SlideShare a Scribd company logo
Share & Learn ความคืบหน้าจากส่วนงานเกี่ยวกับการ
เตรียมความพร้อมด้านการคุ้มครองข้อมูลส่วนบุคคล:
การนาเสนอตัวอย่างการจัดทา Data Processing
Agreement และ Data Sharing Agreement
นพ.นวนรรน ธีระอัมพรพันธุ์
รองคณบดีฝ่ายปฏิบัติการ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี
มหาวิทยาลัยมหิดล
20 กันยายน 2564
www.SlideShare.net/Nawanan
PDPA Recap
▪ “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคลหรือ
นิติบุคคลซึ่งมีอานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผย
ข้อมูลส่วนบุคคล
▪ “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคลหรือ
นิติบุคคลซึ่งดาเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
ตามคาสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่ง
ดาเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
PDPA มาตรา 6
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
Hospital
Employer (e.g. Factory)
On-Site Clinic
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
รพ.รามาธิบดี
Employer (e.g. Factory)
On-Site Clinic (ให้บริการโดยคณะแพทยศาสตร์ รพ.รามาธิบดี)
1. ตรวจสุขภาพ/
รักษาพยาบาล
2A. ตรวจ lab แล้วส่งกลับให้
คลินิกตรวจรักษาต่อ
2B. ส่งต่อมาตรวจรักษาที่ รพ.
การให้บริการตามข้อ 1. และ 2A. อยู่ภายใต้สัญญาให้บริการทางการ
แพทย์ ระหว่าง Employer กับคณะแพทยศาสตร์ รพ.รามาธิบดี
ส่วนกรณี 2B. ถือเป็นการให้บริการของ รพ.รามาธิบดี ที่แยกเป็นคนละ
ส่วนกับการให้บริการที่ On-Site Clinic (เช่นเดียวกับกรณีผู้ป่วย Walk-
in มาที่ รพ.รามาธิบดี)
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
ประเด็นที่ต้องพิจารณาตาม PDPA
▪ มหาวิทยาลัยมหิดล (คณะแพทยศาสตร์ รพ.รามาธิบดี) และ Employer อยู่ใน
ฐานะใด
▪ การเก็บรวบรวมข้อมูลส่วนบุคคลในแต่ละขั้นตอน สอดคล้องกับ PDPA หรือไม่
▪ หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
คณะแพทยศาสตร์ รพ.รามาธิบดี และ Employer อยู่ในฐานะใด
รพ.รามาธิบดี
Employer (e.g. Factory)
On-Site Clinic (ให้บริการโดยคณะแพทยศาสตร์ รพ.รามาธิบดี)
1. ตรวจสุขภาพ/
รักษาพยาบาล
2A. ตรวจ lab แล้วส่งกลับให้
คลินิกตรวจรักษาต่อ
2B. ส่งต่อมาตรวจรักษาที่ รพ.
การให้บริการตามข้อ 1. และ 2A. อยู่ภายใต้สัญญาให้บริการทางการ
แพทย์ ระหว่าง Employer กับคณะแพทยศาสตร์ รพ.รามาธิบดี
ส่วนกรณี 2B. ถือเป็นการให้บริการของ รพ.รามาธิบดี ที่แยกเป็นคนละ
ส่วนกับการให้บริการที่ On-Site Clinic (เช่นเดียวกับกรณีผู้ป่วย Walk-
in มาที่ รพ.รามาธิบดี)
นายจ้าง = Data Controller
ลูกจ้าง = Data Subject
รามาธิบดี = Data Controller
ผู้ป่วย =
Data Subject
2A: รามาธิบดี =
Data Processor
2B: รามาธิบดี =
Data Controller
รามาธิบดี = Data Processor
Clinic เป็นของนายจ้าง
นายจ้าง = Data Controller
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
การเก็บรวบรวมข้อมูลส่วนบุคคลในแต่ละขั้นตอน สอดคล้องกับ PDPA หรือไม่
รพ.รามาธิบดี
Employer (e.g. Factory)
On-Site Clinic (ให้บริการโดยคณะแพทยศาสตร์ รพ.รามาธิบดี)
1. ตรวจสุขภาพ/
รักษาพยาบาล
2A. ตรวจ lab แล้วส่งกลับให้
คลินิกตรวจรักษาต่อ
2B. ส่งต่อมาตรวจรักษาที่ รพ.
การให้บริการตามข้อ 1. และ 2A. อยู่ภายใต้สัญญาให้บริการทางการ
แพทย์ ระหว่าง Employer กับคณะแพทยศาสตร์ รพ.รามาธิบดี
ส่วนกรณี 2B. ถือเป็นการให้บริการของ รพ.รามาธิบดี ที่แยกเป็นคนละ
ส่วนกับการให้บริการที่ On-Site Clinic (เช่นเดียวกับกรณีผู้ป่วย Walk-
in มาที่ รพ.รามาธิบดี)
2A เงื่อนไขเดียวกับ 1
นายจ้าง = Data Controller
ลูกจ้าง = Data Subject
รามาธิบดี = Data Processor
รามาธิบดี = Data Controller
ผู้ป่วย = Data Subject
2A: รามาธิบดี =
Data Processor
2B: รามาธิบดี =
Data Controller
General Data:
- Legal Obligation
[PDPA ม.24 (6)]
- Vital Interest
[PDPA ม.24 (2)]
Sensitive Data:
- Legal Obligation (Labor
Protection) [PDPA ม.26 (5) (ค)
+ พ.ร.บ. คุ้มครองแรงงาน]
2B เงื่อนไขเดียวกับผู้ป่วยอื่น ๆ
ที่มารักษาที่รามาธิบดี
General Data:
- Contract [PDPA ม.24 (3)]
- Vital Interest [PDPA ม.24 (2)]
Sensitive Data:
- Contract [PDPA ม.26 (5) (ก)
ส่วนท้าย
- Legal Obligation (Health
Services) [PDPA ม.26 (5) (ก)
ส่วนต้น (กรณีปฏิบัติตามกฎหมาย)
Clinic เป็นของนายจ้าง
นายจ้าง = Data Controller
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร
หน้าที่ของ Data Controller
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร
หน้าที่ของ Data Controller
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร
หน้าที่ของ Data Processor
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร
หน้าที่ของ Data Processor
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร
• TDPG 1.0
• TDPG 2.0
• TDPG 3.0
• TDPG 3.1 for Investment Banking Activities
https://www.law.chula.ac.th/
wp-content/uploads/2020/12/
TDPG3.0-C5-20201208.pdf
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร
TGPG 3.0 (คณะนิติศาสตร์ จุฬาฯ) หน้า 154-171
Data Subject
Data Controller
Data Processor
- Terms & Conditions (T&C)
( Service Contract)
- Privacy Notice [PDPA ม.23]
- Service Contract
- Data Processing Agreement
(DPA)
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร
TGPG 3.0
(คณะนิติศาสตร์
จุฬาฯ)
หน้า 154-171
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร
TGPG 3.0 (คณะนิติศาสตร์ จุฬาฯ) หน้า 154-171
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร
TGPG 3.0 (คณะนิติศาสตร์ จุฬาฯ) หน้า 154-171
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
(ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor
บันทึกข้อตกลงการให้ประมวลผลข้อมูล (Data Processing Agreement)
ทาที่ ..........................................................
วันที่ ............. เดือน .................. พ.ศ. ..............
บันทึกข้อตกลงนี้ทาขึ้นระหว่าง
บริษัท xxx มีสานักงานตั้งอยู่ที่ xxxxxxxxxxxxxxxxxxxxxxxxxxxx โดย xxxxxxxxxxxxxxxxxxxxxxxxx ตาแหน่ง
xxxxxxxxxxx เป็นผู้มีอานาจลงนามผูกพัน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “บริษัทฯ” กับ
มหาวิทยาลัยมหิดล (คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี) เลขที่ ๒๗๐ ถนนพระราม ๖ แขวงทุ่งพญาไท เขต
ราชเทวี กรุงเทพมหานคร ๑๐๔๐๐ โดย xxxx ตาแหน่ง คณบดีคณะแพทยศาสตร์โรงพยาบาลรามาธิบดี เป็นผู้มีอานาจ
ลงนามผูกพัน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “คณะฯ”
ตามที่ทั้งสองฝ่ายได้ทาสัญญาให้บริการทางการแพทย์ สถานพยาบาลสานักงานใหญ่ ฉบับลงวันที่ xxx และบริษัทฯ
ได้ส่งข้อมูลส่วนบุคคลให้แก่คณะฯ ทั้งสองฝ่ายจึงตกลงทาบันทึกข้อตกลงฉบับนี้ โดยให้บันทึกฉบับนี้เป็นส่วนหนึ่งของ
สัญญาดังกล่าว ดังมีข้อความต่อไปนี้
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
(ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor
ข้อ ๑ หากไม่ได้มีการกาหนดไว้เป็นอย่างอื่นในบันทึกข้อตกลงฉบับนี้ ให้ถ้อยคาในบันทึกข้อตกลงฉบับนี้มีความหมายดังต่อไปนี้
“การประมวลผลข้อมูล” หมายถึง การปฏิบัติการหรือส่วนหนึ่งของการปฏิบัติการซึ่งได้กระทาต่อข้อมูลส่วนบุคคลไม่ว่าโดยวิธีการอัตโนมัติหรือโดย
วิธีการอื่นใด เช่น การเก็บรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การดัดแปลง การเปลี่ยนแปลง การกู้คืน การใช้ การเปิดเผย
โดยการส่ง การจัดวางให้ถูกตาแหน่งหรือการรวบรวม การจากัด การลบ และการทาลาย
“การลบ” หมายถึง การทาให้ข้อมูลส่วนบุคคลนั้นถูกลบออกจากระบบและไม่อาจกู้คืนได้ โดยเจ้าของข้อมูลส่วนบุคคล บริษัทฯ หรือคณะฯ ทั้งนี้
ไม่ว่าเวลาใด ๆ
“การละเมิดข้อมูลส่วนบุคคล” หมายความรวมถึง การเข้าถึง การเปิดเผย หรือการแก้ไขเปลี่ยนแปลงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือโดย
อุบัติเหตุ หรือการโอนข้อมูลส่วนบุคคลโดยมิชอบหรือโดยปราศจากอานาจ หรือการทาให้เข้าถึงข้อมูลส่วนบุคคลไม่ได้ หรือการทาให้ข้อมูลส่วนบุคคลถูก
ทาลาย หรือสูญหายไปโดยไม่ได้รับอนุญาตหรือโดยอุบัติเหตุ
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่เกี่ยวกับบุคคลซึ่งทาให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่
กรรมโดยเฉพาะ
“เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล และให้หมายความรวมถึง ผู้ใช้อานาจปกครองที่มีอานาจ
กระทาการแทนผู้เยาว์ ผู้อนุบาลที่มีอานาจกระทาการแทนคนไร้ความสามารถ หรือผู้พิทักษ์ที่มีอานาจกระทาการแทนคนเสมือนไร้ความสามารถ
“พนักงาน” หมายถึง “พนักงานของบริษัท xxx และบริษัทในเครือ”
“บริษัทในเครือ xxx” หมายถึง บริษัทตามรายชื่อในเอกสารแนบท้ายสัญญา”
“ครอบครัวพนักงาน” หมายถึง คู่สมรสและบุตรที่ชอบด้วยกฎหมายของพนักงานของบริษัท xxx และบริษัทในเครือ xxx ทั้งนี้ ตามรายละเอียดใน
เอกสารแนบท้ายบันทึกข้อตกลง
“บันทึกข้อตกลง” หมายถึง บันทึกข้อตกลงให้ประมวลผลข้อมูลและเอกสารแนบท้ายบันทึกข้อตกลงฉบับนี้
“สัญญา” หมายถึง สัญญาให้บริการทางการแพทย์ สถานพยาบาลสานักงานใหญ่ ฉบับลงวันที่ xxx
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
(ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor
ข้อ ๒ ขอบเขตการบังคับใช้
บันทึกข้อตกลงฉบับนี้ มีวัตถุประสงค์เพื่อใช้บังคับแก่การประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ ได้ส่งให้แก่คณะฯ
ตามสัญญา และให้มีผลบังคับใช้ตั้งแต่วันที่..............................ถึงวันที่.....................................ทั้งนี้ บันทึกข้อตกลงฉบับนี้
ให้ถือเป็นส่วนหนึ่งของสัญญาให้บริการทางการแพทย์
ข้อ ๓ ความสัมพันธ์ระหว่างคู่สัญญา
บริษัทฯ จะอยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตลอดระยะเวลาของสัญญา โดยบริษัทฯ ในฐานะ ผู้ควบคุมข้อมูล
ส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี
คณะฯ จะอยู่ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลตลอดเวลาของสัญญา โดยคณะฯ ในฐานะ ผู้ประมวลผลข้อมูล
ส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
(ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor
ข้อ ๔ การประมวลผลข้อมูลส่วนบุคคล
๔.๑ คณะฯ จะประมวลผลข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ของสัญญาและกระบวนการอื่น ๆ ที่เกี่ยวข้อง รวมถึงกรณีที่
บุคลากรของบริษัทฯ ที่มีอานาจหน้าที่เกี่ยวกับการปฏิบัติตามสัญญาได้มีคาสั่งที่ชอบด้วยกฎหมายให้คณะฯ ดาเนินการ ทั้งนี้ คณะฯ จะไม่
ดาเนินการประมวลผลข้อมูลส่วนบุคคลที่นอกเหนือไปจากวัตถุประสงค์ของสัญญา โดยถือว่าไม่เป็นการกระทาผิดบันทึกข้อตกลงนี้
๔.๒ บริษัทฯ ตกลงและยอมรับว่า ก่อนการเปิดเผยข้อมูลส่วนบุคคลให้แก่คณะฯ บริษัทฯ ได้รับความยินยอมที่จาเป็นทั้งหมดจาก
เจ้าของข้อมูลส่วนบุคคลหรือใช้ฐานทางกฎหมายอื่น เพื่อให้คณะฯ สามารถประมวลผลข้อมูลส่วนบุคคลที่ได้รับจากบริษัทฯ อย่างถูกต้องตาม
กฎหมาย และเป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
๔.๓ บริษัทฯ ยอมรับว่าการที่พนักงานหรือครอบครัวพนักงานใช้บริการตามสัญญา ถือเป็นการสั่งให้คณะฯ ประมวลผลข้อมูล
ส่วนบุคคล โดยคณะฯ จะประมวลผลข้อมูลเฉพาะข้อมูลส่วนบุคคลดังต่อไปนี้
(๑) ชื่อ นามสกุลของพนักงาน หรือครอบครัวพนักงาน
(๒) ข้อมูลที่เกี่ยวกับครอบครัว เช่น อายุ วันเกิด สถานภาพ จานวนบุตร
(๓) ข้อมูลสุขภาพ
(๔) ข้อมูลอื่น ๆ ตามที่คู่สัญญาตกลงกัน
๔.๔ คณะฯ จะใช้ความพยายามตามสมควรให้การเข้าถึงข้อมูลส่วนบุคคลจากัดเฉพาะบุคลากรของคณะฯ หรือบุคคลที่ได้รับ
มอบหมายซึ่งมีความจาเป็นในการเข้าถึงข้อมูลส่วนบุคคลเพื่อดาเนินการให้เป็นไปตามสัญญา และดาเนินการให้บุคคลดังกล่าวรักษาความลับ
ของข้อมูลส่วนบุคคลที่ถูกประมวลผล
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
(ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor
ข้อ ๕ ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง
เพื่อประโยชน์ในการปฏิบัติตามสัญญา เมื่อมีความจาเป็น คณะฯ อาจมอบหมายงานเกี่ยวกับการประมวลผลข้อมูล
ส่วนบุคคล ทั้งหมดหรือแต่บางส่วนให้แก่บุคคลภายนอก (ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง) ดาเนินการแทนได้ ทั้งนี้
คณะฯ ยังต้องเป็นผู้รับผิดชอบในงานที่ได้มอบหมายไป รวมถึงต้องดาเนินการให้ผู้ประมวลผลข้อมูลส่วนบุคคลช่วงที่
ได้รับมอบหมายปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคลช่วงมีหน้าที่ในการคุ้มครองและรักษาความปลอดภัยของข้อมูลส่วนบุคคลในระดับที่ไม่
ต่ากว่าหน้าที่ของคณะฯ ตามบันทึกข้อตกลงฉบับนี้
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
(ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor
ข้อ ๖ การให้ความร่วมมือตามคาร้องของเจ้าของข้อมูลส่วนบุคคลหรือตามคาสั่งของเจ้าหน้าที่รัฐ
คณะฯ จะสนับสนุนให้บริษัทฯ สามารถเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อให้บริษัทฯ
สามารถดาเนินการตามคาร้องขอของเจ้าของข้อมูลส่วนบุคคลซึ่งมีสิทธิที่จะเรียกดู แก้ไข ลบ หรือทาลายข้อมูลส่วน
บุคคลได้ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและบันทึกข้อตกลงฉบับนี้ ภายในเวลาอันสมควร
ในกรณีที่คณะฯ ได้รับคาร้องขอจากเจ้าของข้อมูลส่วนบุคคลซึ่งได้ระบุว่าบริษัทฯ เป็นผู้ควบคุมข้อมูลส่วนบุคคล
คณะฯ ต้องส่งคาร้องขอนั้นต่อไปยังบริษัทฯ โดยจะไม่ดาเนินการตามคาร้องดังกล่าว เว้นแต่จะมีการตกลงไว้เป็นอย่างอื่น
คู่สัญญาจะสนับสนุนให้ความช่วยเหลือเพื่อดาเนินการตามที่กฎหมายกาหนด หรือตามคาสั่งที่ชอบด้วยกฎหมายจาก
เจ้าหน้าที่ของรัฐเกี่ยวกับหน้าที่ของคู่สัญญา
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
(ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor
ข้อ ๗ มาตรการคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคล
คณะฯ มีหน้าที่ดาเนินการจัดให้มีมาตรการรักษาความปลอดภัยสาหรับการประมวลผลข้อมูลส่วนบุคคลที่มีความ
เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดย
ปราศจากอานาจหรือโดยมิชอบ โดยมาตรการข้างต้นจะต้องคานึงถึงความก้าวหน้าทางเทคโนโลยี ค่าใช้จ่ายในการ
ดาเนินการ ลักษณะ ขอบเขต และวัตถุประสงค์ของการประมวลผลข้อมูล
ข้อ ๘ การแจ้งเตือนหากเกิดการละเมิดข้อมูลส่วนบุคคล
คณะฯ มีหน้าที่แจ้งเป็นลายลักษณ์อักษรแก่บริษัทฯ เมื่อคณะฯ ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น
โดยไม่ชักช้า เมื่อคณะฯ ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลนั้น
ข้อ ๙ การจัดทาบันทึกสาหรับการประมวลผลข้อมูลส่วนบุคคล
คณะฯ จะจัดทาบันทึกเป็นลายลักษณ์อักษรสาหรับการประมวลผลข้อมูลส่วนบุคคล โดยจะมีการจัดทาและรักษา
บันทึกดังกล่าวตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
(ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor
ข้อ ๑๐ การลบและการเก็บรักษาข้อมูลส่วนบุคคล
คณะฯ มีหน้าที่ลบหรือทาลายข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ภายในเวลาอันสมควร นับแต่วันที่สัญญาสิ้นสุดลง หรือเมื่อไม่มี
ความจาเป็นจะต้องเก็บรักษาข้อมูลส่วนบุคคลเพื่อประมวลผลข้อมูลส่วนบุคคลอีกต่อไป เว้นแต่ได้รับอนุญาตจากบริษัทฯ เป็นลายลักษณ์
อักษร
คณะฯ อาจเก็บข้อมูลส่วนบุคคลเพื่อการก่อตั้งสิทธิเรียกร้อง เพื่อการปฏิบัติตามหรือการใช้สิทธิเรียกร้อง เพื่อการยกขึ้นเป็นข้อต่อสู้
เพื่อการปฏิบัติตามกฎหมาย หรือเพื่อการอื่นที่ไม่ขัดต่อกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
คณะฯ มีหน้าที่เก็บรักษาข้อมูลส่วนบุคคลเท่าที่จาเป็นเพื่อการปฏิบัติตามบันทึกข้อตกลงนี้
คณะฯ อาจทาให้ข้อมูลส่วนบุคคลที่ถูกประมวลผลตามบันทึกข้อตกลงนี้เป็นข้อมูลซึ่งไม่สามารถระบุตัวผู้เป็นเจ้าของข้อมูลส่วนบุคคล
และประมวลผลข้อมูลดังกล่าวต่อไปได้
ข้อ ๑๑ ขอบเขตของความรับผิด
คณะฯ ไม่ต้องรับผิดในความเสียหายอันเกิดจากการปฏิบัติตามบันทึกข้อตกลง หรือตามคาสั่งของบริษัทฯ เพื่อให้บรรลุวัตถุประสงค์ใน
การประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ ได้ส่งให้แก่คณะฯ ตามสัญญา
กรณีคณะฯ ต้องรับผิดชดใช้ค่าเสียหายหรือชาระค่าปรับ อันเนื่องมาจากการปฏิบัติตามบันทึกข้อตกลง หรือตามคาสั่งของบริษัทฯ
เพื่อให้บรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ ได้ส่งให้แก่คณะฯ ตามสัญญา คณะฯ มีสิทธิเรียกร้องให้บริษัทฯ ชดใช้
เงินดังกล่าวให้แก่คณะฯ
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
(ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor
ข้อ ๑๒ การเปลี่ยนแปลงแก้ไขบันทึกข้อตกลง
กรณีจาเป็นต้องมีการเปลี่ยนแปลงแก้ไขบันทึกข้อตกลงเพื่อให้คู่สัญญาสามารถประมวลผลข้อมูลส่วนบุคคลตาม
กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลต่อไปได้ ให้คู่สัญญาฝ่ายที่ประสงค์จะแก้ไขเพิ่มเติมบันทึกข้อตกลงนี้ แจ้งให้
อีกฝ่ายทราบล่วงหน้าเป็นเวลาไม่น้อยกว่า ๓๐ วัน และเมื่อทุกฝ่ายให้ความยินยอมในการแก้ไขเพิ่มเติมแล้ว ให้จัดทา
บันทึกข้อตกลงฉบับแก้ไขเพิ่มเติมเป็นหนังสือ และลงนามผูกพันโดยผู้มีอานาจลงนามผูกพันนิติบุคคล และให้ถือว่าการ
แก้ไขเพิ่มเติมดังกล่าวเป็นส่วนหนึ่งของบันทึกข้อตกลงนี้ โดยให้มีผลใช้บังคับตั้งแต่วันที่ลงนามในบันทึกข้อตกลงฉบับ
แก้ไขเพิ่มเติมนั้น
บันทึกข้อตกลงนี้ทาขึ้นสองฉบับมีข้อความถูกต้องตรงกัน ทั้งสองฝ่ายได้อ่านและเข้าใจบันทึกข้อตกลงนี้โดยละเอียด
ตลอดแล้ว เห็นว่าตรงตามเจตนารมณ์ที่ได้ให้ไว้ต่อกันทุกประการ จึงได้ลงลายมือชื่อไว้เป็นสาคัญต่อหน้าพยานและแต่ละ
ฝ่ายต่างได้ยึดถือไว้ฝ่ายละฉบับ

More Related Content

What's hot

Personnel Safety Goals (SIMPLE): S
Personnel Safety Goals (SIMPLE): SPersonnel Safety Goals (SIMPLE): S
Personnel Safety Goals (SIMPLE): S
Nawanan Theera-Ampornpunt
 
PDPA Basics (March 13, 2021)
PDPA Basics (March 13, 2021)PDPA Basics (March 13, 2021)
PDPA Basics (March 13, 2021)
Nawanan Theera-Ampornpunt
 
PDPA Compliance Preparation
PDPA Compliance PreparationPDPA Compliance Preparation
PDPA Compliance Preparation
LawPlus Ltd.
 
บันทึกทางการพยาบาล
บันทึกทางการพยาบาลบันทึกทางการพยาบาล
บันทึกทางการพยาบาล
Sutthiluck Kaewboonrurn
 
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
Nawanan Theera-Ampornpunt
 
ระบบสารสนเทศโรงพยาบาล
ระบบสารสนเทศโรงพยาบาลระบบสารสนเทศโรงพยาบาล
ระบบสารสนเทศโรงพยาบาลNawanan Theera-Ampornpunt
 
การทำแผนยุทธศาสตร์ ตามแนวทางของสำนักงาน ก.พ.ร.
การทำแผนยุทธศาสตร์ ตามแนวทางของสำนักงาน ก.พ.ร.การทำแผนยุทธศาสตร์ ตามแนวทางของสำนักงาน ก.พ.ร.
การทำแผนยุทธศาสตร์ ตามแนวทางของสำนักงาน ก.พ.ร.
ประพันธ์ เวารัมย์
 
กฎหมาย IT สำหรับพยาบาล (August 26, 2016)
กฎหมาย IT สำหรับพยาบาล (August 26, 2016)กฎหมาย IT สำหรับพยาบาล (August 26, 2016)
กฎหมาย IT สำหรับพยาบาล (August 26, 2016)
Nawanan Theera-Ampornpunt
 
Personal Data Protection Act (PDPA) and Enterprise Risk Management (February ...
Personal Data Protection Act (PDPA) and Enterprise Risk Management (February ...Personal Data Protection Act (PDPA) and Enterprise Risk Management (February ...
Personal Data Protection Act (PDPA) and Enterprise Risk Management (February ...
Nawanan Theera-Ampornpunt
 
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
PwC Polska
 
Adult Nursing II มโนทัศน์การพยาบาลผู้ใหญ่ที่เจ็บป่วยซับซ้อนในระยะเฉียบพลันแล...
Adult Nursing II  มโนทัศน์การพยาบาลผู้ใหญ่ที่เจ็บป่วยซับซ้อนในระยะเฉียบพลันแล...Adult Nursing II  มโนทัศน์การพยาบาลผู้ใหญ่ที่เจ็บป่วยซับซ้อนในระยะเฉียบพลันแล...
Adult Nursing II มโนทัศน์การพยาบาลผู้ใหญ่ที่เจ็บป่วยซับซ้อนในระยะเฉียบพลันแล...
Chutchavarn Wongsaree
 
ตัวอย่างระบบดูช่วยเหลือนักเรียน
ตัวอย่างระบบดูช่วยเหลือนักเรียนตัวอย่างระบบดูช่วยเหลือนักเรียน
ตัวอย่างระบบดูช่วยเหลือนักเรียนทับทิม เจริญตา
 
การวินิจฉัยชุมชน อ.สมเกียรติ
การวินิจฉัยชุมชน อ.สมเกียรติการวินิจฉัยชุมชน อ.สมเกียรติ
การวินิจฉัยชุมชน อ.สมเกียรติSambushi Kritsada
 
จุดเน้นที่ออกสอบพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ.2540
จุดเน้นที่ออกสอบพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ.2540จุดเน้นที่ออกสอบพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ.2540
จุดเน้นที่ออกสอบพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ.2540
waoram
 
Personal Data Protection Act in Healthcare (January 21, 2021)
Personal Data Protection Act in Healthcare (January 21, 2021)Personal Data Protection Act in Healthcare (January 21, 2021)
Personal Data Protection Act in Healthcare (January 21, 2021)
Nawanan Theera-Ampornpunt
 
Dataset 16 แฟ้ม ของ ECLAIM
Dataset 16 แฟ้ม ของ ECLAIMDataset 16 แฟ้ม ของ ECLAIM
Dataset 16 แฟ้ม ของ ECLAIM
Piyanat Nimkhuntod
 
คู่มือการจัดทำบัญชีข้อมูลยา ของ รพ.สต. (Drug Catalogue)
คู่มือการจัดทำบัญชีข้อมูลยา ของ รพ.สต. (Drug Catalogue)คู่มือการจัดทำบัญชีข้อมูลยา ของ รพ.สต. (Drug Catalogue)
คู่มือการจัดทำบัญชีข้อมูลยา ของ รพ.สต. (Drug Catalogue)
Sakarin Habusaya
 

What's hot (20)

Personnel Safety Goals (SIMPLE): S
Personnel Safety Goals (SIMPLE): SPersonnel Safety Goals (SIMPLE): S
Personnel Safety Goals (SIMPLE): S
 
PDPA Basics (March 13, 2021)
PDPA Basics (March 13, 2021)PDPA Basics (March 13, 2021)
PDPA Basics (March 13, 2021)
 
PDPA Compliance Preparation
PDPA Compliance PreparationPDPA Compliance Preparation
PDPA Compliance Preparation
 
บันทึกทางการพยาบาล
บันทึกทางการพยาบาลบันทึกทางการพยาบาล
บันทึกทางการพยาบาล
 
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
 
ระบบสารสนเทศโรงพยาบาล
ระบบสารสนเทศโรงพยาบาลระบบสารสนเทศโรงพยาบาล
ระบบสารสนเทศโรงพยาบาล
 
การทำแผนยุทธศาสตร์ ตามแนวทางของสำนักงาน ก.พ.ร.
การทำแผนยุทธศาสตร์ ตามแนวทางของสำนักงาน ก.พ.ร.การทำแผนยุทธศาสตร์ ตามแนวทางของสำนักงาน ก.พ.ร.
การทำแผนยุทธศาสตร์ ตามแนวทางของสำนักงาน ก.พ.ร.
 
กฎหมาย IT สำหรับพยาบาล (August 26, 2016)
กฎหมาย IT สำหรับพยาบาล (August 26, 2016)กฎหมาย IT สำหรับพยาบาล (August 26, 2016)
กฎหมาย IT สำหรับพยาบาล (August 26, 2016)
 
Personal Data Protection Act (PDPA) and Enterprise Risk Management (February ...
Personal Data Protection Act (PDPA) and Enterprise Risk Management (February ...Personal Data Protection Act (PDPA) and Enterprise Risk Management (February ...
Personal Data Protection Act (PDPA) and Enterprise Risk Management (February ...
 
แนวข้อสอบจัดเก็บรายได้
แนวข้อสอบจัดเก็บรายได้แนวข้อสอบจัดเก็บรายได้
แนวข้อสอบจัดเก็บรายได้
 
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
ABC Rozporządzenia o Ochronie Danych Osobowych (RODO)
 
Adult Nursing II มโนทัศน์การพยาบาลผู้ใหญ่ที่เจ็บป่วยซับซ้อนในระยะเฉียบพลันแล...
Adult Nursing II  มโนทัศน์การพยาบาลผู้ใหญ่ที่เจ็บป่วยซับซ้อนในระยะเฉียบพลันแล...Adult Nursing II  มโนทัศน์การพยาบาลผู้ใหญ่ที่เจ็บป่วยซับซ้อนในระยะเฉียบพลันแล...
Adult Nursing II มโนทัศน์การพยาบาลผู้ใหญ่ที่เจ็บป่วยซับซ้อนในระยะเฉียบพลันแล...
 
ตัวอย่างระบบดูช่วยเหลือนักเรียน
ตัวอย่างระบบดูช่วยเหลือนักเรียนตัวอย่างระบบดูช่วยเหลือนักเรียน
ตัวอย่างระบบดูช่วยเหลือนักเรียน
 
การวินิจฉัยชุมชน อ.สมเกียรติ
การวินิจฉัยชุมชน อ.สมเกียรติการวินิจฉัยชุมชน อ.สมเกียรติ
การวินิจฉัยชุมชน อ.สมเกียรติ
 
จุดเน้นที่ออกสอบพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ.2540
จุดเน้นที่ออกสอบพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ.2540จุดเน้นที่ออกสอบพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ.2540
จุดเน้นที่ออกสอบพระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ.2540
 
Personal Data Protection Act in Healthcare (January 21, 2021)
Personal Data Protection Act in Healthcare (January 21, 2021)Personal Data Protection Act in Healthcare (January 21, 2021)
Personal Data Protection Act in Healthcare (January 21, 2021)
 
Dataset 16 แฟ้ม ของ ECLAIM
Dataset 16 แฟ้ม ของ ECLAIMDataset 16 แฟ้ม ของ ECLAIM
Dataset 16 แฟ้ม ของ ECLAIM
 
เตรียมสอบ ภาค ก.เล่มที่ 1
เตรียมสอบ ภาค ก.เล่มที่ 1เตรียมสอบ ภาค ก.เล่มที่ 1
เตรียมสอบ ภาค ก.เล่มที่ 1
 
คู่มือการจัดทำบัญชีข้อมูลยา ของ รพ.สต. (Drug Catalogue)
คู่มือการจัดทำบัญชีข้อมูลยา ของ รพ.สต. (Drug Catalogue)คู่มือการจัดทำบัญชีข้อมูลยา ของ รพ.สต. (Drug Catalogue)
คู่มือการจัดทำบัญชีข้อมูลยา ของ รพ.สต. (Drug Catalogue)
 
mass casualty management
mass casualty managementmass casualty management
mass casualty management
 

More from Nawanan Theera-Ampornpunt

Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)
Nawanan Theera-Ampornpunt
 
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Nawanan Theera-Ampornpunt
 
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)
Nawanan Theera-Ampornpunt
 
Case Study PDPA Workshop (September 15, 2023)
Case Study PDPA Workshop (September 15, 2023)Case Study PDPA Workshop (September 15, 2023)
Case Study PDPA Workshop (September 15, 2023)
Nawanan Theera-Ampornpunt
 
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
Nawanan Theera-Ampornpunt
 
Relationship Between Thailand's Official Information Act and Personal Data Pr...
Relationship Between Thailand's Official Information Act and Personal Data Pr...Relationship Between Thailand's Official Information Act and Personal Data Pr...
Relationship Between Thailand's Official Information Act and Personal Data Pr...
Nawanan Theera-Ampornpunt
 
Social Media - PDPA: Is There A Way Out? (October 19, 2022)
Social Media - PDPA: Is There A Way Out? (October 19, 2022)Social Media - PDPA: Is There A Way Out? (October 19, 2022)
Social Media - PDPA: Is There A Way Out? (October 19, 2022)
Nawanan Theera-Ampornpunt
 
Telemedicine: A Health Informatician's Point of View
Telemedicine: A Health Informatician's Point of ViewTelemedicine: A Health Informatician's Point of View
Telemedicine: A Health Informatician's Point of View
Nawanan Theera-Ampornpunt
 
Meeting Management (March 2, 2022)
Meeting Management (March 2, 2022)Meeting Management (March 2, 2022)
Meeting Management (March 2, 2022)
Nawanan Theera-Ampornpunt
 
การบริหารความเสี่ยงคณะฯ (February 9, 2022)
การบริหารความเสี่ยงคณะฯ (February 9, 2022)การบริหารความเสี่ยงคณะฯ (February 9, 2022)
การบริหารความเสี่ยงคณะฯ (February 9, 2022)
Nawanan Theera-Ampornpunt
 
Digital Health Transformation for Health Executives (January 18, 2022)
Digital Health Transformation for Health Executives (January 18, 2022)Digital Health Transformation for Health Executives (January 18, 2022)
Digital Health Transformation for Health Executives (January 18, 2022)
Nawanan Theera-Ampornpunt
 
Updates on Privacy & Security Laws (November 26, 2021)
Updates on Privacy & Security Laws (November 26, 2021)Updates on Privacy & Security Laws (November 26, 2021)
Updates on Privacy & Security Laws (November 26, 2021)
Nawanan Theera-Ampornpunt
 
Hospital Informatics (November 26, 2021)
Hospital Informatics (November 26, 2021)Hospital Informatics (November 26, 2021)
Hospital Informatics (November 26, 2021)
Nawanan Theera-Ampornpunt
 
Health Informatics for Clinical Research (November 25, 2021)
Health Informatics for Clinical Research (November 25, 2021)Health Informatics for Clinical Research (November 25, 2021)
Health Informatics for Clinical Research (November 25, 2021)
Nawanan Theera-Ampornpunt
 
Research Ethics and Ethics for Health Informaticians (November 15, 2021)
Research Ethics and Ethics for Health Informaticians (November 15, 2021)Research Ethics and Ethics for Health Informaticians (November 15, 2021)
Research Ethics and Ethics for Health Informaticians (November 15, 2021)
Nawanan Theera-Ampornpunt
 
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Nawanan Theera-Ampornpunt
 
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Nawanan Theera-Ampornpunt
 
Health Information Privacy and Security (November 8, 2021)
Health Information Privacy and Security (November 8, 2021)Health Information Privacy and Security (November 8, 2021)
Health Information Privacy and Security (November 8, 2021)
Nawanan Theera-Ampornpunt
 
Information Technology Management in Healthcare Organizations: Part 2 (Octobe...
Information Technology Management in Healthcare Organizations: Part 2 (Octobe...Information Technology Management in Healthcare Organizations: Part 2 (Octobe...
Information Technology Management in Healthcare Organizations: Part 2 (Octobe...
Nawanan Theera-Ampornpunt
 
Information Technology Management in Healthcare Organizations: Part 1 (Octobe...
Information Technology Management in Healthcare Organizations: Part 1 (Octobe...Information Technology Management in Healthcare Organizations: Part 1 (Octobe...
Information Technology Management in Healthcare Organizations: Part 1 (Octobe...
Nawanan Theera-Ampornpunt
 

More from Nawanan Theera-Ampornpunt (20)

Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)
 
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
 
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)
 
Case Study PDPA Workshop (September 15, 2023)
Case Study PDPA Workshop (September 15, 2023)Case Study PDPA Workshop (September 15, 2023)
Case Study PDPA Workshop (September 15, 2023)
 
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
 
Relationship Between Thailand's Official Information Act and Personal Data Pr...
Relationship Between Thailand's Official Information Act and Personal Data Pr...Relationship Between Thailand's Official Information Act and Personal Data Pr...
Relationship Between Thailand's Official Information Act and Personal Data Pr...
 
Social Media - PDPA: Is There A Way Out? (October 19, 2022)
Social Media - PDPA: Is There A Way Out? (October 19, 2022)Social Media - PDPA: Is There A Way Out? (October 19, 2022)
Social Media - PDPA: Is There A Way Out? (October 19, 2022)
 
Telemedicine: A Health Informatician's Point of View
Telemedicine: A Health Informatician's Point of ViewTelemedicine: A Health Informatician's Point of View
Telemedicine: A Health Informatician's Point of View
 
Meeting Management (March 2, 2022)
Meeting Management (March 2, 2022)Meeting Management (March 2, 2022)
Meeting Management (March 2, 2022)
 
การบริหารความเสี่ยงคณะฯ (February 9, 2022)
การบริหารความเสี่ยงคณะฯ (February 9, 2022)การบริหารความเสี่ยงคณะฯ (February 9, 2022)
การบริหารความเสี่ยงคณะฯ (February 9, 2022)
 
Digital Health Transformation for Health Executives (January 18, 2022)
Digital Health Transformation for Health Executives (January 18, 2022)Digital Health Transformation for Health Executives (January 18, 2022)
Digital Health Transformation for Health Executives (January 18, 2022)
 
Updates on Privacy & Security Laws (November 26, 2021)
Updates on Privacy & Security Laws (November 26, 2021)Updates on Privacy & Security Laws (November 26, 2021)
Updates on Privacy & Security Laws (November 26, 2021)
 
Hospital Informatics (November 26, 2021)
Hospital Informatics (November 26, 2021)Hospital Informatics (November 26, 2021)
Hospital Informatics (November 26, 2021)
 
Health Informatics for Clinical Research (November 25, 2021)
Health Informatics for Clinical Research (November 25, 2021)Health Informatics for Clinical Research (November 25, 2021)
Health Informatics for Clinical Research (November 25, 2021)
 
Research Ethics and Ethics for Health Informaticians (November 15, 2021)
Research Ethics and Ethics for Health Informaticians (November 15, 2021)Research Ethics and Ethics for Health Informaticians (November 15, 2021)
Research Ethics and Ethics for Health Informaticians (November 15, 2021)
 
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
 
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
 
Health Information Privacy and Security (November 8, 2021)
Health Information Privacy and Security (November 8, 2021)Health Information Privacy and Security (November 8, 2021)
Health Information Privacy and Security (November 8, 2021)
 
Information Technology Management in Healthcare Organizations: Part 2 (Octobe...
Information Technology Management in Healthcare Organizations: Part 2 (Octobe...Information Technology Management in Healthcare Organizations: Part 2 (Octobe...
Information Technology Management in Healthcare Organizations: Part 2 (Octobe...
 
Information Technology Management in Healthcare Organizations: Part 1 (Octobe...
Information Technology Management in Healthcare Organizations: Part 1 (Octobe...Information Technology Management in Healthcare Organizations: Part 1 (Octobe...
Information Technology Management in Healthcare Organizations: Part 1 (Octobe...
 

PDPA Share & Learn: Data Processing Agreement (DPA) Example by Ramathibodi (September 20, 2021)

  • 1. Share & Learn ความคืบหน้าจากส่วนงานเกี่ยวกับการ เตรียมความพร้อมด้านการคุ้มครองข้อมูลส่วนบุคคล: การนาเสนอตัวอย่างการจัดทา Data Processing Agreement และ Data Sharing Agreement นพ.นวนรรน ธีระอัมพรพันธุ์ รองคณบดีฝ่ายปฏิบัติการ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล 20 กันยายน 2564 www.SlideShare.net/Nawanan
  • 2. PDPA Recap ▪ “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคลหรือ นิติบุคคลซึ่งมีอานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ▪ “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคลหรือ นิติบุคคลซึ่งดาเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคาสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่ง ดาเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล PDPA มาตรา 6
  • 9. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน รพ.รามาธิบดี Employer (e.g. Factory) On-Site Clinic (ให้บริการโดยคณะแพทยศาสตร์ รพ.รามาธิบดี) 1. ตรวจสุขภาพ/ รักษาพยาบาล 2A. ตรวจ lab แล้วส่งกลับให้ คลินิกตรวจรักษาต่อ 2B. ส่งต่อมาตรวจรักษาที่ รพ. การให้บริการตามข้อ 1. และ 2A. อยู่ภายใต้สัญญาให้บริการทางการ แพทย์ ระหว่าง Employer กับคณะแพทยศาสตร์ รพ.รามาธิบดี ส่วนกรณี 2B. ถือเป็นการให้บริการของ รพ.รามาธิบดี ที่แยกเป็นคนละ ส่วนกับการให้บริการที่ On-Site Clinic (เช่นเดียวกับกรณีผู้ป่วย Walk- in มาที่ รพ.รามาธิบดี)
  • 10. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน ประเด็นที่ต้องพิจารณาตาม PDPA ▪ มหาวิทยาลัยมหิดล (คณะแพทยศาสตร์ รพ.รามาธิบดี) และ Employer อยู่ใน ฐานะใด ▪ การเก็บรวบรวมข้อมูลส่วนบุคคลในแต่ละขั้นตอน สอดคล้องกับ PDPA หรือไม่ ▪ หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร
  • 11. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน คณะแพทยศาสตร์ รพ.รามาธิบดี และ Employer อยู่ในฐานะใด รพ.รามาธิบดี Employer (e.g. Factory) On-Site Clinic (ให้บริการโดยคณะแพทยศาสตร์ รพ.รามาธิบดี) 1. ตรวจสุขภาพ/ รักษาพยาบาล 2A. ตรวจ lab แล้วส่งกลับให้ คลินิกตรวจรักษาต่อ 2B. ส่งต่อมาตรวจรักษาที่ รพ. การให้บริการตามข้อ 1. และ 2A. อยู่ภายใต้สัญญาให้บริการทางการ แพทย์ ระหว่าง Employer กับคณะแพทยศาสตร์ รพ.รามาธิบดี ส่วนกรณี 2B. ถือเป็นการให้บริการของ รพ.รามาธิบดี ที่แยกเป็นคนละ ส่วนกับการให้บริการที่ On-Site Clinic (เช่นเดียวกับกรณีผู้ป่วย Walk- in มาที่ รพ.รามาธิบดี) นายจ้าง = Data Controller ลูกจ้าง = Data Subject รามาธิบดี = Data Controller ผู้ป่วย = Data Subject 2A: รามาธิบดี = Data Processor 2B: รามาธิบดี = Data Controller รามาธิบดี = Data Processor Clinic เป็นของนายจ้าง นายจ้าง = Data Controller
  • 12. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน การเก็บรวบรวมข้อมูลส่วนบุคคลในแต่ละขั้นตอน สอดคล้องกับ PDPA หรือไม่ รพ.รามาธิบดี Employer (e.g. Factory) On-Site Clinic (ให้บริการโดยคณะแพทยศาสตร์ รพ.รามาธิบดี) 1. ตรวจสุขภาพ/ รักษาพยาบาล 2A. ตรวจ lab แล้วส่งกลับให้ คลินิกตรวจรักษาต่อ 2B. ส่งต่อมาตรวจรักษาที่ รพ. การให้บริการตามข้อ 1. และ 2A. อยู่ภายใต้สัญญาให้บริการทางการ แพทย์ ระหว่าง Employer กับคณะแพทยศาสตร์ รพ.รามาธิบดี ส่วนกรณี 2B. ถือเป็นการให้บริการของ รพ.รามาธิบดี ที่แยกเป็นคนละ ส่วนกับการให้บริการที่ On-Site Clinic (เช่นเดียวกับกรณีผู้ป่วย Walk- in มาที่ รพ.รามาธิบดี) 2A เงื่อนไขเดียวกับ 1 นายจ้าง = Data Controller ลูกจ้าง = Data Subject รามาธิบดี = Data Processor รามาธิบดี = Data Controller ผู้ป่วย = Data Subject 2A: รามาธิบดี = Data Processor 2B: รามาธิบดี = Data Controller General Data: - Legal Obligation [PDPA ม.24 (6)] - Vital Interest [PDPA ม.24 (2)] Sensitive Data: - Legal Obligation (Labor Protection) [PDPA ม.26 (5) (ค) + พ.ร.บ. คุ้มครองแรงงาน] 2B เงื่อนไขเดียวกับผู้ป่วยอื่น ๆ ที่มารักษาที่รามาธิบดี General Data: - Contract [PDPA ม.24 (3)] - Vital Interest [PDPA ม.24 (2)] Sensitive Data: - Contract [PDPA ม.26 (5) (ก) ส่วนท้าย - Legal Obligation (Health Services) [PDPA ม.26 (5) (ก) ส่วนต้น (กรณีปฏิบัติตามกฎหมาย) Clinic เป็นของนายจ้าง นายจ้าง = Data Controller
  • 17. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร • TDPG 1.0 • TDPG 2.0 • TDPG 3.0 • TDPG 3.1 for Investment Banking Activities https://www.law.chula.ac.th/ wp-content/uploads/2020/12/ TDPG3.0-C5-20201208.pdf
  • 18. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร TGPG 3.0 (คณะนิติศาสตร์ จุฬาฯ) หน้า 154-171 Data Subject Data Controller Data Processor - Terms & Conditions (T&C) ( Service Contract) - Privacy Notice [PDPA ม.23] - Service Contract - Data Processing Agreement (DPA)
  • 22. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor บันทึกข้อตกลงการให้ประมวลผลข้อมูล (Data Processing Agreement) ทาที่ .......................................................... วันที่ ............. เดือน .................. พ.ศ. .............. บันทึกข้อตกลงนี้ทาขึ้นระหว่าง บริษัท xxx มีสานักงานตั้งอยู่ที่ xxxxxxxxxxxxxxxxxxxxxxxxxxxx โดย xxxxxxxxxxxxxxxxxxxxxxxxx ตาแหน่ง xxxxxxxxxxx เป็นผู้มีอานาจลงนามผูกพัน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “บริษัทฯ” กับ มหาวิทยาลัยมหิดล (คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี) เลขที่ ๒๗๐ ถนนพระราม ๖ แขวงทุ่งพญาไท เขต ราชเทวี กรุงเทพมหานคร ๑๐๔๐๐ โดย xxxx ตาแหน่ง คณบดีคณะแพทยศาสตร์โรงพยาบาลรามาธิบดี เป็นผู้มีอานาจ ลงนามผูกพัน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “คณะฯ” ตามที่ทั้งสองฝ่ายได้ทาสัญญาให้บริการทางการแพทย์ สถานพยาบาลสานักงานใหญ่ ฉบับลงวันที่ xxx และบริษัทฯ ได้ส่งข้อมูลส่วนบุคคลให้แก่คณะฯ ทั้งสองฝ่ายจึงตกลงทาบันทึกข้อตกลงฉบับนี้ โดยให้บันทึกฉบับนี้เป็นส่วนหนึ่งของ สัญญาดังกล่าว ดังมีข้อความต่อไปนี้
  • 23. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๑ หากไม่ได้มีการกาหนดไว้เป็นอย่างอื่นในบันทึกข้อตกลงฉบับนี้ ให้ถ้อยคาในบันทึกข้อตกลงฉบับนี้มีความหมายดังต่อไปนี้ “การประมวลผลข้อมูล” หมายถึง การปฏิบัติการหรือส่วนหนึ่งของการปฏิบัติการซึ่งได้กระทาต่อข้อมูลส่วนบุคคลไม่ว่าโดยวิธีการอัตโนมัติหรือโดย วิธีการอื่นใด เช่น การเก็บรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การดัดแปลง การเปลี่ยนแปลง การกู้คืน การใช้ การเปิดเผย โดยการส่ง การจัดวางให้ถูกตาแหน่งหรือการรวบรวม การจากัด การลบ และการทาลาย “การลบ” หมายถึง การทาให้ข้อมูลส่วนบุคคลนั้นถูกลบออกจากระบบและไม่อาจกู้คืนได้ โดยเจ้าของข้อมูลส่วนบุคคล บริษัทฯ หรือคณะฯ ทั้งนี้ ไม่ว่าเวลาใด ๆ “การละเมิดข้อมูลส่วนบุคคล” หมายความรวมถึง การเข้าถึง การเปิดเผย หรือการแก้ไขเปลี่ยนแปลงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือโดย อุบัติเหตุ หรือการโอนข้อมูลส่วนบุคคลโดยมิชอบหรือโดยปราศจากอานาจ หรือการทาให้เข้าถึงข้อมูลส่วนบุคคลไม่ได้ หรือการทาให้ข้อมูลส่วนบุคคลถูก ทาลาย หรือสูญหายไปโดยไม่ได้รับอนุญาตหรือโดยอุบัติเหตุ “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่เกี่ยวกับบุคคลซึ่งทาให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่ กรรมโดยเฉพาะ “เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล และให้หมายความรวมถึง ผู้ใช้อานาจปกครองที่มีอานาจ กระทาการแทนผู้เยาว์ ผู้อนุบาลที่มีอานาจกระทาการแทนคนไร้ความสามารถ หรือผู้พิทักษ์ที่มีอานาจกระทาการแทนคนเสมือนไร้ความสามารถ “พนักงาน” หมายถึง “พนักงานของบริษัท xxx และบริษัทในเครือ” “บริษัทในเครือ xxx” หมายถึง บริษัทตามรายชื่อในเอกสารแนบท้ายสัญญา” “ครอบครัวพนักงาน” หมายถึง คู่สมรสและบุตรที่ชอบด้วยกฎหมายของพนักงานของบริษัท xxx และบริษัทในเครือ xxx ทั้งนี้ ตามรายละเอียดใน เอกสารแนบท้ายบันทึกข้อตกลง “บันทึกข้อตกลง” หมายถึง บันทึกข้อตกลงให้ประมวลผลข้อมูลและเอกสารแนบท้ายบันทึกข้อตกลงฉบับนี้ “สัญญา” หมายถึง สัญญาให้บริการทางการแพทย์ สถานพยาบาลสานักงานใหญ่ ฉบับลงวันที่ xxx
  • 24. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๒ ขอบเขตการบังคับใช้ บันทึกข้อตกลงฉบับนี้ มีวัตถุประสงค์เพื่อใช้บังคับแก่การประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ ได้ส่งให้แก่คณะฯ ตามสัญญา และให้มีผลบังคับใช้ตั้งแต่วันที่..............................ถึงวันที่.....................................ทั้งนี้ บันทึกข้อตกลงฉบับนี้ ให้ถือเป็นส่วนหนึ่งของสัญญาให้บริการทางการแพทย์ ข้อ ๓ ความสัมพันธ์ระหว่างคู่สัญญา บริษัทฯ จะอยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตลอดระยะเวลาของสัญญา โดยบริษัทฯ ในฐานะ ผู้ควบคุมข้อมูล ส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี คณะฯ จะอยู่ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลตลอดเวลาของสัญญา โดยคณะฯ ในฐานะ ผู้ประมวลผลข้อมูล ส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี
  • 25. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๔ การประมวลผลข้อมูลส่วนบุคคล ๔.๑ คณะฯ จะประมวลผลข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ของสัญญาและกระบวนการอื่น ๆ ที่เกี่ยวข้อง รวมถึงกรณีที่ บุคลากรของบริษัทฯ ที่มีอานาจหน้าที่เกี่ยวกับการปฏิบัติตามสัญญาได้มีคาสั่งที่ชอบด้วยกฎหมายให้คณะฯ ดาเนินการ ทั้งนี้ คณะฯ จะไม่ ดาเนินการประมวลผลข้อมูลส่วนบุคคลที่นอกเหนือไปจากวัตถุประสงค์ของสัญญา โดยถือว่าไม่เป็นการกระทาผิดบันทึกข้อตกลงนี้ ๔.๒ บริษัทฯ ตกลงและยอมรับว่า ก่อนการเปิดเผยข้อมูลส่วนบุคคลให้แก่คณะฯ บริษัทฯ ได้รับความยินยอมที่จาเป็นทั้งหมดจาก เจ้าของข้อมูลส่วนบุคคลหรือใช้ฐานทางกฎหมายอื่น เพื่อให้คณะฯ สามารถประมวลผลข้อมูลส่วนบุคคลที่ได้รับจากบริษัทฯ อย่างถูกต้องตาม กฎหมาย และเป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ๔.๓ บริษัทฯ ยอมรับว่าการที่พนักงานหรือครอบครัวพนักงานใช้บริการตามสัญญา ถือเป็นการสั่งให้คณะฯ ประมวลผลข้อมูล ส่วนบุคคล โดยคณะฯ จะประมวลผลข้อมูลเฉพาะข้อมูลส่วนบุคคลดังต่อไปนี้ (๑) ชื่อ นามสกุลของพนักงาน หรือครอบครัวพนักงาน (๒) ข้อมูลที่เกี่ยวกับครอบครัว เช่น อายุ วันเกิด สถานภาพ จานวนบุตร (๓) ข้อมูลสุขภาพ (๔) ข้อมูลอื่น ๆ ตามที่คู่สัญญาตกลงกัน ๔.๔ คณะฯ จะใช้ความพยายามตามสมควรให้การเข้าถึงข้อมูลส่วนบุคคลจากัดเฉพาะบุคลากรของคณะฯ หรือบุคคลที่ได้รับ มอบหมายซึ่งมีความจาเป็นในการเข้าถึงข้อมูลส่วนบุคคลเพื่อดาเนินการให้เป็นไปตามสัญญา และดาเนินการให้บุคคลดังกล่าวรักษาความลับ ของข้อมูลส่วนบุคคลที่ถูกประมวลผล
  • 26. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๕ ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง เพื่อประโยชน์ในการปฏิบัติตามสัญญา เมื่อมีความจาเป็น คณะฯ อาจมอบหมายงานเกี่ยวกับการประมวลผลข้อมูล ส่วนบุคคล ทั้งหมดหรือแต่บางส่วนให้แก่บุคคลภายนอก (ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง) ดาเนินการแทนได้ ทั้งนี้ คณะฯ ยังต้องเป็นผู้รับผิดชอบในงานที่ได้มอบหมายไป รวมถึงต้องดาเนินการให้ผู้ประมวลผลข้อมูลส่วนบุคคลช่วงที่ ได้รับมอบหมายปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลช่วงมีหน้าที่ในการคุ้มครองและรักษาความปลอดภัยของข้อมูลส่วนบุคคลในระดับที่ไม่ ต่ากว่าหน้าที่ของคณะฯ ตามบันทึกข้อตกลงฉบับนี้
  • 27. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๖ การให้ความร่วมมือตามคาร้องของเจ้าของข้อมูลส่วนบุคคลหรือตามคาสั่งของเจ้าหน้าที่รัฐ คณะฯ จะสนับสนุนให้บริษัทฯ สามารถเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อให้บริษัทฯ สามารถดาเนินการตามคาร้องขอของเจ้าของข้อมูลส่วนบุคคลซึ่งมีสิทธิที่จะเรียกดู แก้ไข ลบ หรือทาลายข้อมูลส่วน บุคคลได้ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและบันทึกข้อตกลงฉบับนี้ ภายในเวลาอันสมควร ในกรณีที่คณะฯ ได้รับคาร้องขอจากเจ้าของข้อมูลส่วนบุคคลซึ่งได้ระบุว่าบริษัทฯ เป็นผู้ควบคุมข้อมูลส่วนบุคคล คณะฯ ต้องส่งคาร้องขอนั้นต่อไปยังบริษัทฯ โดยจะไม่ดาเนินการตามคาร้องดังกล่าว เว้นแต่จะมีการตกลงไว้เป็นอย่างอื่น คู่สัญญาจะสนับสนุนให้ความช่วยเหลือเพื่อดาเนินการตามที่กฎหมายกาหนด หรือตามคาสั่งที่ชอบด้วยกฎหมายจาก เจ้าหน้าที่ของรัฐเกี่ยวกับหน้าที่ของคู่สัญญา
  • 28. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๗ มาตรการคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคล คณะฯ มีหน้าที่ดาเนินการจัดให้มีมาตรการรักษาความปลอดภัยสาหรับการประมวลผลข้อมูลส่วนบุคคลที่มีความ เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดย ปราศจากอานาจหรือโดยมิชอบ โดยมาตรการข้างต้นจะต้องคานึงถึงความก้าวหน้าทางเทคโนโลยี ค่าใช้จ่ายในการ ดาเนินการ ลักษณะ ขอบเขต และวัตถุประสงค์ของการประมวลผลข้อมูล ข้อ ๘ การแจ้งเตือนหากเกิดการละเมิดข้อมูลส่วนบุคคล คณะฯ มีหน้าที่แจ้งเป็นลายลักษณ์อักษรแก่บริษัทฯ เมื่อคณะฯ ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น โดยไม่ชักช้า เมื่อคณะฯ ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลนั้น ข้อ ๙ การจัดทาบันทึกสาหรับการประมวลผลข้อมูลส่วนบุคคล คณะฯ จะจัดทาบันทึกเป็นลายลักษณ์อักษรสาหรับการประมวลผลข้อมูลส่วนบุคคล โดยจะมีการจัดทาและรักษา บันทึกดังกล่าวตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
  • 29. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๑๐ การลบและการเก็บรักษาข้อมูลส่วนบุคคล คณะฯ มีหน้าที่ลบหรือทาลายข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ภายในเวลาอันสมควร นับแต่วันที่สัญญาสิ้นสุดลง หรือเมื่อไม่มี ความจาเป็นจะต้องเก็บรักษาข้อมูลส่วนบุคคลเพื่อประมวลผลข้อมูลส่วนบุคคลอีกต่อไป เว้นแต่ได้รับอนุญาตจากบริษัทฯ เป็นลายลักษณ์ อักษร คณะฯ อาจเก็บข้อมูลส่วนบุคคลเพื่อการก่อตั้งสิทธิเรียกร้อง เพื่อการปฏิบัติตามหรือการใช้สิทธิเรียกร้อง เพื่อการยกขึ้นเป็นข้อต่อสู้ เพื่อการปฏิบัติตามกฎหมาย หรือเพื่อการอื่นที่ไม่ขัดต่อกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล คณะฯ มีหน้าที่เก็บรักษาข้อมูลส่วนบุคคลเท่าที่จาเป็นเพื่อการปฏิบัติตามบันทึกข้อตกลงนี้ คณะฯ อาจทาให้ข้อมูลส่วนบุคคลที่ถูกประมวลผลตามบันทึกข้อตกลงนี้เป็นข้อมูลซึ่งไม่สามารถระบุตัวผู้เป็นเจ้าของข้อมูลส่วนบุคคล และประมวลผลข้อมูลดังกล่าวต่อไปได้ ข้อ ๑๑ ขอบเขตของความรับผิด คณะฯ ไม่ต้องรับผิดในความเสียหายอันเกิดจากการปฏิบัติตามบันทึกข้อตกลง หรือตามคาสั่งของบริษัทฯ เพื่อให้บรรลุวัตถุประสงค์ใน การประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ ได้ส่งให้แก่คณะฯ ตามสัญญา กรณีคณะฯ ต้องรับผิดชดใช้ค่าเสียหายหรือชาระค่าปรับ อันเนื่องมาจากการปฏิบัติตามบันทึกข้อตกลง หรือตามคาสั่งของบริษัทฯ เพื่อให้บรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ ได้ส่งให้แก่คณะฯ ตามสัญญา คณะฯ มีสิทธิเรียกร้องให้บริษัทฯ ชดใช้ เงินดังกล่าวให้แก่คณะฯ
  • 30. ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๑๒ การเปลี่ยนแปลงแก้ไขบันทึกข้อตกลง กรณีจาเป็นต้องมีการเปลี่ยนแปลงแก้ไขบันทึกข้อตกลงเพื่อให้คู่สัญญาสามารถประมวลผลข้อมูลส่วนบุคคลตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลต่อไปได้ ให้คู่สัญญาฝ่ายที่ประสงค์จะแก้ไขเพิ่มเติมบันทึกข้อตกลงนี้ แจ้งให้ อีกฝ่ายทราบล่วงหน้าเป็นเวลาไม่น้อยกว่า ๓๐ วัน และเมื่อทุกฝ่ายให้ความยินยอมในการแก้ไขเพิ่มเติมแล้ว ให้จัดทา บันทึกข้อตกลงฉบับแก้ไขเพิ่มเติมเป็นหนังสือ และลงนามผูกพันโดยผู้มีอานาจลงนามผูกพันนิติบุคคล และให้ถือว่าการ แก้ไขเพิ่มเติมดังกล่าวเป็นส่วนหนึ่งของบันทึกข้อตกลงนี้ โดยให้มีผลใช้บังคับตั้งแต่วันที่ลงนามในบันทึกข้อตกลงฉบับ แก้ไขเพิ่มเติมนั้น บันทึกข้อตกลงนี้ทาขึ้นสองฉบับมีข้อความถูกต้องตรงกัน ทั้งสองฝ่ายได้อ่านและเข้าใจบันทึกข้อตกลงนี้โดยละเอียด ตลอดแล้ว เห็นว่าตรงตามเจตนารมณ์ที่ได้ให้ไว้ต่อกันทุกประการ จึงได้ลงลายมือชื่อไว้เป็นสาคัญต่อหน้าพยานและแต่ละ ฝ่ายต่างได้ยึดถือไว้ฝ่ายละฉบับ