บันทึกขอตกลงการประมวลผลขอมูล (Data Processing Agreement)
บันทึกขอตกลงการxxxxxxผลขอมูล (Data Processing Agreement)
(กรณีคณะฯ เปน processor เวอรชนั ๒ ฉบับแกไขxxxxxx ๑๗ เมษายน ๒๕๖๕)
ทําที่ ..........................................................
xxxxxx ............. เดือน .................. พ.ศ. ..............
บันทึกขอตกลงนี้ทําขึ้นระหวาง
บริษัท ........................................ มีสํานักงานตั้งxxxที่ ...................................................................
โด ย .. .. .. ... .. .. .. ... .. .. ... .. .. .. ... .. .. .. ... .. .. .. ... .. .. ... .. .. .. ... .. .. .. ... .. ตํ า แ ห น ง
........................................................................ เปนผูมีอํานาจลงนามผูกพัน ซึ่งตอไปในบันทึกขอตกลงนี้เรียกวา
“บริษัทฯ” กับ
มหาวิทยาลัยxxxxx (คณะแพทยศาสตรโรงพยาบาลรามาธิบดี) เลขที่ ๒๗๐ ถนนพระรามที่ ๖ แ ข ว ง ทุ งพ ญ า ไ ท เ ข ต ร า ช x x xx ก รุ ง เ ท พ ม ห า น ค ร ๑ ๐ ๔ ๐ ๐ โ ด ย
.............................................................................. ตําแหนง คณบดีคณะแพทยศาสตรโรงพยาบาลรามาธิบดี เปนผูมีอํานาจลงนามผูกพัน ซึ่งตอไปในบันทึกขอตกลงนี้เรียกวา “คณะฯ”
ตามxxxxxxxสองฝายไดทําสัญญา ฉบับลงxxxxxx
...................................... ทั้งสองฝายจึงตกลงทําบันทึกขอตกลงฉบับนี้ โดยใหบันทึกขอตกลงฉบับนี้เปนสวน หนึ่งของสัญญาดังกลาว ดังมีขอความตอไปนี้
บทนิยาม
ขอ ๑ หากไมไดมีการกําหนดไวเปนอยางอื่นในบันทึกขอตกลงนี้ ใหถอยคําในบันทึกขอตกลงน้ีมี ความหมายดังตอไปนี้
“ขอมูล” (data) หมายความวา สิ่งที่สื่อความหมายใหรูขอความ เรื่องราว ขอเท็จจริง ความเห็น หรือสิ่งใด ๆ ไมวาการสื่อความหมายนั้นจะทําไดโดยสภาพของสิ่งนั้นเองหรือโดยผานวิธีการใด ๆ และไมวาจะ จัดทําไวในรูปของเอกสาร แฟม รายงาน หนังสือ แผนผัง แผนที่ ภาพวาด ภาพถาย ฟลม การบันทึกภาพหรือ เสียง การบันทึกโดยเคร่ืองคอมพิวเตอร หรือวิธีอ่ืนใดที่ทําใหสิ่งที่บันทึกไวปรากฏได และใหหมายความรวมถึง ขอมูลอิเล็กทรอนิกสตามกฎหมายวาดวยธุรกรรมทางอิเล็กทรอนิกสดวย
“ขอมูลสวนบุคคล” (personal data) หมายถึง ขอมูลเกี่ยวกับบุคคลซึ่งทําใหxxxxxxระบุตัว บุคคลนั้นได ไมวาทางตรงหรือทางออม แตไมรวมถึงขอมูลของผูถึงแกกรรมโดยเฉพาะ
“เจาของขอมูลสวนบุคคล” (data subject) หมายถึง บุคคลธรรมดาซึ่งขอมูลสวนบุคคลเปน ขอมูลเกี่ยวกับผูนั้น และxxxxxxระบุตัวบุคคลนั้นได ไมวาทางตรงหรือทางออม และใหหมายความรวมถึงผูใช
-๒-
อํานาจxxxxxxxxxมีอํานาจกระทําการแทนผูxxxx ผูอนุบาลที่มีอํานาจกระทําการแทนคนไร ผูพิทักษที่มีอํานาจกระทําการแทนคนเสมือนไรความxxxxxxดวย
วามxxxxxx หรือ
“การxxxxxxผลขอมูล” (data processing) หมายxxx xxxกระทําอยางหนึ่งหรือหลายอยางxxxxx กระทําตอขอมูลหรือชุดขxxxx xxวาจะโดยวิธีการอัตโนมัติหรือไมก็ตาม ซึ่งรวมxxxxxxเก็บรวบรวม (collection) การบันทึก (recording) การจัดระบบ (organization) การจัดโครงสราง (structuring) การจัดเก็บหรือเก็บรักษา (storage) การดัดแปลงหรือการเปลี่ยนแปลงแกไข (adaptation or alteration) การคนคืน (retrieval) การ ปรึกษา (consultation) การใช (use) การเปดเผยโดยการสงผาน การเผยแพร หรือการทําใหพรอมใชงานโดย วิธีการอื่นใด (disclosure by transmission, dissemination or otherwise making available) การปรับแนว หรือการรวมเขากัน (alignment or combination) การจํากัด (restriction) การลบ (erasure) และการทําลาย (destruction)
“การลบ” (erasure) หมายxxx xxxทําใหขอมูลสวนบุคคลน้ันถูกลบออกจากระบบและไมอาจกู คืนได โดยเจาของขอมูลสวนบุคคลหรือคูสัญญาฝายหนึ่งฝายใด ทั้งนี้ ไมวาในเวลาใด ๆ
“ภัยคุกคามทางไซเบอร” (cyber threat) หมายความวา การกระทําหรือการดําเนินการใด ๆ โดยมิชอบ โดยใชคอมพิวเตอรหรือระบบคอมพิวเตอรหรือโปรแกรมไมพึงประสงคโดยมุงหมายใหxxxxxxx
ประทุษรายตอระบบคอมพิวเตอร ขอมูลคอมพิวเตอร หรือขอมูลอื่นที่เก่ียวของ และเปนภยันตรายที่ใกล ะถึง
ที่จะกอใหเกิดความเสียหายหรือสงผลกระทบตอการทํางานของคอมพิวเตอร ระบบคอมพิวเตอร หรือขอมูล อื่นที่เกี่ยวของ
“การละเมิดขอมูลสวนบุคคล” (personal data breach) หมายxxx xxxละเมิดมาตรการดาน ความมั่นคงปลอดภัย ที่นําไปสูการทําลาย (destruction) การสูญหาย (loss) การเปลี่ยนแปลงแกไข (alteration) การเปดเผยโดยมิชอบหรือโดยปราศจากอํานาจ (unauthorized disclosure) หรือการเขาถึง (access) ขอมูลสวนบุคคลxxxxxรับการสงผาน (transmitted) การจัดเก็บ (stored) หรือการxxxxxxผลโดย วิธีการอ่ืนใด (otherwise processed) ที่เกิดขึ้นโดยอุบัติเหตุ (accidental) หรือโดยมิชอบดวยกฎหมาย (unlawful) xxxxxxxเกิดxxxxxxคุกคามทางไซเบอร หรือเกิดจากการกระทําของบุคคลภายในหรือภายนอก หรือ เหตุอื่นใด
“บันทึกขอตกลง” หมายถึง บันทึกขอตกลงการxxxxxxผลขอมูลและเอกสารแนบทายบันทึก ขอตกลงนี้ (ถามี)
“สัญญา” หมายถึง xxxxx xxxxxxxxxxxx
......................................
ขอบเขตการบังคับใช
ขอ ๒ บันทึกขอตกลงนี้ ใชบังคับก
-๓-
การxxxxxxผลขอมูลสวนบุคคลระหวางบริษัทฯ และคณะฯ
เพ่ือใหมีการคุมครองขอมูลสวนบุคคลอยางเหมาะสม และกําหนดหนาที่ความรับผิดชอบของคูสัญญาอยาง เหมาะสม และเพื่อใหการดําเนินการxxxxxxxx เปนไป
ตามกฎหมายวาดวยการคุมครองขอมูลสวนบุคคล โดยบันทึกขอตกลงนี้ถือเปนสวนหนึ่งของสัญญา
.................................................................................. และให
.....................................
ีผลใชบ
ังคับตั้งแตxxxxxx. ถึงxxxxxx
ความสัมพันธระหวางคูสัญญา
ขอ ๓ ในการxxxxxxผลขอมูลสวนบุคคลxxxxxxxxและบันทึกขอตกลงนี้
บริษัทฯ จะxxxในฐานะผูควบคุมขอมูลสวนบุคคล (controller) ตลอดระยะเวลาของสัญญา และ มีอํานาจหนาที่ตัดสินใจเก่ียวกับการเก็บรวบรวม ใช หรือเปดเผยขอมูลสวนบุคคล โดยบริษัทฯ ในฐานะผู ควบคุมขอมูลสวนบุคคลมีหนาท่ีตองปฏิบัติตามกฎหมายวาดวยการคุมครองขอมูลสวนบุคคลที่มีผลใชบังคับกับ กรณี
คณะฯ จะxxxในฐานะผูxxxxxxผลขอมูลสวนบุคคล (processor) ตลอดระยะเวลาของสัญญา และดําเนินการเกี่ยวกับการเก็บรวบรวม ใช หรือเปดเผยขอมูลสวนบุคคลตามคําสั่งหรือในนามของบริษัทฯ และไมเปนผูควบคุมขอมูลสวนบุคคลในขอบเขตของสัญญาและบันทึกขอตกลงน้ี โดยคณะฯ ในฐานะผ xxxxxxผลขอมูลสวนบุคคลมีหนาที่ตองปฏิบัติตามกฎหมายวาดวยการคุมครองขอมูลสวนบุคคลที่มีผลใชบังคับ กับกรณี
การxxxxxxผลขอมูลสวนบุคคล
ขอ ๔ บริษัทฯ ตระหนักและยอมรับวา การ xxx
xxxxx และบันทึกขอตกลงนี้ ถือเปนการมีคําสั่งใหคณะฯ
อาจทําการxxxxxxผลขอมูลสวนบุคคลดังตอไปนี้ไมวาทั้งหมดหรือเพียงบางสวน เทาท่ีจําเปนเพื่อการ ดําเนินการxxxxxxxxหรือตามกฎหมาย
- ขอมูล ...........................................................................
- ขอมูล ...........................................................................
- ขอมูล ...........................................................................
- ขอมูล ...........................................................................
- ขอมูล ...........................................................................
ขอตกลงน
-๔-
- ขอมูลสวนบุคคลอื่นxxxxxมีการxxxxxxผลขอมูลสวนบุคคล เพื่อใหเปนไปxxxxxxxxและบันทึก
ขอ ๕ คณะฯ จะทําการxxxxxxผลขอมูลสวนบุคคลตามขอ ๔ เฉพาะเพื่อใหxxxxxวัตถุประสงคของ
สัญญาและกระบวนการอื่น ๆ ที่เกี่ยวของเทานั้น ซึ่งรวมถึงกรณีใดกรณีหนึ่งตอไปนี้
(๑) เมื่อ xxxxxxxxxในการxxxxxxผลขอมูลสวนบุคคลที่สอดคลอง
กับกฎหมายวาดวยการคุมครองขอมูลสวนบุคคลดังในตาราง โดยถือเปนการที่บริษัทฯ มีคําสั่งใหคณะฯ อาจทํา การxxxxxxผลขอมูลสวนบุคคลตามขอ ๔ ได
วัตถุประสงค | ฐานในการxxxxxxผลขอมูลสวนบุคคล |
(ก) | |
(ข) |
(๒) เมื่อบุคลากร พนักงาน หรือลูกจางของบริษัทฯ ที่มีอํานาจหนาที่เกี่ยวกับการปฏิบัติxxxxxxxx ไดมีคําสั่งที่ชอบดวยกฎหมายใหคณะฯ ดําเนินการ และเปนคําสั่งxxxxxเกินวัตถุประสงคของสัญญา
(๓) เมื่อคณะฯ ไดรับคําส่งที่เปนลายลักษณxxxxxจากบริษัทฯ และเปนคําสั่งxxxxxเกินวัตถุประสงค
ของสัญญา
(๔) เม่ือคณะฯ มีเหตุจําเปนตองทําการxxxxxxผลขอมูลสวนบุคคลเพ่ือใหเปนไปตามกฎหมาย หรือ
กรณีอื่นที่xxxxxxกระทําไดตามกฎหมายวาดวยการคุมครองขอมูลสวนบุคคล โดยจะตองแจงใหบริษัทฯ ทราบโดย ไมชักชาดวย
ขอ ๖ ในกรณีที่คณะฯ พิจารณาแลวเห็นวา การออกคําสั่งใหทาการํ xxxxxxผลขอมู ลสวนบุคคลตาม
ขอ ๕ นั้น เปนการออกคําสั่งที่ขัดตอกฎหมายหรือบทบัญญัติในการคุมครองขอมูลสวนบุคคลตามกฎหมายวาดวย การคุมครองขอมูลสวนบุคคล หรือxxxนอกเหนือไปจากวัตถุประสงคของสัญญา คณะฯ จะไมทําการxxxxxxผล ขอมูลสวนบุคคลตามคําสั่งน้ัน โดยไมถือวาเปนการกระทําผิดสัญญาหรือบันทึกขอตกลงนี้ และคณะฯ จะแจงให บริษัทฯ ทราบโดยพลนั
ในกรณีที่คณะฯ ทําการxxxxxxผลขอมูลสวนบุคคลตามขอ ๕ (๑) (๒) หรือ (๓) และปรากฏ ขอเท็จจริงวาการxxxxxxผลขอมูลสวนบุคคลดังกลาวขัดตอกฎหมายหรือบทบัญญัติในการคุมครองขอมูลสวน บุคคลตามกฎหมายวาดวยการคุมครองขอมูลสวนบุคคล ความรับผิดในความเสียหายหรือการกระทําดังกลาว ใหเปนไปตามบันทึกขอตกลงนี้
ขอ ๗ เพื่อใหคณะฯ xxxxxxทําการxxxxxxผลขอมูลสวนบุคคลxxxxxxxxอยางถูกตองตาม
กฎหมาย บริษัทฯ ตกลงและรับรองวา กอนการเปดเผยขอมูลสวนบุคคลใหแกคณะฯ และกอนหรือในขณะที่ คณะฯ จะทําการxxxxxxผลขอมูลสวนบุคคลตามขอ ๕ บริษัทฯ ไดพิจารณาแลววา การxxxxxxผลขอมูลสวน บุคคลดังกลาว xxxxxในการxxxxxxผลขอมูลสวนบุคคล (lawful basis for processing personal data) ที่ สอดคลองกับกฎหมายวาดวยการคุมครองขอมูลสวนบุคคล และในกรณีที่ตองไดรับความยินยอมจากเจาของ
-๕-
ขอมูลสวนบุคคล บริษัทฯ รับรองวา บริษัทฯ ไดขอความยินยอมจากเจาของขอมูลสวนบุคคลและไดรับความ ยินยอมโดยชอบดวยกฎหมายแลว ทั้งนี้ เวนแตจะเปนขอมูลสวนบุคคลท่ีบริษัทฯ ไดเก็บรวบรวมไวกอนxxxxxx กฎหมายวาดวยการคุมครองขอมูลสวนบุคคลใชบังคับ ซึ่งxxxxxxเก็บรวบรวมและใชขอมูลสวนบุคคลนั้นตอไปได ตามวัตถุประสงคเดิม
ขอ ๘ บริษัทฯ รับทราบและตกลงที่จะปฏิบัติหนาท่ีตามท่ีกฎหมายวาดวยการคุมครองขอมูลสวน
บุคคลกําหนดใหเปนหนาที่ความรับผิดชอบของผูควบคุมขอมูลสวนบุคคล ตลอดจนหนาที่ความรับผิดชอบตาม กฎหมายอื่น ซึ่งรวมถึง
(๑) การแจงรายละเอียดในการเก็บรวบรวมขอมูลสวนบุคคลใหเจาของขอมูลสวนบุคคลทราบกอน หรือในขณะเก็บรวบรวมขอมูลสวนบุคคล (privacy notice)
(๒) การxxxxxxผลขอมูลสวนบุคคลตามวัตถุประสงคxxxxxแจงเจาของข ขณะที่เก็บรวบรวม
มูลสวนบุคคลไวกอนหรือใน
(๓) การเก็บรวบรวมขอมูลสวนบุคคลจากแหลงอื่นxxxxxใชจากเจาของขอมูลสวนบุคคลโดยตรง
(๔) การใชหรือเปดเผยขอมูลสวนบุคคล
(๕) การสงหรือโอนขอมูลสวนบุคคลไปยังตางประเทศ
(๖) การดําเนินการที่เกี่ยวกับxxxxxของเจาของขอมูลสวนบุคคล
(๗) การจัดใหมีมาตรการรักษาความม่นxxปลอดภัยที่เหมาะสม เพื่อปองกันการสูญหาย เขาถึง ใช เปลี่ยนแปลง แกไข หรือเปดเผยขอมูลสวนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ และการทบทวนมาตรการ ดังกลาวเมื่อมีความจําเปนหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อใหมีประสิทธิภาพในการรักษาความมั่นคง ปลอดภัยที่เหมาะสม ทั้งนี้ ตองเปนไปตามมาตรฐานขั้นต่ําที่คณะกรรมการคุมครองขอมูลสวนบุคคลประกาศ กําหนด
เปดเผยขอ
(๘) การดําเนินการเพื่อปองกันมิใหบุคคลหรือนิติบุคคลอ่ืxxxxxxใชผูควบคุมขอมูลสวนบุคคลใชหรือ มูลสวนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ ในกรณีที่ตองใหขอมูลสวนบุคคลแกผูนั้น
(๙) การจัดใหมีระบบการตรวจสอบเพ่ือดําเนินการลบหรือทําลายขอมูลสวนบุคคลเม่ือพนกําหนด
ระยะเวลาการเก็บรักษา หรือxxxxxเกี่ยวของหรือเกินความจําเปนตามวัตถุประสงคในการเก็บรวบรวมขอมูลสวน บุคคลนั้น หรือตามที่เจาของขอมูลสวนบุคคลรองขอ หรือที่เจาของขอมูลสวนบุคคลไดถอนความยินยอม เวนแตจะ เปนไปตามกฎหมายวาดวยการคุมครองขอมูลสวนบุคคล
(๑๐) การแจงเหตุการละเมิดขอมูลสวนบุคคลแกสํานักงานคณะกรรมการคุมครองขอมูลสวนบุคคล และ/หรือเจาของขอมูลสวนบุคคล โดยไมชักชา ในกรณีท่ีกฎหมายวาดวยการคุมครองขอมูลสวนบุคคลกําหนดให ดําเนินการ
-๖-
(๑๑) การแตงตั้งตัวแทนของผูควบคุมขอมูลสวนบุคคล (เฉพาะกรณีที่ผูควบคุมขอมูลสวนบุคคลอยู นอกราชอาณาจักร)
(๑๒) การจัดทําบันทึกรายการ (record of processing activities) เพื่อใหเจาของขอมูลสวนบุคคล และสํานักงานคณะกรรมการคุมครองขอมูลสวนบุคคลxxxxxxตรวจสอบได
(๑๓) การจัดใหมีเจาหนาที่คุมครองขอมูลสวนบุคคล การแจงขอมูลเกี่ยวกับเจาหนาที่คุมครองขอมูล สวนบุคคลใหเจาของขอมูลสวนบุคคลและสํานักงานคณะกรรมการคุมครองขอมูลสวนบุคคลทราบ และการ สนับสนุนการปฏิบัติหนาที่ของเจาหนาที่คุมครองขอมูลสวนบุคคล ในกรณีที่กฎหมายวาดวยการคุมครองขอมูล สวนบุคคลกําหนดใหดําเนินการ
ขอ ๙ คณะฯ รับทราบและตกลงที่จะปฏิบัติหนาที่ตามที่กฎหมายวาดวยการคุมครองขอมูลสวน
บุคคลกําหนดใหเปนหนาที่ความรับผิดชอบของผูxxxxxxผลขอมูลสวนบุคคล ตลอดจนหนาที่ความรับผิดชอบตาม กฎหมายอื่น ซึ่งรวมถึง
(๑) การดําเนินการเกี่ยวกับการxxxxxxผลขอมูลสวนบุคคลตามคําสั่งxxxxxร ับจากผูควบคุมขอมูลสวน บุคคลเทานั้น เวนแตคําสั่งนั้นขัดตอกฎหมายหรือบทบัญญัติในการคุมครองขอมูลสวนบุคคลตามกฎหมายวาดวย การคุมครองขอมูลสวนบุคคล
(๒) การจัดใหมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อปองกันการสูญหาย เขาถึง ใช เปลี่ยนแปลง แกไข หรือเปดเผยขอมูลสวนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ รวมทั้งการแจงใหผูควบคุม ขอมูลสวนบุคคลทราบถึงเหตุการละเมิดขอมูลสวนบุคคลที่เกิดขึ้น
(๓) การจัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการxxxxxxผลขอมูลสวนบุคคลไว ตาม กฎหมายวาดวยการคุมครองขอมูลสวนบุคคล
(๔) การจัดใหมีเจาหนาที่คุมครองขอมูลสวนบุคคล การแจงขอมูลเกี่ยวกับเจาหนาที่คุมครองขอมูล สวนบุคคลใหเจาของขอมูลสวนบุคคลและสํานักงานคณะกรรมการคุมครองขอมูลสวนบุคคลทราบ และการ สนับสนุนการปฏิบัติหนาที่ของเจาหนาที่คุมครองขอมูลสวนบุคคล ในกรณีท่ีกฎหมายวาดวยการคุมครองขอมูล สวนบุคคลกําหนดใหดําเนินการ
ผูxxxxxxผลขอมูลสวนบุคคลชวง
ขอ ๑๐ เพื่อประโยชนในการปฏิบัติxxxxxxxx เมื่อมีความจําเปน คณะฯ อาจมอบหมายงาน เก่ียวกบการxxxxxxผลขอมูลสวนบุคคลทั้งหมดหรือแตบางสวนใหบุคคลอื่น (“ผูxxxxxxผลขอมูลสวนบุคคล ชวง”) ดําเนินการแทนหรือชวยสนับสนุนในการดําเนินการได ทั้งนี้ คณะฯ ยังตองเปนผูรับผิดชอบในงานxxxxx มอบหมายไปxxxxxxxxและบันทึกขอตกลงนี้ รวมถึงจะตองดําเนินการใหผูxxxxxxผลขอมูลสวนบุคคลชวง รับทราบและปฏิบัติตามกฎหมายวาดวยการคุมครองขอมูลสวนบุคคล และสัญญาและบันทึกขอตกลงนี้ รวมทั้ง
-๗-
จะตองดําเนินการใหผูxxxxxxผลขอมูลสวนบุคคลชวงมีหนาที่ในการคุมครองขอมูลสวนบุคคลและจัดใหมี มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมในระดับxxxxxต่ํากวาหนาที่ความรับผิดชอบของคณะฯ ตาม บันทึกขอตกลงนี้
การขอใชxxxxxของเจาของขอมูลสวนบุคคลและการปฏิบัติตามกฎหมาย
ขอ ๑๑ คณะฯ จะใหความรวมมือ ชวยเหลือ และสนับสนุนใหบริษัทฯ xxxxxxเขาถึงขอมูลสวน บุคคลของเจาของขอมูลสวนบุคคลและตอบxxxxตอคําขอของเจาของขอมูลสวนบุคคลท่ีเปนการขอใชxxxxxของ
เจาของขอมูลสวนบุคคลตามกฎหมายวาดวยการคุมครองขอมูลสวนบุคคลxx xยในเวลาอันxxxxx
ขอ ๑๒ ในกรณีที่คณะฯ ไดรับคําขอจากเจาของขอมูลสวนบุคคลที่เปนการขอใชxxxxxของเจาของ ขอมูลสวนบุคคลตามกฎหมายวาดวยการคุมครองขอมูลสวนบุคคล คณะฯ ตองแจง ใหบริษัทฯ ทราบและสงคํา ขอนั้นตอไปยังบริษัทฯ โดยไมชักชา โดยจะไมทําการตอบxxxxตอคําขอดังกลาวเอง เวนแตจะมีการตกลงไว เปนอยางอื่น
ขอ ๑๓ คูสัญญาจะใหความรวมมือ ชวยเหลือ และสนับสนุนการดําเนินการที่เกี่ยวของของ
คูสัญญาอีกฝายหนึ่งตามxxxxx เพื่อใหคูสัญญาอีกฝายหนึ่งนั้นxxxxxxปฏิบัติใหเปนไปตามกฎหมายและ พันธกรณีตาง ๆ ได หรือในกรณีที่มีคําส่งโดยชอบดวยกฎหมายจากหนวยงานของรัฐหรือเจาหนาที่ของรัฐ เกี่ยวกับหนาที่ของคูสัญญา หรือเพื่อพิสูจนวาคูสัญญาไดปฏิบัติตามที่กฎหมายกําหนดและตามท่ีกําหนดใน สัญญาและบันทึกขอตกลงนี้ ในสวนท่ีเก่ียวกับการxxxxxxผลขอมูลสวนบุคคลและการคุมครองขอมูลสวน บุคคล
มาตรการรักษาความมั่นคงปลอดภัย
ขอ ๑๔ คณะฯ มีหนาที่จัดใหมีและธํารงรักษาไวซึ่งมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม xxxx xxxเปนมาตรการดานการบริหารจัดการขององคกร มาตรการดานกายภาพ มาตรการดา นเทคนิค และมาตรการอื่น ๆ ที่จําเปน เพื่อปองกันการสูญหาย เขาถึง ใช เปลี่ยนแปลง แกไข หรือเปดเผยขอมูลสวนบุคคลโดยปราศจาก อํานาจหรือโดยมิชอบ สําหรับการxxxxxxผลขอมูลสวนบุคคลxxxxxxxxและบันทึกขอตกลงนี้ โดยจะตองเปนไป ตามมาตรฐานขั้นต่ําที่คณะกรรมการคุมครองขอมูลสวนบุคคลประกาศกําหนด
ขอ ๑๕ ในการกําหนดมาตรการตามขอ ๑๔ ใหคณะฯ คํานึงถึงหลักการบริหารความเสี่ยง โดยอยาง
นอยตองประกอบดวยวิธีการและมาตรการ ดังตอไปนี้ เทาที่จําเปนและเหมาะสมกับบริบท
(๑) Identify: การระบุความเสี่ยงxxxxxxจะเกิดขึ้นแกคอมพิวเตอร ขอมูลxxxxxxxเปนขอมูล อิเล็กทรอนิกสและขอมูลในรูปแบบอื่น ระบบคอมพิวเตอร ขอมูลอื่นที่เกี่ยวของกับระบบคอมพิวเตอร ทรัพยสิน และชีวิตรางxxxของบุคคล ในสวนที่เกี่ยวของกับการxxxxxxผลขอมูลสวนบุคคล
บุคคล
-๘-
(๒) Protect: มาตรการปองกันความเส่ียงxxxxxxจะเกิดขึ้น
(๓) Detect: มาตรการตรวจสอบและเฝาระวังภัยคุกคามทางไซเบอรและเหตุการละเมิดขอมูลสวน
(๔) Respond: มาตรการxxxxxเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอรหรือเหตุการละเมิด
ขอมูลสวนบุคคล
(๕) Recover: มาตรการรักษาและฟนฟูความxxxxxxxxxxเกิดxxxxxxคุกคามทางไซเบอรหรือเหตุการ ละเมิดขอมูลสวนบุคคล
ขอ ๑๖ มาตรการปองกันความเสี่ยงของคณะฯ ตามขอ ๑๕ (๒) ควรประกอบดวยมาตรการอยาง
นอยดังนี้ ในสวนที่เกี่ยวกับระบบสารสนเทศที่มีการxxxxxxผลขอมูลสวนบุคคล เทาที่xxxxxxจะกระทําได
(๑) มาตรการรักษาความมั่นคงปลอดภัยดานการบริหารจัดการ (administrative security) ซึ่งรวมxxx xxxกําหนดและสื่อสารนโยบายและแนวปฏิบัติในการคุมครองขอมูลสวนบุคคลและการรักษาความมั่นคงปลอดภัย ของระบบสารสนเทศ และการบริหารจัดการความเสี่ยงที่เกี่ยวของกับขอมูลสวนบุคคล
(๒) มาตรการรักษาความมั่นคงปลอดภัยดานกายภาพ (physical security) ของอุปกรณและ สวนxxxxxxxxxระบบสารสนเทศและขxxxxxxxจัดเก็บ
(๓) มาตรการรักษาความม่ันคงปลอดภัยดานผูใชงาน (user security) ซึ่งรวมxxxxxxฝกอบรมและ สรางเสริมความตระหนักรูและการดานความสําคัญของการคุมครองขอมูลสวนบุคคลและการรักษาความมั่นคง ปลอดภัย (security awareness training) แกบุคลากร พนักงาน ลูกจาง หรือบุคคลอ่ืx xxxเปนผูใชงานหรือ
ผูเกี วของกับระบบสารสนเทศและขอมูลสวนบุคคล การควบคุมการเขาถงขอมูึ ลสวนบุคคลและอุปกรณท่ีใชใ นการ
จัดเก็บและการxxxxxxผลขอมูลสวนบุคคล (access control) การกําหนดxxxxxในการเขาถึงขอมูลสวนบุคคลหรือ ระบบสารสนเทศ และการบริหารจัดการการเขาถึงของผูใชงาน (user access management) โดยคํานึงถึงบทบาท หนาที่ ความจําเปนในการใชงาน และความมั่นคงปลอดภัยเปนสําคัญ การกําหนดหนาที่ความรับผิดชอบของ ผูใชงาน (user responsibilities) เพื่อปองกันการเขาถึงขอมูลสวนบุคคลโดยไมไดรับอนุญาต การเปดเผย การลวงรู หรือการลักลอบทําสําเนาขอมูลสวนบุคคล หรือการลักขโมยอุปกรณท่ีใชในการจัดเก็บหรือการxxxxxxผลขอมูล สวนบุคคล และการจัดใหมีวิธีการเพื่อใหxxxxxxตรวจสอบยอนหลังเกี่ยวกับการเขาถึง เปลี่ยนแปลง ลบ หรือถาย โอนขอมูลสวนบุคคล (audit trails) ใหเหมาะสม
(๔) มาตรการรักษาความม่นxxปลอดภัยดานขอมูล (data security) ซึ่งรวมถึงมาตรการควบคุมการ เขาถึงขxxxxxxxเก็บรักษาไวอยางเหมาะสม และการสํารองขอมูล
(๕) มาตรการรักษาความมั่นคงปลอดภัยดานระบบสารสนเทศ (systems security) ซึ่งรวมxxxxxx ปรับปรุงระบบปฏิบัติการและแอปพลิเคชันของเครื่องคอมพิวเตอรแมขาย (server) ใหเปนปจจุบันxxxxxxx xxxตั้ง
-๙-
คาความมั่นคงปลอดภัย (security configurations) ที่เหมาะสม การมีระบบสํารอง และการปองxxxxxxคุกคาม จากมัลแวร
(๖) มาตรการรักษาความม่ันคงปลอดภัยดานสินทรัพยสารสนเทศ (asset security) ซึ่งรวมถึงความ มั่นคงปลอดภัยทางกายภาพและการปรับปรุงระบบปฏิบัติการและแอปพลิเคชันของเครื่องคอมพิวเตอรลูกขายและ อุปกรณตาง ๆ (endpoints) ที่ใชงานระบบสารสนเทศใหเปนปจจุบันxxxเสมอ และการปองxxxxxxคุกคาม จากมัลแวร
(๗) มาตรการรักษาความมั่นคงปลอดภัยดานซอฟตแวรและแอปพลิเคชัน (software and application security) ซึ่งรวมxxxxxxออกแบบและทดสอบความมั่นคงปลอดภัยของซอฟตแวรและแอปพลิเคชัน การประเมินและกํากับดูแลกระบวนการพัฒนาซอฟตแวร (software development process) ที่เหมาะสมโดย คํานึงถึงความเสี่ยงดานความมั่นคงปลอดภัยสารสนเทศ ไมวาจะเปนซอฟตแวรหรือแอปพลิเคชันที่พัฒนาเอง หรือ นํามาใชจากภายนอก หรือใหบุคคลภายนอกพัฒนาใหก็ตาม รวมท้ังกระบวนการบําxxxxxxxx (maintenance) ซอฟตแวรและแอปพลิเคชันที่เหมาะสม
(๘) มาตรการรักษาความมั่นคงปลอดภัยดานการส่ือสารและระบบเครือขาย (communication and network security) ซึ่งรวมถึงความมั่นคงปลอดภัยทางกายภาพของอุปกรณในระบบเครือขาย การออกแบบและ บริหารจัดการระบบเครือขายที่เหมาะสม การควบคุมการจราจรของขอมูลในระบบเครือขายโดยใช firewall การมี ระบบปองกันการโจมตี (intrusion prevention system) การปรับปรุงเฟรมแวร (firmware) และซอฟตแวรของ อุปกรณในระบบเครือขายใหเปนปจจุบัน และการเขารหัส (encryption) ของขxxxxxxxมีความxxxxxxxxxที่สงผานระบบ เครือขาย
ขอ ๑๗ คณะฯ จะตองทบทวนมาตรการตามขอ ๑๔ ขอ ๑๕ และขอ ๑๖ เม่ือมีความจําเปนหรือเมื่อ
เทคโนโลยีเปลี่ยนแปลงไปเพื่อใหมีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม โดยคํานึงถึง ความกาวหนาทางเทคโนโลยี คาใชจายในการดําเนินการ ลักษณะ ขอบเขต บริบท และวัตถุประสงคของการ xxxxxxผลขอมูลประกอบกัน
ขอ ๑๘ คณะฯ จะใชความxxxxxxตามxxxxxใหการเขาถึงและการxxxxxxผลขอมูลสวน
บุคคลจํากัดเฉพาะบุคลากร พนักงาน และลูกจางของคณะฯ หรือบุคคลxxxxxร ับมอบหมาย ซึ่งมีความจําเปนใน การเขาถึงหรือการxxxxxxผลขอมูลสวนบุคคลตามหลักความจําเปนในการเขาถึงขอมูล (need-to-know basis) เพื่อดําเนินการใหเปนไปxxxxxxxxและบันทึกขอตกลงนี้หรือเพื่อปฏิบัติการอื่นที่เปนไปตามกฎหมาย เทานั้น และดําเนินการใหบุคคลดังกลาวรักษาความลับในการxxxxxxผลขอมูลสวนบุคคล และปฏิบัติตาม หนาที่ความรับผิดชอบของคณะฯ ในสัญญาและบันทึกขอตกลงนี้
ขอ ๑๙ บริษัทฯ มีหนาที่จัดใหมีมาตรการร ษาความมน่ั xxปลอดภัยท่ีเหมาะสม เพื่อปองกันการ
สูญหาย เขาถึง ใช เปลี่ยนแปลง แกไข หรือเปดเผยขอมูลสวนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ สําหรับ
การxxxxxxผลข
-๑๐-
มูลสวนบุคคลในสวนที่xxxนอกเหนือความควบคุมและความรับผิดชอบของคณะฯ ตลอดจน
การxxxxxxผลขอมูลสวนบุคคลที่บริษัทฯ ดําเนินการ หรือบุคคลอื่นดําเนินการในนามบริษัทฯ เพื่อเปดเผย โดยการสงผาน การเผยแพร หรือการทําใหพรอมใชงานโดยวิธีการอื่นใด ใหแกคณะฯ กอนที่คณะฯ จะทําการ
xxxxxxผลขอมูลสวนบุคคลน ในสวนของตน
เหตุการละเมิดขอมูลสวนบุคคล (Personal Data Breaches)
ขอ ๒๐ คณะฯ มีหนาที่สอดสองดูแลและมีมาตรการตรวจสอบและเฝาระวัง (detective measures) การกระทําxxxxxxมีลักษณะเปนการเขาถึงหรือการxxxxxxผลขอมูลสวนบุคคลโดยปราศจาก อํานาจหรือโดยมิชอบตามxxxxx และเมื่อทราบเหตุการละเมิดขอมูลสวนบุคคล คณะฯ มีหนาที่ตอบxxxxตอ เหตุดังกลาวในเบื้องตนตามxxxxxเพื่อลดความเส่ียงหรือผลกระทบจากเหตุดังกลาว ตลอดจนเพ่ือรวบรวม ขอมูลจราจรทางคอมพิวเตอรและพยานหลักฐานที่เกี่ยวของสําหรับการดําเนินการตอไป
ขอ ๒๑ คณะฯ มีหนาที่แจงใหบริษัทฯ ทราบถึงเหตุการละเมิดขอมูลสวนบุคคลที่เกิดขึ้นจากการ
xxxxxxผลขอมูลสวนบุคคลในความรับผิดชอบของคณะฯ โดยไมชักชา ภายในสี่สิบแปดชั่วโมงนับแตทราบ เหตุเทาที่จะxxxxxxกระทําได เวนแตการละเมิดดังกลาวไมมีความเสี่ยงท่ีจะมีผลกระทบตอxxxxxและเสรีภาพ ของบุคคล โดยอยางนอยจะตองใหขอมูลตอไปนี้แกบริษัทฯ เปนลายลักษณxxxxxโดยเร็วเทาที่จะxxxxxx กระทําได
เปนไปได)
(๑) รายละเอียดของเหตุการละเมิดขอมูลสวนบุคคลที่เกิดขึ้น และผลxxxxxxเกิดขึ้น (๒) การดําเนินการxxxxxกระทําไปเพื่อตอบxxxxตอเหตุดังกลาว
(๓) ประเภทของขอมูลสวนบุคคลและเจาของขอมูลสวนบุคคลที่เกี่ยวของกับเหตุดังกลาว (หาก
(๔) ความเห็นตอเหตุดังกลาวและมาตรการที่ควรดําเนินการตอไป
ขอ ๒๒ การแจงเหตุการละเมิดขอมูลสวนบุคคลแกสํานักงานคณะกรรมการคุมครองขอมูลสวน
บุคคล และ/หรือเจาของขอมูลสวนบุคคล เปนหนาที่ความรับผิดชอบของบริษัทฯ ในฐานะผู วบคุมขอมูลสวน
บุคคล โดยคณะฯ ในฐานะผูxxxxxxผลขอมูลสวนบุคคล จะตองใหความรวมมืออยางเต็มที่เพื่อใหบริษัทฯ xxxxxxดําเนินการดังกลาว รวมทั้งการดําเนินการทางกฎหมายอยางอื่นที่เกี่ยวของได
ขอ ๒๓ หลังเกิดเหตุการละเมิดขอมูลสวนบุคคล คูสัญญามีหนาที่รับผิดชอบดําเนินการในสวน
ของตน เพื่อเยียวยาผูไดxxxxxกระทบจากเหตุดังกลาว และทบทวนและพิจารณาปรับปรุงมาตรการรักษาความ มั่นคงปลอดภัยเพื่อใหมีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสมและเพียงพอ
ขอ ๒๔ คูสัญญามีหนาที่ใหความรวมมือ ชวยเหลือ และสนับสนุนการดําเนินการที่เกี่ยวของของ
คูสัญญาอีกฝายหนึ่งตามxxxxx เพื่อใหคูสัญญาอีกฝายหนึ่งนั้นxxxxxxปองกัน เฝาระวัง ตรวจสอบ ตอบxxxx
-๑๑-
แกไข และฟนฟูจากเหตุการละเมิดขอมูลสวนบุคคล ตลอดจนเก็บรวบรวมขอมูลจราจรทางคอมพิวเตอรและ พยานหลักฐานที่เกี่ยวของ และดําเนินการตามกฎหมายที่เกี่ยวของในสวนของตนได
การสงหรือโอนขอมูลสวนบุคคลไปตางประเทศ (Cross-Border Data Transfer)
ขอ ๒๕ คณะฯ จะไมสงหรือโอน (transfer) ขอมูลสวนบุคคลไปตางประเทศหรือองคการ ระหวางประเทศ เวนแตจะไดรับความยินยอมจากบริษัทฯ เปนลายลักษณxxxxx หรือเปนไปตามกฎหมายวา ดวยการคุมครองขอมูลสวนบุคคล ทั้งนี้ ไมรวมxxxxxxสงผาน (transit) ขอมูลสวนบุคคลในตางประเทศ xxxxxมี การเขาถึงขอมูลสวนบุคคลโดยบุคคลอื่นนอกเหนือจากบุคลากร พนักงาน และลูกจางของคณะฯ หรือผู xxxxxxผลขอมูลสวนบุคคลชxx
xxxลบและการเก็บรักษาขอมูลสวนบุคคล
ขอ ๒๖ คณะฯ มีหนาที่ดําเนินการลบหรือทําลาย หรือทําใหขอมูลสวนบุคคลตามบันทึกขอตกลง
นี้ เปนขอมูลxxxxxxxxxxxระบุตัวบุคคลที่เปนเจ ของขอมูลสวนบุคคลได ภายในเวลา ป นับแตxxxxxxสัญญา
ส้ินสุดลง หรือเมื่อไมมีความจําเปนตองทําการxxxxxxผลขอมูลสวนบุคคลดังกลาวอีกตอไป หรือกรณีที่มีเหตุ อื่นตามกฎหมายวาดวยการคุมครองขอมูลสวนบุคคล เวนแตจะไดรับอนุญาตเปนลายลักษณxxxxxจากบริษัทฯ ใหเก็บรักษาขอมูลดังกลาวไวนานกวาน้ัน และบริษัทฯ อาจขอใหคณะฯ แสดงหลักฐานตามxxxxxเพ่ือพิสูจน การดําเนินการ หรือมีหนังสือยืนยันและรับรองวาไดดําเนินการดังกลาวแลว
ขอ ๒๗ คณะฯ อาจเก็บรักษาขอมูลสวนบุคคลไวเพ่ือการกอตั้งxxxxxเรียกรองตามกฎหมาย การ
ปฏิบัติตามหรือการใชxxxxxเรียกรองตามกฎหมาย หรือการยกขึ้นตอสูxxxxxเรียกรองตามกฎหมาย หรือเพื่อการ ปฏิบัติตามกฎหมาย xxxxxขัดตอกฎหมายวาดวยการคุมครองขอมูลสวนบุคคล
ขอ ๒๘ คณะฯ อาจเก็บรักษาขอมูลสวนบุคคลเทาที่จําเปนเพื่อแสดงxxxxxxปฏิบัติxxxxxxxx
และบันทึกขอตกลงนี้ได
ขอ ๒๙ เม่ือสัญญาสิ้นสุดลง หรือกอนท่ีคณะฯ จะดําเนินการลบหรือทําลาย หรือทําใหขอมูล สวนบุคคลตามบันทึกขอตกลงนี้ เปนขอมูลxxxxxxxxxxxระบุตัวบุคคลที่เปนเจาของขอมูลสวนบุคคลได บริษัทฯ อาจแจงใหคณะฯ สงสําเนาขอมูลสวนบุคคลตามบันทึกขอตกลงน้ีใหแกบริษัทฯ ได โดยไมกระทบตอxxxxxและ
หนาที่ของคณะฯ ในการเก็บร ษาขxxxxxxตามความจําเปนตามบันทึกขอตกลงน้ี โดยหนาที่ในการปฏิบัติการ
ใหเปนไปตามกฎหมายวาดวยการคุมครองขอมูลสวนบุคคลและกฎหมายอ่ืน ตอการxxxxxxผลขอมูลสวน บุคคลของขอมูลสวนบุคคลที่คณะฯ สงใหบริษัทฯ เปนความรับผิดชอบของบริษัทฯ เอง
ขอ ๓๐ เมื่อสัญญาสิ้นสุดลง และ/หรือบันทึกขอตกลงนี้สิ้นสุดลง ในระหวางที่คณะฯ ยังไมได
ดําเนินการลบหรือทําลาย หรือทําใหขอมูลสวนบุคคลตามบันทึกขอตกลงน้ี เปนขอมูลxxxxxxxxxxxระบุตัว
-๑๒-
บุคคลที่เปนเจาของขอมูลสวนบุคคลได ตามขอ ๒๖ ใหคณะฯ ยังมีหนาที่ความรับผิดชอบตามบันทึกขอตกลงน
เทาที่จําเปนและไมขัดกับกฎหมาย เพ่ือประโยชนในการคุมครองขอมูลสวนบุคคลที่คณะฯ รับผิดชอบในฐานะ
ผูxxxxxxผลขอ มxx สวนบุคคล
ขอบเขตของความรับผิด
ขอ ๓๑ เวนแตจะกําหนดไวเปนอยางอื่น คณะฯ ไมตองรับผิดในความเสียหายหรือการกระทํา อันเกิดจากการปฏิบัติตามบันทึกขอตกลงนี้ หรือตามคําส่งของบริษัทฯ เพื่อใหxxxxxวัตถุประสงคในการ xxxxxxผลขอมูลสวนบุคคลxxxxxxxx
ขอ ๓๒ ในกรณีที่คณะฯ ตองรับผิดชดใชคาเสียหายหรือชําระคาปรับ อันเนื่องมาจากการปฏิบัติ
ตามบันทึกขอตกลง หรือตามคําส่งของบริษัทฯ เพื่อใหxxxxxวัตถุประสงคในการxxxxxxผลขอมูลสวนบุคคล xxxxxxxx ไมวาจะดวยเหตุใดก็ตาม คณะฯ มีxxxxxเรียกรองใหบริษัทฯ ชดใชเงินจํานวนดังกลาวใหแกคณะฯ เวนแตจะพิสูจนไดวาความรับผิดดังกลาวเปนการกระทําผิดโดยxxxxxหรือเปนความบกพรองของคณะฯ เอง
หรือผู ระมวลผลขอมxx สวนบุคคลชวงของคณะฯ
การเปลี่ยนแปลงแกไขบันทึกขอตกลง
ขอ ๓๓ กรณีที่จําเปนตองมีการเปลี่ยนแปลงแกไขบันทึกขอตกลงเพื่อใหคูสัญญาxxxxxxทําการ xxxxxxผลขอมูลสวนบุคคลตามกฎหมายวาดวยการคุมครองขอมูลสวนบุคคลตอไปไดอยางเหมาะสมและมี ประสิทธิภาพ ใหคูสัญญาฝายที่ประสงคจะแกไขเพิ่มเติมบันทึกขอตกลงนี้ แจงใหอีกฝายทราบลวงหนาเปนเวลา ไมนอยกวา ๓๐ วัน และเมื่อทั้งสองฝายใหความยินยอมในการแกไขxxxxxเติมแลว ใหจัดทําบันทึกขอตกลงฉบับ แกไขเพิ่มเติมเปนหนังสือ และลงนามผูกพันโดยผูมีอํานาจลงนามผูกพันนิติบุคคล และใหถือวาการแกไขเพิ่มเติม ดังกลาวเปนสวนหนึ่งของบันทึกขอตกลงนี้ โดยใหมีผลใชบังคับตั้งแตxxxxxxลงนามในบันทึกขอตกลงฉบับแกไข เพิ่มเติมนั้น เวนแตจะกําหนดเปนอยางอื่นในบันทึกขอตกลงฉบับแกไขดังกลาว
บันทึกขอตกลงนี้ทําขึ้นสองฉบับมีขอความถูกตองตรงกัน ท้งสองฝายไดอานและเขาใจบันทึก ขอตกลงนี้โดยละเอียดตลอดแลว เห็นวาตรงตามxxxxxรมณxxxxxใหไวตอกันทุกประการ จึงไดลงลายมือชื่อไว เปนสําคัญตอหนาพยานและแตละฝายตางไดยึดถือไวฝายละฉบับ
บริษัท ........................................ ลงชื่อ บริษัทฯ | มหาวิทยาลัยxxxxx ลงชื่อ คณะฯ |
(...............................................................................)
-๑๓-
(...............................................................................)
........................................................................ | ........................................................................ |
บริษัท ........................................ ลงชื่อ พยาน (...............................................................................) | ลงชื่อ พยาน (...............................................................................) |