قانوني

اتفاقية معالجة البيانات

آخر تحديث: 20 مايو 2026 CallMama Limited · هونج كونج · سجل تجاري رقم 77766807

تشكل اتفاقية معالجة البيانات ("DPA") جزءًا من شروط الخدمة بين شركة CallMama Limited ("CallMama"، "المعالج") والعميل التجاري الذي يوافق عليها ("العميل"، "المتحكم"). وينطبق هذا عندما تقوم CallMama بمعالجة البيانات الشخصية نيابة عن العميل - في الممارسة العملية، حيث يستخدم عميل الأعمال بوابة الويب CallMama لتوجيه الاتصالات أو تخزينها أو تسجيلها مع المتصلين وجهات الاتصال الخاصة به.

بالنسبة لاستخدام المستهلك العادي لـ CallMama، فإن CallMama هي وحدة التحكم ولا ينطبق ملحق DPA هذا - راجع سياسة الخصوصية. ينطبق ملحق DPA هذا فقط على عملاء الأعمال الذين يقومون بمعالجة بيانات المستخدمين النهائيين الخاصة بهم من خلال CallMama.

1. الأدوار

بالنسبة للبيانات الشخصية التي يعالجها العميل من خلال الخدمة بشأن المتصلين وجهات الاتصال الخاصة به ("البيانات الشخصية للعميل")، يكون العميل هو المتحكم وCallMama هو المعالج. تقوم CallMama بمعالجة البيانات الشخصية للعميل فقط بناءً على تعليمات العميل الموثقة، والتي تتضمن شروط الخدمة وملحق DPA هذا واستخدام العميل لميزات الخدمة.

2. موضوع المعالجة وتفاصيلها

غرضالتفاصيل
الموضوعتوفير خدمة الاتصال والمراسلة والرقم والتوجيه وتسجيل (بوابة الويب) CallMama
مدةمدة شروط الخدمة
الطبيعة والغرضلتوفير الخدمات للعميل ومستخدميه النهائيين، بما في ذلك الاستضافة والنقل والتوجيه والتخزين و(حيثما يمكّن العميل ذلك) تسجيل اتصالات العميل؛ وللحفاظ على أمن وسلامة الخدمة
أنواع البيانات الشخصيةأرقام الاتصال والأسماء وبيانات تعريف المكالمات والرسائل والمحتوى والبريد الصوتي وتسجيلات المكالمات والبيانات الأخرى التي يختار العميل معالجتها
فئات موضوعات البياناتالمتصلون بالعملاء وجهات الاتصال والعملاء والموظفين

فترات الاحتفاظ: يتم الاحتفاظ بسجلات تفاصيل المكالمات للفترات التي يتطلبها قانون الاتصالات والضرائب المعمول به (عادةً من 90 يومًا إلى 12 شهرًا حسب الولاية القضائية). يتم الاحتفاظ بجميع البيانات الشخصية الأخرى للعميل حتى يطلب العميل الحذف، أو ينتهي ملحق DPA، أو تنتهي فترة الاحتفاظ المعمول بها، أيهما أقرب.

3. التزامات CallMama

  • معالجة البيانات الشخصية للعميل فقط بناءً على تعليمات موثقة من العميل، ما لم ينص القانون على خلاف ذلك (وفي هذه الحالة ستقوم CallMama بإبلاغ العميل ما لم يحظر القانون ذلك).
  • التأكد من التزام الأشخاص المخولين بمعالجة البيانات بالسرية.
  • تنفيذ التدابير الأمنية الفنية والتنظيمية المناسبة (المرفق أدناه).
  • مساعدة العميل، مع الأخذ في الاعتبار طبيعة المعالجة، فيما يتعلق بطلبات موضوع البيانات، والأمن، وإخطار الانتهاك، وتقييمات تأثير حماية البيانات.
  • في غضون 30 يومًا من إنهاء شروط الخدمة أو الطلب الكتابي، قم بحذف جميع بيانات العميل الشخصية أو إعادتها وتأكيد الحذف كتابيًا، باستثناء الحد الذي يتطلب فيه القانون المعمول به الاحتفاظ المستمر، وفي هذه الحالة ستقوم CallMama بإبلاغ العميل بالأساس القانوني وتاريخ الحذف المتوقع.
  • إتاحة المعلومات اللازمة لإثبات الامتثال لملحق DPA هذا، والسماح بعمليات التدقيق والتفتيش من قبل العميل أو مدققه المعتمد، مع مراعاة ما يلي: (1) إشعار كتابي مسبق مدته 60 يوم عمل؛ (2) التصرف خلال ساعات العمل دون انقطاع لا مبرر له؛ و(3) التزام المراجع بالسرية؛ (4) يتحمل العميل التكلفة ما لم يكشف التدقيق عن خرق مادي. قد تقدم CallMama تقرير ISO 27001 أو SOC 2 بدلاً من التدقيق المباشر.
  • سجلات المعالجة: تحتفظ CallMama بسجلات لجميع فئات المعالجة التي يتم تنفيذها نيابة عن العميل بموجب المادة 30(2) من اللائحة العامة لحماية البيانات، وهي متاحة بناءً على طلب كتابي.
  • مساعدة إدارة حماية البيانات: عندما يتطلب تسجيل المكالمات أو أي معالجة أخرى حماية حماية البيانات (DPIA) بموجب المادة 35 من اللائحة العامة لحماية البيانات، ستوفر CallMama مساعدة معقولة بما في ذلك معلومات حول التدابير الأمنية والمعالجين الفرعيين وأنشطة المعالجة.

4. التزامات العميل

  • يتحمل العميل مسؤولية وجود أساس قانوني للمعالجة ومشروعية تعليماته.
  • إذا استخدم العميل ميزة تسجيل المكالمات الخاصة ببوابة الويب، فيجب على العميل إرسال الإشعارات للمتصلين به والحصول على الموافقات التي يتطلبها القانون - راجع إشعار تسجيل المكالمات.
  • يجب على العميل عدم إرسال بيانات فئة خاصة أو بيانات حساسة لـ CallMama تتجاوز ما تم تصميم الخدمة للتعامل معه.

5. المعالجات الفرعية

يمنح العميل ترخيصًا كتابيًا عامًا لـ CallMama لإشراك المعالجين الفرعيين، بما في ذلك هؤلاء المدرجين في قائمة المعالجات الفرعية نشرت في CallMama.com. يفرض CallMama التزامات حماية البيانات على كل معالج فرعي تعادل تلك المفروضة على CallMama بموجب ملحق DPA هذا، بما في ذلك التزامات السرية. تظل CallMama مسؤولة عن أداء معالجاتها الفرعية. ستقوم CallMama بإخطار العميل قبل 14 يومًا على الأقل من إضافة معالج فرعي أو استبداله. يجوز للعميل الاعتراض على معالج فرعي جديد أو بديل لأسباب معقولة وموثقة لحماية البيانات عن طريق إخطار CallMama كتابيًا خلال 14 يومًا من استلام الإشعار. إذا لم يتمكن الطرفان من حل الاعتراض، فيجوز للعميل إنهاء الجزء المتأثر من الخدمة بموجب إشعار كتابي. يشكل استمرار استخدام الخدمة بعد فترة الاعتراض البالغة 14 يومًا قبولًا للمعالج الفرعي الجديد.

6. التحويلات الدولية

عندما يتم نقل البيانات الشخصية للعميل من المنطقة الاقتصادية الأوروبية أو المملكة المتحدة إلى بلد ما دون اتخاذ قرار بالملاءمة، يخضع النقل للبنود التعاقدية النموذجية للاتحاد الأوروبي (قرار تنفيذ اللجنة رقم 2021/914)، والوحدة 2 (من وحدة التحكم إلى المعالج) لعمليات النقل في المنطقة الاقتصادية الأوروبية، وبواسطة IDTA 2022 في المملكة المتحدة لعمليات النقل في المملكة المتحدة. تم دمج كلاهما حسب المرجع وتم استكمالهما بالتفاصيل الواردة في القسم 2. وقد أجرت CallMama تقييمات تأثير النقل لجميع المعالجات الفرعية في البلدان الثالثة.

7. خرق البيانات الشخصية

ستقوم CallMama بإخطار العميل دون تأخير لا مبرر له، وفي موعد لا يتجاوز 24 ساعة، حيثما أمكن ذلك، بعد علمها بوجود خرق للبيانات الشخصية يؤثر على بيانات العميل الشخصية. يهدف هذا الجدول الزمني إلى السماح للعميل بتقييم الانتهاك، وعند الاقتضاء، إخطار السلطة الإشرافية المختصة خلال فترة 72 ساعة التي تتطلبها المادة 33 من القانون العام لحماية البيانات والمادة 33 من القانون العام لحماية البيانات في المملكة المتحدة. وسيتضمن الإخطار، إلى الحد المعروف في ذلك الوقت: (أ) وصف طبيعة الانتهاك بما في ذلك الفئات والعدد التقريبي لأصحاب البيانات والسجلات المتأثرة؛ (ب) العواقب المحتملة للانتهاك؛ و(ج) التدابير المتخذة أو المقترحة لمعالجة الانتهاك. عندما لا تتوفر المعلومات على الفور، ستوفرها CallMama على مراحل دون مزيد من التأخير غير المبرر.

8. المسؤولية والمدة

ملحق DPA هذا مكمل لشروط الخدمة ويخضع لها. في حالة وجود تعارض بين ملحق DPA هذا وشروط الخدمة بشأن أي مسألة تتعلق بمعالجة البيانات الشخصية، فإن ملحق DPA هذا هو الذي يسود. يخضع ملحق حماية البيانات هذا لقوانين منطقة هونغ كونغ الإدارية الخاصة. ومع ذلك، بالنسبة للنزاعات الناشئة بموجب الشروط التعاقدية النموذجية للاتحاد الأوروبي، يكون القانون الحاكم والمحاكم على النحو المحدد في الشروط التعاقدية النموذجية المعمول بها (البند 17 والبند 18 من قرار المفوضية التنفيذي رقم 2021/914). يسري مفعول ملحق DPA هذا عندما يقبل العميل شروط الخدمة (أو، بالنسبة للعملاء الذين يحتاجون إلى ملحق DPA موقّع، في تاريخ آخر توقيع من كلا الطرفين) ويستمر طالما قامت CallMama بمعالجة البيانات الشخصية للعميل.

الملحق – التدابير الأمنية

تنفذ CallMama التدابير الفنية والتنظيمية التالية، وفقًا لما تقتضيه المادة 32 من اللائحة العامة لحماية البيانات وكما هو مفصل في الملحق الثاني من الشروط التعاقدية الخاصة بالاتحاد الأوروبي:

أ. التشفير ونقل البيانات

  • التشفير أثناء النقل: يتم تشفير جميع البيانات الشخصية المنقولة بين الخدمة وأجهزة المستخدم النهائي باستخدام TLS 1.2 أو أعلى. يحظر النقل غير المشفر للبيانات الشخصية.
  • التشفير في حالة الراحة: يتم تشفير البيانات الشخصية الحساسة (بما في ذلك تسجيلات المكالمات ورسائل البريد الصوتي) أثناء عدم النشاط باستخدام AES-256 أو ما يعادله. يتم تشفير جميع وسائط النسخ الاحتياطي.

ب. ضوابط الوصول والمصادقة

  • المصادقة متعددة العوامل: مطلوب لجميع الموظفين الذين يصلون إلى الأنظمة التي تحتوي على بيانات شخصية للعميل، بما في ذلك الوصول عن بعد.
  • التحكم في الوصول على أساس الدور: يقتصر الوصول إلى البيانات الشخصية للعميل على الموظفين الذين يتطلب دورهم ذلك. تتم مراجعة حقوق الوصول كل ثلاثة أشهر ويتم إلغاؤها فورًا عند الإنهاء أو تغيير الدور.
  • حسابات المستخدمين الفريدة: كل موظف لديه معرف فريد. الحسابات المشتركة محظورة. تم فرض متطلبات تعقيد كلمة المرور.
  • إدارة الجلسة: تنتهي مهلة الجلسات غير النشطة تلقائيًا. يؤدي الحد الأقصى لمحاولات تسجيل الدخول الفاشلة إلى إغلاق الحساب.

ج. الرصد والتسجيل والاستجابة للحوادث

  • المراقبة الأمنية: تتم مراقبة الأنظمة بشكل مستمر للأحداث الأمنية. يتم نشر أنظمة كشف التسلل والوقاية منه.
  • تسجيل التدقيق: يتم تسجيل كافة عمليات الوصول إلى بيانات العميل الشخصية وتعديلها. يتم الاحتفاظ بالسجلات لمدة لا تقل عن 12 شهرًا وتكون واضحة للتلاعب.
  • الاستجابة للحادث: يتم الاحتفاظ بخطة موثقة للاستجابة للحوادث واختبارها سنويًا على الأقل. ويتم تصنيف الحوادث واحتواؤها والإبلاغ عنها وفقًا لملحق DPA هذا.

د. الأمن المادي وأمن البنية التحتية

  • أمن مركز البيانات: تتم استضافة البيانات الشخصية للعملاء في مراكز بيانات معتمدة وفقًا لمعايير ISO 27001 (Hetzner) مع عناصر تحكم في الوصول الفعلي، وكاميرات المراقبة، والضوابط البيئية، وإمدادات الطاقة غير المنقطعة.
  • النسخ الاحتياطي والاسترداد: يتم أخذ نسخ احتياطية منتظمة وتخزينها بشكل آمن. يتم توثيق واختبار إجراءات التعافي من الكوارث. يتم تحديد أهداف وقت التعافي ومراجعتها.

E. ضوابط الموظفين والبائعين

  • سرية الموظفين: يلتزم جميع الموظفين والمقاولين الذين لديهم حق الوصول إلى بيانات العميل الشخصية بالتزامات السرية التعاقدية. يتم إجراء فحوصات الخلفية حيثما يسمح القانون المعمول به.
  • التدريب الأمني: يتلقى جميع الموظفين الذين لديهم إمكانية الوصول إلى البيانات الشخصية تدريبًا على حماية البيانات والتوعية الأمنية بشأن المشاركة وسنويًا.
  • العناية الواجبة للمورد: يتم تقييم جميع المعالجات الفرعية لحماية البيانات والامتثال الأمني ​​قبل المشاركة ومراقبتها بشكل مستمر.

و. التطوير وإدارة التغيير

  • التنمية الآمنة: تم دمج الأمان في دورة حياة تطوير البرمجيات. تتضمن مراجعات الكود تقييم الأمان. إدارة الثغرات الأمنية وإجراءات إدارة التصحيح موجودة.
  • اختبار الاختراق: يتم إجراء اختبار الاختراق المستقل سنويًا على الأقل. تتم معالجة نقاط الضعف الحرجة في غضون 30 يومًا.
  • تقليل البيانات: تم تصميم الأنظمة لتقليل البيانات الشخصية التي تتم معالجتها. يتم استخدام الأسماء المستعارة عند الاقتضاء.

كيفية تنفيذ DPA هذا

يجب على عميل الأعمال الذي يحتاج إلى DPA موقع الاتصال به legal@CallMama.com. إن قبول شروط الخدمة من قبل عميل تجاري يقوم بمعالجة بيانات المستخدمين النهائيين الخاصة به من خلال الخدمة يشكل أيضًا قبولًا لملحق DPA هذا.

9. أحكام إضافية خاصة بسلطات قضائية محددة

الولايات المتحدة - CCPA / CPRA

عندما تتضمن البيانات الشخصية للعميل معلومات شخصية للمقيمين في كاليفورنيا، فإن CallMama هو "مقدم خدمة" بموجب CCPA/CPRA، وليس "طرفًا ثالثًا". لن تقوم CallMama ببيع أو مشاركة البيانات الشخصية للعميل، ولن تحتفظ بها أو تستخدمها أو تكشف عنها خارج علاقة العمل المباشرة، وتشهد على الامتثال لقيود قانون CCPA/CPRA. يلتزم المعالجون الفرعيون الذين يتعاملون مع المعلومات الشخصية في كاليفورنيا بالقيود المكافئة لمقدمي الخدمة.

كندا - قانون PIPEDA وقانون كيبيك رقم 25

حيث تتضمن البيانات الشخصية للعميل معلومات شخصية للمقيمين في كندا:

  • بيبيدا: يتطلب قانون حماية المعلومات الشخصية والوثائق الإلكترونية الكندي (PIPEDA) من CallMama تنفيذ ضمانات أمنية تتوافق مع المبدأ 7 (الضمانات). ويظل العميل مسؤولاً عن الحصول على موافقة ذات مغزى والاستجابة لطلبات الوصول والتصحيح.
  • قانون كيبيك 25: بالنسبة للمقيمين في كيبيك، يفرض القانون رقم 25 (الذي دخل حيز التنفيذ في سبتمبر 2023) التزامًا بإخطار لجنة الوصول إلى المعلومات (CAI) بإخطار الانتهاك لمدة 72 ساعة. ستقوم CallMama بإخطار العميل خلال 24 ساعة من علمها بوجود انتهاك يؤثر على بيانات سكان كيبيك.

تعد هذه الصفحة جزءًا من وثائق الامتثال الخاصة بـ CallMama. انظر أيضا لدينا سياسة الخصوصية, شروط الخدمة، و خيارات الاتصال.

التقط حيث أنت
توقفت.

نقرة واحدة للتثبيت. واحد آخر للاتصال. انها حقا بهذه البساطة.

القرص