Data Processing Agreement)
ข้อตกลงการxxxxxxข้อมูลส่วนบุคคล
(Data Processing Agreement)
ข้อตกลงฉบับนี้ทำขึ้น ณ ..................................................เมื่อxxxxxx โดยมีผล
บังคับใช้ตั้งแต่xxxxxx......................................................................................................................................................
ระหว่าง:
ข้อตกลงนี้ทำขึ้นระหว่างมหาวิทยาลัยราชภัฏสวนสุนันทา ตั้งอยู่เลขที่ ๑ ถนนxxxxxxxxx เขตxxxxx กรุงเทพมหานคร โดย......................................................................... ตำแหน่ง ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งต่อไป ในข้อตกลงฉบับนี้เรียกว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “มหาวิทยาลัยราชภัฏสวนสุนันทา” ฝ่ายหนึ่ง กับ บริษัท........................ตั้งอยู่เลขที่.................................……………………………………………………………………………………
ซึ่งต่อไปในข้อตกลงฉบับนี้เรียกว่า “ผู้xxxxxxผลข้อมูลส่วนบุคคล” หรือ “บริษัทฯ” โดยทั้งสองฝ่ายตกลงกัน ดังต่อไปนี้
๑. วัตถุประสงค์
มหาวิทยาลัยราชภัฏสวนสุนันทาได้ติดต่อและ/หรือ xxxxxxx บริษัทฯ เพื่อ...........................................
.................................................................................................................... นั้นมหาวิทยาลัยราชภัฏสวนสุนันทา
อาจมีความจำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการxxxxxxงานตามเอกสารแนบท้าย ๑ ให้แก่บริษัทฯ จึงxxxxxxxให้บริษัทฯ เก็บรักษาข้อมูลดังกล่าวตามมาตรฐานความปลอดภัยในระดับเดียวกันโดยให้เป็นไปตาม ที่กฎหมายกำหนดทั้งในขณะนี้และภายภาคหน้า
๒. ข้อมูลส่วนบุคคล
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้xxxxxxระบุตัวบุคคลนั้นxxx xxxว่าทางตรงหรือ ทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ซึ่งได้แก่ ข้อมูลบุคลากร นักศึกษา ข้าราชการ พนักงาน มหาวิทยาลัย และข้อมูลส่วนบุคคลที่อยู่ภายใต้การดูแลของมหาวิทยาลัยราชภัฏสวนสุนันทา
๓. การxxxxxxข้อมูลส่วนบุคคล
การxxxxxxผลข้อมูลส่วนบุคคลในข้อตกลงฉบับนี้ หมายxxx xxxเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูล ส่วนบุคคล โดยผู้xxxxxxผลข้อมูลส่วนบุคคลตกลงว่าจะxxxxxxผลข้อมูลส่วนบุคคลตามเงื่อนไขดังนี้
๓.๑ xxxxxxผลข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ระบุในข้อ ๑ เท่านั้น
๓.๒ ห้ามเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลภายนอก เว้นแต่จะเป็นการเปิดเผยข้อมูลส่วนบุคคลให้แก่ ลูกจ้างหรือพนักงานของผู้xxxxxxผลข้อมูลที่เกี่ยวข้องโดยตรงกับการxxxxxxงานตามวัตถุประสงค์ ในข้อ ๑
๓.๓ ผู้xxxxxxผลข้อมูลส่วนบุคคลจะต้องไม่ทำซ้ำข้อมูลส่วนบุคคลแม้เพียงส่วนหนึ่งส่วนใดหรือทั้งหมด เว้นแต่การทำซ้ำเพื่อการใช้ข้อมูลส่วนบุคคลให้xxxxxวัตถุประสงค์ตามที่กำหนดไว้ในข้อ ๑
๓.๔ ผู้xxxxxxผลข้อมูลส่วนบุคคลต้องกำกับดูแลการปฏิบัติหน้าที่ของพนักงาน ลูกจ้าง ตัวแทน และ/ หรือผู้รับจ้างของผู้xxxxxxผลข้อมูลส่วนบุคคล ให้เป็นไปตามที่ มหาวิทยาลัยราชภัฏสวนสุนันทา กำหนด และบันทึกกิจกรรมการxxxxxxผลข้อมูลส่วนบุคคลไว้ตามที่กฎหมายกำหนดทั้งในขณะ ปัจจุบันและในภายภาคหน้า
๓.๕ กรณีที่ผู้xxxxxxผลข้อมูลส่วนบุคคลได้โอนกิจการ รวมกิจการ หรือควบกิจการ หรือxxxxxxการอื่น ๆ ในลักษณะที่มีการเปลี่ยนแปลงxxxxxในการxxxxxxกิจการของผู้xxxxxxผลข้อมูลส่วนบุคคล ผู้xxxxxxผลข้อมูลส่วนบุคคลจะต้องแจ้งให้ มหาวิทยาลัยราชภัฏสวนสุนันทาทราบทันที โดยข้อตกลงฉบับนี้ยังxxมีผลผูกพันผู้xxxxxxผลข้อมูลส่วนบุคคลและผู้รับโอนxxxxxของผู้ xxxxxxผลข้อมูลส่วนบุคคลด้วย
๔. มาตรการรักษาความปลอดภัย
๔.๑ ผู้xxxxxxผลข้อมูลส่วนบุคคลจะต้องxxxxxxการจัดหามาตรการคุ้มครองข้อมูลส่วนบุคคลอย่าง เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดย ปราศจากxxxxxหรือโดยมิชอบ ทั้งนี้ พิจารณาถึงความxxxxxxxxทางเทคโนโลยี ค่าใช้จ่าย ในการxxxxxxการ ลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการxxxxxxผลข้อมูล
๔.๒ หากการกระทำใดของผู้xxxxxxผลข้อมูลทำให้เกิดข้อพิพาทหรือความเสียหายแก่ มหาวิทยาลัย ราชภัฏสวนสุนันทาผู้xxxxxxผลข้อมูลส่วนบุคคลต้องรับผิดชอบความxxxxxxxxxxเกิดขึ้นทั้งหมด
๕. xxxxxของเจ้าของข้อมูลส่วนบุคคล
๕.๑ ผู้xxxxxxผลข้อมูลส่วนบุคคลมีหน้าที่xxxxxxการเพื่อช่วยเหลือหรือสนับสนุนผู้ควบคุม ข้อมูลส่วนบุคคลxxxxxxตอบxxxxตามคำร้องของเจ้าของข้อมูลส่วนบุคคลอันเป็นการใช้xxxxx ของเจ้าของส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ซึ่งได้ยื่น xxxxxโรงเรียน/วิทยาลัย/มหาวิทยาลัย
๕.๒ ผู้xxxxxxผลข้อมูลส่วนบุคคลมีหน้าที่แจ้งต่อผู้ควบคุมข้อมูลส่วนบุคคล ในกรณีที่คำร้องเกี่ยวกับ ข้อมูลส่วนบุคคลซึ่งยื่นโดยเจ้าของข้อมูลส่วนบุคคล
๖. การแจ้งเตือน
๖.๑ หากxxxxxxxละเมิดข้อมูลส่วนบุคคลซึ่งเกิดจากอุบัติเหตุ การทำลาย การเปลี่ยนแปลง การเปิดเผย การโอน การเก็บข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย ผู้xxxxxxผลต้องxxxxxxการ แจ้งให้ มหาวิทยาลัยราชภัฏสวนสุนันทารู้โดยทันทีหรือไม่เกิน ๒๔ ชั่วโมงหลังจากรับทราบเหตุ
๖.๒ ผู้xxxxxxผลข้อมูลส่วนบุคคลจะต้องใช้มาตรการตามที่เห็นxxxxx ในการระบุถึงสาเหตุ ของการละเมิดและการป้องกันปัญหาดังกล่าวไม่ให้เกิดซ้ำ และจะให้ข้อมูลให้แก่ มหาวิทยาลัย ราชภัฏสวนสุนันทาภายใต้ขอบเขตที่กฎหมายกำหนดดังต่อไปนี้
๖.๒.๑ รายละเอียดของลักษณะและผลxxxxxxเกิดขึ้นของการละเมิด
๖.๒.๒ มาตรการที่ถูกใช้เพื่อลดผลกระทบของการละเมิด
๖.๒.๓ ประเภทของข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลซึ่งถูกละเมิด
๖.๒.๔ ข้อมูลอื่นๆ ที่เกี่ยวข้องกับการละเมิด
๗. การลบและการเก็บรักษาข้อมูลส่วนบุคคล
“การลบ” หมายxxx xxxทำให้ข้อมูลส่วนบุคคลนั้นถูกลบออกจากระบบและxxxxxxกู้คืนได้โดยตัวเจ้า ของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้xxxxxxผลข้อมูลส่วนบุคคล ทั้งนี้ ไม่ว่าในเวลาใดๆ
๗.๑ เก็บรักษาข้อมูลส่วนบุคคลในสถานที่ ระบบ หรือฐานข้อมูลที่มีการจำกัดการเข้าถึงเฉพาะ ผู้เกี่ยวข้องเท่านั้น
๗.๒ ผู้xxxxxxผลข้อมูลส่วนบุคคลต้องส่งคืนข้อมูลส่วนบุคคล รวมถึงสำเนาของข้อมูล (หากมี) ให้แก่ มหาวิทยาลัยราชภัฏสวนสุนันทาภายในระยะเวลา ๗ วัน นับตั้งแต่xxxxxxสัญญาสิ้นสุดลง หรือนับแต่ xxxxxxมหาวิทยาลัยราชภัฏสวนสุนันทามีหนังสือแจ้งอย่างเป็นทางการไปยังผู้xxxxxxผลข้อมูลส่วน บุคคลให้ส่งคืนหรือทำลายสำเนาข้อมูลส่วนบุคคล
๗.๓ ทำลายข้อมูลหลังจากxxxxxวัตถุประสงค์ตามข้อ ๑ เมื่อหมดระยะเวลาสัญญาที่มีต่อกัน หรือเมื่อ มหาวิทยาลัยราชภัฏสวนสุนันทามีหนังสือแจ้งอย่างเป็นทางการไปยังผู้xxxxxxข้อมูลส่วนบุคคล ตามวิธีการที่มหาวิทยาลัยราชภัฏสวนสุนันทากำหนด
๗.๔ ผู้xxxxxxผลข้อมูลส่วนบุคคลมีหน้าที่จัดทำนโยบายเกี่ยวกับการลบข้อมูลส่วนบุคคล และแจ้ง ให้มหาวิทยาลัยราชภัฏสวนสุนันทาทราบถึงนโยบายดังกล่าว โดยนโยบายเกี่ยวกับการลบข้อมูล ส่วนบุคคลดังกล่าวจะมีเนื้อหาที่ครอบคลุมถึงระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล ก่อน ที่จะถูกลบหลังจากการยกเลิกข้อตกลงการxxxxxxผลข้อมูลส่วนบุคล ทั้งนี้ เพื่อคุ้มครองเจ้าของ ข้อมูลส่วนบุคคลมิให้สูญเสียข้อมูลส่วนบุคคลของตนไปโดยอุบัติเหตุเพราะเหตุที่ข้อตกลงสิ้นสุด
๘. การส่งหรือโอนข้อมูล
๘.๑ ห้ามมิให้ผู้xxxxxxผลข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศหรือองค์การ ระหว่างประเทศ เว้นแต่จะได้รับความยินยอมจากมหาวิทยาลัยราชภัฏสวนสุนันทาเป็นลายลักษณ์ xxxxx
๘.๒ การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์การระหว่างประเทศ จะต้องเป็นไป ตามเงื่อนไขที่กำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบบุคล พ.ศ. ๒๕๖๒ และประกาศที่ เกี่ยวข้อง
ข้อตกลงฉบับนี้ทำขึ้นเป็นสองฉบับ มีข้อความถูกต้องตรงกัน ทั้งสองฝ่ายได้อ่านและเข้าใจข้อความใน ข้อตกลงโดยละเอียดแล้ว จึงได้ลงลายมือชื่อพร้อมประทับตรา (ถ้ามี) ไว้เป็นสำคัญ ต่อหน้าพยาน และต่างเก็บ รักษาไว้ฝ่ายละหนึ่งฉบับ
............................................................... | ............................................................... | ||||
( | ................................................................ | ) | ( | ................................................................ | ) |
ผู้ควบคุมข้อมูลส่วนบุคคล | ผู้xxxxxxผลข้อมูลส่วนบุคคล | ||||
............................................................... | ............................................................... | ||||
( | ................................................................ | ) | ( | ................................................................ | ) |
พยาน | พยาน |
เอกสารแนบท้าย ๑ รายxxxxxxxxxxxxxxxxผลข้อมูลส่วนบุคคล
รายละเอียดเกี่ยวกับข้อตกลงการxxxxxxผลข้อมูลส่วนบุคคล:
xxxxxxxผู้xxxxxxผลข้อมูลส่วนบุคคล
วัตถุประสงค์ของการxxxxxxผลข้อมูลส่วนบุคคล:
๑ | |
๒ | |
๓ | |
๔ | |
๕ |
ประเภทข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคล ได้แก่
๑. ข้อมูลxxxxxxxxxxระบุถึงตัวบุคคลได้จากทางตรงหรือทางอ้อม ได้แก่ ข้อมูลส่วนบุคคลที่มีการจัดเก็บ รวบรวม ใช้ หรือเปิดเผย ของมหาวิทยาลัยราชภัฏสวนสุนันทา
๒. ข้อมูลชีวภาพ xxxx ข้อมูลภาพxxxxxใบหน้า ข้อมูลxxxxxม่านตา หรือข้อมูลxxxxxลายนิ้วมือ
๓. ข้อมูลทางการเงิน xxxx ข้อมูลบัญชีธนาคาร สำเนาสมุดบัญชี ข้อมูลบัตรเครดิตหรือเดบิต
๔. ข้อมูลสถิติ xxxx การเข้าชมเว็บไซต์, การเข้าใช้บริการต่างๆ ภายในโรงเรียน/มหาวิทยาลัย
ข้อมูลอ่อนไหว
ได้แก่
คำแนะนำในการใช้เอกสารข้อตกลงการxxxxxxผลข้อมูลส่วนบุคคล
๑. ที่มาและเหตุผลของการจัดทำเอกสาร
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๔๐ วรรคสาม กำหนดว่า ผู้ควบคุมข้อมูล ส่วนบุคคล ต้องจัดให้มีข้อตกลงระหว่าง ผู้ควบคุมข้อมูลส่วนบุคคล และ ผู้xxxxxxผลข้อมูลส่วนบุคคล เพื่อควบคุมการxxxxxxงานตามหน้าที่ของผู้xxxxxxผลข้อมูลส่วนบุคคลxxxxxxรับมอบหมายจากผู้ควบคุมข้อมูล ส่วนบุคคลให้เป็นไปตามที่พระราชบัญญัตินี้กำหนด ด้วยเหตุนี้ จึงได้จัดทำข้อตกลงฉบับนี้เพื่อเป็นการกำหนด หน้าที่ดังต่อไปนี้ให้แก่คู่สัญญาของมหาวิทยลัย. (ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล) ซึ่งมีสถานะเป็น ผู้xxxxxxผลข้อมูลส่วนบุคคล
- กำหนดเงื่อนไขและคำสั่งในการxxxxxxผลข้อมูลส่วนบุคคลให้แก่ผู้ให้บริการภายนอก
- กำหนดให้ผู้ให้บริการภายนอกมีหน้าที่เก็บรักษาความลับและจัดให้มีมาตรการรักษาความปลอดภัยใน ข้อมูลส่วนบุคคลที่เหมาะสม
- กำหนดขั้นตอนและวิธีการให้แก่ผู้ให้บริการภายนอกในกรณีที่มีข้อมูลส่วนบุคคลรั่วไหล
- กำหนดให้ผู้ให้บริการภายนอกมีหน้าที่ในการทำลายข้อมูลส่วนบุคคลxxxxxxรับหลังสิ้นสุดสัญญา
- กำหนดให้ผู้ให้บริการภายนอกมีหน้าที่แจ้งมหาวิทยลัย ก่อนทุกครั้งที่มีการโอนข้อมูลส่วนบุคคลxxx xxxรับจากมหาวิทยลัย ไปยังต่างประเทศ
- กำหนดให้ผู้ให้บริการภายนอกมีหน้าที่ให้ความร่วมมือกับมหาวิทยลัย ในกรณีที่มหาวิทยลัย ต้องปฏิบัติการใด ๆ ให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
- กำหนดให้ผู้รับช่วงของผู้ให้บริการภายนอกมีหน้าที่ต้องปฏิบัติตามข้อตกลงให้xxxxxxผลข้อมูลส่วน บุคคลxxxxเดียวกับผู้ให้บริการภายนอกที่เป็นคู่สัญญากับมหาวิทยลัยโดยตรง
๒. ที่มาและเหตุผลของการจัดทำเอกสาร
ใช้ในกรณีที่มหาวิทยลัย มีการทำสัญญากับบุคคลภายนอกและมีการส่งข้อมูลส่วนบุคคลของลูกค้าหรือ ของบุคคลอื่นไปให้บุคคลภายนอกxxxxxxผล (xxxx สัญญาxxxxผลิตจดหมาย, สัญญาxxxxxxxปรึกษา, สัญญาxxxx ติดตามxxxxxxหนี้, สัญญาxxxxเก็บรักษาเอกสาร เป็นต้น) โดยให้จัดทำเป็นเอกสารแนบท้ายสัญญา และให้xxxxxx ข้อตกลงฉบับนี้เป็นส่วนหนึ่งของสัญญาxxxx xxxxxxx มหาวิทยลัยควรxxxxxxการเจรจากับคู่สัญญาของมหาวิทยลัย เพื่อลงนามในข้อตกลงฉบับนี้ ทั้งสำหรับสัญญาxxxxxxมีการจัดทำขึ้นและมีผลใช้บังคับอยู่ก่อนแล้วและสัญญาที่จะมี การจัดทำขึ้นใหม่ในxxxxxxxxมีลักษณะตามที่กล่าวไว้ข้างต้น