1. Ruang Lingkup dan Peran
Perjanjian Pemrosesan Data (“DPA”) ini merupakan bagian dari Perjanjian Layanan Utama antara My Country Mobile Pte Ltd, yang beroperasi sebagai My Country Mobile (“Prosesor”), dan Pelanggan (“Pengendali”). Hal ini berlaku jika MCM memproses Data Pribadi atas nama Pengendali dalam menyediakan Layanan. Untuk beberapa data (misalnya CPNI dan perutean panggilan yang diwajibkan oleh hukum), MCM dapat bertindak sebagai pengontrol independen.
2. Definisi
“Data Pribadi”, “pemrosesan”, “subjek data”, “pengontrol”, dan “pemroses” memiliki arti sesuai dengan undang-undang perlindungan data yang berlaku (termasuk GDPR dan GDPR Inggris Raya). “Undang-undang Perlindungan Data” berarti semua undang-undang yang berlaku pada pemrosesan, termasuk undang-undang GDPR, GDPR Inggris Raya, dan undang-undang privasi negara bagian AS.
3. Detail Pemrosesan (Lampiran 1)
Materi pelajaran
Penyediaan Layanan komunikasi cloud.
Lamanya
Jangka waktu MSA ditambah retensi yang diwajibkan secara hukum.
Alam dan tujuan
Perutean, pengiriman, penyimpanan, dan penagihan suara/pesan serta dukungan terkait.
Jenis Data Pribadi
Pengidentifikasi kontak, nomor telepon, metadata panggilan/pesan, data akun, dan konten apa pun yang dikirimkan oleh Pengendali.
Kategori subjek data
Personel pengontrol, pengguna akhir, dan pihak yang dipanggil/dipanggil.
4. Kewajiban Prosesor
MCM akan:
Memproses Data Pribadi hanya berdasarkan instruksi terdokumentasi dari Pengendali, termasuk untuk transfer, kecuali diwajibkan oleh hukum (dalam hal ini akan memberitahu Pengendali kecuali dilarang secara hukum).
Pastikan orang yang berwenang untuk memproses terikat oleh kerahasiaan.
Menerapkan langkah-langkah keamanan teknis dan organisasi yang tepat (Lampiran 2).
Patuhi ketentuan untuk melibatkan sub-pemroses (Bagian 5).
Bantu Pengontrol, sejauh mungkin, dengan permintaan subjek data.
Membantu Pengendali dalam penilaian dampak keamanan, pemberitahuan pelanggaran, dan perlindungan data.
Menghapus atau mengembalikan Data Pribadi di akhir Layanan, tergantung pada penyimpanan hukum.
Menyediakan informasi yang diperlukan untuk menunjukkan kepatuhan dan memungkinkan dilakukannya audit (Bagian 7).
5. Sub-Prosesor
Pengontrol memberi wewenang kepada MCM untuk melibatkan sub-pemroses yang tercantum dalam Daftar Sub-pemroses. MCM akan menerapkan kewajiban perlindungan data pada setiap sub-pemroses yang tidak kalah protektifnya dengan DPA ini dan tetap bertanggung jawab atas kinerjanya. MCM akan memberikan pemberitahuan tentang perubahan yang dimaksudkan pada sub-pemroses dan mengizinkan Pengontrol untuk mengajukan keberatan atas dasar perlindungan data yang wajar.
6. Hak dan Pelanggaran Subjek Data
MCM akan segera memberi tahu Pengendali tentang setiap permintaan yang diterimanya dari subjek data dan tidak akan merespons kecuali atas instruksi Pengendali atau sebagaimana diwajibkan secara hukum.
MCM akan memberi tahu Pengendali tanpa penundaan yang tidak semestinya setelah mengetahui adanya pelanggaran Data Pribadi dan memberikan informasi yang diperlukan secara wajar untuk kewajiban pemberitahuan Pengendali.
7. Audit
MCM akan menyediakan informasi yang diperlukan untuk menunjukkan kepatuhan dan berkontribusi terhadap audit, termasuk inspeksi, yang dilakukan oleh Pengendali atau auditor yang diamanatkannya, dengan pemberitahuan yang wajar dan tunduk pada kerahasiaan, tidak lebih dari sekali per tahun kecuali jika diwajibkan oleh otoritas pengawas atau setelah terjadi pelanggaran.
8. Transfer Internasional
9. Hukum Privasi Negara Bagian AS
Sepanjang undang-undang privasi negara bagian AS berlaku, MCM bertindak sebagai “penyedia layanan”/”pemroses”, tidak akan “menjual” atau “membagikan” Data Pribadi atau menyimpan, menggunakan, atau mengungkapkannya di luar hubungan bisnis langsung atau sebagaimana diizinkan oleh hukum, dan akan mematuhi kewajiban yang berlaku.
10. Umum
DPA ini berlaku atas ketentuan MSA yang bertentangan mengenai pemrosesan Data Pribadi. Tanggung jawab tunduk pada batasan dalam MSA. Hal ini diatur oleh hukum MSA kecuali jika Undang-undang Perlindungan Data mensyaratkan sebaliknya.
Lampiran 2 — Tindakan Keamanan
Kontrol akses dan hak istimewa paling rendah
Enkripsi dalam perjalanan
Keamanan jaringan dan aplikasi
Pencatatan dan pemantauan
Kerahasiaan dan pelatihan personel
Manajemen vendor
Respons insiden
Pencadangan dan pemulihan