1. Domeniu de aplicare și roluri
Acest Acord de prelucrare a datelor („DPA”) face parte din Contract principal de servicii între My Country Mobile Pte Ltd, care operează ca My Country Mobile („Procesor”), și Client („Controller”). Se aplică în cazul în care MCM prelucrează Date cu caracter personal în numele Controlorului în furnizarea Serviciilor. Pentru unele date (de exemplu, CPNI și rutarea apelurilor cerute de lege), MCM poate acționa ca un controlor independent.
2. Definiții
„Datele cu caracter personal”, „prelucrarea”, „subiectul datelor”, „operatorul” și „procesorul” au semnificațiile din legea aplicabilă privind protecția datelor (inclusiv GDPR și GDPR din Regatul Unit). „Legile privind protecția datelor” înseamnă toate legile aplicabile prelucrării, inclusiv GDPR, GDPR din Regatul Unit și legile de confidențialitate de stat din SUA.
3. Detalii de procesare (Anexa 1)
Subiect
Furnizarea de servicii de comunicații în cloud.
Durată
Termenul MSA plus păstrarea legală.
Natura și scopul
Dirijarea, livrarea, stocarea și facturarea vocelor/mesajelor și asistență asociată.
Tipuri de date personale
Identificatorii de contact, numerele de telefon, metadatele apelurilor/mesajelor, datele contului și orice conținut transmis de Controlor.
Categorii de persoane vizate
Personalul controlorului, utilizatorii finali și părțile apelate/care apelează.
4. Obligațiile procesatorului
MCM va:
Prelucrați Datele cu Caracter Personal numai conform instrucțiunilor documentate ale Controlorului, inclusiv pentru transferuri, cu excepția cazului în care este cerut de lege (caz în care va informa Controlorul dacă nu este interzis legal).
Asigurați-vă că persoanele autorizate să proceseze sunt legate de confidențialitate.
Implementarea măsurilor de securitate tehnice și organizatorice adecvate (Anexa 2).
Respectați condițiile de angajare a subprocesorilor (Secțiunea 5).
Asistați Controlorul, pe cât posibil, cu solicitările persoanelor vizate.
Asistați controlorul cu evaluările de impact privind securitatea, notificarea încălcării și protecția datelor.
Ștergeți sau returnați Datele cu caracter personal la sfârșitul Serviciilor, sub rezerva reținerii legale.
Pune la dispoziție informațiile necesare pentru a demonstra conformitatea și pentru a permite audituri (Secțiunea 7).
5. Sub-procesori
Controlorul autorizează MCM să angajeze sub-procesorii enumerați în Lista de sub-procesatori. MCM va impune obligații de protecție a datelor fiecărui sub-procesor nu mai puțin protectiv decât acest DPA și rămâne responsabil pentru performanța acestora. MCM va anunța subprocesorilor cu privire la modificările intenționate și va permite Controlorului să se opună din motive rezonabile de protecție a datelor.
6. Drepturile și încălcarea persoanelor vizate
MCM va notifica cu promptitudine Controlorul cu privire la orice solicitare pe care o primește de la o persoană vizată și nu va răspunde decât la instrucțiunile Controlorului sau conform prevederilor legale.
MCM va notifica Operatorul fără întârzieri nejustificate după ce a luat la cunoștință de o încălcare a datelor cu caracter personal și va furniza informațiile necesare în mod rezonabil pentru obligațiile de notificare ale Controlorului.
7. Audit
MCM va pune la dispoziție informațiile necesare pentru a demonstra conformitatea și pentru a contribui la audituri, inclusiv inspecții, efectuate de controlor sau de un auditor pe care îl mandatează, cu o notificare rezonabilă și sub rezerva confidențialității, cel mult o dată pe an cu excepția cazurilor în care este cerut de o autoritate de supraveghere sau în urma unei încălcări.
8. Transferuri internaționale
9. Legile statului SUA privind confidențialitatea
În măsura în care se aplică legile statului SUA privind confidențialitatea, MCM acționează ca „furnizor de servicii”/„procesor”, nu va „vinde” sau „parta” Datele cu caracter personal și nu le va păstra, utiliza sau dezvălui în afara relației de afaceri directe sau conform legii și se va conforma obligațiilor aplicabile.
10. General
Acest DPA prevalează asupra condițiilor conflictuale din MSA cu privire la prelucrarea datelor cu caracter personal. Răspunderea este supusă limitărilor din MSA. Este guvernată de legea MSA, cu excepția cazului în care legile privind protecția datelor impun altfel.
Anexa 2 — Măsuri de securitate
Controale de acces și cel mai mic privilegiu
Criptare în tranzit
Securitatea rețelei și a aplicațiilor
Înregistrare și monitorizare
Confidențialitatea și instruirea personalului
Managementul furnizorilor
Răspuns la incident
Backup și recuperare