ตัวอย่าง นโยบายการคุ้มครองข้อมูลส่วนบุคคล

ข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคล

1. บทนำ

บริษัท เค แอนด์ โอ ซิสเต็มส์ แอนด์ คอนซัลติ้ง จำัก (ต่อไปในนโยบายนี้เรียกว่า “เค แอนด์ โอฯ” หรือ “บริษัทฯ”) ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลและข้อมูลอื่นอันเกี่ยวกับท่าน (รวมเรียกว่า “ข้อมูล”) เพื่อให้ท่านสามารถเชื่อมั่นได้ว่า เค แอนด์ โอฯ มีความโปร่งใสและความรับผิดชอบในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลของท่านตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) รวมถึงกฎหมายอื่นที่เกี่ยวข้อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (“นโยบาย”) นี้จึงได้ถูกจัดทำขึ้นเพื่อชี้แจงแก่ท่านถึงรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผย (รวมเรียกว่า “ประมวลผล”) ข้อมูลส่วนบุคคลซึ่งดำเนินการโดย เค แอนด์ โอฯ รวมถึงเจ้าหน้าที่และบุคคลที่เกี่ยวข้องผู้ดำเนินการแทนหรือในนามของ เค แอนด์ โอฯ โดยมีเนื้อหาสาระดังต่อไปนี้

2.  ขอบเขตการบังคับใช้นโยบาย

นโยบายนี้ใช้บังคับกับข้อมูลส่วนบุคคลของบุคคลซึ่งมีความสัมพันธ์กับ เค แอนด์ โอฯ ในปัจจุบันและที่อาจมีในอนาคต ซึ่งถูกประมวลผลข้อมูลส่วนบุคคลโดย เค แอนด์ โอฯ เจ้าหน้าที่ พนักงานตามสัญญา หน่วยธุรกิจหรือหน่วยงานรูปแบบอื่นที่ดำเนินการโดย เค แอนด์ โอฯ และรวมถึงคู่สัญญาหรือบุคคลภายนอกที่ประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของ เค แอนด์ โอฯ (“ผู้ประมวลผลข้อมูลส่วนบุคคล”) ภายใต้ผลิตภัณฑ์และบริการต่าง ๆ เช่น เว็บไซต์ ระบบ แอปพลิเคชัน เอกสาร หรือบริการในรูปแบบอื่นที่ควบคุมดูแลโดย เค แอนด์ โอฯ (รวมเรียกว่า “บริการ”)

บุคคลมีความสัมพันธ์กับ เค แอนด์ โอฯ ตามความในวรรคแรก รวมถึง

        • ลูกค้าบุคคลธรรมดา
        • เจ้าหน้าที่หรือผู้ปฏิบัติงาน ลูกจ้าง
        • คู่ค้าและผู้ให้บริการซึ่งเป็นบุคคลธรรมดา
        • กรรมการ ผู้รับมอบอำนาจ ผู้แทน ตัวแทน ผู้ถือหุ้น ลูกจ้าง หรือบุคคลอื่นที่มีความสัมพันธ์ในรูปแบบเดียวกันของนิติบุคคลที่มีความสัมพันธ์กับ เค แอนด์ โอฯ
        • ผู้ใช้งานผลิตภัณฑ์หรือบริการของ เค แอนด์ โอฯ
        • ผู้เข้าชมหรือใช้งานเว็บไซท์ ko.in.th รวมทั้งระบบ แอปพลิเคชัน อุปกรณ์ หรือช่องทางการสื่อสารอื่นซึ่งควบคุมดูแลโดย เค แอนด์ โอฯ
        • บุคคลอื่นที่ เค แอนด์ โอฯ เก็บรวบรวมข้อมูลส่วนบุคคล เช่น ผู้สมัครงาน ครอบครัวของเจ้าหน้าที่ ผู้ค้ำประกัน ผู้รับประโยชน์ในกรมธรรม์ประกันภัย เป็นต้น

          ข้อ 1) ถึง 6) เรียกรวมกันว่า “ท่าน”

นอกจากนโยบายฉบับนี้แล้ว เค แอนด์ โอฯ อาจกำหนดให้มีคำประกาศเกี่ยวกับความเป็นส่วนตัว (“ประกาศ”) สำหรับผลิตภัณฑ์หรือบริการของ เค แอนด์ โอฯ เพื่อชี้แจงให้เจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้ใช้บริการได้ทราบถึงข้อมูลส่วนบุคคลที่ถูกประมวลผล วัตถุประสงค์และเหตุผลอันชอบด้วยกฎหมายในการประมวลผล ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล รวมถึงสิทธิในข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลพึงมีในผลิตภัณฑ์หรือบริการนั้นเป็นการเฉพาะเจาะจง

ทั้งนี้ ในกรณีที่มีความขัดแย้งกันในสาระสำคัญระหว่างความในประกาศเกี่ยวกับความเป็นส่วนตัวและนโยบายนี้ ให้ถือตามความในประกาศเกี่ยวกับความเป็นส่วนตัวของบริการนั้น

3.   คำนิยาม

        • “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” หมายถึง

(ก) กฎหมาย กฎระเบียบ กฏเกณฑ์ ประกาศ รวมถึงแต่ไม่จำกัดเพียงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (และตามที่จะได้มีการแก้ไขในภายหน้า)

(ข) กฎ ระเบียบที่จะออกภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานอื่นใดที่มีอำนาจ

(ค) พระราชบัญญัติความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 รวมถึงกฎหมายอื่นใดที่จำต้องมาปรับใช้ร่วมกับกฎหมาย กฎ ระเบียบข้างต้น หรือใช้สำหรับการประมวลผลข้อมูลส่วนบุคคล

        • “ข้อมูลส่วนบุคคล” ให้มีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
        • “ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ” หมายถึง ข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้แก่ ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
        • “เจ้าของข้อมูลส่วนบุคคล” หมายถึง ลูกค้าของผู้ควบคุมข้อมูลส่วนบุคคล และบุคคลธรรมดาซึ่งถูกระบุตัวได้โดยข้อมูลส่วนบุคคล
        • “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บริษัท เค แอนด์ โอ ซิสเต็มส์ แอนด์ คอนซัลติ้ง หรือบุคคลอื่นซึ่งมีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
        • “ผู้ประมวลผลข้อมูลส่วนบุคคล”หมายถึง คู่ค้า ที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
        • “ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง” หมายถึง บุคคลหรือนิติบุคคลที่แต่งตั้งขึ้นหรือได้รับมอบหมายโดยผู้ประมวลผลข้อมูลส่วนบุคคลเพื่อให้มีส่วนช่วยหรือสนับสนุนในการปฏิบัติการตามสัญญา
        • “เหตุละเมิดข้อมูลส่วนบุคคล” หมายถึง

(ก) การที่ข้อมูลส่วนบุคคลรั่วไหล หรือสูญหาย หรือถูกทำลาย หรือการเข้าถึงโดยไม่มีอำนาจหรือโดยมิชอบด้วยกฎหมาย ทั้งที่เจตนาหรือไม่เจตนา รวมถึง

(ข) การเก็บรวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล  การแก้ไขหรือการประมวลผลข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือผิดวัตถุประสงค์

(ค) การปฏิเสธสิทธิของเจ้าของข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลพึงมีตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยไม่มีเหตุอันพึงกล่าวอ้างได้ตามกฎหมาย หรือ

(ง) การกระทำอื่นใดที่ขัดต่อกฎหมาย

        • “สัญญา” หมายถึง สัญญาฉบับนี้ รวมทั้ง สัญญาแก้ไขเพิ่มเติม เอกสารแนบท้าย ภาคผนวก และเอกสารหรือข้อตกลงอื่นใดคู่สัญญาตกลงให้เป็นส่วนหนึ่งของสัญญา
        • “การประมวลผลข้อมูลส่วนบุคคล” หมายถึง การดำเนินการหรือชุดการดำเนินการใดๆ ซึ่งเป็นการเข้าถึงข้อมูลส่วนบุคคล การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล การกระทำการต่อข้อมูลส่วนบุคคลในทุกรูปแบบ รวมถึงแต่ไม่จำกัดเฉพาะ การบันทึก การจัดระบบ การจัดโครงสร้าง การเก็บรักษา การดัดแปลง การแก้ไข การทำสำเนา การโอน การเผยแพร่ข้อมูลส่วนบุคคล การนำข้อมูลส่วนบุคคลกลับมาใช้ใหม่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือทำลาย รวมถึงการกระทำดังกล่าวทั้งหมดผ่านระบบอัตโนมัติ

4.   ประเภทของข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคลตระหนักและยอมรับว่าในการปฏิบัติตามสัญญา ผู้ประมวลผลข้อมูลส่วนบุคคลอาจทำการประมวลผลข้อมูลส่วนบุคคล รวมถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ นี้ไม่ว่าทั้งหมดหรือเพียงบางส่วน ดังนี้

ประเภทข้อมูลส่วนบุคคล

รายละเอียดและตัวอย่าง
ข้อมูลเฉพาะตัวบุคคล ข้อมูลเฉพาะ ได้แก่ ชื่อ – นามสกุล เลขที่บัตรประจำตัวประชาชน สัญชาติ เลขที่ใบขับขี่ เลขที่หนังสือเดินทาง ข้อมูลทะเบียนบ้าน หมายเลขใบประกอบการ หมายเลขใบอนุญาตการประกอบวิชาชีพ (สำหรับแต่ละอาชีพ) หมายเลขประจำตัวผู้ประกันตน หมายเลขประกันสังคม
ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ ได้แก่ เชื้อชาติ ข้อมูลศาสนา ข้อมูลความพิการ ข้อมูลความเห็นทางการเมือง ประวัติอาชญากรรม ข้อมูลชีวภาพ (ข้อมูลภาพจำลองใบหน้า) ข้อมูลเกี่ยวกับสุขภาพหรือข้อมูลทางการแพทย์
ข้อมูลเกี่ยวกับคุณลักษณะของบุคคล ข้อมูลเกี่ยวกับคุณลักษณะของบุคคล ได้แก่ วันเดือนปีเกิด เพศ ส่วนสูง น้ำหนัก อายุ สถานภาพการสมรส สถานภาพการเกณฑ์ทหาร รูปถ่าย ภาษาพูด ข้อมูลพฤติกรรม ความชื่นชอบ ข้อมูลการเป็นบุคคลล้มละลาย ข้อมูลการเป็นคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ
ข้อมูลสำหรับการติดต่อ ข้อมูลเพื่อการติดต่อ ได้แก่ เบอร์โทรศัพท์บ้าน เบอร์โทรศัพท์เคลื่อนที่ หมายเลขโทรสาร อีเมล ที่อยู่ทางไปรษณีย์บ้าน ชื่อผู้ใช้งานในสังคมออนไลน์ (Line ID, MS Teams) แผนที่ตั้งของที่พัก
ข้อมูลเกี่ยวกับการทำงานและการศึกษา รายละเอียดการจ้างงาน รวมถึงประวัติการทำงานและประวัติการศึกษา ได้แก่ ประเภทการจ้างงาน อาชีพ ยศ ตำแหน่ง หน้าที่ ความเชี่ยวชาญ สถานภาพใบอนุญาตทำงาน ข้อมูลบุคคลอ้างอิง หมายเลขประจำตัวผู้เสียภาษี ประวัติการดำรงตำแหน่ง ประวัติการทำงาน ข้อมูลเงินเดือน วันเริ่มงาน วันออกจากงาน ผลการประเมิน สวัสดิการและสิทธิประโยชน์ พัสดุในครอบครองของผู้ปฏิบัติงาน ผลงาน หมายเลขบัญชีธนาคาร/สำเนาบัตรเครดิต ประวัติข้อมูลทางการเงิน สถาบันการศึกษา วุฒิการศึกษา ผลการศึกษา วันที่สำเร็จการศึกษา
ข้อมูลเกี่ยวกับกรมธรรม์ประกันภัย รายละเอียดเกี่ยวกับกรมธรรม์ประกันภัยผู้ปฏิบัติงาน ได้แก่ ผู้รับประกันภัย ผู้เอาประกันภัย ผู้รับประโยชน์ หมายเลขกรมธรรม์ ประเภทกรมธรรม์ วงเงินคุ้มครอง ข้อมูลเกี่ยวกับการเคลม
ข้อมูลเกี่ยวกับความสัมพันธ์ทางสังคม ข้อมูลความสัมพันธ์ทางสังคมของท่าน ได้แก่ สถานภาพทางการเมือง การดำรงตำแหน่งทางการเมือง การดำรงตำแหน่งกรรมการ ความสัมพันธ์กับผู้ปฏิบัติงานของ เค แอนด์ โอฯ ข้อมูลการเป็นผู้มีสัญญาจ้างกับ เค แอนด์ โอฯ ข้อมูลการเป็นผู้มีส่วนได้เสียในกิจการที่ทำกับ เค แอนด์ โอฯ
ข้อมูลเกี่ยวกับการใช้บริการของ เค แอนด์ โอฯ รายละเอียดเกี่ยวกับผลิตภัณฑ์หรือบริการของ เค แอนด์ โอฯ ได้แก่ ชื่อบัญชีผู้ใช้งาน รหัสผ่าน หมายเลข PIN ข้อมูล Single Sign-on (SSO ID) รหัส OTP ข้อมูลการจราจรทางคอมพิวเตอร์ ข้อมูลระบุพิกัด ภาพถ่าย วีดีโอ บันทึกเสียง ข้อมูลพฤติกรรมการใช้งาน (เว็บไซต์ที่อยู่ในความดูแลของ เค แอนด์ โอฯ) ประวัติการสืบค้น คุกกี้หรือเทคโนโลยีในลักษณะเดียวกัน หมายเลขอุปกรณ์ (Device ID) ประเภทอุปกรณ์ รายละเอียดการเชื่อมต่อ ข้อมูล Browser ภาษาที่ใช้งาน ระบบปฏิบัติการที่ใช้งาน
วัตถุประสงค์และระยะเวลาในการเข้าถึง เก็บรวบรวม ใช้ ส่งต่อ โอน หรือเปิดเผยข้อมูลส่วนบุคคล ให้เป็นไปตาม วัตถุประสงค์และระยะเวลาในการเข้าถึง เก็บรวบรวม ใช้ ส่งต่อ โอน หรือเปิดเผยข้อมูลส่วนบุคคล ให้เป็นไปตาม-        สิ้นสุดสัญญา-        ความยินยอมที่ได้รับจากเจ้าของข้อมูลส่วนบุคคล (กรณีข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ)
เจ้าของข้อมูลส่วนบุคคล เจ้าของข้อมูลส่วนบุคคล ได้แก่ ลูกค้าของผู้ควบคุมข้อมูลส่วนบุคคล และบุคคลอื่นๆ ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล
บุคคล/องค์กร/หน่วยงาน หรือประเภทของบุคคล/องค์กร/หน่วยงาน ที่ข้อมูลส่วนบุคคลอาจมีการโอนหรือส่งต่อ บุคคล/องค์กร/หน่วยงาน หรือประเภทของบุคคล/องค์กร/หน่วยงาน ที่ข้อมูลส่วนบุคคลอาจมีการโอนหรือส่งต่อ ได้แก่  เจ้าหน้าที่ของคู่สัญญาที่เกี่ยวข้องตามสัญญานี้
ช่องทางการเข้าถึง ส่งหรือโอนข้อมูลส่วนบุคคล ช่องทางการเข้าถึง ส่งหรือโอนข้อมูลส่วนบุคคล ได้แก่

–        สัญญา

–        ระบบคอมพิวเตอร์ของผู้ว่าจ้าง

–        ระบบอื่นๆ ที่รองรับข้อมูลในภายภาคหน้า

5. หน้าที่ในการประมวลผลข้อมูลส่วนบุคคล

        • คำสั่งให้ประมวลผลข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคลจะเป็นผู้กำหนดวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล ตามรายละเอียดที่ปรากฏในสัญญา หรือตามวัตถุประสงค์ที่ระบุไว้ในภาคผนวก ก หรือตามคำสั่งที่เป็นลายลักษณ์อักษรของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่ คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคล

อย่างไรก็ตาม หากผู้ประมวลผลข้อมูลส่วนบุคคลไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล ในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ให้ถือว่าผู้ประมวลผลข้อมูลส่วนบุคคลเป็น ผู้ควบคุมข้อมูลส่วนบุคคลสำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเหล่านั้น

        • คำสั่งให้ประมวลผลข้อมูลส่วนบุคคลเพิ่มเติม

ผู้ควบคุมข้อมูลส่วนบุคคลอาจสั่งให้ผู้ประมวลผลข้อมูลส่วนบุคคลประมวลผลข้อมูลส่วนบุคคลเพิ่มเติมได้ตามรายละเอียดที่ปรากฏในสัญญา ภาคผนวก ก และภายใต้ขอบเขตที่กฎหมายกำหนด ทั้งนี้ จะต้องเป็นกรณีมีความจำเป็นเพื่อเป็นไปตามวัตถุประสงค์ของสัญญา หรือเป็นการช่วยให้ ผู้ควบคุมข้อมูลส่วนบุคคลสามารถปฏิบัติหน้าที่ตามที่กฎหมายกำหนดได้

        • การออกคำสั่งให้ประมวลผลข้อมูลส่วนบุคคลโดยมิชอบ

ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลพิจารณาแล้วเห็นว่า การออกคำสั่งตามข้อ 5.1 และข้อ 5.2 นั้นเป็นการออกคำสั่งที่ละเมิดต่อกฎหมาย ผู้ประมวลผลข้อมูลส่วนบุคคลจะทำการแจ้งผู้ควบคุมข้อมูลส่วนบุคคลโดยพลัน แต่ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลตระหนักและยอมรับว่าผู้ประมวลผลข้อมูลส่วนบุคคลนั้นไม่ได้มีหน้าที่ให้คำปรึกษาทางกฎหมายใดๆ แก่ผู้ควบคุมข้อมูลส่วนบุคคล

6. วิธีการประมวลผลข้อมูลส่วนบุคคล

        • การใช้ข้อมูลส่วนบุคคลเพื่อประมวลผล

ในการประมวลผลข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลจะใช้ข้อมูลส่วนบุคคลเท่าที่จำเป็น เพื่อบรรลุวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล เพื่อปฏิบัติตามที่กำหนดไว้ในสัญญา เพื่อให้บริการตามสัญญา เพื่อการอื่นใดที่ผู้ควบคุมข้อมูลส่วนบุคคลอาจแจ้งให้ผู้ประมวลผลข้อมูลส่วนบุคคลทราบเป็นลายลักษณ์อักษร ตลอดระยะเวลาของสัญญา

        • การเก็บรวบรวมข้อมูลส่วนบุคคลในนามของผู้ควบคุมข้อมูลส่วนบุคคล

ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลมอบหมายให้ผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้เก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล และจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลรับทราบถึงวัตถุประสงค์ของความยินยอม วัตถุประสงค์ของการจัดเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล ระยะเวลาการจัดเก็บข้อมูลส่วนบุคคลและเอกสาร บุคคลหรือนิติบุคคลที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคลและนโยบายความเป็นส่วนตัว และผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดให้เจ้าของข้อมูลส่วนบุคคลกรอกแบบฟอร์มให้ความยินยอมในการเก็บรวมรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามแบบและวิธีการที่ทางผู้ควบคุมข้อมูลส่วนบุคคลกำหนดก่อนที่จะมีการเก็บรวมรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลนั้น

        • การประมวลผลข้อมูลส่วนบุคคลที่ได้มาจากแหล่งอื่น

ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องไม่รับข้อมูลส่วนบุคคลจากแหล่งอื่นใด นอกเหนือจากการรับข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง ยกเว้นกฎหมายอนุญาต หรือผู้ประมวลผลข้อมูลส่วนบุคคลได้รับการยืนยันจากแหล่งที่มาอื่นนั้นว่าเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมและได้รับแจ้งวัตถุประสงค์แห่งความยินยอมและขอบเขตของความยินยอมของเจ้าของข้อมูลส่วนบุคคลก่อนแล้ว อย่างไรก็ตาม ให้ผู้ประมวลผลข้อมูลส่วนบุคคลแจ้งรายละเอียดข้อมูลส่วนบุคคลนั้นมายังผู้ควบคุมข้อมูลส่วนบุคคลภายใน 3 วัน และจะยังไม่ดำเนินการใช้ หรือติดต่อเจ้าของข้อมูลส่วนบุคคลนั้น ก่อนที่จะได้รับอนุมัติจากทางผู้ควบคุมข้อมูลส่วนบุคคลเป็นลายลักษณ์อักษร

ทั้งนี้ ห้ามผู้ประมวลผลข้อมูลส่วนบุคคลสร้างขึ้นใหม่หรือทำลายข้อมูลส่วนบุคคล ที่ได้รับมาเนื่องจากการให้บริการ/รับจ้างตามสัญญานี้ เว้นแต่ ได้รับการอนุมัติจากผู้ควบคุมข้อมูลส่วนบุคคลเป็นลายลักษณ์อักษร (ยกเว้นการทำลายตามข้อ 12.)

        • การเปิดเผยข้อมูลส่วนบุคคลเพื่อการประมวลผลข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องไม่เปิดเผยข้อมูลส่วนบุคคลที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลแก่บุคคลใด ยกเว้นการเปิดเผยแก่ บุคลากรของผู้ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องโดยตรงและมีความจำเป็นอย่างยิ่งที่จะต้องได้รับการเปิดเผยข้อมูลส่วนบุคคลนั้นเพื่อให้ผู้ประมวลผลข้อมูลส่วนบุคคลสามารถปฏิบัติตามสัญญาได้ (need-to-know basis) และก่อนที่ผู้ประมวลผลข้อมูลส่วนบุคคลจะให้บุคลากรของ ผู้ประมวลผลข้อมูลส่วนบุคคลเข้าถึงข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องทำสัญญากับบุคลากรของผู้ประมวลผลข้อมูลส่วนบุคคลเพื่อกำหนดหน้าที่การคุ้มครองข้อมูลส่วนบุคคลในระดับและขอบเขตเดียวกันกับหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคลนี้ และมีข้อกำหนดให้รักษาความลับของข้อมูลส่วนบุคคลด้วย ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีความจำเป็นต้องจ้างผู้ประมวลผลข้อมูลส่วนบุคคลช่วงเพื่อมาช่วยปฏิบัติงานตามสัญญา ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องขออนุมัติจากผู้ควบคุมข้อมูลส่วนบุคคลเป็นลายลักษณ์อักษรเป็นการเฉพาะรายก่อน และจะต้องให้ผู้ประมวลผลข้อมูลส่วนบุคคลช่วงผู้ได้รับการอนุมัติมาลงทะเบียนกับผู้ควบคุมข้อมูลส่วนบุคคลด้วย โดยผู้ประมวลผลข้อมูลส่วนบุคคลจะให้ผู้ประมวลผลข้อมูลส่วนบุคคลช่วงเข้าถึงข้อมูลส่วนบุคคลได้เท่าที่จำเป็นเพื่อให้สามารถปฏิบัติตามสัญญาได้เท่านั้น

        • หน้าที่บันทึกการประมวลผลข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่ทำในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยระบุ

        • ประเภทการประมวลผลข้อมูลส่วนบุคคล
        • มาตรการการคุ้มครองข้อมูลส่วนบุคคลของผู้ประมวลผลข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง หรือผู้รับโอนข้อมูลส่วนบุคคล
        • ชื่อและรายละเอียดการติดต่อของผู้ประมวลผลข้อมูลส่วนบุคคลช่วง และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของผู้ประมวลผลข้อมูลส่วนบุคคลช่วง หรือผู้รับโอนข้อมูลส่วนบุคคล
        • รายการอื่นๆ ตามหลักเกณฑ์และวิธีการที่กฎหมายกำหนด (หากมี)

ผู้ควบคุมข้อมูลส่วนบุคคลมีสิทธิขอรายงานการจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลดังกล่าว และผู้ประมวลผลข้อมูลส่วนบุคคลยินยอมให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถนำรายงานนั้น ไปส่งมอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลภายนอก (หากมี) และหน่วยงานราชการที่เกี่ยวข้องได้ตามกฎหมาย

7. สิทธิของเจ้าของข้อมูลส่วนบุคคล

        • การเข้าถึงข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคลจะสนับสนุนให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลได้ ทั้งนี้ เพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถดำเนินการใดๆ เพื่อตอบสนองต่อคำร้องขอของเจ้าของข้อมูลส่วนบุคคลซึ่งอาจมีสิทธิที่จะเรียกดู แก้ไข หรือลบข้อมูลส่วนบุคคลของตนได้ตามกฎหมาย

        • การร้องขอโดยเจ้าของข้อมูลส่วนบุคคล

หากเจ้าของข้อมูลส่วนบุคคล ต้องการยื่นคำขอใช้สิทธิใดๆ ที่เป็นสิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ให้ผู้ประมวลผลข้อมูลส่วนบุคคลแจ้งวิธีการยื่นคำขอดังกล่าวแก่เจ้าของข้อมูลส่วนบุคคลและแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบทันที ที่ Email: HR@ko.in.th และ DCS@ko.in.th ทั้งนี้ ผู้ประมวลผลข้อมูลส่วนบุคคลไม่มีสิทธิดำเนินการใดๆ ต่อข้อมูลส่วนบุคคลตามคำขอใช้สิทธินั้นแทนผู้ควบคุมข้อมูลส่วนบุคคลทั้งสิ้น และในกรณีที่คำขอเป็นคำขอยกเลิกความยินยอมในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ให้ผู้ประมวลผลข้อมูลส่วนบุคคลระงับการดำเนินการใดๆ เกี่ยวกับข้อมูลส่วนบุคคลนั้นไว้ชั่วคราว จนกว่าจะได้รับคำสั่งอื่นจากผู้ควบคุมข้อมูลส่วนบุคคล

8. มาตรการคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคล

        • มาตรการรักษาความปลอดภัย

หากผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดเก็บข้อมูลส่วนบุคคลใดๆ ตามที่ผู้ควบคุมข้อมูลส่วนบุคคลให้สิทธิ หรือมีคำสั่งเป็นลายลักษณ์อักษร ให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดเก็บอย่างระมัดระวัง ต้องตรวจสอบ จัดให้มี และคงไว้ซึ่งมาตรการรักษาความมั่นคงปลอดภัยที่รัดกุมเพื่อป้องกันเหตุละเมิดข้อมูลส่วนบุคคล โดยระบบรักษาความมั่นคงปลอดภัยขั้นต่ำ ได้แก่ การมี

(1)     กระบวนการปกปิดหรือปิดบังข้อมูลซึ่งไม่ใช่การเข้ารหัส แต่เป็นกระบวนการพิเศษเพื่อทำให้ข้อมูลนั้นแสดงเป็นข้อมูลหลอกหรือนามแฝง เพื่อปกปิดข้อมูลจริง โดยจะสามารถอ่านข้อมูลนั้นได้เมื่อมีการใช้ข้อมูลเพิ่มเติมประกอบเท่านั้น (pseudonymization)

(2)     ระบบและมาตรการที่มีประสิทธิภาพเพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่มีสิทธิ

(3)     ระบบที่สามารถดึงข้อมูลส่วนบุคคลที่รับ และ/หรือ ส่งต่อ ภายใต้สัญญานี้ได้ภายในเวลาอันสมควร (แต่ไม่เกิน 24 ชั่วโมง) และ

(4)     ระบบที่มีการตรวจสอบ และประเมินผลสัมฤทธิ์ของระบบรักษาความมั่นคงปลอดภัย

ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลมีสิทธิเรียกตรวจสอบระบบรักษาความมั่นคงปลอดภัยของผู้ประมวลผลข้อมูลส่วนบุคคลได้ตลอดเวลา และหากผู้ควบคุมข้อมูลส่วนบุคคลร้องขอ
ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดให้มีระบบรักษาความปลอดภัยเพิ่มเติม อย่างไรก็ตาม
ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องไม่เก็บข้อมูลส่วนบุคคลไว้นานเกินกว่าความจำเป็นที่จะต้องเก็บเพื่อปฏิบัติตามสัญญา

        • การรักษาความลับของข้อมูลส่วนบุคคล

นอกเหนือจากหน้าที่รักษาความลับตามที่ระบุไว้ในสัญญาแล้ว ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ต้องรักษาความลับของข้อมูลส่วนบุคคลอย่างเคร่งครัด

ผู้ประมวลผลข้อมูลส่วนบุคคล บริษัทในเครือ และผู้ประมวลผลข้อมูลส่วนบุคคลช่วงตามข้อ 10. รวมถึงพนักงาน ตัวแทนของผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่ทำการประมวลผลข้อมูลส่วนบุคคลภายใต้ข้อตกลงเรื่องการรักษาความลับที่จัดทำขึ้นเป็นลายลักษณ์อักษร

9. การถ่ายโอนข้อมูลส่วนบุคคล

        • สถานที่เก็บรักษาข้อมูลส่วนบุคคล

ภายในบังคับของข้อ 9.2 ผู้ประมวลผลข้อมูลส่วนบุคคลจะประมวลผลข้อมูลส่วนบุคคลในประเทศที่ข้อมูลส่วนบุคคลนั้นถูกจัดเก็บเท่านั้น โดยผู้ประมวลผลข้อมูลส่วนบุคคลจะไม่ทำการโอนถ่าย ข้อมูลส่วนบุคคลไปยังประเทศอื่น เว้นแต่จะได้รับคำสั่งหรือได้รับอนุญาตเป็นลายลักษณ์อักษรจากผู้ควบคุมข้อมูลส่วนบุคคล

        • ข้อยกเว้นเรื่องการโอนถ่ายข้อมูล

ในกรณีที่มีความจำเป็นเพื่อปฏิบัติตามสัญญาและเป็นกรณีที่ได้รับคำสั่งให้ประมวลผลข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูลส่วนบุคคลแล้ว ผู้ประมวลผลข้อมูลส่วนบุคคลสามารถเข้าถึงและประมวลผลข้อมูลส่วนบุคคลจากพื้นที่ หรือตำแหน่งอื่นนอกเหนือจากประเทศที่กำหนดในข้อ 9.1 ได้ เมื่อได้รับอนุญาตเป็นลายลักษณ์อักษรจากผู้ควบคุมข้อมูลส่วนบุคคล

10. ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง

        • การตั้งผู้ประมวลผลข้อมูลส่วนบุคคลช่วง

ผู้ประมวลผลข้อมูลส่วนบุคคลอาจตั้งบุคคลภายนอก (ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง) ให้มีส่วนช่วยหรือสนับสนุนในการปฏิบัติตามวัตถุประสงค์ของสัญญา และการประมวลผลข้อมูลส่วนบุคคล โดยเป็นไปตามเงื่อนไขที่ปรากฏตามรายละเอียดในสัญญา หรือกรณีได้รับอนุญาตเป็นลายลักษณ์อักษรจากผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ หากผู้ประมวลผลข้อมูลส่วนบุคคลประสงค์จะเปลี่ยนแปลงผู้ประมวลผลข้อมูลส่วนบุคคลช่วง เช่น การตั้ง การยกเลิก เป็นต้น ผู้ประมวลผลข้อมูลส่วนบุคคลต้องแจ้งต่อผู้ควบคุมข้อมูลส่วนบุคคลอย่างน้อย 3 วันทำการ ก่อนการเปลี่ยนแปลงใดๆ อย่างไรก็ดี ผู้ควบคุมข้อมูลส่วนบุคคลมีสิทธิที่จะปฏิเสธการเปลี่ยนแปลงดังกล่าวได้หน้าที่ของบริษัทในเครือและผู้ประมวลผลข้อมูลส่วนบุคคลช่วง

บริษัทในเครือของผู้ประมวลผลข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลช่วงที่ผู้ประมวลผลข้อมูลส่วนบุคคลกำหนดให้เข้ามามีส่วนร่วมในการปฏิบัติตามสัญญาจะต้องมีการทำความตกลงเป็นลายลักษณ์อักษรเพื่อกำหนดหน้าที่ในการคุ้มครองและรักษาความปลอดภัยของข้อมูลส่วนบุคคลในระดับเดียวกันกับหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคลนี้ และมีข้อกำหนดให้รักษาความลับของข้อมูลส่วนบุคคลด้วย

        • หน้าที่ความรับผิด

ผู้ประมวลผลข้อมูลส่วนบุคคลยังคงมีหน้าที่รับผิดชอบให้บุคลากรของผู้ประมวลผลข้อมูลส่วนบุคคล บริษัทในเครือ และผู้ประมวลผลข้อมูลส่วนบุคคลช่วงดังกล่าว ปฏิบัติหน้าที่ตามข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคล ตลอดจนตามกฎหมายที่บังคับกับกรณีดังกล่าว หากบุคลากรของ ผู้ประมวลผลข้อมูลส่วนบุคคล บริษัทในเครือ หรือผู้ประมวลผลข้อมูลส่วนบุคคลช่วงไม่สามารถปฏิบัติหน้าที่ตามที่ข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคลและกฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด ผู้ประมวลผลข้อมูลส่วนบุคคลต้องรับผิดต่อผู้ควบคุมข้อมูลส่วนบุคคล

11. การแจ้งเตือนหากเกิดปัญหาด้านความปลอดภัย

        • กรณีมีเหตุการละเมิดข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ทำการประเมินและตรวจสอบต่อการกระทำใดๆ ซึ่งอาจมีลักษณะเป็นการเข้าถึงหรือประมวลผลข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย ทั้งนี้ บุคลากรของผู้ประมวลผลข้อมูลส่วนบุคคล ตลอดจนบริษัทในเครือ และผู้ประมวลผลข้อมูลส่วนบุคคลช่วงของผู้ประมวลผลข้อมูลส่วนบุคคลถูกกำหนดให้มีหน้าที่ที่จะตรวจสอบและตระหนักต่อเหตุการณ์ข้างต้นเช่นเดียวกัน

        • กระบวนการแจ้งเตือน

หากผู้ประมวลผลข้อมูลส่วนบุคคลตระหนักได้ว่ามีเหตุการละเมิดข้อมูลส่วนบุคคล หรือเหตุบกพร่องของระบบรักษาความปลอดภัย ข้อร้องเรียกในเรื่องของการละเมิดข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลให้ผู้ประมวลผลข้อมูลส่วนบุคคลแจ้งผู้ควบคุมข้อมูลส่วนบุคคลที่ Email: HR@ko.in.th และ DCS@ko.in.th ทันทีภายในระยะเวลา 24 ชั่วโมง นับแต่เวลาที่ได้รับรู้ถึงการกระทำดังกล่าว โดยระบุรายละเอียดเหตุการณ์ ผลที่น่าจะตามมา จำนวนเจ้าของข้อมูล จำนวนข้อมูล และประเภทข้อมูลที่ได้รับผลกระทบ สิ่งที่ผู้ประมวลผลข้อมูลส่วนบุคคลได้กระทำไปเพื่อบรรเทาผลร้าย หรือมาตรการที่จะเสนอเพื่อใช้จัดการกับเหตุดังกล่าว รวมถึงการเสนอมาตรการเยียวยาให้แก่เจ้าของข้อมูลส่วนบุคคลด้วย

ทั้งนี้ ผู้ประมวลผลข้อมูลส่วนบุคคลตกลงให้ความร่วมมือและให้ความช่วยเหลือผู้ควบคุมข้อมูลส่วนบุคคล และเจ้าหน้าที่ราชการที่เกี่ยวข้องในการสืบสวนเหตุการณ์นั้น เพื่อที่จะป้องกัน จำกัด บรรเทาผลร้ายจากเหตุละเมิดข้อมูลส่วนบุคคล เพื่อเยียวยาเจ้าของข้อมูลส่วนบุคคล และเพื่อจำกัดความเสี่ยงในการเกิดเหตุละเมิดข้อมูลส่วนบุคคลซ้ำอีก

        • การดำเนินการ

ผู้ประมวลผลข้อมูลส่วนบุคคลจะใช้มาตรการตามที่เห็นสมควรเพื่อตรวจสอบและทราบถึงสาเหตุของการละเมิด และป้องกัน ปัญหาดังกล่าวมิให้เกิดซ้ำ และภายใต้ขอบเขตที่กฎหมายกำหนด ผู้ประมวลผลข้อมูลส่วนบุคคลจะให้ข้อมูลแก่ผู้ควบคุมข้อมูลส่วนบุคคลอันเกี่ยวกับการละเมิดนี้ หรือตามที่ผู้ควบคุมข้อมูลส่วนบุคคลร้องขอ ดังต่อไปนี้

        • รายละเอียดของลักษณะของการละเมิดและผลที่อาจเกิดขึ้น
        • มาตรการที่ใช้เพื่อบรรเทาผลกระทบจากการละเมิด
        • ประเภทของข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลที่ถูกละเมิด (หากเป็นไปได้) และ
        • ข้อมูลอื่นๆ ที่เกี่ยวข้องกับการละเมิด หรือที่ผู้ควบคุมข้อมูลส่วนบุคคลร้องขอ

อย่างไรก็ตาม แม้ผู้ประมวลผลข้อมูลส่วนบุคคลจะดำเนินการตามขั้นตอนในการแจ้งเตือนกรณีการเกิดปัญหาด้านความปลอดภัยครบถ้วนก็ตาม ผู้ประมวลผลข้อมูลส่วนบุคคลยังคงมีหน้าที่ต้องรับผิดตามกฎหมาย หากการละเมิดนี้เกิดขึ้นจากความผิดของผู้ประมวลผลข้อมูลส่วนบุคคล

12. การลบหรือการคืนข้อมูลส่วนบุคคล
หากหมดความจำเป็นที่จะต้องใช้ข้อมูลส่วนบุคคลในการประมวลผลข้อมูลส่วนบุคคลตามสัญญา หรือเมื่อสิ้นสุดสัญญา ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องหยุดการเก็บรวมรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลทุกกรณี และส่งมอบข้อมูลส่วนบุคคลและเอกสารทุกประเภทที่เกี่ยวกับข้อมูลส่วนบุคคลให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลโดยทันที ไม่ว่าจะถูกจัดเก็บอยู่ในรูปแบบใดก็ตาม (หรือหากตามสภาพไม่สามารถส่งคืนได้ ให้ทำการลบหรือ ทำลายเสียโดยทันที)

13.  สิทธิในการตรวจสอบ

ผู้ประมวลผลข้อมูลส่วนบุคคลตกลงให้ผู้ควบคุมข้อมูลส่วนบุคคลมีสิทธิในการตรวจสอบ ออดิท ระบบปฏิบัติการ มาตรการและระบบรักษาความปลอดภัยของข้อมูลส่วนบุคคลของผู้ประมวลผลข้อมูลส่วนบุคคลได้

14.  ข้อกำหนดทั่วไป

        • ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องศึกษา และปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลตลอดเวลา
        • หากผู้ประมวลผลข้อมูลส่วนบุคคลไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลอย่างเคร่งครัด กระทำผิดสัญญาข้อหนึ่งข้อใดเกี่ยวกับหน้าที่การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลนี้ หรือกระทำการอื่นใดนอกเหนือจากการปฏิบัติหน้าที่ตามสัญญาที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลนี้ หรือทำผิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลตกลงชดใช้ค่าเสียหายทุกประเภทที่กฎหมายกำหนดให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลทั้งสิ้นทันทีที่ได้รับแจ้งจากผู้ควบคุมข้อมูลส่วนบุคคลเป็นลายลักษณ์อักษร โดยไม่ต้องคำนึงถึงข้อสัญญาจำกัดความรับผิด รวมทั้งให้ผู้ควบคุมข้อมูลส่วนบุคคลมีสิทธิหักค่าเสียหายจากเงินค่าจ้าง ค่าบริการ ค่าตอบแทน และ/หรือเงินผลประโยชน์อื่นใดของผู้ประมวลผลข้อมูลส่วนบุคคลที่มีสิทธิได้รับด้วยก็ได้ และไม่ตัดสิทธิผู้ควบคุมข้อมูลส่วนบุคคลในการเลิกสัญญานี้ทันที
        • ให้ข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคลนี้ มีผลต่อไปถึงแม้ว่าสัญญานี้จะได้สิ้นผลไปแล้วก็ตาม
        • ข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคลนี้มีผลใช้บังคับตราบเท่าที่เพื่อบรรลุวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล หรือเมื่อสัญญาสิ้นผลหรือเลิกสัญญาไม่ว่าด้วยเหตุใดๆ ตามที่ระบุในสัญญา และผู้ประมวลผลข้อมูลส่วนบุคคลต้องดำเนินการลบหรือคืนข้อมูลส่วนบุคคลตาม ข้อ 10.
        • คู่สัญญาทั้งสองฝ่ายตกลงว่าในการประมวลผลข้อมูลส่วนบุคคล จะยึดถือและปฏิบัติตามข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคลนี้ ข้อตกลงในการประมวลผลข้อมูลส่วนบุคคลอื่นใดที่ทั้งสองฝ่ายตกลงก่อนหน้านี้ให้เป็นอันสิ้นผลบังคับไป
        • หากมีการเปลี่ยนแปลงข้อกำหนดและเงื่อนไขในข้อตกลงนี้ ข้อกำหนดและเงื่อนไขในสัญญาย่อมไม่มีผลเปลี่ยนแปลง แต่อย่างไรก็ตามในกรณีที่ข้อกำหนดและเงื่อนไขในข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคลนี้ ขัดแย้งหรือไม่สอดคล้องกับข้อกำหนดและเงื่อนไขในสัญญา ให้ถือข้อกำหนดและเงื่อนไขในข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคลนี้เป็นสำคัญ
        • ข้อตกลงนี้จัดทำเป็นภาษาไทยและตีความตามภาษาไทย รวมถึงการแก้ไขข้อตกลง การเปลี่ยนแปลงอื่นๆ การติดต่อสื่อสาร และการทำหนังสือบอกกล่าว ให้จัดทำเป็นภาษาไทย

        • ข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคลนี้อาจมีการแก้ไขในภายหน้าได้หากคู่สัญญาทั้งสองฝ่ายยินยอมและได้จัดทำขึ้นเป็นลายลักษณ์อักษร

Article Attachments

Related Articles