1. दायरा और भूमिकाएँ
यह डेटा प्रोसेसिंग समझौता ("डीपीए") इसका हिस्सा है मास्टर सेवा अनुबंध माई कंट्री मोबाइल पीटीई लिमिटेड के बीच, जो माई कंट्री मोबाइल ("प्रोसेसर"), और ग्राहक ("नियंत्रक") के रूप में काम कर रहा है। यह वहां लागू होता है जहां एमसीएम सेवाएं प्रदान करने में नियंत्रक की ओर से व्यक्तिगत डेटा संसाधित करता है। कुछ डेटा (उदाहरण के लिए, सीपीएनआई और कानून द्वारा आवश्यक कॉल-रूटिंग) के लिए, एमसीएम एक स्वतंत्र नियंत्रक के रूप में कार्य कर सकता है।
2. परिभाषाएँ
"व्यक्तिगत डेटा," "प्रसंस्करण," "डेटा विषय," "नियंत्रक," और "प्रोसेसर" का लागू डेटा-सुरक्षा कानून (जीडीपीआर और यूके जीडीपीआर सहित) में अर्थ है। "डेटा सुरक्षा कानून" का मतलब जीडीपीआर, यूके जीडीपीआर और यूएस राज्य गोपनीयता कानूनों सहित प्रसंस्करण पर लागू सभी कानून हैं।
3. प्रसंस्करण विवरण (अनुलग्नक 1)
विषय - वस्तु
क्लाउड संचार सेवाओं का प्रावधान।
अवधि
एमएसए की अवधि और कानूनी रूप से आवश्यक प्रतिधारण।
प्रकृति और उद्देश्य
वॉयस/मैसेजिंग और संबंधित समर्थन की रूटिंग, डिलीवरी, भंडारण और बिलिंग।
व्यक्तिगत डेटा के प्रकार
संपर्क पहचानकर्ता, फ़ोन नंबर, कॉल/संदेश मेटाडेटा, खाता डेटा और नियंत्रक द्वारा प्रेषित कोई भी सामग्री।
डेटा विषयों की श्रेणियाँ
नियंत्रक के कार्मिक, अंतिम उपयोगकर्ता, और कॉल/कॉल करने वाले पक्ष।
4. प्रोसेसर दायित्व
एमसीएम करेगा:
व्यक्तिगत डेटा को केवल नियंत्रक के दस्तावेजी निर्देशों पर संसाधित करें, जिसमें स्थानांतरण भी शामिल है, जब तक कि कानून द्वारा आवश्यक न हो (जिस स्थिति में यह नियंत्रक को सूचित करेगा जब तक कि कानूनी रूप से निषिद्ध न हो)।
सुनिश्चित करें कि प्रक्रिया के लिए अधिकृत व्यक्ति गोपनीयता से बंधे हैं।
उचित तकनीकी और संगठनात्मक सुरक्षा उपाय लागू करें (अनुलग्नक 2)।
उप-प्रोसेसरों को संलग्न करने की शर्तों का सम्मान करें (धारा 5)।
जहां तक संभव हो, डेटा-विषय अनुरोधों में नियंत्रक की सहायता करें।
सुरक्षा, उल्लंघन अधिसूचना और डेटा-सुरक्षा प्रभाव आकलन में नियंत्रक की सहायता करें।
कानूनी अवधारण के अधीन, सेवाओं के अंत में व्यक्तिगत डेटा को हटा दें या वापस कर दें।
अनुपालन प्रदर्शित करने और ऑडिट की अनुमति देने के लिए आवश्यक जानकारी उपलब्ध कराएं (धारा 7)।
5. सब-प्रोसेसर
नियंत्रक एमसीएम को उप-प्रोसेसर सूची में सूचीबद्ध उप-प्रोसेसरों को संलग्न करने के लिए अधिकृत करता है। एमसीएम प्रत्येक उप-प्रोसेसर पर डेटा-सुरक्षा दायित्व लगाएगा जो इस डीपीए से कम सुरक्षात्मक नहीं होगा और उनके प्रदर्शन के लिए जिम्मेदार रहेगा। एमसीएम उप-प्रोसेसरों में इच्छित परिवर्तनों की सूचना देगा और नियंत्रक को उचित डेटा-सुरक्षा आधार पर आपत्ति करने की अनुमति देगा।
6. डेटा विषय अधिकार और उल्लंघन
एमसीएम किसी डेटा विषय से प्राप्त किसी भी अनुरोध के बारे में तुरंत नियंत्रक को सूचित करेगा और नियंत्रक के निर्देश या कानूनी रूप से आवश्यक होने के अलावा कोई प्रतिक्रिया नहीं देगा।
व्यक्तिगत डेटा उल्लंघन के बारे में पता चलने के बाद एमसीएम बिना किसी देरी के नियंत्रक को सूचित करेगा और नियंत्रक के अधिसूचना दायित्वों के लिए उचित रूप से आवश्यक जानकारी प्रदान करेगा।
7. लेखापरीक्षा
एमसीएम अनुपालन प्रदर्शित करने और ऑडिट में योगदान देने के लिए आवश्यक जानकारी उपलब्ध कराएगा, जिसमें नियंत्रक या उसके द्वारा अधिदेशित ऑडिटर द्वारा किए गए निरीक्षण भी शामिल हैं, उचित नोटिस पर और गोपनीयता के अधीन, इससे अधिक नहीं साल में एक बार सिवाय इसके कि जहां पर्यवेक्षी प्राधिकारी द्वारा आवश्यक हो या किसी उल्लंघन के बाद।
8. अंतर्राष्ट्रीय स्थानान्तरण
9. अमेरिकी राज्य गोपनीयता कानून
जहां तक अमेरिकी राज्य गोपनीयता कानून लागू होते हैं, एमसीएम एक "सेवा प्रदाता"/"प्रोसेसर" के रूप में कार्य करता है, व्यक्तिगत डेटा को "बेचेगा" या "साझा" नहीं करेगा या इसे प्रत्यक्ष व्यावसायिक संबंधों के बाहर या कानून द्वारा अनुमति के अनुसार बनाए नहीं रखेगा, उपयोग नहीं करेगा या प्रकट नहीं करेगा, और लागू दायित्वों का पालन करेगा।
10. सामान्य
यह डीपीए व्यक्तिगत डेटा के प्रसंस्करण के संबंध में एमएसए की परस्पर विरोधी शर्तों पर हावी है। दायित्व एमएसए की सीमाओं के अधीन है। यह एमएसए के कानून द्वारा शासित होता है, सिवाय इसके कि जहां डेटा संरक्षण कानून के लिए अन्यथा आवश्यक हो।
परिशिष्ट 2 - सुरक्षा उपाय
अभिगम नियंत्रण और न्यूनतम विशेषाधिकार
पारगमन में एन्क्रिप्शन
नेटवर्क और एप्लिकेशन सुरक्षा
लॉगिंग और निगरानी
कार्मिक गोपनीयता और प्रशिक्षण
विक्रेता प्रबंधन
घटना प्रतिक्रिया
बैकअप और पुनर्प्राप्ति