1. Ambito e ruoli
Il presente Accordo sul trattamento dei dati ("DPA") fa parte dell' Contratto di servizio principale tra My Country Mobile Pte Ltd, che opera come My Country Mobile ("Responsabile del trattamento"), e il Cliente ("Responsabile del trattamento"). Si applica laddove MCM tratta i Dati Personali per conto del Titolare nella fornitura dei Servizi. Per alcuni dati (ad esempio CPNI e instradamento delle chiamate richiesti dalla legge), MCM può agire come titolare del trattamento indipendente.
2. Definizioni
“Dati personali”, “trattamento”, “interessato”, “responsabile del trattamento” e “responsabile del trattamento” hanno il significato previsto dalle leggi applicabili sulla protezione dei dati (inclusi il GDPR e il GDPR del Regno Unito). Per “Leggi sulla protezione dei dati” si intendono tutte le leggi applicabili al trattamento, tra cui il GDPR, il GDPR del Regno Unito e le leggi sulla privacy degli Stati Uniti.
3. Dettagli del trattamento (Allegato 1)
Oggetto
Fornitura di servizi di comunicazione cloud.
Durata
Durata dell'MSA più conservazione richiesta dalla legge.
Natura e scopo
Routing, consegna, archiviazione e fatturazione di voce/messaggistica e relativo supporto.
Tipi di dati personali
Identificatori di contatto, numeri di telefono, metadati di chiamate/messaggi, dati dell'account e qualsiasi contenuto trasmesso dal Titolare.
Categorie di interessati
Personale del titolare, utenti finali e soggetti chiamati/chiamanti.
4. Obblighi del responsabile
MCM:
Trattare i dati personali solo seguendo le istruzioni documentate del Titolare, anche per i trasferimenti, a meno che ciò non sia richiesto dalla legge (nel qual caso informerà il Titolare a meno che non sia legalmente vietato).
Garantire che le persone autorizzate al trattamento siano vincolate alla riservatezza.
Implementare adeguate misure di sicurezza tecniche e organizzative (Allegato 2).
Rispettare le condizioni per l'assunzione di sub-responsabili del trattamento (Sezione 5).
Assistere il Titolare, per quanto possibile, nelle richieste dell'interessato.
Assistere il titolare del trattamento nelle valutazioni di sicurezza, notifica di violazioni e impatto sulla protezione dei dati.
Cancellare o restituire i Dati Personali al termine dei Servizi, soggetti a conservazione legale.
Rendere disponibili le informazioni necessarie per dimostrare la conformità e consentire gli audit (Sezione 7).
5. Sub-responsabili del trattamento
Il Titolare autorizza MCM a coinvolgere i sub-responsabili elencati nell'Elenco dei Sub-responsabili. MCM imporrà obblighi di protezione dei dati a ciascun sub-responsabile del trattamento non meno protettivi di quanto previsto dal presente DPA e rimarrà responsabile delle loro prestazioni. MCM informerà i sub-responsabili delle modifiche previste e consentirà al Titolare del trattamento di opporsi per ragionevoli motivi di protezione dei dati.
6. Diritti dell'interessato e violazione
MCM notificherà tempestivamente al Titolare qualsiasi richiesta ricevuta da un interessato e non risponderà se non su istruzione del Titolare o come richiesto dalla legge.
MCM informerà il Titolare senza indebito ritardo dopo essere venuta a conoscenza di una violazione dei dati personali e fornirà le informazioni ragionevolmente necessarie per gli obblighi di notifica del Titolare.
7. Controllo
MCM renderà disponibili le informazioni necessarie per dimostrare la conformità e contribuire agli audit, comprese le ispezioni, condotti dal Titolare o da un revisore da esso incaricato, con un preavviso ragionevole e soggetto a riservatezza, non più di una volta all'anno salvo ove richiesto da un’autorità di controllo o a seguito di una violazione.
8. Trasferimenti internazionali
9. Leggi sulla privacy dello stato americano
Nella misura in cui si applicano le leggi sulla privacy dello stato degli Stati Uniti, MCM agisce come "fornitore di servizi"/"responsabile del trattamento", non "venderà" o "condividerà" i dati personali né li conserverà, li utilizzerà o li divulgherà al di fuori del rapporto commerciale diretto o come consentito dalla legge, e rispetterà gli obblighi applicabili.
10. Generale
Il presente DPA prevale sui termini contrastanti dell'MSA relativi al trattamento dei dati personali. La responsabilità è soggetta alle limitazioni previste dall'MSA. È regolato dalla legge dell'MSA, salvo laddove le leggi sulla protezione dei dati richiedano diversamente.
Allegato 2 – Misure di sicurezza
Controlli di accesso e privilegi minimi
Crittografia in transito
Sicurezza della rete e delle applicazioni
Registrazione e monitoraggio
Riservatezza e formazione del personale
Gestione dei fornitori
Risposta all'incidente
Backup e ripristino