1. 範囲と役割
このデータ処理契約 (「DPA」) は、 マスターサービス契約 My Country Mobile Pte Ltd (「プロセッサー」) と顧客 (「コントローラー」) の間で、My Country Mobile として運営されています。これは、サービスを提供する際に MCM が管理者に代わって個人データを処理する場合に適用されます。一部のデータ (法律で要求されている CPNI やコール ルーティングなど) については、MCM が独立したコントローラとして機能する場合があります。
2. 定義
「個人データ」、「処理」、「データ主体」、「管理者」、および「処理者」は、適用されるデータ保護法 (GDPR および英国 GDPR を含む) での意味を持ちます。 「データ保護法」とは、GDPR、英国の GDPR、および米国の州プライバシー法を含む、処理に適用されるすべての法律を意味します。
3. 処理の詳細(別紙 1)
主題
クラウド通信サービスの提供。
間隔
MSA の期間に法的に必要な保存期間を加えたもの。
性質と目的
音声/メッセージングおよび関連サポートのルーティング、配信、保管、請求。
個人データの種類
連絡先識別子、電話番号、通話/メッセージのメタデータ、アカウント データ、およびコントローラーが送信するコンテンツ。
データ主体のカテゴリ
管理者の担当者、エンドユーザー、および着信側/発信側。
4. プロセッサーの義務
MCM は次のことを行います。
法律で要求される場合を除き、転送を含む管理者の文書化された指示に従ってのみ個人データを処理してください (その場合、法的に禁止されていない限り、管理者に通知されます)。
処理を許可された人には機密保持が義務付けられるようにしてください。
適切な技術的および組織的セキュリティ対策を実施します(付録 2)。
副処理者を雇用するための条件を尊重します (セクション 5)。
可能な限り、データ主体のリクエストに関して管理者を支援します。
セキュリティ、侵害通知、データ保護への影響評価で管理者を支援します。
法的保持を条件として、サービスの終了時に個人データを削除または返却します。
コンプライアンスを証明し、監査を可能にするために必要な情報を利用できるようにします (セクション 7)。
5. サブプロセッサー
コントローラーは、サブプロセッサー リストにリストされているサブプロセッサーを使用することを MCM に許可します。 MCM は、各副処理者にこの DPA と同等のデータ保護義務を課し、その履行に対して引き続き責任を負います。 MCM は、意図された変更を副処理者に通知し、管理者が合理的なデータ保護の理由に基づいて異議を申し立てることを許可します。
6. データ主体の権利と侵害
MCM は、データ主体から受け取ったリクエストを直ちに管理者に通知し、管理者の指示がある場合または法的に要求される場合を除き、応答しません。
MCM は、個人データ侵害を認識した後、不当な遅滞なく管理者に通知し、管理者の通知義務に合理的に必要な情報を提供します。
7. 監査
MCM は、コンプライアンスを実証し、管理者または管理者が委任する監査人によって実施される検査を含む監査に貢献するために必要な情報を、合理的な通知に基づいて機密保持の範囲内で提供します。 年に1回 ただし、監督当局によって要求された場合、または違反後の場合を除きます。
8. 国際送金
9. 米国州のプライバシー法
米国州のプライバシー法が適用される範囲において、MCM は「サービス プロバイダー」/「処理者」として機能し、直接的な取引関係または法律で許可されている場合以外では、個人データを「販売」または「共有」したり、保持、使用、開示したりすることはなく、適用される義務を遵守します。
10. 一般
この DPA は、個人データの処理に関する MSA の矛盾する条件よりも優先されます。責任には MSA の制限が適用されます。データ保護法で別段の定めがある場合を除き、MSA の法律に準拠します。
付録 2 — セキュリティ対策
アクセス制御と最小権限
転送中の暗号化
ネットワークとアプリケーションのセキュリティ
ロギングとモニタリング
従業員の機密保持とトレーニング
ベンダー管理
インシデント対応
バックアップとリカバリ