บันทึกข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement)
บันทึกข้อตกลงการxxxxxxผลข้อมูล (Data Processing Agreement)
(กรณีคณะฯ เป็นผู้xxxxxxผลข้อมูลส่วนบุคคล เวอร์ชนั ๓ ฉบับแก้ไขxxxxxx ๘ xxxxxx ๒๕๖๖)
ทําที่ ..........................................................
xxxxxx ............. เดือน .................. พ.ศ. ..............
บันทึกข้อตกลงนี้ทําขึ้นระหว่าง
บริษัท ........................................ มีสํานักงานตั้งอยู่ที่ ...................................................................
โดย ............................................................................... ตําแหน่ง........................................................................
เป็นผู้มีอํานาจลงนามผูกพัน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “บริษัทฯ” กับ มหาวิทยาลัยxxxxx (คณะ แพทยศาสตร์โรงพยาบาลรามาธิบดี) เลขที่ ๒๗๐ ถนนพระรามที่ ๖ แขวงทุ่งพญาไท เขตราชเทวี กรุงเทพมหานคร ๑๐๔๐๐ โดย ตําแหน่ง คณบดีคณะ
แพทยศาสตร์โรงพยาบาลรามาธิบดี เป็นผู้มีอํานาจลงนามผูกพัน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “คณะฯ” ตามxxxxxxxสองฝ่ายได้ทําสัญญา ฉบับลงxxxxxx
...................................... ทั้งสองฝ่ายจึงตกลงทําบันทึกข้อตกลงฉบับนี้ โดยให้บันทึกข้อตกลงฉบับนี้เป็นส่วน หนึ่งของสัญญาดังกล่าว ดังมีข้อความต่อไปนี้
บทนิยาม
ข้อ ๑ หากxxxxxxมีการกําหนดไว้เป็นอย่างอื่นในบันทึกข้อตกลงนี้ ให้ถ้อยคําในบันทึกข้อตกลงนี้มี ความหมายดังต่อไปนี้
“ข้อมูล” (data) หมายความว่า สิ่งที่สื่อความหมายให้รู้ข้อความ เรื่องราว ข้อเท็จจริง ความเห็น หรือสิ่งใด ๆ ไม่ว่าการสื่อความหมายนั้นจะทําได้โดยสภาพของสิ่งนั้นเองหรือโดยผ่านวิธีการใด ๆ และไม่ว่าจะ จัดทําไว้ในรูปของเอกสาร แฟ้ม รายงาน หนังสือ แผนผัง แผนที่ ภาพวาด ภาพถ่าย ฟิล์ม การบันทึกภาพหรือ เสียง การบันทึกโดยเครื่องคอมพิวเตอร์ หรือวิธีอื่นใดที่ทําให้สิ่งที่บันทึกไว้ปรากฏได้ และให้หมายความรวมถึง ข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ด้วย
“ข้อมูลส่วนบุคคล” (personal data) หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทําให้xxxxxxระบุ ตัวบุคคลนั้นxxx xxxว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“เจ้าของข้อมูลส่วนบุคคล” (data subject) หมายความว่า บุคคลธรรมดาซึ่งข้อมูลส่วนบุคคล เป็นข้อมูลเกี่ยวกับผู้นั้น และxxxxxxระบุตัวบุคคลนั้นxxx xxxว่าทางตรงหรือทางอ้อม และให้หมายความรวมถึง ผู้ใช้อํานาจxxxxxxxxxมีอํานาจกระทําการแทนผู้เยาว์ ผู้อนุบาลที่มีอํานาจกระทําการแทนคนไร้ความสามารถ หรือผู้xxxxxxxxxxมีอํานาจกระทําการแทนxxxxxxxxxxxxxxxxxxxxxด้วย
-๒-
“การxxxxxxผลข้อมูล” (data processing) หมายความว่า การกระทําอย่างหนึ่งหรือหลายอย่างxxx xxxกระทําต่อข้อมูลหรือชุดข้อมูล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ก็ตาม ซึ่งรวมxxxxxxเก็บรวบรวม (collection) การบันทึก (recording) การจัดระบบ (organization) การจัดโครงสร้าง (structuring) การจัดเก็บ หรือเก็บรักษา (storage) การดัดแปลงหรือการเปลี่ยนแปลงแก้ไข (adaptation or alteration) การค้นคืน (retrieval) การปรึกษา (consultation) การใช้ (use) การเปิดเผยโดยการส่งผ่าน การเผยแพร่ หรือการทําให้ พ ร้ อมใช้ งาน โด ยวิ ธี ก ารอื่ น ใด (disclosure by transmission, dissemination or otherwise making available) การปรับแนวหรือการรวมเข้ากัน (alignment or combination) การจํากัด (restriction) การลบ (erasure) และการทําลาย (destruction)
“การลบ” (erasure) หมายความว่า การทําให้ข้อมูลส่วนบุคคลนั้นถูกลบออกจากระบบและxxx xxxกู้คืนได้ โดยเจ้าของข้อมูลส่วนบุคคลหรือคู่สัญญาฝ่ายหนึ่งฝ่ายใด ทั้งนี้ ไม่ว่าในเวลาใด ๆ
“ภัยคุกคามทางไซเบอร์” (cyber threat) หมายความว่า การกระทําหรือการดําเนินการใด ๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงxxxxxxxโดยมุ่งหมายให้xxxxxxx ประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึง ที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทํางานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูล อื่นที่เกี่ยวข้อง
“การละเมิดข้อมูลส่วนบุคคล” (personal data breach) หมายความว่า การละเมิดมาตรการ ด้านความมั่นคงปลอดภัย ที่นําไปสู่การทําลาย (destruction) การสูญหาย (loss) การเปลี่ยนแปลงแก้ไข (alteration) การเปิดเผยโดยมิชอบหรือโดยปราศจากอํานาจ (unauthorized disclosure) หรือการเข้าถึง (access) ข้อมูลส่วนบุคคลxxxxxxรับการส่งผ่าน (transmitted) การจัดเก็บ (stored) หรือการxxxxxxผลโดย วิธีการอื่นใด (otherwise processed) ที่เกิดขึ้นโดยอุบัติเหตุ (accidental) หรือโดยมิชอบด้วยกฎหมาย (unlawful) xxxxxxxเกิดxxxxxxคุกคามทางไซเบอร์ หรือเกิดจากการกระทําของบุคคลภายในหรือภายนอก หรือ เหตุอื่นใด และหมายความรวมxxxxxxละเมิดข้อมูลส่วนบุคคลตามบทxxxxxxxxก˚าหนดในประกาศ
คณะกรรมการคุ้มครองขอ
มูลส่วนบุคคลทอ
อกตามบทบญ
ญตแ
ห่งกฎหมายว่าด้วยการคุ้มครองข้อมูล
ส่วนบุคคลดว
ย
“บันทึกข้อตกลง” หมายความว่า บันทึกข้อตกลงการxxxxxxผลข้อมูลและเอกสารแนบท้าย
บันทึกข้อตกลงนี้ (ถ้ามี)
“สัญญา” หมายความว่า สัญญา ฉบับลง
xxxxxx ......................................
-๓-
ขอบเขตการบังคับใช
ข้อ ๒ บันทึกข้อตกลงนี้ ใช้บังคับกับการxxxxxxผลข้อมูลส่วนบุคคลระหว่างบริษัทฯ และคณะฯ เพื่อให้มีการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสม และกําหนดหน้าที่ความรับผิดชอบของคู่สัญญาอย่าง เหมาะสม และเพื่อให้การดําเนินการxxxxxxxx เป็นไป
ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยบันทึกข้อตกลงนี้ถือเป็นส่วนหนึ่งของสัญญา
.................................................................................. และให้มีผลใช้บังคับตั้งแต่xxxxxx. ถึงxxxxxx
.....................................
ความxxxxxxxxระหว่างคู่สัญญา
ข้อ ๓ ในการxxxxxxผลข้อมูลส่วนบุคคลxxxxxxxxและบันทึกข้อตกลงนี้
บริษัทฯ จะอยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (controller) ตลอดระยะเวลาของสัญญา และ มีอํานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยบริษัทฯ ในฐานะผู้ ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับ กรณี
คณะฯ จะอยู่ในฐานะผู้xxxxxxผลข้อมูลส่วนบุคคล (processor) ตลอดระยะเวลาของสัญญา และดําเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของบริษัทฯ และไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคลในขอบเขตของสัญญาและบันทึกข้อตกลงนี้ โดยคณะฯ ในฐานะผู้ xxxxxxผลข้อมูลส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับ กับกรณี
การxxxxxxผลข้อมูลส่วนบุคคล
ข้อ ๔ บริษัทฯ ตระหนักและยอมรับว่า การ xxx
xxxxx และบันทึกข้อตกลงนี้ ถือเป็นการมีคําสั่งให้คณะฯ
อาจทําการxxxxxxผลข้อมูลส่วนบุคคลดังต่อไปนี้ไม่ว่าทั้งหมดหรือเพียงบางส่วน เท่าที่จําเป็นเพื่อการ ดําเนินการxxxxxxxxหรือตามกฎหมาย
- ข้อมูล ...........................................................................
- ข้อมูล ...........................................................................
- ข้อมูล ...........................................................................
- ข้อมูล ...........................................................................
- ข้อมูล ...........................................................................
ข้อตกลงนี้
-๔-
- ข้อมูลส่วนบุคคลอื่นxxxxxxมีการxxxxxxผลข้อมูลส่วนบุคคล เพื่อให้เป็นไปxxxxxxxxและบันทึก
ข้อ ๕ คณะฯ จะทําการxxxxxxผลข้อมูลส่วนบุคคลตามข้อ ๔ เฉพาะเพื่อให้xxxxxวัตถุประสงค์ของ
สัญญาและกระบวนการอื่น ๆ ที่เกี่ยวข้องเท่านั้น ซึ่งรวมถึงกรณีใดกรณีหนึ่งต่อไปนี้
(๑) เมื่อ xxxxxxxxxในการxxxxxxผลข้อมูลส่วนบุคคลที่สอดคล้อง
กับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลดังในตาราง โดยถือxxxxxxxxxxบริษัทฯ มีคําสั่งให้คณะฯ อาจทํา การxxxxxxผลข้อมูลส่วนบุคคลตามข้อ ๔ ได้
วัตถุประสงค์ | ฐานในการxxxxxxผลข้อมูลส่วนบุคคล |
(ก) | |
(ข) |
(๒) เมื่อบุคลากร พนักงาน หรือลูกจ้างของบริษัทฯ ที่มีอํานาจหน้าที่เกี่ยวกับการปฏิบัติxxxxxxxx ได้มีคําสั่งที่ชอบด้วยกฎหมายให้คณะฯ ดําเนินการ และเป็นคําสั่งxxxxxxเกินวัตถุประสงค์ของสัญญา
(๓) เมื่อคณะฯ ได้รับคําสั่งที่เป็นลายลักษณ์xxxxxจากบริษัทฯ และเป็นคําสั่งxxxxxxเกินวัตถุประสงค์
ของสัญญา
(๔) เมื่อคณะฯ มีเหตุจําเป็นต้องทําการxxxxxxผลข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามกฎหมาย หรือ
กรณีอื่นที่xxxxxxกระทําได้ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยจะต้องแจ้งให้บริษัทฯ ทราบโดย xxxxxxxxxด้วย
ข้อ ๖ ในกรณีที่คณะฯ พิจารณาแล้วเห็นว่า การออกคําสั่งให้ทําการxxxxxxผลข้อมูลส่วนบุคคลตาม
ข้อ ๕ นั้น เป็นการออกคําสั่งที่ขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล หรืออยู่นอกเหนือไปจากวัตถุประสงค์ของสัญญา คณะฯ จะไม่ทําการxxxxxxผล ข้อมูลส่วนบุคคลตามคําสั่งนั้น โดยxxxxxxxxxเป็นการกระทําผิดสัญญาหรือบันทึกข้อตกลงนี้ และคณะฯ xxxxxxให้ บริษัทฯ ทราบโดยxxxx
ในกรณีที่คณะฯ ทําการxxxxxxผลข้อมูลส่วนบุคคลตามข้อ ๕ (๑) (๒) หรือ (๓) และปรากฏ ข้อเท็จจริงว่าการxxxxxxผลข้อมูลส่วนบุคคลดังกล่าวขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วน บุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ความรับผิดในความเสียหายหรือการกระทําดังกล่าว ให้เป็นไปตามบันทึกข้อตกลงนี้
ข้อ ๗ เพื่อให้คณะฯ xxxxxxทําการxxxxxxผลข้อมูลส่วนบุคคลxxxxxxxxอย่างถูกต้องตาม
กฎหมาย บริษัทฯ ตกลงและรับรองว่า ก่อนการเปิดเผยข้อมูลส่วนบุคคลให้แก่คณะฯ และก่อนหรือในขณะที่ คณะฯ จะทําการxxxxxxผลข้อมูลส่วนบุคคลตามข้อ ๕ บริษัทฯ ได้พิจารณาแล้วว่า การxxxxxxผลข้อมูลส่วน บุคคลดังกล่าว xxxxxในการxxxxxxผลข้อมูลส่วนบุคคล (lawful basis for processing personal data) ที่ สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และในกรณีที่ต้องได้รับความยินยอมจากเจ้าของ
-๕-
ข้อมูลส่วนบุคคล บริษัทฯ รับรองว่า บริษัทฯ ได้ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลและได้รับความ ยินยอมโดยชอบด้วยกฎหมายแล้ว ทั้งนี้ เว้นแต่จะเป็นข้อมูลส่วนบุคคลที่บริษัทฯ ได้เก็บรวบรวมไว้ก่อนxxxxxx กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลใช้บังคับ ซึ่งxxxxxxเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ ตามวัตถุประสงค์เดิม
ข้อ ๘ บริษัทฯ รับทราบและตกลงที่จะปฏิบัติหน้าที่ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วน
บุคคลกําหนดให้เป็นหน้าที่ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล ตลอดจนหน้าที่ความรับผิดชอบตาม กฎหมายอื่น ซึ่งรวมถึง
(๑) การแจ้งรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล (privacy notice)
(๒) การxxxxxxผลข้อมูลส่วนบุคคลตามวัตถุประสงค์xxxxxxแจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือใน ขณะที่เก็บรวบรวม
(๓) การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง (๔) การใช้หรือเปิดเผยข้อมูลส่วนบุคคล
(๕) การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
(๖) การดําเนินการที่เกี่ยวกับxxxxxของเจ้าของข้อมูลส่วนบุคคล
(๗) การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ และการทบทวนมาตรการ ดังกล่าวเมื่อมีความจําเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคง ปลอดภัยที่เหมาะสม ทั้งนี้ ต้องเป็นไปตามมาตรฐานขั้นต่ําที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศ กําหนด
(๘) การดําเนินการเพื่อป้องกันมิให้บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือ เปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่ผู้นั้น
(๙) การจัดให้มีระบบการตรวจสอบเพื่อดําเนินการลบหรือทําลายข้อมูลส่วนบุคคลเมื่อพ้นกําหนด ระยะเวลาการเก็บรักษา หรือxxxxxxเกี่ยวข้องหรือเกินความจําเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วน บุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่จะ เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
(๑๐) การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือเจ้าของข้อมูลส่วนบุคคล โดยxxxxxxxxx ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนดให้ ดําเนินการ
-๖-
(๑๑) การแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล (เฉพาะกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลอยู่ นอกราชอาณาจักร)
(๑๒) การจัดทําบันทึกรายการ (record of processing activities) เพื่อให้เจ้าของข้อมูลส่วนบุคคล และสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลxxxxxxตรวจสอบได้
(๑๓) การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล การแจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลและสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ และการ สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลกําหนดให้ดําเนินการ
ข้อ ๙ คณะฯ รับทราบและตกลงที่จะปฏิบัติหน้าที่ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วน
บุคคลกําหนดให้เป็นหน้าที่ความรับผิดชอบของผู้xxxxxxผลข้อมูลส่วนบุคคล ตลอดจนหน้าที่ความรับผิดชอบตาม กฎหมายอื่น ซึ่งรวมถึง
(๑) การดําเนินการเกี่ยวกับการxxxxxxผลข้อมูลส่วนบุคคลตามคําสั่งxxxxxxรับจากผู้ควบคุมข้อมูลส่วน บุคคลเท่านั้น เว้นแต่คําสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล
(๒) การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ รวมทั้งการแจ้งให้ผู้ควบคุม ข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
(๓) การจัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการxxxxxxผลข้อมูลส่วนบุคคลไว้ ตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
(๔) การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล การแจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลและสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ และการ สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลกําหนดให้ดําเนินการ
ผู้xxxxxxผลข้อมูลส่วนบุคคลช่วง
ข้อ ๑๐ เพื่อประโยชน์ในการปฏิบัติxxxxxxxx เมื่อมีความจําเป็น คณะฯ อาจมอบหมายงาน เกี่ยวกับการxxxxxxผลข้อมูลส่วนบุคคลทั้งหมดหรือแต่บางส่วนให้บุคคลอื่น (“ผู้xxxxxxผลข้อมูลส่วนบุคคล ช่วง”) ดําเนินการแทนหรือช่วยสนับสนุนในการดําเนินการได้ ทั้งนี้ คณะฯ ยังต้องเป็นผู้รับผิดชอบในงานxxxxxx มอบหมายไปxxxxxxxxและบันทึกข้อตกลงนี้ รวมถึงจะต้องดําเนินการให้ผู้xxxxxxผลข้อมูลส่วนบุคคลช่วง รับทราบและปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และสัญญาและบันทึกข้อตกลงนี้ รวมทั้ง
-๗-
จะต้องดําเนินการให้ผู้xxxxxxผลข้อมูลส่วนบุคคลช่วงมีหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลและจัดให้มี มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมในระดับxxxxxxต่ํากว่าหน้าที่ความรับผิดชอบของคณะฯ ตาม บันทึกข้อตกลงนี้
การขอใช้xxxxxของเจ้าของข้อมูลส่วนบุคคลและการปฏิบัติตามกฎหมาย
ข้อ ๑๑ คณะฯ จะให้ความร่วมมือ ช่วยเหลือ และสนับสนุนให้บริษัทฯ xxxxxxเข้าถึงข้อมูลส่วน บุคคลของเจ้าของข้อมูลส่วนบุคคลและตอบxxxxต่อคําขอของเจ้าของข้อมูลส่วนบุคคลที่เป็นการขอใช้xxxxxของ เจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลได้ภายในเวลาอันxxxxx
ข้อ ๑๒ ในกรณีที่คณะฯ ได้รับคําขอจากเจ้าของข้อมูลส่วนบุคคลที่เป็นการขอใช้xxxxxของเจ้าของ
ข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล คณะฯ ต้องแจ้งให้บริษัทฯ ทราบและส่งคํา ขอนั้นต่อไปยังบริษัทฯ โดยxxxxxxxxx โดยจะไม่ทําการตอบxxxxต่อคําขอดังกล่าวเอง เว้นแต่จะมีการตกลงไว้ เป็นอย่างอื่น
ข้อ ๑๓ คู่สัญญาจะให้ความร่วมมือ ช่วยเหลือ และสนับสนุนการดําเนินการที่เกี่ยวข้องของ
คู่สัญญาอีกฝ่ายหนึ่งตามxxxxx เพื่อให้คู่สัญญาอีกฝ่ายหนึ่งนั้นxxxxxxปฏิบัติให้เป็นไปตามกฎหมายและ พันธกรณีต่าง ๆ ได้ หรือในกรณีที่มีคําสั่งโดยชอบด้วยกฎหมายจากหน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐ เกี่ยวกับหน้าที่ของคู่สัญญา หรือเพื่อพิสูจน์ว่าxxxxxxxxxxxปฏิบัติตามที่กฎหมายกําหนดและตามที่กําหนดใน สัญญาและบันทึกข้อตกลงนี้ ในส่วนที่เกี่ยวกับการxxxxxxผลข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วน บุคคล
มาตรการรักษาความมั่นคงปลอดภัย
ข้อ ๑๔ คณะฯ มีหน้าที่จัดให้มีและธํารงรักษาไว้ซึ่งมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม xxxxxxxเป็นมาตรการด้านการบริหารจัดการขององค์กร มาตรการด้านกายภาพ มาตรการด้านเทคนิค และมาตรการอื่น ๆ ที่จําเป็น เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจาก อํานาจหรือโดยมิชอบ สําหรับการxxxxxxผลข้อมูลส่วนบุคคลxxxxxxxxและบันทึกข้อตกลงนี้ โดยจะต้องเป็นไป ตามมาตรฐานขั้นต่ําที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกําหนด
ข้อ ๑๕ ในการกําหนดมาตรการตามข้อ ๑๔ ให้คณะฯ คํานึงถึงหลักการบริหารความเสี่ยง โดยอย่าง
น้อยต้องประกอบด้วยวิธีการและมาตรการ ดังต่อไปนี้ เท่าที่จําเป็นและเหมาะสมกับบริบท
(๑) Identify: การระบุความเสี่ยงxxxxxxจะเกิดขึ้นแก่คอมพิวเตอร์ ข้อมูลxxxxxxxเป็นข้อมูล อิเล็กทรอนิกส์และข้อมูลในรูปแบบอื่น ระบบคอมพิวเตอร์ ข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ ทรัพย์สิน และชีวิตร่างกายของบุคคล ในส่วนที่เกี่ยวข้องกับการxxxxxxผลข้อมูลส่วนบุคคล
บุคคล
-๘-
(๒) Protect: มาตรการป้องกันความเสี่ยงxxxxxxจะเกิดขึ้น
(๓) Detect: มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์และเหตุการละเมิดข้อมูลส่วน
(๔) Respond: มาตรการxxxxxเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์หรือเหตุการละเมิด
ข้อมูลส่วนบุคคล
(๕) Recover: มาตรการรักษาและฟื้นฟูความxxxxxxxxxxเกิดxxxxxxคุกคามทางไซเบอร์หรือเหตุการ ละเมิดข้อมูลส่วนบุคคล
ข้อ ๑๖ มาตรการป้องกันความเสี่ยงของคณะฯ ตามข้อ ๑๕ (๒) ควรประกอบด้วยมาตรการอย่าง
น้อยดังนี้ ในส่วนที่เกี่ยวกับระบบสารสนเทศที่มีการxxxxxxผลข้อมูลส่วนบุคคล เท่าที่xxxxxxจะกระทําได้
(๑) มาตรการรักษาความมั่นคงปลอดภัยด้านการบริหารจัดการ (administrative security) ซึ่งรวมxxx xxxกําหนดและสื่อสารนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย ของระบบสารสนเทศ และการบริหารจัดการความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
(๒) มาตรการรักษาความมั่นคงปลอดภัยด้านกายภาพ (physical security) ของอุปกรณ์และ ส่วนประกอบของระบบสารสนเทศและข้อมูลที่จัดเก็บ
(๓) มาตรการรักษาความมั่นคงปลอดภัยด้านผู้ใช้งาน (user security) ซึ่งรวมxxxxxxฝึกอบรมและ สร้างเสริมความตระหนักรู้และการด้านความสําคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคง ปลอดภัย (security awareness training) แก่บุคลากร พนักงาน ลูกจ้าง หรือบุคคลอื่น ที่เป็นผู้ใช้งานหรือ ผู้เกี่ยวข้องกับระบบสารสนเทศและข้อมูลส่วนบุคคล การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ที่ใช้ในการ จัดเก็บและการxxxxxxผลข้อมูลส่วนบุคคล (access control) การกําหนดxxxxxในการเข้าถึงข้อมูลส่วนบุคคลหรือ ระบบสารสนเทศ และการบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) โดยคํานึงถึงบทบาท หน้าที่ ความจําเป็นในการใช้งาน และความมั่นคงปลอดภัยเป็นสําคัญ การกําหนดหน้าที่ความรับผิดชอบของ ผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยxxxxxxรับอนุญาต การเปิดเผย การxxxxxxx หรือการลักลอบทําสําเนาข้อมูลส่วนบุคคล หรือการลักขโมยอุปกรณ์ที่ใช้ในการจัดเก็บหรือการxxxxxxผลข้อมูล ส่วนบุคคล และการจัดให้มีวิธีการเพื่อให้xxxxxxตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่าย โอนข้อมูลส่วนบุคคล (audit trails) ให้เหมาะสม
(๔) มาตรการรักษาความมั่นคงปลอดภัยด้านข้อมูล (data security) ซึ่งรวมถึงมาตรการควบคุมการ เข้าถึงข้อมูลที่เก็บรักษาไว้อย่างเหมาะสม และการสํารองข้อมูล
(๕) มาตรการรักษาความมั่นคงปลอดภัยด้านระบบสารสนเทศ (systems security) ซึ่งรวมxxxxxx ปรับปรุงระบบปฏิบัติการและแอปพลิเคชันของเครื่องคอมพิวเตอร์แม่ข่าย (server) ให้เป็นปัจจุบันอยู่xxxx xxxตั้ง
-๙-
ค่าความมั่นคงปลอดภัย (security configurations) ที่เหมาะสม การมีระบบสํารอง และการป้องกันภัยคุกคาม จากมัลแวร์
(๖) มาตรการรักษาความมั่นคงปลอดภัยด้านสินทรัพย์สารสนเทศ (asset security) ซึ่งรวมถึงความ มั่นคงปลอดภัยทางกายภาพและการปรับปรุงระบบปฏิบัติการและแอปพลิเคชันของเครื่องคอมพิวเตอร์ลูกข่ายและ อุปกรณ์ต่าง ๆ (endpoints) ที่ใช้งานระบบสารสนเทศให้เป็นปัจจุบันอยู่เสมอ และการป้องกันภัยคุกคาม จากมัลแวร์
(๗) มาตรการรักษาความมั่นคงปลอดภัยด้านซอฟต์แวร์และแอปพลิเคชัน (software and application security) ซึ่งรวมxxxxxxออกแบบและทดสอบความมั่นคงปลอดภัยของซอฟต์แวร์และแอปพลิเคชัน การประเมินและกํากับดูแลกระบวนการพัฒนาซอฟต์แวร์ (software development process) ที่เหมาะสมโดย คํานึงถึงความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ ไม่ว่าจะเป็นซอฟต์แวร์หรือแอปพลิเคชันที่พัฒนาเอง หรือ นํามาใช้จากภายนอก หรือให้บุคคลภายนอกพัฒนาให้ก็ตาม รวมทั้งกระบวนการบําxxxxxxxx (maintenance) ซอฟต์แวร์และแอปพลิเคชันที่เหมาะสม
(๘) มาตรการรักษาความมั่นคงปลอดภัยด้านการสื่อสารและระบบเครือข่าย (communication and network security) ซึ่งรวมถึงความมั่นคงปลอดภัยทางกายภาพของอุปกรณ์ในระบบเครือข่าย การออกแบบและ บริหารจัดการระบบเครือข่ายที่เหมาะสม การควบคุมการจราจรของข้อมูลในระบบเครือข่ายโดยใช้ firewall การมี ระบบป้องกันการโจมตี (intrusion prevention system) การปรับปรุงเฟิร์มแวร์ (firmware) และซอฟต์แวร์ของ อุปกรณ์ในระบบเครือข่ายให้เป็นปัจจุบัน และการเข้ารหัส (encryption) ของข้อมูลที่มีความxxxxxxxxxที่ส่งผ่านระบบ เครือข่าย
ข้อ ๑๗ คณะฯ จะต้องทบทวนมาตรการตามข้อ ๑๔ ข้อ ๑๕ และข้อ ๑๖ เมื่อมีความจําเป็นหรือเมื่อ
เทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม โดยคํานึงถึง ความxxxxxxxxทางเทคโนโลยี ค่าใช้จ่ายในการดําเนินการ ลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการ xxxxxxผลข้อมูลประกอบกัน
ข้อ ๑๘ คณะฯ จะใช้ความxxxxxxตามxxxxxให้การเข้าถึงและการxxxxxxผลข้อมูลส่วน
บุคคลจํากัดเฉพาะบุคลากร พนักงาน และลูกจ้างของคณะฯ หรือบุคคลxxxxxxรับมอบหมาย ซึ่งมีความจําเป็นใน การเข้าถึงหรือการxxxxxxผลข้อมูลส่วนบุคคลตามหลักความจําเป็นในการเข้าถึงข้อมูล (need-to-know basis) เพื่อดําเนินการให้เป็นไปxxxxxxxxและบันทึกข้อตกลงนี้หรือเพื่อปฏิบัติการอื่นที่เป็นไปตามกฎหมาย เท่านั้น และดําเนินการให้บุคคลดังกล่าวรักษาความลับในการxxxxxxผลข้อมูลส่วนบุคคล และปฏิบัติตาม หน้าที่ความรับผิดชอบของคณะฯ ในสัญญาและบันทึกข้อตกลงนี้
ข้อ ๑๙ บริษัทฯ มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการ
สูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ สําหรับ
-๑๐-
การxxxxxxผลข้อมูลส่วนบุคคลในส่วนที่อยู่นอกเหนือความควบคุมและความรับผิดชอบของคณะฯ ตลอดจน การxxxxxxผลข้อมูลส่วนบุคคลที่บริษัทฯ ดําเนินการ หรือบุคคลอื่นดําเนินการในนามบริษัทฯ เพื่อเปิดเผย โดยการส่งผ่าน การเผยแพร่ หรือการทําให้พร้อมใช้งานโดยวิธีการอื่นใด ให้แก่คณะฯ ก่อนที่คณะฯ จะทําการ xxxxxxผลข้อมูลส่วนบุคคลนั้นในส่วนของตน
เหตุการละเมิดข้อมูลส่วนบุคคล (Personal Data Breaches)
ข้อ ๒๐ คณะฯ มีหน้าที่xxxxxxxดูแลและมีมาตรการตรวจสอบและเฝ้าระวัง (detective measures) การกระทําxxxxxxมีลักษณะเป็นการเข้าถึงหรือการxxxxxxผลข้อมูลส่วนบุคคลโดยปราศจาก อํานาจหรือโดยมิชอบตามxxxxx และเมื่อทราบเหตุการละเมิดข้อมูลส่วนบุคคล คณะฯ มีหน้าที่ตอบxxxxต่อ เหตุดังกล่าวในเบื้องต้นตามxxxxxเพื่อลดความเสี่ยงหรือผลกระทบจากเหตุดังกล่าว ตลอดจนเพื่อรวบรวม ข้อมูลจราจรทางคอมพิวเตอร์และพยานหลักฐานที่เกี่ยวข้องสําหรับการดําเนินการต่อไป
ข้อ ๒๑ คณะฯ มีหน้าที่แจ้งให้บริษัทฯ ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นจากการ
xxxxxxผลข้อมูลส่วนบุคคลในความรับผิดชอบของคณะฯ โดยxxxxxxxxx ภายในสี่สิบแปดชั่วโมงนับแต่ทราบ เหตุเท่าที่จะxxxxxxกระทําได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อxxxxxและเสรีภาพ ของบุคคล โดยอย่างน้อยจะต้องให้ข้อมูลต่อไปนี้แก่บริษัทฯ เป็นลายลักษณ์xxxxxโดยเร็วเท่าที่จะxxxxxx กระทําได้
เป็นไปได้)
(๑) รายละเอียดของเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น และผลxxxxxxเกิดขึ้น (๒) การดําเนินการxxxxxxกระทําไปเพื่อตอบxxxxต่อเหตุดังกล่าว
(๓) ประเภทของข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเหตุดังกล่าว (หาก
(๔) ความเห็นต่อเหตุดังกล่าวและมาตรการที่ควรดําเนินการต่อไป
ข้อ ๒๒ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วน
บุคคล และ/หรือเจ้าของข้อมูลส่วนบุคคล เป็นหน้าที่ความรับผิดชอบของบริษัทฯ ในฐานะผู้ควบคุมข้อมูลส่วน บุคคล โดยคณะฯ ในฐานะผู้xxxxxxผลข้อมูลส่วนบุคคล จะต้องให้ความร่วมมืออย่างเต็มที่เพื่อให้บริษัทฯ xxxxxxดําเนินการดังกล่าว รวมทั้งการดําเนินการทางกฎหมายอย่างอื่นที่เกี่ยวข้องได้
ข้อ ๒๓ หลังเกิดเหตุการละเมิดข้อมูลส่วนบุคคล คู่สัญญามีหน้าที่รับผิดชอบดําเนินการในส่วน
ของตน เพื่อเยียวยาผู้xxxxxxxxกระทบจากเหตุดังกล่าว และทบทวนและพิจารณาปรับปรุงมาตรการรักษาความ มั่นคงปลอดภัยเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสมและเพียงพอ
ข้อ ๒๔ คู่สัญญามีหน้าที่ให้ความร่วมมือ ช่วยเหลือ และสนับสนุนการดําเนินการที่เกี่ยวข้องของ
คู่สัญญาอีกฝ่ายหนึ่งตามxxxxx เพื่อให้คู่สัญญาอีกฝ่ายหนึ่งนั้นxxxxxxป้องกัน เฝ้าระวัง ตรวจสอบ ตอบxxxx
-๑๑-
แก้ไข และฟื้นฟูจากเหตุการละเมิดข้อมูลส่วนบุคคล ตลอดจนเก็บรวบรวมข้อมูลจราจรทางคอมพิวเตอร์และ พยานหลักฐานที่เกี่ยวข้อง และดําเนินการตามกฎหมายที่เกี่ยวข้องในส่วนของตนได้
การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ (Cross-Border Data Transfer)
ข้อ ๒๕ คณะฯ จะไม่ส่งหรือโอน (transfer) ข้อมูลส่วนบุคคลไปต่างประเทศหรือองค์การ ระหว่างประเทศ เว้นแต่จะได้รับความยินยอมจากบริษัทฯ เป็นลายลักษณ์xxxxx หรือเป็นไปตามกฎหมายว่า ด้วยการคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ ไม่รวมxxxxxxส่งผ่าน (transit) ข้อมูลส่วนบุคคลในต่างประเทศ ที่ไม่มี การเข้าถึงข้อมูลส่วนบุคคลโดยบุคคลอื่นนอกเหนือจากบุคลากร พนักงาน และลูกจ้างของคณะฯ หรือผู้ xxxxxxผลข้อมูลส่วนบุคคลช่วง
การลบและการเก็บรักษาข้อมูลส่วนบุคคล
ข้อ ๒๖ คณะฯ มีหน้าที่ดําเนินการลบหรือทําลาย หรือทําให้ข้อมูลส่วนบุคคลตามบันทึกข้อตกลง นี้ เป็นข้อมูลxxxxxxxxxxxxระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ภายในเวลา ปี นับแต่xxxxxxสัญญา
สิ้นสุดลง หรือเมื่อไม่มีความจําเป็นต้องทําการxxxxxxผลข้อมูลส่วนบุคคลดังกล่าวอีกต่อไป หรือกรณีที่มีเหตุ อื่นตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เว้นแต่จะได้รับอนุญาตเป็นลายลักษณ์xxxxxจากบริษัทฯ ให้เก็บรักษาข้อมูลดังกล่าวไว้นานกว่านั้น และบริษัทฯ อาจขอให้คณะฯ แสดงหลักฐานตามxxxxxเพื่อพิสูจน์ การดําเนินการ หรือมีหนังสือยืนยันและรับรองว่าได้ดําเนินการดังกล่าวแล้ว
ข้อ ๒๗ คณะฯ อาจเก็บรักษาข้อมูลส่วนบุคคลไว้เพื่อการก่อตั้งxxxxxเรียกร้องตามกฎหมาย การ
ปฏิบัติตามหรือการใช้xxxxxเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้xxxxxเรียกร้องตามกฎหมาย หรือเพื่อการ ปฏิบัติตามกฎหมาย xxxxxxขัดต่อกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
ข้อ ๒๘ คณะฯ อาจเก็บรักษาข้อมูลส่วนบุคคลเท่าที่จําเป็นเพื่อแสดงxxxxxxปฏิบัติxxxxxxxx
และบันทึกข้อตกลงนี้ได้
ข้อ ๒๙ เมื่อสัญญาสิ้นสุดลง หรือก่อนที่คณะฯ จะดําเนินการลบหรือทําลาย หรือทําให้ข้อมูล ส่วนบุคคลตามบันทึกข้อตกลงนี้ เป็นข้อมูลxxxxxxxxxxxxระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ บริษัทฯ อาจแจ้งให้คณะฯ ส่งสําเนาข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ให้แก่บริษัทฯ ได้ โดยไม่กระทบต่อxxxxxและ หน้าที่ของคณะฯ ในการเก็บรักษาข้อมูลไว้ตามความจําเป็นตามบันทึกข้อตกลงนี้ โดยหน้าที่ในการปฏิบัติการ ให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่น ต่อการxxxxxxผลข้อมูลส่วน บุคคลของข้อมูลส่วนบุคคลที่คณะฯ ส่งให้บริษัทฯ เป็นความรับผิดชอบของบริษัทฯ เอง
ข้อ ๓๐ เมื่อสัญญาสิ้นสุดลง และ/หรือบันทึกข้อตกลงนี้สิ้นสุดลง ในระหว่างที่คณะฯ ยังxxxxxx
ดําเนินการลบหรือทําลาย หรือทําให้ข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ เป็นข้อมูลxxxxxxxxxxxxระบุตัว
-๑๒-
บุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ตามข้อ ๒๖ ให้คณะฯ ยังมีหน้าที่ความรับผิดชอบตามบันทึกข้อตกลงนี้ เท่าที่จําเป็นและไม่ขัดกับกฎหมาย เพื่อประโยชน์ในการคุ้มครองข้อมูลส่วนบุคคลที่คณะฯ รับผิดชอบในฐานะ ผู้xxxxxxผลข้อมูลส่วนบุคคล
ขอบเขตของความรับผิด
ข้อ ๓๑ เว้นแต่จะกําหนดไว้เป็นอย่างอื่น คณะฯ ไม่ต้องรับผิดในความเสียหายหรือการกระทํา อันเกิดจากการปฏิบัติตามบันทึกข้อตกลงนี้ หรือตามคําสั่งของบริษัทฯ เพื่อให้xxxxxวัตถุประสงค์ในการ xxxxxxผลข้อมูลส่วนบุคคลxxxxxxxx
ข้อ ๓๒ ในกรณีที่คณะฯ ต้องรับผิดชดใช้ค่าเสียหายหรือชําระค่าปรับ อันเนื่องมาจากการปฏิบัติ
ตามบันทึกข้อตกลง หรือตามคําสั่งของบริษัทฯ เพื่อให้xxxxxวัตถุประสงค์ในการxxxxxxผลข้อมูลส่วนบุคคล xxxxxxxx ไม่ว่าจะด้วยเหตุใดก็ตาม คณะฯ มีxxxxxเรียกร้องให้บริษัทฯ ชดใช้เงินจํานวนดังกล่าวให้แก่คณะฯ เว้นแต่จะพิสูจน์ได้ว่าความรับผิดดังกล่าวเป็นการกระทําผิดโดยxxxxxหรือเป็นความบกพร่องของคณะฯ เอง หรือผู้xxxxxxผลข้อมูลส่วนบุคคลช่วงของคณะฯ
การเปลี่ยนแปลงแก้ไขบันทึกข้อตกลง
ข้อ ๓๓ กรณีที่จําเป็นต้องมีการเปลี่ยนแปลงแก้ไขบันทึกข้อตกลงเพื่อให้คู่สัญญาxxxxxxทําการ xxxxxxผลข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลต่อไปได้อย่างเหมาะสมและมี ประสิทธิภาพ ให้xxxxxxxxxxxxxxxxxxxxxxจะแก้ไขเพิ่มเติมบันทึกข้อตกลงนี้ แจ้งให้อีกฝ่ายทราบล่วงหน้าเป็นเวลา ไม่น้อยกว่า ๓๐ วัน และเมื่อทั้งสองฝ่ายให้ความยินยอมในการแก้ไขเพิ่มเติมแล้ว ให้จัดทําบันทึกข้อตกลงฉบับ แก้ไขเพิ่มเติมเป็นหนังสือ และลงนามผูกพันโดยผู้มีอํานาจลงนามผูกพันนิติบุคคล และให้xxxxxxการแก้ไขเพิ่มเติม ดังกล่าวเป็นส่วนหนึ่งของบันทึกข้อตกลงนี้ โดยให้มีผลใช้บังคับตั้งแต่xxxxxxลงนามในบันทึกข้อตกลงฉบับแก้ไข เพิ่มเติมนั้น เว้นแต่จะกําหนดเป็นอย่างอื่นในบันทึกข้อตกลงฉบับแก้ไขดังกล่าว
บันทึกข้อตกลงนี้ทําขึ้นสองฉบับมีข้อความถูกต้องตรงกัน ทั้งสองฝ่ายได้อ่านและเข้าใจบันทึก ข้อตกลงนี้โดยละเอียดตลอดแล้ว เห็นว่าตรงตามxxxxxxxxxxxxได้ให้ไว้ต่อกันทุกประการ จึงได้ลงลายมือชื่อไว้ เป็นสําคัญต่อหน้าพยานและแต่ละฝ่ายต่างได้ยึดถือไว้ฝ่ายละฉบับ
-๑๓-
บริษัท ........................................ ลงชื่อ บริษัทฯ (...............................................................................) ........................................................................ | มหาวิทยาลัยxxxxx ลงชื่อ คณะฯ (...............................................................................) ........................................................................ |
บริษัท ........................................ ลงชื่อ พยาน (...............................................................................) | ลงชื่อ พยาน (...............................................................................) |