यह डेटा प्रोसेसिंग समझौता ("डीपीए") CallMama लिमिटेड ("CallMama", "प्रोसेसर") और इससे सहमत होने वाले व्यावसायिक ग्राहक ("ग्राहक", "नियंत्रक") के बीच सेवा की शर्तों का हिस्सा है। यह वहां लागू होता है जहां CallMama ग्राहक की ओर से व्यक्तिगत डेटा संसाधित करता है - व्यवहार में, जहां एक व्यावसायिक ग्राहक अपने स्वयं के कॉलर्स और संपर्कों के साथ संचार को रूट करने, स्टोर करने या रिकॉर्ड करने के लिए CallMama वेब पोर्टल का उपयोग करता है।
1. भूमिकाएँ
ग्राहक अपने स्वयं के कॉल करने वालों और संपर्कों ("ग्राहक व्यक्तिगत डेटा") के बारे में सेवा के माध्यम से संसाधित व्यक्तिगत डेटा के लिए, ग्राहक नियंत्रक है और CallMama प्रोसेसर है। CallMama ग्राहक के व्यक्तिगत डेटा को केवल ग्राहक के दस्तावेजी निर्देशों पर संसाधित करता है, जिसमें सेवा की शर्तें, यह डीपीए और ग्राहक द्वारा सेवा की सुविधाओं का उपयोग शामिल है।
2. विषय वस्तु और प्रसंस्करण का विवरण
| वस्तु | विवरण |
|---|---|
| विषय - वस्तु | CallMama कॉलिंग, मैसेजिंग, नंबर, रूटिंग और (वेब पोर्टल) रिकॉर्डिंग सेवा का प्रावधान |
| अवधि | सेवा की शर्तों की अवधि |
| प्रकृति और उद्देश्य | ग्राहक और उसके अंतिम उपयोगकर्ताओं को सेवाएं प्रदान करना, जिसमें होस्टिंग, ट्रांसमिटिंग, रूटिंग, भंडारण, और (जहां ग्राहक इसे सक्षम करता है) ग्राहक के संचार को रिकॉर्ड करना शामिल है; और सेवा की सुरक्षा और अखंडता बनाए रखना |
| व्यक्तिगत डेटा के प्रकार | संपर्क नंबर, नाम, कॉल और संदेश मेटाडेटा और सामग्री, ध्वनि मेल, कॉल रिकॉर्डिंग और अन्य डेटा जिसे ग्राहक संसाधित करना चुनता है |
| डेटा विषयों की श्रेणियाँ | ग्राहक के कॉल करने वाले, संपर्क, ग्राहक और कर्मचारी |
अवधारण अवधि: कॉल डिटेल रिकॉर्ड लागू दूरसंचार और कर कानून द्वारा आवश्यक अवधि (आमतौर पर क्षेत्राधिकार के आधार पर 90 दिन से 12 महीने) तक बनाए रखा जाता है। अन्य सभी ग्राहक व्यक्तिगत डेटा को तब तक बनाए रखा जाता है जब तक ग्राहक हटाने का अनुरोध नहीं करता, डीपीए समाप्त नहीं हो जाता, या लागू प्रतिधारण अवधि समाप्त नहीं हो जाती, जो भी पहले हो।
3. CallMama के दायित्व
- ग्राहक के व्यक्तिगत डेटा को केवल ग्राहक के दस्तावेजी निर्देशों पर संसाधित करें, जब तक कि कानून द्वारा अन्यथा आवश्यक न हो (जिस स्थिति में CallMama ग्राहक को सूचित करेगा जब तक कि कानून इसे प्रतिबंधित न करे)।
- सुनिश्चित करें कि डेटा संसाधित करने के लिए अधिकृत लोग गोपनीयता से बंधे हैं।
- उचित तकनीकी और संगठनात्मक सुरक्षा उपाय लागू करें (नीचे अनुबंध)।
- डेटा विषय अनुरोधों, सुरक्षा, उल्लंघन अधिसूचना और डेटा सुरक्षा प्रभाव आकलन के साथ प्रसंस्करण की प्रकृति को ध्यान में रखते हुए ग्राहक की सहायता करें।
- सेवा की शर्तों या लिखित अनुरोध की समाप्ति के 30 दिनों के भीतर, सभी ग्राहक व्यक्तिगत डेटा को हटा दें या वापस कर दें और लिखित रूप में हटाने की पुष्टि करें, लागू कानून की सीमा को छोड़कर, निरंतर प्रतिधारण की आवश्यकता होती है, जिस स्थिति में CallMama ग्राहक को कानूनी आधार और अपेक्षित विलोपन तिथि के बारे में सूचित करेगा।
- इस डीपीए के अनुपालन को प्रदर्शित करने के लिए आवश्यक जानकारी उपलब्ध कराएं, और ग्राहक या उसके अधिकृत ऑडिटर द्वारा ऑडिट और निरीक्षण की अनुमति दें, बशर्ते: (i) 60 व्यावसायिक दिनों की पूर्व लिखित सूचना; (ii) व्यावसायिक घंटों के दौरान बिना किसी व्यवधान के आचरण करना; (iii) ऑडिटर गोपनीयता से बंधा हुआ; (iv) ग्राहक लागत वहन करता है जब तक कि ऑडिट से कोई महत्वपूर्ण उल्लंघन का पता नहीं चलता। CallMama प्रत्यक्ष ऑडिट के बदले ISO 27001 या SOC 2 रिपोर्ट प्रदान कर सकता है।
- प्रसंस्करण के रिकॉर्ड: CallMama जीडीपीआर अनुच्छेद 30(2) के तहत ग्राहक की ओर से किए गए सभी प्रसंस्करण श्रेणियों का रिकॉर्ड रखता है, जो लिखित अनुरोध पर उपलब्ध है।
- डीपीआईए सहायता: जहां कॉल रिकॉर्डिंग या अन्य प्रसंस्करण के लिए जीडीपीआर अनुच्छेद 35 के तहत डीपीआईए की आवश्यकता होती है, CallMama सुरक्षा उपायों, उप-प्रोसेसर और प्रसंस्करण गतिविधियों के बारे में जानकारी सहित उचित सहायता प्रदान करेगा।
4. ग्राहक के दायित्व
- प्रसंस्करण के लिए वैध आधार और उसके निर्देशों की वैधता के लिए ग्राहक जिम्मेदार है।
- यदि ग्राहक वेब पोर्टल की कॉल-रिकॉर्डिंग सुविधा का उपयोग करता है, तो ग्राहक को अपने कॉल करने वालों को नोटिस देना होगा और कानून के लिए आवश्यक सहमति प्राप्त करनी होगी - देखें कॉल रिकॉर्डिंग नोटिस.
- ग्राहक को CallMama विशेष-श्रेणी का डेटा या संवेदनशील डेटा उस सेवा से परे नहीं भेजना चाहिए जिसे संभालने के लिए सेवा डिज़ाइन की गई है।
5. उप-प्रोसेसर
ग्राहक CallMama को सूचीबद्ध उप-प्रोसेसरों सहित संलग्न करने के लिए सामान्य लिखित प्राधिकरण प्रदान करता है उप-प्रोसेसर सूची CallMama.com पर प्रकाशित। CallMama प्रत्येक उप-प्रोसेसर पर गोपनीयता दायित्वों सहित, इस DPA द्वारा CallMama पर लगाए गए डेटा-सुरक्षा दायित्वों के बराबर डेटा-सुरक्षा दायित्व लगाता है। CallMama अपने उप-प्रोसेसरों के प्रदर्शन के लिए जिम्मेदार रहता है। CallMama सब-प्रोसेसर जोड़ने या बदलने से कम से कम 14 दिन पहले ग्राहक को सूचित करेगा। ग्राहक नोटिस प्राप्त होने के 14 दिनों के भीतर CallMama को लिखित रूप में सूचित करके उचित, दस्तावेजी डेटा-सुरक्षा आधार पर नए या प्रतिस्थापन उप-प्रोसेसर पर आपत्ति कर सकता है। यदि पार्टियां आपत्ति का समाधान नहीं कर पाती हैं, तो ग्राहक लिखित सूचना पर सेवा के प्रभावित हिस्से को समाप्त कर सकता है। 14 दिन की आपत्ति अवधि के बाद सेवा का निरंतर उपयोग नए उप-प्रोसेसर की स्वीकृति माना जाता है।
6. अंतर्राष्ट्रीय स्थानान्तरण
जहां ग्राहक का व्यक्तिगत डेटा पर्याप्तता निर्णय के बिना ईईए या यूके से किसी देश में स्थानांतरित किया जाता है, स्थानांतरण ईयू एससीसी (आयोग कार्यान्वयन निर्णय 2021/914), ईईए हस्तांतरण के लिए मॉड्यूल 2 (नियंत्रक-से-प्रोसेसर), और यूके हस्तांतरण के लिए यूके आईडीटीए 2022 द्वारा नियंत्रित होता है। दोनों को संदर्भ द्वारा शामिल किया गया है और धारा 2 में विवरण के साथ पूरा किया गया है। CallMama ने सभी तीसरे देश के उप-प्रोसेसरों के लिए स्थानांतरण प्रभाव आकलन आयोजित किया है।
7. व्यक्तिगत डेटा उल्लंघन
CallMama ग्राहक को बिना किसी देरी के सूचित करेगा, और जहां संभव हो, ग्राहक के व्यक्तिगत डेटा को प्रभावित करने वाले व्यक्तिगत डेटा उल्लंघन के बारे में जागरूक होने के 24 घंटे से अधिक नहीं। इस समय-सीमा का उद्देश्य ग्राहक को उल्लंघन का आकलन करने और जहां आवश्यक हो, जीडीपीआर अनुच्छेद 33 और यूके जीडीपीआर अनुच्छेद 33 द्वारा आवश्यक 72 घंटे की अवधि के भीतर सक्षम पर्यवेक्षी प्राधिकारी को सूचित करने की अनुमति देना है। अधिसूचना में उस समय ज्ञात सीमा तक शामिल होगा: (ए) श्रेणियों और प्रभावित डेटा विषयों और रिकॉर्ड की अनुमानित संख्या सहित उल्लंघन की प्रकृति का विवरण; (बी) उल्लंघन के संभावित परिणाम; और (सी) उल्लंघन को संबोधित करने के लिए क्या उपाय किए गए या प्रस्तावित हैं। जहां जानकारी तुरंत उपलब्ध नहीं है, CallMama इसे बिना किसी देरी के चरणों में प्रदान करेगा।
8. दायित्व और अवधि
यह डीपीए पूरक है और सेवा की शर्तों के अधीन है। व्यक्तिगत डेटा के प्रसंस्करण से संबंधित किसी भी मामले पर इस डीपीए और सेवा की शर्तों के बीच टकराव की स्थिति में, यह डीपीए मान्य होता है। यह डीपीए हांगकांग विशेष प्रशासनिक क्षेत्र के कानूनों द्वारा शासित है। हालाँकि, ईयू एससीसी के तहत उत्पन्न होने वाले विवादों के लिए, शासी कानून और अदालतें लागू एससीसी (आयोग कार्यान्वयन निर्णय 2021/914 के खंड 17 और खंड 18) में निर्दिष्ट हैं। यह डीपीए तब प्रभावी होता है जब ग्राहक सेवा की शर्तों को स्वीकार करता है (या, उन ग्राहकों के लिए जिन्हें दोनों पक्षों द्वारा हस्ताक्षरित अंतिम तिथि पर प्रतिहस्ताक्षरित डीपीए की आवश्यकता होती है) और तब तक जारी रहता है जब तक CallMama ग्राहक के व्यक्तिगत डेटा को संसाधित करता है।
अनुलग्नक - सुरक्षा उपाय
CallMama निम्नलिखित तकनीकी और संगठनात्मक उपायों को लागू करता है, जैसा कि जीडीपीआर अनुच्छेद 32 द्वारा आवश्यक है और जैसा कि ईयू एससीसी अनुबंध II में आगे बताया गया है:
A. एन्क्रिप्शन और पारगमन में डेटा
- पारगमन में एन्क्रिप्शन: सेवा और अंतिम-उपयोगकर्ता उपकरणों के बीच प्रसारित सभी व्यक्तिगत डेटा को टीएलएस 1.2 या उच्चतर का उपयोग करके एन्क्रिप्ट किया गया है। व्यक्तिगत डेटा का अनएन्क्रिप्टेड प्रसारण निषिद्ध है।
- आराम पर एन्क्रिप्शन: संवेदनशील व्यक्तिगत डेटा (कॉल रिकॉर्डिंग और वॉइसमेल सहित) को AES-256 या समकक्ष का उपयोग करके एन्क्रिप्ट किया जाता है। सभी बैकअप मीडिया एन्क्रिप्टेड है.
बी. अभिगम नियंत्रण और प्रमाणीकरण
- बहु-कारक प्रमाणीकरण: रिमोट एक्सेस सहित ग्राहक के व्यक्तिगत डेटा वाले सिस्टम तक पहुंचने वाले सभी कर्मचारियों के लिए आवश्यक है।
- भूमिका-आधारित अभिगम नियंत्रण: ग्राहक के व्यक्तिगत डेटा तक पहुंच उन कर्मचारियों तक ही सीमित है जिनकी भूमिका के लिए इसकी आवश्यकता होती है। पहुंच अधिकारों की त्रैमासिक समीक्षा की जाती है और समाप्ति या भूमिका परिवर्तन पर तुरंत रद्द कर दिया जाता है।
- अद्वितीय उपयोगकर्ता खाते: प्रत्येक स्टाफ सदस्य का एक विशिष्ट पहचानकर्ता होता है। साझा खाते निषिद्ध हैं. पासवर्ड जटिलता आवश्यकताएँ लागू की गईं।
- सत्र प्रबंधन: निष्क्रिय सत्र स्वचालित रूप से समाप्त हो जाते हैं। अधिकतम विफल लॉगिन प्रयास खाता लॉकआउट को ट्रिगर करते हैं।
सी. निगरानी, लॉगिंग और घटना प्रतिक्रिया
- सुरक्षा निगरानी: सुरक्षा घटनाओं के लिए सिस्टम की लगातार निगरानी की जाती है। घुसपैठ का पता लगाने और रोकथाम प्रणालियाँ तैनात की गई हैं।
- ऑडिट लॉगिंग: ग्राहक के व्यक्तिगत डेटा तक सभी पहुंच और संशोधन लॉग किया गया है। लॉग को कम से कम 12 महीने तक बनाए रखा जाता है और उनमें छेड़छाड़ की आशंका होती है।
- घटना प्रतिक्रिया: एक प्रलेखित घटना प्रतिक्रिया योजना का रखरखाव और परीक्षण कम से कम सालाना किया जाता है। घटनाओं को इस डीपीए के अनुसार वर्गीकृत, समाहित और रिपोर्ट किया जाता है।
डी. भौतिक और बुनियादी ढांचे की सुरक्षा
- डेटा सेंटर सुरक्षा: ग्राहक के व्यक्तिगत डेटा को आईएसओ 27001 प्रमाणित डेटा केंद्रों (हेट्ज़नर) में भौतिक पहुंच नियंत्रण, सीसीटीवी, पर्यावरण नियंत्रण और निर्बाध बिजली आपूर्ति के साथ होस्ट किया जाता है।
- बैकअप और पुनर्प्राप्ति: नियमित बैकअप लिया जाता है और सुरक्षित रूप से संग्रहीत किया जाता है। आपदा पुनर्प्राप्ति प्रक्रियाओं का दस्तावेजीकरण और परीक्षण किया जाता है। पुनर्प्राप्ति समय उद्देश्यों को परिभाषित और समीक्षा की जाती है।
ई. कार्मिक और विक्रेता नियंत्रण
- स्टाफ गोपनीयता: ग्राहक के व्यक्तिगत डेटा तक पहुंच रखने वाले सभी कर्मचारी और ठेकेदार संविदात्मक गोपनीयता दायित्वों से बंधे हैं। जहां लागू कानून द्वारा अनुमति हो वहां पृष्ठभूमि की जांच की जाती है।
- सुरक्षा प्रशिक्षण: व्यक्तिगत डेटा तक पहुंच रखने वाले सभी कर्मचारी सगाई और वार्षिक आधार पर डेटा सुरक्षा और सुरक्षा जागरूकता प्रशिक्षण प्राप्त करते हैं।
- विक्रेता उचित परिश्रम: सभी उप-प्रोसेसरों का जुड़ाव से पहले डेटा सुरक्षा और सुरक्षा अनुपालन के लिए मूल्यांकन किया जाता है और निरंतर आधार पर निगरानी की जाती है।
एफ. विकास और परिवर्तन प्रबंधन
- सुरक्षित विकास: सुरक्षा को सॉफ़्टवेयर विकास जीवनचक्र में शामिल किया गया है। कोड समीक्षाओं में सुरक्षा मूल्यांकन शामिल है। भेद्यता प्रबंधन और पैच प्रबंधन प्रक्रियाएं मौजूद हैं।
- भेदन परीक्षण: स्वतंत्र प्रवेश परीक्षण कम से कम वार्षिक रूप से आयोजित किया जाता है। गंभीर कमजोरियों को 30 दिनों के भीतर दूर कर दिया जाता है।
- डेटा न्यूनीकरण: सिस्टम को संसाधित व्यक्तिगत डेटा को न्यूनतम करने के लिए डिज़ाइन किया गया है। जहां उपयुक्त हो छद्मनामीकरण का प्रयोग किया जाता है।
इस डीपीए को कैसे क्रियान्वित करें
जिस व्यावसायिक ग्राहक को हस्ताक्षरित डीपीए की आवश्यकता है, उसे संपर्क करना चाहिए कानूनी@CallMama.com. किसी व्यावसायिक ग्राहक द्वारा सेवा की शर्तों को स्वीकार करना जो सेवा के माध्यम से अपने स्वयं के अंतिम-उपयोगकर्ताओं के डेटा को संसाधित करता है, इस डीपीए की स्वीकृति भी माना जाता है।
9. विशिष्ट क्षेत्राधिकारों के लिए अतिरिक्त प्रावधान
संयुक्त राज्य अमेरिका - सीसीपीए / सीपीआरए
जहां ग्राहक के व्यक्तिगत डेटा में कैलिफोर्निया के निवासियों की व्यक्तिगत जानकारी शामिल है, CallMama CCPA/CPRA के तहत एक "सेवा प्रदाता" है, न कि "तीसरा पक्ष"। CallMama ग्राहक के व्यक्तिगत डेटा को बेच या साझा नहीं करेगा, इसे प्रत्यक्ष व्यावसायिक संबंध के बाहर बनाए नहीं रखेगा, उपयोग या प्रकट नहीं करेगा, और CCPA/CPRA प्रतिबंधों के अनुपालन को प्रमाणित करता है। कैलिफ़ोर्निया की व्यक्तिगत जानकारी को संभालने वाले उप-प्रोसेसर समकक्ष सेवा प्रदाता प्रतिबंधों से बंधे हैं।
कनाडा - PIPEDA और क्यूबेक कानून 25
जहां ग्राहक के व्यक्तिगत डेटा में कनाडाई निवासियों की व्यक्तिगत जानकारी शामिल है:
- पाइपडा: कनाडा के व्यक्तिगत सूचना संरक्षण और इलेक्ट्रॉनिक दस्तावेज़ अधिनियम (PIPEDA) को सिद्धांत 7 (सुरक्षा उपाय) के अनुरूप सुरक्षा सुरक्षा उपायों को लागू करने के लिए CallMama की आवश्यकता होती है। ग्राहक सार्थक सहमति प्राप्त करने और पहुंच और सुधार अनुरोधों का जवाब देने के लिए जिम्मेदार रहता है।
- क्यूबेक कानून 25: क्यूबेक निवासियों के लिए, कानून 25 (सितंबर 2023 से प्रभावी) कमीशन डी'एक्सेस ए एल'इन्फॉर्मेशन (सीएआई) के लिए 72 घंटे की उल्लंघन अधिसूचना दायित्व लगाता है। CallMama क्यूबेक निवासियों के डेटा को प्रभावित करने वाले उल्लंघन के बारे में जागरूकता के 24 घंटे के भीतर ग्राहक को सूचित करेगा।
यह पृष्ठ CallMama के अनुपालन दस्तावेज़ का हिस्सा है। हमारा भी देखें गोपनीयता नीति, सेवा की शर्तें, और संपर्क विकल्प.