1. Объем и роли
Настоящее Соглашение об обработке данных («DPA») является частью Генеральное соглашение об обслуживании между My Country Mobile Pte Ltd, действующей в качестве My Country Mobile («Процессор»), и Клиентом («Контролер»). Это применимо в тех случаях, когда MCM обрабатывает Персональные данные от имени Контролера при предоставлении Услуг. Для некоторых данных (например, CPNI и маршрутизации вызовов, требуемых законом), MCM может действовать как независимый контроллер.
2. Определения
«Персональные данные», «обработка», «субъект данных», «контролер» и «обработчик» имеют значения, указанные в применимом законодательстве о защите данных (включая GDPR и GDPR Великобритании). «Законы о защите данных» означают все законы, применимые к обработке, включая GDPR, GDPR Великобритании и законы штата США о конфиденциальности.
3. Подробности обработки (Приложение 1)
Тема сообщения
Предоставление услуг облачных коммуникаций.
Продолжительность
Срок действия MSA плюс требуемое по закону сохранение.
Природа и цель
Маршрутизация, доставка, хранение и выставление счетов за голосовые сообщения/сообщения и соответствующую поддержку.
Типы персональных данных
Идентификаторы контактов, номера телефонов, метаданные вызовов/сообщений, данные учетной записи и любой контент, который передает Контроллер.
Категории субъектов данных
Персонал контролера, конечные пользователи и вызывающие/вызывающие стороны.
4. Обязанности процессора
МСМ будет:
Обрабатывать Персональные данные только по документированным инструкциям Контролера, в том числе для передачи, если этого не требует закон (в этом случае он будет информировать Контролера, если это не запрещено законом).
Обеспечить соблюдение конфиденциальности лицами, уполномоченными на обработку.
Принять соответствующие технические и организационные меры безопасности (Приложение 2).
Соблюдайте условия привлечения субобработчиков (раздел 5).
Насколько это возможно, помогите Контролеру с запросами субъектов данных.
Оказание помощи Контролеру в вопросах безопасности, уведомлений о нарушениях и оценке воздействия на защиту данных.
Удалить или вернуть Персональные данные по окончании оказания Услуг при условии их законного хранения.
Предоставлять информацию, необходимую для демонстрации соответствия и обеспечения возможности проведения аудита (раздел 7).
5. Субпроцессоры
Контроллер уполномочивает MCM привлекать субобработчиков, перечисленных в Списке субобработчиков. MCM возлагает на каждого субобработчика обязательства по защите данных, не менее защитные, чем настоящий DPA, и продолжает нести ответственность за их работу. MCM уведомит субобработчиков о предполагаемых изменениях и позволит Контролеру возражать на разумных основаниях защиты данных.
6. Права субъектов данных и их нарушение
MCM незамедлительно уведомит Контролера о любом запросе, который он получит от субъекта данных, и не будет отвечать, кроме как по указанию Контролера или в соответствии с требованиями законодательства.
MCM уведомит Контролера без неоправданной задержки после того, как ему станет известно об утечке Персональных данных, и предоставит информацию, разумно необходимую для выполнения обязательств Контролера по уведомлению.
7. Аудит
MCM предоставит информацию, необходимую для демонстрации соответствия и участия в аудитах, включая проверки, проводимые Контролером или уполномоченным им аудитором, при заблаговременном уведомлении и с соблюдением конфиденциальности, не более один раз в год за исключением случаев, когда этого требует надзорный орган или после нарушения.
8. Международные переводы
9. Законы штата США о конфиденциальности
В той степени, в которой применяются законы штата США о конфиденциальности, MCM действует как «поставщик услуг»/«обработчик», не будет «продавать» или «делиться» Персональными данными, а также сохранять, использовать или раскрывать их за пределами прямых деловых отношений или в соответствии с законом, а также будет соблюдать применимые обязательства.
10. Общие сведения
Настоящее DPA имеет преимущественную силу над противоречивыми условиями MSA в отношении обработки Персональных данных. Ответственность подпадает под ограничения MSA. Это регулируется законодательством MSA, за исключением случаев, когда законы о защите данных требуют иного.
Приложение 2 — Меры безопасности
Контроль доступа и минимальные привилегии
Шифрование при передаче
Безопасность сети и приложений
Ведение журнала и мониторинг
Конфиденциальность и обучение персонала
Управление поставщиками
Реагирование на инцидент
Резервное копирование и восстановление