1. Escopo e funções
Este Contrato de Processamento de Dados (“DPA”) faz parte do Contrato de serviço mestre entre My Country Mobile Pte Ltd, operando como My Country Mobile (“Processador”), e o Cliente (“Controlador”). Aplica-se quando a MCM processa Dados Pessoais em nome do Controlador na prestação dos Serviços. Para alguns dados (por exemplo, CPNI e roteamento de chamadas exigidos por lei), a MCM pode atuar como controlador independente.
2. Definições
“Dados Pessoais”, “processamento”, “titular dos dados”, “controlador” e “processador” têm os significados na lei de proteção de dados aplicável (incluindo o GDPR e o GDPR do Reino Unido). “Leis de Proteção de Dados” significa todas as leis aplicáveis ao processamento, incluindo o GDPR, o GDPR do Reino Unido e as leis de privacidade estaduais dos EUA.
3. Detalhes de Processamento (Anexo 1)
Assunto
Prestação de serviços de comunicações em nuvem.
Duração
Prazo do MSA mais retenção legalmente exigida.
Natureza e propósito
Roteamento, entrega, armazenamento e cobrança de voz/mensagens e suporte relacionado.
Tipos de dados pessoais
Identificadores de contato, números de telefone, metadados de chamadas/mensagens, dados de conta e qualquer conteúdo que o Controlador transmita.
Categorias de titulares de dados
Pessoal do Controlador, usuários finais e interlocutores/chamados.
4. Obrigações do Processador
O MCM irá:
Processar Dados Pessoais apenas de acordo com instruções documentadas do Controlador, inclusive para transferências, a menos que exigido por lei (nesse caso, informará o Controlador, a menos que seja legalmente proibido).
Certifique-se de que as pessoas autorizadas a processar estejam sujeitas à confidencialidade.
Implementar medidas de segurança técnicas e organizacionais adequadas (Anexo 2).
Respeite as condições de contratação de subprocessadores (Seção 5).
Auxiliar o Controlador, na medida do possível, nas solicitações dos titulares dos dados.
Auxiliar o Controlador com avaliações de segurança, notificação de violação e impacto na proteção de dados.
Excluir ou devolver Dados Pessoais ao final dos Serviços, sujeito à retenção legal.
Disponibilizar as informações necessárias para demonstrar a conformidade e permitir auditorias (Seção 7).
5. Subprocessadores
O Controlador autoriza a MCM a contratar os subprocessadores listados na Lista de Subprocessadores. A MCM imporá obrigações de proteção de dados a cada subprocessador não menos protetoras do que este DPA e permanecerá responsável pelo seu desempenho. A MCM notificará as alterações pretendidas aos subprocessadores e permitirá que o Controlador se oponha por motivos razoáveis de proteção de dados.
6. Direitos e Violação do Titular dos Dados
A MCM notificará imediatamente o Controlador sobre qualquer solicitação que receber de um titular de dados e não responderá, exceto por instrução do Controlador ou conforme exigido por lei.
A MCM notificará o Controlador sem demora injustificada após tomar conhecimento de uma violação de Dados Pessoais e fornecerá as informações razoavelmente necessárias para as obrigações de notificação do Controlador.
7. Auditoria
A MCM disponibilizará as informações necessárias para demonstrar conformidade e contribuir para auditorias, incluindo inspeções, conduzidas pelo Controlador ou por um auditor por ele mandatado, mediante aviso prévio razoável e sujeito a confidencialidade, não mais do que uma vez por ano exceto quando exigido por uma autoridade supervisora ou após uma violação.
8. Transferências Internacionais
9. Leis de Privacidade do Estado dos EUA
Na medida em que as leis de privacidade estaduais dos EUA se aplicam, a MCM atua como um “provedor de serviços”/“processador”, não “venderá” ou “compartilhará” Dados Pessoais nem os reterá, usará ou divulgará fora do relacionamento comercial direto ou conforme permitido por lei, e cumprirá as obrigações aplicáveis.
10. Geral
Este DPA prevalece sobre termos conflitantes da MSA em relação ao processamento de Dados Pessoais. A responsabilidade está sujeita às limitações do MSA. É regido pela lei da MSA, exceto quando as Leis de Proteção de Dados exigirem o contrário.
Anexo 2 — Medidas de Segurança
Controles de acesso e privilégios mínimos
Criptografia em trânsito
Segurança de redes e aplicativos
Registro e monitoramento
Confidencialidade e treinamento de pessoal
Gestão de fornecedores
Resposta a incidentes
Backup e recuperação