บันทึกข้อตกลงการแบ่งปันข้อมูล (Data Sharing Agreement)
บันทึกข้อตกลงการแบ่งปันข้อมูล (Data Sharing Agreement)
(กรณีทั้งสองฝ่ายเป็นผู้ควบคุมข้อมูลส่วนบุคคล เวอร์ชนั ๓ ฉบับแก้ไขxxxxxx ๘ xxxxxx ๒๕๖๖)
ทําที่ ..........................................................
xxxxxx ............. เดือน .................. พ.ศ. ..............
บันทึกข้อตกลงนี้ทําขึ้นระหว่าง
บริษัท ........................................ มีสํานักงานตั้งอยู่ที่ ...................................................................
โดย ............................................................................... ตําแหน่ง ........................................................................
เป็นผู้มีอํานาจลงนามผูกพน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “บริษัทฯ” กับ
มหาวิทยาลัยxxxxx (คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี) เลขที่ ๒๗๐ ถนนพระรามที่ ๖ แขวงทุ่งพญาไท เขตราชเทวี กรุงเทพมหานคร ๑๐๔๐๐ โดย ..............................................................................
ตําแหน่ง คณบดีคณะแพทยศาสตร์โรงพยาบาลรามาธิบดี เป็นผู้มีอํานาจลงนามผูกพัน ซึ่งต่อไปในบันทึก ข้อตกลงนี้เรียกว่า “คณะฯ”
ตามxxxxxxxสองฝ่ายได้ทําสัญญา ฉบับลงxxxxxx
...................................... ทั้งสองฝ่ายจึงตกลงทําบันทึกข้อตกลงฉบับนี้ โดยให้บันทึกข้อตกลงฉบับนี้เป็นส่วน หนึ่งของสัญญาดังกล่าว ดังมีข้อความต่อไปนี้
บทนิยาม
ข้อ ๑ หากxxxxxxมีการกําหนดไว้เป็นอย่างอื่นในบันทึกข้อตกลงนี้ ให้ถ้อยคําในบันทึกข้อตกลงนี้มี ความหมายดังต่อไปนี้
“ข้อมูล” (data) หมายความว่า สิ่งที่สื่อความหมายให้รู้ข้อความ เรื่องราว ข้อเท็จจริง ความเห็น หรือสิ่งใด ๆ ไม่ว่าการสื่อความหมายนั้นจะทําได้โดยสภาพของสิ่งนั้นเองหรือโดยผ่านวิธีการใด ๆ และไม่ว่าจะ จัดทําไว้ในรูปของเอกสาร แฟ้ม รายงาน หนังสือ แผนผัง แผนที่ ภาพวาด ภาพถ่าย ฟิล์ม การบันทึกภาพหรือ เสียง การบันทึกโดยเครื่องคอมพิวเตอร์ หรือวิธีอื่นใดที่ทําให้สิ่งที่บันทึกไว้ปรากฏได้ และให้หมายความรวมถึง ข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ด้วย
“ข้อมูลส่วนบุคคล” (personal data) หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทําให้xxxxxxระบุ ตัวบุคคลนั้นxxx xxxว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“เจ้าของข้อมูลส่วนบุคคล” (data subject) หมายความว่า บุคคลธรรมดาซึ่งข้อมูลส่วนบุคคล เป็นข้อมูลเกี่ยวกับผู้นั้น และxxxxxxระบุตัวบุคคลนั้นxxx xxxว่าทางตรงหรือทางอ้อม และให้หมายความรวมถึง
ผู้ใช้อํานาจxxxxxxxxxมีอํานาจกระทําการแทนผู้เยาว์ ผู้อนุบาลที่มีอํานาจกระทําการแทนคนไร้ความสามารถ หรือผู้xxxxxxxxxxมีอํานาจกระทําการแทนxxxxxxxxxxxxxxxxxxxxxด้วย
“การxxxxxxผลข้อมูล” (data processing) หมายความว่า การกระทําอย่างหนึ่งหรือหลายอย่างxxx xxxกระทําต่อข้อมูลหรือชุดข้อมูล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ก็ตาม ซึ่งรวมxxxxxxเก็บรวบรวม (collection) การบันทึก (recording) การจัดระบบ (organization) การจัดโครงสร้าง (structuring) การจัดเก็บหรือเก็บรักษา (storage) การดัดแปลงหรือการเปลี่ยนแปลงแก้ไข (adaptation or alteration) การค้นคืน (retrieval) การ ปรึกษา (consultation) การใช้ (use) การเปิดเผยโดยการส่งผ่าน การเผยแพร่ หรือการทําให้พร้อมใช้งานโดย วิธีการอื่นใด (disclosure by transmission, dissemination or otherwise making available) การปรับแนว หรือการรวมเข้ากัน (alignment or combination) การจํากัด (restriction) การลบ (erasure) และการทําลาย (destruction)
“ผู้เปิดเผยข้อมูลส่วนบุคคล” หมายความว่า xxxxxxxxxxxxxxxเปิดเผยข้อมูลส่วนบุคคลแก่คู่สัญญา อีกฝ่ายหนึ่ง ไม่ว่าจะเป็นการเปิดเผยโดยการส่งผ่าน การเผยแพร่ หรือการทําให้พร้อมใช้งานโดยวิธีการอื่นใด
“ผู้รับข้อมูลส่วนบุคคล” หมายความว่า xxxxxxxxxxxxxxxรับข้อมูลส่วนบุคคลจากผู้เปิดเผยข้อมูล
ส่วนบุคคล
“การลบ” (erasure) หมายความว่า การทําให้ข้อมูลส่วนบุคคลนั้นถูกลบออกจากระบบและxxx
xxxกู้คืนได้ โดยเจ้าของข้อมูลส่วนบุคคลหรือคู่สัญญาฝ่ายหนึ่งฝ่ายใด ทั้งนี้ ไม่ว่าในเวลาใด ๆ
“ภัยคุกคามทางไซเบอร์” (cyber threat) หมายความว่า การกระทําหรือการดําเนินการใด ๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงxxxxxxxโดยมุ่งหมายให้xxxxxxx ประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึง ที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทํางานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่น ที่เกี่ยวข้อง
“การละเมิดข้อมูลส่วนบุคคล” (personal data breach) หมายความว่า การละเมิดมาตรการ ด้านความมั่นคงปลอดภัย ที่นําไปสู่การทําลาย (destruction) การสูญหาย (loss) การเปลี่ยนแปลงแก้ไข (alteration) การเปิดเผยโดยมิชอบหรือโดยปราศจากอํานาจ (unauthorized disclosure) หรือการเข้าถึง (access) ข้อมูลส่วนบุคคลxxxxxxรับการส่งผ่าน (transmitted) การจัดเก็บ (stored) หรือการxxxxxxผลโดย วิธีการอื่นใด (otherwise processed) ที่เกิดขึ้นโดยอุบัติเหตุ (accidental) หรือโดยมิชอบด้วยกฎหมาย (unlawful) xxxxxxxเกิดxxxxxxคุกคามทางไซเบอร์ หรือเกิดจากการกระทําของบุคคลภายในหรือภายนอก หรือ เหตุอื่นใด และหมายความรวมxxxxxxละเมิดข้อมูลส่วนบุคคลตามบทxxxxxxxxก˚าหนดในประกาศ
คณะกรรมการคุ้มครองขอ
มูลส่วนบุคคลทอ
อกตามบทบญ
ญตแ
ห่งกฎหมายว่าด้วยการคุ้มครองข้อมูล
ส่วนบุคคลดวย
“บันทึกข้อตกลง” หมายความว่า บันทึกข้อตกลงการแบ่งปันข้อมูลและเอกสารแนบท้ายบันทึก ข้อตกลงนี้ (ถ้ามี)
“สัญญา” หมายความว่า สัญญา ฉบับลง
xxxxxx ......................................
ขอบเขตการบังคับใช้
ข้อ ๒ บันทึกข้อตกลงนี้ ใช้บังคับกับการxxxxxxผลข้อมูลส่วนบุคคลที่ผู้เปิดเผยข้อมูลส่วนบุคคล ได้ส่งให้แก่ผู้รับข้อมูลส่วนบุคคลเพื่อให้xxxxxวัตถุประสงค์xxxxxxxx .................................................................
เพื่อให้มีการคุ้มครองข้อมูลส่วนบุคคล และกําหนดหน้าที่ความรับผิดชอบของคู่สัญญาอย่างเหมาะสม และ เพื่อให้การดําเนินการxxxxxxxxเป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยบันทึกข้อตกลง นี้ถือเป็นส่วนหนึ่งของสัญญา และให้มีผลใช้บังคับตั้งแต่
xxxxxx..............................ถึงxxxxxx.....................................
ความxxxxxxxxระหว่างคู่สัญญา
ข้อ ๓ ในการxxxxxxผลข้อมูลส่วนบุคคลxxxxxxxxและบันทึกข้อตกลงนี้ xxxxxxxxxxxxสองฝ่ายจะอยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (controller) ตลอดระยะเวลาของ
สัญญา และมีอํานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลในส่วนที่เกี่ยวกับ ตน โดยคู่สัญญาในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลที่มีผลใช้บังคับกับกรณี
สําหรับการ คณะฯ จะอยู่ในฐานะ “ผู้เปิดเผยข้อมูล
ส่วนบุคคล” ตลอดระยะเวลาของสัญญา ส่วนบริษัทฯ จะอยู่ในฐานะ “ผู้รับข้อมูลส่วนบุคคล” ตลอดระยะเวลา ของสัญญา
ในขณะที่สําหรับการ ............................................................................... บริษัทฯ จะอยู่ในฐานะ “ผ เปิดเผยข้อมูลส่วนบุคคล” ตลอดระยะเวลาของสัญญา ส่วนคณะฯ จะอยู่ในฐานะ “ผู้รับข้อมูลส่วนบุคคล” ตลอดระยะเวลาของสัญญา
การxxxxxxผลข้อมูลส่วนบุคคล
ข้อ ๔ xxxxxxxxxxxxxxxเป็นผู้เปิดเผยข้อมูลส่วนบุคคล จะเปิดเผยข้อมูลส่วนบุคคลให้กับxxxxxxxxxxxxxxx เป็นผู้รับข้อมูลส่วนบุคคล และxxxxxxxxxxxxxxxเป็นผู้รับข้อมูลส่วนบุคคล จะxxxxxxผลข้อมูลส่วนบุคคลดังกล่าว เพื่อดําเนินการให้เป็นไปตามxxxxxxxx และบันทึก
ข้อมูลส่วนบุคคลที่บริษัทฯ เปิดเผยให้คณะฯ ทําการxxxxxxผลข้อมูลส่วนบุคคล | ข้อมูลส่วนบุคคลที่คณะฯ เปิดเผยให้บริษัทฯ ทําการxxxxxxผลข้อมูลส่วนบุคคล |
(๑) | (๑) |
(x) ข้อมูลส่วนบุคคลอื่นที่มีการเปิดเผยโดยบริษัทฯ ไปยังคณะฯ เพื่อให้เป็นไปxxxxxxxxและบันทึกข้อตกลงนี้ | (x) ข้อมูลส่วนบุคคลอื่นที่มีการเปิดเผยโดยคณะฯ ไปยังบริษัท ฯ เพื่อให้เป็นไปxxxxxxxxและบันทึกข้อตกลงนี้ |
ข้อตกลงนี้ โดยxxxxxxxxxxxxxxxเป็นผู้รับข้อมูลส่วนบุคคล อาจทําการxxxxxxผลข้อมูลส่วนบุคคลดังต่อไปนี้ไม่ว่า ทั้งหมดหรือเพียงบางส่วน เท่าที่จําเป็นเพื่อการดําเนินการxxxxxxxxหรือตามกฎหมาย ในฐานะผู้ควบคุม ข้อมูลส่วนบุคคล
ข้อ ๕ xxxxxxxxxxxxxxxเป็นผู้รับข้อมูลส่วนบุคคลจะทําการxxxxxxผลข้อมูลส่วนบุคคลตามข้อ ๔ เฉพาะเพื่อให้xxxxxวัตถุประสงค์ของสัญญาและกระบวนการอื่น ๆ ที่เกี่ยวข้องเท่านั้น ซึ่งรวมถึงกรณีใดกรณีหนึ่ง ต่อไปนี้
(๑) เมื่อ xxxxxxxxxในการxxxxxxผลข้อมูลส่วนบุคคลที่สอดคล้อง
กับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลดังในตาราง
วัตถุประสงค์ ผู้เปิดเผยข้อมูลส่วนบุคคล และผู้รับข้อมูลส่วนบุคคล | ฐานในการxxxxxxผลข้อมูลส่วนบุคคล |
(ก) ผู้เปิดเผยข้อมูลส่วนบุคคล บริษัทฯ ผู้รับข้อมูลส่วนบุคคล คณะฯ | สําหรับผู้เปิดเผยข้อมูลส่วนบุคคล กรณีข้อมูลส่วนบุคคลตามมาตรา ๒๔ แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ (ก) กรณีข้อมูลสุขภาพและข้อมูลส่วนบุคคลตามมาตรา ๒๖ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ (x) สําหรับผู้รับข้อมูลส่วนบุคคล กรณีข้อมูลส่วนบุคคลตามมาตรา ๒๔ แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ (ก) กรณีข้อมูลสุขภาพและข้อมูลส่วนบุคคลตามมาตรา ๒๖ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ (x) |
(๒) เมื่อ xxxxxxxxxในการxxxxxxผลข้อมูลส่วนบุคคลที่สอดคล้อง
กับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลดังในตาราง
วัตถุประสงค์ ผู้เปิดเผยข้อมูลส่วนบุคคล และผู้รับข้อมูลส่วนบุคคล | ฐานในการxxxxxxผลข้อมูลส่วนบุคคล |
(ก) | สําหรับผู้เปิดเผยข้อมูลส่วนบุคคล |
วัตถุประสงค์ ผู้เปิดเผยข้อมูลส่วนบุคคล และผู้รับข้อมูลส่วนบุคคล | ฐานในการxxxxxxผลข้อมูลส่วนบุคคล |
ผู้เปิดเผยข้อมูลส่วนบุคคล คณะฯ ผู้รับข้อมูลส่วนบุคคล บริษัทฯ | กรณีข้อมูลส่วนบุคคลตามมาตรา ๒๔ แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ (ก) กรณีข้อมูลสุขภาพและข้อมูลส่วนบุคคลตามมาตรา ๒๖ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ (x) สําหรับผู้รับข้อมูลส่วนบุคคล กรณีข้อมูลส่วนบุคคลตามมาตรา ๒๔ แห่งพระราชบัญญัติ คุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ (ก) กรณีข้อมูลสุขภาพและข้อมูลส่วนบุคคลตามมาตรา ๒๖ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ (x) |
(๓) เมื่อคู่สัญญามีเหตุจําเป็นต้องทําการxxxxxxผลข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามกฎหมาย หรือ
กรณีอื่นที่xxxxxxกระทําได้ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
ข้อ ๖ xxxxxxxxxxxxxxxเป็นผู้เปิดเผยข้อมูลส่วนบุคคลตกลงและรับรองว่า ก่อนการเปิดเผยข้อมูลส่วน บุคคลให้แก่ผู้รับข้อมูลส่วนบุคคล และก่อนหรือในขณะที่xxxxxxxxxxxxxxxเป็นผู้รับข้อมูลส่วนบุคคลจะทําการ xxxxxxผลข้อมูลส่วนบุคคลตามข้อ ๕ xxxxxxxxxxxxxxxเป็นผู้เปิดเผยข้อมูลส่วนบุคคลได้พิจารณาแล้วว่า การ xxxxxxผลข้อมูลส่วนบุคคลดังกล่าว xxxxxในการxxxxxxผลข้อมูลส่วนบุคคล (lawful basis for processing personal data) ที่สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และในกรณีที่ต้องได้รับความ ยินยอมจากเจ้าของข้อมูลส่วนบุคคล xxxxxxxxxxxxxxxเป็นผู้เปิดเผยข้อมูลส่วนบุคคลรับรองว่า ตนได้ขอความ ยินยอมจากเจ้าของข้อมูลส่วนบุคคลและได้รับความยินยอมโดยชอบด้วยกฎหมายแล้ว ทั้งนี้ เว้นแต่จะเป็นข้อมูล ส่วนบุคคลที่xxxxxxxxxxxxxxxเป็นผู้เปิดเผยข้อมูลส่วนบุคคลได้เก็บรวบรวมไว้ก่อนxxxxxxกฎหมายว่าด้วยการคุ้มครอง ข้อมูลส่วนบุคคลใช้บังคับ ซึ่งxxxxxxเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม
ข้อ ๗ คู่สัญญารับทราบและตกลงที่จะปฏิบัติหน้าที่ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วน
บุคคลกําหนดให้เป็นหน้าที่ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล ตลอดจนหน้าที่ความรับผิดชอบตาม กฎหมายอื่น ในส่วนที่เกี่ยวกับตน ซึ่งรวมถึง
(๑) การแจ้งรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล (privacy notice)
(๒) การxxxxxxผลข้อมูลส่วนบุคคลตามวัตถุประสงค์xxxxxxแจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือใน ขณะที่เก็บรวบรวม
(๓) การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง (๔) การใช้หรือเปิดเผยข้อมูลส่วนบุคคล
(๕) การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
(๖) การดําเนินการที่เกี่ยวกับxxxxxของเจ้าของข้อมูลส่วนบุคคล
(๗) การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ และการทบทวนมาตรการ ดังกล่าวเมื่อมีความจําเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคง ปลอดภัยที่เหมาะสม ทั้งนี้ ต้องเป็นไปตามมาตรฐานขั้นต่ําที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศ กําหนด
(๘) การดําเนินการเพื่อป้องกันมิให้บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือ เปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่ผู้นั้น
(๙) การจัดให้มีระบบการตรวจสอบเพื่อดําเนินการลบหรือทําลายข้อมูลส่วนบุคคลเมื่อพ้นกําหนด ระยะเวลาการเก็บรักษา หรือxxxxxxเกี่ยวข้องหรือเกินความจําเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วน บุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่จะ เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
(๑๐) การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือเจ้าของข้อมูลส่วนบุคคล โดยxxxxxxxxx ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนดให้ ดําเนินการ
(๑๑) การแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล (เฉพาะกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลอยู่ นอกราชอาณาจักร)
(๑๒) การจัดทําบันทึกรายการ (record of processing activities) เพื่อให้เจ้าของข้อมูลส่วนบุคคล และสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลxxxxxxตรวจสอบได้
(๑๓) การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล การแจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลและสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ และการ สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลกําหนดให้ดําเนินการ
ผู้xxxxxxผลข้อมูลส่วนบุคคล
ข้อ ๘ เพื่อประโยชน์ในการปฏิบัติxxxxxxxx เมื่อมีความจําเป็น xxxxxxxxxxxมอบหมายงาน เกี่ยวกับการxxxxxxผลข้อมูลส่วนบุคคลทั้งหมดหรือแต่บางส่วนให้บุคคลอื่น (“ผู้xxxxxxผลข้อมูลส่วน บุคคล”) ดําเนินการแทนหรือช่วยสนับสนุนในการดําเนินการได้ ทั้งนี้ คู่สัญญาฝ่ายนั้นยังต้องเป็นผู้รับผิดชอบ ในงานxxxxxxมอบหมายไปxxxxxxxxและบันทึกข้อตกลงนี้ รวมถึงจะต้องดําเนินการให้ผู้xxxxxxผลข้อมูลส่วน บุคคลxxxxxxรับมอบหมายรับทราบและปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และสัญญาและ บันทึกข้อตกลงนี้ รวมทั้งจะต้องดําเนินการให้ผู้xxxxxxผลข้อมูลส่วนบุคคลมีหน้าที่ในการคุ้มครองข้อมูลส่วน บุคคลและจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมในระดับxxxxxxต่ํากว่าหน้าที่ความรับผิดชอบ ของคู่สัญญาตามบันทึกข้อตกลงนี้
การขอใช้xxxxxของเจ้าของข้อมูลส่วนบุคคลและการปฏิบัติตามกฎหมาย
ข้อ ๙ คู่สัญญาจะต้องดําเนินการตามคําขอของเจ้าของข้อมูลส่วนบุคคลที่เป็นการขอใช้xxxxxของ เจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ในส่วนที่เกี่ยวกับตนในฐานะผู้ควบคุม ข้อมูลส่วนบุคคล
ข้อ ๑๐ ในกรณีที่คู่สัญญาฝ่ายหนึ่งได้รับคําขอจากเจ้าของข้อมูลส่วนบุคคลที่เป็นการขอใช้xxxxx
ของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ในส่วนที่เป็นการxxxxxxผล ข้อมูลส่วนบุคคลของคู่สัญญาอีกฝ่ายหนึ่งในฐานะผู้ควบคุมข้อมูลส่วนบุคคล คู่สัญญาต้องแจ้งให้เจ้าของข้อมูล ส่วนบุคคลทราบว่ากรณีดังกล่าวอยู่ในความรับผิดชอบของคู่สัญญาอีกฝ่ายหนึ่ง พร้อมทั้งแจ้งให้เจ้าของข้อมูล ส่วนบุคคลยื่นคําขอต่อคู่สัญญาอีกฝ่ายหนึ่งนั้นโดยตรง โดยจะไม่ทําการตอบxxxxต่อคําขอดังกล่าวเอง เว้นแต่ จะมีการตกลงไว้เป็นอย่างอื่น
ข้อ ๑๑ คู่สัญญาจะให้ความร่วมมือ ช่วยเหลือ และสนับสนุนการดําเนินการที่เกี่ยวข้องของ
คู่สัญญาอีกฝ่ายหนึ่งตามxxxxx เพื่อให้คู่สัญญาอีกฝ่ายหนึ่งนั้นxxxxxxปฏิบัติให้เป็นไปตามกฎหมายและ พันธกรณีต่าง ๆ ได้ หรือในกรณีที่มีคําสั่งโดยชอบด้วยกฎหมายจากหน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐ เกี่ยวกับหน้าที่ของคู่สัญญา หรือเพื่อพิสูจน์ว่าxxxxxxxxxxxปฏิบัติตามที่กฎหมายกําหนดและตามที่กําหนดใน สัญญาและบันทึกข้อตกลงนี้ ในส่วนที่เกี่ยวกับการxxxxxxผลข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วน บุคคล
มาตรการรักษาความมั่นคงปลอดภัย
ข้อ ๑๒ คู่สัญญามีหน้าที่จัดให้มีและธํารงรักษาไว้ซึ่งมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม xxxxxxxเป็นมาตรการด้านการบริหารจัดการขององค์กร มาตรการด้านกายภาพ มาตรการด้านเทคนิค และมาตรการอื่น
ๆ ที่จําเป็น เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจาก อํานาจหรือโดยมิชอบ สําหรับการxxxxxxผลข้อมูลส่วนบุคคลxxxxxxxxและบันทึกข้อตกลงนี้ ในส่วนที่เกี่ยวกับ ตน โดยจะต้องเป็นไปตามมาตรฐานขั้นต่ําที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกําหนด และจะต้อง ทบทวนมาตรการดังกล่าว เมื่อมีความจําเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษา ความมั่นคงปลอดภัยที่เหมาะสม โดยคํานึงถึงความxxxxxxxxทางเทคโนโลยี ค่าใช้จ่ายในการดําเนินการ ลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการxxxxxxผลข้อมูลประกอบกัน
ข้อ ๑๓ ผู้รับข้อมูลส่วนบุคคลจะใช้ความxxxxxxตามxxxxxให้การเข้าถึงและการxxxxxxผล
ข้อมูลส่วนบุคคลจํากัดเฉพาะบุคลากร พนักงาน และลูกจ้างของตน หรือบุคคลxxxxxxรับมอบหมาย ซึ่งมีความ จําเป็นในการเข้าถึงหรือการxxxxxxผลข้อมูลส่วนบุคคลตามหลักความจําเป็นในการเข้าถึงข้อมูล (need-to- know basis) เพื่อดําเนินการให้เป็นไปxxxxxxxxและบันทึกข้อตกลงนี้หรือเพื่อปฏิบัติการอื่นที่เป็นไปตาม กฎหมายเท่านั้น และดําเนินการให้บุคคลดังกล่าวรักษาความลับในการxxxxxxผลข้อมูลส่วนบุคคล และ ปฏิบัติตามหน้าที่ความรับผิดชอบของคู่สัญญาในสัญญาและบันทึกข้อตกลงนี้
เหตุการละเมิดข้อมูลส่วนบุคคล (Personal Data Breaches)
ข้อ ๑๔ คู่สัญญามีหน้าที่แจ้งให้คู่สัญญาอีกฝ่ายหนึ่งทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่ เกิดขึ้นจากการxxxxxxผลข้อมูลส่วนบุคคลในความรับผิดชอบของตนแต่อาจส่งผลกระทบต่อคู่สัญญาอีกฝ่าย หนึ่ง หรือกรณีที่ทราบเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นจากการxxxxxxผลข้อมูลส่วนบุคคลในความ รับผิดชอบของคู่สัญญาอีกฝ่ายหนึ่งเองxxxxxxxxและบันทึกข้อตกลงนี้ โดยเร็วเท่าที่จะxxxxxxกระทําได้ เว้น แต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อxxxxxและเสรีภาพของบุคคล
ข้อ ๑๕ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วน
บุคคล และ/หรือเจ้าของข้อมูลส่วนบุคคล เป็นหน้าที่ความรับผิดชอบของxxxxxxxxxxxxxxxเป็นผู้ควบคุมข้อมูล ส่วนบุคคล โดยในกรณีที่มีความเกี่ยวข้องกับคู่สัญญาอีกฝ่ายหนึ่ง คู่สัญญาอีกฝ่ายหนึ่งนั้นจะต้องให้ความ ร่วมมือตามxxxxxเพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลxxxxxxดําเนินการดังกล่าว รวมทั้งการดําเนินการทาง กฎหมายอย่างอื่นที่เกี่ยวข้องได้
ข้อ ๑๖ คู่สัญญามีหน้าที่ให้ความร่วมมือ ช่วยเหลือ และสนับสนุนการดําเนินการที่เกี่ยวข้องของ
คู่สัญญาอีกฝ่ายหนึ่งตามxxxxx เพื่อให้คู่สัญญาอีกฝ่ายหนึ่งนั้นxxxxxxป้องกัน เฝ้าระวัง ตรวจสอบ ตอบxxxx แก้ไข และฟื้นฟูจากเหตุการละเมิดข้อมูลส่วนบุคคล ตลอดจนเก็บรวบรวมข้อมูลจราจรทางคอมพิวเตอร์และ พยานหลักฐานที่เกี่ยวข้อง และดําเนินการตามกฎหมายที่เกี่ยวข้องในส่วนของตนได้
การลบและการเก็บรักษาข้อมูลส่วนบุคคล
ข้อ ๑๗ xxxxxxxxxxxxxxxเป็นผู้รับข้อมูลส่วนบุคคลมีหน้าที่ดําเนินการลบหรือทําลาย หรือทําให้ ข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ เป็นข้อมูลxxxxxxxxxxxxระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ภายในเวลา ..... ปี นับแต่xxxxxxสัญญาสิ้นสุดลง หรือเมื่อไม่มีความจําเป็นต้องทําการxxxxxxผลข้อมูลส่วน บุคคลดังกล่าวอีกต่อไป หรือกรณีที่มีเหตุอื่นตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เว้นแต่จะ เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยความรับผิดชอบในการดําเนินการดังกล่าวเป็น ของxxxxxxxxxxxxxxxเป็นผู้รับข้อมูลส่วนบุคคลเอง และxxxxxxxxxxxxxxxเป็นผู้เปิดเผยข้อมูลส่วนบุคคลอาจขอให้ xxxxxxxxxxxxxxxเป็นผู้รับข้อมูลส่วนบุคคลแสดงหลักฐานตามxxxxxเพื่อพิสูจน์การดําเนินการ หรือมีหนังสือ ยืนยันและรับรองว่าได้ดําเนินการดังกล่าวแล้ว
ข้อ ๑๘ xxxxxxxxxxxxxxxเป็นผู้รับข้อมูลส่วนบุคคลอาจเก็บรักษาข้อมูลส่วนบุคคลไว้เพื่อการก่อตั้ง
xxxxxเรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้xxxxxเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้xxxxx เรียกร้องตามกฎหมาย หรือเพื่อการปฏิบัติตามกฎหมาย xxxxxxขัดต่อกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วน บุคคล
ข้อ ๑๙ xxxxxxxxxxxxxxxเป็นผู้รับข้อมูลอาจเก็บรักษาข้อมูลส่วนบุคคลเท่าที่จําเป็นเพื่อแสดงxxxxxx
ปฏิบัติxxxxxxxxและบันทึกข้อตกลงนี้ได้
ข้อ ๒๐ เมื่อสัญญาสิ้นสุดลง หรือก่อนที่xxxxxxxxxxxxxxxเป็นผู้รับข้อมูลส่วนบุคคลจะดําเนินการลบ หรือทําลาย หรือทําให้ข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ เป็นข้อมูลxxxxxxxxxxxxระบุตัวบุคคลที่เป็น เจ้าของข้อมูลส่วนบุคคลได้ xxxxxxxxxxxxxxxเป็นผู้เปิดเผยข้อมูลส่วนบุคคลอาจแจ้งให้xxxxxxxxxxxxxxxเป็นผู้รับ ข้อมูลส่วนบุคคลส่งสําเนาข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ให้แก่ตนได้ โดยไม่กระทบต่อxxxxxและหน้าที่ ของxxxxxxxxxxxxxxxเป็นผู้รับข้อมูลส่วนบุคคล ในการเก็บรักษาข้อมูลไว้ตามความจําเป็นตามบันทึกข้อตกลงนี้
ข้อ ๒๑ เมื่อสัญญาสิ้นสุดลง และ/หรือบันทึกข้อตกลงนี้สิ้นสุดลง ในระหว่างที่xxxxxxxxxxxxxxxเป็น
ผู้รับข้อมูลส่วนบุคคลยังxxxxxxดําเนินการลบหรือทําลาย หรือทําให้ข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ เป็น ข้อมูลxxxxxxxxxxxxระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ตามข้อ ๑๗ ให้คู่สัญญาฝ่ายนั้นยังมีหน้าที่ ความรับผิดชอบตามบันทึกข้อตกลงนี้เท่าที่จําเป็นและไม่ขัดกับกฎหมาย เพื่อประโยชน์ในการคุ้มครองข้อมูล ส่วนบุคคลที่ตนรับผิดชอบในฐานะผู้ควบคุมข้อมูลส่วนบุคคล
ขอบเขตของความรับผิด
ข้อ ๒๒ คู่สัญญาแต่ละฝ่ายจะต้องรับผิดสําหรับค่าปรับหรือค่าเสียหายต่อบุคคลอื่นเฉพาะแต่การ กระทําของตนเท่านั้น
ข้อ ๒๓ ในกรณีที่คู่สัญญาฝ่ายหนึ่งก่อให้เกิดความเสียหายแก่คู่สัญญาอีกฝ่ายหนึ่ง xxxxxxxxxxxxxxx กระทําผิดต้องรับผิดชดใช้ความเสียหายสําหรับค่าปรับหรือค่าเสียหายแก่xxxxxxxxxxxxxxxxxxxxxกระทําผิดสัญญา และบันทึกข้อตกลงนี้
ข้อ ๒๔ ในกรณีที่xxxxxxxxxxxต้องรับผิดร่วมกันหรือไม่แน่ชัดว่าคู่สัญญาฝ่ายใดต้องรับผิด
คู่สัญญาฝ่ายหนึ่งอาจร้องขอให้คู่สัญญาอีกฝ่ายหนึ่งให้ข้อมูลที่เกี่ยวข้อง ให้ความร่วมมือ ร่วมทําการตรวจสอบ หาสาเหตุ เพื่อแก้ไขปัญหา อํานวยความสะดวก หรือดําเนินการอื่นใดตามความจําเป็นและxxxxxแก่กรณี และคู่สัญญาตกลงว่า หากได้รับคําร้องขอดังกล่าวแล้ว คู่สัญญาจะปฏิบัติตามคําร้องขอตามความจําเป็นและ xxxxxแก่กรณี
การเปลี่ยนแปลงแก้ไขบันทึกข้อตกลง
ข้อ ๒๕ กรณีที่จําเป็นต้องมีการเปลี่ยนแปลงแก้ไขบันทึกข้อตกลงเพื่อให้คู่สัญญาxxxxxxทําการ xxxxxxผลข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลต่อไปได้อย่างเหมาะสมและมี ประสิทธิภาพ ให้xxxxxxxxxxxxxxxxxxxxxxจะแก้ไขเพิ่มเติมบันทึกข้อตกลงนี้ แจ้งให้อีกฝ่ายทราบล่วงหน้าเป็นเวลา ไม่น้อยกว่า ๓๐ วัน และเมื่อทั้งสองฝ่ายให้ความยินยอมในการแก้ไขเพิ่มเติมแล้ว ให้จัดทําบันทึกข้อตกลงฉบับ แก้ไขเพิ่มเติมเป็นหนังสือ และลงนามผูกพันโดยผู้มีอํานาจลงนามผูกพันนิติบุคคล และให้xxxxxxการแก้ไขเพิ่มเติม ดังกล่าวเป็นส่วนหนึ่งของบันทึกข้อตกลงนี้ โดยให้มีผลใช้บังคับตั้งแต่xxxxxxลงนามในบันทึกข้อตกลงฉบับแก้ไข เพิ่มเติมนั้น เว้นแต่จะกําหนดเป็นอย่างอื่นในบันทึกข้อตกลงฉบับแก้ไขดังกล่าว
บันทึกข้อตกลงนี้ทําขึ้นสองฉบับมีข้อความถูกต้องตรงกัน ทั้งสองฝ่ายได้อ่านและเข้าใจบันทึก ข้อตกลงนี้โดยละเอียดตลอดแล้ว เห็นว่าตรงตามxxxxxxxxxxxxได้ให้ไว้ต่อกันทุกประการ จึงได้ลงลายมือชื่อไว้ เป็นสําคัญต่อหน้าพยานและแต่ละฝ่ายต่างได้ยึดถือไว้ฝ่ายละฉบับ
บริษัท ........................................ ลงชื่อ บริษัทฯ (...............................................................................) ........................................................................ | มหาวิทยาลัยxxxxx ลงชื่อ คณะฯ (...............................................................................) ........................................................................ |
บริษัท ........................................ |
ลงชื่อ พยาน (...............................................................................) | ลงชื่อ พยาน (...............................................................................) |