Data Processing Agreement)
ข้อตกลงการxxxxxxผลข้อมูล
(Data Processing Agreement)
● ข้อตกลงให้xxxxxxผลข้อมูลนี้มีขอบเขตการบังคับใช้กับการxxxxxxผลข้อมูลส่วนบุคคลของผู้ใช้บริการ
● ข้อตกลงนี้ถือเป็นส่วนหนึ่งของสัญญาการให้บริการหลัก
● ข้อตกลงนี้ถูกจัดทำขึ้นเพื่อปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 0000 xxxxx 00
วรรคสาม
1. ความxxxxxxxxระหว่างคู่สัญญา
1.1 องค์การขนส่งมวลชนกรุงเทพ (“ผู้ใช้บริการ”)
ผู้ใช้บริการจะอยู่ในฐานะผู้ควบคุมข้อมูลตลอดระยะเวลาของสัญญาการให้บริการหลัก โดยผู้ใช้บริการในฐานะผู้ควบคุมข้อมูลมีหน้าที่ต้องปฏิบัติตามกฎหมายเกี่ยวกับการควบคุมข้อมูล ที่มีผลใช้บังคับกับกรณี
1.2 [ชื่อของผู้xxxxxxผลข้อมูล] ("ผู้ให้บริการ") ผู้ให้บริการจะอยู่ในฐานะของผู้xxxxxxผลข้อมูลตลอดระยะเวลาของสัญญาการให้บริการหลัก
โดยผู้ให้บริการในฐานะผู้xxxxxxผลข้อมูลมีหน้าที่ต้องปฏิบัติตามกฎหมายเกี่ยวกับการxxxxxxผล ข้อมูลที่มีผลใช้บังคับกับกรณี
2. คำนิยาม
“สัญญาการให้บริการหลัก” | หมายถึง | [สัญญาการให้บริการหลัก] ระหว่าง องค์การขนส่ง มวลชนกรุงเทพ และ [ชื่อของผู้xxxxxxผลข้อมูล] ลงxxxxxx [•] |
“ข้อตกลง” | หมายถึง | ข้อตกลงให้xxxxxxผลข้อมูลฉบับนี้ |
“กฎหมายคุ้มครองข้อมูล ส่วนบุคคล” | หมายถึง | พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และประกาศหรือxxxxxxxxxxเกี่ยวข้อง |
“ข้อมูลส่วนบุคคล” | หมายถึง | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้xxxxxxระบุตัวบุคคลนั้นxxx xxxว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของ ผู้ถึงแก่กรรมโดยเฉพาะ |
“เจ้าของข้อมูล” | หมายถึง | บุคคลธรรมดาซึ่งxxxxxxถูกระบุตัวตนได้โดยข้อมูล ส่วนบุคคล ไม่ว่าจะโดยทางตรงหรือทางอ้อม และให้ หมายรวมถึงผู้ใช้xxxxxxxxxxxxxxxxxxxxxกระทำการ แทนผู้เยาว์ ผู้อนุบาลxxxxxxxxxxกระทำการแทน คนไร้ความสามารถ และผู้xxxxxxxxxxxxxxxxxกระทำการ แทนxxxxxxxxxxxxxxxxxxxxx |
“xxxxxxผลข้อมูล” | หมายxxx | xxxเก็บรวบรวม การใช้ การเปิดเผย การลบ การทำลาย ข้อมูลส่วนบุคคลภายใต้กฎหมายคุ้มครองข้อมูล ส่วนบุคคล |
“ละเมิดข้อมูลส่วนบุคคล” | หมายxxx | xxxรั่วไหล หรือการละเมิดมาตรการความมั่นคงปลอดภัย ต่อข้อมูลส่วนบุคคลซึ่งทำให้เกิดความเสียหาย สูญหาย เปลี่ยนแปลง ไม่ว่าจะโดยอุบัติเหตุหรือโดยมิชอบ ด้วยกฎหมาย รวมxxxxxxเปิดเผย, เข้าถึง, เก็บรวบรวม หรือxxxxxxผลข้อมูลส่วนบุคคลใด ๆ โดยxxxxxxรับอนุญาต |
3. ประเภทของข้อมูลส่วนบุคคล
3.1 ผู้ใช้บริการตระหนักและยอมรับว่าการใช้บริการxxxxxxxxการให้บริการหลัก ถือเป็นการสั่งให้ผู้ให้ บริการอาจทำการxxxxxxผลข้อมูลส่วนบุคคลที่จำเป็นสำหรับการบริการที่กำหนดไว้ในสัญญาการ ให้บริการหลัก
3.2 ผู้ใช้บริการยอมรับว่าการxxxxxxผลข้อมูลส่วนบุคคลของผู้ให้บริการประกอบด้วยข้อมูล ส่วนบุคคลดังต่อไปนี้ ไม่ว่าทั้งหมดหรือเพียงบางส่วน
รายการข้อมูลส่วนบุคคล |
[โปรดระบุประเภทข้อมูลส่วนบุคคลที่เกี่ยวข้อง xxxx ชื่อ-นามสกุล ที่อยู่ อีเมล] |
4. หน้าที่ในการxxxxxxข้อมูล
4.1 ผู้ให้บริการจะทำการxxxxxxผลข้อมูลส่วนบุคคลตามคำสั่งที่เป็นลายลักษณ์xxxxxจากผู้ใช้บริการอัน ได้แก่ การxxxxxxผลข้อมูลตามวัตถุประสงค์ดังต่อไปนี้เท่านั้น เว้นแต่จะxxxxสั่งจากผู้ใช้บริการให้ xxxxxxผลข้อมูลเพิ่มเติม ตามข้อ 4.2
ชื่อกิจกรรม (รหัสกิจกรรมตาม ROP (ROP ID)) | วัตถุประสงค์ | รายการข้อมูลส่วนบุคคล |
[โปรดระบุ] | [โปรดระบุ] | [โปรดระบุ] |
4.2 ผู้ใช้บริการอาจxxxxสั่งเป็นลายลักษณ์xxxxxให้ผู้ให้บริการxxxxxxผลข้อมูลเพิ่มเติม โดยผู้ให้บริการจะทำการxxxxxxผลข้อมูลดังกล่าวโดยxxxx
4.3 ในกรณีที่ผู้ให้บริการพิจารณาแล้วเห็นว่า การออกคำสั่งตามข้อ 4.1 และ 4.2 ของผู้ใช้บริการนั้นเป็น การออกคำสั่งที่ละเมิดต่อกฎหมาย ผู้ให้บริการจะทำการแจ้งผู้ใช้บริการโดยxxxx แต่ทั้งนี้ ผู้ใช้บริการ ตระหนักและยอมรับว่า ผู้ให้บริการxxxxxxมีหน้าที่ให้คำปรึกษาทางกฎหมายใด ๆ แก่ผู้ใช้บริการ
4.4 ผู้ให้บริการจะต้องxxxxxxผลข้อมูลโดยชอบด้วยกฎหมาย เป็นธรรม และมีความโปร่งใส
4.5 ผู้ให้บริการจะxxxxxxผลข้อมูลส่วนบุคคลเฉพาะที่เกี่ยวข้องและจำเป็นต่อการให้บริการเท่านั้น
4.6 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของผู้ให้บริการหรือเจ้าหน้าที่ผู้เกี่ยวข้องจะต้องปฏิบัติ ตามหน้าที่เพื่อช่วยเหลือและให้คำแนะนำเกี่ยวกับการxxxxxxการของผู้ให้บริการให้สอดคล้อง กับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
5. การรักษาความลับของข้อมูล
5.1 ผู้ให้บริการจะใช้ความxxxxxxตามxxxxxให้การเข้าถึงข้อมูลส่วนบุคคลจำกัดเฉพาะบุคลากร หรือบุคคลxxxxxxรับxxxxxxxxxxมีความจำเป็นในการเข้าถึงข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์ ของสัญญาการให้บริการหลัก
5.2 ผู้ให้บริการจะxxxxxxการให้บุคลากร หรือบุคคลxxxxxxรับมอบหมายตามข้อ 5.1 มีหน้าที่ ในการxxxxxxผลข้อมูลส่วนบุคคลภายใต้ข้อตกลงไม่เปิดเผยข้อมูลเป็นลายลักษณ์xxxxx
6. มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
6.1 ผู้ให้บริการมีหน้าที่จะต้องจัดให้มีและธำรงรักษาไว้ซึ่งมาตรการรักษาความปลอดภัยสำหรับ การxxxxxxผลข้อมูลที่มีความเหมาะสมทั้งในเชิงองค์กรและเชิงเทคนิค ทั้งนี้ มาตรการข้างต้นจะต้อง xxxxxถึงลักษณะ ขอบเขต และวัตถุประสงค์ของการxxxxxxผลข้อมูลตามที่กำหนด ในสัญญา โดยมีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคลจากความเสี่ยงอันเกี่ยวเนื่องกับ การxxxxxxผลข้อมูลส่วนบุคคล xxxx ความเสี่ยงอันเกิดจากอุบัติเหตุ การทำลาย การสูญหาย การเปลี่ยนแปลง การเปิดเผย การโอน การเก็บข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย
7. xxxxxของเจ้าของข้อมูล
7.1 ผู้ให้บริการจะสนับสนุนให้ผู้ใช้บริการxxxxxxเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลได้ โดยจัดให้มีมาตรการทั้งเชิงองค์กรและเชิงเทคนิค เพื่อให้ผู้ใช้บริการxxxxxxตอบxxxxต่อคำร้องของ เจ้าของข้อมูล อันเป็นการใช้xxxxxของเจ้าของข้อมูลภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
7.2 ในกรณีที่ผู้ให้บริการได้รับคำร้องขอจากเจ้าของข้อมูลซึ่งได้ระบุว่าผู้ใช้บริการนั้นเป็นผู้ควบคุมข้อมูล ผู้ ให้บริการจะทำการส่งคำร้องขอนั้นต่อไปยังผู้ใช้บริการ ภายใน [ระบุระยะเวลา xxxx 3 วัน] ทั้งน ผู้ให้บริการจะไม่ทำการตอบxxxxต่อคำร้องดังกล่าวโดยปราศจากการหารือกับผู้ใช้บริการ
8. การถ่ายโอนข้อมูลส่วนบุคคล
8.1 ภายในบังคับของข้อ 8.2 ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการให้บริการของผู้ให้บริการxxxxxxxxการ ให้บริการหลักจะถูกเก็บรักษาในxxxxxxxxxxกำหนดไว้ในสัญญาการให้บริการหลัก หรือที่ผู้ใช้บริการกำหนดเป็นลายลักษณ์xxxxx โดยผู้ให้บริการจะไม่ทำการโอนถ่ายข้อมูลส่วนบุคคลไปยัง xxxxxxxอื่น เว้นแต่จะได้รับคำอนุญาตเป็นลายลักษณ์xxxxxจากผู้ใช้บริการ
8.2 ในกรณีมีความจำเป็นเพื่อให้บริการและเป็นกรณีxxxxxxรับคำสั่งให้xxxxxxผลข้อมูลส่วนบุคคล จากผู้ใช้บริการเป็นลายลักษณ์xxxxxแล้ว ผู้ให้บริการxxxxxxเข้าถึงและxxxxxxผลข้อมูลส่วนบุคคลจาก พื้นที่หรือตำแหน่งนอกxxxxxxxxxxกำหนดในข้อ 8.1 ได้
9. การxxxxxxผลข้อมูลช่วง
9.1 ห้ามมิให้ผู้ให้บริการเปลี่ยนตัว หรือมอบหมายให้ผู้xxxxxxผลข้อมูลส่วนบุคคลช่วง (ไม่ว่าจะกี่ทอด ก็ตาม) ทำการxxxxxxผลข้อมูลตามที่กำหนดในข้อตกลงนี้แทน เว้นแต่จะได้รับอนุญาต จากผู้ใช้บริการเป็นลายลักษณ์xxxxxเป็นการเฉพาะ
9.2 ผู้xxxxxxผลข้อมูลช่วงxxxxxxรับอนุญาตจากผู้ใช้บริการตามข้อ 9.1 จะต้องทำข้อตกลงxxxxxxผลช่วงเป็น ลายลักษณ์xxxxxกับผู้ให้บริการ โดยข้อตกลงxxxxxxผลช่วงจะต้องกำหนดภาระหน้าที่ ของผู้xxxxxxผลช่วง xxxxเดียวกับภาระหน้าที่ของผู้ให้บริการตามภายใต้ข้อตกลงนี้
9.3 ผู้ให้บริการxxxxxxxxxxจากความรับผิดตามข้อตกลงนี้ต่อผู้ใช้บริการ ในกรณีที่ผู้xxxxxxผลช่วง ไม่ปฏิบัติหน้าที่xxxxxxxxxxxxxxผลช่วงในข้อ 9.2
10.การแจ้งเตือนหากเกิดเหตุละเมิดข้อมูลส่วนบุคคล
10.1 ผู้ให้บริการและบุคลากรของผู้ให้บริการมีหน้าที่ทำการประเมินและตอบxxxxต่อการกระทำใด ๆ ซึ่ง อาจมีลักษณะเป็นการละเมิดข้อมูลส่วนบุคคล
10.2 ในกรณีที่เกิดเหตุละเมิดข้อมูลส่วนบุคคลซึ่งอยู่ในความรับผิดชอบของผู้ให้บริการภายใต้ข้อตกลงนี้ ผู้ให้บริการจะจัดให้มีมาตรการที่เหมาะสมเพื่อระบุสาเหตุของการละเมิดข้อมูลส่วนบุคคล และเพื่อป้องกันมิให้เกิดเหตุดังกล่าวขึ้นอีก
10.3 ผู้ให้บริการจะทำการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลต่อผู้ใช้บริการโดยxxxxxxxxx ภายในระยะเวลา 24 ชั่วโมง นับตั้งแต่ได้ทราบถึงเหตุละเมิดที่เกิดขึ้น โดยในการแจ้งนั้น ผู้ให้บริการจะให้ข้อมูล แก่ผู้ใช้บริการภายใต้ขอบเขตที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด ดังต่อไปนี้
- คำอธิบายลักษณะของเหตุละเมิดข้อมูลส่วนบุคคล
- ประเภทของข้อมูลส่วนบุคคลที่ถูกละเมิดที่อยู่ภายใต้ความรับผิดชอบของผู้ให้บริการ (หากเป็นไปได้)
- จำนวนข้อมูลส่วนบุคคลและเจ้าของข้อมูลที่เกี่ยวข้อง
- ระยะเวลาxxxxxxxxxxละเมิดข้อมูลส่วนบุคคล นับแต่ทราบเหตุละเมิดข้อมูลส่วนบุคคล
- คำอธิบายเกี่ยวกับมาตรการในการรับมือกับเหตุละเมิดข้อมูลส่วนบุคคลxxxxxxxxxxxxการไปแล้วเพื่อ ลดผลกระทบของเหตุละเมิด
11.การตรวจสอบ
11.1 ผู้ให้บริการจะต้องชี้แจงข้อมูลเท่าที่จำเป็นตามที่ผู้ใช้บริการร้องขอ เพื่อแสดงให้เห็นว่าผู้ให้บริการ ปฏิบัติตามข้อตกลงนี้
11.2 ผู้ให้บริการจะอนุญาตและให้ความร่วมมือกับผู้ใช้บริการ หรือบุคคลxxxxxxรับมอบหมาย ในการตรวจสอบข้อมูลที่เกี่ยวข้องกับการxxxxxxผลข้อมูลส่วนบุคคลภายใต้ข้อตกลงนี้
12.การลบ ทำลาย หรือส่งคืนข้อมูลส่วนบุคคล
เมื่อการให้บริการxxxxxxxxให้บริการหลักสิ้นสุดลง ผู้ให้บริการมีหน้าที่ลบ ทำลาย หรือส่งคืนข้อมูลส่วน บุคคลภายใต้ข้อตกลงนี้ให้แก่ผู้ใช้บริการภายใน [ระบุระยะเวลา xxxx 7 วัน] นับแต่สัญญาสิ้นสุด
[•] โดย ลงชื่อ ผู้ใช้บริการ ([•]) | [•] โดย ลงชื่อ ผู้ให้บริการ ([•]) |
ลงชื่อ ผู้ใช้บริการ | ลงชื่อ ผู้ให้บริการ |
([•]) ([•])