บันทึกข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement)
(เอกสารฉบับที่ 8)
บันทึกข้อตกลงการxxxxxxผลข้อมูล (Data Processing Agreement)
ทำที่ ..........................................................
xxxxxx ............. เดือน .................. พ.ศ. ..............
บันทึกข้อตกลงนี้ทำขึ้นระหว่าง
บริษัท ........................................ มีสำนักงานตั้งอยู่ที่ ...................................................................
โดย ............................................................................... ตำแหน่ง ......................................................................
เป็นผู้xxxxxxxลงนามผูกพัน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “บริษัทฯ”
กับ คลินิก ABC เลขที่....................................................................................................................
โดย.......................................................................................
ตามxxxxxxxสองฝ่ายได้ทำสัญญา ฉบับลงวนที่
............ ...................................... ทั้งสองฝ่ายจึงตกลงทำบันทึกข้อตกลงฉบับนี้ โดยให้บันทึกข้อตกลงฉบับนี้ เป็นส่วนหนึ่งของสัญญาดังกล่าว ดังมีข้อความต่อไปนี้
บทนิยาม
ข้อ ๑ หากxxxxxxมีการกำหนดไว้เป็นอย่างอื่นในบันทึกข้อตกลงนี้ ให้ถ้อยคำในบันทึกข้อตกลงนี้มี ความหมายดังต่อไปนี้
“ข้อมูล” (data) หมายความว่า สิ่งที่สื่อความหมายให้รู้ข้อความ เรื่องราว ข้อเท็จจริง ความเห็น หรือสิ่งใด ๆ ไม่ว่าการสื่อความหมายนั้นจะทำได้โดยสภาพของสิ่งนั้นเองหรือโดยผ่านวิธีการใด ๆ และไม่ว่าจะ จัดทำไว้ในรูปของเอกสาร แฟ้ม รายงาน หนังสือ แผนผัง แผนที่ ภาพวาด ภาพถ่าย ฟิล์ม การบันทึกภาพหรือ เสียง การบันทึกโดยเครื่องคอมพิวเตอร์ หรือวิธีอื่นใดที่ทำให้สิ่งที่บันทึกไว้ปรากฏได้ และให้หมายความรวมถึง ข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ด้วย
“ข้อมูลส่วนบุคคล” (personal data) หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้xxxxxxระบุตัว บุคคลนั้นxxx xxxว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“เจ้าของข้อมูลส่วนบุคคล” (data subject) หมายถึง บุคคลธรรมดาซึ่งข้อมูลส่วนบุคคลเป็น ข้อมูลเกี่ยวกับผู้นั้น และxxxxxxระบุตัวบุคคลนั้นxxx xxxว่าทางตรงหรือทางอ้อม และให้หมายความรวมถึงผู้ใช้ xxxxxxxxxxxxxxxxxxxxxกระทำการแทนผู้เยาว์ ผู้อนุบาลxxxxxxxxxxกระทำการแทนคนไร้ความสามารถ หรือ ผู้xxxxxxxxxxxxxxxxxกระทำการแทนxxxxxxxxxxxxxxxxxxxxxด้วย
“การxxxxxxผลข้อมูล” (data processing) หมายxxx xxxกระทำอย่างหนึ่งหรือหลายอย่างxxxxxx กระทำต่อข้อมูลหรือชุดข้อมูล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ก็ตาม ซึ่งรวมxxxxxxเก็บรวบรวม (collection) การบันทึก (recording) การจัดระบบ (organization) การจัดโครงสร้าง (structuring) การจัดเก็บหรือเก็บรักษา (storage) การดัดแปลงหรือการเปลี่ยนแปลงแก้ไข (adaptation or alteration) การค้นคืน (retrieval) การ ปรึกษา (consultation) การใช้ (use) การเปิดเผยโดยการส่งผ่าน การเผยแพร่ หรือการทำให้พร้อมใช้งาน โดยวิธีการอื่นใด (disclosure by transmission, dissemination or otherwise making available) การปรับ
แนวหรือการรวมเข้ากัน (alignment or combination) การจำกัด (restriction) การลบ (erasure) และการ ทำลาย (destruction)
“การลบ” (erasure) หมายxxx xxxทำให้ข้อมูลส่วนบุคคลนั้นถูกลบออกจากระบบและxxxxxxกู้ คืนได้ โดยเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้xxxxxxผลข้อมูลส่วนบุคคล ทั้งนี้ ไม่ว่า ในเวลาใด ๆ
“ภัยคุกคามทางไซเบอร์” (cyber threat) หมายความว่า การกระทำหรือการxxxxxxการใด ๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงxxxxxxxโดยมุ่งหมายให้xxxxxxx ประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึง ที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่น ที่เกี่ยวข้อง
“การละเมิดข้อมูลส่วนบุคคล” (personal data breach) หมายxxx xxxละเมิดมาตรการด้าน ความมั่นคงปลอดภัย ที่นำไปสู่การทำลาย (destruction) การสูญหาย (loss) การเปลี่ยนแปลงแก้ไข (alteration) การเปิดเผยโดยมิชอบหรือโดยปราศจากxxxxx (unauthorized disclosure) หรือการเข้าถึง (access) ข้อมูลส่วนบุคคลxxxxxxรับการส่งผ่าน (transmitted) การจัดเก็บ (stored) หรือการxxxxxxผลโดย วิธีการอื่นใด (otherwise processed) ที่เกิดขึ้นโดยอุบัติเหตุ (accidental) หรือโดยมิชอบด้วยกฎหมาย (unlawful) xxxxxxxเกิดxxxxxxคุกคามทางไซเบอร์ หรือเกิดจากการกระทำของบุคคลภายในหรือภายนอก หรือ เหตุอื่นใด
“บันทึกข้อตกลง” หมายถึง บันทึกข้อตกลงการxxxxxxผลข้อมูลและเอกสารแนบท้ายบันทึก
ข้อตกลงนี้ (ถ้ามี)
“สัญญา” หมายถึง สัญญา ฉบับลงxxxxxx
......................................
ขอบเขตการบังคับใช้
ข้อ ๒ บันทึกข้อตกลงนี้ ใช้บังคับกับการxxxxxxผลข้อมูลส่วนบุคคลระหว่างบริษัทฯ และคลินิก เพื่อให้มีการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสม และกำหนดหน้าที่ความรับผิดชอบของคู่สัญญาอย่าง เหมาะสม และเพื่อให้การxxxxxxการxxxxxxxx เป็นไป
ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยบันทึกข้อตกลงนี้ถือเป็นส่วนหนึ่งของสัญญา
.................................................................................. และให้มีผลใช้บังคับตั้งแต่xxxxxx. ถึงxxxxxx
.....................................
ความxxxxxxxxระหว่างคู่สัญญา
ข้อ ๓ ในการxxxxxxผลข้อมูลส่วนบุคคลxxxxxxxxและบันทึกข้อตกลงนี้
สำหรับการ ............................................................................... คลินิกจะอยู่ในฐานะ “ผู้ควบคุมข้อมูล ส่วนบุคคล” (controller) ตลอดระยะเวลาของสัญญา และxxxxxxxหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยคลินิกในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมาย
ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี ส่วนบริษัทฯ จะอยู่ในฐานะ “ผู้xxxxxxผลข้อมูล ส่วนบุคคล” (processor) ตลอดระยะเวลาของสัญญา และxxxxxxการเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของคณะฯ และไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคลในขอบเขตของ สัญญาและบันทึกข้อตกลงนี้ โดยบริษัทฯ ในฐานะผู้xxxxxxผลข้อมูลส่วนบุคคลมีหน้าที่ต้องปฏิบัติตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี
ในขณะที่สำหรับการ ............................................................................... บริษัทฯ จะอยู่ในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” (controller) ตลอดระยะเวลาของสัญญา และxxxxxxxหน้าที่ตัดสินใจเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยบริษัทฯ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้อง ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี ส่วนคณะฯ จะอยู่ในฐานะ “ผู้xxxxxxผลข้อมูลส่วนบุคคล” (processor) ตลอดระยะเวลาของสัญญา และxxxxxxการเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของบริษัทฯ และไม่เป็นผู้ควบคุมข้อมูลส่วน บุคคลในขอบเขตของสัญญาและบันทึกข้อตกลงนี้ โดยคลินิก ในฐานะผู้xxxxxxผลข้อมูลส่วนบุคคลมีหน้าที่ ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี
การxxxxxxผลข้อมูลส่วนบุคคล
ข้อ ๔ ผู้ควบคุมข้อมูลส่วนบุคคลตระหนักและยอมรับว่า การ ...................................................................
xxxxxxxx และบันทึกข้อตกลงนี้ ถือxxxxxxxxxxxสั่งให้
ผู้xxxxxxผลข้อมูลส่วนบุคคลอาจทำการxxxxxxผลข้อมูลส่วนบุคคลดังต่อไปนี้ไม่ว่าทั้งหมดหรือเพียงบางส่วน เท่าที่จำเป็นเพื่อการxxxxxxการxxxxxxxxหรือตามกฎหมาย
- ข้อมูล ...........................................................................
- ข้อมูล ...........................................................................
- ข้อมูล ...........................................................................
- ข้อมูล ...........................................................................
- ข้อมูล ...........................................................................
- ข้อมูลส่วนบุคคลอื่นxxxxxxมีการxxxxxxผลข้อมูลส่วนบุคคล เพื่อให้เป็นไปxxxxxxxxและบันทึก
ข้อตกลงนี้
ข้อ ๕ ผู้xxxxxxผลข้อมูลส่วนบุคคลจะทำการxxxxxxผลข้อมูลส่วนบุคคลตามข้อ ๔ เฉพาะเพื่อให้
xxxxxวัตถุประสงค์ของสัญญาและกระบวนการอื่น ๆ ที่เกี่ยวข้องเท่านั้น ซึ่งรวมถึงกรณีใดกรณีหนึ่งต่อไปนี้
(๑) เมื่อ xxxxxxxxxในการxxxxxxผลข้อมูลส่วนบุคคลที่สอดคล้อง
กับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลดังในตาราง โดยถือxxxxxxxxxxผู้ควบคุมข้อมูลส่วนบุคคลxxxxสั่ง ให้ผู้xxxxxxผลข้อมูลส่วนบุคคลอาจทำการxxxxxxผลข้อมูลส่วนบุคคลตามข้อ ๔ ได้
วัตถุประสงค์ | ฐานในการxxxxxxผลข้อมูลส่วนบุคคล |
(ก) | |
(ข) |
(๒) เมื่อบุคลากร พนักงาน หรือลูกจ้างของผู้ควบคุมข้อมูลส่วนบุคคลxxxxxxxxxxหน้าที่เกี่ยวกับการ ปฏิบัติxxxxxxxxxxxxxxxสั่งที่ชอบด้วยกฎหมายให้ผู้xxxxxxผลข้อมูลส่วนบุคคลxxxxxxการ และเป็นคำสั่งxxxxxxเกิน วัตถุประสงค์ของสัญญา
(๓) เมื่อผู้xxxxxxผลข้อมูลส่วนบุคคลได้รับคำสั่งที่เป็นลายลักษณ์xxxxxจากผู้ควบคุมข้อมูล ส่วนบุคคลและเป็นคำสั่งxxxxxxเกินวัตถุประสงค์ของสัญญา
(๔) เมื่อผู้xxxxxxผลข้อมูลส่วนบุคคลมีเหตุจำเป็นต้องทำการxxxxxxผลข้อมูลส่วนบุคคลเพื่อให้ เป็นไปตามกฎหมาย หรือกรณีอื่นที่xxxxxxกระทำได้ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยจะต้อง แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบโดยxxxxxxxxxด้วย
ข้อ ๖ ในกรณีที่ผู้xxxxxxผลข้อมูลส่วนบุคคลพิจารณาแล้วเห็นว่า การออกคำสั่งให้ทำการ
xxxxxxผลข้อมูลส่วนบุคคลตามข้อ ๕ นั้น เป็นการออกคำสั่งที่ขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูล ส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรืออยู่นอกเหนือไปจากวัตถุประสงค์ของสัญญา ผู้xxxxxxผลข้อมูลส่วนบุคคลจะไม่ทำการxxxxxxผลข้อมูลส่วนบุคคลตามคำสั่งนั้น โดยxxxxxxxxxเป็นการกระทำผิด สัญญาหรือบันทึกข้อตกลงนี้ และผู้xxxxxxผลข้อมูลส่วนบุคคลxxxxxxให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบโดยxxxx
ในกรณีที่ผู้xxxxxxผลข้อมูลส่วนบุคคลทำการxxxxxxผลข้อมูลส่วนบุคคลตามข้อ ๕ (๑) (๒) หรือ (๓) และปรากฏข้อเท็จจริงว่าการxxxxxxผลข้อมูลส่วนบุคคลดังกล่าวขัดต่อกฎหมายหรือบทบัญญัติ ในการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ความรับผิดในความเสียหาย หรือการกระทำดังกล่าวให้เป็นไปตามบันทึกข้อตกลงนี้
ข้อ ๗ เพื่อให้ผู้xxxxxxผลข้อมูลส่วนบุคคลxxxxxxทำการxxxxxxผลข้อมูลส่วนบุคคลxxxxxxxx
อย่างถูกต้องตามกฎหมาย ผู้ควบคุมข้อมูลส่วนบุคคลตกลงและรับรองว่า ก่อนการเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ xxxxxxผลข้อมูลส่วนบุคคล และก่อนหรือในขณะที่ผู้xxxxxxผลข้อมูลส่วนบุคคลจะทำการxxxxxxผลข้อมูล ส่วนบุคคลตามข้อ ๕ ผู้ควบคุมข้อมูลส่วนบุคคลได้พิจารณาแล้วว่า การxxxxxxผลข้อมูลส่วนบุคคลดังกล่าว xx xxxในการxxxxxxผลข้อมูลส่วนบุคคล (lawful basis for processing personal data) ที่สอดคล้องกับกฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และในกรณีที่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุม ข้อมูลส่วนบุคคลรับรองว่า ผู้ควบคุมข้อมูลส่วนบุคคลได้ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลและได้รับ ความยินยอมโดยชอบด้วยกฎหมายแล้ว ทั้งนี้ เว้นแต่จะเป็นข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลได้เก็บ รวบรวมไว้ก่อนxxxxxxกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลใช้บังคับ ซึ่งxxxxxxเก็บรวบรวมและใช้ข้อมูล ส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม
ข้อ ๘ ผู้ควบคุมข้อมูลส่วนบุคคลรับทราบและตกลงที่จะปฏิบัติหน้าที่ตามที่กฎหมายว่าด้วยการ
คุ้มครองข้อมูลส่วนบุคคลกำหนดให้เป็นหน้าที่ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล ตลอดจนหน้าที่ความ รับผิดชอบตามกฎหมายอื่น ซึ่งรวมถึง
(๑) การแจ้งรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล (privacy notice)
(๒) การxxxxxxผลข้อมูลส่วนบุคคลตามวัตถุประสงค์xxxxxxแจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือ ในขณะที่เก็บรวบรวม
(๓) การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง
(๔) การใช้หรือเปิดเผยข้อมูลส่วนบุคคล
(๕) การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
(๖) การxxxxxxการที่เกี่ยวกับxxxxxของเจ้าของข้อมูลส่วนบุคคล
(๗) การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากxxxxxหรือโดยมิชอบ และการทบทวนมาตรการ ดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคง ปลอดภัยที่เหมาะสม ทั้งนี้ ต้องเป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศ กำหนด
(๘) การxxxxxxการเพื่อป้องกันมิให้บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือ เปิดเผยข้อมูลส่วนบุคคลโดยปราศจากxxxxxหรือโดยมิชอบ ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่ผู้นั้น
(๙) การจัดให้มีระบบการตรวจสอบเพื่อxxxxxxการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนด ระยะเวลาการเก็บรักษา หรือxxxxxxเกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วน บุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่จะ เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
(๑๐) การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือเจ้าของข้อมูลส่วนบุคคล โดยxxxxxxxxx ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ xxxxxxการ
(๑๑) การแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล (เฉพาะกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล อยู่นอกราชอาณาจักร)
(๑๒) การจัดทำบันทึกรายการ (record of processing activities) เพื่อให้เจ้าของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลxxxxxxตรวจสอบได้
(๑๓) การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล การแจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ และการ สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลกำหนดให้xxxxxxการ
ข้อ ๙ ผู้xxxxxxผลข้อมูลส่วนบุคคลรับทราบและตกลงที่จะปฏิบัติหน้าที่ตามที่กฎหมายว่าด้วยการ
คุ้มครองข้อมูลส่วนบุคคลกำหนดให้เป็นหน้าที่ความรับผิดชอบของผู้xxxxxxผลข้อมูลส่วนบุคคล ตลอดจนหน้าที่ ความรับผิดชอบตามกฎหมายอื่น ซึ่งรวมถึง
(๑) การxxxxxxการเกี่ยวกับการxxxxxxผลข้อมูลส่วนบุคคลตามคำสั่งxxxxxxรับจากผู้ควบคุมข้อมูล ส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายว่า ด้วยการคุ้มครองข้อมูลส่วนบุคคล
(๒) การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากxxxxxหรือโดยมิชอบ รวมทั้งการแจ้งให้ผู้ควบคุม ข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
(๓) การจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการxxxxxxผลข้อมูลส่ วนบุคคลไว้ ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
(๔) การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล การแจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ และการ สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลกำหนดให้xxxxxxการ
ผู้xxxxxxผลข้อมูลส่วนบุคคลช่วง
ข้อ ๑๐ เพื่อประโยชน์ในการปฏิบัติxxxxxxxx เมื่อมีความจำเป็น ผู้xxxxxxผลข้อมูลส่วนบุคคล อาจมอบหมายงานเกี่ยวกับการxxxxxxผลข้อมูลส่วนบุคคลทั้งหมดหรือแต่บางส่วนให้บุคคลอื่น (“ผู้xxxxxxผลข้อมูลส่วนบุคคลช่วง”) xxxxxxการแทนหรือช่วยสนับสนุนในการxxxxxxการได้ ทั้งนี้ ผู้ xxxxxxผลข้อมูลส่วนบุคคลยังต้องเป็นผู้รับผิดชอบในงานxxxxxxมอบหมายไปxxxxxxxxและบันทึกข้อตกลงนี้ รวมถึงจะต้องxxxxxxการให้ผู้xxxxxxผลข้อมูลส่วนบุคคลช่วงรับทราบและปฏิบัติตามกฎหมายว่าด้วยการ คุ้มครองข้อมูลส่วนบุคคล และสัญญาและบันทึกข้อตกลงนี้ รวมทั้งจะต้องxxxxxxการให้ผู้xxxxxxผลข้อมูล ส่วนบุคคลช่วงมีหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลและจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่ เหมาะสมในระดับxxxxxxต่ำกว่าหน้าที่ความรับผิดชอบของผู้xxxxxxผลข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้
การขอใช้xxxxxของเจ้าของข้อมูลส่วนบุคคลและการปฏิบัติตามกฎหมาย
ข้อ ๑๑ ผู้xxxxxxผลข้อมูลส่วนบุคคลจะให้ความร่วมมือ ช่วยเหลือ และสนับสนุนให้ผู้ควบคุม ข้อมูลส่วนบุคคลxxxxxxเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลและตอบxxxxต่อคำขอของเจ้าของ ข้อมูลส่วนบุคคลที่เป็นการขอใช้xxxxxของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วน บุคคลได้ภายในเวลาอันxxxxx
ข้อ ๑๒ ในกรณีที่ผู้xxxxxxผลข้อมูลส่วนบุคคลได้รับคำขอจากเจ้าของข้อมูลส่วนบุคคลที่เป็น
การขอใช้xxxxxของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ผู้xxxxxxผล ข้อมูลส่วนบุคคลต้องแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบและส่งคำขอนั้นต่อไปยังผู้ควบคุมข้อมูลส่วนบุคคล โดยxxxxxxxxx โดยจะไม่ทำการตอบxxxxต่อคำขอดังกล่าวเอง เว้นแต่จะมีการตกลงไว้เป็นอย่างอื่น
ข้อ ๑๓ คู่สัญญาจะให้ความร่วมมือ ช่วยเหลือ และสนับสนุนการxxxxxxการที่เกี่ยวข้องของ
คู่สัญญาอีกฝ่ายหนึ่งตามxxxxx เพื่อให้คู่สัญญาอีกฝ่ายหนึ่งนั้นxxxxxxปฏิบัติให้เป็นไปตามกฎหมายและ พันธกรณีต่าง ๆ ได้ หรือในกรณีxxxxxxxสั่งโดยชอบด้วยกฎหมายจากหน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐ เกี่ยวกับหน้าที่ของคู่สัญญา หรือเพื่อพิสูจน์ว่าxxxxxxxxxxxปฏิบัติตามที่กฎหมายกำหนดและตามที่กำหนดใน สัญญาและบันทึกข้อตกลงนี้ ในส่วนที่เกี่ยวกับการxxxxxxผลข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วน บุคคล
มาตรการรักษาความมั่นคงปลอดภัย
ข้อ ๑๔ ผู้xxxxxxผลข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีและธำรงรักษาไว้ซึ่งมาตรการรักษาความ มั่นคงปลอดภัยที่เหมาะสม xxxxxxxเป็นมาตรการด้านการบริหารจัดการขององค์กร มาตรการด้านกายภาพ มาตรการ
ด้านเทคนิค และมาตรการอื่น ๆ ที่จำเป็น เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูล ส่วนบุคคลโดยปราศจากxxxxxหรือโดยมิชอบ สำหรับการxxxxxxผลข้อมูลส่วนบุคคลxxxxxxxxและบันทึก ข้อตกลงนี้ โดยจะต้องเป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
ข้อ ๑๕ ในการกำหนดมาตรการตามข้อ ๑๔ ให้ผู้xxxxxxผลข้อมูลส่วนบุคคลxxxxxถึงหลักการ
บริหารความเสี่ยง โดยอย่างน้อยต้องประกอบด้วยวิธีการและมาตรการ ดังต่อไปนี้ เท่าที่จำเป็นและเหมาะสมกับ บริบท
(๑) Identify: การระบุความเสี่ยงxxxxxxจะเกิดขึ้นแก่คอมพิวเตอร์ ข้อมูลxxxxxxxเป็นข้อมูล
อิเล็กทรอนิกส์และข้อมูลในรูปแบบอื่น ระบบคอมพิวเตอร์ ข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ ทรัพย์สิน และชีวิตร่างกายของบุคคล ในส่วนที่เกี่ยวข้องกับการxxxxxxผลข้อมูลส่วนบุคคล
(๒) Protect: มาตรการป้องกันความเสี่ยงxxxxxxจะเกิดขึ้น
(๓) Detect: มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์และเหตุการละเมิดข้อมูลส่วน
บุคคล
(๔) Respond: มาตรการxxxxxเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์หรือเหตุการละเมิด
ข้อมูลส่วนบุคคล
(๕) Recover: มาตรการรักษาและฟื้นฟูความxxxxxxxxxxเกิดxxxxxxคุกคามทางไซเบอร์หรือเหตุการ ละเมิดข้อมูลส่วนบุคคล
ข้อ ๑๖ มาตรการป้องกันความเสี่ยงของผู้xxxxxxผลข้อมูลส่วนบุคคลตามข้อ ๑๕ (๒)
ควรประกอบด้วยมาตรการอย่างน้อยดังนี้ ในส่วนที่เกี่ยวกับระบบสารสนเทศที่มีการxxxxxxผลข้อมูลส่วนบุคคล เท่าที่xxxxxxจะกระทำได้
(๑) มาตรการรักษาความมั่นคงปลอดภัยด้านการบริหารจัดการ (administrative security) ซึ่งรวมxxx xxxกำหนดและสื่อสารนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย ของระบบสารสนเทศ และการบริหารจัดการความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
(๒) มาตรการรักษาความมั่นคงปลอดภัยด้านกายภาพ (physical security) ของอุปกรณ์และ ส่วนประกอบของระบบสารสนเทศและข้อมูลที่จัดเก็บ
(๓) มาตรการรักษาความมั่นคงปลอดภัยด้านผู้ใช้งาน (user security) ซึ่งรวมxxxxxxฝึกอบรมและ สร้างเสริมความตระหนักรู้และการด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคง ปลอดภัย (security awareness training) แก่บุคลากร พนักงาน ลูกจ้าง หรือบุคคลอื่น ที่เป็นผู้ใช้งานหรือ ผู้เกี่ยวข้องกับระบบสารสนเทศและข้อมูลส่วนบุคคล การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ที่ใช้ในการ จัดเก็บและการxxxxxxผลข้อมูลส่วนบุคคล (access control) การกำหนดxxxxxในการเข้าถึงข้อมูลส่วนบุคคลหรือ ระบบสารสนเทศ และการบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) โดยxxxxxถึงบทบาท หน้าที่ ความจำเป็นในการใช้งาน และความมั่นคงปลอดภัยเป็นสำคัญ การกำหนดหน้าที่ความรับผิดชอบของ ผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยxxxxxxรับอนุญาต การเปิดเผย การxxxxxxx หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล หรือการลักขโมยอุปกรณ์ที่ใช้ในการจัดเก็บหรือการxxxxxxผลข้อมูล ส่วนบุคคล และการจัดให้มีวิธีการเพื่อให้xxxxxxตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่าย โอนข้อมูลส่วนบุคคล (audit trails) ให้เหมาะสม
(๔) มาตรการรักษาความมั่นคงปลอดภัยด้านข้อมูล (data security) ซึ่งรวมถึงมาตรการควบคุมการ เข้าถึงข้อมูลที่เก็บรักษาไว้อย่างเหมาะสม และการxxxxxข้อมูล
(๕) มาตรการรักษาความมั่นคงปลอดภัยด้านระบบสารสนเทศ (systems security) ซึ่งรวมxxxxxx ปรับปรุงระบบปฏิบัติการและแอปพลิเคชันของเครื่องคอมพิวเตอร์แม่ข่าย (server) ให้เป็นปัจจุบันอยู่xxxx xxxตั้ง ค่าความมั่นคงปลอดภัย (security configurations) ที่เหมาะสม การมีระบบxxxxx และการป้องกันภัยคุกคาม จากมัลแวร์
(๖) มาตรการรักษาความมั่นคงปลอดภัยด้านสินทรัพย์สารสนเทศ (asset security) ซึ่งรวมถึงความ มั่นคงปลอดภัยทางกายภาพและการปรับปรุงระบบปฏิบัติการและแอปพลิเคชันของเครื่องคอมพิวเตอร์ลูกข่ายและ อุปกรณ์ต่าง ๆ (endpoints) ที่ใช้งานระบบสารสนเทศให้เป็นปัจจุบันอยู่เสมอ และการป้องกันภัยคุกคาม จากมัลแวร์
(๗) มาตรการรักษาความมั่นคงปลอดภัยด้านซอฟต์แวร์และแอปพลิเคชัน (software and application security) ซึ่งรวมxxxxxxออกแบบและทดสอบความมั่นคงปลอดภัยของซอฟต์แวร์และแอปพลิเคชัน การประเมินและกำกับดูแลกระบวนการพัฒนาซอฟต์แวร์ (software development process) ที่เหมาะสมโดย xxxxxถึงความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ ไม่ว่าจะเป็นซอฟต์แวร์หรือแอปพลิเคชันที่พัฒนาเอง หรือ นำมาใช้จากภายนอก หรือให้บุคคลภายนอกพัฒนาให้ก็ตาม รวมทั้งกระบวนการบำรุงรักษา (maintenance) ซอฟต์แวร์และแอปพลิเคชันที่เหมาะสม
(๘) มาตรการรักษาความมั่นคงปลอดภัยด้านการสื่อสารและระบบเครือข่าย (communication and network security) ซึ่งรวมถึงความมั่นคงปลอดภัยทางกายภาพของอุปกรณ์ในระบบเครือข่าย การออกแบบและ บริหารจัดการระบบเครือข่ายที่เหมาะสม การควบคุมการจราจรของข้อมูลในระบบเครือข่ายโดยใช้ firewall การมี ระบบป้องกันการโจมตี (intrusion prevention system) การปรับปรุงเฟิร์มแวร์ (firmware) และซอฟต์แวร์ของ อุปกรณ์ในระบบเครือข่ายให้เป็นปัจจุบัน และการเข้ารหัส (encryption) ของข้อมูลที่มีความxxxxxxxxxที่ส่งผ่านระบบ เครือข่าย
ข้อ ๑๗ ผู้xxxxxxผลข้อมูลส่วนบุคคลจะต้องทบทวนมาตรการตามข้อ ๑๔ ข้อ ๑๕ และข้อ ๑๖ เมื่อ
มีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม โดยxxxxxถึงความxxxxxxxxทางเทคโนโลยี ค่าใช้จ่ายในการxxxxxxการ ลักษณะ ขอบเขต บริบท และวัตถุประสงค์ ของการxxxxxxผลข้อมูลประกอบกัน
ข้อ ๑๘ ผู้xxxxxxผลข้อมูลส่วนบุคคลจะใช้ความxxxxxxตามxxxxxให้การเข้าถึงและการ
xxxxxxผลข้อมูลส่วนบุคคลจำกัดเฉพาะบุคลากร พนักงาน และลูกจ้างของผู้xxxxxxผลข้อมูลส่วนบุคคล หรือบุคคลxxxxxxรับมอบหมาย ซึ่งมีความจำเป็นในการเข้าถึงหรือการxxxxxxผลข้อมูลส่วนบุคคลตามหลักความ จำเป็นในการเข้าถึงข้อมูล (need-to-know basis) เพื่อxxxxxxการให้เป็นไปxxxxxxxxและบันทึกข้อตกลงนี้ หรือเพื่อปฏิบัติการอื่นที่เป็นไปตามกฎหมายเท่านั้น และxxxxxxการให้บุคคลดังกล่าวรักษาความลับในการ xxxxxxผลข้อมูลส่วนบุคคล และปฏิบัติตามหน้าที่ความรับผิดชอบของผู้xxxxxxผลข้อมูลส่วนบุคคลใน สัญญาและบันทึกข้อตกลงนี้
ข้อ ๑๙ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปล อดภัยที่
เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากxxxxx
หรือโดยมิชอบ สำหรับการxxxxxxผลข้อมูลส่วนบุคคลในส่วนที่อยู่นอกเหนือความควบคุมและความ
รับผิดชอบของผู้xxxxxxผลข้อมูลส่วนบุคคล ตลอดจนการxxxxxxผลข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลสวน
บุคคลxxxxxxการ หรือบุคคลอื่นxxxxxxการในนามผู้xxxxxxผลข้อมูลส่วนบุคคล เพื่อเปิดเผยโดยการส่งผ่าน การเผยแพร่ หรือการทำให้พร้อมใช้งานโดยวิธีการอื่นใด ให้แก่ผู้xxxxxxผลข้อมูลส่วนบุคคล ก่อนที่ผู้ xxxxxxผลข้อมูลส่วนบุคคลจะทำการxxxxxxผลข้อมูลส่วนบุคคลนั้นในส่วนของตน
เหตุการละเมิดข้อมูลส่วนบุคคล (Personal Data Breaches)
ข้อ ๒๐ ผู้xxxxxxผลข้อมูลส่วนบุคคลมีหน้าที่xxxxxxxดูแลและมีมาตรการตรวจสอบและเฝ้า ระวัง (detective measures) การกระทำxxxxxxมีลักษณะเป็นการเข้าถึงหรือการxxxxxxผลข้อมูลส่วนบุคคล โดยปราศจากxxxxxหรือโดยมิชอบตามxxxxx และเมื่อทราบเหตุการละเมิดข้อมูลส่วนบุคคล ผู้xxxxxxผล ข้อมูลส่วนบุคคลมีหน้าที่ตอบxxxxต่อเหตุดังกล่าวในเบื้องต้นตามxxxxxเพื่อลดความเสี่ยงหรือผลกระทบจาก เหตุดังกล่าว ตลอดจนเพื่อรวบรวมข้อมูลจราจรทางคอมพิวเตอร์และพยานหลักฐานที่เกี่ยวข้องสำหรับการ xxxxxxการต่อไป
ข้อ ๒๑ ผู้xxxxxxผลข้อมูลส่วนบุคคลมีหน้าที่แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการ
ละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นจากการxxxxxxผลข้อมูลส่วนบุคคลในความรั บผิดชอบของผู้xxxxxxผล ข้อมูลส่วนบุคคลโดยxxxxxxxxx ภายในสี่สิบแปดชั่วโมงนับแต่ทราบเหตุเท่าที่จะxxxxxxกระทำได้ เว้นแต่การ ละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อxxxxxและเสรีภาพของบุคคล โดยอย่างน้อยจะต้องให้ข้อมูล ต่อไปนี้แก่ผู้ควบคุมข้อมูลส่วนบุคคลเป็นลายลักษณ์xxxxxโดยเร็วเท่าที่จะxxxxxxกระทำได้
(๑) รายละเอียดของเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น และผลxxxxxxเกิดขึ้น
(๒) การxxxxxxการxxxxxxกระทำไปเพื่อตอบxxxxต่อเหตุดังกล่าว
(๓) ประเภทของข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเหตุดังกล่าว
(หากเป็นไปได้)
(๔) ความเห็นต่อเหตุดังกล่าวและมาตรการที่ควรxxxxxxการต่อไป
ข้อ ๒๒ การแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูล ส่วนบุคคล และ/หรือเจ้าของข้อมูลส่วนบุคคล เป็นหน้าที่ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล โดยผู้ xxxxxxผลข้อมูลส่วนบุคคล จะต้องให้ความร่วมมืออย่างเต็มที่เพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลxxxxxx xxxxxxการดังกล่าว รวมทั้งการxxxxxxการทางกฎหมายอย่างอื่นที่เกี่ยวข้องได้
ข้อ ๒๓ หลังเกิดเหตุการละเมิดข้อมูลส่วนบุคคล คู่สัญญามีหน้าที่รับผิดชอบxxxxxxการในส่วน
ของตน เพื่อเยียวยาผู้xxxxxxxxกระทบจากเหตุดังกล่าว และทบทวนและพิจารณาปรับปรุงมาตรการรักษาความ มั่นคงปลอดภัยเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสมและเพียงพอ
ข้อ ๒๔ คู่สัญญามีหน้าที่ให้ความร่วมมือ ช่วยเหลือ และสนับสนุนการxxxxxxการที่เกี่ยวข้องของ
คู่สัญญาอีกฝ่ายหนึ่งตามxxxxx เพื่อให้คู่สัญญาอีกฝ่ายหนึ่งนั้นxxxxxxป้องกัน เฝ้าระวัง ตรวจสอบ ตอบxxxx แก้ไข และฟื้นฟูจากเหตุการละเมิดข้อมูลส่วนบุคคล ตลอดจนเก็บรวบรวมข้อมูลจราจรทางคอมพิวเตอร์และ พยานหลักฐานที่เกี่ยวข้อง และxxxxxxการตามกฎหมายที่เกี่ยวข้องในส่วนของตนได้
การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ (Cross-Border Data Transfer)
ข้อ ๒๕ ผู้xxxxxxผลข้อมูลส่วนบุคคลจะไม่ส่งหรือโอน (transfer) ข้อมูลส่วนบุคคลไป ต่างประเทศหรือองค์การระหว่างประเทศ เว้นแต่จะได้รับความยินยอมจากผู้ควบคุมข้อมูลส่วนบุคคลเป็นลาย ลักษณ์xxxxx หรือเป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ ไม่รวมxxxxxxส่งผ่าน (transit) ข้อมูลส่วนบุคคลในต่างประเทศ ที่ไม่มีการเข้าถึงข้อมูลส่วนบุคคลโดยบุคคลอื่นนอกเหนือจากบุคลากร พนักงาน และลูกจ้างของผู้xxxxxxผลข้อมูลส่วนบุคคลหรือผู้xxxxxxผลข้อมูลส่วนบุคคลช่วง
การลบและการเก็บรักษาข้อมูลส่วนบุคคล
ข้อ ๒๖ ผู้xxxxxxผลข้อมูลส่วนบุคคลมีหน้าที่xxxxxxการลบหรือทำลาย หรือทำให้ข้อมูลส่วน บุคคลตามบันทึกข้อตกลงนี้ เป็นข้อมูลxxxxxxxxxxxxระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ภายในเวลา
..... ปี นับแต่xxxxxxสัญญาสิ้นสุดลง หรือเมื่อไม่มีความจำเป็นต้องทำการxxxxxxผลข้อมูลส่วนบุคคลดังกล่าวอีก ต่อไป หรือกรณีที่มีเหตุอื่นตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เว้นแต่จะได้รับอนุญาตเป็นลาย
ลักษณ์xxxxxจากผู้ควบคุมข้อมูลส่วนบุคคลให้เก็บรักษาข้อมูลดังกล่าวไว้นานกว่านั้น และผู้ควบคุมข้อมูลสวน
บุคคลอาจขอให้ผู้xxxxxxผลข้อมูลส่วนบุคคลแสดงหลักฐานตามxxxxxเพื่อพิสูจน์การxxxxxxการ หรือมี หนังสือยืนยันและรับรองว่าได้xxxxxxการดังกล่าวแล้ว
ข้อ ๒๗ ผู้xxxxxxผลข้อมูลส่วนบุคคลอาจเก็บรักษาข้อมูลส่วนบุคคลไว้เพื่อการก่อตั้งxxxxx
เรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้xxxxxเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้xxxxxเรียกร้อง
ตามกฎหมาย หรือเพ การปฏิบัติตามกฎหมาย xxxxxxขัดต่อกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
ข้อ ๒๘ ผู้xxxxxxผลข้อมูลส่วนบุคคลอาจเก็บรักษาข้อมูลส่วนบุคคลเท่าที่จำเป็นเพื่อแสดงxxx xxxปฏิบัติxxxxxxxxและบันทึกข้อตกลงนี้ได้
ข้อ ๒๙ เมื่อสัญญาสิ้นสุดลง หรือก่อนที่ผู้xxxxxxผลข้อมูลส่วนบุคคลจะxxxxxxการลบหรือ
ทำลาย หรือทำให้ข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ เป็นข้อมูลxxxxxxxxxxxxระบุตัวบุคคลที่เป็นเจ้าของ ข้อมูลส่วนบุคคลได้ ผู้ควบคุมข้อมูลส่วนบุคคลอาจแจ้งให้ผู้xxxxxxผลข้อมูลส่วนบุคคลส่งสำเนาข้อมูลส่วน บุคคลตามบันทึกข้อตกลงนี้ให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลได้ โดยไม่กระทบต่อxxxxxและหน้าที่ของผู้ xxxxxxผลข้อมูลส่วนบุคคลในการเก็บรักษาข้อมูลไว้ตามความจำเป็นตามบันทึกข้อตกลงนี้ โดยหน้าที่ในการ ปฏิบัติการให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่น ต่อการxxxxxxผล ข้อมูลส่วนบุคคลของข้อมูลส่วนบุคคลที่ผู้xxxxxxผลข้อมูลส่วนบุคคลส่งให้ผู้ควบคุมข้อมูลส่วนบุคคลเป็นความ รับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลเอง
ข้อ ๓๐ เมื่อสัญญาสิ้นสุดลง และ/หรือบันทึกข้อตกลงนี้สิ้นสุดลง ในระหว่างที่ผู้xxxxxxผล
ข้อมูลส่วนบุคคลยังxxxxxxxxxxxxการลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ เป็นข้อมูล xxxxxxxxxxxxระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ตามข้อ ๒๖ ให้ผู้xxxxxxผลข้อมูลส่วนบุคคลยังมี หน้าที่ความรับผิดชอบตามบันทึกข้อตกลงนี้เท่าที่จำเป็นและไม่ขัดกับกฎหมาย เพื่อประโยชน์ในการคุ้มครอง ข้อมูลส่วนบุคคลที่ผู้xxxxxxผลข้อมูลส่วนบุคคลรับผิดชอบ
ขอบเขตของความรับผิด
ข้อ ๓๑ เว้นแต่จะกำหนดไว้เป็นอย่างอื่น ผู้xxxxxxผลข้อมูลส่วนบุคคลไม่ต้องรับผิดในความ เสียหายหรือการกระทำอันเกิดจากการปฏิบัติตามบันทึกข้อตกลงนี้ หรือตามคำสั่งของผู้ควบคุมข้อมูลส่วน บุคคล เพื่อให้xxxxxวัตถุประสงค์ในการxxxxxxผลข้อมูลส่วนบุคคลxxxxxxxx
ข้อ ๓๒ ในกรณีที่ผู้xxxxxxผลข้อมูลส่วนบุคคลต้องรับผิดชดใช้ค่าเสียหายหรือชำระค่าปรับ อัน
เนื่องมาจากการปฏิบัติตามบันทึกข้อตกลง หรือตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล เพื่อให้xxxxx วัตถุประสงค์ในการxxxxxxผลข้อมูลส่วนบุคคลxxxxxxxx ไม่ว่าจะด้วยเหตุใดก็ตาม ผู้xxxxxxผลข้อมลส่วน บุคคลมีxxxxxเรียกร้องให้ผู้ควบคุมข้อมูลส่วนบุคคลชดใช้เงินจำนวนดังกล่าวให้แก่ผู้xxxxxxผลข้อมูลส่วนบุคคล เว้นแต่จะพิสูจน์ได้ว่าความรับผิดดังกล่าวเป็นการกระทำผิดโดยxxxxxหรือเป็นความบกพร่องของผู้xxxxxxผล ข้อมูลส่วนบุคคลเองหรือผู้xxxxxxผลข้อมูลส่วนบุคคลช่วงของผู้xxxxxxผลข้อมูลส่วนบุคคล
การเปลี่ยนแปลงแก้ไขบันทึกข้อตกลง
ข้อ ๓๓ กรณีที่จำเป็นต้องมีการเปลี่ยนแปลงแก้ไขบันทึกข้อตกลงเพื่อให้คู่สัญญาxxxxxxทำการ xxxxxxผลข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลต่อไปได้อย่างเหมาะสมและมี ประสิทธิภาพ ให้xxxxxxxxxxxxxxxxxxxxxxจะแก้ไขเพิ่มเติมบันทึกข้อตกลงนี้ แจ้งให้อีกฝ่ายทราบล่วงหน้าเป็นเวลา ไม่น้อยกว่า ๓๐ วัน และเมื่อทั้งสองฝ่ายให้ความยินยอมในการแก้ไขเพิ่มเติมแล้ว ให้จัดทำบันทึกข้อตกลงฉบับ แก้ไขเพิ่มเติมเป็นหนังสือ และลงนามผูกพันโดยผู้xxxxxxxลงนามผูกพันนิติบุคคล และให้xxxxxxการแก้ไขเพิ่มเติม ดังกล่าวเป็นส่วนหนึ่งของบันทึกข้อตกลงนี้ โดยให้มีผลใช้บังคับตั้งแต่xxxxxxลงนามในบันทึกข้อตกลงฉบับแก้ไข เพิ่มเติมนั้น เว้นแต่จะกำหนดเป็นอย่างอื่นในบันทึกข้อตกลงฉบับแก้ไขดังกล่าว
บันทึกข้อตกลงนี้ทำขึ้นสองฉบับมีข้อความถูกต้องตรงกัน ทั้งสองฝ่ายได้อ่านและเข้าใจบันทึก ข้อตกลงนี้โดยละเอียดตลอดแล้ว เห็นว่าตรงตามxxxxxxxxxxxxได้ให้ไว้ต่อกันทุกประการ จึงได้ลงลายมือชื่อไว้ เป็นสำคัญต่อหน้าพยานและแต่ละฝ่ายต่างได้ยึดถือไว้ฝ่ายละฉบับ
บริษัท ........................................ ลงชื่อ บริษัทฯ (...............................................................................) ........................................................................ | คลินิก ABC ลงชื่อ............................................................... (...............................................................................) ........................................................................ |
บริษัท ........................................ ลงชื่อ พยาน (...............................................................................) | ลงชื่อ พยาน (...............................................................................) |