Data Processing Agreement)
ข้อตกลงการ▇▇▇▇▇▇ข้อมูลส่วนบุคคล
(Data Processing Agreement)
ข้อตกลงฉบับนี้ทำขึ้น ณ ..................................................เมื่อ▇▇▇▇▇▇ โดยมีผล
บังคับใช้ตั้งแต่▇▇▇▇▇▇......................................................................................................................................................
ระหว่าง:
ข้อตกลงนี้ทำขึ้นระหว่างมหาวิทยาลัยราชภัฏสวนสุนันทา ตั้งอยู่เลขที่ ๑ ถนน▇▇▇▇▇▇▇▇▇ เขต▇▇▇▇▇ กรุงเทพมหานคร โดย......................................................................... ตำแหน่ง ผู้ควบคุมข้อมูลส่วนบุคคล ซึ่งต่อไป ในข้อตกลงฉบับนี้เรียกว่า “ผู้ควบคุมข้อมูลส่วนบุคคล” หรือ “มหาวิทยาลัยราชภัฏสวนสุนันทา” ฝ่ายหนึ่ง กับ บริษัท........................ตั้งอยู่เลขที่.................................……………………………………………………………………………………
ซึ่งต่อไปในข้อตกลงฉบับนี้เรียกว่า “ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล” หรือ “บริษัทฯ” โดยทั้งสองฝ่ายตกลงกัน ดังต่อไปนี้
๑. วัตถุประสงค์
มหาวิทยาลัยราชภัฏสวนสุนันทาได้ติดต่อและ/หรือ ▇▇▇▇▇▇▇ บริษัทฯ เพื่อ...........................................
.................................................................................................................... นั้นมหาวิทยาลัยราชภัฏสวนสุนันทา
อาจมีความจำเป็นต้องเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการ▇▇▇▇▇▇งานตามเอกสารแนบท้าย ๑ ให้แก่บริษัทฯ จึง▇▇▇▇▇▇▇ให้บริษัทฯ เก็บรักษาข้อมูลดังกล่าวตามมาตรฐานความปลอดภัยในระดับเดียวกันโดยให้เป็นไปตาม ที่กฎหมายกำหนดทั้งในขณะนี้และภายภาคหน้า
๒. ข้อมูลส่วนบุคคล
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้▇▇▇▇▇▇ระบุตัวบุคคลนั้น▇▇▇ ▇▇▇ว่าทางตรงหรือ ทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ ซึ่งได้แก่ ข้อมูลบุคลากร นักศึกษา ข้าราชการ พนักงาน มหาวิทยาลัย และข้อมูลส่วนบุคคลที่อยู่ภายใต้การดูแลของมหาวิทยาลัยราชภัฏสวนสุนันทา
๓. การ▇▇▇▇▇▇ข้อมูลส่วนบุคคล
การ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลในข้อตกลงฉบับนี้ หมาย▇▇▇ ▇▇▇เก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูล ส่วนบุคคล โดยผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตกลงว่าจะ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามเงื่อนไขดังนี้
๓.๑ ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามวัตถุประสงค์ที่ระบุในข้อ ๑ เท่านั้น
๓.๒ ห้ามเปิดเผยข้อมูลส่วนบุคคลให้แก่บุคคลภายนอก เว้นแต่จะเป็นการเปิดเผยข้อมูลส่วนบุคคลให้แก่ ลูกจ้างหรือพนักงานของผู้▇▇▇▇▇▇ผลข้อมูลที่เกี่ยวข้องโดยตรงกับการ▇▇▇▇▇▇งานตามวัตถุประสงค์ ในข้อ ๑
๓.๓ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลจะต้องไม่ทำซ้ำข้อมูลส่วนบุคคลแม้เพียงส่วนหนึ่งส่วนใดหรือทั้งหมด เว้นแต่การทำซ้ำเพื่อการใช้ข้อมูลส่วนบุคคลให้▇▇▇▇▇วัตถุประสงค์ตามที่กำหนดไว้ในข้อ ๑
๓.๔ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลต้องกำกับดูแลการปฏิบัติหน้าที่ของพนักงาน ลูกจ้าง ตัวแทน และ/ หรือผู้รับจ้างของผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล ให้เป็นไปตามที่ มหาวิทยาลัยราชภัฏสวนสุนันทา กำหนด และบันทึกกิจกรรมการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลไว้ตามที่กฎหมายกำหนดทั้งในขณะ ปัจจุบันและในภายภาคหน้า
๓.๕ กรณีที่ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลได้โอนกิจการ รวมกิจการ หรือควบกิจการ หรือ▇▇▇▇▇▇การอื่น ๆ ในลักษณะที่มีการเปลี่ยนแปลง▇▇▇▇▇ในการ▇▇▇▇▇▇กิจการของผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลจะต้องแจ้งให้ มหาวิทยาลัยราชภัฏสวนสุนันทาทราบทันที โดยข้อตกลงฉบับนี้ยัง▇▇มีผลผูกพันผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลและผู้รับโอน▇▇▇▇▇ของผู้ ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลด้วย
๔. มาตรการรักษาความปลอดภัย
๔.๑ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลจะต้อง▇▇▇▇▇▇การจัดหามาตรการคุ้มครองข้อมูลส่วนบุคคลอย่าง เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดย ปราศจาก▇▇▇▇▇หรือโดยมิชอบ ทั้งนี้ พิจารณาถึงความ▇▇▇▇▇▇▇▇ทางเทคโนโลยี ค่าใช้จ่าย ในการ▇▇▇▇▇▇การ ลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการ▇▇▇▇▇▇ผลข้อมูล
๔.๒ หากการกระทำใดของผู้▇▇▇▇▇▇ผลข้อมูลทำให้เกิดข้อพิพาทหรือความเสียหายแก่ มหาวิทยาลัย ราชภัฏสวนสุนันทาผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลต้องรับผิดชอบความ▇▇▇▇▇▇▇▇▇▇เกิดขึ้นทั้งหมด
๕. ▇▇▇▇▇ของเจ้าของข้อมูลส่วนบุคคล
๕.๑ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลมีหน้าที่▇▇▇▇▇▇การเพื่อช่วยเหลือหรือสนับสนุนผู้ควบคุม ข้อมูลส่วนบุคคล▇▇▇▇▇▇ตอบ▇▇▇▇ตามคำร้องของเจ้าของข้อมูลส่วนบุคคลอันเป็นการใช้▇▇▇▇▇ ของเจ้าของส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ซึ่งได้ยื่น ▇▇▇▇▇โรงเรียน/วิทยาลัย/มหาวิทยาลัย
๕.๒ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลมีหน้าที่แจ้งต่อผู้ควบคุมข้อมูลส่วนบุคคล ในกรณีที่คำร้องเกี่ยวกับ ข้อมูลส่วนบุคคลซึ่งยื่นโดยเจ้าของข้อมูลส่วนบุคคล
๖. การแจ้งเตือน
๖.๑ หาก▇▇▇▇▇▇▇ละเมิดข้อมูลส่วนบุคคลซึ่งเกิดจากอุบัติเหตุ การทำลาย การเปลี่ยนแปลง การเปิดเผย การโอน การเก็บข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย ผู้▇▇▇▇▇▇ผลต้อง▇▇▇▇▇▇การ แจ้งให้ มหาวิทยาลัยราชภัฏสวนสุนันทารู้โดยทันทีหรือไม่เกิน ๒๔ ชั่วโมงหลังจากรับทราบเหตุ
๖.๒ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลจะต้องใช้มาตรการตามที่เห็น▇▇▇▇▇ ในการระบุถึงสาเหตุ ของการละเมิดและการป้องกันปัญหาดังกล่าวไม่ให้เกิดซ้ำ และจะให้ข้อมูลให้แก่ มหาวิทยาลัย ราชภัฏสวนสุนันทาภายใต้ขอบเขตที่กฎหมายกำหนดดังต่อไปนี้
๖.๒.๑ รายละเอียดของลักษณะและผล▇▇▇▇▇▇เกิดขึ้นของการละเมิด
๖.๒.๒ มาตรการที่ถูกใช้เพื่อลดผลกระทบของการละเมิด
๖.๒.๓ ประเภทของข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลซึ่งถูกละเมิด
๖.๒.๔ ข้อมูลอื่นๆ ที่เกี่ยวข้องกับการละเมิด
๗. การลบและการเก็บรักษาข้อมูลส่วนบุคคล
“การลบ” หมาย▇▇▇ ▇▇▇ทำให้ข้อมูลส่วนบุคคลนั้นถูกลบออกจากระบบและ▇▇▇▇▇▇กู้คืนได้โดยตัวเจ้า ของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล ทั้งนี้ ไม่ว่าในเวลาใดๆ
๗.๑ เก็บรักษาข้อมูลส่วนบุคคลในสถานที่ ระบบ หรือฐานข้อมูลที่มีการจำกัดการเข้าถึงเฉพาะ ผู้เกี่ยวข้องเท่านั้น
๗.๒ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลต้องส่งคืนข้อมูลส่วนบุคคล รวมถึงสำเนาของข้อมูล (หากมี) ให้แก่ มหาวิทยาลัยราชภัฏสวนสุนันทาภายในระยะเวลา ๗ วัน นับตั้งแต่▇▇▇▇▇▇สัญญาสิ้นสุดลง หรือนับแต่ ▇▇▇▇▇▇มหาวิทยาลัยราชภัฏสวนสุนันทามีหนังสือแจ้งอย่างเป็นทางการไปยังผู้▇▇▇▇▇▇ผลข้อมูลส่วน บุคคลให้ส่งคืนหรือทำลายสำเนาข้อมูลส่วนบุคคล
๗.๓ ทำลายข้อมูลหลังจาก▇▇▇▇▇วัตถุประสงค์ตามข้อ ๑ เมื่อหมดระยะเวลาสัญญาที่มีต่อกัน หรือเมื่อ มหาวิทยาลัยราชภัฏสวนสุนันทามีหนังสือแจ้งอย่างเป็นทางการไปยังผู้▇▇▇▇▇▇ข้อมูลส่วนบุคคล ตามวิธีการที่มหาวิทยาลัยราชภัฏสวนสุนันทากำหนด
๗.๔ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลมีหน้าที่จัดทำนโยบายเกี่ยวกับการลบข้อมูลส่วนบุคคล และแจ้ง ให้มหาวิทยาลัยราชภัฏสวนสุนันทาทราบถึงนโยบายดังกล่าว โดยนโยบายเกี่ยวกับการลบข้อมูล ส่วนบุคคลดังกล่าวจะมีเนื้อหาที่ครอบคลุมถึงระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล ก่อน ที่จะถูกลบหลังจากการยกเลิกข้อตกลงการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคล ทั้งนี้ เพื่อคุ้มครองเจ้าของ ข้อมูลส่วนบุคคลมิให้สูญเสียข้อมูลส่วนบุคคลของตนไปโดยอุบัติเหตุเพราะเหตุที่ข้อตกลงสิ้นสุด
๘. การส่งหรือโอนข้อมูล
๘.๑ ห้ามมิให้ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศหรือองค์การ ระหว่างประเทศ เว้นแต่จะได้รับความยินยอมจากมหาวิทยาลัยราชภัฏสวนสุนันทาเป็นลายลักษณ์ ▇▇▇▇▇
๘.๒ การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศหรือองค์การระหว่างประเทศ จะต้องเป็นไป ตามเงื่อนไขที่กำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบบุคล พ.ศ. ๒๕๖๒ และประกาศที่ เกี่ยวข้อง
ข้อตกลงฉบับนี้ทำขึ้นเป็นสองฉบับ มีข้อความถูกต้องตรงกัน ทั้งสองฝ่ายได้อ่านและเข้าใจข้อความใน ข้อตกลงโดยละเอียดแล้ว จึงได้ลงลายมือชื่อพร้อมประทับตรา (ถ้ามี) ไว้เป็นสำคัญ ต่อหน้าพยาน และต่างเก็บ รักษาไว้ฝ่ายละหนึ่งฉบับ
............................................................... | ............................................................... | ||||
( | ................................................................ | ) | ( | ................................................................ | ) |
ผู้ควบคุมข้อมูลส่วนบุคคล | ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล | ||||
............................................................... | ............................................................... | ||||
( | ................................................................ | ) | ( | ................................................................ | ) |
พยาน | พยาน |
เอกสารแนบท้าย ๑ ราย▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล
รายละเอียดเกี่ยวกับข้อตกลงการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล:
▇▇▇▇▇▇▇ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล
วัตถุประสงค์ของการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล:
๑ | |
๒ | |
๓ | |
๔ | |
๕ |
ประเภทข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคล ได้แก่
๑. ข้อมูล▇▇▇▇▇▇▇▇▇▇ระบุถึงตัวบุคคลได้จากทางตรงหรือทางอ้อม ได้แก่ ข้อมูลส่วนบุคคลที่มีการจัดเก็บ รวบรวม ใช้ หรือเปิดเผย ของมหาวิทยาลัยราชภัฏสวนสุนันทา
๒. ข้อมูลชีวภาพ ▇▇▇▇ ข้อมูลภาพ▇▇▇▇▇ใบหน้า ข้อมูล▇▇▇▇▇ม่านตา หรือข้อมูล▇▇▇▇▇ลายนิ้วมือ
๓. ข้อมูลทางการเงิน ▇▇▇▇ ข้อมูลบัญชีธนาคาร สำเนาสมุดบัญชี ข้อมูลบัตรเครดิตหรือเดบิต
๔. ข้อมูลสถิติ ▇▇▇▇ การเข้าชมเว็บไซต์, การเข้าใช้บริการต่างๆ ภายในโรงเรียน/มหาวิทยาลัย
ข้อมูลอ่อนไหว
ได้แก่
คำแนะนำในการใช้เอกสารข้อตกลงการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล
๑. ที่มาและเหตุผลของการจัดทำเอกสาร
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ มาตรา ๔๐ วรรคสาม กำหนดว่า ผู้ควบคุมข้อมูล ส่วนบุคคล ต้องจัดให้มีข้อตกลงระหว่าง ผู้ควบคุมข้อมูลส่วนบุคคล และ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล เพื่อควบคุมการ▇▇▇▇▇▇งานตามหน้าที่ของผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล▇▇▇▇▇▇รับมอบหมายจากผู้ควบคุมข้อมูล ส่วนบุคคลให้เป็นไปตามที่พระราชบัญญัตินี้กำหนด ด้วยเหตุนี้ จึงได้จัดทำข้อตกลงฉบับนี้เพื่อเป็นการกำหนด หน้าที่ดังต่อไปนี้ให้แก่คู่สัญญาของมหาวิทยลัย. (ในฐานะผู้ควบคุมข้อมูลส่วนบุคคล) ซึ่งมีสถานะเป็น ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล
- กำหนดเงื่อนไขและคำสั่งในการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลให้แก่ผู้ให้บริการภายนอก
- กำหนดให้ผู้ให้บริการภายนอกมีหน้าที่เก็บรักษาความลับและจัดให้มีมาตรการรักษาความปลอดภัยใน ข้อมูลส่วนบุคคลที่เหมาะสม
- กำหนดขั้นตอนและวิธีการให้แก่ผู้ให้บริการภายนอกในกรณีที่มีข้อมูลส่วนบุคคลรั่วไหล
- กำหนดให้ผู้ให้บริการภายนอกมีหน้าที่ในการทำลายข้อมูลส่วนบุคคล▇▇▇▇▇▇รับหลังสิ้นสุดสัญญา
- กำหนดให้ผู้ให้บริการภายนอกมีหน้าที่แจ้งมหาวิทยลัย ก่อนทุกครั้งที่มีการโอนข้อมูลส่วนบุคคล▇▇▇ ▇▇▇รับจากมหาวิทยลัย ไปยังต่างประเทศ
- กำหนดให้ผู้ให้บริการภายนอกมีหน้าที่ให้ความร่วมมือกับมหาวิทยลัย ในกรณีที่มหาวิทยลัย ต้องปฏิบัติการใด ๆ ให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
- กำหนดให้ผู้รับช่วงของผู้ให้บริการภายนอกมีหน้าที่ต้องปฏิบัติตามข้อตกลงให้▇▇▇▇▇▇ผลข้อมูลส่วน บุคคล▇▇▇▇เดียวกับผู้ให้บริการภายนอกที่เป็นคู่สัญญากับมหาวิทยลัยโดยตรง
๒. ที่มาและเหตุผลของการจัดทำเอกสาร
ใช้ในกรณีที่มหาวิทยลัย มีการทำสัญญากับบุคคลภายนอกและมีการส่งข้อมูลส่วนบุคคลของลูกค้าหรือ ของบุคคลอื่นไปให้บุคคลภายนอก▇▇▇▇▇▇ผล (▇▇▇▇ สัญญา▇▇▇▇ผลิตจดหมาย, สัญญา▇▇▇▇▇▇▇ปรึกษา, สัญญา▇▇▇▇ ติดตาม▇▇▇▇▇▇หนี้, สัญญา▇▇▇▇เก็บรักษาเอกสาร เป็นต้น) โดยให้จัดทำเป็นเอกสารแนบท้ายสัญญา และให้▇▇▇▇▇▇ ข้อตกลงฉบับนี้เป็นส่วนหนึ่งของสัญญา▇▇▇▇ ▇▇▇▇▇▇▇ มหาวิทยลัยควร▇▇▇▇▇▇การเจรจากับคู่สัญญาของมหาวิทยลัย เพื่อลงนามในข้อตกลงฉบับนี้ ทั้งสำหรับสัญญา▇▇▇▇▇▇มีการจัดทำขึ้นและมีผลใช้บังคับอยู่ก่อนแล้วและสัญญาที่จะมี การจัดทำขึ้นใหม่ใน▇▇▇▇▇▇▇▇มีลักษณะตามที่กล่าวไว้ข้างต้น