1. Reikwijdte en rollen
Deze Verwerkersovereenkomst (“DPA”) maakt deel uit van de Hoofdserviceovereenkomst tussen My Country Mobile Pte Ltd, opererend als My Country Mobile (“Verwerker”), en de Klant (“Verwerkingsverantwoordelijke”). Het is van toepassing wanneer MCM namens de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt bij het verlenen van de Diensten. Voor sommige gegevens (bijvoorbeeld CPNI en oproeproutering die wettelijk verplicht zijn) kan MCM optreden als onafhankelijke verwerkingsverantwoordelijke.
2. Definities
‘Persoonlijke gegevens’, ‘verwerking’, ‘betrokkene’, ‘verwerkingsverantwoordelijke’ en ‘verwerker’ hebben de betekenis in de toepasselijke wetgeving inzake gegevensbescherming (inclusief de AVG en de Britse AVG). “Gegevensbeschermingswetten” betekent alle wetten die van toepassing zijn op de verwerking, inclusief de AVG, de Britse AVG en de privacywetten van de Amerikaanse staat.
3. Verwerkingsgegevens (bijlage 1)
Onderwerp
Levering van cloudcommunicatiediensten.
Duur
Termijn van de MSA plus wettelijk verplichte bewaring.
Aard en doel
Routering, levering, opslag en facturering van spraak/berichten en gerelateerde ondersteuning.
Soorten persoonlijke gegevens
Contact-ID's, telefoonnummers, metagegevens van oproepen/berichten, accountgegevens en alle inhoud die de Verwerkingsverantwoordelijke verzendt.
Categorieën van betrokkenen
Personeel van de verwerkingsverantwoordelijke, eindgebruikers en gebelde/bellende partijen.
4. Verplichtingen van de verwerker
MCM zal:
Verwerk Persoonsgegevens alleen volgens de gedocumenteerde instructies van de Verwerkingsverantwoordelijke, inclusief voor overdrachten, tenzij dit wettelijk vereist is (in welk geval hij de Verwerkingsverantwoordelijke zal informeren, tenzij dit wettelijk verboden is).
Zorg ervoor dat personen die bevoegd zijn om te verwerken, gebonden zijn aan vertrouwelijkheid.
Implementeer passende technische en organisatorische beveiligingsmaatregelen (bijlage 2).
Respecteer de voorwaarden voor het inschakelen van subverwerkers (paragraaf 5).
De verwerkingsverantwoordelijke, voor zover mogelijk, assisteren bij verzoeken van betrokkenen.
Assisteer de Verwerkingsverantwoordelijke met beveiliging, melding van inbreuken en impactbeoordelingen op gegevensbescherming.
Verwijder of retourneer Persoonsgegevens aan het einde van de Diensten, behoudens wettelijke bewaarplicht.
Stel informatie beschikbaar die nodig is om naleving aan te tonen en audits mogelijk te maken (paragraaf 7).
5. Subverwerkers
De Verwerkingsverantwoordelijke machtigt MCM om de subverwerkers in te schakelen die vermeld staan in de Subverwerkerslijst. MCM zal elke subverwerker gegevensbeschermingsverplichtingen opleggen die niet minder beschermend zijn dan deze DPA en blijft verantwoordelijk voor hun prestaties. MCM zal subverwerkers op de hoogte stellen van voorgenomen wijzigingen en de Verwerkingsverantwoordelijke toestaan bezwaar te maken op redelijke gronden van gegevensbescherming.
6. Rechten van betrokkenen en inbreuk
MCM zal de Verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen van elk verzoek dat zij ontvangt van een betrokkene en zal niet reageren, behalve op instructie van de Verwerkingsverantwoordelijke of zoals wettelijk vereist.
MCM zal de Verwerkingsverantwoordelijke zonder onnodige vertraging op de hoogte stellen nadat zij zich bewust wordt van een inbreuk in verband met Persoonsgegevens en informatie verstrekken die redelijkerwijs vereist is voor de meldingsverplichtingen van de Verwerkingsverantwoordelijke.
7. Controle
MCM zal informatie beschikbaar stellen die nodig is om de naleving aan te tonen en bij te dragen aan audits, inclusief inspecties, uitgevoerd door de Verwerkingsverantwoordelijke of een door haar gemachtigde auditor, met redelijke kennisgeving en onder voorbehoud van vertrouwelijkheid, niet meer dan eenmaal per jaar behalve indien vereist door een toezichthoudende autoriteit of na een inbreuk.
8. Internationale overdrachten
9. Privacywetten van de Amerikaanse staat
Voor zover de privacywetten van de Amerikaanse staat van toepassing zijn, treedt MCM op als een ‘dienstverlener’/‘verwerker’, zal zij geen Persoonsgegevens ‘verkopen’ of ‘delen’, noch deze bewaren, gebruiken of openbaar maken buiten de directe zakelijke relatie of zoals toegestaan door de wet, en zal zij voldoen aan de toepasselijke verplichtingen.
10. Algemeen
Deze DPA prevaleert boven tegenstrijdige voorwaarden van de MSA met betrekking tot de verwerking van Persoonsgegevens. Aansprakelijkheid is onderworpen aan de beperkingen in de MSA. Hierop is het recht van de MSA van toepassing, tenzij de wetgeving inzake gegevensbescherming anders vereist.
Bijlage 2 — Beveiligingsmaatregelen
Toegangscontroles en minimale privileges
Versleuteling tijdens verzending
Netwerk- en applicatiebeveiliging
Loggen en monitoren
Vertrouwelijkheid en training van personeel
Leveranciersbeheer
Reactie op incidenten
Back-up en herstel