Nawanan Theera-Ampornpunt, profile picture
Uploaded byNawanan Theera-Ampornpunt
890 views

PDPA Share & Learn: Data Processing Agreement (DPA) Example by Ramathibodi (September 20, 2021)

Presented at Mahidol University, Nakhon Pathom, Thailand on September 20, 2021

Law

Embed presentation

Downloaded 36 times
Share & Learn ความคืบหน้าจากส่วนงานเกี่ยวกับการ เตรียมความพร้อมด้านการคุ้มครองข้อมูลส่วนบุคคล: การนาเสนอตัวอย่างการจัดทา Data Processing Agreement และ Data Sharing Agreement นพ.นวนรรน ธีระอัมพรพันธุ์ รองคณบดีฝ่ายปฏิบัติการ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล 20 กันยายน 2564 www.SlideShare.net/Nawanan
PDPA Recap ▪ “ผู้ควบคุมข้อมูลส่วนบุคคล” (Data Controller) หมายความว่า บุคคลหรือ นิติบุคคลซึ่งมีอานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ▪ “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคลหรือ นิติบุคคลซึ่งดาเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคาสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่ง ดาเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล PDPA มาตรา 6
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน Hospital Employer (e.g. Factory) On-Site Clinic
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน รพ.รามาธิบดี Employer (e.g. Factory) On-Site Clinic (ให้บริการโดยคณะแพทยศาสตร์ รพ.รามาธิบดี) 1. ตรวจสุขภาพ/ รักษาพยาบาล 2A. ตรวจ lab แล้วส่งกลับให้ คลินิกตรวจรักษาต่อ 2B. ส่งต่อมาตรวจรักษาที่ รพ. การให้บริการตามข้อ 1. และ 2A. อยู่ภายใต้สัญญาให้บริการทางการ แพทย์ ระหว่าง Employer กับคณะแพทยศาสตร์ รพ.รามาธิบดี ส่วนกรณี 2B. ถือเป็นการให้บริการของ รพ.รามาธิบดี ที่แยกเป็นคนละ ส่วนกับการให้บริการที่ On-Site Clinic (เช่นเดียวกับกรณีผู้ป่วย Walk- in มาที่ รพ.รามาธิบดี)
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน ประเด็นที่ต้องพิจารณาตาม PDPA ▪ มหาวิทยาลัยมหิดล (คณะแพทยศาสตร์ รพ.รามาธิบดี) และ Employer อยู่ใน ฐานะใด ▪ การเก็บรวบรวมข้อมูลส่วนบุคคลในแต่ละขั้นตอน สอดคล้องกับ PDPA หรือไม่ ▪ หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน คณะแพทยศาสตร์ รพ.รามาธิบดี และ Employer อยู่ในฐานะใด รพ.รามาธิบดี Employer (e.g. Factory) On-Site Clinic (ให้บริการโดยคณะแพทยศาสตร์ รพ.รามาธิบดี) 1. ตรวจสุขภาพ/ รักษาพยาบาล 2A. ตรวจ lab แล้วส่งกลับให้ คลินิกตรวจรักษาต่อ 2B. ส่งต่อมาตรวจรักษาที่ รพ. การให้บริการตามข้อ 1. และ 2A. อยู่ภายใต้สัญญาให้บริการทางการ แพทย์ ระหว่าง Employer กับคณะแพทยศาสตร์ รพ.รามาธิบดี ส่วนกรณี 2B. ถือเป็นการให้บริการของ รพ.รามาธิบดี ที่แยกเป็นคนละ ส่วนกับการให้บริการที่ On-Site Clinic (เช่นเดียวกับกรณีผู้ป่วย Walk- in มาที่ รพ.รามาธิบดี) นายจ้าง = Data Controller ลูกจ้าง = Data Subject รามาธิบดี = Data Controller ผู้ป่วย = Data Subject 2A: รามาธิบดี = Data Processor 2B: รามาธิบดี = Data Controller รามาธิบดี = Data Processor Clinic เป็นของนายจ้าง นายจ้าง = Data Controller
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน การเก็บรวบรวมข้อมูลส่วนบุคคลในแต่ละขั้นตอน สอดคล้องกับ PDPA หรือไม่ รพ.รามาธิบดี Employer (e.g. Factory) On-Site Clinic (ให้บริการโดยคณะแพทยศาสตร์ รพ.รามาธิบดี) 1. ตรวจสุขภาพ/ รักษาพยาบาล 2A. ตรวจ lab แล้วส่งกลับให้ คลินิกตรวจรักษาต่อ 2B. ส่งต่อมาตรวจรักษาที่ รพ. การให้บริการตามข้อ 1. และ 2A. อยู่ภายใต้สัญญาให้บริการทางการ แพทย์ ระหว่าง Employer กับคณะแพทยศาสตร์ รพ.รามาธิบดี ส่วนกรณี 2B. ถือเป็นการให้บริการของ รพ.รามาธิบดี ที่แยกเป็นคนละ ส่วนกับการให้บริการที่ On-Site Clinic (เช่นเดียวกับกรณีผู้ป่วย Walk- in มาที่ รพ.รามาธิบดี) 2A เงื่อนไขเดียวกับ 1 นายจ้าง = Data Controller ลูกจ้าง = Data Subject รามาธิบดี = Data Processor รามาธิบดี = Data Controller ผู้ป่วย = Data Subject 2A: รามาธิบดี = Data Processor 2B: รามาธิบดี = Data Controller General Data: - Legal Obligation [PDPA ม.24 (6)] - Vital Interest [PDPA ม.24 (2)] Sensitive Data: - Legal Obligation (Labor Protection) [PDPA ม.26 (5) (ค) + พ.ร.บ. คุ้มครองแรงงาน] 2B เงื่อนไขเดียวกับผู้ป่วยอื่น ๆ ที่มารักษาที่รามาธิบดี General Data: - Contract [PDPA ม.24 (3)] - Vital Interest [PDPA ม.24 (2)] Sensitive Data: - Contract [PDPA ม.26 (5) (ก) ส่วนท้าย - Legal Obligation (Health Services) [PDPA ม.26 (5) (ก) ส่วนต้น (กรณีปฏิบัติตามกฎหมาย) Clinic เป็นของนายจ้าง นายจ้าง = Data Controller
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร หน้าที่ของ Data Controller
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร หน้าที่ของ Data Controller
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร หน้าที่ของ Data Processor
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร หน้าที่ของ Data Processor
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร • TDPG 1.0 • TDPG 2.0 • TDPG 3.0 • TDPG 3.1 for Investment Banking Activities https://www.law.chula.ac.th/ wp-content/uploads/2020/12/ TDPG3.0-C5-20201208.pdf
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร TGPG 3.0 (คณะนิติศาสตร์ จุฬาฯ) หน้า 154-171 Data Subject Data Controller Data Processor - Terms & Conditions (T&C) ( Service Contract) - Privacy Notice [PDPA ม.23] - Service Contract - Data Processing Agreement (DPA)
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร TGPG 3.0 (คณะนิติศาสตร์ จุฬาฯ) หน้า 154-171
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร TGPG 3.0 (คณะนิติศาสตร์ จุฬาฯ) หน้า 154-171
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร TGPG 3.0 (คณะนิติศาสตร์ จุฬาฯ) หน้า 154-171
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor บันทึกข้อตกลงการให้ประมวลผลข้อมูล (Data Processing Agreement) ทาที่ .......................................................... วันที่ ............. เดือน .................. พ.ศ. .............. บันทึกข้อตกลงนี้ทาขึ้นระหว่าง บริษัท xxx มีสานักงานตั้งอยู่ที่ xxxxxxxxxxxxxxxxxxxxxxxxxxxx โดย xxxxxxxxxxxxxxxxxxxxxxxxx ตาแหน่ง xxxxxxxxxxx เป็นผู้มีอานาจลงนามผูกพัน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “บริษัทฯ” กับ มหาวิทยาลัยมหิดล (คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี) เลขที่ ๒๗๐ ถนนพระราม ๖ แขวงทุ่งพญาไท เขต ราชเทวี กรุงเทพมหานคร ๑๐๔๐๐ โดย xxxx ตาแหน่ง คณบดีคณะแพทยศาสตร์โรงพยาบาลรามาธิบดี เป็นผู้มีอานาจ ลงนามผูกพัน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “คณะฯ” ตามที่ทั้งสองฝ่ายได้ทาสัญญาให้บริการทางการแพทย์ สถานพยาบาลสานักงานใหญ่ ฉบับลงวันที่ xxx และบริษัทฯ ได้ส่งข้อมูลส่วนบุคคลให้แก่คณะฯ ทั้งสองฝ่ายจึงตกลงทาบันทึกข้อตกลงฉบับนี้ โดยให้บันทึกฉบับนี้เป็นส่วนหนึ่งของ สัญญาดังกล่าว ดังมีข้อความต่อไปนี้
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๑ หากไม่ได้มีการกาหนดไว้เป็นอย่างอื่นในบันทึกข้อตกลงฉบับนี้ ให้ถ้อยคาในบันทึกข้อตกลงฉบับนี้มีความหมายดังต่อไปนี้ “การประมวลผลข้อมูล” หมายถึง การปฏิบัติการหรือส่วนหนึ่งของการปฏิบัติการซึ่งได้กระทาต่อข้อมูลส่วนบุคคลไม่ว่าโดยวิธีการอัตโนมัติหรือโดย วิธีการอื่นใด เช่น การเก็บรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การดัดแปลง การเปลี่ยนแปลง การกู้คืน การใช้ การเปิดเผย โดยการส่ง การจัดวางให้ถูกตาแหน่งหรือการรวบรวม การจากัด การลบ และการทาลาย “การลบ” หมายถึง การทาให้ข้อมูลส่วนบุคคลนั้นถูกลบออกจากระบบและไม่อาจกู้คืนได้ โดยเจ้าของข้อมูลส่วนบุคคล บริษัทฯ หรือคณะฯ ทั้งนี้ ไม่ว่าเวลาใด ๆ “การละเมิดข้อมูลส่วนบุคคล” หมายความรวมถึง การเข้าถึง การเปิดเผย หรือการแก้ไขเปลี่ยนแปลงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือโดย อุบัติเหตุ หรือการโอนข้อมูลส่วนบุคคลโดยมิชอบหรือโดยปราศจากอานาจ หรือการทาให้เข้าถึงข้อมูลส่วนบุคคลไม่ได้ หรือการทาให้ข้อมูลส่วนบุคคลถูก ทาลาย หรือสูญหายไปโดยไม่ได้รับอนุญาตหรือโดยอุบัติเหตุ “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่เกี่ยวกับบุคคลซึ่งทาให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่ กรรมโดยเฉพาะ “เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล และให้หมายความรวมถึง ผู้ใช้อานาจปกครองที่มีอานาจ กระทาการแทนผู้เยาว์ ผู้อนุบาลที่มีอานาจกระทาการแทนคนไร้ความสามารถ หรือผู้พิทักษ์ที่มีอานาจกระทาการแทนคนเสมือนไร้ความสามารถ “พนักงาน” หมายถึง “พนักงานของบริษัท xxx และบริษัทในเครือ” “บริษัทในเครือ xxx” หมายถึง บริษัทตามรายชื่อในเอกสารแนบท้ายสัญญา” “ครอบครัวพนักงาน” หมายถึง คู่สมรสและบุตรที่ชอบด้วยกฎหมายของพนักงานของบริษัท xxx และบริษัทในเครือ xxx ทั้งนี้ ตามรายละเอียดใน เอกสารแนบท้ายบันทึกข้อตกลง “บันทึกข้อตกลง” หมายถึง บันทึกข้อตกลงให้ประมวลผลข้อมูลและเอกสารแนบท้ายบันทึกข้อตกลงฉบับนี้ “สัญญา” หมายถึง สัญญาให้บริการทางการแพทย์ สถานพยาบาลสานักงานใหญ่ ฉบับลงวันที่ xxx
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๒ ขอบเขตการบังคับใช้ บันทึกข้อตกลงฉบับนี้ มีวัตถุประสงค์เพื่อใช้บังคับแก่การประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ ได้ส่งให้แก่คณะฯ ตามสัญญา และให้มีผลบังคับใช้ตั้งแต่วันที่..............................ถึงวันที่.....................................ทั้งนี้ บันทึกข้อตกลงฉบับนี้ ให้ถือเป็นส่วนหนึ่งของสัญญาให้บริการทางการแพทย์ ข้อ ๓ ความสัมพันธ์ระหว่างคู่สัญญา บริษัทฯ จะอยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตลอดระยะเวลาของสัญญา โดยบริษัทฯ ในฐานะ ผู้ควบคุมข้อมูล ส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี คณะฯ จะอยู่ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลตลอดเวลาของสัญญา โดยคณะฯ ในฐานะ ผู้ประมวลผลข้อมูล ส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๔ การประมวลผลข้อมูลส่วนบุคคล ๔.๑ คณะฯ จะประมวลผลข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ของสัญญาและกระบวนการอื่น ๆ ที่เกี่ยวข้อง รวมถึงกรณีที่ บุคลากรของบริษัทฯ ที่มีอานาจหน้าที่เกี่ยวกับการปฏิบัติตามสัญญาได้มีคาสั่งที่ชอบด้วยกฎหมายให้คณะฯ ดาเนินการ ทั้งนี้ คณะฯ จะไม่ ดาเนินการประมวลผลข้อมูลส่วนบุคคลที่นอกเหนือไปจากวัตถุประสงค์ของสัญญา โดยถือว่าไม่เป็นการกระทาผิดบันทึกข้อตกลงนี้ ๔.๒ บริษัทฯ ตกลงและยอมรับว่า ก่อนการเปิดเผยข้อมูลส่วนบุคคลให้แก่คณะฯ บริษัทฯ ได้รับความยินยอมที่จาเป็นทั้งหมดจาก เจ้าของข้อมูลส่วนบุคคลหรือใช้ฐานทางกฎหมายอื่น เพื่อให้คณะฯ สามารถประมวลผลข้อมูลส่วนบุคคลที่ได้รับจากบริษัทฯ อย่างถูกต้องตาม กฎหมาย และเป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ๔.๓ บริษัทฯ ยอมรับว่าการที่พนักงานหรือครอบครัวพนักงานใช้บริการตามสัญญา ถือเป็นการสั่งให้คณะฯ ประมวลผลข้อมูล ส่วนบุคคล โดยคณะฯ จะประมวลผลข้อมูลเฉพาะข้อมูลส่วนบุคคลดังต่อไปนี้ (๑) ชื่อ นามสกุลของพนักงาน หรือครอบครัวพนักงาน (๒) ข้อมูลที่เกี่ยวกับครอบครัว เช่น อายุ วันเกิด สถานภาพ จานวนบุตร (๓) ข้อมูลสุขภาพ (๔) ข้อมูลอื่น ๆ ตามที่คู่สัญญาตกลงกัน ๔.๔ คณะฯ จะใช้ความพยายามตามสมควรให้การเข้าถึงข้อมูลส่วนบุคคลจากัดเฉพาะบุคลากรของคณะฯ หรือบุคคลที่ได้รับ มอบหมายซึ่งมีความจาเป็นในการเข้าถึงข้อมูลส่วนบุคคลเพื่อดาเนินการให้เป็นไปตามสัญญา และดาเนินการให้บุคคลดังกล่าวรักษาความลับ ของข้อมูลส่วนบุคคลที่ถูกประมวลผล
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๕ ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง เพื่อประโยชน์ในการปฏิบัติตามสัญญา เมื่อมีความจาเป็น คณะฯ อาจมอบหมายงานเกี่ยวกับการประมวลผลข้อมูล ส่วนบุคคล ทั้งหมดหรือแต่บางส่วนให้แก่บุคคลภายนอก (ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง) ดาเนินการแทนได้ ทั้งนี้ คณะฯ ยังต้องเป็นผู้รับผิดชอบในงานที่ได้มอบหมายไป รวมถึงต้องดาเนินการให้ผู้ประมวลผลข้อมูลส่วนบุคคลช่วงที่ ได้รับมอบหมายปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลช่วงมีหน้าที่ในการคุ้มครองและรักษาความปลอดภัยของข้อมูลส่วนบุคคลในระดับที่ไม่ ต่ากว่าหน้าที่ของคณะฯ ตามบันทึกข้อตกลงฉบับนี้
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๖ การให้ความร่วมมือตามคาร้องของเจ้าของข้อมูลส่วนบุคคลหรือตามคาสั่งของเจ้าหน้าที่รัฐ คณะฯ จะสนับสนุนให้บริษัทฯ สามารถเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อให้บริษัทฯ สามารถดาเนินการตามคาร้องขอของเจ้าของข้อมูลส่วนบุคคลซึ่งมีสิทธิที่จะเรียกดู แก้ไข ลบ หรือทาลายข้อมูลส่วน บุคคลได้ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและบันทึกข้อตกลงฉบับนี้ ภายในเวลาอันสมควร ในกรณีที่คณะฯ ได้รับคาร้องขอจากเจ้าของข้อมูลส่วนบุคคลซึ่งได้ระบุว่าบริษัทฯ เป็นผู้ควบคุมข้อมูลส่วนบุคคล คณะฯ ต้องส่งคาร้องขอนั้นต่อไปยังบริษัทฯ โดยจะไม่ดาเนินการตามคาร้องดังกล่าว เว้นแต่จะมีการตกลงไว้เป็นอย่างอื่น คู่สัญญาจะสนับสนุนให้ความช่วยเหลือเพื่อดาเนินการตามที่กฎหมายกาหนด หรือตามคาสั่งที่ชอบด้วยกฎหมายจาก เจ้าหน้าที่ของรัฐเกี่ยวกับหน้าที่ของคู่สัญญา
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๗ มาตรการคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคล คณะฯ มีหน้าที่ดาเนินการจัดให้มีมาตรการรักษาความปลอดภัยสาหรับการประมวลผลข้อมูลส่วนบุคคลที่มีความ เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดย ปราศจากอานาจหรือโดยมิชอบ โดยมาตรการข้างต้นจะต้องคานึงถึงความก้าวหน้าทางเทคโนโลยี ค่าใช้จ่ายในการ ดาเนินการ ลักษณะ ขอบเขต และวัตถุประสงค์ของการประมวลผลข้อมูล ข้อ ๘ การแจ้งเตือนหากเกิดการละเมิดข้อมูลส่วนบุคคล คณะฯ มีหน้าที่แจ้งเป็นลายลักษณ์อักษรแก่บริษัทฯ เมื่อคณะฯ ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น โดยไม่ชักช้า เมื่อคณะฯ ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลนั้น ข้อ ๙ การจัดทาบันทึกสาหรับการประมวลผลข้อมูลส่วนบุคคล คณะฯ จะจัดทาบันทึกเป็นลายลักษณ์อักษรสาหรับการประมวลผลข้อมูลส่วนบุคคล โดยจะมีการจัดทาและรักษา บันทึกดังกล่าวตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๑๐ การลบและการเก็บรักษาข้อมูลส่วนบุคคล คณะฯ มีหน้าที่ลบหรือทาลายข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ภายในเวลาอันสมควร นับแต่วันที่สัญญาสิ้นสุดลง หรือเมื่อไม่มี ความจาเป็นจะต้องเก็บรักษาข้อมูลส่วนบุคคลเพื่อประมวลผลข้อมูลส่วนบุคคลอีกต่อไป เว้นแต่ได้รับอนุญาตจากบริษัทฯ เป็นลายลักษณ์ อักษร คณะฯ อาจเก็บข้อมูลส่วนบุคคลเพื่อการก่อตั้งสิทธิเรียกร้อง เพื่อการปฏิบัติตามหรือการใช้สิทธิเรียกร้อง เพื่อการยกขึ้นเป็นข้อต่อสู้ เพื่อการปฏิบัติตามกฎหมาย หรือเพื่อการอื่นที่ไม่ขัดต่อกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล คณะฯ มีหน้าที่เก็บรักษาข้อมูลส่วนบุคคลเท่าที่จาเป็นเพื่อการปฏิบัติตามบันทึกข้อตกลงนี้ คณะฯ อาจทาให้ข้อมูลส่วนบุคคลที่ถูกประมวลผลตามบันทึกข้อตกลงนี้เป็นข้อมูลซึ่งไม่สามารถระบุตัวผู้เป็นเจ้าของข้อมูลส่วนบุคคล และประมวลผลข้อมูลดังกล่าวต่อไปได้ ข้อ ๑๑ ขอบเขตของความรับผิด คณะฯ ไม่ต้องรับผิดในความเสียหายอันเกิดจากการปฏิบัติตามบันทึกข้อตกลง หรือตามคาสั่งของบริษัทฯ เพื่อให้บรรลุวัตถุประสงค์ใน การประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ ได้ส่งให้แก่คณะฯ ตามสัญญา กรณีคณะฯ ต้องรับผิดชดใช้ค่าเสียหายหรือชาระค่าปรับ อันเนื่องมาจากการปฏิบัติตามบันทึกข้อตกลง หรือตามคาสั่งของบริษัทฯ เพื่อให้บรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ ได้ส่งให้แก่คณะฯ ตามสัญญา คณะฯ มีสิทธิเรียกร้องให้บริษัทฯ ชดใช้ เงินดังกล่าวให้แก่คณะฯ
ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง) Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๑๒ การเปลี่ยนแปลงแก้ไขบันทึกข้อตกลง กรณีจาเป็นต้องมีการเปลี่ยนแปลงแก้ไขบันทึกข้อตกลงเพื่อให้คู่สัญญาสามารถประมวลผลข้อมูลส่วนบุคคลตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลต่อไปได้ ให้คู่สัญญาฝ่ายที่ประสงค์จะแก้ไขเพิ่มเติมบันทึกข้อตกลงนี้ แจ้งให้ อีกฝ่ายทราบล่วงหน้าเป็นเวลาไม่น้อยกว่า ๓๐ วัน และเมื่อทุกฝ่ายให้ความยินยอมในการแก้ไขเพิ่มเติมแล้ว ให้จัดทา บันทึกข้อตกลงฉบับแก้ไขเพิ่มเติมเป็นหนังสือ และลงนามผูกพันโดยผู้มีอานาจลงนามผูกพันนิติบุคคล และให้ถือว่าการ แก้ไขเพิ่มเติมดังกล่าวเป็นส่วนหนึ่งของบันทึกข้อตกลงนี้ โดยให้มีผลใช้บังคับตั้งแต่วันที่ลงนามในบันทึกข้อตกลงฉบับ แก้ไขเพิ่มเติมนั้น บันทึกข้อตกลงนี้ทาขึ้นสองฉบับมีข้อความถูกต้องตรงกัน ทั้งสองฝ่ายได้อ่านและเข้าใจบันทึกข้อตกลงนี้โดยละเอียด ตลอดแล้ว เห็นว่าตรงตามเจตนารมณ์ที่ได้ให้ไว้ต่อกันทุกประการ จึงได้ลงลายมือชื่อไว้เป็นสาคัญต่อหน้าพยานและแต่ละ ฝ่ายต่างได้ยึดถือไว้ฝ่ายละฉบับ

More Related Content

PPTX
Information Security Governance and Strategy - 3
byDam Frank
 
PPTX
Privacy & Data Protection
bysp_krishna
 
PPTX
Risk Mngt..pptxdsdsdsdddddddddddddddddddddd
bypouyan533
 
PDF
What about GDPR?
byMartin Hawksey
 
PPTX
Presentation on GDPR
byDipanjanDey12
 
PPTX
PDPA Compliance Preparation
byLawPlus Ltd.
 
PDF
Privacy-ready Data Protection Program Implementation
byEryk Budi Pratama
 
PDF
The Importance of Physical Security Safeguarding Your Assets.pdf
byMax Secure Ltd
 
Information Security Governance and Strategy - 3
byDam Frank
 
Privacy & Data Protection
bysp_krishna
 
Risk Mngt..pptxdsdsdsdddddddddddddddddddddd
bypouyan533
 
What about GDPR?
byMartin Hawksey
 
Presentation on GDPR
byDipanjanDey12
 
PDPA Compliance Preparation
byLawPlus Ltd.
 
Privacy-ready Data Protection Program Implementation
byEryk Budi Pratama
 
The Importance of Physical Security Safeguarding Your Assets.pdf
byMax Secure Ltd
 

What's hot

PPT
Data protection
byLewis Silkin
 
PPTX
Unit 6 Privacy and Data Protection 8 hr
byTushar Rajput
 
PDF
Australia Privacy Act of 1988
bytermsfeed
 
PDF
บทที่ 2 การจัดการข้อมูล
byWanphen Wirojcharoenwong
 
PPTX
Cybersecurity - Overview
byThanuja Seneviratne
 
PDF
Community media สื่อชุมชน
bySmith Boonchutima
 
PDF
Data Protection Indonesia: Basic Regulation and Technical Aspects_Eryk
byEryk Budi Pratama
 
PDF
Introduction to US Privacy and Data Security Regulations and Requirements (Se...
byFinancial Poise
 
PDF
Personal Data Protection in Indonesia
byEryk Budi Pratama
 
PDF
Practical Data Science 
Use-cases in Retail & eCommerce
byBig Data Engineering, Faculty of Engineering, Dhurakij Pundit University
 
PPTX
GDPR Introduction and overview
byJane Lambert
 
DOC
แบบฝึกหัด ระบบคอมพิวเตอร์และเทคโนโลยีสารสนเทศ
byฐนกร คำเรือง
 
PDF
Common Practice in Data Privacy Program Management
byEryk Budi Pratama
 
PDF
Raising information security awareness
byTerranovatraining
 
PPTX
Introduction to Data Management
byAmanda Whitmire
 
PDF
บทที่1 พื้นฐานโปรแกรมภาษาซี
byKomkai Pawuttanon
 
PDF
CISSP Prep: Ch 3. Asset Security
bySam Bowne
 
PPTX
General Data Protection Regulations (GDPR): Do you understand it and are you ...
byCvent
 
PPTX
OVERVIEW OF DATA PROTECTION AND PRIVACY.pptx
byUsmanMAmeer
 
PDF
Data classification-policy
byCoi Xay
 
Data protection
byLewis Silkin
 
Unit 6 Privacy and Data Protection 8 hr
byTushar Rajput
 
Australia Privacy Act of 1988
bytermsfeed
 
บทที่ 2 การจัดการข้อมูล
byWanphen Wirojcharoenwong
 
Cybersecurity - Overview
byThanuja Seneviratne
 
Community media สื่อชุมชน
bySmith Boonchutima
 
Data Protection Indonesia: Basic Regulation and Technical Aspects_Eryk
byEryk Budi Pratama
 
Introduction to US Privacy and Data Security Regulations and Requirements (Se...
byFinancial Poise
 
Personal Data Protection in Indonesia
byEryk Budi Pratama
 
Practical Data Science 
Use-cases in Retail & eCommerce
byBig Data Engineering, Faculty of Engineering, Dhurakij Pundit University
 
GDPR Introduction and overview
byJane Lambert
 
แบบฝึกหัด ระบบคอมพิวเตอร์และเทคโนโลยีสารสนเทศ
byฐนกร คำเรือง
 
Common Practice in Data Privacy Program Management
byEryk Budi Pratama
 
Raising information security awareness
byTerranovatraining
 
Introduction to Data Management
byAmanda Whitmire
 
บทที่1 พื้นฐานโปรแกรมภาษาซี
byKomkai Pawuttanon
 
CISSP Prep: Ch 3. Asset Security
bySam Bowne
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
byCvent
 
OVERVIEW OF DATA PROTECTION AND PRIVACY.pptx
byUsmanMAmeer
 
Data classification-policy
byCoi Xay
 

Similar to PDPA Share & Learn: Data Processing Agreement (DPA) Example by Ramathibodi (September 20, 2021)

PDF
PDPA Share & Learn: Data Sharing Agreement (DSA) Example by Ramathibodi (Octo...
byNawanan Theera-Ampornpunt
 
PDF
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)
byNawanan Theera-Ampornpunt
 
PDF
Preparing Employees and the Organization for PDPA and Other ICT Laws (Decembe...
byNawanan Theera-Ampornpunt
 
PDF
Personal Data Protection Act (PDPA) and Enterprise Risk Management (February ...
byNawanan Theera-Ampornpunt
 
PDF
Personal Data Protection Act (PDPA) and Enterprise Risk Management (February ...
byNawanan Theera-Ampornpunt
 
PDF
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
byNawanan Theera-Ampornpunt
 
PDF
Concepts & Key Principles of PDPA Application in the Organization and Experie...
byNawanan Theera-Ampornpunt
 
PDF
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)
byNawanan Theera-Ampornpunt
 
PDF
Introduction to Personal Data Protection Act , 2019, by E-Business Plus Co., Ltd
byssuser54ab65
 
PDF
กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับบริบทการคุ้มครองข้อมูลส่วนบุคคลในกฎหมายอื่น
byETDAofficialRegist
 
PDF
Do's and Don'ts on PDPA for Doctors (May 31, 2022)
byNawanan Theera-Ampornpunt
 
PDF
Laws on Personal Health Information (November 23, 2018)
byNawanan Theera-Ampornpunt
 
PDF
Updates on Privacy & Security Laws (November 26, 2021)
byNawanan Theera-Ampornpunt
 
PDF
PDPA Basics (March 13, 2021)
byNawanan Theera-Ampornpunt
 
PDF
PDPA in the Midst of Pandemic (August 26, 2021)
byNawanan Theera-Ampornpunt
 
PDF
Patients, Users, and the Organization are Secure from Using the Hospital Info...
byNawanan Theera-Ampornpunt
 
PDF
Data Protection Act and Healthcare - How Hospitals Should Prepare (June 20, 2...
byNawanan Theera-Ampornpunt
 
PDF
Health Data Privacy Law in Action: Balancing Privacy and Utilization in the R...
byNawanan Theera-Ampornpunt
 
PDF
Personal Data Protection Act and Human Subjects Research and Patients' Health...
byNawanan Theera-Ampornpunt
 
PDF
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
byNawanan Theera-Ampornpunt
 
PDPA Share & Learn: Data Sharing Agreement (DSA) Example by Ramathibodi (Octo...
byNawanan Theera-Ampornpunt
 
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)
byNawanan Theera-Ampornpunt
 
Preparing Employees and the Organization for PDPA and Other ICT Laws (Decembe...
byNawanan Theera-Ampornpunt
 
Personal Data Protection Act (PDPA) and Enterprise Risk Management (February ...
byNawanan Theera-Ampornpunt
 
Personal Data Protection Act (PDPA) and Enterprise Risk Management (February ...
byNawanan Theera-Ampornpunt
 
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
byNawanan Theera-Ampornpunt
 
Concepts & Key Principles of PDPA Application in the Organization and Experie...
byNawanan Theera-Ampornpunt
 
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)
byNawanan Theera-Ampornpunt
 
Introduction to Personal Data Protection Act , 2019, by E-Business Plus Co., Ltd
byssuser54ab65
 
กฎหมายคุ้มครองข้อมูลส่วนบุคคลกับบริบทการคุ้มครองข้อมูลส่วนบุคคลในกฎหมายอื่น
byETDAofficialRegist
 
Do's and Don'ts on PDPA for Doctors (May 31, 2022)
byNawanan Theera-Ampornpunt
 
Laws on Personal Health Information (November 23, 2018)
byNawanan Theera-Ampornpunt
 
Updates on Privacy & Security Laws (November 26, 2021)
byNawanan Theera-Ampornpunt
 
PDPA Basics (March 13, 2021)
byNawanan Theera-Ampornpunt
 
PDPA in the Midst of Pandemic (August 26, 2021)
byNawanan Theera-Ampornpunt
 
Patients, Users, and the Organization are Secure from Using the Hospital Info...
byNawanan Theera-Ampornpunt
 
Data Protection Act and Healthcare - How Hospitals Should Prepare (June 20, 2...
byNawanan Theera-Ampornpunt
 
Health Data Privacy Law in Action: Balancing Privacy and Utilization in the R...
byNawanan Theera-Ampornpunt
 
Personal Data Protection Act and Human Subjects Research and Patients' Health...
byNawanan Theera-Ampornpunt
 
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
byNawanan Theera-Ampornpunt
 

More from Nawanan Theera-Ampornpunt

PDF
Health Informatics for Health Service Systems (March 11, 2024)
byNawanan Theera-Ampornpunt
 
PDF
Case Study PDPA Workshop (September 15, 2023)
byNawanan Theera-Ampornpunt
 
PDF
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
byNawanan Theera-Ampornpunt
 
PDF
Relationship Between Thailand's Official Information Act and Personal Data Pr...
byNawanan Theera-Ampornpunt
 
PDF
Social Media - PDPA: Is There A Way Out? (October 19, 2022)
byNawanan Theera-Ampornpunt
 
PDF
Telemedicine: A Health Informatician's Point of View
byNawanan Theera-Ampornpunt
 
PDF
Meeting Management (March 2, 2022)
byNawanan Theera-Ampornpunt
 
PDF
การบริหารความเสี่ยงคณะฯ (February 9, 2022)
byNawanan Theera-Ampornpunt
 
PDF
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
byNawanan Theera-Ampornpunt
 
PDF
Digital Health Transformation for Health Executives (January 18, 2022)
byNawanan Theera-Ampornpunt
 
PDF
Hospital Informatics (November 26, 2021)
byNawanan Theera-Ampornpunt
 
PDF
Health Informatics for Clinical Research (November 25, 2021)
byNawanan Theera-Ampornpunt
 
PDF
Research Ethics and Ethics for Health Informaticians (November 15, 2021)
byNawanan Theera-Ampornpunt
 
PDF
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
byNawanan Theera-Ampornpunt
 
PDF
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
byNawanan Theera-Ampornpunt
 
PDF
Health Information Privacy and Security (November 8, 2021)
byNawanan Theera-Ampornpunt
 
PDF
Information Technology Management in Healthcare Organizations: Part 2 (Octobe...
byNawanan Theera-Ampornpunt
 
PDF
Information Technology Management in Healthcare Organizations: Part 1 (Octobe...
byNawanan Theera-Ampornpunt
 
PDF
Clinical Information Systems and Electronic Health Records (October 18, 2021)
byNawanan Theera-Ampornpunt
 
PDF
Cybersecurity (November 12, 2021)
byNawanan Theera-Ampornpunt
 
Health Informatics for Health Service Systems (March 11, 2024)
byNawanan Theera-Ampornpunt
 
Case Study PDPA Workshop (September 15, 2023)
byNawanan Theera-Ampornpunt
 
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
byNawanan Theera-Ampornpunt
 
Relationship Between Thailand's Official Information Act and Personal Data Pr...
byNawanan Theera-Ampornpunt
 
Social Media - PDPA: Is There A Way Out? (October 19, 2022)
byNawanan Theera-Ampornpunt
 
Telemedicine: A Health Informatician's Point of View
byNawanan Theera-Ampornpunt
 
Meeting Management (March 2, 2022)
byNawanan Theera-Ampornpunt
 
การบริหารความเสี่ยงคณะฯ (February 9, 2022)
byNawanan Theera-Ampornpunt
 
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
byNawanan Theera-Ampornpunt
 
Digital Health Transformation for Health Executives (January 18, 2022)
byNawanan Theera-Ampornpunt
 
Hospital Informatics (November 26, 2021)
byNawanan Theera-Ampornpunt
 
Health Informatics for Clinical Research (November 25, 2021)
byNawanan Theera-Ampornpunt
 
Research Ethics and Ethics for Health Informaticians (November 15, 2021)
byNawanan Theera-Ampornpunt
 
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
byNawanan Theera-Ampornpunt
 
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
byNawanan Theera-Ampornpunt
 
Health Information Privacy and Security (November 8, 2021)
byNawanan Theera-Ampornpunt
 
Information Technology Management in Healthcare Organizations: Part 2 (Octobe...
byNawanan Theera-Ampornpunt
 
Information Technology Management in Healthcare Organizations: Part 1 (Octobe...
byNawanan Theera-Ampornpunt
 
Clinical Information Systems and Electronic Health Records (October 18, 2021)
byNawanan Theera-Ampornpunt
 
Cybersecurity (November 12, 2021)
byNawanan Theera-Ampornpunt
 

PDPA Share & Learn: Data Processing Agreement (DPA) Example by Ramathibodi (September 20, 2021)

  • 1.
    Share & Learnความคืบหน้าจากส่วนงานเกี่ยวกับการ เตรียมความพร้อมด้านการคุ้มครองข้อมูลส่วนบุคคล: การนาเสนอตัวอย่างการจัดทา Data Processing Agreement และ Data Sharing Agreement นพ.นวนรรน ธีระอัมพรพันธุ์ รองคณบดีฝ่ายปฏิบัติการ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล 20 กันยายน 2564 www.SlideShare.net/Nawanan
  • 2.
    PDPA Recap ▪ “ผู้ควบคุมข้อมูลส่วนบุคคล”(Data Controller) หมายความว่า บุคคลหรือ นิติบุคคลซึ่งมีอานาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผย ข้อมูลส่วนบุคคล ▪ “ผู้ประมวลผลข้อมูลส่วนบุคคล” (Data Processor) หมายความว่า บุคคลหรือ นิติบุคคลซึ่งดาเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ตามคาสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่ง ดาเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล PDPA มาตรา 6
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
    ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน รพ.รามาธิบดี Employer(e.g. Factory) On-Site Clinic (ให้บริการโดยคณะแพทยศาสตร์ รพ.รามาธิบดี) 1. ตรวจสุขภาพ/ รักษาพยาบาล 2A. ตรวจ lab แล้วส่งกลับให้ คลินิกตรวจรักษาต่อ 2B. ส่งต่อมาตรวจรักษาที่ รพ. การให้บริการตามข้อ 1. และ 2A. อยู่ภายใต้สัญญาให้บริการทางการ แพทย์ ระหว่าง Employer กับคณะแพทยศาสตร์ รพ.รามาธิบดี ส่วนกรณี 2B. ถือเป็นการให้บริการของ รพ.รามาธิบดี ที่แยกเป็นคนละ ส่วนกับการให้บริการที่ On-Site Clinic (เช่นเดียวกับกรณีผู้ป่วย Walk- in มาที่ รพ.รามาธิบดี)
  • 10.
    ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน ประเด็นที่ต้องพิจารณาตามPDPA ▪ มหาวิทยาลัยมหิดล (คณะแพทยศาสตร์ รพ.รามาธิบดี) และ Employer อยู่ใน ฐานะใด ▪ การเก็บรวบรวมข้อมูลส่วนบุคคลในแต่ละขั้นตอน สอดคล้องกับ PDPA หรือไม่ ▪ หน้าที่ความรับผิดชอบของแต่ละฝ่ายตาม PDPA เป็นอย่างไร
  • 11.
    ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน คณะแพทยศาสตร์รพ.รามาธิบดี และ Employer อยู่ในฐานะใด รพ.รามาธิบดี Employer (e.g. Factory) On-Site Clinic (ให้บริการโดยคณะแพทยศาสตร์ รพ.รามาธิบดี) 1. ตรวจสุขภาพ/ รักษาพยาบาล 2A. ตรวจ lab แล้วส่งกลับให้ คลินิกตรวจรักษาต่อ 2B. ส่งต่อมาตรวจรักษาที่ รพ. การให้บริการตามข้อ 1. และ 2A. อยู่ภายใต้สัญญาให้บริการทางการ แพทย์ ระหว่าง Employer กับคณะแพทยศาสตร์ รพ.รามาธิบดี ส่วนกรณี 2B. ถือเป็นการให้บริการของ รพ.รามาธิบดี ที่แยกเป็นคนละ ส่วนกับการให้บริการที่ On-Site Clinic (เช่นเดียวกับกรณีผู้ป่วย Walk- in มาที่ รพ.รามาธิบดี) นายจ้าง = Data Controller ลูกจ้าง = Data Subject รามาธิบดี = Data Controller ผู้ป่วย = Data Subject 2A: รามาธิบดี = Data Processor 2B: รามาธิบดี = Data Controller รามาธิบดี = Data Processor Clinic เป็นของนายจ้าง นายจ้าง = Data Controller
  • 12.
    ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน การเก็บรวบรวมข้อมูลส่วนบุคคลในแต่ละขั้นตอนสอดคล้องกับ PDPA หรือไม่ รพ.รามาธิบดี Employer (e.g. Factory) On-Site Clinic (ให้บริการโดยคณะแพทยศาสตร์ รพ.รามาธิบดี) 1. ตรวจสุขภาพ/ รักษาพยาบาล 2A. ตรวจ lab แล้วส่งกลับให้ คลินิกตรวจรักษาต่อ 2B. ส่งต่อมาตรวจรักษาที่ รพ. การให้บริการตามข้อ 1. และ 2A. อยู่ภายใต้สัญญาให้บริการทางการ แพทย์ ระหว่าง Employer กับคณะแพทยศาสตร์ รพ.รามาธิบดี ส่วนกรณี 2B. ถือเป็นการให้บริการของ รพ.รามาธิบดี ที่แยกเป็นคนละ ส่วนกับการให้บริการที่ On-Site Clinic (เช่นเดียวกับกรณีผู้ป่วย Walk- in มาที่ รพ.รามาธิบดี) 2A เงื่อนไขเดียวกับ 1 นายจ้าง = Data Controller ลูกจ้าง = Data Subject รามาธิบดี = Data Processor รามาธิบดี = Data Controller ผู้ป่วย = Data Subject 2A: รามาธิบดี = Data Processor 2B: รามาธิบดี = Data Controller General Data: - Legal Obligation [PDPA ม.24 (6)] - Vital Interest [PDPA ม.24 (2)] Sensitive Data: - Legal Obligation (Labor Protection) [PDPA ม.26 (5) (ค) + พ.ร.บ. คุ้มครองแรงงาน] 2B เงื่อนไขเดียวกับผู้ป่วยอื่น ๆ ที่มารักษาที่รามาธิบดี General Data: - Contract [PDPA ม.24 (3)] - Vital Interest [PDPA ม.24 (2)] Sensitive Data: - Contract [PDPA ม.26 (5) (ก) ส่วนท้าย - Legal Obligation (Health Services) [PDPA ม.26 (5) (ก) ส่วนต้น (กรณีปฏิบัติตามกฎหมาย) Clinic เป็นของนายจ้าง นายจ้าง = Data Controller
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
    ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตามPDPA เป็นอย่างไร • TDPG 1.0 • TDPG 2.0 • TDPG 3.0 • TDPG 3.1 for Investment Banking Activities https://www.law.chula.ac.th/ wp-content/uploads/2020/12/ TDPG3.0-C5-20201208.pdf
  • 18.
    ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน หน้าที่ความรับผิดชอบของแต่ละฝ่ายตามPDPA เป็นอย่างไร TGPG 3.0 (คณะนิติศาสตร์ จุฬาฯ) หน้า 154-171 Data Subject Data Controller Data Processor - Terms & Conditions (T&C) ( Service Contract) - Privacy Notice [PDPA ม.23] - Service Contract - Data Processing Agreement (DPA)
  • 19.
  • 20.
  • 21.
  • 22.
    ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง)Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor บันทึกข้อตกลงการให้ประมวลผลข้อมูล (Data Processing Agreement) ทาที่ .......................................................... วันที่ ............. เดือน .................. พ.ศ. .............. บันทึกข้อตกลงนี้ทาขึ้นระหว่าง บริษัท xxx มีสานักงานตั้งอยู่ที่ xxxxxxxxxxxxxxxxxxxxxxxxxxxx โดย xxxxxxxxxxxxxxxxxxxxxxxxx ตาแหน่ง xxxxxxxxxxx เป็นผู้มีอานาจลงนามผูกพัน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “บริษัทฯ” กับ มหาวิทยาลัยมหิดล (คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี) เลขที่ ๒๗๐ ถนนพระราม ๖ แขวงทุ่งพญาไท เขต ราชเทวี กรุงเทพมหานคร ๑๐๔๐๐ โดย xxxx ตาแหน่ง คณบดีคณะแพทยศาสตร์โรงพยาบาลรามาธิบดี เป็นผู้มีอานาจ ลงนามผูกพัน ซึ่งต่อไปในบันทึกข้อตกลงนี้เรียกว่า “คณะฯ” ตามที่ทั้งสองฝ่ายได้ทาสัญญาให้บริการทางการแพทย์ สถานพยาบาลสานักงานใหญ่ ฉบับลงวันที่ xxx และบริษัทฯ ได้ส่งข้อมูลส่วนบุคคลให้แก่คณะฯ ทั้งสองฝ่ายจึงตกลงทาบันทึกข้อตกลงฉบับนี้ โดยให้บันทึกฉบับนี้เป็นส่วนหนึ่งของ สัญญาดังกล่าว ดังมีข้อความต่อไปนี้
  • 23.
    ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง)Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๑ หากไม่ได้มีการกาหนดไว้เป็นอย่างอื่นในบันทึกข้อตกลงฉบับนี้ ให้ถ้อยคาในบันทึกข้อตกลงฉบับนี้มีความหมายดังต่อไปนี้ “การประมวลผลข้อมูล” หมายถึง การปฏิบัติการหรือส่วนหนึ่งของการปฏิบัติการซึ่งได้กระทาต่อข้อมูลส่วนบุคคลไม่ว่าโดยวิธีการอัตโนมัติหรือโดย วิธีการอื่นใด เช่น การเก็บรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การดัดแปลง การเปลี่ยนแปลง การกู้คืน การใช้ การเปิดเผย โดยการส่ง การจัดวางให้ถูกตาแหน่งหรือการรวบรวม การจากัด การลบ และการทาลาย “การลบ” หมายถึง การทาให้ข้อมูลส่วนบุคคลนั้นถูกลบออกจากระบบและไม่อาจกู้คืนได้ โดยเจ้าของข้อมูลส่วนบุคคล บริษัทฯ หรือคณะฯ ทั้งนี้ ไม่ว่าเวลาใด ๆ “การละเมิดข้อมูลส่วนบุคคล” หมายความรวมถึง การเข้าถึง การเปิดเผย หรือการแก้ไขเปลี่ยนแปลงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตหรือโดย อุบัติเหตุ หรือการโอนข้อมูลส่วนบุคคลโดยมิชอบหรือโดยปราศจากอานาจ หรือการทาให้เข้าถึงข้อมูลส่วนบุคคลไม่ได้ หรือการทาให้ข้อมูลส่วนบุคคลถูก ทาลาย หรือสูญหายไปโดยไม่ได้รับอนุญาตหรือโดยอุบัติเหตุ “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลที่เกี่ยวกับบุคคลซึ่งทาให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่ กรรมโดยเฉพาะ “เจ้าของข้อมูลส่วนบุคคล” หมายถึง บุคคลธรรมดาซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล และให้หมายความรวมถึง ผู้ใช้อานาจปกครองที่มีอานาจ กระทาการแทนผู้เยาว์ ผู้อนุบาลที่มีอานาจกระทาการแทนคนไร้ความสามารถ หรือผู้พิทักษ์ที่มีอานาจกระทาการแทนคนเสมือนไร้ความสามารถ “พนักงาน” หมายถึง “พนักงานของบริษัท xxx และบริษัทในเครือ” “บริษัทในเครือ xxx” หมายถึง บริษัทตามรายชื่อในเอกสารแนบท้ายสัญญา” “ครอบครัวพนักงาน” หมายถึง คู่สมรสและบุตรที่ชอบด้วยกฎหมายของพนักงานของบริษัท xxx และบริษัทในเครือ xxx ทั้งนี้ ตามรายละเอียดใน เอกสารแนบท้ายบันทึกข้อตกลง “บันทึกข้อตกลง” หมายถึง บันทึกข้อตกลงให้ประมวลผลข้อมูลและเอกสารแนบท้ายบันทึกข้อตกลงฉบับนี้ “สัญญา” หมายถึง สัญญาให้บริการทางการแพทย์ สถานพยาบาลสานักงานใหญ่ ฉบับลงวันที่ xxx
  • 24.
    ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง)Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๒ ขอบเขตการบังคับใช้ บันทึกข้อตกลงฉบับนี้ มีวัตถุประสงค์เพื่อใช้บังคับแก่การประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ ได้ส่งให้แก่คณะฯ ตามสัญญา และให้มีผลบังคับใช้ตั้งแต่วันที่..............................ถึงวันที่.....................................ทั้งนี้ บันทึกข้อตกลงฉบับนี้ ให้ถือเป็นส่วนหนึ่งของสัญญาให้บริการทางการแพทย์ ข้อ ๓ ความสัมพันธ์ระหว่างคู่สัญญา บริษัทฯ จะอยู่ในฐานะผู้ควบคุมข้อมูลส่วนบุคคลตลอดระยะเวลาของสัญญา โดยบริษัทฯ ในฐานะ ผู้ควบคุมข้อมูล ส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี คณะฯ จะอยู่ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคลตลอดเวลาของสัญญา โดยคณะฯ ในฐานะ ผู้ประมวลผลข้อมูล ส่วนบุคคลมีหน้าที่ต้องปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลที่มีผลใช้บังคับกับกรณี
  • 25.
    ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง)Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๔ การประมวลผลข้อมูลส่วนบุคคล ๔.๑ คณะฯ จะประมวลผลข้อมูลส่วนบุคคลเพื่อให้บรรลุวัตถุประสงค์ของสัญญาและกระบวนการอื่น ๆ ที่เกี่ยวข้อง รวมถึงกรณีที่ บุคลากรของบริษัทฯ ที่มีอานาจหน้าที่เกี่ยวกับการปฏิบัติตามสัญญาได้มีคาสั่งที่ชอบด้วยกฎหมายให้คณะฯ ดาเนินการ ทั้งนี้ คณะฯ จะไม่ ดาเนินการประมวลผลข้อมูลส่วนบุคคลที่นอกเหนือไปจากวัตถุประสงค์ของสัญญา โดยถือว่าไม่เป็นการกระทาผิดบันทึกข้อตกลงนี้ ๔.๒ บริษัทฯ ตกลงและยอมรับว่า ก่อนการเปิดเผยข้อมูลส่วนบุคคลให้แก่คณะฯ บริษัทฯ ได้รับความยินยอมที่จาเป็นทั้งหมดจาก เจ้าของข้อมูลส่วนบุคคลหรือใช้ฐานทางกฎหมายอื่น เพื่อให้คณะฯ สามารถประมวลผลข้อมูลส่วนบุคคลที่ได้รับจากบริษัทฯ อย่างถูกต้องตาม กฎหมาย และเป็นไปตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ๔.๓ บริษัทฯ ยอมรับว่าการที่พนักงานหรือครอบครัวพนักงานใช้บริการตามสัญญา ถือเป็นการสั่งให้คณะฯ ประมวลผลข้อมูล ส่วนบุคคล โดยคณะฯ จะประมวลผลข้อมูลเฉพาะข้อมูลส่วนบุคคลดังต่อไปนี้ (๑) ชื่อ นามสกุลของพนักงาน หรือครอบครัวพนักงาน (๒) ข้อมูลที่เกี่ยวกับครอบครัว เช่น อายุ วันเกิด สถานภาพ จานวนบุตร (๓) ข้อมูลสุขภาพ (๔) ข้อมูลอื่น ๆ ตามที่คู่สัญญาตกลงกัน ๔.๔ คณะฯ จะใช้ความพยายามตามสมควรให้การเข้าถึงข้อมูลส่วนบุคคลจากัดเฉพาะบุคลากรของคณะฯ หรือบุคคลที่ได้รับ มอบหมายซึ่งมีความจาเป็นในการเข้าถึงข้อมูลส่วนบุคคลเพื่อดาเนินการให้เป็นไปตามสัญญา และดาเนินการให้บุคคลดังกล่าวรักษาความลับ ของข้อมูลส่วนบุคคลที่ถูกประมวลผล
  • 26.
    ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง)Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๕ ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง เพื่อประโยชน์ในการปฏิบัติตามสัญญา เมื่อมีความจาเป็น คณะฯ อาจมอบหมายงานเกี่ยวกับการประมวลผลข้อมูล ส่วนบุคคล ทั้งหมดหรือแต่บางส่วนให้แก่บุคคลภายนอก (ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง) ดาเนินการแทนได้ ทั้งนี้ คณะฯ ยังต้องเป็นผู้รับผิดชอบในงานที่ได้มอบหมายไป รวมถึงต้องดาเนินการให้ผู้ประมวลผลข้อมูลส่วนบุคคลช่วงที่ ได้รับมอบหมายปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลช่วงมีหน้าที่ในการคุ้มครองและรักษาความปลอดภัยของข้อมูลส่วนบุคคลในระดับที่ไม่ ต่ากว่าหน้าที่ของคณะฯ ตามบันทึกข้อตกลงฉบับนี้
  • 27.
    ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง)Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๖ การให้ความร่วมมือตามคาร้องของเจ้าของข้อมูลส่วนบุคคลหรือตามคาสั่งของเจ้าหน้าที่รัฐ คณะฯ จะสนับสนุนให้บริษัทฯ สามารถเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคล ทั้งนี้ เพื่อให้บริษัทฯ สามารถดาเนินการตามคาร้องขอของเจ้าของข้อมูลส่วนบุคคลซึ่งมีสิทธิที่จะเรียกดู แก้ไข ลบ หรือทาลายข้อมูลส่วน บุคคลได้ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลและบันทึกข้อตกลงฉบับนี้ ภายในเวลาอันสมควร ในกรณีที่คณะฯ ได้รับคาร้องขอจากเจ้าของข้อมูลส่วนบุคคลซึ่งได้ระบุว่าบริษัทฯ เป็นผู้ควบคุมข้อมูลส่วนบุคคล คณะฯ ต้องส่งคาร้องขอนั้นต่อไปยังบริษัทฯ โดยจะไม่ดาเนินการตามคาร้องดังกล่าว เว้นแต่จะมีการตกลงไว้เป็นอย่างอื่น คู่สัญญาจะสนับสนุนให้ความช่วยเหลือเพื่อดาเนินการตามที่กฎหมายกาหนด หรือตามคาสั่งที่ชอบด้วยกฎหมายจาก เจ้าหน้าที่ของรัฐเกี่ยวกับหน้าที่ของคู่สัญญา
  • 28.
    ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง)Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๗ มาตรการคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคล คณะฯ มีหน้าที่ดาเนินการจัดให้มีมาตรการรักษาความปลอดภัยสาหรับการประมวลผลข้อมูลส่วนบุคคลที่มีความ เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิดเผยข้อมูลส่วนบุคคลโดย ปราศจากอานาจหรือโดยมิชอบ โดยมาตรการข้างต้นจะต้องคานึงถึงความก้าวหน้าทางเทคโนโลยี ค่าใช้จ่ายในการ ดาเนินการ ลักษณะ ขอบเขต และวัตถุประสงค์ของการประมวลผลข้อมูล ข้อ ๘ การแจ้งเตือนหากเกิดการละเมิดข้อมูลส่วนบุคคล คณะฯ มีหน้าที่แจ้งเป็นลายลักษณ์อักษรแก่บริษัทฯ เมื่อคณะฯ ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น โดยไม่ชักช้า เมื่อคณะฯ ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลนั้น ข้อ ๙ การจัดทาบันทึกสาหรับการประมวลผลข้อมูลส่วนบุคคล คณะฯ จะจัดทาบันทึกเป็นลายลักษณ์อักษรสาหรับการประมวลผลข้อมูลส่วนบุคคล โดยจะมีการจัดทาและรักษา บันทึกดังกล่าวตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
  • 29.
    ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง)Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๑๐ การลบและการเก็บรักษาข้อมูลส่วนบุคคล คณะฯ มีหน้าที่ลบหรือทาลายข้อมูลส่วนบุคคลตามบันทึกข้อตกลงนี้ภายในเวลาอันสมควร นับแต่วันที่สัญญาสิ้นสุดลง หรือเมื่อไม่มี ความจาเป็นจะต้องเก็บรักษาข้อมูลส่วนบุคคลเพื่อประมวลผลข้อมูลส่วนบุคคลอีกต่อไป เว้นแต่ได้รับอนุญาตจากบริษัทฯ เป็นลายลักษณ์ อักษร คณะฯ อาจเก็บข้อมูลส่วนบุคคลเพื่อการก่อตั้งสิทธิเรียกร้อง เพื่อการปฏิบัติตามหรือการใช้สิทธิเรียกร้อง เพื่อการยกขึ้นเป็นข้อต่อสู้ เพื่อการปฏิบัติตามกฎหมาย หรือเพื่อการอื่นที่ไม่ขัดต่อกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล คณะฯ มีหน้าที่เก็บรักษาข้อมูลส่วนบุคคลเท่าที่จาเป็นเพื่อการปฏิบัติตามบันทึกข้อตกลงนี้ คณะฯ อาจทาให้ข้อมูลส่วนบุคคลที่ถูกประมวลผลตามบันทึกข้อตกลงนี้เป็นข้อมูลซึ่งไม่สามารถระบุตัวผู้เป็นเจ้าของข้อมูลส่วนบุคคล และประมวลผลข้อมูลดังกล่าวต่อไปได้ ข้อ ๑๑ ขอบเขตของความรับผิด คณะฯ ไม่ต้องรับผิดในความเสียหายอันเกิดจากการปฏิบัติตามบันทึกข้อตกลง หรือตามคาสั่งของบริษัทฯ เพื่อให้บรรลุวัตถุประสงค์ใน การประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ ได้ส่งให้แก่คณะฯ ตามสัญญา กรณีคณะฯ ต้องรับผิดชดใช้ค่าเสียหายหรือชาระค่าปรับ อันเนื่องมาจากการปฏิบัติตามบันทึกข้อตกลง หรือตามคาสั่งของบริษัทฯ เพื่อให้บรรลุวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลที่บริษัทฯ ได้ส่งให้แก่คณะฯ ตามสัญญา คณะฯ มีสิทธิเรียกร้องให้บริษัทฯ ชดใช้ เงินดังกล่าวให้แก่คณะฯ
  • 30.
    ตัวอย่าง Scenario: สถานพยาบาลตามกฎหมายแรงงาน (ร่าง)Data Processing Agreement กรณีรามาธิบดีเป็น Data Processor ข้อ ๑๒ การเปลี่ยนแปลงแก้ไขบันทึกข้อตกลง กรณีจาเป็นต้องมีการเปลี่ยนแปลงแก้ไขบันทึกข้อตกลงเพื่อให้คู่สัญญาสามารถประมวลผลข้อมูลส่วนบุคคลตาม กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลต่อไปได้ ให้คู่สัญญาฝ่ายที่ประสงค์จะแก้ไขเพิ่มเติมบันทึกข้อตกลงนี้ แจ้งให้ อีกฝ่ายทราบล่วงหน้าเป็นเวลาไม่น้อยกว่า ๓๐ วัน และเมื่อทุกฝ่ายให้ความยินยอมในการแก้ไขเพิ่มเติมแล้ว ให้จัดทา บันทึกข้อตกลงฉบับแก้ไขเพิ่มเติมเป็นหนังสือ และลงนามผูกพันโดยผู้มีอานาจลงนามผูกพันนิติบุคคล และให้ถือว่าการ แก้ไขเพิ่มเติมดังกล่าวเป็นส่วนหนึ่งของบันทึกข้อตกลงนี้ โดยให้มีผลใช้บังคับตั้งแต่วันที่ลงนามในบันทึกข้อตกลงฉบับ แก้ไขเพิ่มเติมนั้น บันทึกข้อตกลงนี้ทาขึ้นสองฉบับมีข้อความถูกต้องตรงกัน ทั้งสองฝ่ายได้อ่านและเข้าใจบันทึกข้อตกลงนี้โดยละเอียด ตลอดแล้ว เห็นว่าตรงตามเจตนารมณ์ที่ได้ให้ไว้ต่อกันทุกประการ จึงได้ลงลายมือชื่อไว้เป็นสาคัญต่อหน้าพยานและแต่ละ ฝ่ายต่างได้ยึดถือไว้ฝ่ายละฉบับ