงปลอดภัยของข้อมูล

โรงเรียนได้ใช้มาตรการทั้งด้านเทคนิคและการบริหารจัดการเพื่อป้องกันข้อมูล เช่น

  • การกำหนดสิทธิ์การเข้าถึงเฉพาะบุคลากรที่เกี่ยวข้อง
  • การใช้รหัสผ่าน การเข้ารหัส และระบบป้องกัน IT
  • การเก็บเอกสารสำคัญในพื้นที่ปลอดภัย
  • การอบรมบุคลากรเกี่ยวกับความลับและ PDPA
  • การตรวจสอบและประเมินระบบอย่างสม่ำเสมอ

9. การใช้กล้องวงจรปิด (CCTV) และข้อมูลชีวมิติ

โรงเรียนมีการใช้กล้องวงจรปิดเพื่อดูแลความปลอดภัย โดยภาพจาก CCTV จะถูกเก็บในระยะเวลาที่จำกัด (เช่น 14–30 วัน) และจะถูกลบโดยอัตโนมัติหากไม่จำเป็นต้องใช้ต่อ
สำหรับข้อมูลชีวมิติ (Biometric Data) เช่น ระบบสแกนใบหน้า/ลายนิ้วมือ โรงเรียนจะใช้เฉพาะเมื่อได้รับความยินยอมจากเจ้าของข้อมูล

10. การเปิดเผยและการโอนข้อมูลไปต่างประเทศ

โรงเรียนอาจเปิดเผยข้อมูลให้กับ:

  • หน่วยงานราชการหรือหน่วยงานรัฐตามที่กฎหมายกำหนด
  • คู่สัญญา หรือผู้ให้บริการที่เกี่ยวข้อง โดยอยู่ภายใต้สัญญารักษาความลับ
  • โรงเรียนหรือสถาบันการศึกษาที่เกี่ยวข้องตามคำร้องของผู้ปกครองหรือนักเรียน

หากมีการโอนข้อมูลไปต่างประเทศ โรงเรียนจะดำเนินการภายใต้มาตรการที่ได้มาตรฐานและสอดคล้องกับ PDPA

11. สิทธิของเจ้าของข้อมูลส่วนบุคคล

เจ้าของข้อมูลมีสิทธิ์ดังต่อไปนี้:

  • ขอเข้าถึงและขอสำเนาข้อมูลส่วนบุคคล
  • ขอแก้ไขข้อมูลที่ไม่ถูกต้องหรือไม่เป็นปัจจุบัน
  • ขอให้ลบหรือทำลายข้อมูลที่ไม่จำเป็นต่อการเก็บรักษา
  • ถอนความยินยอมเมื่อใดก็ได้ (ในกรณีที่การประมวลผลขึ้นอยู่กับความยินยอม)
  • ขอคัดค้านการประมวลผลในบางกรณี
  • ขอรับหรือโอนย้ายข้อมูลส่วนบุคคล (Data Portability)
  • ยื่นเรื่องร้องเรียนต่อคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หากเห็นว่ามีการละเมิดสิทธิ์

12. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

โรงเรียนนานาชาติจีนทำหน้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล และได้แต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) เพื่อดูแลการปฏิบัติตาม PDPA และเป็นช่องทางในการติดต่อสอบถามหรือใช้สิทธิ์ของเจ้าของข้อมูล

13. การจัดการเหตุละเมิดข้อมูล (Data Breach)

หากเกิดเหตุละเมิดข้อมูลส่วนบุคคล โรงเรียนจะ:

  • ตรวจสอบและประเมินความเสียหาย
  • แจ้งเจ้าของข้อมูลและหน่วยงานกำกับดูแลตามที่กฎหมายกำหนด
  • ดำเนินมาตรการแก้ไขและป้องกันเหตุซ้ำ

14. การทบทวนและปรับปรุงนโยบาย

นโยบายฉบับนี้อาจได้รับการทบทวนและปรับปรุงเป็นระยะ เพื่อให้สอดคล้องกับการเปลี่ยนแปลงของกฎหมายและการดำเนินงานของโรงเรียน โดยโรงเรียนจะแจ้งให้ผู้ที่เกี่ยวข้องทราบหากมีการแก้ไขสาระสำคัญ

โรงเรียนนานาชาติจีน  เรามุ่งมั่นในการปกป้องความเป็นส่วนตัวของคณาจารย์ ผู้ปกครอง และนักเรียนอย่างเต็มที่ หากต้องการข้อมูลเพิ่มเติม กรุณาติดต่อ info@chinis.ac.th