1. Сфера застосування та ролі
Ця Угода про обробку даних («DPA») є частиною Генеральна угода про надання послуг між My Country Mobile Pte Ltd, яка діє як My Country Mobile («Обробник»), і Клієнтом («Контролер»). Він застосовується, коли MCM обробляє Персональні дані від імені Контролера під час надання Послуг. Для деяких даних (наприклад, CPNI та маршрутизації викликів, які вимагаються законом), MCM може діяти як незалежний контролер.
2. Визначення
«Особисті дані», «обробка», «суб’єкт даних», «контролер» і «обробник» мають значення відповідно до чинного законодавства про захист даних (включаючи GDPR і GDPR Великобританії). «Закони про захист даних» означають усі закони, що застосовуються до обробки, включаючи GDPR, GDPR Великобританії та закони штату США про конфіденційність.
3. Деталі обробки (Додаток 1)
Предмет
Надання Послуг хмарних комунікацій.
Тривалість
Термін дії MSA плюс передбачене законом утримання.
Характер і призначення
Маршрутизація, доставка, зберігання та виставлення рахунків за голосові/повідомлення та відповідна підтримка.
Типи персональних даних
Ідентифікатори контактів, номери телефонів, метадані дзвінків/повідомлень, дані облікового запису та будь-який вміст, який передає Контролер.
Категорії суб'єктів даних
Персонал контролера, кінцеві користувачі та сторони, що викликають/викликають.
4. Зобов'язання процесора
MCM:
Обробляти Персональні дані лише відповідно до задокументованих інструкцій Контролера, у тому числі для передачі, якщо цього не вимагає закон (у цьому випадку він інформуватиме Контролера, якщо це не заборонено законом).
Переконайтеся, що особи, уповноважені на обробку, пов’язані конфіденційністю.
Впровадити відповідні технічні та організаційні заходи безпеки (додаток 2).
Дотримуйтеся умов залучення субпроцесорів (розділ 5).
Допомагати Контролеру, наскільки це можливо, із запитами суб’єктів даних.
Допоможіть контролеру з оцінкою безпеки, сповіщенням про порушення та оцінкою впливу на захист даних.
Видалити або повернути Особисті дані після завершення роботи Служб за умови законного збереження.
Надати інформацію, необхідну для демонстрації відповідності та дозволити проведення аудитів (Розділ 7).
5. Підпроцесори
Контролер уповноважує MCM залучати субпроцесорів, перелічених у Списку субпроцесорів. MCM накладає на кожного субпроцесора зобов’язання щодо захисту даних, не менші, ніж цей DPA, і несе відповідальність за їх виконання. MCM повідомить про заплановані зміни суб’єктам обробки даних і дозволить Контролеру заперечити з обґрунтованих причин щодо захисту даних.
6. Права суб’єктів даних і їх порушення
MCM негайно повідомить Контролера про будь-який запит, який він отримає від суб’єкта даних, і не відповість, окрім як за вказівкою Контролера або відповідно до вимог законодавства.
MCM повідомить Контролера без зайвої затримки після того, як стане відомо про порушення персональних даних, і надасть інформацію, обґрунтовано необхідну для виконання зобов’язань Контролера щодо сповіщення.
7. Аудит
MCM надаватиме доступ до інформації, необхідної для демонстрації відповідності, та сприятиме аудитам, у тому числі інспекціям, що проводяться Контролером або уповноваженим ним аудитором, за належним повідомленням та з дотриманням конфіденційності не більше ніж раз на рік крім випадків, коли цього вимагає наглядовий орган або після порушення.
8. Міжнародні перекази
9. Закони США про конфіденційність
У тій мірі, в якій застосовуються закони про конфіденційність штату США, MCM діє як «постачальник послуг»/«обробник», не буде «продавати» чи «ділитися» Персональними даними або зберігати, використовувати або розголошувати їх поза межами прямих ділових відносин або як це дозволено законом, і виконуватиме відповідні зобов’язання.
10. Загальні
Цей DPA має перевагу над суперечливими положеннями MSA щодо обробки персональних даних. Відповідальність регулюється обмеженнями в MSA. Він регулюється законодавством MSA, за винятком випадків, коли закони про захист даних вимагають іншого.
Додаток 2 — Заходи безпеки
Контроль доступу та найменші привілеї
Шифрування під час передачі
Безпека мережі та програм
Ведення журналів і моніторинг
Конфіденційність та навчання персоналу
Управління постачальником
Реагування на інцидент
Резервне копіювання та відновлення