1. ขอบเขตและบทบาท
ข้อตกลงการประมวลผลข้อมูล (“DPA”) นี้เป็นส่วนหนึ่งของ ข้อตกลงการบริการหลัก ระหว่าง My Country Mobile Pte Ltd ซึ่งดำเนินงานในฐานะ My Country Mobile (“ผู้ประมวลผล”) และลูกค้า (“ผู้ควบคุม”) ใช้ในกรณีที่ MCM ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุมในการให้บริการ สำหรับข้อมูลบางอย่าง (เช่น CPNI และการกำหนดเส้นทางการโทรตามที่กฎหมายกำหนด) MCM อาจทำหน้าที่เป็นผู้ควบคุมอิสระ
2. คำจำกัดความ
“ข้อมูลส่วนบุคคล” “การประมวลผล” “เจ้าของข้อมูล” “ผู้ควบคุม” และ “ผู้ประมวลผล” มีความหมายในกฎหมายคุ้มครองข้อมูลที่บังคับใช้ (รวมถึง GDPR และ GDPR ของสหราชอาณาจักร) “กฎหมายคุ้มครองข้อมูล” หมายถึงกฎหมายทั้งหมดที่บังคับใช้กับการประมวลผล รวมถึง GDPR, GDPR ของสหราชอาณาจักร และกฎหมายความเป็นส่วนตัวของรัฐของสหรัฐอเมริกา
3. รายละเอียดการประมวลผล (ภาคผนวก 1)
หัวข้อเรื่อง
การให้บริการการสื่อสารบนคลาวด์
ระยะเวลา
ระยะเวลาของ MSA บวกกับการเก็บรักษาตามที่กฎหมายกำหนด
ธรรมชาติและวัตถุประสงค์
การกำหนดเส้นทาง การจัดส่ง การจัดเก็บ และการเรียกเก็บเงินสำหรับเสียง/ข้อความ และการสนับสนุนที่เกี่ยวข้อง
ประเภทของข้อมูลส่วนบุคคล
ตัวระบุผู้ติดต่อ หมายเลขโทรศัพท์ ข้อมูลเมตาการโทร/ข้อความ ข้อมูลบัญชี และเนื้อหาใดๆ ที่ผู้ควบคุมส่ง
ประเภทของหัวข้อข้อมูล
บุคลากรของผู้ควบคุม ผู้ใช้ปลายทาง และฝ่ายรับสาย/รับสาย
4. ภาระผูกพันของผู้ประมวลผล
MCM จะ:
ประมวลผลข้อมูลส่วนบุคคลตามคำแนะนำของผู้ควบคุมเท่านั้น รวมถึงการถ่ายโอน เว้นแต่กฎหมายกำหนด (ในกรณีนี้จะแจ้งให้ผู้ควบคุมทราบ เว้นแต่จะห้ามโดยกฎหมาย)
ตรวจสอบให้แน่ใจว่าบุคคลที่ได้รับอนุญาตให้ดำเนินการถูกผูกมัดโดยการรักษาความลับ
ใช้มาตรการทางเทคนิคและความปลอดภัยขององค์กรที่เหมาะสม (ภาคผนวก 2)
เคารพเงื่อนไขในการว่าจ้างผู้ประมวลผลย่อย (ส่วนที่ 5)
ช่วยเหลือผู้ควบคุมเท่าที่เป็นไปได้ด้วยการร้องขอจากเจ้าของข้อมูล
ช่วยเหลือผู้ควบคุมในเรื่องความปลอดภัย การแจ้งเตือนการละเมิด และการประเมินผลกระทบต่อการปกป้องข้อมูล
ลบหรือส่งคืนข้อมูลส่วนบุคคลเมื่อสิ้นสุดบริการ ขึ้นอยู่กับการเก็บรักษาทางกฎหมาย
จัดให้มีข้อมูลที่จำเป็นเพื่อแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดและอนุญาตให้มีการตรวจสอบ (ส่วนที่ 7)
5. โปรเซสเซอร์ย่อย
ผู้ควบคุมอนุญาตให้ MCM มีส่วนร่วมกับผู้ประมวลผลย่อยที่อยู่ในรายชื่อผู้ประมวลผลย่อย MCM จะกำหนดภาระหน้าที่ในการปกป้องข้อมูลให้กับโปรเซสเซอร์ย่อยแต่ละตัวไม่น้อยไปกว่า DPA นี้ และยังคงรับผิดชอบต่อการปฏิบัติงานของพวกเขา MCM จะแจ้งให้ทราบถึงการเปลี่ยนแปลงที่ตั้งใจไว้กับผู้ประมวลผลย่อย และอนุญาตให้ผู้ควบคุมคัดค้านด้วยเหตุผลการปกป้องข้อมูลที่สมเหตุสมผล
6. สิทธิ์และการละเมิดเจ้าของข้อมูล
MCM จะแจ้งให้ผู้ควบคุมทราบทันทีถึงคำขอใดๆ ที่ได้รับจากเจ้าของข้อมูล และจะไม่ตอบสนอง ยกเว้นตามคำสั่งของผู้ควบคุมหรือตามที่กฎหมายกำหนด
MCM จะแจ้งให้ผู้ควบคุมทราบโดยไม่ชักช้าหลังจากทราบถึงการละเมิดข้อมูลส่วนบุคคล และให้ข้อมูลที่จำเป็นตามสมควรสำหรับภาระหน้าที่ในการแจ้งเตือนของผู้ควบคุม
7. การตรวจสอบ
MCM จะจัดเตรียมข้อมูลที่จำเป็นเพื่อแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดและมีส่วนร่วมในการตรวจสอบ รวมถึงการตรวจสอบที่ดำเนินการโดยผู้ควบคุมหรือผู้ตรวจสอบที่ผู้ควบคุมได้รับมอบอำนาจ โดยแจ้งให้ทราบล่วงหน้าตามสมควรและขึ้นอยู่กับการรักษาความลับ ไม่เกิน ปีละครั้ง ยกเว้นในกรณีที่หน่วยงานกำกับดูแลกำหนดหรือปฏิบัติตามการละเมิด
8. การโอนระหว่างประเทศ
9. กฎหมายความเป็นส่วนตัวของรัฐสหรัฐอเมริกา
ภายในขอบเขตที่กฎหมายความเป็นส่วนตัวของรัฐสหรัฐอเมริกาบังคับใช้ MCM ทำหน้าที่เป็น "ผู้ให้บริการ"/"ผู้ประมวลผล" จะไม่ "ขาย" หรือ "แบ่งปัน" ข้อมูลส่วนบุคคลหรือเก็บรักษา ใช้ หรือเปิดเผยนอกความสัมพันธ์ทางธุรกิจโดยตรงหรือตามที่กฎหมายอนุญาต และจะปฏิบัติตามภาระผูกพันที่บังคับใช้
10. ทั่วไป
DPA นี้มีผลเหนือกว่าข้อกำหนดที่ขัดแย้งกันของ MSA ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล ความรับผิดขึ้นอยู่กับข้อจำกัดใน MSA อยู่ภายใต้กฎหมายของ MSA ยกเว้นในกรณีที่กฎหมายคุ้มครองข้อมูลกำหนดให้เป็นอย่างอื่น
ภาคผนวก 2 — มาตรการรักษาความปลอดภัย
การควบคุมการเข้าถึงและสิทธิ์ขั้นต่ำ
การเข้ารหัสระหว่างทาง
ความปลอดภัยของเครือข่ายและแอปพลิเคชัน
การบันทึกและการตรวจสอบ
การรักษาความลับและการฝึกอบรมบุคลากร
การจัดการผู้ขาย
การตอบสนองต่อเหตุการณ์
การสำรองข้อมูลและการกู้คืน