ข้อตกลงการเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วม
(Joint Controller Agreement)
ระหว่าง
บริษัท เค แอนด์ โอ ซิสเต็มส์ แอนด์ คอนซัลติ้ง จำกัด กับ …(ชื่อคู่สัญญา)…
———————————
ข้อตกลงการเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วม (“ข้อตกลง”) ฉบับนี้ ทำขึ้นเมื่อวันที่ … (ระบุวันที่ลงนาม)… ณ บริษัท เค แอนด์ โอ ซิสเต็มส์ แอนด์ คอนซัลติ้ง จำกัด
โดยที่ บริษัท เค แอนด์ โอ ซิสเต็มส์ แอนด์ คอนซัลติ้ง จำกัด ซึ่งต่อไปในข้อตกลงฉบับนี้เรียกว่า “เค แอนด์ โอ” ฝ่ายหนึ่ง ได้ตกลงใน …(ระบุชื่อบันทึกข้อตกลงความร่วมมือ/สัญญา)… ฉบับลงวันที่ … (ระบุวันที่ลงนาม)… ซึ่งต่อไปในข้อตกลงฉบับนี้เรียกว่า “สัญญาหลัก” กับ …(ชื่อคู่สัญญา)… ซึ่งต่อไปในข้อตกลงฉบับนี้เรียกว่า “…(ชื่อเรียกคู่สัญญา)…” อีกฝ่ายหนึ่ง รวมทั้งสองฝ่ายว่า “คู่สัญญา”
เพื่อให้บรรลุตามวัตถุประสงค์ที่คู่สัญญาได้ตกลงกันภายใต้สัญญาหลัก คู่สัญญามีความจำเป็นต้องร่วมกันเก็บรวบรวม ใช้หรือเปิดเผย (รวมเรียกว่า “ประมวลผล”) ข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ โดยที่คู่สัญญามีอำนาจตัดสินใจ กำหนดรูปแบบ รวมถึงวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลนั้นร่วมกัน ในลักษณะของผู้ควบคุมข้อมูลส่วนบุคคลร่วม
คู่สัญญาจึงตกลงจัดทำข้อตกลงฉบับนี้ และให้ถือเป็นส่วนหนึ่งของสัญญาหลัก เพื่อกำหนดขอบเขตอำนาจหน้าที่และความรับผิดชอบของคู่สัญญาในการร่วมกันประมวลผลข้อมูลส่วนบุคคล โดยข้อตกลงนี้ใช้บังคับกับกิจกรรมการประมวลผลข้อมูลส่วนบุคคลทั้งสิ้นที่ดำเนินการโดยคู่สัญญา รวมถึงผู้ประมวลผลข้อมูลส่วนบุคคลซึ่งถูกหรืออาจถูกมอบหมายให้ประมวลผลข้อมูลส่วนบุคคลโดยคู่สัญญา ทั้งนี้ เพื่อดำเนินการให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ รวมถึงกฎหมายอื่น ๆ ที่ออกตามความของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ ซึ่งต่อไปในข้อตกลงฉบับนี้เรียกว่า “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” ทั้งที่มีผลใช้บังคับอยู่ ณ วันที่ทำข้อตกลงฉบับนี้ และที่อาจมีเพิ่มเติมหรือแก้ไขเปลี่ยนแปลงในภายหลัง โดยมีรายละเอียดดังต่อไปนี้
- ภายใต้ข้อตกลงของการเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วมนี้
- คู่สัญญาร่วมกันกำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลดังรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (“กิจกรรมการประมวลผลข้อมูลส่วนบุคคลหลัก”) ดังต่อไปนี้
ในส่วนนี้ให้ระบุชื่อกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่คู่สัญญาทำร่วมกัน เช่น ร่วมกันดำเนินการเพื่อให้บรรลุภารกิจหรือวัตถุประสงค์ที่กำหนดขึ้นร่วมกัน เช่น พัฒนาและให้บริการแอปพลิเคชันสำหรับรับบริการจดทะเบียนก่อตั้งธุรกิจ ก่อสร้างอาคาร และนำเข้าสินค้า (ซึ่งภายใต้กิจกรรมหลักประกอบด้วยกิจกรรมย่อย ๆ ที่ผู้ควบคุมขั้อมูลส่วนบุคคลแต่ละรายรับผิดชอบ)
ทั้งนี้ หากมีกิจกรรมหลักมากกว่า 1 กิจกรรม ให้ระบุเป็นข้อ ๆ
นอกจากนี้ จากรายการกิจกรรมการประมวลผลหลักที่คู่สัญญาร่วมกันกำหนดวัตถุประสงค์ข้างต้น คู่สัญญาแต่ละฝ่ายมีการประมวลผลข้อมูลส่วนบุคคล (“กิจกรรมการประมวลผลข้อมูลส่วนบุคคลย่อย”) ดังรายละเอียดต่อไปนี้
- กิจกรรมการประมวลผลข้อมูลส่วนบุคคลย่อยซึ่งดำเนินการโดย เค แอนด์ โอ
รายการกิจกรรมการประมวลผล | ฐานกฎหมายที่ใช้ในการประมวลผล | รายการข้อมูลส่วนบุคคลที่ใช้ประมวลผล |
(ระบุรายการ “กิจกรรม” การประมวลผลข้อมูลส่วนบุคคลที่ เค แอนด์ โอ ดำเนินการภายใต้ขอบเขตของสัญญาหลัก เช่น การเก็บข้อมูลจากเอกสารลงทะเบียน, การเชื่อมโยงข้อมูล, การยืนยันตัวตน เป็นต้น) | (ระบุ “ฐานกฎหมาย” การประมวลผลข้อมูลส่วนบุคคลที่ เค แอนด์ โอ ดำเนินการตามรายการกิจกรรม)
|
(ระบุรายการข้อมูลส่วนบุคคลที่ เค แอนด์ โอ ใช้เพื่อประมวลผลตามกิจกรรมที่ระบุ เช่น ชื่อ นามสกุล วันเกิด เบอร์โทรศัพท์ เป็นต้น)
… … … |
- กิจกรรมการประมวลผลข้อมูลส่วนบุคคลย่อยซึ่งดำเนินการโดย…(ชื่อเรียกคู่สัญญา)…
รายการกิจกรรมการประมวลผล | ฐานกฎหมายที่ใช้ในการประมวลผล | รายการข้อมูลส่วนบุคคลที่ใช้ประมวลผล |
(ระบุรายการ “กิจกรรม” การประมวลผลข้อมูลส่วนบุคคลที่คู่สัญญาอีกฝ่าย ดำเนินการภายใต้ขอบเขตของสัญญาหลัก เช่น การเก็บข้อมูลจากเอกสารลงทะเบียน, การเชื่อมโยงข้อมูล, การยืนยันตัวตน เป็นต้น) | (ระบุ “ฐานกฎหมาย” การประมวลผลข้อมูลส่วนบุคคลที่ คู่สัญญาอีกฝ่ายดำเนินการตามรายการกิจกรรม)
|
(ระบุรายการข้อมูลส่วนบุคคลที่คู่สัญญาอีกฝ่ายใช้เพื่อประมวลผลตามกิจกรรมที่ระบุ เช่น ชื่อ นามสกุล วันเกิด เบอร์โทรศัพท์ เป็นต้น)
… … … |
ทั้งนี้ คู่สัญญาแต่ละฝ่ายรับรองว่าจะดำเนินการประมวลผลข้อมูลส่วนบุคคลดังรายละเอียดข้างต้นให้เป็นไปตามที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด โดยเฉพาะอย่างยิ่งในเรื่องความชอบด้วยกฎหมายของการประมวลผลข้อมูลภายใต้ความเป็นผู้ควบคุมข้อมูลส่วนบุคคลร่วม โดยคู่สัญญาแต่ละฝ่ายจะจัดให้มีและคงไว้ซึ่งมาตรการรักษาความปลอดภัยสำหรับการประมวลผลข้อมูลที่มีความเหมาะสมทั้งในเชิงองค์กรและเชิงเทคนิคตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้ประกาศกำหนดและ/หรือตามมาตรฐานสากล โดยคำนึงถึงลักษณะ ขอบเขต และวัตถุประสงค์ของการประมวลผลข้อมูล เพื่อคุ้มครองข้อมูลส่วนบุคคลจากความเสี่ยงอันเกี่ยวเนื่องกับการประมวลผลข้อมูลส่วนบุคคล เช่น ความเสียหายอันเกิดจากการละเมิด อุบัติเหตุ การลบ ทำลาย สูญหาย เปลี่ยนแปลง แก้ไข เข้าถึง ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย เป็นต้น
- คู่สัญญารับรองว่าจะควบคุมดูแลให้เจ้าหน้าที่ และ/หรือลูกจ้าง ตัวแทนหรือบุคคลใด ๆ ที่ปฏิบัติหน้าที่ในการประมวลผลข้อมูลส่วนบุคคลภายใต้ข้อตกลงฉบับนี้ รักษาความลับและปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด และดำเนินการประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ตามข้อตกลงฉบับนี้เท่านั้น โดยจะไม่ทำซ้ำ คัดลอก ทำสำเนา บันทึกภาพข้อมูลส่วนบุคคลไม่ว่าทั้งหมดหรือแต่บางส่วนเป็นอันขาด เว้นแต่เป็นไปตามเงื่อนไขของสัญญาหลัก หรือกฎหมายที่เกี่ยวข้องจะระบุหรือบัญญัติไว้เป็นประการอื่น
- คู่สัญญารับรองว่าจะกำหนดให้การเข้าถึงข้อมูลส่วนบุคคลภายใต้ข้อตกลงฉบับนี้ถูกจำกัดเฉพาะเจ้าหน้าที่ และ/หรือลูกจ้าง ตัวแทนหรือบุคคลใด ๆ ที่ได้รับมอบหมาย มีหน้าที่เกี่ยวข้องหรือมีความจำเป็นในการเข้าถึงข้อมูลส่วนบุคคลภายใต้ข้อตกลงฉบับนี้เท่านั้น
- คู่สัญญาจะไม่เปิดเผยข้อมูลส่วนบุคคลภายใต้ข้อตกลงนี้แก่บุคคลที่ไม่มีอำนาจหน้าที่เกี่ยวข้องในการประมวลผล หรือบุคคลภายนอก เว้นแต่ที่มีความจำเป็นต้องกระทำตามหน้าที่ในสัญญาหลัก ข้อตกลงฉบับนี้หรือเพื่อปฏิบัติตามกฎหมายที่ใช้บังคับ หรือ ที่ได้รับความยินยอมจากคู่สัญญาอีกฝ่ายก่อน
- คู่สัญญาแต่ละฝ่ายมีหน้าที่ต้องแจ้งรายละเอียดของการประมวลผลข้อมูลส่วนบุคคลแก่เจ้าของข้อมูลส่วนบุคคลซึ่งถูกประมวลผลข้อมูลก่อนหรือขณะเก็บรวบรวมข้อมูลส่วนบุคคล ทั้งนี้ รายการรายละเอียดที่ต้องแจ้งให้เป็นไปตามที่กำหนดในมาตรา ๒๓ แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒
- กรณีที่คู่สัญญาฝ่ายหนึ่งฝ่ายใด พบพฤติการณ์ที่มีลักษณะที่กระทบต่อการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่ประมวลผลภายใต้ข้อตกลงฉบับนี้ ซึ่งอาจก่อให้เกิดความเสียหายจากการละเมิด อุบัติเหตุ การลบ ทำลาย สูญหาย เปลี่ยนแปลง แก้ไข เข้าถึง ใช้ เปิดเผยหรือโอนข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย คู่สัญญาฝ่ายที่พบเหตุดังกล่าวจะดำเนินการแจ้งให้คู่สัญญาอีกฝ่ายทราบพร้อมรายละเอียดของเหตุการณ์โดยทันที ทั้งนี้ คู่สัญญาแต่ละฝ่ายต่างมีหน้าที่ต้องแจ้งเหตุดังกล่าวแก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลหรือเจ้าของข้อมูลส่วนบุคคล ตามแต่กรณี
- คู่สัญญาตกลงจะให้ความช่วยเหลืออย่างสมเหตุสมผลแก่อีกฝ่ายในการตอบสนองต่อข้อเรียกร้องใด ๆ ที่สมเหตุสมผลจากการใช้สิทธิต่าง ๆ ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยเจ้าของข้อมูลส่วนบุคคล โดยพิจารณาถึงลักษณะการประมวลผล ภาระหน้าที่ภายใต้กฎหมายคุ้มครองข้อมูลที่ใช้บังคับ และข้อมูลส่วนบุคคลที่ประมวลผล ทั้งนี้ คู่สัญญาทราบว่าเจ้าของข้อมูลส่วนบุคคลอาจยื่นคำร้องขอใช้สิทธิดังกล่าวต่อคู่สัญญาฝ่ายหนึ่งฝ่ายใดก็ได้ ซึ่งคู่สัญญาฝ่ายที่ได้รับคำร้องจะต้องดำเนินการแจ้งถึงคำร้องดังกล่าวแก่คู่สัญญาอีกฝ่ายโดยทันที โดยคู่สัญญาฝ่ายที่รับคำร้องนั้นจะต้องแจ้งให้เจ้าของข้อมูลทราบถึงการจัดการตามคำขอหรือข้อร้องเรียนของเจ้าของข้อมูลนั้นด้วย
- ในกรณีที่มีการใช้ผู้ประมวลผลข้อมูลส่วนบุคคลเพื่อทำการประมวลผลข้อมูลส่วนบุคคลภายใต้ข้อตกลงนี้ ให้ดำเนินการแจ้งต่อคู่สัญญาอีกฝ่ายก่อน ทั้งนี้คู่สัญญาฝ่ายที่ใช้ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องทำสัญญากับผู้ประมวลผลข้อมูลเป็นลายลักษณ์อักษรตามเงื่อนไขที่กฎหมายคุ้มครองข้อมูลกำหนด เพื่อหลีกเลี่ยงข้อสงสัย หากคู่สัญญาฝ่ายหนึ่งฝ่ายใดได้ว่าจ้างหรือมอบหมายผู้ประมวลผลข้อมูลส่วนบุคคล คู่สัญญาฝ่ายนั้นยังคงต้องมีความรับผิดต่ออีกฝ่ายสำหรับการกระทำการหรือละเว้นกระทำการใด ๆ ของผู้ประมวลผลข้อมูลส่วนบุคคลนั้น
- คู่สัญญาแต่ละฝ่ายจะต้องชดใช้ความเสียหายให้แก่อีกฝ่ายในค่าปรับ ความสูญหายหรือเสียหายใด ๆ ที่เกิดขึ้นกับฝ่ายที่ไม่ได้ผิดเงื่อนไข อันเนื่องมาจากการฝ่าฝืนข้อตกลงฉบับนี้ แม้ว่าจะมีข้อจำกัดความรับผิดภายใต้สัญญาหลักก็ตาม
- …(สามารถตกลงกันนำข้อนี้ออกได้)… ในกรณีที่คู่สัญญาต้องรับผิดร่วมกันในค่าปรับหรือการชดใช้ความเสียหายตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยไม่สามารถพิจารณาเป็นที่ประจักษ์ได้ว่าฝ่ายหนึ่งฝ่ายใดการทำการเป็นเหตุให้เกิดความเสียหายแต่เพียงผู้เดียว หรือจากการถูกศาลหรือหน่วยงานผู้มีอำนาจมีคำพิพากษาหรือคำสั่งถึงที่สุดให้คู่สัญญาร่วมกันรับผิดดังกล่าว คู่สัญญาตกลงกันแบ่งความรับผิดเป็นสัดส่วนดังต่อไปนี้
- บริษัท เค แอนด์ โอ ซิสเต็มส์ แอนด์ คอนซัลติ้ง จำกัด ร้อยละ …(ระบุอัตราส่วนความรับผิด)…
- …(ชื่อคู่สัญญา)… ร้อยละ …(ระบุอัตราส่วนความรับผิด)…
ทั้งนี้ การตกลงกันของคู่สัญญานี้ ไม่มีอำนาจเหนือไปกว่าคำพิพากษาหรือคำสั่งถึงที่สุดของศาลหรือหน่วยงานผู้มีอำนาจที่กำหนดให้คู่สัญญาหรือคู่สัญญาฝ่ายหนึ่งฝ่ายใดต้องถูกปรับหรือชดใช้ค่าเสียหาย
- หน้าที่และความรับผิดของคู่สัญญาในการปฏิบัติตามข้อตกลงฉบับนี้จะสิ้นสุดลงนับแต่วันที่การดำเนินการตามสัญญาหลักเสร็จสิ้นลง หรือ วันที่คู่สัญญาได้ตกลงเป็นลายลักษณ์อักษรให้ยกเลิกสัญญาหลัก แล้วแต่กรณีใดจะเกิดขึ้นก่อน
- คู่สัญญาตกลงแต่งตั้งผู้แทนของแต่ละฝ่าย ดังรายการต่อไปนี้
- บริษัท เค แอนด์ โอ ซิสเต็มส์ แอนด์ คอนซัลติ้ง จำกัด
ผู้แทน : …(ระบุชื่อ-นามสกุลผู้แทน)… ติดต่อได้ที่ : …(ระบุช่องทางติดต่อผู้แทน)…
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล : …(ระบุชื่อ-นามสกุลเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล)… ติดต่อได้ที่ : …(ระบุช่องทางติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล)…
- …(ชื่อคู่สัญญา)…
ผู้แทน : …(ระบุชื่อ-นามสกุลผู้แทน)… ติดต่อได้ที่ : …(ระบุช่องทางติดต่อผู้แทน)…
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (หากมี) : …(ระบุชื่อ-นามสกุลเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล)… ติดต่อได้ที่ : …(ระบุช่องทางติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล)…
ในกรณีที่ข้อตกลง คำรับรอง การเจรจาหรือข้อผูกพันใดที่คู่สัญญามีต่อกันไม่ว่าด้วยวาจาหรือเป็นลายลักษณ์อักษรใดขัดหรือแย้งกับข้อตกลงที่ระบุในข้อตกลงฉบับนี้ ให้ใช้ข้อความตามข้อตกลงฉบับนี้บังคับ
ทั้งสองฝ่ายได้อ่านและเข้าใจข้อความโดยละเอียดตลอดแล้ว เพื่อเป็นหลักฐานแห่งการนี้ ทั้งสองฝ่ายจึงได้ลงนามไว้เป็นหลักฐานต่อหน้าพยาน ณ วัน เดือน ปี ที่ระบุข้างต้น
ลงชื่อ …….……………………………………..………….
(……………………………………………………) ……………………………………………………
|
ลงชื่อ …….…………………………………….………….
(……………………………………………………) ……………………………………………………
|
ลงชื่อ ………….…………………………..……………….. พยาน (……………………………………………………) ……………………………………………………
|
ลงชื่อ ………….………………..………….…………….. พยาน (……………………………………………………) ……………………………………………………
|