1. Zakres i role
Niniejsza Umowa o przetwarzaniu danych („DPA”) stanowi część Ramowa umowa o świadczenie usług pomiędzy My Country Mobile Pte Ltd, działającą jako My Country Mobile („Podmiot przetwarzający”), a Klientem („Administrator”). Ma zastosowanie, gdy MCM przetwarza Dane Osobowe w imieniu Administratora w ramach świadczenia Usług. W przypadku niektórych danych (np. CPNI i routingu połączeń wymaganych przez prawo) MCM może działać jako niezależny administrator.
2. Definicje
„Dane osobowe”, „przetwarzanie”, „osoba, której dane dotyczą”, „administrator” i „podmiot przetwarzający” mają znaczenie określone w obowiązującym prawie o ochronie danych (w tym RODO i brytyjskim RODO). „Przepisy dotyczące ochrony danych” oznaczają wszystkie przepisy mające zastosowanie do przetwarzania, w tym RODO, brytyjskie RODO i przepisy dotyczące prywatności stanu USA.
3. Szczegóły przetwarzania (załącznik 1)
Tematyka
Świadczenie usług komunikacji w chmurze.
Czas trwania
Okres obowiązywania umowy MSA plus wymagane prawnie przechowywanie.
Natura i cel
Routing, dostawa, przechowywanie i rozliczanie usług głosowych/wiadomości oraz powiązane wsparcie.
Rodzaje danych osobowych
Identyfikatory kontaktowe, numery telefonów, metadane połączeń/wiadomości, dane konta i wszelkie treści przesyłane przez Administratora.
Kategorie osób, których dane dotyczą
Personel administratora, użytkownicy końcowi i strony wywoływane/wywołujące.
4. Obowiązki podmiotu przetwarzającego
MCM będzie:
Przetwarzaj Dane Osobowe wyłącznie na udokumentowane polecenie Administratora, w tym w przypadku przekazywania, chyba że wymagają tego przepisy prawa (w takim przypadku poinformuje o tym Administratora, chyba że będzie to prawnie zabronione).
Upewnij się, że osoby upoważnione do przetwarzania są zobowiązane do zachowania poufności.
Wdrożyć odpowiednie techniczne i organizacyjne środki bezpieczeństwa (Załącznik 2).
Przestrzegaj warunków angażowania podwykonawców przetwarzania (sekcja 5).
W miarę możliwości pomagaj Administratorowi w realizacji żądań osób, których dane dotyczą.
Wspieraj Administratora w zakresie bezpieczeństwa, powiadamiania o naruszeniach i ocenie skutków dla ochrony danych.
Usuń lub zwróć Dane Osobowe po zakończeniu świadczenia Usług, z zastrzeżeniem prawnego przechowywania.
Udostępnij informacje niezbędne do wykazania zgodności i umożliwij audyty (sekcja 7).
5. Podwykonawcy przetwarzania
Administrator upoważnia MCM do zaangażowania podprocesorów wymienionych na Liście Podprocesorów. MCM nałoży obowiązki w zakresie ochrony danych na każdego podwykonawcę przetwarzania w stopniu nie mniejszym niż niniejsza Umowa o ochronie danych i pozostaje odpowiedzialna za ich wykonanie. MCM poinformuje o zamierzonych zmianach podwykonawców przetwarzania i umożliwi Administratorowi złożenie sprzeciwu z uzasadnionych powodów związanych z ochroną danych.
6. Prawa osób, których dane dotyczą, i ich naruszenia
MCM niezwłocznie powiadomi Administratora o każdym żądaniu otrzymanym od osoby, której dane dotyczą, i nie będzie odpowiadać, chyba że na polecenie Administratora lub gdy będzie to wymagane prawnie.
MCM powiadomi Administratora bez zbędnej zwłoki po powzięciu informacji o naruszeniu Danych Osobowych i przekaże informacje zasadnie wymagane do wypełnienia obowiązków informacyjnych Administratora.
7. Audyt
MCM udostępni informacje niezbędne do wykazania zgodności i przyczyni się do audytów, w tym inspekcji, prowadzonych przez Administratora lub upoważnionego przez niego audytora, z rozsądnym wyprzedzeniem i z zachowaniem poufności, nie później niż raz w roku z wyjątkiem przypadków, gdy jest to wymagane przez organ nadzorczy lub w wyniku naruszenia.
8. Przelewy międzynarodowe
9. Przepisy dotyczące prywatności stanu USA
W zakresie, w jakim mają zastosowanie przepisy dotyczące prywatności stanu USA, MCM pełni rolę „dostawcy usług”/„podmiotu przetwarzającego” i nie będzie „sprzedawać” ani „udostępniać” Danych Osobowych, ani też nie przechowywać, wykorzystywać ani ujawniać ich poza bezpośrednimi relacjami biznesowymi lub w sposób dozwolony przez prawo i będzie przestrzegać obowiązujących obowiązków.
10. Generał
Niniejsza Umowa o ochronie danych ma pierwszeństwo przed sprzecznymi warunkami umowy MSA dotyczącymi przetwarzania danych osobowych. Odpowiedzialność podlega ograniczeniom określonym w Umowie MSA. Podlega prawu MSA, chyba że przepisy o ochronie danych stanowią inaczej.
Załącznik 2 — Środki bezpieczeństwa
Kontrola dostępu i najmniejsze uprawnienia
Szyfrowanie w transporcie
Bezpieczeństwo sieci i aplikacji
Rejestrowanie i monitorowanie
Poufność personelu i szkolenia
Zarządzanie dostawcami
Reakcja na incydent
Kopia zapasowa i odzyskiwanie