Data Processing Agreement)
ข้อตกลงการ▇▇▇▇▇▇ผลข้อมูล
(Data Processing Agreement)
● ข้อตกลงให้▇▇▇▇▇▇ผลข้อมูลนี้มีขอบเขตการบังคับใช้กับการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลของผู้ใช้บริการ
● ข้อตกลงนี้ถือเป็นส่วนหนึ่งของสัญญาการให้บริการหลัก
● ข้อตกลงนี้ถูกจัดทำขึ้นเพื่อปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ▇▇▇▇ ▇▇▇▇▇ ▇▇
วรรคสาม
1. ความ▇▇▇▇▇▇▇▇ระหว่างคู่สัญญา
1.1 องค์การขนส่งมวลชนกรุงเทพ (“ผู้ใช้บริการ”)
ผู้ใช้บริการจะอยู่ในฐานะผู้ควบคุมข้อมูลตลอดระยะเวลาของสัญญาการให้บริการหลัก โดยผู้ใช้บริการในฐานะผู้ควบคุมข้อมูลมีหน้าที่ต้องปฏิบัติตามกฎหมายเกี่ยวกับการควบคุมข้อมูล ที่มีผลใช้บังคับกับกรณี
1.2 [ชื่อของผู้▇▇▇▇▇▇ผลข้อมูล] ("ผู้ให้บริการ") ผู้ให้บริการจะอยู่ในฐานะของผู้▇▇▇▇▇▇ผลข้อมูลตลอดระยะเวลาของสัญญาการให้บริการหลัก
โดยผู้ให้บริการในฐานะผู้▇▇▇▇▇▇ผลข้อมูลมีหน้าที่ต้องปฏิบัติตามกฎหมายเกี่ยวกับการ▇▇▇▇▇▇ผล ข้อมูลที่มีผลใช้บังคับกับกรณี
2. คำนิยาม
“สัญญาการให้บริการหลัก” | หมายถึง | [สัญญาการให้บริการหลัก] ระหว่าง องค์การขนส่ง มวลชนกรุงเทพ และ [ชื่อของผู้▇▇▇▇▇▇ผลข้อมูล] ลง▇▇▇▇▇▇ [•] |
“ข้อตกลง” | หมายถึง | ข้อตกลงให้▇▇▇▇▇▇ผลข้อมูลฉบับนี้ |
“กฎหมายคุ้มครองข้อมูล ส่วนบุคคล” | หมายถึง | พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และประกาศหรือ▇▇▇▇▇▇▇▇▇▇เกี่ยวข้อง |
“ข้อมูลส่วนบุคคล” | หมายถึง | ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้▇▇▇▇▇▇ระบุตัวบุคคลนั้น▇▇▇ ▇▇▇ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของ ผู้ถึงแก่กรรมโดยเฉพาะ |
“เจ้าของข้อมูล” | หมายถึง | บุคคลธรรมดาซึ่ง▇▇▇▇▇▇ถูกระบุตัวตนได้โดยข้อมูล ส่วนบุคคล ไม่ว่าจะโดยทางตรงหรือทางอ้อม และให้ หมายรวมถึงผู้ใช้▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇กระทำการ แทนผู้เยาว์ ผู้อนุบาล▇▇▇▇▇▇▇▇▇▇กระทำการแทน คนไร้ความสามารถ และผู้▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇กระทำการ แทน▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇▇ |
“▇▇▇▇▇▇ผลข้อมูล” | หมาย▇▇▇ | ▇▇▇เก็บรวบรวม การใช้ การเปิดเผย การลบ การทำลาย ข้อมูลส่วนบุคคลภายใต้กฎหมายคุ้มครองข้อมูล ส่วนบุคคล |
“ละเมิดข้อมูลส่วนบุคคล” | หมาย▇▇▇ | ▇▇▇รั่วไหล หรือการละเมิดมาตรการความมั่นคงปลอดภัย ต่อข้อมูลส่วนบุคคลซึ่งทำให้เกิดความเสียหาย สูญหาย เปลี่ยนแปลง ไม่ว่าจะโดยอุบัติเหตุหรือโดยมิชอบ ด้วยกฎหมาย รวม▇▇▇▇▇▇เปิดเผย, เข้าถึง, เก็บรวบรวม หรือ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลใด ๆ โดย▇▇▇▇▇▇รับอนุญาต |
3. ประเภทของข้อมูลส่วนบุคคล
3.1 ผู้ใช้บริการตระหนักและยอมรับว่าการใช้บริการ▇▇▇▇▇▇▇▇การให้บริการหลัก ถือเป็นการสั่งให้ผู้ให้ บริการอาจทำการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลที่จำเป็นสำหรับการบริการที่กำหนดไว้ในสัญญาการ ให้บริการหลัก
3.2 ผู้ใช้บริการยอมรับว่าการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลของผู้ให้บริการประกอบด้วยข้อมูล ส่วนบุคคลดังต่อไปนี้ ไม่ว่าทั้งหมดหรือเพียงบางส่วน
รายการข้อมูลส่วนบุคคล |
[โปรดระบุประเภทข้อมูลส่วนบุคคลที่เกี่ยวข้อง ▇▇▇▇ ชื่อ-นามสกุล ที่อยู่ อีเมล] |
4. หน้าที่ในการ▇▇▇▇▇▇ข้อมูล
4.1 ผู้ให้บริการจะทำการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลตามคำสั่งที่เป็นลายลักษณ์▇▇▇▇▇จากผู้ใช้บริการอัน ได้แก่ การ▇▇▇▇▇▇ผลข้อมูลตามวัตถุประสงค์ดังต่อไปนี้เท่านั้น เว้นแต่จะ▇▇▇▇สั่งจากผู้ใช้บริการให้ ▇▇▇▇▇▇ผลข้อมูลเพิ่มเติม ตามข้อ 4.2
ชื่อกิจกรรม (รหัสกิจกรรมตาม ROP (ROP ID)) | วัตถุประสงค์ | รายการข้อมูลส่วนบุคคล |
[โปรดระบุ] | [โปรดระบุ] | [โปรดระบุ] |
4.2 ผู้ใช้บริการอาจ▇▇▇▇สั่งเป็นลายลักษณ์▇▇▇▇▇ให้ผู้ให้บริการ▇▇▇▇▇▇ผลข้อมูลเพิ่มเติม โดยผู้ให้บริการจะทำการ▇▇▇▇▇▇ผลข้อมูลดังกล่าวโดย▇▇▇▇
4.3 ในกรณีที่ผู้ให้บริการพิจารณาแล้วเห็นว่า การออกคำสั่งตามข้อ 4.1 และ 4.2 ของผู้ใช้บริการนั้นเป็น การออกคำสั่งที่ละเมิดต่อกฎหมาย ผู้ให้บริการจะทำการแจ้งผู้ใช้บริการโดย▇▇▇▇ แต่ทั้งนี้ ผู้ใช้บริการ ตระหนักและยอมรับว่า ผู้ให้บริการ▇▇▇▇▇▇มีหน้าที่ให้คำปรึกษาทางกฎหมายใด ๆ แก่ผู้ใช้บริการ
4.4 ผู้ให้บริการจะต้อง▇▇▇▇▇▇ผลข้อมูลโดยชอบด้วยกฎหมาย เป็นธรรม และมีความโปร่งใส
4.5 ผู้ให้บริการจะ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลเฉพาะที่เกี่ยวข้องและจำเป็นต่อการให้บริการเท่านั้น
4.6 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของผู้ให้บริการหรือเจ้าหน้าที่ผู้เกี่ยวข้องจะต้องปฏิบัติ ตามหน้าที่เพื่อช่วยเหลือและให้คำแนะนำเกี่ยวกับการ▇▇▇▇▇▇การของผู้ให้บริการให้สอดคล้อง กับกฎหมายคุ้มครองข้อมูลส่วนบุคคล
5. การรักษาความลับของข้อมูล
5.1 ผู้ให้บริการจะใช้ความ▇▇▇▇▇▇ตาม▇▇▇▇▇ให้การเข้าถึงข้อมูลส่วนบุคคลจำกัดเฉพาะบุคลากร หรือบุคคล▇▇▇▇▇▇รับ▇▇▇▇▇▇▇▇▇▇มีความจำเป็นในการเข้าถึงข้อมูลส่วนบุคคลภายใต้วัตถุประสงค์ ของสัญญาการให้บริการหลัก
5.2 ผู้ให้บริการจะ▇▇▇▇▇▇การให้บุคลากร หรือบุคคล▇▇▇▇▇▇รับมอบหมายตามข้อ 5.1 มีหน้าที่ ในการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลภายใต้ข้อตกลงไม่เปิดเผยข้อมูลเป็นลายลักษณ์▇▇▇▇▇
6. มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
6.1 ผู้ให้บริการมีหน้าที่จะต้องจัดให้มีและธำรงรักษาไว้ซึ่งมาตรการรักษาความปลอดภัยสำหรับ การ▇▇▇▇▇▇ผลข้อมูลที่มีความเหมาะสมทั้งในเชิงองค์กรและเชิงเทคนิค ทั้งนี้ มาตรการข้างต้นจะต้อง ▇▇▇▇▇ถึงลักษณะ ขอบเขต และวัตถุประสงค์ของการ▇▇▇▇▇▇ผลข้อมูลตามที่กำหนด ในสัญญา โดยมีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคลจากความเสี่ยงอันเกี่ยวเนื่องกับ การ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล ▇▇▇▇ ความเสี่ยงอันเกิดจากอุบัติเหตุ การทำลาย การสูญหาย การเปลี่ยนแปลง การเปิดเผย การโอน การเก็บข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย
7. ▇▇▇▇▇ของเจ้าของข้อมูล
7.1 ผู้ให้บริการจะสนับสนุนให้ผู้ใช้บริการ▇▇▇▇▇▇เข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลได้ โดยจัดให้มีมาตรการทั้งเชิงองค์กรและเชิงเทคนิค เพื่อให้ผู้ใช้บริการ▇▇▇▇▇▇ตอบ▇▇▇▇ต่อคำร้องของ เจ้าของข้อมูล อันเป็นการใช้▇▇▇▇▇ของเจ้าของข้อมูลภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคล
7.2 ในกรณีที่ผู้ให้บริการได้รับคำร้องขอจากเจ้าของข้อมูลซึ่งได้ระบุว่าผู้ใช้บริการนั้นเป็นผู้ควบคุมข้อมูล ผู้ ให้บริการจะทำการส่งคำร้องขอนั้นต่อไปยังผู้ใช้บริการ ภายใน [ระบุระยะเวลา ▇▇▇▇ 3 วัน] ทั้งน ผู้ให้บริการจะไม่ทำการตอบ▇▇▇▇ต่อคำร้องดังกล่าวโดยปราศจากการหารือกับผู้ใช้บริการ
8. การถ่ายโอนข้อมูลส่วนบุคคล
8.1 ภายในบังคับของข้อ 8.2 ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการให้บริการของผู้ให้บริการ▇▇▇▇▇▇▇▇การ ให้บริการหลักจะถูกเก็บรักษาใน▇▇▇▇▇▇▇▇▇▇กำหนดไว้ในสัญญาการให้บริการหลัก หรือที่ผู้ใช้บริการกำหนดเป็นลายลักษณ์▇▇▇▇▇ โดยผู้ให้บริการจะไม่ทำการโอนถ่ายข้อมูลส่วนบุคคลไปยัง ▇▇▇▇▇▇▇อื่น เว้นแต่จะได้รับคำอนุญาตเป็นลายลักษณ์▇▇▇▇▇จากผู้ใช้บริการ
8.2 ในกรณีมีความจำเป็นเพื่อให้บริการและเป็นกรณี▇▇▇▇▇▇รับคำสั่งให้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคล จากผู้ใช้บริการเป็นลายลักษณ์▇▇▇▇▇แล้ว ผู้ให้บริการ▇▇▇▇▇▇เข้าถึงและ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลจาก พื้นที่หรือตำแหน่งนอก▇▇▇▇▇▇▇▇▇▇กำหนดในข้อ 8.1 ได้
9. การ▇▇▇▇▇▇ผลข้อมูลช่วง
9.1 ห้ามมิให้ผู้ให้บริการเปลี่ยนตัว หรือมอบหมายให้ผู้▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลช่วง (ไม่ว่าจะกี่ทอด ก็ตาม) ทำการ▇▇▇▇▇▇ผลข้อมูลตามที่กำหนดในข้อตกลงนี้แทน เว้นแต่จะได้รับอนุญาต จากผู้ใช้บริการเป็นลายลักษณ์▇▇▇▇▇เป็นการเฉพาะ
9.2 ผู้▇▇▇▇▇▇ผลข้อมูลช่วง▇▇▇▇▇▇รับอนุญาตจากผู้ใช้บริการตามข้อ 9.1 จะต้องทำข้อตกลง▇▇▇▇▇▇ผลช่วงเป็น ลายลักษณ์▇▇▇▇▇กับผู้ให้บริการ โดยข้อตกลง▇▇▇▇▇▇ผลช่วงจะต้องกำหนดภาระหน้าที่ ของผู้▇▇▇▇▇▇ผลช่วง ▇▇▇▇เดียวกับภาระหน้าที่ของผู้ให้บริการตามภายใต้ข้อตกลงนี้
9.3 ผู้ให้บริการ▇▇▇▇▇▇▇▇▇▇จากความรับผิดตามข้อตกลงนี้ต่อผู้ใช้บริการ ในกรณีที่ผู้▇▇▇▇▇▇ผลช่วง ไม่ปฏิบัติหน้าที่▇▇▇▇▇▇▇▇▇▇▇▇▇▇ผลช่วงในข้อ 9.2
10.การแจ้งเตือนหากเกิดเหตุละเมิดข้อมูลส่วนบุคคล
10.1 ผู้ให้บริการและบุคลากรของผู้ให้บริการมีหน้าที่ทำการประเมินและตอบ▇▇▇▇ต่อการกระทำใด ๆ ซึ่ง อาจมีลักษณะเป็นการละเมิดข้อมูลส่วนบุคคล
10.2 ในกรณีที่เกิดเหตุละเมิดข้อมูลส่วนบุคคลซึ่งอยู่ในความรับผิดชอบของผู้ให้บริการภายใต้ข้อตกลงนี้ ผู้ให้บริการจะจัดให้มีมาตรการที่เหมาะสมเพื่อระบุสาเหตุของการละเมิดข้อมูลส่วนบุคคล และเพื่อป้องกันมิให้เกิดเหตุดังกล่าวขึ้นอีก
10.3 ผู้ให้บริการจะทำการแจ้งเหตุละเมิดข้อมูลส่วนบุคคลต่อผู้ใช้บริการโดย▇▇▇▇▇▇▇▇▇ ภายในระยะเวลา 24 ชั่วโมง นับตั้งแต่ได้ทราบถึงเหตุละเมิดที่เกิดขึ้น โดยในการแจ้งนั้น ผู้ให้บริการจะให้ข้อมูล แก่ผู้ใช้บริการภายใต้ขอบเขตที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด ดังต่อไปนี้
- คำอธิบายลักษณะของเหตุละเมิดข้อมูลส่วนบุคคล
- ประเภทของข้อมูลส่วนบุคคลที่ถูกละเมิดที่อยู่ภายใต้ความรับผิดชอบของผู้ให้บริการ (หากเป็นไปได้)
- จำนวนข้อมูลส่วนบุคคลและเจ้าของข้อมูลที่เกี่ยวข้อง
- ระยะเวลา▇▇▇▇▇▇▇▇▇▇ละเมิดข้อมูลส่วนบุคคล นับแต่ทราบเหตุละเมิดข้อมูลส่วนบุคคล
- คำอธิบายเกี่ยวกับมาตรการในการรับมือกับเหตุละเมิดข้อมูลส่วนบุคคล▇▇▇▇▇▇▇▇▇▇▇▇การไปแล้วเพื่อ ลดผลกระทบของเหตุละเมิด
11.การตรวจสอบ
11.1 ผู้ให้บริการจะต้องชี้แจงข้อมูลเท่าที่จำเป็นตามที่ผู้ใช้บริการร้องขอ เพื่อแสดงให้เห็นว่าผู้ให้บริการ ปฏิบัติตามข้อตกลงนี้
11.2 ผู้ให้บริการจะอนุญาตและให้ความร่วมมือกับผู้ใช้บริการ หรือบุคคล▇▇▇▇▇▇รับมอบหมาย ในการตรวจสอบข้อมูลที่เกี่ยวข้องกับการ▇▇▇▇▇▇ผลข้อมูลส่วนบุคคลภายใต้ข้อตกลงนี้
12.การลบ ทำลาย หรือส่งคืนข้อมูลส่วนบุคคล
เมื่อการให้บริการ▇▇▇▇▇▇▇▇ให้บริการหลักสิ้นสุดลง ผู้ให้บริการมีหน้าที่ลบ ทำลาย หรือส่งคืนข้อมูลส่วน บุคคลภายใต้ข้อตกลงนี้ให้แก่ผู้ใช้บริการภายใน [ระบุระยะเวลา ▇▇▇▇ 7 วัน] นับแต่สัญญาสิ้นสุด
[•] โดย ลงชื่อ ผู้ใช้บริการ ([•]) | [•] โดย ลงชื่อ ผู้ให้บริการ ([•]) |
ลงชื่อ ผู้ใช้บริการ | ลงชื่อ ผู้ให้บริการ |
([•]) ([•])