1. Alcance y funciones
Este Acuerdo de Procesamiento de Datos (“DPA”) forma parte del Acuerdo de servicio maestro entre My Country Mobile Pte Ltd, que opera como My Country Mobile (“Procesador”), y el Cliente (“Responsable”). Se aplica cuando MCM procesa Datos personales en nombre del Controlador al proporcionar los Servicios. Para algunos datos (por ejemplo, CPNI y enrutamiento de llamadas requerido por ley), MCM puede actuar como un controlador independiente.
2. Definiciones
"Datos personales", "procesamiento", "titular de los datos", "responsable del tratamiento" y "procesador" tienen el significado que les da la ley de protección de datos aplicable (incluido el RGPD y el RGPD del Reino Unido). “Leyes de protección de datos” significa todas las leyes aplicables al procesamiento, incluido el RGPD, el RGPD del Reino Unido y las leyes de privacidad de los estados de EE. UU.
3. Detalles del procesamiento (Anexo 1)
Asunto
Prestación de Servicios de comunicaciones en la nube.
Duración
Vigencia de la MSA más retención legalmente requerida.
Naturaleza y propósito
Enrutamiento, entrega, almacenamiento y facturación de voz/mensajería y soporte relacionado.
Tipos de datos personales
Identificadores de contacto, números de teléfono, metadatos de llamadas/mensajes, datos de cuenta y cualquier contenido que transmita el Controlador.
Categorías de interesados
Personal del responsable del tratamiento, usuarios finales y partes llamadas/llamanntes.
4. Obligaciones del procesador
MCM:
Procesar Datos Personales únicamente siguiendo instrucciones documentadas del Responsable, incluso para transferencias, a menos que lo exija la ley (en cuyo caso informará al Responsable a menos que esté legalmente prohibido).
Garantizar que las personas autorizadas para procesar estén sujetas a la confidencialidad.
Implantar medidas de seguridad técnicas y organizativas apropiadas (Anexo 2).
Respetar las condiciones de contratación de subencargados (Sección 5).
Asistir al Responsable, en la medida de lo posible, en las solicitudes de los interesados.
Asistir al Responsable del tratamiento con evaluaciones de impacto en materia de seguridad, notificación de infracciones y protección de datos.
Eliminar o devolver Datos Personales al finalizar los Servicios, sujeto a retención legal.
Poner a disposición la información necesaria para demostrar el cumplimiento y permitir auditorías (Sección 7).
5. Subprocesadores
El Controlador autoriza a MCM a contratar a los subprocesadores enumerados en la Lista de subprocesadores. MCM impondrá obligaciones de protección de datos a cada subprocesador que no sean menos protectoras que este DPA y seguirá siendo responsable de su desempeño. MCM notificará los cambios previstos a los subprocesadores y permitirá que el Controlador se oponga por motivos razonables de protección de datos.
6. Derechos e incumplimiento de los datos del interesado
MCM notificará de inmediato al Controlador sobre cualquier solicitud que reciba de un interesado y no responderá excepto por instrucción del Controlador o según lo exija la ley.
MCM notificará al Controlador sin demora indebida después de tener conocimiento de una violación de Datos Personales y proporcionará la información razonablemente requerida para las obligaciones de notificación del Controlador.
7. Auditoría
MCM pondrá a disposición la información necesaria para demostrar el cumplimiento y contribuir a las auditorías, incluidas las inspecciones, realizadas por el Contralor o un auditor a su cargo, con un aviso razonable y sujeto a confidencialidad, no más de una vez al año excepto cuando lo requiera una autoridad de control o tras un incumplimiento.
8. Transferencias Internacionales
9. Leyes de privacidad estatales de EE. UU.
En la medida en que se apliquen las leyes de privacidad estatales de EE. UU., MCM actúa como un "proveedor de servicios"/"procesador", no "venderá" ni "compartirá" datos personales ni los retendrá, utilizará ni divulgará fuera de la relación comercial directa o según lo permita la ley, y cumplirá con las obligaciones aplicables.
10. generales
Este DPA prevalece sobre los términos contradictorios de la MSA con respecto al procesamiento de datos personales. La responsabilidad está sujeta a las limitaciones de la MSA. Se rige por la ley de MSA, excepto cuando las Leyes de Protección de Datos exijan lo contrario.
Anexo 2 — Medidas de seguridad
Controles de acceso y privilegios mínimos
Cifrado en tránsito
Seguridad de redes y aplicaciones
Registro y monitoreo
Confidencialidad y formación del personal.
Gestión de proveedores
Respuesta a incidentes
Copia de seguridad y recuperación