1. Phạm vi và vai trò
Thỏa thuận xử lý dữ liệu này (“DPA”) là một phần của Thỏa thuận dịch vụ chính giữa My Country Mobile Pte Ltd, hoạt động với tư cách là My Country Mobile (“Bên xử lý”) và Khách hàng (“Bên kiểm soát”). Nó áp dụng khi MCM thay mặt Bên kiểm soát xử lý Dữ liệu cá nhân trong việc cung cấp Dịch vụ. Đối với một số dữ liệu (ví dụ: CPNI và định tuyến cuộc gọi theo yêu cầu của pháp luật), MCM có thể hoạt động như một đơn vị kiểm soát độc lập.
2. Định nghĩa
“Dữ liệu cá nhân”, “xử lý”, “chủ thể dữ liệu”, “đơn vị kiểm soát” và “đơn vị xử lý” có ý nghĩa theo luật bảo vệ dữ liệu hiện hành (bao gồm GDPR và GDPR của Vương quốc Anh). “Luật bảo vệ dữ liệu” nghĩa là tất cả các luật áp dụng cho quá trình xử lý, bao gồm GDPR, GDPR của Vương quốc Anh và luật về quyền riêng tư của tiểu bang Hoa Kỳ.
3. Chi tiết xử lý (Phụ lục 1)
chủ đề
Cung cấp dịch vụ truyền thông đám mây.
Khoảng thời gian
Thời hạn của MSA cộng với việc lưu giữ theo yêu cầu hợp pháp.
Bản chất và mục đích
Định tuyến, phân phối, lưu trữ và thanh toán dịch vụ thoại/tin nhắn cũng như hỗ trợ liên quan.
Các loại dữ liệu cá nhân
Mã nhận dạng liên hệ, số điện thoại, siêu dữ liệu cuộc gọi/tin nhắn, dữ liệu tài khoản và mọi nội dung mà Bộ điều khiển truyền tải.
Danh mục đối tượng dữ liệu
Nhân viên của bên kiểm soát, người dùng cuối và các bên được gọi/gọi.
4. Nghĩa vụ của bên xử lý
MCM sẽ:
Chỉ xử lý Dữ liệu cá nhân theo hướng dẫn bằng văn bản của Bên kiểm soát, bao gồm cả việc chuyển giao, trừ khi pháp luật yêu cầu (trong trường hợp đó, Bên kiểm soát sẽ thông báo cho Bên kiểm soát trừ khi bị pháp luật cấm).
Đảm bảo những người được ủy quyền xử lý bị ràng buộc bởi tính bảo mật.
Thực hiện các biện pháp an ninh kỹ thuật và tổ chức phù hợp (Phụ lục 2).
Tôn trọng các điều kiện để thu hút người xử lý phụ (Phần 5).
Hỗ trợ Bên kiểm soát, càng nhiều càng tốt, với các yêu cầu về chủ đề dữ liệu.
Hỗ trợ Bên kiểm soát về vấn đề bảo mật, thông báo vi phạm và đánh giá tác động đến việc bảo vệ dữ liệu.
Xóa hoặc trả lại Dữ liệu cá nhân khi kết thúc Dịch vụ, tùy thuộc vào việc lưu giữ hợp pháp.
Cung cấp thông tin cần thiết để chứng minh sự tuân thủ và cho phép kiểm toán (Phần 7).
5. Bộ xử lý phụ
Đơn vị kiểm soát ủy quyền cho MCM tương tác với các đơn vị xử lý phụ được liệt kê trong Danh sách đơn vị xử lý phụ. MCM sẽ áp đặt nghĩa vụ bảo vệ dữ liệu đối với mỗi bộ xử lý phụ có mức độ bảo vệ không kém hơn DPA này và vẫn chịu trách nhiệm về hiệu suất của chúng. MCM sẽ đưa ra thông báo về những thay đổi dự kiến đối với đơn vị xử lý phụ và cho phép Bên kiểm soát phản đối trên cơ sở bảo vệ dữ liệu hợp lý.
6. Quyền và vi phạm của chủ thể dữ liệu
MCM sẽ thông báo ngay cho Bên kiểm soát về bất kỳ yêu cầu nào họ nhận được từ chủ thể dữ liệu và sẽ không phản hồi ngoại trừ hướng dẫn của Bên kiểm soát hoặc theo yêu cầu của pháp luật.
MCM sẽ thông báo không chậm trễ cho Bên kiểm soát sau khi biết được hành vi vi phạm Dữ liệu cá nhân và cung cấp thông tin cần thiết một cách hợp lý cho nghĩa vụ thông báo của Bên kiểm soát.
7. Kiểm toán
MCM sẽ cung cấp thông tin cần thiết để chứng minh sự tuân thủ và đóng góp cho hoạt động kiểm tra, bao gồm cả các cuộc thanh tra do Bên kiểm soát hoặc kiểm toán viên được ủy quyền thực hiện, với thông báo hợp lý và được bảo mật, không quá mỗi năm một lần trừ khi có yêu cầu của cơ quan giám sát hoặc sau khi có vi phạm.
8. Chuyển khoản quốc tế
9. Luật về quyền riêng tư của tiểu bang Hoa Kỳ
Trong phạm vi áp dụng của luật về quyền riêng tư của tiểu bang Hoa Kỳ, MCM hoạt động với tư cách là “nhà cung cấp dịch vụ”/“đơn vị xử lý”, sẽ không “bán” hoặc “chia sẻ” Dữ liệu cá nhân hay giữ lại, sử dụng hay tiết lộ dữ liệu đó bên ngoài mối quan hệ kinh doanh trực tiếp hoặc khi được pháp luật cho phép và sẽ tuân thủ các nghĩa vụ hiện hành.
10. Chung
DPA này chiếm ưu thế so với các điều khoản xung đột của MSA liên quan đến việc xử lý Dữ liệu Cá nhân. Trách nhiệm pháp lý phải tuân theo các giới hạn trong MSA. Nó được điều chỉnh bởi luật của MSA trừ khi Luật bảo vệ dữ liệu yêu cầu khác.
Phụ lục 2 - Các biện pháp an ninh
Kiểm soát truy cập và đặc quyền tối thiểu
Mã hóa trong quá trình chuyển tiếp
Bảo mật mạng và ứng dụng
Ghi nhật ký và giám sát
Bảo mật và đào tạo nhân sự
Quản lý nhà cung cấp
Phản ứng sự cố
Sao lưu và phục hồi