1. 범위 및 역할
본 데이터 처리 계약(“DPA”)은 다음의 일부를 구성합니다. 마스터 서비스 계약 My Country Mobile Pte Ltd(“처리자”)와 고객(“컨트롤러”) 사이. 이는 MCM이 서비스 제공 시 컨트롤러를 대신하여 개인 데이터를 처리하는 경우에 적용됩니다. 일부 데이터(예: 법률에서 요구하는 CPNI 및 통화 라우팅)의 경우 MCM이 독립적인 컨트롤러 역할을 할 수 있습니다.
2. 정의
"개인 데이터", "처리", "데이터 주체", "컨트롤러" 및 "프로세서"는 해당 데이터 보호법(GDPR 및 영국 GDPR 포함)에서 의미를 갖습니다. "데이터 보호법"은 GDPR, 영국 GDPR 및 미국 주 개인 정보 보호법을 포함하여 처리에 적용되는 모든 법률을 의미합니다.
3. 처리내용(별표1)
소재
클라우드 커뮤니케이션 서비스 제공.
지속
MSA 기간과 법적으로 요구되는 보존 기간입니다.
성격과 목적
음성/메시지 및 관련 지원의 라우팅, 전달, 저장, 청구.
개인정보의 유형
연락처 식별자, 전화번호, 통화/메시지 메타데이터, 계정 데이터 및 컨트롤러가 전송하는 모든 콘텐츠.
데이터 주체의 카테고리
컨트롤러의 직원, 최종 사용자 및 호출/발신 당사자.
4. 처리자의 의무
MCM은 다음을 수행합니다.
법률에서 요구하지 않는 한 전송을 포함하여 컨트롤러의 문서화된 지침에 따라서만 개인 데이터를 처리합니다(이 경우 법적으로 금지되지 않는 한 컨트롤러에게 알립니다).
처리 권한이 있는 사람은 기밀을 유지해야 합니다.
적절한 기술 및 조직 보안 조치를 구현합니다(부속서 2).
하위 프로세서 참여 조건을 존중합니다(섹션 5).
가능한 한 데이터 주체 요청에 대해 컨트롤러를 지원합니다.
보안, 위반 알림, 데이터 보호 영향 평가를 통해 컨트롤러를 지원합니다.
법적 보존에 따라 서비스 종료 시 개인 데이터를 삭제하거나 반환합니다.
규정 준수를 입증하고 감사를 허용하는 데 필요한 정보를 제공합니다(섹션 7).
5. 하위 프로세서
컨트롤러는 MCM이 하위 프로세서 목록에 나열된 하위 프로세서를 참여시킬 수 있는 권한을 부여합니다. MCM은 각 하위 프로세서에 본 DPA만큼 보호적인 데이터 보호 의무를 부과하고 그 성과에 대한 책임을 집니다. MCM은 하위 처리자에게 의도된 변경 사항을 통지하고 컨트롤러가 합리적인 데이터 보호 근거에 따라 이의를 제기할 수 있도록 허용합니다.
6. 데이터 주체 권리 및 위반
MCM은 데이터 주체로부터 받은 모든 요청을 컨트롤러에게 즉시 알리고 컨트롤러의 지시나 법적으로 요구되는 경우를 제외하고는 응답하지 않습니다.
MCM은 개인 데이터 침해를 인지한 후 과도한 지체 없이 컨트롤러에게 알리고 컨트롤러의 통지 의무에 합리적으로 필요한 정보를 제공합니다.
7. 감사
MCM은 규정 준수를 입증하고 감사관 또는 감사관이 위임한 감사관이 실시하는 감사에 기여하는 데 필요한 정보를 합당한 통지와 기밀유지에 따라 최대 한도 내에서 제공합니다. 일년에 한 번 단, 감독 기관에서 요구하거나 위반이 발생한 경우는 제외됩니다.
8. 해외송금
9. 미국 주 개인 정보 보호법
미국 주 개인정보 보호법이 적용되는 범위 내에서 MCM은 "서비스 제공자"/"처리자" 역할을 하며, 개인 데이터를 "판매" 또는 "공유"하지 않으며 직접적인 비즈니스 관계 외부에서 또는 법에서 허용하는 대로 개인 데이터를 보유, 사용 또는 공개하지 않으며 해당 의무를 준수합니다.
10. 일반사항
본 DPA는 개인 데이터 처리에 관한 MSA의 상충되는 조건보다 우선합니다. 책임에는 MSA의 제한이 적용됩니다. 데이터 보호법에서 달리 요구하는 경우를 제외하고는 MSA법의 적용을 받습니다.
부록 2 — 보안 조치
액세스 제어 및 최소 권한
전송 중 암호화
네트워크 및 애플리케이션 보안
로깅 및 모니터링
직원 기밀 유지 및 교육
벤더 관리
사고 대응
백업 및 복구