Contract

ข้อตกลงการxxxxxxผลข้อมูลส่วนบุคคล

1. คํานิยามศัพท์

ในเอกสารแนบฉบับนี้คําเหล่านี้มีความหมายดังต่อไปนี้

“กฎหมายคุ้มครองข้อมูลส่วนบุคคล” หมายถึงกฎหมายคุ้มครองข้อมูลส่วนบุคคลและกฎหมายว่าด้วยความเป็นส่วนตัว ฉบับใดหรือทุกฉบับซึ่งมีผลบังคับใช้รวมถึงแต่ไม่จํากัดเพียง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 “ผู้ควบคุมข้อมูล”, “ผู้xxxxxxผลข้อมูล”, “เจ้าของข้อมูล”, “ข้อมูลส่วนบุคคล”, “การxxxxxxผล” (และ “xxxxxxผล”) และ “ข้อมูลส่วนบุคคลตามมาตรา 26” ให้มีความหมายตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

2. ความxxxxxxxxระหว่างคู่สัญญา

ผู้ใช้บริการในฐานะผู้ควบคุมข้อมูล (“ผู้ใช้บริการ”) ตกลงให้ Themis ทําหน้าที่ผู้xxxxxxผลข้อมูล (“ผู้ให้บริการ”) เพื่อxxxxxxผลข้อมูลส่วนบุคคลซึ่งระบุไว้ในสัญญา (ต่อไปนี้จะเรียกว่า“ข้อมูลxxxxxxxx”) ภายใต้ วัตถุประสงค์ซึ่งระบุไว้ในสัญญานี้หรือได้ตกลงกันเป็นลายลกษณ์xxxxxระหว่างคู่สัญญา (ต่อไปนี้จะเรียกว่า“วัตถุประสงค์ การxxxxxxผล”)

ผู้ให้บริการตกลงที่จะไม่เก็บรักษาใช้หรือเปิดเผยข้อมูลxxxxxxxxเพื่อการใดๆนอกเหนือจากวัตถุประสงค์ การxxxxxxผลเว้นแต่เป็นกรณีที่xxxxxxทําได้ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลรวมถึงแต่ไม่จํากัดเพียงการเก็บ xxxxxxxxใช้หรือการเปิดเผยข้อมูลxxxxxxxxเพื่อประโยชน์ทางการค้านอกเหนือจากวัตถุประสงค์การxxxxxxผลและ ผู้ให้บริการจะไม่ซื้อหรือขายข้อมูลxxxxxxxxนี้

3. การถ่ายโอนข้อมูลไปยังต่างประเทศ

ข้อมูลxxxxxxxxจะถูกเก็บรักษาในxxxxxxxxxxกําหนดไว้ในสัญญาหรือที่ผู้ใช้บริการได้กําหนดโดยผู้ให้บริการจะ ไม่ทําการถ่ายโอนข้อมูลxxxxxxxxไปยังxxxxxxxอื่นเว้นแต่จะได้ใช้มาตรการที่จําเป็นภายใต้กฎหมายคุ้มครองส่วนบุคคล เพื่อรักษาความปลอดภัยการถ่ายโอนข้อมูล

มาตรการดังกล่าวอาจรวมถึงแต่ไม่จํากัดเพียงการถ่ายโอนข้อมูลxxxxxxxxไปยังประเทศผู้รับซึ่งมีลักษณะ

1) เป็นประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลxxxxxxxxxxภายใต้กฎหมายคุ้มครองข้อมูล ส่วนบุคคล

2) มีการจัดทํานโยบายในการคุ้มครองข้อมูลส่วนบุคคลลักษณะของเครือกิจการหรอเครือธุรกิจเดยวกัน

ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

3) ได้ปฏิบัติตามร่างสัญญามาตรฐาน (Standard Contractual Clause, SCC)

อย่างไรก็ตามในกรณีมีความจําเป็นเพื่อให้บริการและเป็นกรณีxxxxxxรับคําสั่งให้xxxxxxผลข้อมูลxxxxxxxxจาก ผู้ใช้บริการเป็นลายลักษณ์xxxxxแล้วผู้ให้บริการxxxxxxเข้าถึงและxxxxxxผลข้อมูลส่วนบุคคลจากพื้นที่หรือตําแหน่ง นอกxxxxxxxxxxกําหนดไว้ในสัญญาได้

4. มาตรการคุ้มครองความปลอดภัย ผู้ให้บริการมีหน้าที่จัดทํามาตรการรักษาความปลอดภัยทั้งทางนโยบายและทางเทคนิคเพื่อธํารงไว้ซึ่งมาตรฐานความ

ปลอดภัยที่เหมาะสมโดยมาตรการดังกล่าวจะต้องคํานึงถึงพัฒนาการทางเทคโนโลยีต้นทุนลักษณะขอบเขตบริบทและ วัตถุประสงค์การxxxxxxผลไปจนถึงความเสียหายxxxxxxเกิดขึ้นและความร้ายแรงจากการละเมิดxxxxxหรือเสรีภาพของบุคคล เพื่อคุ้มครองข้อมูลxxxxxxxxนี้จากเหตุละเมิดข้อมูลส่วนบุคคลซึ่งรวมถึงแต่ไม่จํากัดเพียงอุบัติเหตุการทําลายการสูญหายการ เปลี่ยนแปลงการเปิดเผยการโอนการเข้าถึงข้อมูลxxxxxxxxโดยไม่มีxxxxx

xxxทดสอบความมั่นคงปลอดภัยของระบบโดยผู้ใช้บริการxxxxxxดําเนินการได้ผ่านข้อตกลงร่วมกันกับผู้ให้บริการเพื่อ เตรียมสถานการณ์ที่เหมาะสมแก่การทดสอบ

ระบบการจัดการความมั่นคงปลอดภัยของผู้ให้บริการได้รับการรับรองว่ามีระบบการจัดการการควบคุมคุณภาพตาม มาตรฐานxxxx

5. การxxxxxxผลช่วง

ภายใต้บังคับของxxxxxและหน้าที่ที่ตกลงกันระหว่างxxxxxxxxxxxxxxผู้ใช้บริการได้ให้คําอนุญาตแก่ผู้ให้บริการในการให้ บุคคลภายนอก (“ผู้xxxxxxผลช่วง”) เข้าxxxxxxผลข้อมูลxxxxxxxxภายใต้วัตถุประสงค์การxxxxxxผล ผู้ให้บริการมี หน้าที่ดังนี้

5.1. แก้ไขรายการผู้xxxxxxผลช่วงให้เป็นปัจจุบันพร้อมรายxxxxxxxxxxเปลี่ยนแปลงแก้ไขและประกาศแจ้งล่วงหน้าอย่าง น้อย 30 xxxxxxxxxการเปลี่ยนแปลงเว้นแต่ในกรณีที่มีความจําเป็นเร่งด่วนและผู้ใช้บริการอาจเปิดใช้การแจ้งเตือนผ่าน ทางอีเมลเพื่อรับแจ้งประกาศการเปลี่ยนแปลงรายการผู้xxxxxxผลช่วงได้

5.2. ดําเนินการให้ผู้xxxxxxผลช่วงมีมาตรการรักษาความปลอดภัยตามกฎหมายที่เป็นมาตรฐานตามกฎหมาย

5.3. xxไว้ซึ่งความรับผิดชอบเมื่อเกิดเหตุละเมิดใดxxxxxxxxซึ่งเกิดจากการกระทําไม่ว่าโดยประมาทหรือโดยงดเว้นของผู้ xxxxxxผลช่วง

ผู้ใช้บริการมีxxxxxคัดค้านการแต่งตั้งผู้xxxxxxผลช่วงได้ก่อนการแต่งตั้งดังกล่าวโดยต้องยื่นคําคัดค้านพร้อมหลักฐาน ซึ่งเกี่ยวข้องกับการคุ้มครองข้อมูลในกรณีxxxxนี้ผู้ใช้บริการอาจขอระงับหรือยุติการดําเนินการxxxxxxxxโดยไม่เป็นการ กระทบต่อค่าธรรมเนียมใด ๆ ที่ผู้ใช้บริการได้ก่อให้เกิดขึ้นก่อนการระงับหรือยุติสัญญา

6. หน้าที่เกี่ยวกับxxxxxของเจ้าของข้อมูลส่วนบุคคล

ผู้ให้บริการมีหน้าที่สนับสนุนผู้ใช้บริการด้วยมาตรการทางนโยบายและทางเทคนิคภายใต้เงื่อนไขความเป็นเหตุเป็น ผลและความเหมาะสมเพื่อให้ผู้ใช้บริการได้ตอบxxxxต่อ

6.1. คําร้องขอใช้xxxxxของเจ้าของข้อมูลส่วนบุคคลซึ่งอาจมีxxxxxxxxจะเข้าถึงแก้ไขคัดค้านลบและขอโอนข้อมูลส่วนบุคคลของ

ตนได้ตามกฎหมาย

6.2. จดหมายข้อสอบถามหรือคําร้องเรียนจากเจ้าของข้อมูลส่วนบุคคลหรือหน่วยงานผู้ทําหน้าที่กํากับดูแลหรือ บุคคลภายนอกซึ่งเกี่ยวข้องกับการxxxxxxผลข้อมูลxxxxxxxx

ในกรณีที่คําร้องจดหมายข้อสอบถามหรือคําร้องเรียนถูกส่งถึงผู้ให้บริการโดยตรงผู้ให้บริการจะดําเนินการติดต่อไป ยังผู้ใช้บริการโดยทันทีเพื่อแจ้งรายละเอียดxxxxxxรับทราบมา

7. การประเมินผลกระทบจากมาตรการคุ้มครองความปลอดภัยข้อมูล ผู้ให้บริการจะให้ความร่วมมือโดยxxxxxxxxxxเพื่อให้ผู้ใช้บริการได้ดําเนินการประเมินผลกระทบจากมาตรการคุ้มครอง

ความปลอดภัยข้อมูลซึ่งจะต้องปฏิบัติภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยผู้ใช้บริการเป็นผู้ออกค่าใช้จ่ายในการนี้

8. เหตุละเมิดข้อมูลส่วนบุคคล

ในกรณีที่เกิดเหตุละเมิดข้อมูลส่วนบุคคลผู้ให้บริการมีหน้าที่แจ้งไปยังผู้ใช้บริการโดยxxxxxxxxxถึงข้อมูลที่จําเป็นและ มีหน้าที่ให้ความร่วมมือแก่ผู้ใช้บริการเพื่อให้ผู้ใช้บริการxxxxxxดําเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้และ ผู้ให้บริการอาจตอบxxxxและใช้มาตรการที่จําเป็นเพื่อxxxxxxผลกระทบจากเหตุละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นโดยจะทํา การแจ้งไปยังผู้ใช้บริการถึงความเปลี่ยนแปลงที่เกิดขึ้นสืบเนื่องจากเหตุดังกล่าว

9. การลบข้อมูลหรือการโอนคืนข้อมูล

ภายใต้ข้อตกลงสิ้นสุดสัญญาผู้ใช้บริการมีเวลา 60 xxxxxxจะนําข้อมูลxxxxxxxxนี้ออกจากระบบก่อนที่ผู้ให้บริการจะ ทําการลบข้อมูลxxxxxxxxที่เก็บรักษาไว้ทั้งนี้ระยะเวลาดังกล่าวจะไม่มีผลในกรณีที่

9.1. ผู้ให้บริการมีหน้าที่ตามกฎหมายที่จะต้องเก็บรักษาข้อมูลxxxxxxxxไว้

9.2. ข้อมูลxxxxxxxxถูกเก็บรักษาไว้ในระบบหลังบ้านซึ่งผู้ให้บริการจะทําการเก็บรักษาไว้จนกว่าหน้าที่จะสิ้นสุดลง

10. การตรวจประเมิน

เมื่อมีการร้องขอตามxxxxxจากผู้ใช้บริการเป็นเวลาล่วงหน้าไม่น้อยกว่า 45 วันและมีการชําระค่าธรรมเนียมที่เหมาะสม ผู้ใช้บริการหรือตัวแทนของผู้ใช้บริการอาจเข้าตรวจสอบหรือตรวจประเมินการปฏิบัติงานและเอกสารของผู้ให้บริการได้ภายในเวลา ทําการซึ่งจะต้องไม่รบกวนธุรกิจการดําเนินการของผู้ให้บริการและไม่มากกว่าหนึ่งครั้งต่อปีเว้นแต่ในกรณีที่เกิดเหตุละเมิดข้อมูล ส่วนบุคคล

เพื่อหลีกเลี่ยงมิให้เป็นที่สงสัยขอบเขตของการตรวจสอบทางบัญชีจะถูกจํากัดเพียงเอกสารและบันทึกซึ่งแสดงการปฏิบติตาม กฎหมายคุ้มครองข้อมูลส่วนบุคคลของผู้ให้บริการซึ่งได้กล่าวถึงแล้วในข้อตกลงการxxxxxxผลข้อมูลส่วนบุคคลนี้และจะไม่รวมถึง เอกสารทางการเงินของผู้ให้บริการหรือเอกสารอื่นใดที่เกี่ยวข้องกับผู้ใช้บริการรายอื่น

การตรวจสอบประเมินจะถูกดําเนินการทางไกลเมื่อxxxxxxทําได้และจะดําเนินการในสถานที่ในเฉพาะกรณีที่จําเป็นต้องเข้า ตรวจสอบพื้นที่ปฏิบัติงาน