นโยบายความเป็นส่วนตัว (Privacy Policy)
1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)
คณะสารสนเทศและการสื่อสาร มหาวิทยาลัยแม่โจ้
ที่อยู่: 63 หมู่ 4 ต.หนองหาร อ.สันทราย จ.เชียงใหม่ 50290
โทร: 053-875-000 · อีเมลติดต่อ DPO: [email protected]
2. ข้อมูลที่ระบบเก็บรวบรวม
| ประเภทข้อมูล | ตัวอย่าง | วัตถุประสงค์ |
|---|---|---|
| ข้อมูลระบุตัวตน | รหัสนักศึกษา · ชื่อ-สกุล · email | ระบุผู้ใช้งาน · ผู้ยืม |
| บัญชีผู้ใช้ | username · password (เข้ารหัส bcrypt) | เข้าสู่ระบบ |
| ข้อมูลการใช้งาน | ประวัติยืม-คืน · แจ้งซ่อม · IP · timestamp | ตรวจสอบและรายงาน |
| ข้อมูลทางเทคนิค | browser/device · session | รักษาความปลอดภัย |
| ภาพถ่าย | รูปครุภัณฑ์ · รูปอาการเสีย | หลักฐานประกอบการแจ้งซ่อม |
3. วัตถุประสงค์ของการเก็บข้อมูล
- การยืม-คืนอุปกรณ์และครุภัณฑ์ของห้องปฏิบัติการ
- การแจ้งซ่อมและติดตามสถานะ Ticket
- การรายงานสถิติเชิงรวมเพื่อ EdPEx และพัฒนาคุณภาพการให้บริการ
- การตรวจสอบความปลอดภัย (audit log) เพื่อสืบสวนเหตุการณ์
- การติดต่อแจ้งเตือนเมื่อเกิดเหตุ (overdue / SLA)
เราจะไม่ใช้ข้อมูลของท่านเพื่อการตลาดหรือเผยแพร่ต่อบุคคลที่สามโดยไม่ได้รับความยินยอม
4. ฐานทางกฎหมายในการประมวลผล
- ความยินยอม (Consent): ในขั้นสมัครสมาชิก ท่านยอมรับนโยบายนี้
- สัญญา (Contract): เพื่อให้บริการห้องปฏิบัติการตามภารกิจของคณะ
- ประโยชน์โดยชอบด้วยกฎหมาย: การรักษาความปลอดภัยและตรวจสอบ audit
5. ระยะเวลาในการเก็บรักษา
- ข้อมูลบัญชี: เก็บตลอดระยะเวลาที่ท่านเป็นสมาชิก
- ประวัติยืม-คืน: 2 ปี หลังคืนอุปกรณ์ จากนั้นจะ anonymize อัตโนมัติ
- Audit log: 5 ปี เพื่อ compliance
- Backup: 30 วัน หมุนเวียน
6. สิทธิ์ของเจ้าของข้อมูล (Data Subject Rights)
ตาม PDPA มาตรา 30-37 ท่านมีสิทธิ์ดังนี้:
- สิทธิ์ในการเข้าถึง: ดาวน์โหลดข้อมูลของท่านได้ที่หน้าโปรไฟล์ (กำลังพัฒนา)
- สิทธิ์ในการแก้ไข: ติดต่อเจ้าหน้าที่เพื่อแก้ไขข้อมูล
- สิทธิ์ในการลบ: ส่งคำขอลบบัญชี — admin จะตรวจสอบและดำเนินการภายใน 30 วัน
- สิทธิ์ในการคัดค้าน: หยุดการประมวลผลเมื่อไม่ใช่ฐานสัญญา
- สิทธิ์ในการโอนย้าย: ขอข้อมูลในรูปแบบที่อ่านได้ (JSON/CSV)
- สิทธิ์ในการเพิกถอนความยินยอม: ทำได้ทุกเมื่อโดยไม่กระทบการประมวลผลที่ผ่านมา
7. มาตรการรักษาความปลอดภัย
- การเข้ารหัส password ด้วย bcrypt
- การเชื่อมต่อ HTTPS เท่านั้น
- JWT token + role-based access control (RBAC)
- Audit log ทุกการเปลี่ยนแปลงข้อมูล
- Auto backup รายวัน + retention 30 วัน
- Rate limit ป้องกัน brute-force
8. การเปิดเผยข้อมูลแก่บุคคลที่สาม
เราไม่เปิดเผยข้อมูลแก่บุคคลที่สาม ยกเว้น:
- เมื่อมีคำสั่งศาลหรือหน่วยงานกำกับดูแล
- เมื่อจำเป็นเพื่อรักษาความปลอดภัยของระบบ
- ผู้ให้บริการ infrastructure (Render, Vercel, Supabase) ภายใต้ Data Processing Agreement
9. การเปลี่ยนแปลงนโยบาย
เมื่อนโยบายเปลี่ยนแปลง ระบบจะแสดง popup ขอ consent ใหม่ในการเข้าสู่ระบบครั้งถัดไป
10. ติดต่อเจ้าหน้าที่คุ้มครองข้อมูล (DPO)
หากมีข้อสงสัยหรือต้องการใช้สิทธิ์ตาม PDPA โปรดติดต่อ:
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)
คณะสารสนเทศและการสื่อสาร มหาวิทยาลัยแม่โจ้
อีเมล: [email protected] · โทร: 053-875-000
หากท่านเห็นว่าสิทธิ์ของท่านถูกละเมิด สามารถร้องเรียนได้ที่ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ·
www.pdpc.or.th