บันทึกข้อตกลงการ▇▇▇▇▇▇ผลข้อมูล (Data Processing Agreement)

(กรณีคณะฯ เป็นผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล เวอร์ชนั ๓ ฉบับแก้ไข▇▇▇▇▇▇ ๘ ▇▇▇▇▇▇ ๒๕๖๖)

ทําที่ ..........................................................

▇▇▇▇▇▇ ............. เดือน .................. พ.ศ. ..............

บันทึกข้อตกลงนี้ทําขึ้นระหว่าง

บริษัท ........................................ มีสํานักงานตั้งอยู่ที่ ...................................................................

โดย ............................................................................... ตําแหน่ง........................................................................

เป็นผู้มีอํานาจลงนามผูกพัน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “บริษัทฯ” กับ มหาวิทยาลัย▇▇▇▇▇ (คณะ แพทยศาสตร์โรงพยาบาลรามาธิบดี) เลขที่ ๒๗๐ ถนนพระรามที่ ๖ แขวงทุ่งพญาไท เขตราชเทวี กรุงเทพมหานคร ๑๐๔๐๐ โดย ตําแหน่ง คณบดีคณะ

แพทยศาสตร์โรงพยาบาลรามาธิบดี เป็นผู้มีอํานาจลงนามผูกพัน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “คณะฯ” ตาม▇▇▇▇▇▇▇สองฝ่ายได้ทําสัญญา ฉบับลง▇▇▇▇▇▇

...................................... ทั้งสองฝ่ายจึงตกลงทําบันทึกข้อตกลงฉบับนี้ โดยให้บันทึกข้อตกลงฉบับนี้เป็นส่วน หนึ่งของสัญญาดังกล่าว ดังมีข้อความต่อไปนี้

บทนิยาม

ข้อ ๑ หาก▇▇▇▇▇▇มีการกําหนดไว้เป็นอย่างอื่นในบันทึกข้อตกลงนี้ ให้ถ้อยคําในบันทึกข้อตกลงนี้มี ความหมายดังต่อไปนี้

“ข้อมูล” (data) หมายความว่า สิ่งที่สื่อความหมายให้รู้ข้อความ เรื่องราว ข้อเท็จจริง ความเห็น หรือสิ่งใด ๆ ไม่ว่าการสื่อความหมายนั้นจะทําได้โดยสภาพของสิ่งนั้นเองหรือโดยผ่านวิธีการใด ๆ และไม่ว่าจะ จัดทําไว้ในรูปของเอกสาร แฟ้ม รายงาน หนังสือ แผนผัง แผนที่ ภาพวาด ภาพถ่าย ฟิล์ม การบันทึกภาพหรือ เสียง การบันทึกโดยเครื่องคอมพิวเตอร์ หรือวิธีอื่นใดที่ทําให้สิ่งที่บันทึกไว้ปรากฏได้ และให้หมายความรวมถึง ข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ด้วย

“ข้อมูลส่วนบุคคล” (personal data) หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทําให้▇▇▇▇▇▇ระบุ ตัวบุคคลนั้น▇▇▇ ▇▇▇ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“เจ้าของข้อมูลส่วนบุคคล” (data subject) หมายความว่า บุคคลธรรมดาซึ่งข้อมูลส่วนบุคคล เป็นข้อมูลเกี่ยวกับผู้นั้น และ▇▇▇▇▇▇ระบุตัวบุคคลนั้น▇▇▇ ▇▇▇ว่าทางตรงหรือทางอ้อม และให้หมายความรวมถึง ผู้ใช้อํานาจ▇▇▇▇▇▇▇▇▇มีอํานาจกระทําการแทนผู้เยาว์ ผู้อนุบาลที่มีอํานาจกระทําการแทนคนไร้ความสามารถ หรือผู้▇▇▇▇▇▇▇▇▇▇มีอํานาจกระทําการแทน▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇ด้วย

-๒-

“การ▇▇▇▇▇▇ผลข้อมูล” (data processing) หมายความว่า การกระทําอย่างหนึ่งหรือหลายอย่าง▇▇▇ ▇▇▇กระทําต่อข้อมูลหรือชุดข้อมูล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ก็ตาม ซึ่งรวม▇▇▇▇▇▇เก็บรวบรวม (collection) การบันทึก (recording) การจัดระบบ (organization) การจัดโครงสร้าง (structuring) การจัดเก็บ หรือเก็บรักษา (storage) การดัดแปลงหรือการเปลี่ยนแปลงแก้ไข (adaptation or alteration) การค้นคืน (retrieval) การปรึกษา (consultation) การใช้ (use) การเปิดเผยโดยการส่งผ่าน การเผยแพร่ หรือการทําให้ พ ร้ อมใช้ งาน โด ยวิ ธี ก ารอื่ น ใด (disclosure by transmission, dissemination or otherwise making available) การปรับแนวหรือการรวมเข้ากัน (alignment or combination) การจํากัด (restriction) การลบ (erasure) และการทําลาย (destruction)

“การลบ” (erasure) หมายความว่า การทําให้ข้อมูลส่วนบุคคลนั้นถูกลบออกจากระบบและ▇▇▇ ▇▇▇กู้คืนได้ โดยเจ้าของข้อมูลส่วนบุคคลหรือคู่สัญญาฝ่ายหนึ่งฝ่ายใด ทั้งนี้ ไม่ว่าในเวลาใด ๆ

“ภัยคุกคามทางไซเบอร์” (cyber threat) หมายความว่า การกระทําหรือการดําเนินการใด ๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึง▇▇▇▇▇▇▇โดยมุ่งหมายให้▇▇▇▇▇▇▇ ประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึง ที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทํางานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูล อื่นที่เกี่ยวข้อง

“การละเมิดข้อมูลส่วนบุคคล” (personal data breach) หมายความว่า การละเมิดมาตรการ ด้านความมั่นคงปลอดภัย ที่นําไปสู่การทําลาย (destruction) การสูญหาย (loss) การเปลี่ยนแปลงแก้ไข (alteration) การเปิดเผยโดยมิชอบหรือโดยปราศจากอํานาจ (unauthorized disclosure) หรือการเข้าถึง (access) ข้อมูลส่วนบุคคล▇▇▇▇▇▇รับการส่งผ่าน (transmitted) การจัดเก็บ (stored) หรือการ▇▇▇▇▇▇ผลโดย วิธีการอื่นใด (otherwise processed) ที่เกิดขึ้นโดยอุบัติเหตุ (accidental) หรือโดยมิชอบด้วยกฎหมาย (unlawful) ▇▇▇▇▇▇▇เกิด▇▇▇▇▇▇คุกคามทางไซเบอร์ หรือเกิดจากการกระทําของบุคคลภายในหรือภายนอก หรือ เหตุอื่นใด และหมายความรวม▇▇▇▇▇▇ละเมิดข้อมูลส่วนบุคคลตามบท▇▇▇▇▇▇▇▇ก˚าหนดในประกาศ

คณะกรรมการคุ้มครองขอ

มูลส่วนบุคคลทอ

อกตามบทบญ

ญตแ

ห่งกฎหมายว่าด้วยการคุ้มครองข้อมูล

ส่วนบุคคลดว

ย

“บันทึกข้อตกลง” หมายความว่า บันทึกข้อตกลงการ▇▇▇▇▇▇ผลข้อมูลและเอกสารแนบท้าย

บันทึกข้อตกลงนี้ (ถ้ามี)

“สัญญา” หมายความว่า สัญญา ฉบับลง

▇▇▇▇▇▇ ......................................

-๓-

ขอบเขตการบังคับใช

ข้อ ๒ บันทึกข้อตกลงนี้ ใช้บังคับกับการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลระหว่างบริษัทฯ และคณะฯ เพื่อให้มีการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสม และกําหนดหน้าที่ความรับผิดชอบของคู่สัญญาอย่าง เหมาะสม และเพื่อให้การดําเนินการ▇▇▇▇▇▇▇▇ เป็นไป

ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยบันทึกข้อตกลงนี้ถือเป็นส่วนหนึ่งของสัญญา

.................................................................................. และให้มีผลใช้บังคับตั้งแต่▇▇▇▇▇▇. ถึง▇▇▇▇▇▇

.....................................

ความ▇▇▇▇▇▇▇▇ระหว่างคู่สัญญา

ข้อ ๓ ในการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล▇▇▇▇▇▇▇▇และบันทึกข้อตกลงนี้

บริษัทฯ จะอยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล (controller) ตลอดระยะเวลาของสัญญา และ มีอํานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยบริษัทฯ ในฐานะผู้ ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับ กรณี

คณะฯ จะอยู่ในฐานะผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล (processor) ตลอดระยะเวลาของสัญญา และดําเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคําสั่งหรือในนามของบริษัทฯ และไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคลในขอบเขตของสัญญาและบันทึกข้อตกลงนี้ โดยคณะฯ ในฐานะผู้ ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับ กับกรณี

การ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล

ข้อ ๔ บริษัทฯ ตระหนักและยอมรับว่า การ ▇▇▇

▇▇▇▇▇ และบันทึกข้อตกลงนี้ ถือเป็นการมีคําสั่งให้คณะฯ

อาจทําการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลดังต่อไปนี้ไม่ว่าทั้งหมดหรือเพียงบางส่วน เท่าที่จําเป็นเพื่อการ ดําเนินการ▇▇▇▇▇▇▇▇หรือตามกฎหมาย

- ข้อมูล ...........................................................................

- ข้อมูล ...........................................................................

- ข้อมูล ...........................................................................

- ข้อมูล ...........................................................................

- ข้อมูล ...........................................................................

ข้อตกลงนี้

-๔-

- ข้อมูลส่วนบุคคลอื่น▇▇▇▇▇▇มีการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล เพื่อให้เป็นไป▇▇▇▇▇▇▇▇และบันทึก

ข้อ ๕ คณะฯ จะทําการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามข้อ ๔ เฉพาะเพื่อให้▇▇▇▇▇วัตถุประสงค์ของ

สัญญาและกระบวนการอื่น ๆ ที่เกี่ยวข้องเท่านั้น ซึ่งรวมถึงกรณีใดกรณีหนึ่งต่อไปนี้

(๑) เมื่อ ▇▇▇▇▇▇▇▇▇ในการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลที่สอดคล้อง

กับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลดังในตาราง โดยถือ▇▇▇▇▇▇▇▇▇▇บริษัทฯ มีคําสั่งให้คณะฯ อาจทํา การ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามข้อ ๔ ได้

(๒) เมื่อบุคลากร พนักงาน หรือลูกจ้างของบริษัทฯ ที่มีอํานาจหน้าที่เกี่ยวกับการปฏิบัติ▇▇▇▇▇▇▇▇ ได้มีคําสั่งที่ชอบด้วยกฎหมายให้คณะฯ ดําเนินการ และเป็นคําสั่ง▇▇▇▇▇▇เกินวัตถุประสงค์ของสัญญา

(๓) เมื่อคณะฯ ได้รับคําสั่งที่เป็นลายลักษณ์▇▇▇▇▇จากบริษัทฯ และเป็นคําสั่ง▇▇▇▇▇▇เกินวัตถุประสงค์

ของสัญญา

(๔) เมื่อคณะฯ มีเหตุจําเป็นต้องทําการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามกฎหมาย หรือ

กรณีอื่นที่▇▇▇▇▇▇กระทําได้ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยจะต้องแจ้งให้บริษัทฯ ทราบโดย ▇▇▇▇▇▇▇▇▇ด้วย

ข้อ ๖ ในกรณีที่คณะฯ พิจารณาแล้วเห็นว่า การออกคําสั่งให้ทําการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตาม

ข้อ ๕ นั้น เป็นการออกคําสั่งที่ขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล หรืออยู่นอกเหนือไปจากวัตถุประสงค์ของสัญญา คณะฯ จะไม่ทําการ▇▇▇▇▇▇ผล ข้อมูลส่วนบุคคลตามคําสั่งนั้น โดย▇▇▇▇▇▇▇▇▇เป็นการกระทําผิดสัญญาหรือบันทึกข้อตกลงนี้ และคณะฯ ▇▇▇▇▇▇ให้ บริษัทฯ ทราบโดย▇▇▇▇

ในกรณีที่คณะฯ ทําการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามข้อ ๕ (๑) (๒) หรือ (๓) และปรากฏ ข้อเท็จจริงว่าการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลดังกล่าวขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วน บุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ความรับผิดในความเสียหายหรือการกระทําดังกล่าว ให้เป็นไปตามบันทึกข้อตกลงนี้

ข้อ ๗ เพื่อให้คณะฯ ▇▇▇▇▇▇ทําการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล▇▇▇▇▇▇▇▇อย่างถูกต้องตาม

กฎหมาย บริษัทฯ ตกลงและรับรองว่า ก่อนการเปิดเผยข้อมูลส่วนบุคคลให้แก่คณะฯ และก่อนหรือในขณะที่ คณะฯ จะทําการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามข้อ ๕ บริษัทฯ ได้พิจารณาแล้วว่า การ▇▇▇▇▇▇ผลข้อมูลส่วน บุคคลดังกล่าว ▇▇▇▇▇ในการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล (lawful basis for processing personal data) ที่ สอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และในกรณีที่ต้องได้รับความยินยอมจากเจ้าของ

-๕-

ข้อมูลส่วนบุคคล บริษัทฯ รับรองว่า บริษัทฯ ได้ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลและได้รับความ ยินยอมโดยชอบด้วยกฎหมายแล้ว ทั้งนี้ เว้นแต่จะเป็นข้อมูลส่วนบุคคลที่บริษัทฯ ได้เก็บรวบรวมไว้ก่อน▇▇▇▇▇▇ กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลใช้บังคับ ซึ่ง▇▇▇▇▇▇เก็บรวบรวมและใช้ข้อมูลส่วนบุคคลนั้นต่อไปได้ ตามวัตถุประสงค์เดิม

ข้อ ๘ บริษัทฯ รับทราบและตกลงที่จะปฏิบัติหน้าที่ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วน

บุคคลกําหนดให้เป็นหน้าที่ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล ตลอดจนหน้าที่ความรับผิดชอบตาม กฎหมายอื่น ซึ่งรวมถึง

(๑) การแจ้งรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล (privacy notice)

(๒) การ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามวัตถุประสงค์▇▇▇▇▇▇แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือใน ขณะที่เก็บรวบรวม

(๓) การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง (๔) การใช้หรือเปิดเผยข้อมูลส่วนบุคคล

(๕) การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

(๖) การดําเนินการที่เกี่ยวกับ▇▇▇▇▇ของเจ้าของข้อมูลส่วนบุคคล

(๗) การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ และการทบทวนมาตรการ ดังกล่าวเมื่อมีความจําเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคง ปลอดภัยที่เหมาะสม ทั้งนี้ ต้องเป็นไปตามมาตรฐานขั้นต่ําที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศ กําหนด

(๘) การดําเนินการเพื่อป้องกันมิให้บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือ เปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่ผู้นั้น

(๙) การจัดให้มีระบบการตรวจสอบเพื่อดําเนินการลบหรือทําลายข้อมูลส่วนบุคคลเมื่อพ้นกําหนด ระยะเวลาการเก็บรักษา หรือ▇▇▇▇▇▇เกี่ยวข้องหรือเกินความจําเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วน บุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่จะ เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

(๑๐) การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือเจ้าของข้อมูลส่วนบุคคล โดย▇▇▇▇▇▇▇▇▇ ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกําหนดให้ ดําเนินการ

-๖-

(๑๑) การแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล (เฉพาะกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลอยู่ นอกราชอาณาจักร)

(๑๒) การจัดทําบันทึกรายการ (record of processing activities) เพื่อให้เจ้าของข้อมูลส่วนบุคคล และสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล▇▇▇▇▇▇ตรวจสอบได้

(๑๓) การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล การแจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลและสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ และการ สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลกําหนดให้ดําเนินการ

ข้อ ๙ คณะฯ รับทราบและตกลงที่จะปฏิบัติหน้าที่ตามที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วน

บุคคลกําหนดให้เป็นหน้าที่ความรับผิดชอบของผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล ตลอดจนหน้าที่ความรับผิดชอบตาม กฎหมายอื่น ซึ่งรวมถึง

(๑) การดําเนินการเกี่ยวกับการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามคําสั่ง▇▇▇▇▇▇รับจากผู้ควบคุมข้อมูลส่วน บุคคลเท่านั้น เว้นแต่คําสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายว่าด้วย การคุ้มครองข้อมูลส่วนบุคคล

(๒) การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ รวมทั้งการแจ้งให้ผู้ควบคุม ข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น

(๓) การจัดทําและเก็บรักษาบันทึกรายการของกิจกรรมการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลไว้ ตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

(๔) การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล การแจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลและสํานักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ และการ สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลกําหนดให้ดําเนินการ

ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลช่วง

ข้อ ๑๐ เพื่อประโยชน์ในการปฏิบัติ▇▇▇▇▇▇▇▇ เมื่อมีความจําเป็น คณะฯ อาจมอบหมายงาน เกี่ยวกับการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลทั้งหมดหรือแต่บางส่วนให้บุคคลอื่น (“ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล ช่วง”) ดําเนินการแทนหรือช่วยสนับสนุนในการดําเนินการได้ ทั้งนี้ คณะฯ ยังต้องเป็นผู้รับผิดชอบในงาน▇▇▇▇▇▇ มอบหมายไป▇▇▇▇▇▇▇▇และบันทึกข้อตกลงนี้ รวมถึงจะต้องดําเนินการให้ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลช่วง รับทราบและปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และสัญญาและบันทึกข้อตกลงนี้ รวมทั้ง

-๗-

จะต้องดําเนินการให้ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลช่วงมีหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลและจัดให้มี มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมในระดับ▇▇▇▇▇▇ต่ํากว่าหน้าที่ความรับผิดชอบของคณะฯ ตาม บันทึกข้อตกลงนี้

การขอใช้▇▇▇▇▇ของเจ้าของข้อมูลส่วนบุคคลและการปฏิบัติตามกฎหมาย

ข้อ ๑๑ คณะฯ จะให้ความร่วมมือ ช่วยเหลือ และสนับสนุนให้บริษัทฯ ▇▇▇▇▇▇เข้าถึงข้อมูลส่วน บุคคลของเจ้าของข้อมูลส่วนบุคคลและตอบ▇▇▇▇ต่อคําขอของเจ้าของข้อมูลส่วนบุคคลที่เป็นการขอใช้▇▇▇▇▇ของ เจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลได้ภายในเวลาอัน▇▇▇▇▇

ข้อ ๑๒ ในกรณีที่คณะฯ ได้รับคําขอจากเจ้าของข้อมูลส่วนบุคคลที่เป็นการขอใช้▇▇▇▇▇ของเจ้าของ

ข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล คณะฯ ต้องแจ้งให้บริษัทฯ ทราบและส่งคํา ขอนั้นต่อไปยังบริษัทฯ โดย▇▇▇▇▇▇▇▇▇ โดยจะไม่ทําการตอบ▇▇▇▇ต่อคําขอดังกล่าวเอง เว้นแต่จะมีการตกลงไว้ เป็นอย่างอื่น

ข้อ ๑๓ คู่สัญญาจะให้ความร่วมมือ ช่วยเหลือ และสนับสนุนการดําเนินการที่เกี่ยวข้องของ

คู่สัญญาอีกฝ่ายหนึ่งตาม▇▇▇▇▇ เพื่อให้คู่สัญญาอีกฝ่ายหนึ่งนั้น▇▇▇▇▇▇ปฏิบัติให้เป็นไปตามกฎหมายและ พันธกรณีต่าง ๆ ได้ หรือในกรณีที่มีคําสั่งโดยชอบด้วยกฎหมายจากหน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐ เกี่ยวกับหน้าที่ของคู่สัญญา หรือเพื่อพิสูจน์ว่า▇▇▇▇▇▇▇▇▇▇▇ปฏิบัติตามที่กฎหมายกําหนดและตามที่กําหนดใน สัญญาและบันทึกข้อตกลงนี้ ในส่วนที่เกี่ยวกับการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วน บุคคล

มาตรการรักษาความมั่นคงปลอดภัย

ข้อ ๑๔ คณะฯ มีหน้าที่จัดให้มีและธํารงรักษาไว้ซึ่งมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ▇▇▇▇▇▇▇เป็นมาตรการด้านการบริหารจัดการขององค์กร มาตรการด้านกายภาพ มาตรการด้านเทคนิค และมาตรการอื่น ๆ ที่จําเป็น เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจาก อํานาจหรือโดยมิชอบ สําหรับการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล▇▇▇▇▇▇▇▇และบันทึกข้อตกลงนี้ โดยจะต้องเป็นไป ตามมาตรฐานขั้นต่ําที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกําหนด

ข้อ ๑๕ ในการกําหนดมาตรการตามข้อ ๑๔ ให้คณะฯ คํานึงถึงหลักการบริหารความเสี่ยง โดยอย่าง

น้อยต้องประกอบด้วยวิธีการและมาตรการ ดังต่อไปนี้ เท่าที่จําเป็นและเหมาะสมกับบริบท

(๑) Identify: การระบุความเสี่ยง▇▇▇▇▇▇จะเกิดขึ้นแก่คอมพิวเตอร์ ข้อมูล▇▇▇▇▇▇▇เป็นข้อมูล อิเล็กทรอนิกส์และข้อมูลในรูปแบบอื่น ระบบคอมพิวเตอร์ ข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ ทรัพย์สิน และชีวิตร่างกายของบุคคล ในส่วนที่เกี่ยวข้องกับการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล

บุคคล

-๘-

(๒) Protect: มาตรการป้องกันความเสี่ยง▇▇▇▇▇▇จะเกิดขึ้น

(๓) Detect: มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์และเหตุการละเมิดข้อมูลส่วน

(๔) Respond: มาตรการ▇▇▇▇▇เหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์หรือเหตุการละเมิด

ข้อมูลส่วนบุคคล

(๕) Recover: มาตรการรักษาและฟื้นฟูความ▇▇▇▇▇▇▇▇▇▇เกิด▇▇▇▇▇▇คุกคามทางไซเบอร์หรือเหตุการ ละเมิดข้อมูลส่วนบุคคล

ข้อ ๑๖ มาตรการป้องกันความเสี่ยงของคณะฯ ตามข้อ ๑๕ (๒) ควรประกอบด้วยมาตรการอย่าง

น้อยดังนี้ ในส่วนที่เกี่ยวกับระบบสารสนเทศที่มีการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล เท่าที่▇▇▇▇▇▇จะกระทําได้

(๑) มาตรการรักษาความมั่นคงปลอดภัยด้านการบริหารจัดการ (administrative security) ซึ่งรวม▇▇▇ ▇▇▇กําหนดและสื่อสารนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย ของระบบสารสนเทศ และการบริหารจัดการความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

(๒) มาตรการรักษาความมั่นคงปลอดภัยด้านกายภาพ (physical security) ของอุปกรณ์และ ส่วนประกอบของระบบสารสนเทศและข้อมูลที่จัดเก็บ

(๓) มาตรการรักษาความมั่นคงปลอดภัยด้านผู้ใช้งาน (user security) ซึ่งรวม▇▇▇▇▇▇ฝึกอบรมและ สร้างเสริมความตระหนักรู้และการด้านความสําคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคง ปลอดภัย (security awareness training) แก่บุคลากร พนักงาน ลูกจ้าง หรือบุคคลอื่น ที่เป็นผู้ใช้งานหรือ ผู้เกี่ยวข้องกับระบบสารสนเทศและข้อมูลส่วนบุคคล การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ที่ใช้ในการ จัดเก็บและการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล (access control) การกําหนด▇▇▇▇▇ในการเข้าถึงข้อมูลส่วนบุคคลหรือ ระบบสารสนเทศ และการบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) โดยคํานึงถึงบทบาท หน้าที่ ความจําเป็นในการใช้งาน และความมั่นคงปลอดภัยเป็นสําคัญ การกําหนดหน้าที่ความรับผิดชอบของ ผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดย▇▇▇▇▇▇รับอนุญาต การเปิดเผย การ▇▇▇▇▇▇▇ หรือการลักลอบทําสําเนาข้อมูลส่วนบุคคล หรือการลักขโมยอุปกรณ์ที่ใช้ในการจัดเก็บหรือการ▇▇▇▇▇▇ผลข้อมูล ส่วนบุคคล และการจัดให้มีวิธีการเพื่อให้▇▇▇▇▇▇ตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่าย โอนข้อมูลส่วนบุคคล (audit trails) ให้เหมาะสม

(๔) มาตรการรักษาความมั่นคงปลอดภัยด้านข้อมูล (data security) ซึ่งรวมถึงมาตรการควบคุมการ เข้าถึงข้อมูลที่เก็บรักษาไว้อย่างเหมาะสม และการสํารองข้อมูล

(๕) มาตรการรักษาความมั่นคงปลอดภัยด้านระบบสารสนเทศ (systems security) ซึ่งรวม▇▇▇▇▇▇ ปรับปรุงระบบปฏิบัติการและแอปพลิเคชันของเครื่องคอมพิวเตอร์แม่ข่าย (server) ให้เป็นปัจจุบันอยู่▇▇▇▇ ▇▇▇ตั้ง

-๙-

ค่าความมั่นคงปลอดภัย (security configurations) ที่เหมาะสม การมีระบบสํารอง และการป้องกันภัยคุกคาม จากมัลแวร์

(๖) มาตรการรักษาความมั่นคงปลอดภัยด้านสินทรัพย์สารสนเทศ (asset security) ซึ่งรวมถึงความ มั่นคงปลอดภัยทางกายภาพและการปรับปรุงระบบปฏิบัติการและแอปพลิเคชันของเครื่องคอมพิวเตอร์ลูกข่ายและ อุปกรณ์ต่าง ๆ (endpoints) ที่ใช้งานระบบสารสนเทศให้เป็นปัจจุบันอยู่เสมอ และการป้องกันภัยคุกคาม จากมัลแวร์

(๗) มาตรการรักษาความมั่นคงปลอดภัยด้านซอฟต์แวร์และแอปพลิเคชัน (software and application security) ซึ่งรวม▇▇▇▇▇▇ออกแบบและทดสอบความมั่นคงปลอดภัยของซอฟต์แวร์และแอปพลิเคชัน การประเมินและกํากับดูแลกระบวนการพัฒนาซอฟต์แวร์ (software development process) ที่เหมาะสมโดย คํานึงถึงความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ ไม่ว่าจะเป็นซอฟต์แวร์หรือแอปพลิเคชันที่พัฒนาเอง หรือ นํามาใช้จากภายนอก หรือให้บุคคลภายนอกพัฒนาให้ก็ตาม รวมทั้งกระบวนการบํา▇▇▇▇▇▇▇▇ (maintenance) ซอฟต์แวร์และแอปพลิเคชันที่เหมาะสม

(๘) มาตรการรักษาความมั่นคงปลอดภัยด้านการสื่อสารและระบบเครือข่าย (communication and network security) ซึ่งรวมถึงความมั่นคงปลอดภัยทางกายภาพของอุปกรณ์ในระบบเครือข่าย การออกแบบและ บริหารจัดการระบบเครือข่ายที่เหมาะสม การควบคุมการจราจรของข้อมูลในระบบเครือข่ายโดยใช้ firewall การมี ระบบป้องกันการโจมตี (intrusion prevention system) การปรับปรุงเฟิร์มแวร์ (firmware) และซอฟต์แวร์ของ อุปกรณ์ในระบบเครือข่ายให้เป็นปัจจุบัน และการเข้ารหัส (encryption) ของข้อมูลที่มีความ▇▇▇▇▇▇▇▇▇ที่ส่งผ่านระบบ เครือข่าย

ข้อ ๑๗ คณะฯ จะต้องทบทวนมาตรการตามข้อ ๑๔ ข้อ ๑๕ และข้อ ๑๖ เมื่อมีความจําเป็นหรือเมื่อ

เทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม โดยคํานึงถึง ความ▇▇▇▇▇▇▇▇ทางเทคโนโลยี ค่าใช้จ่ายในการดําเนินการ ลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการ ▇▇▇▇▇▇ผลข้อมูลประกอบกัน

ข้อ ๑๘ คณะฯ จะใช้ความ▇▇▇▇▇▇ตาม▇▇▇▇▇ให้การเข้าถึงและการ▇▇▇▇▇▇ผลข้อมูลส่วน

บุคคลจํากัดเฉพาะบุคลากร พนักงาน และลูกจ้างของคณะฯ หรือบุคคล▇▇▇▇▇▇รับมอบหมาย ซึ่งมีความจําเป็นใน การเข้าถึงหรือการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามหลักความจําเป็นในการเข้าถึงข้อมูล (need-to-know basis) เพื่อดําเนินการให้เป็นไป▇▇▇▇▇▇▇▇และบันทึกข้อตกลงนี้หรือเพื่อปฏิบัติการอื่นที่เป็นไปตามกฎหมาย เท่านั้น และดําเนินการให้บุคคลดังกล่าวรักษาความลับในการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล และปฏิบัติตาม หน้าที่ความรับผิดชอบของคณะฯ ในสัญญาและบันทึกข้อตกลงนี้

ข้อ ๑๙ บริษัทฯ มีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการ

สูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจากอํานาจหรือโดยมิชอบ สําหรับ

-๑๐-

การ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลในส่วนที่อยู่นอกเหนือความควบคุมและความรับผิดชอบของคณะฯ ตลอดจน การ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลที่บริษัทฯ ดําเนินการ หรือบุคคลอื่นดําเนินการในนามบริษัทฯ เพื่อเปิดเผย โดยการส่งผ่าน การเผยแพร่ หรือการทําให้พร้อมใช้งานโดยวิธีการอื่นใด ให้แก่คณะฯ ก่อนที่คณะฯ จะทําการ ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลนั้นในส่วนของตน

เหตุการละเมิดข้อมูลส่วนบุคคล (Personal Data Breaches)

ข้อ ๒๐ คณะฯ มีหน้าที่▇▇▇▇▇▇▇ดูแลและมีมาตรการตรวจสอบและเฝ้าระวัง (detective measures) การกระทํา▇▇▇▇▇▇มีลักษณะเป็นการเข้าถึงหรือการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลโดยปราศจาก อํานาจหรือโดยมิชอบตาม▇▇▇▇▇ และเมื่อทราบเหตุการละเมิดข้อมูลส่วนบุคคล คณะฯ มีหน้าที่ตอบ▇▇▇▇ต่อ เหตุดังกล่าวในเบื้องต้นตาม▇▇▇▇▇เพื่อลดความเสี่ยงหรือผลกระทบจากเหตุดังกล่าว ตลอดจนเพื่อรวบรวม ข้อมูลจราจรทางคอมพิวเตอร์และพยานหลักฐานที่เกี่ยวข้องสําหรับการดําเนินการต่อไป

ข้อ ๒๑ คณะฯ มีหน้าที่แจ้งให้บริษัทฯ ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นจากการ

▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลในความรับผิดชอบของคณะฯ โดย▇▇▇▇▇▇▇▇▇ ภายในสี่สิบแปดชั่วโมงนับแต่ทราบ เหตุเท่าที่จะ▇▇▇▇▇▇กระทําได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อ▇▇▇▇▇และเสรีภาพ ของบุคคล โดยอย่างน้อยจะต้องให้ข้อมูลต่อไปนี้แก่บริษัทฯ เป็นลายลักษณ์▇▇▇▇▇โดยเร็วเท่าที่จะ▇▇▇▇▇▇ กระทําได้

เป็นไปได้)

(๑) รายละเอียดของเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น และผล▇▇▇▇▇▇เกิดขึ้น (๒) การดําเนินการ▇▇▇▇▇▇กระทําไปเพื่อตอบ▇▇▇▇ต่อเหตุดังกล่าว

(๓) ประเภทของข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเหตุดังกล่าว (หาก

(๔) ความเห็นต่อเหตุดังกล่าวและมาตรการที่ควรดําเนินการต่อไป

ข้อ ๒๒ การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สํานักงานคณะกรรมการคุ้มครองข้อมูลส่วน

บุคคล และ/หรือเจ้าของข้อมูลส่วนบุคคล เป็นหน้าที่ความรับผิดชอบของบริษัทฯ ในฐานะผู้ควบคุมข้อมูลส่วน บุคคล โดยคณะฯ ในฐานะผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล จะต้องให้ความร่วมมืออย่างเต็มที่เพื่อให้บริษัทฯ ▇▇▇▇▇▇ดําเนินการดังกล่าว รวมทั้งการดําเนินการทางกฎหมายอย่างอื่นที่เกี่ยวข้องได้

ข้อ ๒๓ หลังเกิดเหตุการละเมิดข้อมูลส่วนบุคคล คู่สัญญามีหน้าที่รับผิดชอบดําเนินการในส่วน

ของตน เพื่อเยียวยาผู้▇▇▇▇▇▇▇▇กระทบจากเหตุดังกล่าว และทบทวนและพิจารณาปรับปรุงมาตรการรักษาความ มั่นคงปลอดภัยเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสมและเพียงพอ

ข้อ ๒๔ คู่สัญญามีหน้าที่ให้ความร่วมมือ ช่วยเหลือ และสนับสนุนการดําเนินการที่เกี่ยวข้องของ

คู่สัญญาอีกฝ่ายหนึ่งตาม▇▇▇▇▇ เพื่อให้คู่สัญญาอีกฝ่ายหนึ่งนั้น▇▇▇▇▇▇ป้องกัน เฝ้าระวัง ตรวจสอบ ตอบ▇▇▇▇

-๑๑-

แก้ไข และฟื้นฟูจากเหตุการละเมิดข้อมูลส่วนบุคคล ตลอดจนเก็บรวบรวมข้อมูลจราจรทางคอมพิวเตอร์และ พยานหลักฐานที่เกี่ยวข้อง และดําเนินการตามกฎหมายที่เกี่ยวข้องในส่วนของตนได้

การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ (Cross-Border Data Transfer)

ข้อ ๒๕ คณะฯ จะไม่ส่งหรือโอน (transfer) ข้อมูลส่วนบุคคลไปต่างประเทศหรือองค์การ ระหว่างประเทศ เว้นแต่จะได้รับความยินยอมจากบริษัทฯ เป็นลายลักษณ์▇▇▇▇▇ หรือเป็นไปตามกฎหมายว่า ด้วยการคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ ไม่รวม▇▇▇▇▇▇ส่งผ่าน (transit) ข้อมูลส่วนบุคคลในต่างประเทศ ที่ไม่มี การเข้าถึงข้อมูลส่วนบุคคลโดยบุคคลอื่นนอกเหนือจากบุคลากร พนักงาน และลูกจ้างของคณะฯ หรือผู้ ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลช่วง

การลบและการเก็บรักษาข้อมูลส่วนบุคคล

ข้อ ๒๖ คณะฯ มีหน้าที่ดําเนินการลบหรือทําลาย หรือทําให้ข้อมูลส่วนบุคคลตามบันทึกข้อตกลง นี้ เป็นข้อมูล▇▇▇▇▇▇▇▇▇▇▇▇ระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ภายในเวลา ปี นับแต่▇▇▇▇▇▇สัญญา

สิ้นสุดลง หรือเมื่อไม่มีความจําเป็นต้องทําการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลดังกล่าวอีกต่อไป หรือกรณีที่มีเหตุ อื่นตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เว้นแต่จะได้รับอนุญาตเป็นลายลักษณ์▇▇▇▇▇จากบริษัทฯ ให้เก็บรักษาข้อมูลดังกล่าวไว้นานกว่านั้น และบริษัทฯ อาจขอให้คณะฯ แสดงหลักฐานตาม▇▇▇▇▇เพื่อพิสูจน์ การดําเนินการ หรือมีหนังสือยืนยันและรับรองว่าได้ดําเนินการดังกล่าวแล้ว

ข้อ ๒๗ คณะฯ อาจเก็บรักษาข้อมูลส่วนบุคคลไว้เพื่อการก่อตั้ง▇▇▇▇▇เรียกร้องตามกฎหมาย การ

ปฏิบัติตามหรือการใช้▇▇▇▇▇เรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้▇▇▇▇▇เรียกร้องตามกฎหมาย หรือเพื่อการ ปฏิบัติตามกฎหมาย ▇▇▇▇▇▇ขัดต่อกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

ข้อ ๒๘ คณะฯ อาจเก็บรักษาข้อมูลส่วนบุคคลเท่าที่จําเป็นเพื่อแสดง▇▇▇▇▇▇ปฏิบัติ▇▇▇▇▇▇▇▇

และบันทึกข้อตกลงนี้ได้

ข้อ ๒๙ เมื่อสัญญาสิ้นสุดลง หรือก่อนที่คณะฯ จะดําเนินการลบหรือทําลาย หรือทําให้ข้อมูล ส่วนบุคคลตามบันทึกข้อตกลงนี้ เป็นข้อมูล▇▇▇▇▇▇▇▇▇▇▇▇ระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ บริษัทฯ อาจแจ้งให้คณะฯ ส่งสําเนาข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ให้แก่บริษัทฯ ได้ โดยไม่กระทบต่อ▇▇▇▇▇และ หน้าที่ของคณะฯ ในการเก็บรักษาข้อมูลไว้ตามความจําเป็นตามบันทึกข้อตกลงนี้ โดยหน้าที่ในการปฏิบัติการ ให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่น ต่อการ▇▇▇▇▇▇ผลข้อมูลส่วน บุคคลของข้อมูลส่วนบุคคลที่คณะฯ ส่งให้บริษัทฯ เป็นความรับผิดชอบของบริษัทฯ เอง

ข้อ ๓๐ เมื่อสัญญาสิ้นสุดลง และ/หรือบันทึกข้อตกลงนี้สิ้นสุดลง ในระหว่างที่คณะฯ ยัง▇▇▇▇▇▇

ดําเนินการลบหรือทําลาย หรือทําให้ข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ เป็นข้อมูล▇▇▇▇▇▇▇▇▇▇▇▇ระบุตัว

-๑๒-

บุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ตามข้อ ๒๖ ให้คณะฯ ยังมีหน้าที่ความรับผิดชอบตามบันทึกข้อตกลงนี้ เท่าที่จําเป็นและไม่ขัดกับกฎหมาย เพื่อประโยชน์ในการคุ้มครองข้อมูลส่วนบุคคลที่คณะฯ รับผิดชอบในฐานะ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล

ขอบเขตของความรับผิด

ข้อ ๓๑ เว้นแต่จะกําหนดไว้เป็นอย่างอื่น คณะฯ ไม่ต้องรับผิดในความเสียหายหรือการกระทํา อันเกิดจากการปฏิบัติตามบันทึกข้อตกลงนี้ หรือตามคําสั่งของบริษัทฯ เพื่อให้▇▇▇▇▇วัตถุประสงค์ในการ ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล▇▇▇▇▇▇▇▇

ข้อ ๓๒ ในกรณีที่คณะฯ ต้องรับผิดชดใช้ค่าเสียหายหรือชําระค่าปรับ อันเนื่องมาจากการปฏิบัติ

ตามบันทึกข้อตกลง หรือตามคําสั่งของบริษัทฯ เพื่อให้▇▇▇▇▇วัตถุประสงค์ในการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล ▇▇▇▇▇▇▇▇ ไม่ว่าจะด้วยเหตุใดก็ตาม คณะฯ มี▇▇▇▇▇เรียกร้องให้บริษัทฯ ชดใช้เงินจํานวนดังกล่าวให้แก่คณะฯ เว้นแต่จะพิสูจน์ได้ว่าความรับผิดดังกล่าวเป็นการกระทําผิดโดย▇▇▇▇▇หรือเป็นความบกพร่องของคณะฯ เอง หรือผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลช่วงของคณะฯ

การเปลี่ยนแปลงแก้ไขบันทึกข้อตกลง

ข้อ ๓๓ กรณีที่จําเป็นต้องมีการเปลี่ยนแปลงแก้ไขบันทึกข้อตกลงเพื่อให้คู่สัญญา▇▇▇▇▇▇ทําการ ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลต่อไปได้อย่างเหมาะสมและมี ประสิทธิภาพ ให้▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇จะแก้ไขเพิ่มเติมบันทึกข้อตกลงนี้ แจ้งให้อีกฝ่ายทราบล่วงหน้าเป็นเวลา ไม่น้อยกว่า ๓๐ วัน และเมื่อทั้งสองฝ่ายให้ความยินยอมในการแก้ไขเพิ่มเติมแล้ว ให้จัดทําบันทึกข้อตกลงฉบับ แก้ไขเพิ่มเติมเป็นหนังสือ และลงนามผูกพันโดยผู้มีอํานาจลงนามผูกพันนิติบุคคล และให้▇▇▇▇▇▇การแก้ไขเพิ่มเติม ดังกล่าวเป็นส่วนหนึ่งของบันทึกข้อตกลงนี้ โดยให้มีผลใช้บังคับตั้งแต่▇▇▇▇▇▇ลงนามในบันทึกข้อตกลงฉบับแก้ไข เพิ่มเติมนั้น เว้นแต่จะกําหนดเป็นอย่างอื่นในบันทึกข้อตกลงฉบับแก้ไขดังกล่าว

บันทึกข้อตกลงนี้ทําขึ้นสองฉบับมีข้อความถูกต้องตรงกัน ทั้งสองฝ่ายได้อ่านและเข้าใจบันทึก ข้อตกลงนี้โดยละเอียดตลอดแล้ว เห็นว่าตรงตาม▇▇▇▇▇▇▇▇▇▇▇▇ได้ให้ไว้ต่อกันทุกประการ จึงได้ลงลายมือชื่อไว้ เป็นสําคัญต่อหน้าพยานและแต่ละฝ่ายต่างได้ยึดถือไว้ฝ่ายละฉบับ

-๑๓-