นโยบายคุ้มครองข้อมูลส่วนบุคคล
1.บทนำ
บริษัท คลาวด์ ด็อกเตอร์ จำกัด (ต่อไปในนโยบายนี้เรียกว่า “บริษัทฯ”) ตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลและข้อมูลอื่นอันเกี่ยวกับท่าน (รวมเรียกว่า “ข้อมูล”) เพื่อให้ท่านสามารถเชื่อมั่นได้ว่า บริษัทฯ มีความโปร่งใสและความรับผิดชอบในการเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลของท่านตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (“กฎหมายคุ้มครองข้อมูลส่วนบุคคล”) รวมถึงกฎหมายอื่นที่เกี่ยวข้อง นโยบายการคุ้มครองข้อมูลส่วนบุคคล (“นโยบาย”) นี้
จึงได้ถูกจัดทำขึ้นเพื่อชี้แจงแก่ท่านถึงรายละเอียดเกี่ยวกับการเก็บรวบรวม ใช้หรือเปิดเผย (รวมเรียกว่า “ประมวลผล”) ข้อมูลส่วนบุคคลซึ่งดำเนินการโดยบริษัทฯ รวมถึงเจ้าหน้าที่และบุคคลที่เกี่ยวข้องผู้ดำเนินการแทนหรือในนามของบริษัทฯ โดยมีเนื้อหาสาระดังต่อไปนี้
2.ขอบเขตการบังคับใช้นโยบาย
นโยบายนี้ใช้บังคับกับข้อมูลส่วนบุคคลของบุคคลซึ่งมีความสัมพันธ์กับ บริษัทฯ ในปัจจุบันและที่อาจมีในอนาคต ซึ่งถูกประมวลผลข้อมูลส่วนบุคคลโดยบริษัทฯ เจ้าหน้าที่ พนักงานตามสัญญา หน่วยธุรกิจหรือหน่วยงานรูปแบบอื่นที่ดำเนินการโดยบริษัทฯ และรวมถึงคู่สัญญาหรือบุคคลภายนอกที่ประมวลผลข้อมูลส่วนบุคคลแทนหรือในนามของบริษัทฯ (“ผู้ประมวลผลข้อมูลส่วนบุคคล”) ภายใต้ผลิตภัณฑ์และบริการต่าง ๆ เช่น เว็บไซต์ ระบบ แอปพลิเคชัน เอกสาร หรือบริการในรูปแบบอื่นที่ควบคุมดูแลโดยบริษัทฯ (รวมเรียกว่า “บริการ”)
บุคคลมีความสัมพันธ์กับ บริษัทฯ ตามความในวรรคแรก รวมถึง
- ลูกค้าบุคคลธรรมดา
- เจ้าหน้าที่หรือผู้ปฏิบัติงาน ลูกจ้าง
- คู่ค้าและผู้ให้บริการซึ่งเป็นบุคคลธรรมดา
- กรรมการ ผู้รับมอบอำนาจ ผู้แทน ตัวแทน ผู้ถือหุ้น ลูกจ้าง หรือบุคคลอื่นที่มีความสัมพันธ์ในรูปแบบเดียวกันของนิติบุคคลที่มีความสัมพันธ์กับ บริษัทฯ
- ผู้ใช้งานผลิตภัณฑ์หรือบริการของ บริษัทฯ
- ผู้เข้าชมหรือใช้งานเว็บไซต์ https://www.clouddoctor.asia/ รวมทั้งระบบ แอปพลิเคชัน อุปกรณ์ หรือช่องทางการสื่อสารอื่นซึ่งควบคุมดูแลโดยบริษัทฯ
- บุคคลอื่นที่ บริษัทฯ เก็บรวบรวมข้อมูลส่วนบุคคล เช่น ผู้สมัครงาน ครอบครัวของเจ้าหน้าที่ ผู้ค้ำประกัน ผู้รับประโยชน์ในกรมธรรม์ประกันภัย เป็นต้น
ข้อ 1) ถึง 6) เรียกรวมกันว่า “ท่าน”
นอกจากนโยบายฉบับนี้แล้ว บริษัทฯ อาจกำหนดให้มีคำประกาศเกี่ยวกับความเป็นส่วนตัว (“ประกาศ”) สำหรับผลิตภัณฑ์หรือบริการของ บริษัทฯ เพื่อชี้แจงให้เจ้าของข้อมูลส่วนบุคคลซึ่งเป็นผู้ใช้บริการได้ทราบถึงข้อมูลส่วนบุคคลที่ถูกประมวลผล วัตถุประสงค์และเหตุผลอันชอบด้วยกฎหมายในการประมวลผล ระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคล รวมถึงสิทธิในข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลพึงมีในผลิตภัณฑ์หรือบริการนั้นเป็นการเฉพาะเจาะจง
ทั้งนี้ ในกรณีที่มีความขัดแย้งกันในสาระสำคัญระหว่างความในประกาศเกี่ยวกับความเป็นส่วนตัวและนโยบายนี้ ให้ถือตามความในประกาศเกี่ยวกับความเป็นส่วนตัวของบริการนั้น3.
3.คำนิยาม
3.1 “กฎหมายคุ้มครองข้อมูลส่วนบุคคล” หมายถึง
(ก) กฎหมาย กฎระเบียบ กฎเกณฑ์ ประกาศ รวมถึงแต่ไม่จำกัดเพียงพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (และตามที่จะได้มีการแก้ไขในภายหน้า)
(ข) กฎ ระเบียบที่จะออกภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
โดยคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานอื่นใดที่มีอำนาจ
(ค) พระราชบัญญัติความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 รวมถึงกฎหมายอื่นใดที่จำต้องมาปรับใช้ร่วมกับกฎหมาย กฎ ระเบียบข้างต้น หรือใช้สำหรับการประมวลผลข้อมูลส่วนบุคคล
3.2 “ข้อมูลส่วนบุคคล” ให้มีความหมายตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลส่วนบุคคล หมายถึง ข้อมูลเกี่ยวกับบุคคลธรรมดา ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ
3.3 “ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ” หมายถึง ข้อมูลส่วนบุคคลตามที่ถูกบัญญัติไว้ในมาตรา 26 แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ซึ่งได้แก่ ข้อมูลเชื้อชาติ เผ่าพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อในลัทธิ ศาสนาหรือปรัชญา พฤติกรรมทางเพศ ประวัติอาชญากรรม ข้อมูลสุขภาพ ความพิการ ข้อมูลสหภาพแรงงาน ข้อมูลพันธุกรรม ข้อมูลชีวภาพ หรือข้อมูลอื่นใดซึ่งกระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด
3.4 “เจ้าของข้อมูลส่วนบุคคล” หมายถึง ลูกค้าของผู้ควบคุมข้อมูลส่วนบุคคล และบุคคลธรรมดาซึ่งถูกระบุตัวได้โดยข้อมูลส่วนบุคคล
3.5 “ผู้ควบคุมข้อมูลส่วนบุคคล” หมายถึง บริษัท คลาวด์ ด็อกเตอร์ จำกัด หรือบุคคลอื่นซึ่งมีอำนาจตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
3.6 “ผู้ประมวลผลข้อมูลส่วนบุคคล”หมายถึง ผู้ว่าจ้าง ที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่ง หรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล
3.7 “ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง” หมายถึง บุคคลหรือนิติบุคคลที่แต่งตั้งขึ้นหรือได้รับมอบหมายโดยผู้ประมวลผลข้อมูลส่วนบุคคลเพื่อให้มีส่วนช่วยหรือสนับสนุนในการปฏิบัติการตามสัญญา
3.8 “เหตุละเมิดข้อมูลส่วนบุคคล” หมายถึง
(ก) การที่ข้อมูลส่วนบุคคลรั่วไหล หรือสูญหาย หรือถูกทำลาย หรือการเข้าถึงโดยไม่มีอำนาจหรือโดยมิชอบด้วยกฎหมาย ทั้งที่เจตนาหรือไม่เจตนา รวมถึง
(ข) การเก็บรวมรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล การแก้ไขหรือการประมวลผลข้อมูลส่วนบุคคลโดยไม่มีสิทธิหรือผิดวัตถุประสงค์
(ค) การปฏิเสธสิทธิของเจ้าของข้อมูลส่วนบุคคลที่เจ้าของข้อมูลส่วนบุคคลพึงมีตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลโดยไม่มีเหตุอันพึงกล่าวอ้างได้ตามกฎหมาย หรือ
(ง) การกระทำอื่นใดที่ขัดต่อกฎหมาย
3.9 “สัญญา” หมายถึง สัญญาฉบับนี้ รวมทั้ง สัญญาแก้ไขเพิ่มเติม เอกสารแนบท้าย ภาคผนวก และเอกสารหรือข้อตกลงอื่นใดคู่สัญญาตกลงให้เป็นส่วนหนึ่งของสัญญา
3.10 “การประมวลผลข้อมูลส่วนบุคคล” หมายถึง การดำเนินการหรือชุดการดำเนินการใดๆ ซึ่งเป็นการเข้าถึงข้อมูลส่วนบุคคล การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล การกระทำการต่อข้อมูลส่วนบุคคลในทุกรูปแบบ รวมถึงแต่ไม่จำกัดเฉพาะ การบันทึก การจัดระบบ การจัดโครงสร้าง การเก็บรักษา การดัดแปลง การแก้ไข การทำสำเนา การโอน การเผยแพร่ข้อมูลส่วนบุคคล การนำข้อมูลส่วนบุคคลกลับมาใช้ใหม่ หรือการกระทำอื่นใดซึ่งทำให้เกิดความพร้อมใช้งาน การจัดวางหรือผสมเข้าด้วยกัน การจำกัด การลบ หรือทำลาย รวมถึงการกระทำดังกล่าวทั้งหมดผ่านระบบอัตโนมัติ
4.ประเภทของข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคลตระหนักและยอมรับว่าในการปฏิบัติตามสัญญา ผู้ประมวลผลข้อมูลส่วนบุคคลอาจทำการประมวลผลข้อมูลส่วนบุคคล รวมถึงข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ นี้ไม่ว่าทั้งหมดหรือเพียงบางส่วน ดังนี้
ประเภทข้อมูลส่วนบุคคล | รายละเอียดและตัวอย่าง |
|---|---|
ข้อมูลเฉพาะตัวบุคคล | ข้อมูลเฉพาะ ได้แก่ ชื่อ - นามสกุล เลขที่บัตรประจำตัวประชาชน สัญชาติ เลขที่ใบขับขี่ เลขที่หนังสือเดินทาง ข้อมูลทะเบียนบ้าน หมายเลขใบประกอบการ หมายเลขใบอนุญาตการประกอบวิชาชีพ (สำหรับแต่ละอาชีพ) หมายเลขประจำตัวผู้ประกันตน หมายเลขประกันสังคม |
ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ | ข้อมูลส่วนบุคคลที่มีความอ่อนไหวเป็นพิเศษ ได้แก่ เชื้อชาติ ข้อมูลศาสนา ข้อมูลความพิการ ข้อมูลความเห็นทางการเมือง ประวัติอาชญากรรม ข้อมูลชีวภาพ (ข้อมูลภาพจำลองใบหน้า) ข้อมูลเกี่ยวกับสุขภาพหรือข้อมูลทางการแพทย์ |
ข้อมูลเกี่ยวกับคุณลักษณะของบุคคล | ข้อมูลเกี่ยวกับคุณลักษณะของบุคคล ได้แก่ วันเดือนปีเกิด เพศ ส่วนสูง น้ำหนัก อายุ สถานภาพการสมรส สถานภาพการเกณฑ์ทหาร รูปถ่าย ภาษาพูด ข้อมูลพฤติกรรม ความชื่นชอบ ข้อมูลการเป็นบุคคลล้มละลาย ข้อมูลการเป็นคนไร้ความสามารถหรือคนเสมือนไร้ความสามารถ |
ข้อมูลสำหรับการติดต่อ | ข้อมูลเพื่อการติดต่อ ได้แก่ เบอร์โทรศัพท์บ้าน เบอร์โทรศัพท์เคลื่อนที่ หมายเลขโทรสาร อีเมล ที่อยู่ทางไปรษณีย์บ้าน ชื่อผู้ใช้งานในสังคมออนไลน์ (Line ID, MS Teams) แผนที่ตั้งของที่พัก |
ข้อมูลเกี่ยวกับการทำงานและการศึกษา | รายละเอียดการจ้างงาน รวมถึงประวัติการทำงานและประวัติการศึกษา ได้แก่ ประเภทการจ้างงาน อาชีพ ยศ ตำแหน่ง หน้าที่ ความเชี่ยวชาญ สถานภาพใบอนุญาตทำงาน ข้อมูลบุคคลอ้างอิง หมายเลขประจำตัวผู้เสียภาษี ประวัติการดำรงตำแหน่ง ประวัติการทำงาน ข้อมูลเงินเดือน วันเริ่มงาน วันออกจากงาน ผลการประเมิน สวัสดิการและสิทธิประโยชน์ พัสดุในครอบครองของผู้ปฏิบัติงาน ผลงาน หมายเลขบัญชีธนาคาร/สำเนาบัตรเครดิต ประวัติข้อมูลทางการเงิน สถาบันการศึกษา วุฒิการศึกษา ผลการศึกษา วันที่สำเร็จการศึกษา |
ข้อมูลเกี่ยวกับกรมธรรม์ประกันภัย | รายละเอียดเกี่ยวกับกรมธรรม์ประกันภัยผู้ปฏิบัติงาน ได้แก่ ผู้รับประกันภัย ผู้เอาประกันภัย ผู้รับประโยชน์ หมายเลขกรมธรรม์ ประเภทกรมธรรม์ วงเงินคุ้มครอง ข้อมูลเกี่ยวกับการเคลม |
ข้อมูลเกี่ยวกับความสัมพันธ์ทางสังคม | ข้อมูลความสัมพันธ์ทางสังคมของท่าน ได้แก่ สถานภาพทางการเมือง การดำรงตำแหน่งทางการเมือง การดำรงตำแหน่งกรรมการ ความสัมพันธ์กับผู้ปฏิบัติงานของ บริษัทฯ ข้อมูลการเป็นผู้มีสัญญาจ้างกับ บริษัทฯ ข้อมูลการเป็นผู้มีส่วนได้เสียในกิจการที่ทำกับ บริษัทฯ |
ข้อมูลเกี่ยวกับการใช้บริการของ บริษัทฯ | รายละเอียดเกี่ยวกับผลิตภัณฑ์หรือบริการของ บริษัทฯ ได้แก่ ชื่อบัญชีผู้ใช้งาน รหัสผ่าน หมายเลข PIN ข้อมูล Single Sign-on (SSO ID) รหัส OTP ข้อมูลการจราจรทางคอมพิวเตอร์ ข้อมูลระบุพิกัด ภาพถ่าย วีดีโอ บันทึกเสียง ข้อมูลพฤติกรรมการใช้งาน (เว็บไซต์ที่อยู่ในความดูแลของ บริษัทฯ) ประวัติการสืบค้น คุกกี้หรือเทคโนโลยีในลักษณะเดียวกัน หมายเลขอุปกรณ์ (Device ID) ประเภทอุปกรณ์ รายละเอียดการเชื่อมต่อ ข้อมูล Browser ภาษาที่ใช้งาน ระบบปฏิบัติการที่ใช้งาน |
วัตถุประสงค์และระยะเวลาในการเข้าถึง เก็บรวบรวม ใช้ ส่งต่อ โอน หรือเปิดเผยข้อมูลส่วนบุคคล ให้เป็นไปตาม | วัตถุประสงค์และระยะเวลาในการเข้าถึง เก็บรวบรวม ใช้ ส่งต่อ โอน หรือเปิดเผยข้อมูลส่วนบุคคล ให้เป็นไปตาม
|
เจ้าของข้อมูลส่วนบุคคล | เจ้าของข้อมูลส่วนบุคคล ได้แก่ ลูกค้าของผู้ควบคุมข้อมูลส่วนบุคคล และบุคคลอื่นๆ ซึ่งเป็นเจ้าของข้อมูลส่วนบุคคล |
บุคคล/องค์กร/หน่วยงาน หรือประเภทของบุคคล/องค์กร/หน่วยงาน ที่ข้อมูลส่วนบุคคลอาจมีการโอนหรือส่งต่อ | บุคคล/องค์กร/หน่วยงาน หรือประเภทของบุคคล/องค์กร/หน่วยงาน ที่ข้อมูลส่วนบุคคลอาจมีการโอนหรือส่งต่อ ได้แก่ เจ้าหน้าที่ของคู่สัญญาที่เกี่ยวข้องตามสัญญานี้ |
ช่องทางการเข้าถึง ส่งหรือโอนข้อมูลส่วนบุคคล | ช่องทางการเข้าถึง ส่งหรือโอนข้อมูลส่วนบุคคล ได้แก่
|
5.หน้าที่ในการประมวลผลข้อมูลส่วนบุคคล
5.1 คำสั่งให้ประมวลผลข้อมูลส่วนบุคคล
ผู้ควบคุมข้อมูลส่วนบุคคลจะเป็นผู้กำหนดวัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล ตามรายละเอียดที่ปรากฏในสัญญา หรือตามวัตถุประสงค์ที่ระบุไว้ในภาคผนวก ก หรือตามคำสั่งที่เป็นลายลักษณ์อักษรของผู้ควบคุมข้อมูลส่วนบุคคลเท่านั้น เว้นแต่ คำสั่งนั้นขัดต่อกฎหมายหรือบทบัญญัติในการคุ้มครองข้อมูลส่วนบุคคล
อย่างไรก็ตาม หากผู้ประมวลผลข้อมูลส่วนบุคคลไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคล ในการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล ให้ถือว่าผู้ประมวลผลข้อมูลส่วนบุคคลเป็น ผู้ควบคุมข้อมูลส่วนบุคคลสำหรับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเหล่านั้น
5.2 คำสั่งให้ประมวลผลข้อมูลส่วนบุคคลเพิ่มเติม
ผู้ควบคุมข้อมูลส่วนบุคคลอาจสั่งให้ผู้ประมวลผลข้อมูลส่วนบุคคลประมวลผลข้อมูลส่วนบุคคลเพิ่มเติมได้ตามรายละเอียดที่ปรากฏในสัญญา และภายใต้ขอบเขตที่กฎหมายกำหนด ทั้งนี้ จะต้องเป็นกรณีมีความจำเป็นเพื่อเป็นไปตามวัตถุประสงค์ของสัญญา หรือเป็นการช่วยให้ ผู้ควบคุมข้อมูลส่วนบุคคลสามารถปฏิบัติหน้าที่ตามที่กฎหมายกำหนดได้
5.3 การออกคำสั่งให้ประมวลผลข้อมูลส่วนบุคคลโดยมิชอบ
ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลพิจารณาแล้วเห็นว่า การออกคำสั่งตามข้อ 5.1 และข้อ 5.2 นั้นเป็นการออกคำสั่งที่ละเมิดต่อกฎหมาย ผู้ประมวลผลข้อมูลส่วนบุคคลจะทำการแจ้งผู้ควบคุมข้อมูลส่วนบุคคลโดยพลัน แต่ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลตระหนักและยอมรับว่าผู้ประมวลผลข้อมูลส่วนบุคคลนั้นไม่ได้มีหน้าที่ให้คำปรึกษาทางกฎหมายใดๆ แก่ผู้ควบคุมข้อมูลส่วนบุคคล
6.วิธีการประมวลผลข้อมูลส่วนบุคคล
6.1 การใช้ข้อมูลส่วนบุคคลเพื่อประมวลผล
ในการประมวลผลข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลจะใช้ข้อมูลส่วนบุคคลเท่าที่จำเป็น เพื่อบรรลุวัตถุประสงค์ของผู้ควบคุมข้อมูลส่วนบุคคล เพื่อปฏิบัติตามที่กำหนดไว้ในสัญญา เพื่อให้บริการตามสัญญา เพื่อการอื่นใดที่ผู้ควบคุมข้อมูลส่วนบุคคลอาจแจ้งให้ผู้ประมวลผลข้อมูลส่วนบุคคลทราบเป็นลายลักษณ์อักษร ตลอดระยะเวลาของสัญญา
6.2 การเก็บรวบรวมข้อมูลส่วนบุคคลในนามของผู้ควบคุมข้อมูลส่วนบุคคล
ในกรณีที่ผู้ควบคุมข้อมูลส่วนบุคคลมอบหมายให้ผู้ประมวลผลข้อมูลส่วนบุคคลเป็นผู้เก็บรวบรวมข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล และจะต้องแจ้งให้เจ้าของข้อมูลส่วนบุคคลรับทราบถึงวัตถุประสงค์ของความยินยอม วัตถุประสงค์ของการจัดเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคล ระยะเวลาการจัดเก็บข้อมูลส่วนบุคคลและเอกสาร บุคคลหรือนิติบุคคลที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคลและนโยบายความเป็นส่วนตัว และผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดให้เจ้าของข้อมูลส่วนบุคคลกรอกแบบฟอร์มให้ความยินยอมในการเก็บรวมรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลตามแบบและวิธีการที่ทางผู้ควบคุมข้อมูลส่วนบุคคลกำหนดก่อนที่จะมีการเก็บรวมรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลนั้น
6.3การประมวลผลข้อมูลส่วนบุคคลที่ได้มาจากแหล่งอื่น
ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องไม่รับข้อมูลส่วนบุคคลจากแหล่งอื่นใด นอกเหนือจากการรับข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง ยกเว้นกฎหมายอนุญาต หรือผู้ประมวลผลข้อมูลส่วนบุคคลได้รับการยืนยันจากแหล่งที่มาอื่นนั้นว่าเจ้าของข้อมูลส่วนบุคคลได้ให้ความยินยอมและได้รับแจ้งวัตถุประสงค์แห่งความยินยอมและขอบเขตของความยินยอมของเจ้าของข้อมูลส่วนบุคคลก่อนแล้ว อย่างไรก็ตาม ให้ผู้ประมวลผลข้อมูลส่วนบุคคลแจ้งรายละเอียดข้อมูลส่วนบุคคลนั้นมายังผู้ควบคุมข้อมูลส่วนบุคคลภายใน 3 วัน และจะยังไม่ดำเนินการใช้ หรือติดต่อเจ้าของข้อมูลส่วนบุคคลนั้น ก่อนที่จะได้รับอนุมัติจากทางผู้ควบคุมข้อมูลส่วนบุคคลเป็นลายลักษณ์อักษร
ทั้งนี้ ห้ามผู้ประมวลผลข้อมูลส่วนบุคคลสร้างขึ้นใหม่หรือทำลายข้อมูลส่วนบุคคล ที่ได้รับมาเนื่องจากการให้บริการ/รับจ้างตามสัญญานี้ เว้นแต่ ได้รับการอนุมัติจากผู้ควบคุมข้อมูลส่วนบุคคลเป็นลายลักษณ์อักษร (ยกเว้นการทำลายตามข้อ 12.)
6.4 การเปิดเผยข้อมูลส่วนบุคคลเพื่อการประมวลผลข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องไม่เปิดเผยข้อมูลส่วนบุคคลที่ได้รับจากผู้ควบคุมข้อมูลส่วนบุคคลแก่บุคคลใด ยกเว้นการเปิดเผยแก่ บุคลากรของผู้ประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องโดยตรงและมีความจำเป็นอย่างยิ่งที่จะต้องได้รับการเปิดเผยข้อมูลส่วนบุคคลนั้นเพื่อให้ผู้ประมวลผลข้อมูลส่วนบุคคลสามารถปฏิบัติตามสัญญาได้ (need-to-know basis) และก่อนที่ผู้ประมวลผลข้อมูลส่วนบุคคลจะให้บุคลากรของ ผู้ประมวลผลข้อมูลส่วนบุคคลเข้าถึงข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องทำสัญญากับบุคลากรของผู้ประมวลผลข้อมูลส่วนบุคคลเพื่อกำหนดหน้าที่การคุ้มครองข้อมูลส่วนบุคคลในระดับและขอบเขตเดียวกันกับหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคลนี้ และมีข้อกำหนดให้รักษาความลับของข้อมูลส่วนบุคคลด้วย ในกรณีที่ผู้ประมวลผลข้อมูลส่วนบุคคลมีความจำเป็นต้องจ้างผู้ประมวลผลข้อมูลส่วนบุคคลช่วงเพื่อมาช่วยปฏิบัติงานตามสัญญา ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องขออนุมัติจากผู้ควบคุมข้อมูลส่วนบุคคลเป็นลายลักษณ์อักษรเป็นการเฉพาะรายก่อน และจะต้องให้ผู้ประมวลผลข้อมูลส่วนบุคคลช่วงผู้ได้รับการอนุมัติมาลงทะเบียนกับผู้ควบคุมข้อมูลส่วนบุคคลด้วย โดยผู้ประมวลผลข้อมูลส่วนบุคคลจะให้ผู้ประมวลผลข้อมูลส่วนบุคคลช่วงเข้าถึงข้อมูลส่วนบุคคลได้เท่าที่จำเป็นเพื่อให้สามารถปฏิบัติตามสัญญาได้เท่านั้น
6.5 หน้าที่บันทึกการประมวลผลข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลที่ทำในนามของผู้ควบคุมข้อมูลส่วนบุคคล โดยระบุ
- ประเภทการประมวลผลข้อมูลส่วนบุคคล
- มาตรการการคุ้มครองข้อมูลส่วนบุคคลของผู้ประมวลผลข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง หรือผู้รับโอนข้อมูลส่วนบุคคล
- ชื่อและรายละเอียดการติดต่อของผู้ประมวลผลข้อมูลส่วนบุคคลช่วง และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของผู้ประมวลผลข้อมูลส่วนบุคคลช่วง หรือผู้รับโอนข้อมูลส่วนบุคคล
- รายการอื่นๆ ตามหลักเกณฑ์และวิธีการที่กฎหมายกำหนด (หากมี)
ผู้ควบคุมข้อมูลส่วนบุคคลมีสิทธิขอรายงานการจัดทำบันทึกกิจกรรมการประมวลผลข้อมูลส่วนบุคคลดังกล่าว และผู้ประมวลผลข้อมูลส่วนบุคคลยินยอมให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถนำรายงานนั้น ไปส่งมอบให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลภายนอก (หากมี) และหน่วยงานราชการที่เกี่ยวข้องได้ตามกฎหมาย
7.สิทธิของเจ้าของข้อมูลส่วนบุคคล
7.1 การเข้าถึงข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคลจะสนับสนุนให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถเข้าถึงข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลได้ ทั้งนี้ เพื่อให้ผู้ควบคุมข้อมูลส่วนบุคคลสามารถดำเนินการใดๆ เพื่อตอบสนองต่อคำร้องขอของเจ้าของข้อมูลส่วนบุคคลซึ่งอาจมีสิทธิที่จะเรียกดู แก้ไข หรือลบข้อมูลส่วนบุคคลของตนได้ตามกฎหมาย
7.2การร้องขอโดยเจ้าของข้อมูลส่วนบุคคล
หากเจ้าของข้อมูลส่วนบุคคล ต้องการยื่นคำขอใช้สิทธิใดๆ ที่เป็นสิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ให้ผู้ประมวลผลข้อมูลส่วนบุคคลแจ้งวิธีการยื่นคำขอดังกล่าวแก่เจ้าของข้อมูลส่วนบุคคลและแจ้งให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบทันที ที่ Email: clouddoctor.dc@gmail.com ทั้งนี้ ผู้ประมวลผลข้อมูลส่วนบุคคลไม่มีสิทธิดำเนินการใดๆ ต่อข้อมูลส่วนบุคคลตามคำขอใช้สิทธินั้นแทนผู้ควบคุมข้อมูลส่วนบุคคลทั้งสิ้น และในกรณีที่คำขอเป็นคำขอยกเลิกความยินยอมในการเก็บรวบรวม ใช้ เปิดเผยข้อมูลส่วนบุคคล ให้ผู้ประมวลผลข้อมูลส่วนบุคคลระงับการดำเนินการใดๆ เกี่ยวกับข้อมูลส่วนบุคคลนั้นไว้ชั่วคราว จนกว่าจะได้รับคำสั่งอื่นจากผู้ควบคุมข้อมูลส่วนบุคคล
8.มาตรการคุ้มครองความปลอดภัยของข้อมูลส่วนบุคคล
8.1 มาตรการรักษาความปลอดภัย
หากผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดเก็บข้อมูลส่วนบุคคลใดๆ ตามที่ผู้ควบคุมข้อมูลส่วนบุคคลให้สิทธิ หรือมีคำสั่งเป็นลายลักษณ์อักษร ให้ผู้ประมวลผลข้อมูลส่วนบุคคลจัดเก็บอย่างระมัดระวัง ต้องตรวจสอบ จัดให้มี และคงไว้ซึ่งมาตรการรักษาความมั่นคงปลอดภัยที่รัดกุมเพื่อป้องกันเหตุละเมิดข้อมูลส่วนบุคคล โดยระบบรักษาความมั่นคงปลอดภัยขั้นต่ำ ได้แก่ การมี
(1) กระบวนการปกปิดหรือปิดบังข้อมูลซึ่งไม่ใช่การเข้ารหัส แต่เป็นกระบวนการพิเศษเพื่อทำให้ข้อมูลนั้นแสดงเป็นข้อมูลหลอกหรือนามแฝง เพื่อปกปิดข้อมูลจริง โดยจะสามารถอ่านข้อมูลนั้นได้เมื่อมีการใช้ข้อมูลเพิ่มเติมประกอบเท่านั้น (pseudonymization)
(2) ระบบและมาตรการที่มีประสิทธิภาพเพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยไม่มีสิทธิ
(3) ระบบที่สามารถดึงข้อมูลส่วนบุคคลที่รับ และ/หรือ ส่งต่อ ภายใต้สัญญานี้ได้ภายในเวลาอันสมควร (แต่ไม่เกิน 24 ชั่วโมง) และ
(4) ระบบที่มีการตรวจสอบ และประเมินผลสัมฤทธิ์ของระบบรักษาความมั่นคงปลอดภัย
ทั้งนี้ ผู้ควบคุมข้อมูลส่วนบุคคลมีสิทธิเรียกตรวจสอบระบบรักษาความมั่นคงปลอดภัยของผู้ประมวลผลข้อมูลส่วนบุคคลได้ตลอดเวลา และหากผู้ควบคุมข้อมูลส่วนบุคคลร้องขอ
ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องจัดให้มีระบบรักษาความปลอดภัยเพิ่มเติม อย่างไรก็ตาม ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องไม่เก็บข้อมูลส่วนบุคคลไว้นานเกินกว่าความจำเป็นที่จะต้องเก็บเพื่อปฏิบัติตามสัญญา
8.2 การรักษาความลับของข้อมูลส่วนบุคคล
นอกเหนือจากหน้าที่รักษาความลับตามที่ระบุไว้ในสัญญาแล้ว ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ต้องรักษาความลับของข้อมูลส่วนบุคคลอย่างเคร่งครัด
ผู้ประมวลผลข้อมูลส่วนบุคคล บริษัทในเครือ และผู้ประมวลผลข้อมูลส่วนบุคคลช่วงตามข้อ 10. รวมถึงพนักงาน ตัวแทนของผู้ประมวลผลข้อมูลส่วนบุคคล มีหน้าที่ทำการประมวลผลข้อมูลส่วนบุคคลภายใต้ข้อตกลงเรื่องการรักษาความลับที่จัดทำขึ้นเป็นลายลักษณ์อักษร
9.การถ่ายโอนข้อมูลส่วนบุคคล
9.1 สถานที่เก็บรักษาข้อมูลส่วนบุคคล
ภายในบังคับของข้อ 9.2 ผู้ประมวลผลข้อมูลส่วนบุคคลจะประมวลผลข้อมูลส่วนบุคคลในประเทศที่ข้อมูลส่วนบุคคลนั้นถูกจัดเก็บเท่านั้น โดยผู้ประมวลผลข้อมูลส่วนบุคคลจะไม่ทำการโอนถ่าย ข้อมูลส่วนบุคคลไปยังประเทศอื่น เว้นแต่จะได้รับคำสั่งหรือได้รับอนุญาตเป็นลายลักษณ์อักษรจากผู้ควบคุมข้อมูลส่วนบุคคล
9.2 ข้อยกเว้นเรื่องการโอนถ่ายข้อมูล
ในกรณีที่มีความจำเป็นเพื่อปฏิบัติตามสัญญาและเป็นกรณีที่ได้รับคำสั่งให้ประมวลผลข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูลส่วนบุคคลแล้ว ผู้ประมวลผลข้อมูลส่วนบุคคลสามารถเข้าถึงและประมวลผลข้อมูลส่วนบุคคลจากพื้นที่ หรือตำแหน่งอื่นนอกเหนือจากประเทศที่กำหนดในข้อ 9.1 ได้ เมื่อได้รับอนุญาตเป็นลายลักษณ์อักษรจากผู้ควบคุมข้อมูลส่วนบุคคล
10.ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง
10.1 การตั้งผู้ประมวลผลข้อมูลส่วนบุคคลช่วง
ผู้ประมวลผลข้อมูลส่วนบุคคลอาจตั้งบุคคลภายนอก (ผู้ประมวลผลข้อมูลส่วนบุคคลช่วง) ให้มีส่วนช่วยหรือสนับสนุนในการปฏิบัติตามวัตถุประสงค์ของสัญญา และการประมวลผลข้อมูลส่วนบุคคล โดยเป็นไปตามเงื่อนไขที่ปรากฏตามรายละเอียดในสัญญา หรือกรณีได้รับอนุญาตเป็นลายลักษณ์อักษรจากผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ หากผู้ประมวลผลข้อมูลส่วนบุคคลประสงค์จะเปลี่ยนแปลงผู้ประมวลผลข้อมูลส่วนบุคคลช่วง เช่น การตั้ง การยกเลิก เป็นต้น ผู้ประมวลผลข้อมูลส่วนบุคคลต้องแจ้งต่อผู้ควบคุมข้อมูลส่วนบุคคลอย่างน้อย 3 วันทำการ ก่อนการเปลี่ยนแปลงใดๆ อย่างไรก็ดี ผู้ควบคุมข้อมูลส่วนบุคคลมีสิทธิที่จะปฏิเสธการเปลี่ยนแปลงดังกล่าวได้
10.2 หน้าที่ของบริษัทในเครือและผู้ประมวลผลข้อมูลส่วนบุคคลช่วง
บริษัทในเครือของผู้ประมวลผลข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลช่วงที่ผู้ประมวลผลข้อมูลส่วนบุคคลกำหนดให้เข้ามามีส่วนร่วมในการปฏิบัติตามสัญญาจะต้องมีการทำความตกลงเป็นลายลักษณ์อักษรเพื่อกำหนดหน้าที่ในการคุ้มครองและรักษาความปลอดภัยของข้อมูลส่วนบุคคลในระดับเดียวกันกับหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคลตามข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคลนี้ และมีข้อกำหนดให้รักษาความลับของข้อมูลส่วนบุคคลด้วย
10.3 หน้าที่ความรับผิด
ผู้ประมวลผลข้อมูลส่วนบุคคลยังคงมีหน้าที่รับผิดชอบให้บุคลากรของผู้ประมวลผลข้อมูลส่วนบุคคล บริษัทในเครือ และผู้ประมวลผลข้อมูลส่วนบุคคลช่วงดังกล่าว ปฏิบัติหน้าที่ตามข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคล ตลอดจนตามกฎหมายที่บังคับกับกรณีดังกล่าว หากบุคลากรของ ผู้ประมวลผลข้อมูลส่วนบุคคล บริษัทในเครือ หรือผู้ประมวลผลข้อมูลส่วนบุคคลช่วงไม่สามารถปฏิบัติหน้าที่ตามที่ข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคลและกฎหมายคุ้มครองข้อมูลส่วนบุคคลกำหนด ผู้ประมวลผลข้อมูลส่วนบุคคลต้องรับผิดต่อผู้ควบคุมข้อมูลส่วนบุคคล
11.การแจ้งเตือนหากเกิดปัญหาด้านความปลอดภัย
11.1 กรณีมีเหตุการละเมิดข้อมูลส่วนบุคคล
ผู้ประมวลผลข้อมูลส่วนบุคคลมีหน้าที่ทำการประเมินและตรวจสอบต่อการกระทำใดๆ ซึ่งอาจมีลักษณะเป็นการเข้าถึงหรือประมวลผลข้อมูลส่วนบุคคลโดยไม่ชอบด้วยกฎหมาย ทั้งนี้ บุคลากรของผู้ประมวลผลข้อมูลส่วนบุคคล ตลอดจนบริษัทในเครือ และผู้ประมวลผลข้อมูลส่วนบุคคลช่วงของผู้ประมวลผลข้อมูลส่วนบุคคลถูกกำหนดให้มีหน้าที่ที่จะตรวจสอบและตระหนักต่อเหตุการณ์ข้างต้นเช่นเดียวกัน
11.2 กระบวนการแจ้งเตือน
หากผู้ประมวลผลข้อมูลส่วนบุคคลตระหนักได้ว่ามีเหตุการละเมิดข้อมูลส่วนบุคคล หรือเหตุบกพร่องของระบบรักษาความปลอดภัย ข้อร้องเรียกในเรื่องของการละเมิดข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลให้ผู้ประมวลผลข้อมูลส่วนบุคคลแจ้งผู้ควบคุมข้อมูลส่วนบุคคลที่ Email: clouddoctor.dc@gmail.com ทันทีภายในระยะเวลา 24 ชั่วโมง นับแต่เวลาที่ได้รับรู้ถึงการกระทำดังกล่าว โดยระบุรายละเอียดเหตุการณ์ ผลที่น่าจะตามมา จำนวนเจ้าของข้อมูล จำนวนข้อมูล และประเภทข้อมูลที่ได้รับผลกระทบ สิ่งที่ผู้ประมวลผลข้อมูลส่วนบุคคลได้กระทำไปเพื่อบรรเทาผลร้าย หรือมาตรการที่จะเสนอเพื่อใช้จัดการกับเหตุดังกล่าว รวมถึงการเสนอมาตรการเยียวยาให้แก่เจ้าของข้อมูลส่วนบุคคลด้วย
ทั้งนี้ ผู้ประมวลผลข้อมูลส่วนบุคคลตกลงให้ความร่วมมือและให้ความช่วยเหลือผู้ควบคุมข้อมูลส่วนบุคคล และเจ้าหน้าที่ราชการที่เกี่ยวข้องในการสืบสวนเหตุการณ์นั้น เพื่อที่จะป้องกัน จำกัด บรรเทาผลร้ายจากเหตุละเมิดข้อมูลส่วนบุคคล เพื่อเยียวยาเจ้าของข้อมูลส่วนบุคคล และเพื่อจำกัดความเสี่ยงในการเกิดเหตุละเมิดข้อมูลส่วนบุคคลซ้ำอีก
11.3 การดำเนินการ
ผู้ประมวลผลข้อมูลส่วนบุคคลจะใช้มาตรการตามที่เห็นสมควรเพื่อตรวจสอบและทราบถึงสาเหตุของการละเมิด และป้องกัน ปัญหาดังกล่าวมิให้เกิดซ้ำ และภายใต้ขอบเขตที่กฎหมายกำหนด ผู้ประมวลผลข้อมูลส่วนบุคคลจะให้ข้อมูลแก่ผู้ควบคุมข้อมูลส่วนบุคคลอันเกี่ยวกับการละเมิดนี้ หรือตามที่ผู้ควบคุมข้อมูลส่วนบุคคลร้องขอ ดังต่อไปนี้
- รายละเอียดของลักษณะของการละเมิดและผลที่อาจเกิดขึ้น
- มาตรการที่ใช้เพื่อบรรเทาผลกระทบจากการละเมิด
- ประเภทของข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลที่ถูกละเมิด (หากเป็นไปได้) และ
- ข้อมูลอื่นๆ ที่เกี่ยวข้องกับการละเมิด หรือที่ผู้ควบคุมข้อมูลส่วนบุคคลร้องขอ
อย่างไรก็ตาม แม้ผู้ประมวลผลข้อมูลส่วนบุคคลจะดำเนินการตามขั้นตอนในการแจ้งเตือนกรณีการเกิดปัญหาด้านความปลอดภัยครบถ้วนก็ตาม ผู้ประมวลผลข้อมูลส่วนบุคคลยังคงมีหน้าที่ต้องรับผิดตามกฎหมาย หากการละเมิดนี้เกิดขึ้นจากความผิดของผู้ประมวลผลข้อมูลส่วนบุคคล
12.การลบหรือการคืนข้อมูลส่วนบุคคล
หากหมดความจำเป็นที่จะต้องใช้ข้อมูลส่วนบุคคลในการประมวลผลข้อมูลส่วนบุคคลตามสัญญา หรือเมื่อสิ้นสุดสัญญา ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องหยุดการเก็บรวมรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลทุกกรณี และส่งมอบข้อมูลส่วนบุคคลและเอกสารทุกประเภทที่เกี่ยวกับข้อมูลส่วนบุคคลให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลโดยทันที ไม่ว่าจะถูกจัดเก็บอยู่ในรูปแบบใดก็ตาม (หรือหากตามสภาพไม่สามารถส่งคืนได้ ให้ทำการลบหรือ ทำลายเสียโดยทันที)
13.สิทธิในการตรวจสอบ
ผู้ประมวลผลข้อมูลส่วนบุคคลตกลงให้ผู้ควบคุมข้อมูลส่วนบุคคลมีสิทธิในการตรวจสอบ ออดิท ระบบปฏิบัติการ มาตรการและระบบรักษาความปลอดภัยของข้อมูลส่วนบุคคลของผู้ประมวลผลข้อมูลส่วนบุคคลได้
14.ข้อกำหนดทั่วไป
14.1 ผู้ประมวลผลข้อมูลส่วนบุคคลจะต้องศึกษา และปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลตลอดเวลา
14.2 หากผู้ประมวลผลข้อมูลส่วนบุคคลไม่ปฏิบัติตามคำสั่งของผู้ควบคุมข้อมูลส่วนบุคคลอย่างเคร่งครัด กระทำผิดสัญญาข้อหนึ่งข้อใดเกี่ยวกับหน้าที่การเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลนี้ หรือกระทำการอื่นใดนอกเหนือจากการปฏิบัติหน้าที่ตามสัญญาที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลส่วนบุคคลนี้ หรือทำผิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล ผู้ประมวลผลข้อมูลส่วนบุคคลตกลงชดใช้ค่าเสียหายทุกประเภทที่กฎหมายกำหนดให้แก่ผู้ควบคุมข้อมูลส่วนบุคคลทั้งสิ้นทันทีที่ได้รับแจ้งจากผู้ควบคุมข้อมูลส่วนบุคคลเป็นลายลักษณ์อักษร โดยไม่ต้องคำนึงถึงข้อสัญญาจำกัดความรับผิด รวมทั้งให้ผู้ควบคุมข้อมูลส่วนบุคคลมีสิทธิหักค่าเสียหายจากเงินค่าจ้าง ค่าบริการ ค่าตอบแทน และ/หรือเงินผลประโยชน์อื่นใดของผู้ประมวลผลข้อมูลส่วนบุคคลที่มีสิทธิได้รับด้วยก็ได้ และไม่ตัดสิทธิผู้ควบคุมข้อมูลส่วนบุคคลในการเลิกสัญญานี้ทันที
14.3 ให้ข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคลนี้ มีผลต่อไปถึงแม้ว่าสัญญานี้จะได้สิ้นผลไปแล้วก็ตาม
14.4 ข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคลนี้มีผลใช้บังคับตราบเท่าที่เพื่อบรรลุวัตถุประสงค์ของการประมวลผลข้อมูลส่วนบุคคล หรือเมื่อสัญญาสิ้นผลหรือเลิกสัญญาไม่ว่าด้วยเหตุใดๆ ตามที่ระบุในสัญญา และผู้ประมวลผลข้อมูลส่วนบุคคลต้องดำเนินการลบหรือคืนข้อมูลส่วนบุคคลตาม ข้อ 10.
14.5 คู่สัญญาทั้งสองฝ่ายตกลงว่าในการประมวลผลข้อมูลส่วนบุคคล จะยึดถือและปฏิบัติตามข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคลนี้ ข้อตกลงในการประมวลผลข้อมูลส่วนบุคคลอื่นใดที่ทั้งสองฝ่ายตกลงก่อนหน้านี้ให้เป็นอันสิ้นผลบังคับไป
14.6 หากมีการเปลี่ยนแปลงข้อกำหนดและเงื่อนไขในข้อตกลงนี้ ข้อกำหนดและเงื่อนไขในสัญญาย่อมไม่มีผลเปลี่ยนแปลง แต่อย่างไรก็ตามในกรณีที่ข้อกำหนดและเงื่อนไขในข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคลนี้ ขัดแย้งหรือไม่สอดคล้องกับข้อกำหนดและเงื่อนไขในสัญญา ให้ถือข้อกำหนดและเงื่อนไขในข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคลนี้เป็นสำคัญ
14.7 ข้อตกลงนี้จัดทำเป็นภาษาไทยและตีความตามภาษาไทย รวมถึงการแก้ไขข้อตกลง การเปลี่ยนแปลงอื่นๆ การติดต่อสื่อสาร และการทำหนังสือบอกกล่าว ให้จัดทำเป็นภาษาไทย
ข้อตกลงให้ประมวลผลข้อมูลส่วนบุคคลนี้อาจมีการแก้ไขในภายหน้าได้หากคู่สัญญาทั้งสองฝ่ายยินยอมและได้จัดทำขึ้นเป็นลายลักษณ์อักษร