สรุปสาระสำคัญ
•ศิษย์เก่าไม่ใช่นักศึกษาสามารถ ไม่สามารถประมวลข้อมูลส่วนบุคคลโดยใช้ฐานสัญญาเหมือนกับตอนที่เป็นนักศึกษาได้
•ควรเลือกใช้วิธีการ ‘Opt-In’ มากกว่า ‘Opt-Out’
•ไม่สามารถใช้เงื่อนไขที่ไม่เป็นธรรมเพื่อให้ศิษย์เก่าให้ข้อมูล เช่น หากไม่ให้ข้อมูลจะไม่สามารถเข้ารับพระราชทานปริญญาได้
•ยึดหลัก “เก็บเท่าที่จำเป็น” หรือ “Data Minimisation”
•ข้อมูลที่เก็บไว้ไม่ได้ใช่ ควรทำลายทิ้ง เพื่อลดความเสี่ยง
•เข้ารหัสข้อมูลที่จัดเก็บเพิ่มระดับความปลอดภัยเพื่อป้องกันข้อมูลส่วนบุคคล
•จัดทำ RoPA การประมวลผลที่เกี่ยวข้องกับข้อมูลศิษย์เก่า
•มหาวิทยาลัยสามารถนำส่งข้อมูลศิษย์เก่าให้กับกระทรวงต้นสังกัดได้ (โดยใช้ฐานกฎหมาย)
•หากข้อมูลส่วนบุคคลศิษย์เก่ารั่วไหล ให้แจ้งมหาวิทยาลัย (https://privacy.cmu.ac.th)
