法律 · GDPR

数据处理协议

最后更新: 2026 年 5 月 30 日

根据 GDPR 第 28 条,欧盟/英国客户需要这样做。纳入欧盟标准合同条款和英国国际数据传输附录。

GDPR 艺术。 28英国通用数据保护条例欧盟 SCC(2021 年)英国IDTA美国各州隐私法

1. 范围和角色

本数据处理协议(“DPA”)构成 主服务协议 作为 My Country Mobile 运营的 My Country Mobile Pte Ltd(“处理方”)和客户(“控制方”)之间。它适用于 MCM 在提供服务时代表控制者处理个人数据的情况。对于某些数据(例如法律要求的 CPNI 和呼叫路由),MCM 可以充当独立控制者。

2. 定义

“个人数据”、“处理”、“数据主体”、“控制者”和“处理者”具有适用的数据保护法(包括 GDPR 和英国 GDPR)中的含义。 “数据保护法”是指适用于处理的所有法律,包括 GDPR、英国 GDPR 和美国各州隐私法。

3. 处理细节(附件1)

主题

提供云通信服务。

期间

MSA 的期限加上法律要求的保留期限。

性质和目的

语音/消息的路由、传送、存储和计费以及相关支持。

个人数据的类型

联系人标识符、电话号码、呼叫/消息元数据、帐户数据以及控制器传输的任何内容。

数据主体的类别

控制者的人员、最终用户和被叫/主叫方。

4. 处理者义务

MCM 将:

a

仅根据控制者的书面指示处理个人数据,包括传输,除非法律要求(在这种情况下,除非法律禁止,否则它将通知控制者)。

b

确保授权处理人员受到保密约束。

c

实施适当的技术和组织安全措施(附件 2)。

d

尊重参与分处理者的条件(第 5 节)。

e

尽可能协助控制者处理数据主体请求。

f

协助控制者进行安全、违规通知和数据保护影响评估。

g

在服务结束时删除或返还个人数据,并遵守法律保留。

h

提供证明合规性和允许审核所需的信息(第 7 节)。

5. 子处理者

控制者授权 MCM 聘用子处理者列表中列出的子处理者。 MCM 将对每个分处理者施加不低于本 DPA 的数据保护义务,并对其绩效负责。 MCM 将向分处理者发出预期变更通知,并允许控制者以合理的数据保护理由提出反对。

6. 数据主体权利和违规行为

MCM 将立即通知控制者从数据主体收到的任何请求,并且除非根据控制者的指示或法律要求,否则不会做出回应。

在意识到个人数据泄露后,MCM 将立即通知控制者,并提供控制者履行通知义务所需的合理信息。

7. 审计

MCM 将提供必要的信息,以证明合规性并有助于审计,包括由控制者或其授权的审计员进行的检查,在合理通知的情况下并遵守保密规定,不超过 每年一次 除非监管机构要求或发生违规行为。

8. 国际转账

ℹ️ 如果处理涉及将个人数据从欧洲经济区、英国或瑞士转移到没有充分决定的国家,则双方将 欧盟标准合同条款 (2021) 对于英国数据, 英国国际数据传输附录,按照 GDPR 传输包中的规定完成。

9. 美国各州隐私法

在美国各州隐私法适用的范围内,MCM 充当“服务提供商”/“处理者”,不会“出售”或“共享”个人数据,也不会在直接业务关系之外或法律允许的情况下保留、使用或披露个人数据,并将遵守适用的义务。

10. 概述

本 DPA 优先于 MSA 中有关个人数据处理的冲突条款。责任受到 MSA 中的限制。除非数据保护法另有要求,否则它受 MSA 法律管辖。

附件 2 — 安全措施

⚠️以下安全措施是摘要。在发布之前进行扩展以匹配 MCM 实际实施的控制。
🔐

访问控制和最低权限

🔒

传输中加密

🌐

网络和应用安全

📋

记录和监控

👥

人员保密和培训

🤝

供应商管理

🚨

事件响应

💾

备份与恢复