(เอกสารฉบับที่ 8)

บันทึกข้อตกลงการ▇▇▇▇▇▇ผลข้อมูล (Data Processing Agreement)

ทำที่ ..........................................................

▇▇▇▇▇▇ ............. เดือน .................. พ.ศ. ..............

บันทึกข้อตกลงนี้ทำขึ้นระหว่าง

บริษัท ........................................ มีสำนักงานตั้งอยู่ที่ ...................................................................

โดย ............................................................................... ตำแหน่ง ......................................................................

เป็นผู้▇▇▇▇▇▇▇ลงนามผูกพัน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “บริษัทฯ”

กับ คลินิก ABC เลขที่....................................................................................................................

โดย.......................................................................................

ตาม▇▇▇▇▇▇▇สองฝ่ายได้ทำสัญญา ฉบับลงวนที่

............ ...................................... ทั้งสองฝ่ายจึงตกลงทำบันทึกข้อตกลงฉบับนี้ โดยให้บันทึกข้อตกลงฉบับนี้ เป็นส่วนหนึ่งของสัญญาดังกล่าว ดังมีข้อความต่อไปนี้

บทนิยาม

ข้อ ๑ หาก▇▇▇▇▇▇มีการกำหนดไว้เป็นอย่างอื่นในบันทึกข้อตกลงนี้ ให้ถ้อยคำในบันทึกข้อตกลงนี้มี ความหมายดังต่อไปนี้

“ข้อมูล” (data) หมายความว่า สิ่งที่สื่อความหมายให้รู้ข้อความ เรื่องราว ข้อเท็จจริง ความเห็น หรือสิ่งใด ๆ ไม่ว่าการสื่อความหมายนั้นจะทำได้โดยสภาพของสิ่งนั้นเองหรือโดยผ่านวิธีการใด ๆ และไม่ว่าจะ จัดทำไว้ในรูปของเอกสาร แฟ้ม รายงาน หนังสือ แผนผัง แผนที่ ภาพวาด ภาพถ่าย ฟิล์ม การบันทึกภาพหรือ เสียง การบันทึกโดยเครื่องคอมพิวเตอร์ หรือวิธีอื่นใดที่ทำให้สิ่งที่บันทึกไว้ปรากฏได้ และให้หมายความรวมถึง ข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ด้วย

“ข้อมูลส่วนบุคคล” (personal data) หมายถึง ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้▇▇▇▇▇▇ระบุตัว บุคคลนั้น▇▇▇ ▇▇▇ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

“เจ้าของข้อมูลส่วนบุคคล” (data subject) หมายถึง บุคคลธรรมดาซึ่งข้อมูลส่วนบุคคลเป็น ข้อมูลเกี่ยวกับผู้นั้น และ▇▇▇▇▇▇ระบุตัวบุคคลนั้น▇▇▇ ▇▇▇ว่าทางตรงหรือทางอ้อม และให้หมายความรวมถึงผู้ใช้ ▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇กระทำการแทนผู้เยาว์ ผู้อนุบาล▇▇▇▇▇▇▇▇▇▇กระทำการแทนคนไร้ความสามารถ หรือ ผู้▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇กระทำการแทน▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇ด้วย

“การ▇▇▇▇▇▇ผลข้อมูล” (data processing) หมาย▇▇▇ ▇▇▇กระทำอย่างหนึ่งหรือหลายอย่าง▇▇▇▇▇▇ กระทำต่อข้อมูลหรือชุดข้อมูล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ก็ตาม ซึ่งรวม▇▇▇▇▇▇เก็บรวบรวม (collection) การบันทึก (recording) การจัดระบบ (organization) การจัดโครงสร้าง (structuring) การจัดเก็บหรือเก็บรักษา (storage) การดัดแปลงหรือการเปลี่ยนแปลงแก้ไข (adaptation or alteration) การค้นคืน (retrieval) การ ปรึกษา (consultation) การใช้ (use) การเปิดเผยโดยการส่งผ่าน การเผยแพร่ หรือการทำให้พร้อมใช้งาน โดยวิธีการอื่นใด (disclosure by transmission, dissemination or otherwise making available) การปรับ

แนวหรือการรวมเข้ากัน (alignment or combination) การจำกัด (restriction) การลบ (erasure) และการ ทำลาย (destruction)

“การลบ” (erasure) หมาย▇▇▇ ▇▇▇ทำให้ข้อมูลส่วนบุคคลนั้นถูกลบออกจากระบบและ▇▇▇▇▇▇กู้ คืนได้ โดยเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล ทั้งนี้ ไม่ว่า ในเวลาใด ๆ

“ภัยคุกคามทางไซเบอร์” (cyber threat) หมายความว่า การกระทำหรือการ▇▇▇▇▇▇การใด ๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึง▇▇▇▇▇▇▇โดยมุ่งหมายให้▇▇▇▇▇▇▇ ประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึง ที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่น ที่เกี่ยวข้อง

“การละเมิดข้อมูลส่วนบุคคล” (personal data breach) หมาย▇▇▇ ▇▇▇ละเมิดมาตรการด้าน ความมั่นคงปลอดภัย ที่นำไปสู่การทำลาย (destruction) การสูญหาย (loss) การเปลี่ยนแปลงแก้ไข (alteration) การเปิดเผยโดยมิชอบหรือโดยปราศจาก▇▇▇▇▇ (unauthorized disclosure) หรือการเข้าถึง (access) ข้อมูลส่วนบุคคล▇▇▇▇▇▇รับการส่งผ่าน (transmitted) การจัดเก็บ (stored) หรือการ▇▇▇▇▇▇ผลโดย วิธีการอื่นใด (otherwise processed) ที่เกิดขึ้นโดยอุบัติเหตุ (accidental) หรือโดยมิชอบด้วยกฎหมาย (unlawful) ▇▇▇▇▇▇▇เกิด▇▇▇▇▇▇คุกคามทางไซเบอร์ หรือเกิดจากการกระทำของบุคคลภายในหรือภายนอก หรือ เหตุอื่นใด

“บันทึกข้อตกลง” หมายถึง บันทึกข้อตกลงการ▇▇▇▇▇▇ผลข้อมูลและเอกสารแนบท้ายบันทึก

ข้อตกลงนี้ (ถ้ามี)

“สัญญา” หมายถึง สัญญา ฉบับลง▇▇▇▇▇▇

......................................

ขอบเขตการบังคับใช้

ข้อ ๒ บันทึกข้อตกลงนี้ ใช้บังคับกับการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลระหว่างบริษัทฯ และคลินิก เพื่อให้มีการคุ้มครองข้อมูลส่วนบุคคลอย่างเหมาะสม และกำหนดหน้าที่ความรับผิดชอบของคู่สัญญาอย่าง เหมาะสม และเพื่อให้การ▇▇▇▇▇▇การ▇▇▇▇▇▇▇▇ เป็นไป

ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยบันทึกข้อตกลงนี้ถือเป็นส่วนหนึ่งของสัญญา

.................................................................................. และให้มีผลใช้บังคับตั้งแต่▇▇▇▇▇▇. ถึง▇▇▇▇▇▇

.....................................

ความ▇▇▇▇▇▇▇▇ระหว่างคู่สัญญา

ข้อ ๓ ในการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล▇▇▇▇▇▇▇▇และบันทึกข้อตกลงนี้

สำหรับการ ............................................................................... คลินิกจะอยู่ในฐานะ “ผู้ควบคุมข้อมูล ส่วนบุคคล” (controller) ตลอดระยะเวลาของสัญญา และ▇▇▇▇▇▇▇หน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยคลินิกในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมาย

ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี ส่วนบริษัทฯ จะอยู่ในฐานะ “ผู้▇▇▇▇▇▇ผลข้อมูล ส่วนบุคคล” (processor) ตลอดระยะเวลาของสัญญา และ▇▇▇▇▇▇การเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของคณะฯ และไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคลในขอบเขตของ สัญญาและบันทึกข้อตกลงนี้ โดยบริษัทฯ ในฐานะผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลมีหน้าที่ต้องปฏิบัติตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี

ในขณะที่สำหรับการ ............................................................................... บริษัทฯ จะอยู่ในฐานะ “ผู้ควบคุมข้อมูลส่วนบุคคล” (controller) ตลอดระยะเวลาของสัญญา และ▇▇▇▇▇▇▇หน้าที่ตัดสินใจเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล โดยบริษัทฯ ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ต้อง ปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี ส่วนคณะฯ จะอยู่ในฐานะ “ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล” (processor) ตลอดระยะเวลาของสัญญา และ▇▇▇▇▇▇การเกี่ยวกับการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของบริษัทฯ และไม่เป็นผู้ควบคุมข้อมูลส่วน บุคคลในขอบเขตของสัญญาและบันทึกข้อตกลงนี้ โดยคลินิก ในฐานะผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลมีหน้าที่ ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี

การ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล

ข้อ ๔ ผู้ควบคุมข้อมูลส่วนบุคคลตระหนักและยอมรับว่า การ ...................................................................

▇▇▇▇▇▇▇▇ และบันทึกข้อตกลงนี้ ถือ▇▇▇▇▇▇▇▇▇▇▇สั่งให้

ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลอาจทำการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลดังต่อไปนี้ไม่ว่าทั้งหมดหรือเพียงบางส่วน เท่าที่จำเป็นเพื่อการ▇▇▇▇▇▇การ▇▇▇▇▇▇▇▇หรือตามกฎหมาย

- ข้อมูล ...........................................................................

- ข้อมูล ...........................................................................

- ข้อมูล ...........................................................................

- ข้อมูล ...........................................................................

- ข้อมูล ...........................................................................

- ข้อมูลส่วนบุคคลอื่น▇▇▇▇▇▇มีการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล เพื่อให้เป็นไป▇▇▇▇▇▇▇▇และบันทึก

ข้อตกลงนี้

ข้อ ๕ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลจะทำการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามข้อ ๔ เฉพาะเพื่อให้

▇▇▇▇▇วัตถุประสงค์ของสัญญาและกระบวนการอื่น ๆ ที่เกี่ยวข้องเท่านั้น ซึ่งรวมถึงกรณีใดกรณีหนึ่งต่อไปนี้

(๑) เมื่อ ▇▇▇▇▇▇▇▇▇ในการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลที่สอดคล้อง

กับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลดังในตาราง โดยถือ▇▇▇▇▇▇▇▇▇▇ผู้ควบคุมข้อมูลส่วนบุคคล▇▇▇▇สั่ง ให้ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลอาจทำการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามข้อ ๔ ได้

(๒) เมื่อบุคลากร พนักงาน หรือลูกจ้างของผู้ควบคุมข้อมูลส่วนบุคคล▇▇▇▇▇▇▇▇▇▇หน้าที่เกี่ยวกับการ ปฏิบัติ▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇สั่งที่ชอบด้วยกฎหมายให้ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล▇▇▇▇▇▇การ และเป็นคำสั่ง▇▇▇▇▇▇เกิน วัตถุประสงค์ของสัญญา

(๓) เมื่อผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลได้รับคำสั่งที่เป็นลายลักษณ์▇▇▇▇▇จากผู้ควบคุมข้อมูล ส่วนบุคคลและเป็นคำสั่ง▇▇▇▇▇▇เกินวัตถุประสงค์ของสัญญา

(๔) เมื่อผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลมีเหตุจำเป็นต้องทำการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลเพื่อให้ เป็นไปตามกฎหมาย หรือกรณีอื่นที่▇▇▇▇▇▇กระทำได้ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล โดยจะต้อง แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบโดย▇▇▇▇▇▇▇▇▇ด้วย

ข้อ ๖ ในกรณีที่ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลพิจารณาแล้วเห็นว่า การออกคำสั่งให้ทำการ

▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามข้อ ๕ นั้น เป็นการออกคำสั่งที่ขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูล ส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล หรืออยู่นอกเหนือไปจากวัตถุประสงค์ของสัญญา ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลจะไม่ทำการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามคำสั่งนั้น โดย▇▇▇▇▇▇▇▇▇เป็นการกระทำผิด สัญญาหรือบันทึกข้อตกลงนี้ และผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล▇▇▇▇▇▇ให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบโดย▇▇▇▇

ในกรณีที่ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลทำการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามข้อ ๕ (๑) (๒) หรือ (๓) และปรากฏข้อเท็จจริงว่าการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลดังกล่าวขัดต่อกฎหมายหรือบทบัญญัติ ในการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ความรับผิดในความเสียหาย หรือการกระทำดังกล่าวให้เป็นไปตามบันทึกข้อตกลงนี้

ข้อ ๗ เพื่อให้ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล▇▇▇▇▇▇ทำการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล▇▇▇▇▇▇▇▇

อย่างถูกต้องตามกฎหมาย ผู้ควบคุมข้อมูลส่วนบุคคลตกลงและรับรองว่า ก่อนการเปิดเผยข้อมูลส่วนบุคคลให้แก่ผู้ ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล และก่อนหรือในขณะที่ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลจะทำการ▇▇▇▇▇▇ผลข้อมูล ส่วนบุคคลตามข้อ ๕ ผู้ควบคุมข้อมูลส่วนบุคคลได้พิจารณาแล้วว่า การ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลดังกล่าว ▇▇ ▇▇▇ในการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล (lawful basis for processing personal data) ที่สอดคล้องกับกฎหมาย ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และในกรณีที่ต้องได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล ผู้ควบคุม ข้อมูลส่วนบุคคลรับรองว่า ผู้ควบคุมข้อมูลส่วนบุคคลได้ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคลและได้รับ ความยินยอมโดยชอบด้วยกฎหมายแล้ว ทั้งนี้ เว้นแต่จะเป็นข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลส่วนบุคคลได้เก็บ รวบรวมไว้ก่อน▇▇▇▇▇▇กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลใช้บังคับ ซึ่ง▇▇▇▇▇▇เก็บรวบรวมและใช้ข้อมูล ส่วนบุคคลนั้นต่อไปได้ตามวัตถุประสงค์เดิม

ข้อ ๘ ผู้ควบคุมข้อมูลส่วนบุคคลรับทราบและตกลงที่จะปฏิบัติหน้าที่ตามที่กฎหมายว่าด้วยการ

คุ้มครองข้อมูลส่วนบุคคลกำหนดให้เป็นหน้าที่ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล ตลอดจนหน้าที่ความ รับผิดชอบตามกฎหมายอื่น ซึ่งรวมถึง

(๑) การแจ้งรายละเอียดในการเก็บรวบรวมข้อมูลส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลทราบก่อน หรือในขณะเก็บรวบรวมข้อมูลส่วนบุคคล (privacy notice)

(๒) การ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามวัตถุประสงค์▇▇▇▇▇▇แจ้งเจ้าของข้อมูลส่วนบุคคลไว้ก่อนหรือ ในขณะที่เก็บรวบรวม

(๓) การเก็บรวบรวมข้อมูลส่วนบุคคลจากแหล่งอื่นที่ไม่ใช่จากเจ้าของข้อมูลส่วนบุคคลโดยตรง

(๔) การใช้หรือเปิดเผยข้อมูลส่วนบุคคล

(๕) การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ

(๖) การ▇▇▇▇▇▇การที่เกี่ยวกับ▇▇▇▇▇ของเจ้าของข้อมูลส่วนบุคคล

(๗) การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจาก▇▇▇▇▇หรือโดยมิชอบ และการทบทวนมาตรการ ดังกล่าวเมื่อมีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคง ปลอดภัยที่เหมาะสม ทั้งนี้ ต้องเป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศ กำหนด

(๘) การ▇▇▇▇▇▇การเพื่อป้องกันมิให้บุคคลหรือนิติบุคคลอื่นที่ไม่ใช่ผู้ควบคุมข้อมูลส่วนบุคคลใช้หรือ เปิดเผยข้อมูลส่วนบุคคลโดยปราศจาก▇▇▇▇▇หรือโดยมิชอบ ในกรณีที่ต้องให้ข้อมูลส่วนบุคคลแก่ผู้นั้น

(๙) การจัดให้มีระบบการตรวจสอบเพื่อ▇▇▇▇▇▇การลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนด ระยะเวลาการเก็บรักษา หรือ▇▇▇▇▇▇เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วน บุคคลนั้น หรือตามที่เจ้าของข้อมูลส่วนบุคคลร้องขอ หรือที่เจ้าของข้อมูลส่วนบุคคลได้ถอนความยินยอม เว้นแต่จะ เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

(๑๐) การแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล และ/หรือเจ้าของข้อมูลส่วนบุคคล โดย▇▇▇▇▇▇▇▇▇ ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลกำหนดให้ ▇▇▇▇▇▇การ

(๑๑) การแต่งตั้งตัวแทนของผู้ควบคุมข้อมูลส่วนบุคคล (เฉพาะกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคล อยู่นอกราชอาณาจักร)

(๑๒) การจัดทำบันทึกรายการ (record of processing activities) เพื่อให้เจ้าของข้อมูลส่วนบุคคล และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล▇▇▇▇▇▇ตรวจสอบได้

(๑๓) การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล การแจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ และการ สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลกำหนดให้▇▇▇▇▇▇การ

ข้อ ๙ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลรับทราบและตกลงที่จะปฏิบัติหน้าที่ตามที่กฎหมายว่าด้วยการ

คุ้มครองข้อมูลส่วนบุคคลกำหนดให้เป็นหน้าที่ความรับผิดชอบของผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล ตลอดจนหน้าที่ ความรับผิดชอบตามกฎหมายอื่น ซึ่งรวมถึง

(๑) การ▇▇▇▇▇▇การเกี่ยวกับการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามคำสั่ง▇▇▇▇▇▇รับจากผู้ควบคุมข้อมูล ส่วนบุคคลเท่านั้น เว้นแต่คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคลตามกฎหมายว่า ด้วยการคุ้มครองข้อมูลส่วนบุคคล

(๒) การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจาก▇▇▇▇▇หรือโดยมิชอบ รวมทั้งการแจ้งให้ผู้ควบคุม ข้อมูลส่วนบุคคลทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น

(๓) การจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการ▇▇▇▇▇▇ผลข้อมูลส่ วนบุคคลไว้ ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

(๔) การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล การแจ้งข้อมูลเกี่ยวกับเจ้าหน้าที่คุ้มครองข้อมูล ส่วนบุคคลให้เจ้าของข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลทราบ และการ สนับสนุนการปฏิบัติหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ในกรณีที่กฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคลกำหนดให้▇▇▇▇▇▇การ

ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลช่วง

ข้อ ๑๐ เพื่อประโยชน์ในการปฏิบัติ▇▇▇▇▇▇▇▇ เมื่อมีความจำเป็น ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล อาจมอบหมายงานเกี่ยวกับการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลทั้งหมดหรือแต่บางส่วนให้บุคคลอื่น (“ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลช่วง”) ▇▇▇▇▇▇การแทนหรือช่วยสนับสนุนในการ▇▇▇▇▇▇การได้ ทั้งนี้ ผู้ ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลยังต้องเป็นผู้รับผิดชอบในงาน▇▇▇▇▇▇มอบหมายไป▇▇▇▇▇▇▇▇และบันทึกข้อตกลงนี้ รวมถึงจะต้อง▇▇▇▇▇▇การให้ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลช่วงรับทราบและปฏิบัติตามกฎหมายว่าด้วยการ คุ้มครองข้อมูลส่วนบุคคล และสัญญาและบันทึกข้อตกลงนี้ รวมทั้งจะต้อง▇▇▇▇▇▇การให้ผู้▇▇▇▇▇▇ผลข้อมูล ส่วนบุคคลช่วงมีหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลและจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่ เหมาะสมในระดับ▇▇▇▇▇▇ต่ำกว่าหน้าที่ความรับผิดชอบของผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้

การขอใช้▇▇▇▇▇ของเจ้าของข้อมูลส่วนบุคคลและการปฏิบัติตามกฎหมาย

ข้อ ๑๑ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลจะให้ความร่วมมือ ช่วยเหลือ และสนับสนุนให้ผู้ควบคุม ข้อมูลส่วนบุคคล▇▇▇▇▇▇เข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลและตอบ▇▇▇▇ต่อคำขอของเจ้าของ ข้อมูลส่วนบุคคลที่เป็นการขอใช้▇▇▇▇▇ของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วน บุคคลได้ภายในเวลาอัน▇▇▇▇▇

ข้อ ๑๒ ในกรณีที่ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลได้รับคำขอจากเจ้าของข้อมูลส่วนบุคคลที่เป็น

การขอใช้▇▇▇▇▇ของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ผู้▇▇▇▇▇▇ผล ข้อมูลส่วนบุคคลต้องแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบและส่งคำขอนั้นต่อไปยังผู้ควบคุมข้อมูลส่วนบุคคล โดย▇▇▇▇▇▇▇▇▇ โดยจะไม่ทำการตอบ▇▇▇▇ต่อคำขอดังกล่าวเอง เว้นแต่จะมีการตกลงไว้เป็นอย่างอื่น

ข้อ ๑๓ คู่สัญญาจะให้ความร่วมมือ ช่วยเหลือ และสนับสนุนการ▇▇▇▇▇▇การที่เกี่ยวข้องของ

คู่สัญญาอีกฝ่ายหนึ่งตาม▇▇▇▇▇ เพื่อให้คู่สัญญาอีกฝ่ายหนึ่งนั้น▇▇▇▇▇▇ปฏิบัติให้เป็นไปตามกฎหมายและ พันธกรณีต่าง ๆ ได้ หรือในกรณี▇▇▇▇▇▇▇สั่งโดยชอบด้วยกฎหมายจากหน่วยงานของรัฐหรือเจ้าหน้าที่ของรัฐ เกี่ยวกับหน้าที่ของคู่สัญญา หรือเพื่อพิสูจน์ว่า▇▇▇▇▇▇▇▇▇▇▇ปฏิบัติตามที่กฎหมายกำหนดและตามที่กำหนดใน สัญญาและบันทึกข้อตกลงนี้ ในส่วนที่เกี่ยวกับการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลและการคุ้มครองข้อมูลส่วน บุคคล

มาตรการรักษาความมั่นคงปลอดภัย

ข้อ ๑๔ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีและธำรงรักษาไว้ซึ่งมาตรการรักษาความ มั่นคงปลอดภัยที่เหมาะสม ▇▇▇▇▇▇▇เป็นมาตรการด้านการบริหารจัดการขององค์กร มาตรการด้านกายภาพ มาตรการ

ด้านเทคนิค และมาตรการอื่น ๆ ที่จำเป็น เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูล ส่วนบุคคลโดยปราศจาก▇▇▇▇▇หรือโดยมิชอบ สำหรับการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล▇▇▇▇▇▇▇▇และบันทึก ข้อตกลงนี้ โดยจะต้องเป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด

ข้อ ๑๕ ในการกำหนดมาตรการตามข้อ ๑๔ ให้ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล▇▇▇▇▇ถึงหลักการ

บริหารความเสี่ยง โดยอย่างน้อยต้องประกอบด้วยวิธีการและมาตรการ ดังต่อไปนี้ เท่าที่จำเป็นและเหมาะสมกับ บริบท

(๑) Identify: การระบุความเสี่ยง▇▇▇▇▇▇จะเกิดขึ้นแก่คอมพิวเตอร์ ข้อมูล▇▇▇▇▇▇▇เป็นข้อมูล

อิเล็กทรอนิกส์และข้อมูลในรูปแบบอื่น ระบบคอมพิวเตอร์ ข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ ทรัพย์สิน และชีวิตร่างกายของบุคคล ในส่วนที่เกี่ยวข้องกับการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล

(๒) Protect: มาตรการป้องกันความเสี่ยง▇▇▇▇▇▇จะเกิดขึ้น

(๓) Detect: มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์และเหตุการละเมิดข้อมูลส่วน

บุคคล

(๔) Respond: มาตรการ▇▇▇▇▇เหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์หรือเหตุการละเมิด

ข้อมูลส่วนบุคคล

(๕) Recover: มาตรการรักษาและฟื้นฟูความ▇▇▇▇▇▇▇▇▇▇เกิด▇▇▇▇▇▇คุกคามทางไซเบอร์หรือเหตุการ ละเมิดข้อมูลส่วนบุคคล

ข้อ ๑๖ มาตรการป้องกันความเสี่ยงของผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามข้อ ๑๕ (๒)

ควรประกอบด้วยมาตรการอย่างน้อยดังนี้ ในส่วนที่เกี่ยวกับระบบสารสนเทศที่มีการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล เท่าที่▇▇▇▇▇▇จะกระทำได้

(๑) มาตรการรักษาความมั่นคงปลอดภัยด้านการบริหารจัดการ (administrative security) ซึ่งรวม▇▇▇ ▇▇▇กำหนดและสื่อสารนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคงปลอดภัย ของระบบสารสนเทศ และการบริหารจัดการความเสี่ยงที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

(๒) มาตรการรักษาความมั่นคงปลอดภัยด้านกายภาพ (physical security) ของอุปกรณ์และ ส่วนประกอบของระบบสารสนเทศและข้อมูลที่จัดเก็บ

(๓) มาตรการรักษาความมั่นคงปลอดภัยด้านผู้ใช้งาน (user security) ซึ่งรวม▇▇▇▇▇▇ฝึกอบรมและ สร้างเสริมความตระหนักรู้และการด้านความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลและการรักษาความมั่นคง ปลอดภัย (security awareness training) แก่บุคลากร พนักงาน ลูกจ้าง หรือบุคคลอื่น ที่เป็นผู้ใช้งานหรือ ผู้เกี่ยวข้องกับระบบสารสนเทศและข้อมูลส่วนบุคคล การควบคุมการเข้าถึงข้อมูลส่วนบุคคลและอุปกรณ์ที่ใช้ในการ จัดเก็บและการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล (access control) การกำหนด▇▇▇▇▇ในการเข้าถึงข้อมูลส่วนบุคคลหรือ ระบบสารสนเทศ และการบริหารจัดการการเข้าถึงของผู้ใช้งาน (user access management) โดย▇▇▇▇▇ถึงบทบาท หน้าที่ ความจำเป็นในการใช้งาน และความมั่นคงปลอดภัยเป็นสำคัญ การกำหนดหน้าที่ความรับผิดชอบของ ผู้ใช้งาน (user responsibilities) เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดย▇▇▇▇▇▇รับอนุญาต การเปิดเผย การ▇▇▇▇▇▇▇ หรือการลักลอบทำสำเนาข้อมูลส่วนบุคคล หรือการลักขโมยอุปกรณ์ที่ใช้ในการจัดเก็บหรือการ▇▇▇▇▇▇ผลข้อมูล ส่วนบุคคล และการจัดให้มีวิธีการเพื่อให้▇▇▇▇▇▇ตรวจสอบย้อนหลังเกี่ยวกับการเข้าถึง เปลี่ยนแปลง ลบ หรือถ่าย โอนข้อมูลส่วนบุคคล (audit trails) ให้เหมาะสม

(๔) มาตรการรักษาความมั่นคงปลอดภัยด้านข้อมูล (data security) ซึ่งรวมถึงมาตรการควบคุมการ เข้าถึงข้อมูลที่เก็บรักษาไว้อย่างเหมาะสม และการ▇▇▇▇▇ข้อมูล

(๕) มาตรการรักษาความมั่นคงปลอดภัยด้านระบบสารสนเทศ (systems security) ซึ่งรวม▇▇▇▇▇▇ ปรับปรุงระบบปฏิบัติการและแอปพลิเคชันของเครื่องคอมพิวเตอร์แม่ข่าย (server) ให้เป็นปัจจุบันอยู่▇▇▇▇ ▇▇▇ตั้ง ค่าความมั่นคงปลอดภัย (security configurations) ที่เหมาะสม การมีระบบ▇▇▇▇▇ และการป้องกันภัยคุกคาม จากมัลแวร์

(๖) มาตรการรักษาความมั่นคงปลอดภัยด้านสินทรัพย์สารสนเทศ (asset security) ซึ่งรวมถึงความ มั่นคงปลอดภัยทางกายภาพและการปรับปรุงระบบปฏิบัติการและแอปพลิเคชันของเครื่องคอมพิวเตอร์ลูกข่ายและ อุปกรณ์ต่าง ๆ (endpoints) ที่ใช้งานระบบสารสนเทศให้เป็นปัจจุบันอยู่เสมอ และการป้องกันภัยคุกคาม จากมัลแวร์

(๗) มาตรการรักษาความมั่นคงปลอดภัยด้านซอฟต์แวร์และแอปพลิเคชัน (software and application security) ซึ่งรวม▇▇▇▇▇▇ออกแบบและทดสอบความมั่นคงปลอดภัยของซอฟต์แวร์และแอปพลิเคชัน การประเมินและกำกับดูแลกระบวนการพัฒนาซอฟต์แวร์ (software development process) ที่เหมาะสมโดย ▇▇▇▇▇ถึงความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ ไม่ว่าจะเป็นซอฟต์แวร์หรือแอปพลิเคชันที่พัฒนาเอง หรือ นำมาใช้จากภายนอก หรือให้บุคคลภายนอกพัฒนาให้ก็ตาม รวมทั้งกระบวนการบำรุงรักษา (maintenance) ซอฟต์แวร์และแอปพลิเคชันที่เหมาะสม

(๘) มาตรการรักษาความมั่นคงปลอดภัยด้านการสื่อสารและระบบเครือข่าย (communication and network security) ซึ่งรวมถึงความมั่นคงปลอดภัยทางกายภาพของอุปกรณ์ในระบบเครือข่าย การออกแบบและ บริหารจัดการระบบเครือข่ายที่เหมาะสม การควบคุมการจราจรของข้อมูลในระบบเครือข่ายโดยใช้ firewall การมี ระบบป้องกันการโจมตี (intrusion prevention system) การปรับปรุงเฟิร์มแวร์ (firmware) และซอฟต์แวร์ของ อุปกรณ์ในระบบเครือข่ายให้เป็นปัจจุบัน และการเข้ารหัส (encryption) ของข้อมูลที่มีความ▇▇▇▇▇▇▇▇▇ที่ส่งผ่านระบบ เครือข่าย

ข้อ ๑๗ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลจะต้องทบทวนมาตรการตามข้อ ๑๔ ข้อ ๑๕ และข้อ ๑๖ เมื่อ

มีความจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลงไปเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสม โดย▇▇▇▇▇ถึงความ▇▇▇▇▇▇▇▇ทางเทคโนโลยี ค่าใช้จ่ายในการ▇▇▇▇▇▇การ ลักษณะ ขอบเขต บริบท และวัตถุประสงค์ ของการ▇▇▇▇▇▇ผลข้อมูลประกอบกัน

ข้อ ๑๘ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลจะใช้ความ▇▇▇▇▇▇ตาม▇▇▇▇▇ให้การเข้าถึงและการ

▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลจำกัดเฉพาะบุคลากร พนักงาน และลูกจ้างของผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล หรือบุคคล▇▇▇▇▇▇รับมอบหมาย ซึ่งมีความจำเป็นในการเข้าถึงหรือการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามหลักความ จำเป็นในการเข้าถึงข้อมูล (need-to-know basis) เพื่อ▇▇▇▇▇▇การให้เป็นไป▇▇▇▇▇▇▇▇และบันทึกข้อตกลงนี้ หรือเพื่อปฏิบัติการอื่นที่เป็นไปตามกฎหมายเท่านั้น และ▇▇▇▇▇▇การให้บุคคลดังกล่าวรักษาความลับในการ ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล และปฏิบัติตามหน้าที่ความรับผิดชอบของผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลใน สัญญาและบันทึกข้อตกลงนี้

ข้อ ๑๙ ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่จัดให้มีมาตรการรักษาความมั่นคงปล อดภัยที่

เหมาะสม เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลส่วนบุคคลโดยปราศจาก▇▇▇▇▇

หรือโดยมิชอบ สำหรับการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลในส่วนที่อยู่นอกเหนือความควบคุมและความ

รับผิดชอบของผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล ตลอดจนการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลที่ผู้ควบคุมข้อมูลสวน

บุคคล▇▇▇▇▇▇การ หรือบุคคลอื่น▇▇▇▇▇▇การในนามผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล เพื่อเปิดเผยโดยการส่งผ่าน การเผยแพร่ หรือการทำให้พร้อมใช้งานโดยวิธีการอื่นใด ให้แก่ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล ก่อนที่ผู้ ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลจะทำการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลนั้นในส่วนของตน

เหตุการละเมิดข้อมูลส่วนบุคคล (Personal Data Breaches)

ข้อ ๒๐ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลมีหน้าที่▇▇▇▇▇▇▇ดูแลและมีมาตรการตรวจสอบและเฝ้า ระวัง (detective measures) การกระทำ▇▇▇▇▇▇มีลักษณะเป็นการเข้าถึงหรือการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล โดยปราศจาก▇▇▇▇▇หรือโดยมิชอบตาม▇▇▇▇▇ และเมื่อทราบเหตุการละเมิดข้อมูลส่วนบุคคล ผู้▇▇▇▇▇▇ผล ข้อมูลส่วนบุคคลมีหน้าที่ตอบ▇▇▇▇ต่อเหตุดังกล่าวในเบื้องต้นตาม▇▇▇▇▇เพื่อลดความเสี่ยงหรือผลกระทบจาก เหตุดังกล่าว ตลอดจนเพื่อรวบรวมข้อมูลจราจรทางคอมพิวเตอร์และพยานหลักฐานที่เกี่ยวข้องสำหรับการ ▇▇▇▇▇▇การต่อไป

ข้อ ๒๑ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลมีหน้าที่แจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบถึงเหตุการ

ละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นจากการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลในความรั บผิดชอบของผู้▇▇▇▇▇▇ผล ข้อมูลส่วนบุคคลโดย▇▇▇▇▇▇▇▇▇ ภายในสี่สิบแปดชั่วโมงนับแต่ทราบเหตุเท่าที่จะ▇▇▇▇▇▇กระทำได้ เว้นแต่การ ละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อ▇▇▇▇▇และเสรีภาพของบุคคล โดยอย่างน้อยจะต้องให้ข้อมูล ต่อไปนี้แก่ผู้ควบคุมข้อมูลส่วนบุคคลเป็นลายลักษณ์▇▇▇▇▇โดยเร็วเท่าที่จะ▇▇▇▇▇▇กระทำได้

(๑) รายละเอียดของเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น และผล▇▇▇▇▇▇เกิดขึ้น

(๒) การ▇▇▇▇▇▇การ▇▇▇▇▇▇กระทำไปเพื่อตอบ▇▇▇▇ต่อเหตุดังกล่าว

(๓) ประเภทของข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับเหตุดังกล่าว

(หากเป็นไปได้)

(๔) ความเห็นต่อเหตุดังกล่าวและมาตรการที่ควร▇▇▇▇▇▇การต่อไป

ข้อ ๒๒ การแจ้งเหตุการณ์ละเมิดข้อมูลส่วนบุคคลแก่สำนักงานคณะกรรมการคุ้มครองข้อมูล ส่วนบุคคล และ/หรือเจ้าของข้อมูลส่วนบุคคล เป็นหน้าที่ความรับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคล โดยผู้ ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล จะต้องให้ความร่วมมืออย่างเต็มที่เพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคล▇▇▇▇▇▇ ▇▇▇▇▇▇การดังกล่าว รวมทั้งการ▇▇▇▇▇▇การทางกฎหมายอย่างอื่นที่เกี่ยวข้องได้

ข้อ ๒๓ หลังเกิดเหตุการละเมิดข้อมูลส่วนบุคคล คู่สัญญามีหน้าที่รับผิดชอบ▇▇▇▇▇▇การในส่วน

ของตน เพื่อเยียวยาผู้▇▇▇▇▇▇▇▇กระทบจากเหตุดังกล่าว และทบทวนและพิจารณาปรับปรุงมาตรการรักษาความ มั่นคงปลอดภัยเพื่อให้มีประสิทธิภาพในการรักษาความมั่นคงปลอดภัยที่เหมาะสมและเพียงพอ

ข้อ ๒๔ คู่สัญญามีหน้าที่ให้ความร่วมมือ ช่วยเหลือ และสนับสนุนการ▇▇▇▇▇▇การที่เกี่ยวข้องของ

คู่สัญญาอีกฝ่ายหนึ่งตาม▇▇▇▇▇ เพื่อให้คู่สัญญาอีกฝ่ายหนึ่งนั้น▇▇▇▇▇▇ป้องกัน เฝ้าระวัง ตรวจสอบ ตอบ▇▇▇▇ แก้ไข และฟื้นฟูจากเหตุการละเมิดข้อมูลส่วนบุคคล ตลอดจนเก็บรวบรวมข้อมูลจราจรทางคอมพิวเตอร์และ พยานหลักฐานที่เกี่ยวข้อง และ▇▇▇▇▇▇การตามกฎหมายที่เกี่ยวข้องในส่วนของตนได้

การส่งหรือโอนข้อมูลส่วนบุคคลไปต่างประเทศ (Cross-Border Data Transfer)

ข้อ ๒๕ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลจะไม่ส่งหรือโอน (transfer) ข้อมูลส่วนบุคคลไป ต่างประเทศหรือองค์การระหว่างประเทศ เว้นแต่จะได้รับความยินยอมจากผู้ควบคุมข้อมูลส่วนบุคคลเป็นลาย ลักษณ์▇▇▇▇▇ หรือเป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ ไม่รวม▇▇▇▇▇▇ส่งผ่าน (transit) ข้อมูลส่วนบุคคลในต่างประเทศ ที่ไม่มีการเข้าถึงข้อมูลส่วนบุคคลโดยบุคคลอื่นนอกเหนือจากบุคลากร พนักงาน และลูกจ้างของผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลหรือผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลช่วง

การลบและการเก็บรักษาข้อมูลส่วนบุคคล

ข้อ ๒๖ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลมีหน้าที่▇▇▇▇▇▇การลบหรือทำลาย หรือทำให้ข้อมูลส่วน บุคคลตามบันทึกข้อตกลงนี้ เป็นข้อมูล▇▇▇▇▇▇▇▇▇▇▇▇ระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ภายในเวลา

..... ปี นับแต่▇▇▇▇▇▇สัญญาสิ้นสุดลง หรือเมื่อไม่มีความจำเป็นต้องทำการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลดังกล่าวอีก ต่อไป หรือกรณีที่มีเหตุอื่นตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล เว้นแต่จะได้รับอนุญาตเป็นลาย

ลักษณ์▇▇▇▇▇จากผู้ควบคุมข้อมูลส่วนบุคคลให้เก็บรักษาข้อมูลดังกล่าวไว้นานกว่านั้น และผู้ควบคุมข้อมูลสวน

บุคคลอาจขอให้ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลแสดงหลักฐานตาม▇▇▇▇▇เพื่อพิสูจน์การ▇▇▇▇▇▇การ หรือมี หนังสือยืนยันและรับรองว่าได้▇▇▇▇▇▇การดังกล่าวแล้ว

ข้อ ๒๗ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลอาจเก็บรักษาข้อมูลส่วนบุคคลไว้เพื่อการก่อตั้ง▇▇▇▇▇

เรียกร้องตามกฎหมาย การปฏิบัติตามหรือการใช้▇▇▇▇▇เรียกร้องตามกฎหมาย หรือการยกขึ้นต่อสู้▇▇▇▇▇เรียกร้อง

ตามกฎหมาย หรือเพ การปฏิบัติตามกฎหมาย ▇▇▇▇▇▇ขัดต่อกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล

ข้อ ๒๘ ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลอาจเก็บรักษาข้อมูลส่วนบุคคลเท่าที่จำเป็นเพื่อแสดง▇▇▇ ▇▇▇ปฏิบัติ▇▇▇▇▇▇▇▇และบันทึกข้อตกลงนี้ได้

ข้อ ๒๙ เมื่อสัญญาสิ้นสุดลง หรือก่อนที่ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลจะ▇▇▇▇▇▇การลบหรือ

ทำลาย หรือทำให้ข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ เป็นข้อมูล▇▇▇▇▇▇▇▇▇▇▇▇ระบุตัวบุคคลที่เป็นเจ้าของ ข้อมูลส่วนบุคคลได้ ผู้ควบคุมข้อมูลส่วนบุคคลอาจแจ้งให้ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลส่งสำเนาข้อมูลส่วน บุคคลตามบันทึกข้อตกลงนี้ให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลได้ โดยไม่กระทบต่อ▇▇▇▇▇และหน้าที่ของผู้ ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลในการเก็บรักษาข้อมูลไว้ตามความจำเป็นตามบันทึกข้อตกลงนี้ โดยหน้าที่ในการ ปฏิบัติการให้เป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและกฎหมายอื่น ต่อการ▇▇▇▇▇▇ผล ข้อมูลส่วนบุคคลของข้อมูลส่วนบุคคลที่ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลส่งให้ผู้ควบคุมข้อมูลส่วนบุคคลเป็นความ รับผิดชอบของผู้ควบคุมข้อมูลส่วนบุคคลเอง

ข้อ ๓๐ เมื่อสัญญาสิ้นสุดลง และ/หรือบันทึกข้อตกลงนี้สิ้นสุดลง ในระหว่างที่ผู้▇▇▇▇▇▇ผล

ข้อมูลส่วนบุคคลยัง▇▇▇▇▇▇▇▇▇▇▇▇การลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ เป็นข้อมูล ▇▇▇▇▇▇▇▇▇▇▇▇ระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ ตามข้อ ๒๖ ให้ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลยังมี หน้าที่ความรับผิดชอบตามบันทึกข้อตกลงนี้เท่าที่จำเป็นและไม่ขัดกับกฎหมาย เพื่อประโยชน์ในการคุ้มครอง ข้อมูลส่วนบุคคลที่ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลรับผิดชอบ

ขอบเขตของความรับผิด

ข้อ ๓๑ เว้นแต่จะกำหนดไว้เป็นอย่างอื่น ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลไม่ต้องรับผิดในความ เสียหายหรือการกระทำอันเกิดจากการปฏิบัติตามบันทึกข้อตกลงนี้ หรือตามคำสั่งของผู้ควบคุมข้อมูลส่วน บุคคล เพื่อให้▇▇▇▇▇วัตถุประสงค์ในการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล▇▇▇▇▇▇▇▇

ข้อ ๓๒ ในกรณีที่ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลต้องรับผิดชดใช้ค่าเสียหายหรือชำระค่าปรับ อัน

เนื่องมาจากการปฏิบัติตามบันทึกข้อตกลง หรือตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล เพื่อให้▇▇▇▇▇ วัตถุประสงค์ในการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล▇▇▇▇▇▇▇▇ ไม่ว่าจะด้วยเหตุใดก็ตาม ผู้▇▇▇▇▇▇ผลข้อมลส่วน บุคคลมี▇▇▇▇▇เรียกร้องให้ผู้ควบคุมข้อมูลส่วนบุคคลชดใช้เงินจำนวนดังกล่าวให้แก่ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล เว้นแต่จะพิสูจน์ได้ว่าความรับผิดดังกล่าวเป็นการกระทำผิดโดย▇▇▇▇▇หรือเป็นความบกพร่องของผู้▇▇▇▇▇▇ผล ข้อมูลส่วนบุคคลเองหรือผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลช่วงของผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล

การเปลี่ยนแปลงแก้ไขบันทึกข้อตกลง

ข้อ ๓๓ กรณีที่จำเป็นต้องมีการเปลี่ยนแปลงแก้ไขบันทึกข้อตกลงเพื่อให้คู่สัญญา▇▇▇▇▇▇ทำการ ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลต่อไปได้อย่างเหมาะสมและมี ประสิทธิภาพ ให้▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇จะแก้ไขเพิ่มเติมบันทึกข้อตกลงนี้ แจ้งให้อีกฝ่ายทราบล่วงหน้าเป็นเวลา ไม่น้อยกว่า ๓๐ วัน และเมื่อทั้งสองฝ่ายให้ความยินยอมในการแก้ไขเพิ่มเติมแล้ว ให้จัดทำบันทึกข้อตกลงฉบับ แก้ไขเพิ่มเติมเป็นหนังสือ และลงนามผูกพันโดยผู้▇▇▇▇▇▇▇ลงนามผูกพันนิติบุคคล และให้▇▇▇▇▇▇การแก้ไขเพิ่มเติม ดังกล่าวเป็นส่วนหนึ่งของบันทึกข้อตกลงนี้ โดยให้มีผลใช้บังคับตั้งแต่▇▇▇▇▇▇ลงนามในบันทึกข้อตกลงฉบับแก้ไข เพิ่มเติมนั้น เว้นแต่จะกำหนดเป็นอย่างอื่นในบันทึกข้อตกลงฉบับแก้ไขดังกล่าว

บันทึกข้อตกลงนี้ทำขึ้นสองฉบับมีข้อความถูกต้องตรงกัน ทั้งสองฝ่ายได้อ่านและเข้าใจบันทึก ข้อตกลงนี้โดยละเอียดตลอดแล้ว เห็นว่าตรงตาม▇▇▇▇▇▇▇▇▇▇▇▇ได้ให้ไว้ต่อกันทุกประการ จึงได้ลงลายมือชื่อไว้ เป็นสำคัญต่อหน้าพยานและแต่ละฝ่ายต่างได้ยึดถือไว้ฝ่ายละฉบับ