SlideShare a Scribd company logo

PDPA Share & Learn: Data Processing Agreement (DPA) Example by Ramathibodi (September 20, 2021)

Nawanan Theera-Ampornpunt
Nawanan Theera-Ampornpunt

Presented at Mahidol University, Nakhon Pathom, Thailand on September 20, 2021

Law
1 of 30
Download to read offline
Share & Learn ความคืบหน้าจากส่วนงานเกี่ยวกับการ เตรียมความพร้อมด้านการคุ้มครองข้อมูลส่วนบุคคล: การนาเสนอตัวอย่างการจัดทา Data Processing Agreement และ Data Sharing Agreement นพ.นวนรรน ธีระอัมพรพันธุ์ รองคณบดีฝ่ายปฏิบัติการ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล 20 กันยายน 2564 www.SlideShare.net/Nawanan
PDPA Recap ▪ “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคลหรือ นิติบุคคลซึ่งมีอานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ▪ “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคลหรือ นิติบุคคลซึ่งดาเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคาสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่ง ดาเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล PDPA มาตรา 6
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน Hospital Employer (e.g. Factory) On-Site Clinic
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน รพ.รามาธิบดี Employer (e.g. Factory) On-Site Clinic (ให้บริการโดยคณะแพทยศาสตร์ รพ.รามาธิบดี) 1. ตรวจสุขภาพ/ รักษาพยาบาล 2A. ตรวจ lab แล้วส่งกลับให้ คลินิกตรวจรักษาต่อ 2B. ส่งต่อมาตรวจรักษาที่ รพ. การให้บริการตามข้อ 1. และ 2A. อยู่ภายใต้สัญญาให้บริการทางการ แพทย์ ระหว่าง Employer กับคณะแพทยศาสตร์ รพ.รามาธิบดี ส่วนกรณี 2B. ถือเป็นการให้บริการของ รพ.รามาธิบดี ที่แยกเป็นคนละ ส่วนกับการให้บริการที่ On-Site Clinic (เช่นเดียวกับกรณีผู้ป่วย Walk- in มาที่ รพ.รามาธิบดี)
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน ประเด็นที่ต้องพิจารณาตาม PDPA ▪ มหาวิทยาลัยมหิดล (คณะแพทยศาสตร์ รพ.รามาธิบดี) และ Employer อยู่ใน ฐานะใด ▪ การเก็บรวบรวมข้อมูลส่วนบุคคลในแต่ละขั้นตอน สอดคล้องกับ PDPA หรือไม่ ▪ หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน คณะแพทยศาสตร์ รพ.รามาธิบดี และ Employer อยู่ในฐานะใด รพ.รามาธิบดี Employer (e.g. Factory) On-Site Clinic (ให้บริการโดยคณะแพทยศาสตร์ รพ.รามาธิบดี) 1. ตรวจสุขภาพ/ รักษาพยาบาล 2A. ตรวจ lab แล้วส่งกลับให้ คลินิกตรวจรักษาต่อ 2B. ส่งต่อมาตรวจรักษาที่ รพ. การให้บริการตามข้อ 1. และ 2A. อยู่ภายใต้สัญญาให้บริการทางการ แพทย์ ระหว่าง Employer กับคณะแพทยศาสตร์ รพ.รามาธิบดี ส่วนกรณี 2B. ถือเป็นการให้บริการของ รพ.รามาธิบดี ที่แยกเป็นคนละ ส่วนกับการให้บริการที่ On-Site Clinic (เช่นเดียวกับกรณีผู้ป่วย Walk- in มาที่ รพ.รามาธิบดี) นายจ้าง = Data Controller ลูกจ้าง = Data Subject รามาธิบดี = Data Controller ผู้ป่วย = Data Subject 2A: รามาธิบดี = Data Processor 2B: รามาธิบดี = Data Controller รามาธิบดี = Data Processor Clinic เป็นของนายจ้าง นายจ้าง = Data Controller
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน การเก็บรวบรวมข้อมูลส่วนบุคคลในแต่ละขั้นตอน สอดคล้องกับ PDPA หรือไม่ รพ.รามาธิบดี Employer (e.g. Factory) On-Site Clinic (ให้บริการโดยคณะแพทยศาสตร์ รพ.รามาธิบดี) 1. ตรวจสุขภาพ/ รักษาพยาบาล 2A. ตรวจ lab แล้วส่งกลับให้ คลินิกตรวจรักษาต่อ 2B. ส่งต่อมาตรวจรักษาที่ รพ. การให้บริการตามข้อ 1. และ 2A. อยู่ภายใต้สัญญาให้บริการทางการ แพทย์ ระหว่าง Employer กับคณะแพทยศาสตร์ รพ.รามาธิบดี ส่วนกรณี 2B. ถือเป็นการให้บริการของ รพ.รามาธิบดี ที่แยกเป็นคนละ ส่วนกับการให้บริการที่ On-Site Clinic (เช่นเดียวกับกรณีผู้ป่วย Walk- in มาที่ รพ.รามาธิบดี) 2A เงื่อนไขเดียวกับ 1 นายจ้าง = Data Controller ลูกจ้าง = Data Subject รามาธิบดี = Data Processor รามาธิบดี = Data Controller ผู้ป่วย = Data Subject 2A: รามาธิบดี = Data Processor 2B: รามาธิบดี = Data Controller General Data: - Legal Obligation [PDPA ม.24 (6)] - Vital Interest [PDPA ม.24 (2)] Sensitive Data: - Legal Obligation (Labor Protection) [PDPA ม.26 (5) (ค) + พ.ร.บ. คุ้มครองแรงงาน] 2B เงื่อนไขเดียวกับผู้ป่วยอื่น ๆ ที่มารักษาที่รามาธิบดี General Data: - Contract [PDPA ม.24 (3)] - Vital Interest [PDPA ม.24 (2)] Sensitive Data: - Contract [PDPA ม.26 (5) (ก) ส่วนท้าย - Legal Obligation (Health Services) [PDPA ม.26 (5) (ก) ส่วนต้น (กรณีปฏิบัติตามกฎหมาย) Clinic เป็นของนายจ้าง นายจ้าง = Data Controller
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร หน้าที่ของ Data Controller
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร หน้าที่ของ Data Controller
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร หน้าที่ของ Data Processor
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร หน้าที่ของ Data Processor
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร • TDPG 1.0 • TDPG 2.0 • TDPG 3.0 • TDPG 3.1 for Investment Banking Activities https://www.law.chula.ac.th/ wp-content/uploads/2020/12/ TDPG3.0-C5-20201208.pdf
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร TGPG 3.0 (คณะนิติศาสตร์ จุฬาฯ) หน้า 154-171 Data Subject Data Controller Data Processor - Terms & Conditions (T&C) ( Service Contract) - Privacy Notice [PDPA ม.23] - Service Contract - Data Processing Agreement (DPA)
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร TGPG 3.0 (คณะนิติศาสตร์ จุฬาฯ) หน้า 154-171
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร TGPG 3.0 (คณะนิติศาสตร์ จุฬาฯ) หน้า 154-171
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร TGPG 3.0 (คณะนิติศาสตร์ จุฬาฯ) หน้า 154-171
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor บันทึกข้อตกลงการให้ประมวลผลข้อมูล (Data Processing Agreement) ทาที่ .......................................................... วันที่ ............. เดือน .................. พ.ศ. .............. บันทึกข้อตกลงนี้ทาขึ้นระหว่าง บริษัท xxx มีสานักงานตั้งอยู่ที่ xxxxxxxxxxxxxxxxxxxxxxxxxxxx โดย xxxxxxxxxxxxxxxxxxxxxxxxx ตาแหน่ง xxxxxxxxxxx เป็นผู้มีอานาจลงนามผูกพัน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “บริษัทฯ” กับ มหาวิทยาลัยมหิดล (คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี) เลขที่ ๒๗๐ ถนนพระราม ๖ แขวงทุ่งพญาไท เขต ราชเทวี กรุงเทพมหานคร ๑๐๔๐๐ โดย xxxx ตาแหน่ง คณบดีคณะแพทยศาสตร์โรงพยาบาลรามาธิบดี เป็นผู้มีอานาจ ลงนามผูกพัน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “คณะฯ” ตามที่ทั้งสองฝ่ายได้ทาสัญญาให้บริการทางการแพทย์ สถานพยาบาลสานักงานใหญ่ ฉบับลงวันที่ xxx และบริษัทฯ ได้ส่งข้อมูลส่วนบุคคลให้แก่คณะฯ ทั้งสองฝ่ายจึงตกลงทาบันทึกข้อตกลงฉบับนี้ โดยให้บันทึกฉบับนี้เป็นส่วนหนึ่งของ สัญญาดังกล่าว ดังมีข้อความต่อไปนี้
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๑ หากไม่ได้มีการกาหนดไว้เป็นอย่างอื่นในบันทึกข้อตกลงฉบับนี้ ให้ถ้อยคาในบันทึกข้อตกลงฉบับนี้มีความหมายดังต่อไปนี้ “การประมวลผลข้อมูล” หมายถึง การปฏิบัติการหรือส่วนหนึ่งของการปฏิบัติการซึ่งได้กระทาต่อข้อมูลส่วนบุคคลไม่ว่าโดยวิธีการอัตโนมัติหรือโดย วิธีการอื่นใด เช่น การเก็บรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การดัดแปลง การเปลี่ยนแปลง การกู้คืน การใช้ การเปิดเผย โดยการส่ง การจัดวางให้ถูกตาแหน่งหรือการรวบรวม การจากัด การลบ และการทาลาย “การลบ” หมายถึง การทาให้ข้อมูลส่วนบุคคลนั้นถูกลบออกจากระบบและไม่อาจกู้คืนได้ โดยเจ้าของข้อมูลส่วนบุคคล บริษัทฯ หรือคณะฯ ทั้งนี้ ไม่ว่าเวลาใด ๆ “การละเมิดข้อมูลส่วนบุคคล” หมายความรวมถึง การเข้าถึง การเปิดเผย หรือการแก้ไขเปลี่ยนแปลงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือโดย อุบัติเหตุ หรือการโอนข้อมูลส่วนบุคคลโดยมิชอบหรือโดยปราศจากอานาจ หรือการทาให้เข้าถึงข้อมูลส่วนบุคคลไม่ได้ หรือการทาให้ข้อมูลส่วนบุคคลถูก ทาลาย หรือสูญหายไปโดยไม่ได้รับอนุญาตหรือโดยอุบัติเหตุ “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่เกี่ยวกับบุคคลซึ่งทาให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่ กรรมโดยเฉพาะ “เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล และให้หมายความรวมถึง ผู้ใช้อานาจปกครองที่มีอานาจ กระทาการแทนผู้เยาว์ ผู้อนุบาลที่มีอานาจกระทาการแทนคนไร้ความสามารถ หรือผู้พิทักษ์ที่มีอานาจกระทาการแทนคนเสมือนไร้ความสามารถ “พนักงาน” หมายถึง “พนักงานของบริษัท xxx และบริษัทในเครือ” “บริษัทในเครือ xxx” หมายถึง บริษัทตามรายชื่อในเอกสารแนบท้ายสัญญา” “ครอบครัวพนักงาน” หมายถึง คู่สมรสและบุตรที่ชอบด้วยกฎหมายของพนักงานของบริษัท xxx และบริษัทในเครือ xxx ทั้งนี้ ตามรายละเอียดใน เอกสารแนบท้ายบันทึกข้อตกลง “บันทึกข้อตกลง” หมายถึง บันทึกข้อตกลงให้ประมวลผลข้อมูลและเอกสารแนบท้ายบันทึกข้อตกลงฉบับนี้ “สัญญา” หมายถึง สัญญาให้บริการทางการแพทย์ สถานพยาบาลสานักงานใหญ่ ฉบับลงวันที่ xxx
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๒ ขอบเขตการบังคับใช้ บันทึกข้อตกลงฉบับนี้ มีวัตถุประสงค์เพื่อใช้บังคับแก่การประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ ได้ส่งให้แก่คณะฯ ตามสัญญา และให้มีผลบังคับใช้ตั้งแต่วันที่..............................ถึงวันที่.....................................ทั้งนี้ บันทึกข้อตกลงฉบับนี้ ให้ถือเป็นส่วนหนึ่งของสัญญาให้บริการทางการแพทย์ ข้อ ๓ ความสัมพันธ์ระหว่างคู่สัญญา บริษัทฯ จะอยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตลอดระยะเวลาของสัญญา โดยบริษัทฯ ในฐานะ ผู้ควบคุมข้อมูล ส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี คณะฯ จะอยู่ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลตลอดเวลาของสัญญา โดยคณะฯ ในฐานะ ผู้ประมวลผลข้อมูล ส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๔ การประมวลผลข้อมูลส่วนบุคคล ๔.๑ คณะฯ จะประมวลผลข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ของสัญญาและกระบวนการอื่น ๆ ที่เกี่ยวข้อง รวมถึงกรณีที่ บุคลากรของบริษัทฯ ที่มีอานาจหน้าที่เกี่ยวกับการปฏิบัติตามสัญญาได้มีคาสั่งที่ชอบด้วยกฎหมายให้คณะฯ ดาเนินการ ทั้งนี้ คณะฯ จะไม่ ดาเนินการประมวลผลข้อมูลส่วนบุคคลที่นอกเหนือไปจากวัตถุประสงค์ของสัญญา โดยถือว่าไม่เป็นการกระทาผิดบันทึกข้อตกลงนี้ ๔.๒ บริษัทฯ ตกลงและยอมรับว่า ก่อนการเปิดเผยข้อมูลส่วนบุคคลให้แก่คณะฯ บริษัทฯ ได้รับความยินยอมที่จาเป็นทั้งหมดจาก เจ้าของข้อมูลส่วนบุคคลหรือใช้ฐานทางกฎหมายอื่น เพื่อให้คณะฯ สามารถประมวลผลข้อมูลส่วนบุคคลที่ได้รับจากบริษัทฯ อย่างถูกต้องตาม กฎหมาย และเป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ๔.๓ บริษัทฯ ยอมรับว่าการที่พนักงานหรือครอบครัวพนักงานใช้บริการตามสัญญา ถือเป็นการสั่งให้คณะฯ ประมวลผลข้อมูล ส่วนบุคคล โดยคณะฯ จะประมวลผลข้อมูลเฉพาะข้อมูลส่วนบุคคลดังต่อไปนี้ (๑) ชื่อ นามสกุลของพนักงาน หรือครอบครัวพนักงาน (๒) ข้อมูลที่เกี่ยวกับครอบครัว เช่น อายุ วันเกิด สถานภาพ จานวนบุตร (๓) ข้อมูลสุขภาพ (๔) ข้อมูลอื่น ๆ ตามที่คู่สัญญาตกลงกัน ๔.๔ คณะฯ จะใช้ความพยายามตามสมควรให้การเข้าถึงข้อมูลส่วนบุคคลจากัดเฉพาะบุคลากรของคณะฯ หรือบุคคลที่ได้รับ มอบหมายซึ่งมีความจาเป็นในการเข้าถึงข้อมูลส่วนบุคคลเพื่อดาเนินการให้เป็นไปตามสัญญา และดาเนินการให้บุคคลดังกล่าวรักษาความลับ ของข้อมูลส่วนบุคคลที่ถูกประมวลผล
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๕ ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง เพื่อประโยชน์ในการปฏิบัติตามสัญญา เมื่อมีความจาเป็น คณะฯ อาจมอบหมายงานเกี่ยวกับการประมวลผลข้อมูล ส่วนบุคคล ทั้งหมดหรือแต่บางส่วนให้แก่บุคคลภายนอก (ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง) ดาเนินการแทนได้ ทั้งนี้ คณะฯ ยังต้องเป็นผู้รับผิดชอบในงานที่ได้มอบหมายไป รวมถึงต้องดาเนินการให้ผู้ประมวลผลข้อมูลส่วนบุคคลช่วงที่ ได้รับมอบหมายปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลช่วงมีหน้าที่ในการคุ้มครองและรักษาความปลอดภัยของข้อมูลส่วนบุคคลในระดับที่ไม่ ต่ากว่าหน้าที่ของคณะฯ ตามบันทึกข้อตกลงฉบับนี้
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๖ การให้ความร่วมมือตามคาร้องของเจ้าของข้อมูลส่วนบุคคลหรือตามคาสั่งของเจ้าหน้าที่รัฐ คณะฯ จะสนับสนุนให้บริษัทฯ สามารถเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อให้บริษัทฯ สามารถดาเนินการตามคาร้องขอของเจ้าของข้อมูลส่วนบุคคลซึ่งมีสิทธิที่จะเรียกดู แก้ไข ลบ หรือทาลายข้อมูลส่วน บุคคลได้ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและบันทึกข้อตกลงฉบับนี้ ภายในเวลาอันสมควร ในกรณีที่คณะฯ ได้รับคาร้องขอจากเจ้าของข้อมูลส่วนบุคคลซึ่งได้ระบุว่าบริษัทฯ เป็นผู้ควบคุมข้อมูลส่วนบุคคล คณะฯ ต้องส่งคาร้องขอนั้นต่อไปยังบริษัทฯ โดยจะไม่ดาเนินการตามคาร้องดังกล่าว เว้นแต่จะมีการตกลงไว้เป็นอย่างอื่น คู่สัญญาจะสนับสนุนให้ความช่วยเหลือเพื่อดาเนินการตามที่กฎหมายกาหนด หรือตามคาสั่งที่ชอบด้วยกฎหมายจาก เจ้าหน้าที่ของรัฐเกี่ยวกับหน้าที่ของคู่สัญญา
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๗ มาตรการคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคล คณะฯ มีหน้าที่ดาเนินการจัดให้มีมาตรการรักษาความปลอดภัยสาหรับการประมวลผลข้อมูลส่วนบุคคลที่มีความ เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดย ปราศจากอานาจหรือโดยมิชอบ โดยมาตรการข้างต้นจะต้องคานึงถึงความก้าวหน้าทางเทคโนโลยี ค่าใช้จ่ายในการ ดาเนินการ ลักษณะ ขอบเขต และวัตถุประสงค์ของการประมวลผลข้อมูล ข้อ ๘ การแจ้งเตือนหากเกิดการละเมิดข้อมูลส่วนบุคคล คณะฯ มีหน้าที่แจ้งเป็นลายลักษณ์อักษรแก่บริษัทฯ เมื่อคณะฯ ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น โดยไม่ชักช้า เมื่อคณะฯ ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลนั้น ข้อ ๙ การจัดทาบันทึกสาหรับการประมวลผลข้อมูลส่วนบุคคล คณะฯ จะจัดทาบันทึกเป็นลายลักษณ์อักษรสาหรับการประมวลผลข้อมูลส่วนบุคคล โดยจะมีการจัดทาและรักษา บันทึกดังกล่าวตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๑๐ การลบและการเก็บรักษาข้อมูลส่วนบุคคล คณะฯ มีหน้าที่ลบหรือทาลายข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ภายในเวลาอันสมควร นับแต่วันที่สัญญาสิ้นสุดลง หรือเมื่อไม่มี ความจาเป็นจะต้องเก็บรักษาข้อมูลส่วนบุคคลเพื่อประมวลผลข้อมูลส่วนบุคคลอีกต่อไป เว้นแต่ได้รับอนุญาตจากบริษัทฯ เป็นลายลักษณ์ อักษร คณะฯ อาจเก็บข้อมูลส่วนบุคคลเพื่อการก่อตั้งสิทธิเรียกร้อง เพื่อการปฏิบัติตามหรือการใช้สิทธิเรียกร้อง เพื่อการยกขึ้นเป็นข้อต่อสู้ เพื่อการปฏิบัติตามกฎหมาย หรือเพื่อการอื่นที่ไม่ขัดต่อกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล คณะฯ มีหน้าที่เก็บรักษาข้อมูลส่วนบุคคลเท่าที่จาเป็นเพื่อการปฏิบัติตามบันทึกข้อตกลงนี้ คณะฯ อาจทาให้ข้อมูลส่วนบุคคลที่ถูกประมวลผลตามบันทึกข้อตกลงนี้เป็นข้อมูลซึ่งไม่สามารถระบุตัวผู้เป็นเจ้าของข้อมูลส่วนบุคคล และประมวลผลข้อมูลดังกล่าวต่อไปได้ ข้อ ๑๑ ขอบเขตของความรับผิด คณะฯ ไม่ต้องรับผิดในความเสียหายอันเกิดจากการปฏิบัติตามบันทึกข้อตกลง หรือตามคาสั่งของบริษัทฯ เพื่อให้บรรลุวัตถุประสงค์ใน การประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ ได้ส่งให้แก่คณะฯ ตามสัญญา กรณีคณะฯ ต้องรับผิดชดใช้ค่าเสียหายหรือชาระค่าปรับ อันเนื่องมาจากการปฏิบัติตามบันทึกข้อตกลง หรือตามคาสั่งของบริษัทฯ เพื่อให้บรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ ได้ส่งให้แก่คณะฯ ตามสัญญา คณะฯ มีสิทธิเรียกร้องให้บริษัทฯ ชดใช้ เงินดังกล่าวให้แก่คณะฯ
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๑๒ การเปลี่ยนแปลงแก้ไขบันทึกข้อตกลง กรณีจาเป็นต้องมีการเปลี่ยนแปลงแก้ไขบันทึกข้อตกลงเพื่อให้คู่สัญญาสามารถประมวลผลข้อมูลส่วนบุคคลตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลต่อไปได้ ให้คู่สัญญาฝ่ายที่ประสงค์จะแก้ไขเพิ่มเติมบันทึกข้อตกลงนี้ แจ้งให้ อีกฝ่ายทราบล่วงหน้าเป็นเวลาไม่น้อยกว่า ๓๐ วัน และเมื่อทุกฝ่ายให้ความยินยอมในการแก้ไขเพิ่มเติมแล้ว ให้จัดทา บันทึกข้อตกลงฉบับแก้ไขเพิ่มเติมเป็นหนังสือ และลงนามผูกพันโดยผู้มีอานาจลงนามผูกพันนิติบุคคล และให้ถือว่าการ แก้ไขเพิ่มเติมดังกล่าวเป็นส่วนหนึ่งของบันทึกข้อตกลงนี้ โดยให้มีผลใช้บังคับตั้งแต่วันที่ลงนามในบันทึกข้อตกลงฉบับ แก้ไขเพิ่มเติมนั้น บันทึกข้อตกลงนี้ทาขึ้นสองฉบับมีข้อความถูกต้องตรงกัน ทั้งสองฝ่ายได้อ่านและเข้าใจบันทึกข้อตกลงนี้โดยละเอียด ตลอดแล้ว เห็นว่าตรงตามเจตนารมณ์ที่ได้ให้ไว้ต่อกันทุกประการ จึงได้ลงลายมือชื่อไว้เป็นสาคัญต่อหน้าพยานและแต่ละ ฝ่ายต่างได้ยึดถือไว้ฝ่ายละฉบับ

Recommended

PDPA Share & Learn: Data Sharing Agreement (DSA) Example by Ramathibodi (Octo...
PDPA Share & Learn: Data Sharing Agreement (DSA) Example by Ramathibodi (Octo...PDPA Share & Learn: Data Sharing Agreement (DSA) Example by Ramathibodi (Octo...
PDPA Share & Learn: Data Sharing Agreement (DSA) Example by Ramathibodi (Octo...
Nawanan Theera-Ampornpunt
 
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)
Nawanan Theera-Ampornpunt
 
Personal Data Protection Act in Healthcare (January 21, 2021)
Personal Data Protection Act in Healthcare (January 21, 2021)Personal Data Protection Act in Healthcare (January 21, 2021)
Personal Data Protection Act in Healthcare (January 21, 2021)
Nawanan Theera-Ampornpunt
 
Health IT Laws and PDPA (October 12, 2021)
Health IT Laws and PDPA (October 12, 2021)Health IT Laws and PDPA (October 12, 2021)
Health IT Laws and PDPA (October 12, 2021)
Nawanan Theera-Ampornpunt
 
GDPR Data Subject Rights - What You Need to Know
GDPR Data Subject Rights - What You Need to KnowGDPR Data Subject Rights - What You Need to Know
GDPR Data Subject Rights - What You Need to Know
Piwik PRO
 
Personal Data Protection Act - Employee Data Privacy
Personal Data Protection Act - Employee Data PrivacyPersonal Data Protection Act - Employee Data Privacy
Personal Data Protection Act - Employee Data Privacy
legalPadmin
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
Harto Pönkä
 
Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)
Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)
Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)
Nawanan Theera-Ampornpunt
 

Recommended

PDPA Share & Learn: Data Sharing Agreement (DSA) Example by Ramathibodi (Octo...
PDPA Share & Learn: Data Sharing Agreement (DSA) Example by Ramathibodi (Octo...PDPA Share & Learn: Data Sharing Agreement (DSA) Example by Ramathibodi (Octo...
PDPA Share & Learn: Data Sharing Agreement (DSA) Example by Ramathibodi (Octo...
Nawanan Theera-Ampornpunt
 
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)
Nawanan Theera-Ampornpunt
 
Personal Data Protection Act in Healthcare (January 21, 2021)
Personal Data Protection Act in Healthcare (January 21, 2021)Personal Data Protection Act in Healthcare (January 21, 2021)
Personal Data Protection Act in Healthcare (January 21, 2021)
Nawanan Theera-Ampornpunt
 
Health IT Laws and PDPA (October 12, 2021)
Health IT Laws and PDPA (October 12, 2021)Health IT Laws and PDPA (October 12, 2021)
Health IT Laws and PDPA (October 12, 2021)
Nawanan Theera-Ampornpunt
 
GDPR Data Subject Rights - What You Need to Know
GDPR Data Subject Rights - What You Need to KnowGDPR Data Subject Rights - What You Need to Know
GDPR Data Subject Rights - What You Need to Know
Piwik PRO
 
Personal Data Protection Act - Employee Data Privacy
Personal Data Protection Act - Employee Data PrivacyPersonal Data Protection Act - Employee Data Privacy
Personal Data Protection Act - Employee Data Privacy
legalPadmin
 
Tietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissaTietoturva ja tietosuoja Office 365 -palveluissa
Tietoturva ja tietosuoja Office 365 -palveluissa
Harto Pönkä
 
Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)
Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)
Personal Data Protection Act (PDPA) for Health Care Service (January 29, 2021)
Nawanan Theera-Ampornpunt
 
GDPR Presentation
GDPR PresentationGDPR Presentation
GDPR Presentation
CILIP Ireland
 
Privacy & Data Protection
Privacy & Data ProtectionPrivacy & Data Protection
Privacy & Data Protection
sp_krishna
 
Data protection ppt
Data protection pptData protection ppt
Data protection ppt
grahamwell
 
DATA PROTECTION LAWS OF THE WORLD
DATA PROTECTION LAWS OF THE WORLDDATA PROTECTION LAWS OF THE WORLD
DATA PROTECTION LAWS OF THE WORLD
Jason Rusch - CISSP CGEIT CISM CISA GNSA
 
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
Nawanan Theera-Ampornpunt
 
Data Privacy: What you need to know about privacy, from compliance to ethics
Data Privacy: What you need to know about privacy, from compliance to ethicsData Privacy: What you need to know about privacy, from compliance to ethics
Data Privacy: What you need to know about privacy, from compliance to ethics
AT Internet
 
GDPR compliant data anonymization / pseudonymization
GDPR compliant data anonymization / pseudonymization GDPR compliant data anonymization / pseudonymization
GDPR compliant data anonymization / pseudonymization
Patric Dahse
 
Pdpa presentation
Pdpa presentationPdpa presentation
Pdpa presentation
Alan Teh
 
Gdpr presentation
Gdpr presentationGdpr presentation
Gdpr presentation
Iain Wicks MCIPR
 
ผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ
ผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ
ผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ
Nawanan Theera-Ampornpunt
 
GDPR Demystified
GDPR DemystifiedGDPR Demystified
GDPR Demystified
SPIN Chennai
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
Harto Pönkä
 
Applying the Personal Data Protection Act (Singapore)
Applying the Personal Data Protection Act (Singapore)Applying the Personal Data Protection Act (Singapore)
Applying the Personal Data Protection Act (Singapore)
Benjamin Ang
 
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
Nawanan Theera-Ampornpunt
 
BigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesBigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar Slides
Dimitri Sirota
 
Do's and Don'ts on PDPA for Doctors (May 31, 2022)
Do's and Don'ts on PDPA for Doctors (May 31, 2022)Do's and Don'ts on PDPA for Doctors (May 31, 2022)
Do's and Don'ts on PDPA for Doctors (May 31, 2022)
Nawanan Theera-Ampornpunt
 
Personal Data Protection in Malaysia
Personal Data Protection in MalaysiaPersonal Data Protection in Malaysia
Personal Data Protection in Malaysia
MSC Malaysia Cybercentre @ Bangsar South City
 
Data Protection Presentation
Data Protection PresentationData Protection Presentation
Data Protection Presentation
IBM Business Insight
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
Harto Pönkä
 
Privacy by Design: legal perspective
Privacy by Design: legal perspectivePrivacy by Design: legal perspective
Privacy by Design: legal perspective
Dr. Mira Suleimenova, CIPPe
 
Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)
Nawanan Theera-Ampornpunt
 
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Nawanan Theera-Ampornpunt
 

More Related Content

What's hot

ผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ
ผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ
ผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ
Nawanan Theera-Ampornpunt
 

What's hot (20)

GDPR Presentation
GDPR PresentationGDPR Presentation
GDPR Presentation
 
Privacy & Data Protection
Privacy & Data ProtectionPrivacy & Data Protection
Privacy & Data Protection
 
Data protection ppt
Data protection pptData protection ppt
Data protection ppt
 
DATA PROTECTION LAWS OF THE WORLD
DATA PROTECTION LAWS OF THE WORLDDATA PROTECTION LAWS OF THE WORLD
DATA PROTECTION LAWS OF THE WORLD
 
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
 
Data Privacy: What you need to know about privacy, from compliance to ethics
Data Privacy: What you need to know about privacy, from compliance to ethicsData Privacy: What you need to know about privacy, from compliance to ethics
Data Privacy: What you need to know about privacy, from compliance to ethics
 
GDPR compliant data anonymization / pseudonymization
GDPR compliant data anonymization / pseudonymization GDPR compliant data anonymization / pseudonymization
GDPR compliant data anonymization / pseudonymization
 
Pdpa presentation
Pdpa presentationPdpa presentation
Pdpa presentation
 
Gdpr presentation
Gdpr presentationGdpr presentation
Gdpr presentation
 
ผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ
ผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ
ผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ
 
GDPR Demystified
GDPR DemystifiedGDPR Demystified
GDPR Demystified
 
Tietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen mediaTietosuoja ja sosiaalinen media
Tietosuoja ja sosiaalinen media
 
Applying the Personal Data Protection Act (Singapore)
Applying the Personal Data Protection Act (Singapore)Applying the Personal Data Protection Act (Singapore)
Applying the Personal Data Protection Act (Singapore)
 
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
 
BigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesBigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar Slides
 
Do's and Don'ts on PDPA for Doctors (May 31, 2022)
Do's and Don'ts on PDPA for Doctors (May 31, 2022)Do's and Don'ts on PDPA for Doctors (May 31, 2022)
Do's and Don'ts on PDPA for Doctors (May 31, 2022)
 
Personal Data Protection in Malaysia
Personal Data Protection in MalaysiaPersonal Data Protection in Malaysia
Personal Data Protection in Malaysia
 
Data Protection Presentation
Data Protection PresentationData Protection Presentation
Data Protection Presentation
 
Tietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessaTietosuoja varhaiskasvatuksessa
Tietosuoja varhaiskasvatuksessa
 
Privacy by Design: legal perspective
Privacy by Design: legal perspectivePrivacy by Design: legal perspective
Privacy by Design: legal perspective
 

More from Nawanan Theera-Ampornpunt

More from Nawanan Theera-Ampornpunt (20)

Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)
 
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
 
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)
 
Case Study PDPA Workshop (September 15, 2023)
Case Study PDPA Workshop (September 15, 2023)Case Study PDPA Workshop (September 15, 2023)
Case Study PDPA Workshop (September 15, 2023)
 
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
 
Relationship Between Thailand's Official Information Act and Personal Data Pr...
Relationship Between Thailand's Official Information Act and Personal Data Pr...Relationship Between Thailand's Official Information Act and Personal Data Pr...
Relationship Between Thailand's Official Information Act and Personal Data Pr...
 
Social Media - PDPA: Is There A Way Out? (October 19, 2022)
Social Media - PDPA: Is There A Way Out? (October 19, 2022)Social Media - PDPA: Is There A Way Out? (October 19, 2022)
Social Media - PDPA: Is There A Way Out? (October 19, 2022)
 
Telemedicine: A Health Informatician's Point of View
Telemedicine: A Health Informatician's Point of ViewTelemedicine: A Health Informatician's Point of View
Telemedicine: A Health Informatician's Point of View
 
Meeting Management (March 2, 2022)
Meeting Management (March 2, 2022)Meeting Management (March 2, 2022)
Meeting Management (March 2, 2022)
 
การบริหารความเสี่ยงคณะฯ (February 9, 2022)
การบริหารความเสี่ยงคณะฯ (February 9, 2022)การบริหารความเสี่ยงคณะฯ (February 9, 2022)
การบริหารความเสี่ยงคณะฯ (February 9, 2022)
 
Digital Health Transformation for Health Executives (January 18, 2022)
Digital Health Transformation for Health Executives (January 18, 2022)Digital Health Transformation for Health Executives (January 18, 2022)
Digital Health Transformation for Health Executives (January 18, 2022)
 
Updates on Privacy & Security Laws (November 26, 2021)
Updates on Privacy & Security Laws (November 26, 2021)Updates on Privacy & Security Laws (November 26, 2021)
Updates on Privacy & Security Laws (November 26, 2021)
 
Hospital Informatics (November 26, 2021)
Hospital Informatics (November 26, 2021)Hospital Informatics (November 26, 2021)
Hospital Informatics (November 26, 2021)
 
Health Informatics for Clinical Research (November 25, 2021)
Health Informatics for Clinical Research (November 25, 2021)Health Informatics for Clinical Research (November 25, 2021)
Health Informatics for Clinical Research (November 25, 2021)
 
Research Ethics and Ethics for Health Informaticians (November 15, 2021)
Research Ethics and Ethics for Health Informaticians (November 15, 2021)Research Ethics and Ethics for Health Informaticians (November 15, 2021)
Research Ethics and Ethics for Health Informaticians (November 15, 2021)
 
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
 
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
 
Health Information Privacy and Security (November 8, 2021)
Health Information Privacy and Security (November 8, 2021)Health Information Privacy and Security (November 8, 2021)
Health Information Privacy and Security (November 8, 2021)
 
Information Technology Management in Healthcare Organizations: Part 2 (Octobe...
Information Technology Management in Healthcare Organizations: Part 2 (Octobe...Information Technology Management in Healthcare Organizations: Part 2 (Octobe...
Information Technology Management in Healthcare Organizations: Part 2 (Octobe...
 
Information Technology Management in Healthcare Organizations: Part 1 (Octobe...
Information Technology Management in Healthcare Organizations: Part 1 (Octobe...Information Technology Management in Healthcare Organizations: Part 1 (Octobe...
Information Technology Management in Healthcare Organizations: Part 1 (Octobe...
 

PDPA Share & Learn: Data Processing Agreement (DPA) Example by Ramathibodi (September 20, 2021)

  • 1. Share & Learn ความคืบหน้าจากส่วนงานเกี่ยวกับการ เตรียมความพร้อมด้านการคุ้มครองข้อมูลส่วนบุคคล: การนาเสนอตัวอย่างการจัดทา Data Processing Agreement และ Data Sharing Agreement นพ.นวนรรน ธีระอัมพรพันธุ์ รองคณบดีฝ่ายปฏิบัติการ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล 20 กันยายน 2564 www.SlideShare.net/Nawanan
  • 2. PDPA Recap ▪ “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคลหรือ นิติบุคคลซึ่งมีอานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ▪ “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคลหรือ นิติบุคคลซึ่งดาเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคาสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่ง ดาเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล PDPA มาตรา 6
  • 9. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน รพ.รามาธิบดี Employer (e.g. Factory) On-Site Clinic (ให้บริการโดยคณะแพทยศาสตร์ รพ.รามาธิบดี) 1. ตรวจสุขภาพ/ รักษาพยาบาล 2A. ตรวจ lab แล้วส่งกลับให้ คลินิกตรวจรักษาต่อ 2B. ส่งต่อมาตรวจรักษาที่ รพ. การให้บริการตามข้อ 1. และ 2A. อยู่ภายใต้สัญญาให้บริการทางการ แพทย์ ระหว่าง Employer กับคณะแพทยศาสตร์ รพ.รามาธิบดี ส่วนกรณี 2B. ถือเป็นการให้บริการของ รพ.รามาธิบดี ที่แยกเป็นคนละ ส่วนกับการให้บริการที่ On-Site Clinic (เช่นเดียวกับกรณีผู้ป่วย Walk- in มาที่ รพ.รามาธิบดี)
  • 10. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน ประเด็นที่ต้องพิจารณาตาม PDPA ▪ มหาวิทยาลัยมหิดล (คณะแพทยศาสตร์ รพ.รามาธิบดี) และ Employer อยู่ใน ฐานะใด ▪ การเก็บรวบรวมข้อมูลส่วนบุคคลในแต่ละขั้นตอน สอดคล้องกับ PDPA หรือไม่ ▪ หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร
  • 11. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน คณะแพทยศาสตร์ รพ.รามาธิบดี และ Employer อยู่ในฐานะใด รพ.รามาธิบดี Employer (e.g. Factory) On-Site Clinic (ให้บริการโดยคณะแพทยศาสตร์ รพ.รามาธิบดี) 1. ตรวจสุขภาพ/ รักษาพยาบาล 2A. ตรวจ lab แล้วส่งกลับให้ คลินิกตรวจรักษาต่อ 2B. ส่งต่อมาตรวจรักษาที่ รพ. การให้บริการตามข้อ 1. และ 2A. อยู่ภายใต้สัญญาให้บริการทางการ แพทย์ ระหว่าง Employer กับคณะแพทยศาสตร์ รพ.รามาธิบดี ส่วนกรณี 2B. ถือเป็นการให้บริการของ รพ.รามาธิบดี ที่แยกเป็นคนละ ส่วนกับการให้บริการที่ On-Site Clinic (เช่นเดียวกับกรณีผู้ป่วย Walk- in มาที่ รพ.รามาธิบดี) นายจ้าง = Data Controller ลูกจ้าง = Data Subject รามาธิบดี = Data Controller ผู้ป่วย = Data Subject 2A: รามาธิบดี = Data Processor 2B: รามาธิบดี = Data Controller รามาธิบดี = Data Processor Clinic เป็นของนายจ้าง นายจ้าง = Data Controller
  • 12. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน การเก็บรวบรวมข้อมูลส่วนบุคคลในแต่ละขั้นตอน สอดคล้องกับ PDPA หรือไม่ รพ.รามาธิบดี Employer (e.g. Factory) On-Site Clinic (ให้บริการโดยคณะแพทยศาสตร์ รพ.รามาธิบดี) 1. ตรวจสุขภาพ/ รักษาพยาบาล 2A. ตรวจ lab แล้วส่งกลับให้ คลินิกตรวจรักษาต่อ 2B. ส่งต่อมาตรวจรักษาที่ รพ. การให้บริการตามข้อ 1. และ 2A. อยู่ภายใต้สัญญาให้บริการทางการ แพทย์ ระหว่าง Employer กับคณะแพทยศาสตร์ รพ.รามาธิบดี ส่วนกรณี 2B. ถือเป็นการให้บริการของ รพ.รามาธิบดี ที่แยกเป็นคนละ ส่วนกับการให้บริการที่ On-Site Clinic (เช่นเดียวกับกรณีผู้ป่วย Walk- in มาที่ รพ.รามาธิบดี) 2A เงื่อนไขเดียวกับ 1 นายจ้าง = Data Controller ลูกจ้าง = Data Subject รามาธิบดี = Data Processor รามาธิบดี = Data Controller ผู้ป่วย = Data Subject 2A: รามาธิบดี = Data Processor 2B: รามาธิบดี = Data Controller General Data: - Legal Obligation [PDPA ม.24 (6)] - Vital Interest [PDPA ม.24 (2)] Sensitive Data: - Legal Obligation (Labor Protection) [PDPA ม.26 (5) (ค) + พ.ร.บ. คุ้มครองแรงงาน] 2B เงื่อนไขเดียวกับผู้ป่วยอื่น ๆ ที่มารักษาที่รามาธิบดี General Data: - Contract [PDPA ม.24 (3)] - Vital Interest [PDPA ม.24 (2)] Sensitive Data: - Contract [PDPA ม.26 (5) (ก) ส่วนท้าย - Legal Obligation (Health Services) [PDPA ม.26 (5) (ก) ส่วนต้น (กรณีปฏิบัติตามกฎหมาย) Clinic เป็นของนายจ้าง นายจ้าง = Data Controller
  • 17. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร • TDPG 1.0 • TDPG 2.0 • TDPG 3.0 • TDPG 3.1 for Investment Banking Activities https://www.law.chula.ac.th/ wp-content/uploads/2020/12/ TDPG3.0-C5-20201208.pdf
  • 18. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร TGPG 3.0 (คณะนิติศาสตร์ จุฬาฯ) หน้า 154-171 Data Subject Data Controller Data Processor - Terms & Conditions (T&C) ( Service Contract) - Privacy Notice [PDPA ม.23] - Service Contract - Data Processing Agreement (DPA)
  • 22. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor บันทึกข้อตกลงการให้ประมวลผลข้อมูล (Data Processing Agreement) ทาที่ .......................................................... วันที่ ............. เดือน .................. พ.ศ. .............. บันทึกข้อตกลงนี้ทาขึ้นระหว่าง บริษัท xxx มีสานักงานตั้งอยู่ที่ xxxxxxxxxxxxxxxxxxxxxxxxxxxx โดย xxxxxxxxxxxxxxxxxxxxxxxxx ตาแหน่ง xxxxxxxxxxx เป็นผู้มีอานาจลงนามผูกพัน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “บริษัทฯ” กับ มหาวิทยาลัยมหิดล (คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี) เลขที่ ๒๗๐ ถนนพระราม ๖ แขวงทุ่งพญาไท เขต ราชเทวี กรุงเทพมหานคร ๑๐๔๐๐ โดย xxxx ตาแหน่ง คณบดีคณะแพทยศาสตร์โรงพยาบาลรามาธิบดี เป็นผู้มีอานาจ ลงนามผูกพัน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “คณะฯ” ตามที่ทั้งสองฝ่ายได้ทาสัญญาให้บริการทางการแพทย์ สถานพยาบาลสานักงานใหญ่ ฉบับลงวันที่ xxx และบริษัทฯ ได้ส่งข้อมูลส่วนบุคคลให้แก่คณะฯ ทั้งสองฝ่ายจึงตกลงทาบันทึกข้อตกลงฉบับนี้ โดยให้บันทึกฉบับนี้เป็นส่วนหนึ่งของ สัญญาดังกล่าว ดังมีข้อความต่อไปนี้
  • 23. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๑ หากไม่ได้มีการกาหนดไว้เป็นอย่างอื่นในบันทึกข้อตกลงฉบับนี้ ให้ถ้อยคาในบันทึกข้อตกลงฉบับนี้มีความหมายดังต่อไปนี้ “การประมวลผลข้อมูล” หมายถึง การปฏิบัติการหรือส่วนหนึ่งของการปฏิบัติการซึ่งได้กระทาต่อข้อมูลส่วนบุคคลไม่ว่าโดยวิธีการอัตโนมัติหรือโดย วิธีการอื่นใด เช่น การเก็บรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การดัดแปลง การเปลี่ยนแปลง การกู้คืน การใช้ การเปิดเผย โดยการส่ง การจัดวางให้ถูกตาแหน่งหรือการรวบรวม การจากัด การลบ และการทาลาย “การลบ” หมายถึง การทาให้ข้อมูลส่วนบุคคลนั้นถูกลบออกจากระบบและไม่อาจกู้คืนได้ โดยเจ้าของข้อมูลส่วนบุคคล บริษัทฯ หรือคณะฯ ทั้งนี้ ไม่ว่าเวลาใด ๆ “การละเมิดข้อมูลส่วนบุคคล” หมายความรวมถึง การเข้าถึง การเปิดเผย หรือการแก้ไขเปลี่ยนแปลงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือโดย อุบัติเหตุ หรือการโอนข้อมูลส่วนบุคคลโดยมิชอบหรือโดยปราศจากอานาจ หรือการทาให้เข้าถึงข้อมูลส่วนบุคคลไม่ได้ หรือการทาให้ข้อมูลส่วนบุคคลถูก ทาลาย หรือสูญหายไปโดยไม่ได้รับอนุญาตหรือโดยอุบัติเหตุ “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่เกี่ยวกับบุคคลซึ่งทาให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่ กรรมโดยเฉพาะ “เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล และให้หมายความรวมถึง ผู้ใช้อานาจปกครองที่มีอานาจ กระทาการแทนผู้เยาว์ ผู้อนุบาลที่มีอานาจกระทาการแทนคนไร้ความสามารถ หรือผู้พิทักษ์ที่มีอานาจกระทาการแทนคนเสมือนไร้ความสามารถ “พนักงาน” หมายถึง “พนักงานของบริษัท xxx และบริษัทในเครือ” “บริษัทในเครือ xxx” หมายถึง บริษัทตามรายชื่อในเอกสารแนบท้ายสัญญา” “ครอบครัวพนักงาน” หมายถึง คู่สมรสและบุตรที่ชอบด้วยกฎหมายของพนักงานของบริษัท xxx และบริษัทในเครือ xxx ทั้งนี้ ตามรายละเอียดใน เอกสารแนบท้ายบันทึกข้อตกลง “บันทึกข้อตกลง” หมายถึง บันทึกข้อตกลงให้ประมวลผลข้อมูลและเอกสารแนบท้ายบันทึกข้อตกลงฉบับนี้ “สัญญา” หมายถึง สัญญาให้บริการทางการแพทย์ สถานพยาบาลสานักงานใหญ่ ฉบับลงวันที่ xxx
  • 24. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๒ ขอบเขตการบังคับใช้ บันทึกข้อตกลงฉบับนี้ มีวัตถุประสงค์เพื่อใช้บังคับแก่การประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ ได้ส่งให้แก่คณะฯ ตามสัญญา และให้มีผลบังคับใช้ตั้งแต่วันที่..............................ถึงวันที่.....................................ทั้งนี้ บันทึกข้อตกลงฉบับนี้ ให้ถือเป็นส่วนหนึ่งของสัญญาให้บริการทางการแพทย์ ข้อ ๓ ความสัมพันธ์ระหว่างคู่สัญญา บริษัทฯ จะอยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตลอดระยะเวลาของสัญญา โดยบริษัทฯ ในฐานะ ผู้ควบคุมข้อมูล ส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี คณะฯ จะอยู่ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลตลอดเวลาของสัญญา โดยคณะฯ ในฐานะ ผู้ประมวลผลข้อมูล ส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี
  • 25. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๔ การประมวลผลข้อมูลส่วนบุคคล ๔.๑ คณะฯ จะประมวลผลข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ของสัญญาและกระบวนการอื่น ๆ ที่เกี่ยวข้อง รวมถึงกรณีที่ บุคลากรของบริษัทฯ ที่มีอานาจหน้าที่เกี่ยวกับการปฏิบัติตามสัญญาได้มีคาสั่งที่ชอบด้วยกฎหมายให้คณะฯ ดาเนินการ ทั้งนี้ คณะฯ จะไม่ ดาเนินการประมวลผลข้อมูลส่วนบุคคลที่นอกเหนือไปจากวัตถุประสงค์ของสัญญา โดยถือว่าไม่เป็นการกระทาผิดบันทึกข้อตกลงนี้ ๔.๒ บริษัทฯ ตกลงและยอมรับว่า ก่อนการเปิดเผยข้อมูลส่วนบุคคลให้แก่คณะฯ บริษัทฯ ได้รับความยินยอมที่จาเป็นทั้งหมดจาก เจ้าของข้อมูลส่วนบุคคลหรือใช้ฐานทางกฎหมายอื่น เพื่อให้คณะฯ สามารถประมวลผลข้อมูลส่วนบุคคลที่ได้รับจากบริษัทฯ อย่างถูกต้องตาม กฎหมาย และเป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ๔.๓ บริษัทฯ ยอมรับว่าการที่พนักงานหรือครอบครัวพนักงานใช้บริการตามสัญญา ถือเป็นการสั่งให้คณะฯ ประมวลผลข้อมูล ส่วนบุคคล โดยคณะฯ จะประมวลผลข้อมูลเฉพาะข้อมูลส่วนบุคคลดังต่อไปนี้ (๑) ชื่อ นามสกุลของพนักงาน หรือครอบครัวพนักงาน (๒) ข้อมูลที่เกี่ยวกับครอบครัว เช่น อายุ วันเกิด สถานภาพ จานวนบุตร (๓) ข้อมูลสุขภาพ (๔) ข้อมูลอื่น ๆ ตามที่คู่สัญญาตกลงกัน ๔.๔ คณะฯ จะใช้ความพยายามตามสมควรให้การเข้าถึงข้อมูลส่วนบุคคลจากัดเฉพาะบุคลากรของคณะฯ หรือบุคคลที่ได้รับ มอบหมายซึ่งมีความจาเป็นในการเข้าถึงข้อมูลส่วนบุคคลเพื่อดาเนินการให้เป็นไปตามสัญญา และดาเนินการให้บุคคลดังกล่าวรักษาความลับ ของข้อมูลส่วนบุคคลที่ถูกประมวลผล
  • 26. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๕ ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง เพื่อประโยชน์ในการปฏิบัติตามสัญญา เมื่อมีความจาเป็น คณะฯ อาจมอบหมายงานเกี่ยวกับการประมวลผลข้อมูล ส่วนบุคคล ทั้งหมดหรือแต่บางส่วนให้แก่บุคคลภายนอก (ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง) ดาเนินการแทนได้ ทั้งนี้ คณะฯ ยังต้องเป็นผู้รับผิดชอบในงานที่ได้มอบหมายไป รวมถึงต้องดาเนินการให้ผู้ประมวลผลข้อมูลส่วนบุคคลช่วงที่ ได้รับมอบหมายปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลช่วงมีหน้าที่ในการคุ้มครองและรักษาความปลอดภัยของข้อมูลส่วนบุคคลในระดับที่ไม่ ต่ากว่าหน้าที่ของคณะฯ ตามบันทึกข้อตกลงฉบับนี้
  • 27. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๖ การให้ความร่วมมือตามคาร้องของเจ้าของข้อมูลส่วนบุคคลหรือตามคาสั่งของเจ้าหน้าที่รัฐ คณะฯ จะสนับสนุนให้บริษัทฯ สามารถเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อให้บริษัทฯ สามารถดาเนินการตามคาร้องขอของเจ้าของข้อมูลส่วนบุคคลซึ่งมีสิทธิที่จะเรียกดู แก้ไข ลบ หรือทาลายข้อมูลส่วน บุคคลได้ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและบันทึกข้อตกลงฉบับนี้ ภายในเวลาอันสมควร ในกรณีที่คณะฯ ได้รับคาร้องขอจากเจ้าของข้อมูลส่วนบุคคลซึ่งได้ระบุว่าบริษัทฯ เป็นผู้ควบคุมข้อมูลส่วนบุคคล คณะฯ ต้องส่งคาร้องขอนั้นต่อไปยังบริษัทฯ โดยจะไม่ดาเนินการตามคาร้องดังกล่าว เว้นแต่จะมีการตกลงไว้เป็นอย่างอื่น คู่สัญญาจะสนับสนุนให้ความช่วยเหลือเพื่อดาเนินการตามที่กฎหมายกาหนด หรือตามคาสั่งที่ชอบด้วยกฎหมายจาก เจ้าหน้าที่ของรัฐเกี่ยวกับหน้าที่ของคู่สัญญา
  • 28. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๗ มาตรการคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคล คณะฯ มีหน้าที่ดาเนินการจัดให้มีมาตรการรักษาความปลอดภัยสาหรับการประมวลผลข้อมูลส่วนบุคคลที่มีความ เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดย ปราศจากอานาจหรือโดยมิชอบ โดยมาตรการข้างต้นจะต้องคานึงถึงความก้าวหน้าทางเทคโนโลยี ค่าใช้จ่ายในการ ดาเนินการ ลักษณะ ขอบเขต และวัตถุประสงค์ของการประมวลผลข้อมูล ข้อ ๘ การแจ้งเตือนหากเกิดการละเมิดข้อมูลส่วนบุคคล คณะฯ มีหน้าที่แจ้งเป็นลายลักษณ์อักษรแก่บริษัทฯ เมื่อคณะฯ ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น โดยไม่ชักช้า เมื่อคณะฯ ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลนั้น ข้อ ๙ การจัดทาบันทึกสาหรับการประมวลผลข้อมูลส่วนบุคคล คณะฯ จะจัดทาบันทึกเป็นลายลักษณ์อักษรสาหรับการประมวลผลข้อมูลส่วนบุคคล โดยจะมีการจัดทาและรักษา บันทึกดังกล่าวตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
  • 29. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๑๐ การลบและการเก็บรักษาข้อมูลส่วนบุคคล คณะฯ มีหน้าที่ลบหรือทาลายข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ภายในเวลาอันสมควร นับแต่วันที่สัญญาสิ้นสุดลง หรือเมื่อไม่มี ความจาเป็นจะต้องเก็บรักษาข้อมูลส่วนบุคคลเพื่อประมวลผลข้อมูลส่วนบุคคลอีกต่อไป เว้นแต่ได้รับอนุญาตจากบริษัทฯ เป็นลายลักษณ์ อักษร คณะฯ อาจเก็บข้อมูลส่วนบุคคลเพื่อการก่อตั้งสิทธิเรียกร้อง เพื่อการปฏิบัติตามหรือการใช้สิทธิเรียกร้อง เพื่อการยกขึ้นเป็นข้อต่อสู้ เพื่อการปฏิบัติตามกฎหมาย หรือเพื่อการอื่นที่ไม่ขัดต่อกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล คณะฯ มีหน้าที่เก็บรักษาข้อมูลส่วนบุคคลเท่าที่จาเป็นเพื่อการปฏิบัติตามบันทึกข้อตกลงนี้ คณะฯ อาจทาให้ข้อมูลส่วนบุคคลที่ถูกประมวลผลตามบันทึกข้อตกลงนี้เป็นข้อมูลซึ่งไม่สามารถระบุตัวผู้เป็นเจ้าของข้อมูลส่วนบุคคล และประมวลผลข้อมูลดังกล่าวต่อไปได้ ข้อ ๑๑ ขอบเขตของความรับผิด คณะฯ ไม่ต้องรับผิดในความเสียหายอันเกิดจากการปฏิบัติตามบันทึกข้อตกลง หรือตามคาสั่งของบริษัทฯ เพื่อให้บรรลุวัตถุประสงค์ใน การประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ ได้ส่งให้แก่คณะฯ ตามสัญญา กรณีคณะฯ ต้องรับผิดชดใช้ค่าเสียหายหรือชาระค่าปรับ อันเนื่องมาจากการปฏิบัติตามบันทึกข้อตกลง หรือตามคาสั่งของบริษัทฯ เพื่อให้บรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ ได้ส่งให้แก่คณะฯ ตามสัญญา คณะฯ มีสิทธิเรียกร้องให้บริษัทฯ ชดใช้ เงินดังกล่าวให้แก่คณะฯ
  • 30. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๑๒ การเปลี่ยนแปลงแก้ไขบันทึกข้อตกลง กรณีจาเป็นต้องมีการเปลี่ยนแปลงแก้ไขบันทึกข้อตกลงเพื่อให้คู่สัญญาสามารถประมวลผลข้อมูลส่วนบุคคลตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลต่อไปได้ ให้คู่สัญญาฝ่ายที่ประสงค์จะแก้ไขเพิ่มเติมบันทึกข้อตกลงนี้ แจ้งให้ อีกฝ่ายทราบล่วงหน้าเป็นเวลาไม่น้อยกว่า ๓๐ วัน และเมื่อทุกฝ่ายให้ความยินยอมในการแก้ไขเพิ่มเติมแล้ว ให้จัดทา บันทึกข้อตกลงฉบับแก้ไขเพิ่มเติมเป็นหนังสือ และลงนามผูกพันโดยผู้มีอานาจลงนามผูกพันนิติบุคคล และให้ถือว่าการ แก้ไขเพิ่มเติมดังกล่าวเป็นส่วนหนึ่งของบันทึกข้อตกลงนี้ โดยให้มีผลใช้บังคับตั้งแต่วันที่ลงนามในบันทึกข้อตกลงฉบับ แก้ไขเพิ่มเติมนั้น บันทึกข้อตกลงนี้ทาขึ้นสองฉบับมีข้อความถูกต้องตรงกัน ทั้งสองฝ่ายได้อ่านและเข้าใจบันทึกข้อตกลงนี้โดยละเอียด ตลอดแล้ว เห็นว่าตรงตามเจตนารมณ์ที่ได้ให้ไว้ต่อกันทุกประการ จึงได้ลงลายมือชื่อไว้เป็นสาคัญต่อหน้าพยานและแต่ละ ฝ่ายต่างได้ยึดถือไว้ฝ่ายละฉบับ