1. Portée et rôles
Cet accord de traitement des données (« DPA ») fait partie du Contrat-cadre de service entre My Country Mobile Pte Ltd, opérant sous le nom de My Country Mobile (« Processeur »), et le Client (« Contrôleur »). Cela s'applique lorsque MCM traite les données personnelles pour le compte du responsable du traitement dans le cadre de la fourniture des services. Pour certaines données (par exemple, CPNI et routage d'appels requis par la loi), MCM peut agir en tant que contrôleur indépendant.
2. Définitions
« Données personnelles », « traitement », « personne concernée », « responsable du traitement » et « sous-traitant » ont la signification prévue dans la législation applicable en matière de protection des données (y compris le RGPD et le RGPD du Royaume-Uni). « Lois sur la protection des données » désigne toutes les lois applicables au traitement, y compris le RGPD, le RGPD du Royaume-Uni et les lois américaines sur la protection de la vie privée.
3. Détails du traitement (Annexe 1)
Sujet
Fourniture de services de communications cloud.
Durée
Durée du MSA plus conservation légalement requise.
Nature et finalité
Routage, livraison, stockage et facturation de la voix/messagerie et support associé.
Types de données personnelles
Identifiants de contact, numéros de téléphone, métadonnées d'appel/message, données de compte et tout contenu transmis par le contrôleur.
Catégories de personnes concernées
Personnel du contrôleur, utilisateurs finaux et appelés/appelants.
4. Obligations du processeur
MCM :
Traiter les données personnelles uniquement selon les instructions documentées du responsable du traitement, y compris pour les transferts, sauf si la loi l'exige (auquel cas il en informera le responsable du traitement, sauf si la loi l'interdit).
Assurez-vous que les personnes autorisées à traiter sont liées par la confidentialité.
Mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées (Annexe 2).
Respecter les conditions d’engagement des sous-traitants ultérieurs (Section 5).
Assister le responsable du traitement, dans la mesure du possible, avec les demandes des personnes concernées.
Aider le contrôleur avec les évaluations d’impact en matière de sécurité, de notification des violations et de protection des données.
Supprimer ou restituer les Données Personnelles à la fin des Services, sous réserve de conservation légale.
Rendre disponible les informations nécessaires pour démontrer la conformité et permettre les audits (Section 7).
5. Sous-traitants
Le Contrôleur autorise MCM à engager les sous-traitants répertoriés dans la liste des sous-traitants ultérieurs. MCM imposera à chaque sous-traitant des obligations de protection des données non moins protectrices que le présent DPA et reste responsable de leur performance. MCM informera les sous-traitants des modifications envisagées et permettra au responsable du traitement de s'y opposer pour des motifs raisonnables de protection des données.
6. Droits et violation des droits des personnes concernées
MCM informera rapidement le contrôleur de toute demande qu'elle reçoit d'une personne concernée et ne répondra pas sauf sur instruction du contrôleur ou si la loi l'exige.
MCM informera le Contrôleur sans délai injustifié après avoir pris connaissance d'une violation de données personnelles et fournira les informations raisonnablement requises pour les obligations de notification du Contrôleur.
7. Vérification
MCM mettra à disposition les informations nécessaires pour démontrer la conformité et contribuera aux audits, y compris les inspections, menés par le Contrôleur ou un auditeur qu'il mandate, dans un délai raisonnable et sous réserve de confidentialité, pas plus de une fois par an sauf exigence d’une autorité de contrôle ou suite à un manquement.
8. Transferts internationaux
9. Lois américaines sur la confidentialité
Dans la mesure où les lois américaines sur la confidentialité s'appliquent, MCM agit en tant que « fournisseur de services »/« sous-traitant », ne « vendra » ni ne « partagera » les données personnelles, ni ne les conservera, n'utilisera ou ne les divulguera en dehors de la relation commerciale directe ou tel que permis par la loi, et se conformera aux obligations applicables.
10. Général
Ce DPA prévaut sur les conditions contradictoires du MSA concernant le traitement des données personnelles. La responsabilité est soumise aux limitations du MSA. Il est régi par la loi de la MSA, sauf lorsque les lois sur la protection des données l'exigent autrement.
Annexe 2 — Mesures de sécurité
Contrôles d'accès et moindre privilège
Chiffrement en transit
Sécurité des réseaux et des applications
Journalisation et surveillance
Confidentialité et formation du personnel
Gestion des fournisseurs
Réponse aux incidents
Sauvegarde et récupération