บันทึกข้อตกลงการประมวลผลข้อมูล (Data Processing Agreement)
บันทึกข้อตกลงการxxxxxxผลข้อมูล (Data Processing Agreement)
(กรณีคณะฯ เป็นผู้ควบคุมข้อมูลส่วนบุคคล เวอร์ชัน ๓ ฉบับแก้ไขxxxxxx ๘ xxxxxx ๒๕๖๖)
ทําที่ ..........................................................
xxxxxx ............. เดือน .................. พ.ศ. ..............
บันทึกข้อตกลงนี้ทําขึ้นระหว่าง
บริษัท ........................................ มีสํานักงานตั้งอยู่ที่ ...................................................................
โดย ............................................................................... ตําแหน่ง ........................................................................
เป็นผู้มีอํานาจลงนามผูกพน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “บริษัทฯ” กับ
มหาวิทยาลัยxxxxx (คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี) เลขที่ ๒๗๐ ถนนพระรามที่ ๖ แขวงทุ่งพญาไท เขตราชเทวี กรุงเทพมหานคร ๑๐๔๐๐ โดย ..............................................................................
ตําแหน่ง คณบดีคณะแพทยศาสตร์โรงพยาบาลรามาธิบดี เป็นผู้มีอํานาจลงนามผูกพัน ซึ่งต่อไปในบันทึก ข้อตกลงนี้เรียกว่า “คณะฯ”
ตามxxxxxxxสองฝ่ายได้ทําสัญญา ฉบับลงxxxxxx
...................................... ทั้งสองฝ่ายจึงตกลงทําบันทึกข้อตกลงฉบับนี้ โดยให้บันทึกข้อตกลงฉบับนี้เป็นส่วน หนึ่งของสัญญาดังกล่าว ดังมีข้อความต่อไปนี้
บทนิยาม
ข้อ ๑ หากxxxxxxมีการกําหนดไว้เป็นอย่างอื่นในบันทึกข้อตกลงนี้ ให้ถ้อยคําในบันทึกข้อตกลงนี้มี ความหมายดังต่อไปนี้
“ข้อมูล” (data) หมายความว่า สิ่งที่สื่อความหมายให้รู้ข้อความ เรื่องราว ข้อเท็จจริง ความเห็น หรือสิ่งใด ๆ ไม่ว่าการสื่อความหมายนั้นจะทําได้โดยสภาพของสิ่งนั้นเองหรือโดยผ่านวิธีการใด ๆ และไม่ว่าจะ จัดทําไว้ในรูปของเอกสาร แฟ้ม รายงาน หนังสือ แผนผัง แผนที่ ภาพวาด ภาพถ่าย ฟิล์ม การบันทึกภาพหรือ เสียง การบันทึกโดยเครื่องคอมพิวเตอร์ หรือวิธีอื่นใดที่ทําให้สิ่งที่บันทึกไว้ปรากฏได้ และให้หมายความรวมถึง ข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ด้วย
“ข้อมูลส่วนบุคคล” (personal data) หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทําให้xxxxxxระบุ ตัวบุคคลนั้นxxx xxxว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
“เจ้าของข้อมูลส่วนบุคคล” (data subject) หมายความว่า บุคคลธรรมดาซึ่งข้อมูลส่วนบุคคล เป็นข้อมูลเกี่ยวกับผู้นั้น และxxxxxxระบุตัวบุคคลนั้นxxx xxxว่าทางตรงหรือทางอ้อม และให้หมายความรวมถึง
-๒-
ผู้ใช้อํานาจxxxxxxxxxมีอํานาจกระทําการแทนผู้เยาว์ ผู้อนุบาลที่มีอํานาจกระทําการแทนคนไร้ความสามารถ หรือผู้xxxxxxxxxxมีอํานาจกระทําการแทนxxxxxxxxxxxxxxxxxxxxxด้วย
“การxxxxxxผลข้อมูล” (data processing) หมายความว่า การกระทําอย่างหนึ่งหรือหลายอย่างxxx xxxกระทําต่อข้อมูลหรือชุดข้อมูล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ก็ตาม ซึ่งรวมxxxxxxเก็บรวบรวม (collection) การบันทึก (recording) การจัดระบบ (organization) การจัดโครงสร้าง (structuring) การจัดเก็บหรือเก็บรักษา (storage) การดัดแปลงหรือการเปลี่ยนแปลงแก้ไข (adaptation or alteration) การค้นคืน (retrieval) การ ปรึกษา (consultation) การใช้ (use) การเปิดเผยโดยการส่งผ่าน การเผยแพร่ หรือการทําให้พร้อมใช้งานโดย วิธีการอื่นใด (disclosure by transmission, dissemination or otherwise making available) การปรับแนว หรือการรวมเข้ากัน (alignment or combination) การจํากัด (restriction) การลบ (erasure) และการทําลาย (destruction)
“การลบ” (erasure) หมายความว่า การทําให้ข้อมูลส่วนบุคคลนั้นถูกลบออกจากระบบและxxx xxxกู้คืนได้ โดยเจ้าของข้อมูลส่วนบุคคลหรือคู่สัญญาฝ่ายหนึ่งฝ่ายใด ทั้งนี้ ไม่ว่าในเวลาใด ๆ
“ภัยคุกคามทางไซเบอร์” (cyber threat) หมายความว่า การกระทําหรือการดําเนินการใด ๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงxxxxxxxโดยมุ่งหมายให้xxxxxxx ประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึง ที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทํางานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่น ที่เกี่ยวข้อง
“การละเมิดข้อมูลส่วนบุคคล” (personal data breach) หมายความว่า การละเมิดมาตรการ ด้านความมั่นคงปลอดภัย ที่นําไปสู่การทําลาย (destruction) การสูญหาย (loss) การเปลี่ยนแปลงแก้ไข (alteration) การเปิดเผยโดยมิชอบหรือโดยปราศจากอํานาจ (unauthorized disclosure) หรือการเข้าถึง (access) ข้อมูลส่วนบุคคลxxxxxxรับการส่งผ่าน (transmitted) การจัดเก็บ (stored) หรือการxxxxxxผลโดย วิธีการอื่นใด (otherwise processed) ที่เกิดขึ้นโดยอุบัติเหตุ (accidental) หรือโดยมิชอบด้วยกฎหมาย (unlawful) xxxxxxxเกิดxxxxxxคุกคามทางไซเบอร์ หรือเกิดจากการกระทําของบุคคลภายในหรือภายนอก หรือ เหตุอื่นใด และหมายความรวมxxxxxxละเมิดข้อมูลส่วนบุคคลตามบทxxxxxxxxก˚าหนดในประกาศ
คณะกรรมการคุ้มครองขอ
มูลส่วนบุคคลทอ
อกตามบทบญ
ญตแ
ห่งกฎหมายว่าด้วยการคุ้มครองข้อมูล
ส่วนบุคคลดว
ย
“บันทึกข้อตกลง” หมายความว่า บันทึกข้อตกลงการxxxxxxผลข้อมูลและเอกสารแนบท้าย
บันทึกข้อตกลงนี้ (ถ้ามี)
“สัญญา” หมายความว่า สัญญา ฉบับลง
xxxxxx ......................................
-๓-
ขอบเขตการบังคับใช
ข้อ ๒ บันทึกข้อตกลงนี้ ใช้บังคับกับการxxxxxxผลข้อมูลส่วนบุคคลระหว่างบริษัทฯ และคณะฯ เพื่อให้มีการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสม และกําหนดหน้าที่ความรับผิดชอบของคู่สัญญาอย่าง เหมาะสม และเพื่อให้การดําเนินการxxxxxxxx เป็นไป
ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยบันทึกข้อตกลงนี้ถือเป็นส่วนหนึ่งของสัญญา
.................................................................................. และให้มีผลใช้บังคับตั้งแต่xxxxxx ถึงxxxxxx
.....................................
ความxxxxxxxxระหว่างคู่สัญญา
ข้อ ๓ ในการxxxxxxผลข้อมูลส่วนบุคคลxxxxxxxxและบันทึกข้อตกลงนี้
คณะฯ จะอยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (controller) ตลอดระยะเวลาของสัญญา และมี อํานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยคณะฯ ในฐานะผู้ควบคุม ข้อมูลส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี
บริษัทฯ จะอยู่ในฐานะผู้xxxxxxผลข้อมูลส่วนบุคคล (processor) ตลอดระยะเวลาของสัญญา และดําเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของคณะฯ และ ไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคลในขอบเขตของสัญญาและบันทึกข้อตกลงนี้ โดยบริษัทฯ ในฐานะผู้xxxxxxผล ข้อมูลส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี
การxxxxxxผลข้อมูลส่วนบุคคล
ข้อ ๔ คณะฯ ตระหนักและยอมรับว่า การ xxxxxxxx
.................................................................................. และบันทึกข้อตกลงนี้ ถือเป็นการมีคําสั่งให้บริษัทฯ อาจ ทําการxxxxxxผลข้อมูลส่วนบุคคลดังต่อไปนี้ไม่ว่าทั้งหมดหรือเพียงบางส่วน เท่าที่จําเป็นเพื่อการดําเนินการ xxxxxxxxหรือตามกฎหมาย
- ข้อมูล ...........................................................................
- ข้อมูล ...........................................................................
- ข้อมูล ...........................................................................
- ข้อมูล ...........................................................................
- ข้อมูล ...........................................................................
- ข้อมูลส่วนบุคคลอื่นxxxxxxมีการxxxxxxผลข้อมูลส่วนบุคคล เพื่อให้เป็นไปxxxxxxxxและบันทึก
ข้อตกลงนี้
-๔-
ข้อ ๕ บริษัทฯ จะทําการxxxxxxผลข้อมูลส่วนบุคคลตามข้อ ๔ เฉพาะเพื่อให้xxxxxวัตถุประสงค์ของ สัญญาและกระบวนการอื่น ๆ ที่เกี่ยวข้องเท่านั้น ซึ่งรวมถึงกรณีใดกรณีหนึ่งต่อไปนี้
(๑) เมื่อ xxxxxxxxxในการxxxxxxผลข้อมูลส่วนบุคคลที่สอดคล้อง
กับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลดังในตาราง โดยถือxxxxxxxxxxคณะฯ มีคําสั่งให้บริษัทฯ อาจทํา การxxxxxxผลข้อมูลส่วนบุคคลตามข้อ ๔ ได้
วัตถุประสงค์ | ฐานในการxxxxxxผลข้อมูลส่วนบุคคล |
(ก) | |
(ข) |
(๒) เมื่อบุคลากร พนักงาน หรือลูกจ้างของคณะฯ ที่มีอํานาจหน้าที่เกี่ยวกับการปฏิบัติxxxxxxxxได้ มีคําสั่งที่ชอบด้วยกฎหมายให้บริษัทฯ ดําเนินการ และเป็นคําสั่งxxxxxxเกินวัตถุประสงค์ของสัญญา
(๓) เมื่อบริษัทฯ ได้รับคําสั่งที่เป็นลายลักษณ์xxxxxจากคณะฯ และเป็นคําสั่งxxxxxxเกินวัตถุประสงค์
ของสัญญา
(๔) เมื่อบริษัทฯ มีเหตุจําเป็นต้องทําการxxxxxxผลข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามกฎหมาย
หรือกรณีอื่นที่xxxxxxกระทําได้ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยจะต้องแจ้งให้คณะฯ ทราบ โดยxxxxxxxxxด้วย
ข้อ ๖ ในกรณีที่บริษัทฯ พิจารณาแล้วเห็นว่า การออกคําสั่งให้ทําการxxxxxxผลข้อมูลส่วนบุคคล
ตามข้อ ๕ นั้น เป็นการออกคําสั่งที่ขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายว่า ด้วยการคุ้มครองข้อมูลส่วนบุคคล หรืออยู่นอกเหนือไปจากวัตถุประสงค์ของสัญญา บริษัทฯ จะไม่ทําการ xxxxxxผลข้อมูลส่วนบุคคลตามคําสั่งนั้น โดยxxxxxxxxxเป็นการกระทําผิดสัญญาหรือบันทึกข้อตกลงนี้ และบริษัทฯ xxxxxxให้คณะฯ ทราบโดยxxxx
ในกรณีที่บริษัทฯ ทําการxxxxxxผลข้อมูลส่วนบุคคลตามข้อ ๕ (๑) (๒) หรือ (๓) และ ปรากฏข้อเท็จจริงว่าการxxxxxxผลข้อมูลส่วนบุคคลดังกล่าวขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครอง ข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ความรับผิดในความเสียหายหรือการ กระทําดังกล่าวให้เป็นไปตามบันทึกข้อตกลงนี้
ข้อ ๗ เพื่อให้บริษัทฯ xxxxxxทําการxxxxxxผลข้อมูลส่วนบุคคลxxxxxxxxอย่างถูกต้องตาม
กฎหมาย คณะฯ ตกลงและรับรองว่า ก่อนการเปิดเผยข้อมูลส่วนบุคคลให้แก่บริษัทฯ และก่อนหรือในขณะที่ บริษัทฯ จะทําการxxxxxxผลข้อมูลส่วนบุคคลตามข้อ ๕ คณะฯ ได้พิจารณาแล้วว่า การxxxxxxผลข้อมูลส่วน บุคคลดังกล่าว xxxxxในการxxxxxxผลข้อมูลส่วนบุคคล (lawful basis for processing personal data) ที่ สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และในกรณีที่ต้องได้รับความยินยอมจากเจ้าของ ข้อมูลส่วนบุคคล คณะฯ รับรองว่า คณะฯ ได้ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลและได้รับความยินยอม โดยชอบด้วยกฎหมายแล้ว ทั้งนี้ เว้นแต่จะเป็นข้อมูลส่วนบุคคลที่คณะฯ ได้เก็บรวบรวมไว้ก่อนxxxxxxกฎหมายว่า
-๕-
ด้วยการคุ้มครองข้อมูลส่วนบุคคลใช้บังคับ ซึ่งxxxxxxเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ตาม วัตถุประสงค์เดิม
ข้อ ๘ คณะฯ รับทราบและตกลงที่จะปฏิบัติหน้าที่ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วน
บุคคลกําหนดให้เป็นหน้าที่ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล ตลอดจนหน้าที่ความรับผิดชอบตาม กฎหมายอื่น ซึ่งรวมถึง
(๑) การแจ้งรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล (privacy notice)
(๒) การxxxxxxผลข้อมูลส่วนบุคคลตามวัตถุประสงค์xxxxxxแจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือใน ขณะที่เก็บรวบรวม
(๓) การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง (๔) การใช้หรือเปิดเผยข้อมูลส่วนบุคคล
(๕) การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ
(๖) การดําเนินการที่เกี่ยวกับxxxxxของเจ้าของข้อมูลส่วนบุคคล
(๗) การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ และการทบทวนมาตรการ ดังกล่าวเมื่อมีความจําเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคง ปลอดภัยที่เหมาะสม ทั้งนี้ ต้องเป็นไปตามมาตรฐานขั้นต่ําที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศ กําหนด
(๘) การดําเนินการเพื่อป้องกันมิให้บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือ เปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่ผู้นั้น
(๙) การจัดให้มีระบบการตรวจสอบเพื่อดําเนินการลบหรือทําลายข้อมูลส่วนบุคคลเมื่อพ้นกําหนด ระยะเวลาการเก็บรักษา หรือxxxxxxเกี่ยวข้องหรือเกินความจําเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วน บุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่จะ เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
(๑๐) การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือเจ้าของข้อมูลส่วนบุคคล โดยxxxxxxxxx ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนดให้ ดําเนินการ
(๑๑) การแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล (เฉพาะกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลอยู่ นอกราชอาณาจักร)
-๖-
(๑๒) การจัดทําบันทึกรายการ (record of processing activities) เพื่อให้เจ้าของข้อมูลส่วนบุคคล และสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลxxxxxxตรวจสอบได้
(๑๓) การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล การแจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลและสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ และการ สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลกําหนดให้ดําเนินการ
ข้อ ๙ บริษัทฯ รับทราบและตกลงที่จะปฏิบัติหน้าที่ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วน
บุคคลกําหนดให้เป็นหน้าที่ความรับผิดชอบของผู้xxxxxxผลข้อมูลส่วนบุคคล ตลอดจนหน้าที่ความรับผิดชอบตาม กฎหมายอื่น ซึ่งรวมถึง
(๑) การดําเนินการเกี่ยวกับการxxxxxxผลข้อมูลส่วนบุคคลตามคําสั่งxxxxxxรับจากผู้ควบคุมข้อมูลส่วน บุคคลเท่านั้น เว้นแต่คําสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล
(๒) การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ รวมทั้งการแจ้งให้ผู้ควบคุม ข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
(๓) การจัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการxxxxxxผลข้อมูลส่วนบุคคลไว้ ตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
(๔) การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล การแจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลและสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ และการ สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลกําหนดให้ดําเนินการ
ผู้xxxxxxผลข้อมูลส่วนบุคคลช่วง
ข้อ ๑๐ เพื่อประโยชน์ในการปฏิบัติxxxxxxxx เมื่อมีความจําเป็น บริษัทฯ อาจมอบหมายงาน เกี่ยวกับการxxxxxxผลข้อมูลส่วนบุคคลทั้งหมดหรือแต่บางส่วนให้บุคคลอื่น (“ผู้xxxxxxผลข้อมูลส่วนบุคคล ช่วง”) ดําเนินการแทนหรือช่วยสนับสนุนในการดําเนินการได้ ทั้งนี้ บริษัทฯ ยังต้องเป็นผู้รับผิดชอบในงานxxxxxx มอบหมายไปxxxxxxxxและบันทึกข้อตกลงนี้ รวมถึงจะต้องดําเนินการให้ผู้xxxxxxผลข้อมูลส่วนบุคคลช่วง รับทราบและปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และสัญญาและบันทึกข้อตกลงนี้ รวมทั้ง จะต้องดําเนินการให้ผู้xxxxxxผลข้อมูลส่วนบุคคลช่วงมีหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลและจัดให้มี
-๗-
มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมในระดับxxxxxxต่ํากว่าหน้าที่ความรับผิดชอบของบริษัทฯ ตาม บันทึกข้อตกลงนี้
การขอใช้xxxxxของเจ้าของข้อมูลส่วนบุคคลและการปฏิบัติตามกฎหมาย
ข้อ ๑๑ บริษัทฯ จะให้ความร่วมมือ ช่วยเหลือ และสนับสนุนให้คณะฯ xxxxxxเข้าถึงข้อมูลส่วน บุคคลของเจ้าของข้อมูลส่วนบุคคลและตอบxxxxต่อคําขอของเจ้าของข้อมูลส่วนบุคคลที่เป็นการขอใช้xxxxxของ เจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลได้ภายในเวลาอันxxxxx
ข้อ ๑๒ ในกรณีที่บริษัทฯ ได้รับคําขอจากเจ้าของข้อมูลส่วนบุคคลที่เป็นการขอใช้xxxxxของ
เจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล บริษัทฯ ต้องแจ้งให้คณะฯ ทราบ และส่งคําขอนั้นต่อไปยังคณะฯ โดยxxxxxxxxx โดยจะไม่ทําการตอบxxxxต่อคําขอดังกล่าวเอง เว้นแต่จะมีการ ตกลงไว้เป็นอย่างอื่น
ข้อ ๑๓ คู่สัญญาจะให้ความร่วมมือ ช่วยเหลือ และสนับสนุนการดําเนินการที่เกี่ยวข้องของ
คู่สัญญาอีกฝ่ายหนึ่งตามxxxxx เพื่อให้คู่สัญญาอีกฝ่ายหนึ่งนั้นxxxxxxปฏิบัติให้เป็นไปตามกฎหมายและ พันธกรณีต่าง ๆ ได้ หรือในกรณีที่มีคําสั่งโดยชอบด้วยกฎหมายจากหน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐ เกี่ยวกับหน้าที่ของคู่สัญญา หรือเพื่อพิสูจน์ว่าxxxxxxxxxxxปฏิบัติตามที่กฎหมายกําหนดและตามที่กําหนดใน สัญญาและบันทึกข้อตกลงนี้ ในส่วนที่เกี่ยวกับการxxxxxxผลข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วน บุคคล
มาตรการรักษาความมั่นคงปลอดภัย
ข้อ ๑๔ บริษัทฯ มีหน้าที่จัดให้มีและธํารงรักษาไว้ซึ่งมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม xxxxxxxเป็นมาตรการด้านการบริหารจัดการขององค์กร มาตรการด้านกายภาพ มาตรการด้านเทคนิค และมาตรการอื่น ๆ ที่จําเป็น เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจาก อํานาจหรือโดยมิชอบ สําหรับการxxxxxxผลข้อมูลส่วนบุคคลxxxxxxxxและบันทึกข้อตกลงนี้ โดยจะต้องเป็นไป ตามมาตรฐานขั้นต่ําที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกําหนด
ข้อ ๑๕ ในการกําหนดมาตรการตามข้อ ๑๔ ให้บริษัทฯ คํานึงถึงหลักการบริหารความเสี่ยง โดยอย่าง
น้อยต้องประกอบด้วยวิธีการและมาตรการ ดังต่อไปนี้ เท่าที่จําเป็นและเหมาะสมกับบริบท
(๑) Identify: การระบุความเสี่ยงxxxxxxจะเกิดขึ้นแก่คอมพิวเตอร์ ข้อมูลxxxxxxxเป็นข้อมูล อิเล็กทรอนิกส์และข้อมูลในรูปแบบอื่น ระบบคอมพิวเตอร์ ข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ ทรัพย์สิน และชีวิตร่างกายของบุคคล ในส่วนที่เกี่ยวข้องกับการxxxxxxผลข้อมูลส่วนบุคคล
(๒) Protect: มาตรการป้องกันความเสี่ยงxxxxxxจะเกิดขึ้น
บุคคล
-๘-
(๓) Detect: มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์และเหตุการละเมิดข้อมูลส่วน
(๔) Respond: มาตรการxxxxxเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์หรือเหตุการละเมิด
ข้อมูลส่วนบุคคล
(๕) Recover: มาตรการรักษาและฟื้นฟูความxxxxxxxxxxเกิดxxxxxxคุกคามทางไซเบอร์หรือเหตุการ ละเมิดข้อมูลส่วนบุคคล
ข้อ ๑๖ มาตรการป้องกันความเสี่ยงของบริษัทฯ ตามข้อ ๑๕ (๒) ควรประกอบด้วยมาตรการอย่าง
น้อยดังนี้ ในส่วนที่เกี่ยวกับระบบสารสนเทศที่มีการxxxxxxผลข้อมูลส่วนบุคคล เท่าที่xxxxxxจะกระทําได้
(๑) มาตรการรักษาความมั่นคงปลอดภัยด้านการบริหารจัดการ (administrative security) ซึ่งรวมxxx xxxกําหนดและสื่อสารนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย ของระบบสารสนเทศ และการบริหารจัดการความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
(๒) มาตรการรักษาความมั่นคงปลอดภัยด้านกายภาพ (physical security) ของอุปกรณ์และ ส่วนประกอบของระบบสารสนเทศและข้อมูลที่จัดเก็บ
(๓) มาตรการรักษาความมั่นคงปลอดภัยด้านผู้ใช้งาน (user security) ซึ่งรวมxxxxxxฝึกอบรมและ สร้างเสริมความตระหนักรู้และการด้านความสําคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคง ปลอดภัย (security awareness training) แก่บุคลากร พนักงาน ลูกจ้าง หรือบุคคลอื่น ที่เป็นผู้ใช้งานหรือ ผู้เกี่ยวข้องกับระบบสารสนเทศและข้อมูลส่วนบุคคล การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ที่ใช้ในการ จัดเก็บและการxxxxxxผลข้อมูลส่วนบุคคล (access control) การกําหนดxxxxxในการเข้าถึงข้อมูลส่วนบุคคลหรือ ระบบสารสนเทศ และการบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) โดยคํานึงถึงบทบาท หน้าที่ ความจําเป็นในการใช้งาน และความมั่นคงปลอดภัยเป็นสําคัญ การกําหนดหน้าที่ความรับผิดชอบของ ผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยxxxxxxรับอนุญาต การเปิดเผย การxxxxxxx หรือการลักลอบทําสําเนาข้อมูลส่วนบุคคล หรือการลักขโมยอุปกรณ์ที่ใช้ในการจัดเก็บหรือการxxxxxxผลข้อมูล ส่วนบุคคล และการจัดให้มีวิธีการเพื่อให้xxxxxxตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่าย โอนข้อมูลส่วนบุคคล (audit trails) ให้เหมาะสม
(๔) มาตรการรักษาความมั่นคงปลอดภัยด้านข้อมูล (data security) ซึ่งรวมถึงมาตรการควบคุมการ เข้าถึงข้อมูลที่เก็บรักษาไว้อย่างเหมาะสม และการสํารองข้อมูล
(๕) มาตรการรักษาความมั่นคงปลอดภัยด้านระบบสารสนเทศ (systems security) ซึ่งรวมxxxxxx ปรับปรุงระบบปฏิบัติการและแอปพลิเคชันของเครื่องคอมพิวเตอร์แม่ข่าย (server) ให้เป็นปัจจุบันอยู่xxxx xxxตั้ง ค่าความมั่นคงปลอดภัย (security configurations) ที่เหมาะสม การมีระบบสํารอง และการป้องกันภัยคุกคาม จากมัลแวร์
-๙-
(๖) มาตรการรักษาความมั่นคงปลอดภัยด้านสินทรัพย์สารสนเทศ (asset security) ซึ่งรวมถึงความ มั่นคงปลอดภัยทางกายภาพและการปรับปรุงระบบปฏิบัติการและแอปพลิเคชันของเครื่องคอมพิวเตอร์ลูกข่ายและ อุปกรณ์ต่าง ๆ (endpoints) ที่ใช้งานระบบสารสนเทศให้เป็นปัจจุบันอยู่เสมอ และการป้องกันภัยคุกคาม จากมัลแวร์
(๗) มาตรการรักษาความมั่นคงปลอดภัยด้านซอฟต์แวร์และแอปพลิเคชัน (software and application security) ซึ่งรวมxxxxxxออกแบบและทดสอบความมั่นคงปลอดภัยของซอฟต์แวร์และแอปพลิเคชัน การประเมินและกํากับดูแลกระบวนการพัฒนาซอฟต์แวร์ (software development process) ที่เหมาะสมโดย คํานึงถึงความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ ไม่ว่าจะเป็นซอฟต์แวร์หรือแอปพลิเคชันที่พัฒนาเอง หรือ นํามาใช้จากภายนอก หรือให้บุคคลภายนอกพัฒนาให้ก็ตาม รวมทั้งกระบวนการบําxxxxxxxx (maintenance) ซอฟต์แวร์และแอปพลิเคชันที่เหมาะสม
(๘) มาตรการรักษาความมั่นคงปลอดภัยด้านการสื่อสารและระบบเครือข่าย (communication and network security) ซึ่งรวมถึงความมั่นคงปลอดภัยทางกายภาพของอุปกรณ์ในระบบเครือข่าย การออกแบบและ บริหารจัดการระบบเครือข่ายที่เหมาะสม การควบคุมการจราจรของข้อมูลในระบบเครือข่ายโดยใช้ firewall การมี ระบบป้องกันการโจมตี (intrusion prevention system) การปรับปรุงเฟิร์มแวร์ (firmware) และซอฟต์แวร์ของ อุปกรณ์ในระบบเครือข่ายให้เป็นปัจจุบัน และการเข้ารหัส (encryption) ของข้อมูลที่มีความxxxxxxxxxที่ส่งผ่านระบบ เครือข่าย
ข้อ ๑๗ บริษัทฯ จะต้องทบทวนมาตรการตามข้อ ๑๔ ข้อ ๑๕ และข้อ ๑๖ เมื่อมีความจําเป็นหรือ
เมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม โดยคํานึงถึง ความxxxxxxxxทางเทคโนโลยี ค่าใช้จ่ายในการดําเนินการ ลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการ xxxxxxผลข้อมูลประกอบกัน
ข้อ ๑๘ บริษัทฯ จะใช้ความxxxxxxตามxxxxxให้การเข้าถึงและการxxxxxxผลข้อมูลส่วน
บุคคลจํากัดเฉพาะบุคลากร พนักงาน และลูกจ้างของบริษัทฯ หรือบุคคลxxxxxxรับมอบหมาย ซึ่งมีความจําเป็น ในการเข้าถึงหรือการxxxxxxผลข้อมูลส่วนบุคคลตามหลักความจําเป็นในการเข้าถึงข้อมูล (need-to-know basis) เพื่อดําเนินการให้เป็นไปxxxxxxxxและบันทึกข้อตกลงนี้หรือเพื่อปฏิบัติการอื่นที่เป็นไปตามกฎหมาย เท่านั้น และดําเนินการให้บุคคลดังกล่าวรักษาความลับในการxxxxxxผลข้อมูลส่วนบุคคล และปฏิบัติตาม หน้าที่ความรับผิดชอบของบริษัทฯ ในสัญญาและบันทึกข้อตกลงนี้
ข้อ ๑๙ คณะฯ มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการ
สูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ สําหรับ การxxxxxxผลข้อมูลส่วนบุคคลในส่วนที่อยู่นอกเหนือความควบคุมและความรับผิดชอบของบริษัทฯ ตลอดจน การxxxxxxผลข้อมูลส่วนบุคคลที่คณะฯ ดําเนินการ หรือบุคคลอื่นดําเนินการในนามคณะฯ เพื่อเปิดเผยโดย
-๑๐-
การส่งผ่าน การเผยแพร่ หรือการทําให้พร้อมใช้งานโดยวิธีการอื่นใด ให้แก่บริษัทฯ ก่อนที่บริษัทฯ จะทําการ xxxxxxผลข้อมูลส่วนบุคคลนั้นในส่วนของตน
เหตุการละเมิดข้อมูลส่วนบุคคล (Personal Data Breaches)
ข้อ ๒๐ บริษัทฯ มีหน้าที่xxxxxxxดูแลและมีมาตรการตรวจสอบและเฝ้าระวัง (detective measures) การกระทําxxxxxxมีลักษณะเป็นการเข้าถึงหรือการxxxxxxผลข้อมูลส่วนบุคคลโดยปราศจาก อํานาจหรือโดยมิชอบตามxxxxx และเมื่อทราบเหตุการละเมิดข้อมูลส่วนบุคคล บริษัทฯ มีหน้าที่ตอบxxxx ต่อเหตุดังกล่าวในเบื้องต้นตามxxxxxเพื่อลดความเสี่ยงหรือผลกระทบจากเหตุดังกล่าว ตลอดจนเพื่อรวบรวม ข้อมูลจราจรทางคอมพิวเตอร์และพยานหลักฐานที่เกี่ยวข้องสําหรับการดําเนินการต่อไป
ข้อ ๒๑ บริษัทฯ มีหน้าที่แจ้งให้คณะฯ ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นจากการ
xxxxxxผลข้อมูลส่วนบุคคลในความรับผิดชอบของบริษัทฯ โดยxxxxxxxxx ภายในสี่สิบแปดชั่วโมงนับแต่ทราบ เหตุเท่าที่จะxxxxxxกระทําได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อxxxxxและเสรีภาพ ของบุคคล โดยอย่างน้อยจะต้องให้ข้อมูลต่อไปนี้แก่คณะฯ เป็นลายลักษณ์xxxxxโดยเร็วเท่าที่จะxxxxxx กระทําได้
เป็นไปได้)
(๑) รายละเอียดของเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น และผลxxxxxxเกิดขึ้น (๒) การดําเนินการxxxxxxกระทําไปเพื่อตอบxxxxต่อเหตุดังกล่าว
(๓) ประเภทของข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเหตุดังกล่าว (หาก
(๔) ความเห็นต่อเหตุดังกล่าวและมาตรการที่ควรดําเนินการต่อไป
ข้อ ๒๒ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วน
บุคคล และ/หรือเจ้าของข้อมูลส่วนบุคคล เป็นหน้าที่ความรับผิดชอบของคณะฯ ในฐานะผู้ควบคุมข้อมูลส่วน บุคคล โดยบริษัทฯ ในฐานะผู้xxxxxxผลข้อมูลส่วนบุคคล จะต้องให้ความร่วมมืออย่างเต็มที่เพื่อให้คณะฯ xxxxxxดําเนินการดังกล่าว รวมทั้งการดําเนินการทางกฎหมายอย่างอื่นที่เกี่ยวข้องได้
ข้อ ๒๓ หลังเกิดเหตุการละเมิดข้อมูลส่วนบุคคล คู่สัญญามีหน้าที่รับผิดชอบดําเนินการในส่วน
ของตน เพื่อเยียวยาผู้xxxxxxxxกระทบจากเหตุดังกล่าว และทบทวนและพิจารณาปรับปรุงมาตรการรักษาความ มั่นคงปลอดภัยเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสมและเพียงพอ
ข้อ ๒๔ คู่สัญญามีหน้าที่ให้ความร่วมมือ ช่วยเหลือ และสนับสนุนการดําเนินการที่เกี่ยวข้องของ
คู่สัญญาอีกฝ่ายหนึ่งตามxxxxx เพื่อให้คู่สัญญาอีกฝ่ายหนึ่งนั้นxxxxxxป้องกัน เฝ้าระวัง ตรวจสอบ ตอบxxxx แก้ไข และฟื้นฟูจากเหตุการละเมิดข้อมูลส่วนบุคคล ตลอดจนเก็บรวบรวมข้อมูลจราจรทางคอมพิวเตอร์และ พยานหลักฐานที่เกี่ยวข้อง และดําเนินการตามกฎหมายที่เกี่ยวข้องในส่วนของตนได้
-๑๑-
การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ (Cross-Border Data Transfer)
ข้อ ๒๕ บริษัทฯ จะไม่ส่งหรือโอน (transfer) ข้อมูลส่วนบุคคลไปต่างประเทศหรือองค์การ ระหว่างประเทศ เว้นแต่จะได้รับความยินยอมจากคณะฯ เป็นลายลักษณ์xxxxx หรือเป็นไปตามกฎหมายว่า ด้วยการคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ ไม่รวมxxxxxxส่งผ่าน (transit) ข้อมูลส่วนบุคคลในต่างประเทศ ที่ไม่มี การเข้าถึงข้อมูลส่วนบุคคลโดยบุคคลอื่นนอกเหนือจากบุคลากร พนักงาน และลูกจ้างของบริษัทฯ หรือผู้ xxxxxxผลข้อมูลส่วนบุคคลช่วง
การลบและการเก็บรักษาข้อมูลส่วนบุคคล
ข้อ ๒๖ บริษัทฯ มีหน้าที่ดําเนินการลบหรือทําลาย หรือทําให้ข้อมูลส่วนบุคคลตามบันทึก ข้อตกลงนี้ เป็นข้อมูลxxxxxxxxxxxxระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ภายในเวลา ปี นับแต่
xxxxxxสัญญาสิ้นสุดลง หรือเมื่อไม่มีความจําเป็นต้องทําการxxxxxxผลข้อมูลส่วนบุคคลดังกล่าวอีกต่อไป หรือ กรณีที่มีเหตุอื่นตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เว้นแต่จะได้รับอนุญาตเป็นลายลักษณ์xxxxx จากคณะฯ ให้เก็บรักษาข้อมูลดังกล่าวไว้นานกว่านั้น และคณะฯ อาจขอให้บริษัทฯ แสดงหลักฐานตามxxxxx เพื่อพิสูจน์การดําเนินการ หรือมีหนังสือยืนยันและรับรองว่าได้ดําเนินการดังกล่าวแล้ว
ข้อ ๒๗ บริษัทฯ อาจเก็บรักษาข้อมูลส่วนบุคคลไว้เพื่อการก่อตั้งxxxxxเรียกร้องตามกฎหมาย การ
ปฏิบัติตามหรือการใช้xxxxxเรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้xxxxxเรียกร้องตามกฎหมาย หรือเพื่อการ ปฏิบัติตามกฎหมาย xxxxxxขัดต่อกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
ข้อ ๒๘ บริษัทฯ อาจเก็บรักษาข้อมูลส่วนบุคคลเท่าที่จําเป็นเพื่อแสดงxxxxxxปฏิบัติxxxxxxxx
และบันทึกข้อตกลงนี้ได้
ข้อ ๒๙ เมื่อสัญญาสิ้นสุดลง หรือก่อนที่บริษัทฯ จะดําเนินการลบหรือทําลาย หรือทําให้ข้อมูล ส่วนบุคคลตามบันทึกข้อตกลงนี้ เป็นข้อมูลxxxxxxxxxxxxระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ คณะฯ อาจแจ้งให้บริษัทฯ ส่งสําเนาข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ให้แก่คณะฯ ได้ โดยไม่กระทบต่อxxxxxและ หน้าที่ของบริษัทฯ ในการเก็บรักษาข้อมูลไว้ตามความจําเป็นตามบันทึกข้อตกลงนี้ โดยหน้าที่ในการปฏิบัติการ ให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่น ต่อการxxxxxxผลข้อมูลส่วน บุคคลของข้อมูลส่วนบุคคลที่บริษัทฯ ส่งให้คณะฯ เป็นความรับผิดชอบของคณะฯ เอง
ข้อ ๓๐ เมื่อสัญญาสิ้นสุดลง และ/หรือบันทึกข้อตกลงนี้สิ้นสุดลง ในระหว่างที่บริษัทฯ ยังxxxxxx
ดําเนินการลบหรือทําลาย หรือทําให้ข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ เป็นข้อมูลxxxxxxxxxxxxระบุตัว บุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ตามข้อ ๒๖ ให้บริษัทฯ ยังมีหน้าที่ความรับผิดชอบตามบันทึกข้อตกลง
-๑๒-
นี้เท่าที่จําเป็นและไม่ขัดกับกฎหมาย เพื่อประโยชน์ในการคุ้มครองข้อมูลส่วนบุคคลที่บริษัทฯ รับผิดชอบใน ฐานะผู้xxxxxxผลข้อมูลส่วนบุคคล
ขอบเขตของความรับผิด
ข้อ ๓๑ เว้นแต่จะกําหนดไว้เป็นอย่างอื่น บริษัทฯ ไม่ต้องรับผิดในความเสียหายหรือการกระทํา อันเกิดจากการปฏิบัติตามบันทึกข้อตกลงนี้ หรือตามคําสั่งของคณะฯ เพื่อให้xxxxxวัตถุประสงค์ในการ xxxxxxผลข้อมูลส่วนบุคคลxxxxxxxx
ข้อ ๓๒ ในกรณีที่บริษัทฯ ต้องรับผิดชดใช้ค่าเสียหายหรือชําระค่าปรับ อันเนื่องมาจากการปฏิบัติ
ตามบันทึกข้อตกลง หรือตามคําสั่งของคณะฯ เพื่อให้xxxxxวัตถุประสงค์ในการxxxxxxผลข้อมูลส่วนบุคคล xxxxxxxx ไม่ว่าจะด้วยเหตุใดก็ตาม บริษัทฯ มีxxxxxเรียกร้องให้คณะฯ ชดใช้เงินจํานวนดังกล่าวให้แก่บริษัทฯ เว้นแต่จะพิสูจน์ได้ว่าความรับผิดดังกล่าวเป็นการกระทําผิดโดยxxxxxหรือเป็นความบกพร่องของบริษัทฯ เอง หรือผู้xxxxxxผลข้อมูลส่วนบุคคลช่วงของบริษัทฯ
การเปลี่ยนแปลงแก้ไขบันทึกข้อตกลง
ข้อ ๓๓ กรณีที่จําเป็นต้องมีการเปลี่ยนแปลงแก้ไขบันทึกข้อตกลงเพื่อให้คู่สัญญาxxxxxxทําการ xxxxxxผลข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลต่อไปได้อย่างเหมาะสมและมี ประสิทธิภาพ ให้xxxxxxxxxxxxxxxxxxxxxxจะแก้ไขเพิ่มเติมบันทึกข้อตกลงนี้ แจ้งให้อีกฝ่ายทราบล่วงหน้าเป็นเวลา ไม่น้อยกว่า ๓๐ วัน และเมื่อทั้งสองฝ่ายให้ความยินยอมในการแก้ไขเพิ่มเติมแล้ว ให้จัดทําบันทึกข้อตกลงฉบับ แก้ไขเพิ่มเติมเป็นหนังสือ และลงนามผูกพันโดยผู้มีอํานาจลงนามผูกพันนิติบุคคล และให้xxxxxxการแก้ไขเพิ่มเติม ดังกล่าวเป็นส่วนหนึ่งของบันทึกข้อตกลงนี้ โดยให้มีผลใช้บังคับตั้งแต่xxxxxxลงนามในบันทึกข้อตกลงฉบับแก้ไข เพิ่มเติมนั้น เว้นแต่จะกําหนดเป็นอย่างอื่นในบันทึกข้อตกลงฉบับแก้ไขดังกล่าว
บันทึกข้อตกลงนี้ทําขึ้นสองฉบับมีข้อความถูกต้องตรงกัน ทั้งสองฝ่ายได้อ่านและเข้าใจบันทึก ข้อตกลงนี้โดยละเอียดตลอดแล้ว เห็นว่าตรงตามxxxxxxxxxxxxได้ให้ไว้ต่อกันทุกประการ จึงได้ลงลายมือชื่อไว้ เป็นสําคัญต่อหน้าพยานและแต่ละฝ่ายต่างได้ยึดถือไว้ฝ่ายละฉบับ
-๑๓-
บริษัท ........................................ ลงชื่อ บริษัทฯ (...............................................................................) ........................................................................ | มหาวิทยาลัยxxxxx ลงชื่อ คณะฯ (...............................................................................) ........................................................................ |
บริษัท ........................................ ลงชื่อ พยาน (...............................................................................) | ลงชื่อ พยาน (...............................................................................) |