Contract
ข้อตกลงการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล
1. คํานิยามศัพท์
ในเอกสารแนบฉบับนี้คําเหล่านี้มีความหมายดังต่อไปนี้
“กฎหมายคุ้มครองข้อมูลส่วนบุคคล” หมายถึงกฎหมายคุ้มครองข้อมูลส่วนบุคคลและกฎหมายว่าด้วยความเป็นส่วนตัว ฉบับใดหรือทุกฉบับซึ่งมีผลบังคับใช้รวมถึงแต่ไม่จํากัดเพียง พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 “ผู้ควบคุมข้อมูล”, “ผู้▇▇▇▇▇▇ผลข้อมูล”, “เจ้าของข้อมูล”, “ข้อมูลส่วนบุคคล”, “การ▇▇▇▇▇▇ผล” (และ “▇▇▇▇▇▇ผล”) และ “ข้อมูลส่วนบุคคลตามมาตรา 26” ให้มีความหมายตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
2. ความ▇▇▇▇▇▇▇▇ระหว่างคู่สัญญา
ผู้ใช้บริการในฐานะผู้ควบคุมข้อมูล (“ผู้ใช้บริการ”) ตกลงให้ Themis ทําหน้าที่ผู้▇▇▇▇▇▇ผลข้อมูล (“ผู้ให้บริการ”) เพื่อ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลซึ่งระบุไว้ในสัญญา (ต่อไปนี้จะเรียกว่า“ข้อมูล▇▇▇▇▇▇▇▇”) ภายใต้ วัตถุประสงค์ซึ่งระบุไว้ในสัญญานี้หรือได้ตกลงกันเป็นลายลกษณ์▇▇▇▇▇ระหว่างคู่สัญญา (ต่อไปนี้จะเรียกว่า“วัตถุประสงค์ การ▇▇▇▇▇▇ผล”)
ผู้ให้บริการตกลงที่จะไม่เก็บรักษาใช้หรือเปิดเผยข้อมูล▇▇▇▇▇▇▇▇เพื่อการใดๆนอกเหนือจากวัตถุประสงค์ การ▇▇▇▇▇▇ผลเว้นแต่เป็นกรณีที่▇▇▇▇▇▇ทําได้ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลรวมถึงแต่ไม่จํากัดเพียงการเก็บ ▇▇▇▇▇▇▇▇ใช้หรือการเปิดเผยข้อมูล▇▇▇▇▇▇▇▇เพื่อประโยชน์ทางการค้านอกเหนือจากวัตถุประสงค์การ▇▇▇▇▇▇ผลและ ผู้ให้บริการจะไม่ซื้อหรือขายข้อมูล▇▇▇▇▇▇▇▇นี้
3. การถ่ายโอนข้อมูลไปยังต่างประเทศ
ข้อมูล▇▇▇▇▇▇▇▇จะถูกเก็บรักษาใน▇▇▇▇▇▇▇▇▇▇กําหนดไว้ในสัญญาหรือที่ผู้ใช้บริการได้กําหนดโดยผู้ให้บริการจะ ไม่ทําการถ่ายโอนข้อมูล▇▇▇▇▇▇▇▇ไปยัง▇▇▇▇▇▇▇อื่นเว้นแต่จะได้ใช้มาตรการที่จําเป็นภายใต้กฎหมายคุ้มครองส่วนบุคคล เพื่อรักษาความปลอดภัยการถ่ายโอนข้อมูล
มาตรการดังกล่าวอาจรวมถึงแต่ไม่จํากัดเพียงการถ่ายโอนข้อมูล▇▇▇▇▇▇▇▇ไปยังประเทศผู้รับซึ่งมีลักษณะ
1) เป็นประเทศที่มีมาตรฐานการคุ้มครองข้อมูลส่วนบุคคล▇▇▇▇▇▇▇▇▇▇ภายใต้กฎหมายคุ้มครองข้อมูล ส่วนบุคคล
2) มีการจัดทํานโยบายในการคุ้มครองข้อมูลส่วนบุคคลลักษณะของเครือกิจการหรอเครือธุรกิจเดยวกัน
ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
3) ได้ปฏิบัติตามร่างสัญญามาตรฐาน (Standard Contractual Clause, SCC)
อย่างไรก็ตามในกรณีมีความจําเป็นเพื่อให้บริการและเป็นกรณี▇▇▇▇▇▇รับคําสั่งให้▇▇▇▇▇▇ผลข้อมูล▇▇▇▇▇▇▇▇จาก ผู้ใช้บริการเป็นลายลักษณ์▇▇▇▇▇แล้วผู้ให้บริการ▇▇▇▇▇▇เข้าถึงและ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลจากพื้นที่หรือตําแหน่ง นอก▇▇▇▇▇▇▇▇▇▇กําหนดไว้ในสัญญาได้
4. มาตรการคุ้มครองความปลอดภัย ผู้ให้บริการมีหน้าที่จัดทํามาตรการรักษาความปลอดภัยทั้งทางนโยบายและทางเทคนิคเพื่อธํารงไว้ซึ่งมาตรฐานความ
ปลอดภัยที่เหมาะสมโดยมาตรการดังกล่าวจะต้องคํานึงถึงพัฒนาการทางเทคโนโลยีต้นทุนลักษณะขอบเขตบริบทและ วัตถุประสงค์การ▇▇▇▇▇▇ผลไปจนถึงความเสียหาย▇▇▇▇▇▇เกิดขึ้นและความร้ายแรงจากการละเมิด▇▇▇▇▇หรือเสรีภาพของบุคคล เพื่อคุ้มครองข้อมูล▇▇▇▇▇▇▇▇นี้จากเหตุละเมิดข้อมูลส่วนบุคคลซึ่งรวมถึงแต่ไม่จํากัดเพียงอุบัติเหตุการทําลายการสูญหายการ เปลี่ยนแปลงการเปิดเผยการโอนการเข้าถึงข้อมูล▇▇▇▇▇▇▇▇โดยไม่มี▇▇▇▇▇
▇▇▇ทดสอบความมั่นคงปลอดภัยของระบบโดยผู้ใช้บริการ▇▇▇▇▇▇ดําเนินการได้ผ่านข้อตกลงร่วมกันกับผู้ให้บริการเพื่อ เตรียมสถานการณ์ที่เหมาะสมแก่การทดสอบ
ระบบการจัดการความมั่นคงปลอดภัยของผู้ให้บริการได้รับการรับรองว่ามีระบบการจัดการการควบคุมคุณภาพตาม มาตรฐาน▇▇▇▇
5. การ▇▇▇▇▇▇ผลช่วง
ภายใต้บังคับของ▇▇▇▇▇และหน้าที่ที่ตกลงกันระหว่าง▇▇▇▇▇▇▇▇▇▇▇▇▇▇ผู้ใช้บริการได้ให้คําอนุญาตแก่ผู้ให้บริการในการให้ บุคคลภายนอก (“ผู้▇▇▇▇▇▇ผลช่วง”) เข้า▇▇▇▇▇▇ผลข้อมูล▇▇▇▇▇▇▇▇ภายใต้วัตถุประสงค์การ▇▇▇▇▇▇ผล ผู้ให้บริการมี หน้าที่ดังนี้
5.1. แก้ไขรายการผู้▇▇▇▇▇▇ผลช่วงให้เป็นปัจจุบันพร้อมราย▇▇▇▇▇▇▇▇▇▇เปลี่ยนแปลงแก้ไขและประกาศแจ้งล่วงหน้าอย่าง น้อย 30 ▇▇▇▇▇▇▇▇▇การเปลี่ยนแปลงเว้นแต่ในกรณีที่มีความจําเป็นเร่งด่วนและผู้ใช้บริการอาจเปิดใช้การแจ้งเตือนผ่าน ทางอีเมลเพื่อรับแจ้งประกาศการเปลี่ยนแปลงรายการผู้▇▇▇▇▇▇ผลช่วงได้
5.2. ดําเนินการให้ผู้▇▇▇▇▇▇ผลช่วงมีมาตรการรักษาความปลอดภัยตามกฎหมายที่เป็นมาตรฐานตามกฎหมาย
5.3. ▇▇ไว้ซึ่งความรับผิดชอบเมื่อเกิดเหตุละเมิดใด▇▇▇▇▇▇▇▇ซึ่งเกิดจากการกระทําไม่ว่าโดยประมาทหรือโดยงดเว้นของผู้ ▇▇▇▇▇▇ผลช่วง
ผู้ใช้บริการมี▇▇▇▇▇คัดค้านการแต่งตั้งผู้▇▇▇▇▇▇ผลช่วงได้ก่อนการแต่งตั้งดังกล่าวโดยต้องยื่นคําคัดค้านพร้อมหลักฐาน ซึ่งเกี่ยวข้องกับการคุ้มครองข้อมูลในกรณี▇▇▇▇นี้ผู้ใช้บริการอาจขอระงับหรือยุติการดําเนินการ▇▇▇▇▇▇▇▇โดยไม่เป็นการ กระทบต่อค่าธรรมเนียมใด ๆ ที่ผู้ใช้บริการได้ก่อให้เกิดขึ้นก่อนการระงับหรือยุติสัญญา
6. หน้าที่เกี่ยวกับ▇▇▇▇▇ของเจ้าของข้อมูลส่วนบุคคล
ผู้ให้บริการมีหน้าที่สนับสนุนผู้ใช้บริการด้วยมาตรการทางนโยบายและทางเทคนิคภายใต้เงื่อนไขความเป็นเหตุเป็น ผลและความเหมาะสมเพื่อให้ผู้ใช้บริการได้ตอบ▇▇▇▇ต่อ
6.1. คําร้องขอใช้▇▇▇▇▇ของเจ้าของข้อมูลส่วนบุคคลซึ่งอาจมี▇▇▇▇▇▇▇▇จะเข้าถึงแก้ไขคัดค้านลบและขอโอนข้อมูลส่วนบุคคลของ
ตนได้ตามกฎหมาย
6.2. จดหมายข้อสอบถามหรือคําร้องเรียนจากเจ้าของข้อมูลส่วนบุคคลหรือหน่วยงานผู้ทําหน้าที่กํากับดูแลหรือ บุคคลภายนอกซึ่งเกี่ยวข้องกับการ▇▇▇▇▇▇ผลข้อมูล▇▇▇▇▇▇▇▇
ในกรณีที่คําร้องจดหมายข้อสอบถามหรือคําร้องเรียนถูกส่งถึงผู้ให้บริการโดยตรงผู้ให้บริการจะดําเนินการติดต่อไป ยังผู้ใช้บริการโดยทันทีเพื่อแจ้งรายละเอียด▇▇▇▇▇▇รับทราบมา
7. การประเมินผลกระทบจากมาตรการคุ้มครองความปลอดภัยข้อมูล ผู้ให้บริการจะให้ความร่วมมือโดย▇▇▇▇▇▇▇▇▇▇เพื่อให้ผู้ใช้บริการได้ดําเนินการประเมินผลกระทบจากมาตรการคุ้มครอง
ความปลอดภัยข้อมูลซึ่งจะต้องปฏิบัติภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยผู้ใช้บริการเป็นผู้ออกค่าใช้จ่ายในการนี้
8. เหตุละเมิดข้อมูลส่วนบุคคล
ในกรณีที่เกิดเหตุละเมิดข้อมูลส่วนบุคคลผู้ให้บริการมีหน้าที่แจ้งไปยังผู้ใช้บริการโดย▇▇▇▇▇▇▇▇▇ถึงข้อมูลที่จําเป็นและ มีหน้าที่ให้ความร่วมมือแก่ผู้ใช้บริการเพื่อให้ผู้ใช้บริการ▇▇▇▇▇▇ดําเนินการตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลได้และ ผู้ให้บริการอาจตอบ▇▇▇▇และใช้มาตรการที่จําเป็นเพื่อ▇▇▇▇▇▇ผลกระทบจากเหตุละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้นโดยจะทํา การแจ้งไปยังผู้ใช้บริการถึงความเปลี่ยนแปลงที่เกิดขึ้นสืบเนื่องจากเหตุดังกล่าว
9. การลบข้อมูลหรือการโอนคืนข้อมูล
ภายใต้ข้อตกลงสิ้นสุดสัญญาผู้ใช้บริการมีเวลา 60 ▇▇▇▇▇▇จะนําข้อมูล▇▇▇▇▇▇▇▇นี้ออกจากระบบก่อนที่ผู้ให้บริการจะ ทําการลบข้อมูล▇▇▇▇▇▇▇▇ที่เก็บรักษาไว้ทั้งนี้ระยะเวลาดังกล่าวจะไม่มีผลในกรณีที่
9.1. ผู้ให้บริการมีหน้าที่ตามกฎหมายที่จะต้องเก็บรักษาข้อมูล▇▇▇▇▇▇▇▇ไว้
9.2. ข้อมูล▇▇▇▇▇▇▇▇ถูกเก็บรักษาไว้ในระบบหลังบ้านซึ่งผู้ให้บริการจะทําการเก็บรักษาไว้จนกว่าหน้าที่จะสิ้นสุดลง
10. การตรวจประเมิน
เมื่อมีการร้องขอตาม▇▇▇▇▇จากผู้ใช้บริการเป็นเวลาล่วงหน้าไม่น้อยกว่า 45 วันและมีการชําระค่าธรรมเนียมที่เหมาะสม ผู้ใช้บริการหรือตัวแทนของผู้ใช้บริการอาจเข้าตรวจสอบหรือตรวจประเมินการปฏิบัติงานและเอกสารของผู้ให้บริการได้ภายในเวลา ทําการซึ่งจะต้องไม่รบกวนธุรกิจการดําเนินการของผู้ให้บริการและไม่มากกว่าหนึ่งครั้งต่อปีเว้นแต่ในกรณีที่เกิดเหตุละเมิดข้อมูล ส่วนบุคคล
เพื่อหลีกเลี่ยงมิให้เป็นที่สงสัยขอบเขตของการตรวจสอบทางบัญชีจะถูกจํากัดเพียงเอกสารและบันทึกซึ่งแสดงการปฏิบติตาม กฎหมายคุ้มครองข้อมูลส่วนบุคคลของผู้ให้บริการซึ่งได้กล่าวถึงแล้วในข้อตกลงการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลนี้และจะไม่รวมถึง เอกสารทางการเงินของผู้ให้บริการหรือเอกสารอื่นใดที่เกี่ยวข้องกับผู้ใช้บริการรายอื่น
การตรวจสอบประเมินจะถูกดําเนินการทางไกลเมื่อ▇▇▇▇▇▇ทําได้และจะดําเนินการในสถานที่ในเฉพาะกรณีที่จําเป็นต้องเข้า ตรวจสอบพื้นที่ปฏิบัติงาน