1. Omfattning och roller
Detta databehandlingsavtal ("DPA") utgör en del av Huvudserviceavtal mellan My Country Mobile Pte Ltd, som fungerar som My Country Mobile ("Behandlare") och kunden ("Controller"). Det gäller där MCM behandlar personuppgifter på den personuppgiftsansvariges vägnar vid tillhandahållandet av tjänsterna. För vissa data (t.ex. CPNI och samtalsdirigering som krävs enligt lag) kan MCM fungera som en oberoende registeransvarig.
2. Definitioner
"Personuppgifter", "bearbetning", "den registrerade", "kontrollant" och "behandlare" har betydelsen i tillämplig dataskyddslagstiftning (inklusive GDPR och Storbritanniens GDPR). "Dataskyddslagar" avser alla lagar som är tillämpliga på behandlingen, inklusive GDPR, Storbritanniens GDPR och USA:s sekretesslagar.
3. Bearbetningsdetaljer (bilaga 1)
Ämne
Tillhandahållande av molnkommunikationstjänster.
Varaktighet
MSA:s löptid plus lagstadgad lagring.
Natur och syfte
Routing, leverans, lagring och fakturering av röst/meddelanden och relaterad support.
Typer av personuppgifter
Kontaktidentifierare, telefonnummer, samtals-/meddelandemetadata, kontodata och allt innehåll som den registeransvarige överför.
Kategorier av registrerade
Controllers personal, slutanvändare och uppringda/uppringande parter.
4. Processorns skyldigheter
MCM kommer att:
Behandla personuppgifter endast enligt den personuppgiftsansvariges dokumenterade instruktioner, inklusive för överföringar, såvida det inte krävs enligt lag (i vilket fall den kommer att informera den personuppgiftsansvarige om det inte är lagligt förbjudet).
Se till att personer som är behöriga att behandla är bundna av konfidentialitet.
Genomför lämpliga tekniska och organisatoriska säkerhetsåtgärder (bilaga 2).
Respektera villkoren för att anlita underordnare (5 §).
Assistera den registeransvarige, så långt det är möjligt, med förfrågningar från registrerade.
Assistera den personuppgiftsansvarige med säkerhets-, intrångsmeddelanden och konsekvensbedömningar för dataskydd.
Radera eller returnera personuppgifter i slutet av tjänsterna, med förbehåll för laglig lagring.
Gör tillgänglig information som är nödvändig för att visa efterlevnad och möjliggöra revisioner (avsnitt 7).
5. Underprocessorer
Kontrollören auktoriserar MCM att engagera underprocessorerna som är listade i underprocessorlistan. MCM kommer att ålägga varje underbehandlare dataskyddskrav som inte är mindre skyddande än denna DPA och förblir ansvarig för deras prestanda. MCM kommer att meddela underordnare om avsedda ändringar och tillåta den registeransvarige att invända på rimliga dataskyddsskäl.
6. Den registrerades rättigheter och intrång
MCM kommer omedelbart att meddela den personuppgiftsansvarige om varje begäran den tar emot från en registrerad och kommer inte att svara utom på den personuppgiftsansvariges instruktioner eller enligt lag.
MCM kommer att meddela den personuppgiftsansvarige utan onödigt dröjsmål efter att ha blivit medveten om ett personuppgiftsintrång och tillhandahålla information som rimligen krävs för den personuppgiftsansvariges anmälningsskyldighet.
7. Revision
MCM kommer att tillhandahålla information som är nödvändig för att påvisa efterlevnad och bidra till revisioner, inklusive inspektioner, som utförs av den registeransvarige eller en revisor som den ger mandat, med rimligt varsel och med förbehåll för konfidentialitet, högst en gång per år utom när det krävs av en tillsynsmyndighet eller efter en överträdelse.
8. Internationella överföringar
9. USA:s delstaters integritetslagar
I den mån USA:s statliga integritetslagar är tillämpliga, agerar MCM som en "tjänsteleverantör"/"behandlare", kommer inte att "sälja" eller "dela" personuppgifter eller behålla, använda eller avslöja dem utanför den direkta affärsrelationen eller enligt lag, och kommer att följa tillämpliga skyldigheter.
10. Allmänt
Denna dataskyddsmyndighet har företräde framför motstridiga villkor i MSA angående behandling av personuppgifter. Ansvaret är föremål för begränsningarna i MSA. Det regleras av MSA:s lag utom där dataskyddslagar kräver annat.
Bilaga 2 – Säkerhetsåtgärder
Åtkomstkontroller och minsta rättigheter
Kryptering under överföring
Nätverks- och applikationssäkerhet
Loggning och övervakning
Personalsekretess och utbildning
Leverantörshantering
Incident respons
Säkerhetskopiering och återställning