1. Umfang und Rollen
Diese Datenverarbeitungsvereinbarung („DPA“) ist Teil der Rahmen-Servicevertrag zwischen My Country Mobile Pte Ltd, die als My Country Mobile fungiert („Auftragsverarbeiter“), und dem Kunden („Verantwortlicher“). Sie gilt, wenn MCM personenbezogene Daten im Namen des Verantwortlichen bei der Bereitstellung der Dienste verarbeitet. Für einige Daten (z. B. gesetzlich vorgeschriebenes CPNI und Anrufrouting) kann MCM als unabhängiger Verantwortlicher fungieren.
2. Definitionen
„Personenbezogene Daten“, „Verarbeitung“, „betroffene Person“, „Verantwortlicher“ und „Auftragsverarbeiter“ haben die Bedeutung im geltenden Datenschutzrecht (einschließlich der DSGVO und der britischen DSGVO). „Datenschutzgesetze“ bezeichnet alle für die Verarbeitung geltenden Gesetze, einschließlich der DSGVO, der britischen DSGVO und der Datenschutzgesetze der US-Bundesstaaten.
3. Einzelheiten zur Verarbeitung (Anlage 1)
Thema
Bereitstellung von Cloud-Kommunikationsdiensten.
Dauer
Laufzeit des MSA zuzüglich gesetzlich vorgeschriebener Aufbewahrung.
Natur und Zweck
Weiterleitung, Zustellung, Speicherung und Abrechnung von Sprach-/Nachrichtenübermittlungen und zugehöriger Support.
Arten personenbezogener Daten
Kontaktkennungen, Telefonnummern, Anruf-/Nachrichtenmetadaten, Kontodaten und alle vom Verantwortlichen übermittelten Inhalte.
Kategorien betroffener Personen
Personal des Controllers, Endbenutzer und angerufene/anrufende Parteien.
4. Pflichten des Auftragsverarbeiters
MCM wird:
Verarbeiten Sie personenbezogene Daten nur auf die dokumentierten Anweisungen des Verantwortlichen, auch bei Übermittlungen, sofern dies nicht gesetzlich vorgeschrieben ist (in diesem Fall wird der Verantwortliche informiert, sofern dies nicht gesetzlich verboten ist).
Stellen Sie sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind.
Setzen Sie geeignete technische und organisatorische Sicherheitsmaßnahmen um (Anlage 2).
Beachten Sie die Bedingungen für die Beauftragung von Unterauftragsverarbeitern (Abschnitt 5).
Unterstützen Sie den Verantwortlichen soweit möglich bei Anfragen betroffener Personen.
Unterstützen Sie den Verantwortlichen bei der Sicherheit, bei der Meldung von Verstößen und bei Folgenabschätzungen zum Datenschutz.
Personenbezogene Daten am Ende der Dienste löschen oder zurückgeben, vorbehaltlich der gesetzlichen Aufbewahrung.
Stellen Sie die Informationen zur Verfügung, die zum Nachweis der Einhaltung erforderlich sind, und ermöglichen Sie Audits (Abschnitt 7).
5. Unterauftragsverarbeiter
Der Verantwortliche ermächtigt MCM, die in der Liste der Unterauftragsverarbeiter aufgeführten Unterauftragsverarbeiter zu beauftragen. MCM wird jedem Unterauftragsverarbeiter Datenschutzverpflichtungen auferlegen, die nicht weniger schützend sind als diese DPA, und bleibt für deren Einhaltung verantwortlich. MCM wird die beabsichtigten Änderungen den Unterauftragsverarbeitern mitteilen und dem Verantwortlichen die Möglichkeit geben, aus angemessenen Gründen des Datenschutzes Einwände zu erheben.
6. Rechte und Verletzung der Datensubjekte
MCM benachrichtigt den Verantwortlichen unverzüglich über alle Anfragen, die es von einer betroffenen Person erhält, und antwortet nur auf Anweisung des Verantwortlichen oder wie gesetzlich vorgeschrieben.
MCM wird den Verantwortlichen unverzüglich benachrichtigen, nachdem ihm ein Verstoß gegen den Schutz personenbezogener Daten bekannt wurde, und ihm die Informationen zur Verfügung stellen, die für die Benachrichtigungspflichten des Verantwortlichen angemessenerweise erforderlich sind.
7. Prüfung
MCM wird Informationen, die zum Nachweis der Einhaltung erforderlich sind, zur Verfügung stellen und zu Audits, einschließlich Inspektionen, beitragen, die vom Verantwortlichen oder einem von ihm beauftragten Auditor durchgeführt werden, mit angemessener Vorankündigung und vorbehaltlich der Vertraulichkeit, höchstens jedoch einmal im Jahr es sei denn, dies wird von einer Aufsichtsbehörde verlangt oder nach einem Verstoß.
8. Internationale Überweisungen
9. Datenschutzgesetze der US-Bundesstaaten
Soweit die Datenschutzgesetze der US-Bundesstaaten gelten, fungiert MCM als „Dienstleister“/„Auftragsverarbeiter“, wird personenbezogene Daten nicht „verkaufen“ oder „weitergeben“ oder außerhalb der direkten Geschäftsbeziehung oder wie gesetzlich zulässig aufbewahren, verwenden oder offenlegen und wird die geltenden Verpflichtungen einhalten.
10. Allgemeines
Diese DPA hat Vorrang vor widersprüchlichen Bestimmungen des MSA bezüglich der Verarbeitung personenbezogener Daten. Die Haftung unterliegt den Beschränkungen des MSA. Es unterliegt dem Recht des MSA, sofern die Datenschutzgesetze nichts anderes vorschreiben.
Anhang 2 – Sicherheitsmaßnahmen
Zugriffskontrollen und geringste Privilegien
Verschlüsselung während der Übertragung
Netzwerk- und Anwendungssicherheit
Protokollierung und Überwachung
Vertraulichkeit und Schulung des Personals
Lieferantenmanagement
Reaktion auf Vorfälle
Sicherung und Wiederherstellung