1. 範圍和角色
本資料處理協定(「DPA」)構成 主服務協議 作為 My Country Mobile 營運的 My Country Mobile Pte Ltd(「處理方」)和客戶(「控制方」)之間。它適用於 MCM 在提供服務時代表控制者處理個人資料的情況。對於某些資料(例如法律要求的 CPNI 和呼叫路由),MCM 可以充當獨立控制者。
2. 定義
「個人資料」、「處理」、「資料主體」、「控制者」和「處理者」具有適用的資料保護法(包括 GDPR 和英國 GDPR)中的含義。 「資料保護法」指適用於處理的所有法律,包括 GDPR、英國 GDPR 和美國各州隱私權法。
3. 處理細節(附件1)
主題
提供雲端通訊服務。
期間
MSA 的期限加上法律要求的保留期限。
性質和目的
語音/訊息的路由、傳送、儲存和計費以及相關支援。
個人資料的類型
聯絡人識別碼、電話號碼、通話/訊息元資料、帳戶資料以及控制器傳輸的任何內容。
資料主體的類別
控制者的人員、最終使用者和被叫/主叫方。
4. 處理者義務
MCM 將:
僅根據控制者的書面指示處理個人數據,包括傳輸,除非法律要求(在這種情況下,除非法律禁止,否則它將通知控制者)。
確保授權處理人員受到保密約束。
實施適當的技術和組織安全措施(附件 2)。
尊重參與分處理者的條件(第 5 節)。
盡可能協助控制者處理資料主體請求。
協助控制者進行安全、違規通知和資料保護影響評估。
在服務結束時刪除或返還個人數據,並遵守法律保留。
提供證明合規性和允許審核所需的資訊(第 7 節)。
5. 子處理者
控制者授權 MCM 聘用子處理者清單中所列的子處理者。 MCM 將對每個分處理者施加不低於本 DPA 的資料保護義務,並對其績效負責。 MCM 將向分處理者發出預期變更通知,並允許控制者以合理的資料保護理由提出反對。
6. 資料主體權利與違規行為
MCM 將立即通知控制者從資料主體收到的任何請求,除非根據控制者的指示或法律要求,否則不會做出回應。
在意識到個人資料外洩後,MCM 將立即通知控制者,並提供控制者履行通知義務所需的合理資訊。
7. 審計
MCM 將提供必要的信息,以證明合規性並有助於審計,包括由控制者或其授權的審計員進行的檢查,在合理通知的情況下並遵守保密規定,不超過 每年一次 除非監管機構要求或發生違規行為。
8. 國際轉帳
9. 美國各州隱私權法
在美國各州隱私法適用的範圍內,MCM 充當“服務提供者”/“處理者”,不會“出售”或“共享”個人數據,也不會在直接業務關係之外或法律允許的情況下保留、使用或披露個人數據,並將遵守適用的義務。
10. 概述
本 DPA 優先於 MSA 中有關個人資料處理的衝突條款。責任受到 MSA 中的限制。除非資料保護法另有要求,否則它受 MSA 法律管轄。
附件 2 — 安全措施
存取控制和最低權限
傳輸中加密
網路和應用程式安全
記錄和監控
人員保密和培訓
供應商管理
事件回應
備份與復原