Perjanjian Pemrosesan Data ("DPA") ini merupakan bagian dari Ketentuan Layanan antara CallMama Limited ("CallMama", "Pemroses") dan pelanggan bisnis yang menyetujuinya ("Pelanggan", "Pengendali"). Hal ini berlaku jika CallMama memproses data pribadi atas nama Pelanggan — dalam praktiknya, jika Pelanggan bisnis menggunakan portal web CallMama untuk merutekan, menyimpan, atau merekam komunikasi dengan penelepon dan kontaknya sendiri.
1. Peran
Untuk data pribadi yang diproses Pelanggan melalui Layanan tentang penelepon dan kontaknya sendiri ("Data Pribadi Pelanggan"), Pelanggan adalah pengontrol dan CallMama adalah pemrosesnya. CallMama memproses Data Pribadi Pelanggan hanya berdasarkan instruksi Pelanggan yang terdokumentasi, yang mencakup Ketentuan Layanan, DPA ini, dan penggunaan fitur Layanan oleh Pelanggan.
2. Materi pokok dan rincian pengolahannya
| Barang | Detil |
|---|---|
| Materi pelajaran | Penyediaan layanan panggilan, pesan, nomor, perutean, dan perekaman (portal web) CallMama |
| Lamanya | Jangka waktu Ketentuan Layanan |
| Alam dan tujuan | Untuk menyediakan Layanan kepada Pelanggan dan pengguna akhirnya, termasuk hosting, transmisi, perutean, penyimpanan, dan (jika Pelanggan mengizinkannya) merekam komunikasi Pelanggan; dan untuk menjaga keamanan dan integritas Layanan |
| Jenis data pribadi | Nomor kontak, nama, metadata dan konten panggilan dan pesan, pesan suara, rekaman panggilan, dan data lain yang Pelanggan pilih untuk diproses |
| Kategori subjek data | Penelepon, kontak, pelanggan, dan staf Pelanggan |
Periode retensi: Catatan Detail Panggilan disimpan selama periode yang diwajibkan oleh undang-undang telekomunikasi dan perpajakan yang berlaku (biasanya 90 hari hingga 12 bulan tergantung yurisdiksi). Semua Data Pribadi Pelanggan lainnya disimpan hingga Pelanggan meminta penghapusan, DPA berakhir, atau periode penyimpanan yang berlaku berakhir, mana saja yang lebih dulu.
3. Kewajiban CallMama
- Memproses Data Pribadi Pelanggan hanya berdasarkan instruksi Pelanggan yang terdokumentasi, kecuali diwajibkan lain oleh hukum (dalam hal ini CallMama akan memberi tahu Pelanggan kecuali hukum melarangnya).
- Pastikan orang yang berwenang untuk memproses data terikat oleh kerahasiaan.
- Menerapkan langkah-langkah keamanan teknis dan organisasi yang sesuai (Lampiran di bawah).
- Membantu Pelanggan, dengan mempertimbangkan sifat pemrosesan, dengan permintaan subjek data, keamanan, pemberitahuan pelanggaran, dan penilaian dampak perlindungan data.
- Dalam waktu 30 hari sejak pengakhiran Ketentuan Layanan atau permintaan tertulis, hapus atau kembalikan seluruh Data Pribadi Pelanggan dan konfirmasi penghapusan secara tertulis, kecuali sejauh hukum yang berlaku mengharuskan penyimpanan berkelanjutan, dalam hal ini CallMama akan memberi tahu Pelanggan tentang dasar hukum dan perkiraan tanggal penghapusan.
- Menyediakan informasi yang diperlukan untuk menunjukkan kepatuhan terhadap DPA ini, dan mengizinkan audit dan inspeksi oleh Pelanggan atau auditor resminya, dengan tunduk pada: (i) pemberitahuan tertulis 60 hari kerja sebelumnya; (ii) perilaku selama jam kerja tanpa gangguan yang tidak semestinya; (iii) auditor terikat oleh kerahasiaan; (iv) Pelanggan menanggung biaya kecuali audit mengungkapkan adanya pelanggaran material. CallMama dapat memberikan laporan ISO 27001 atau SOC 2 sebagai pengganti audit langsung.
- Catatan pemrosesan: CallMama menyimpan catatan semua kategori pemrosesan yang dilakukan atas nama Pelanggan berdasarkan Pasal 30(2 GDPR), tersedia berdasarkan permintaan tertulis.
- Bantuan DPIA: Jika perekaman panggilan atau pemrosesan lainnya memerlukan DPIA berdasarkan Pasal 35 GDPR, CallMama akan memberikan bantuan yang wajar termasuk informasi tentang langkah-langkah keamanan, sub-pemroses, dan aktivitas pemrosesan.
4. Kewajiban Pelanggan
- Pelanggan bertanggung jawab untuk memiliki dasar hukum dalam pemrosesan dan keabsahan instruksinya.
- Jika Pelanggan menggunakan fitur perekaman panggilan portal web, Pelanggan harus memberikan pemberitahuan kepada peneleponnya dan mendapatkan persetujuan yang diwajibkan oleh undang-undang — lihat Pemberitahuan Rekaman Panggilan.
- Pelanggan tidak boleh mengirimkan data kategori khusus CallMama atau data sensitif di luar apa yang dirancang untuk ditangani oleh Layanan.
5. Sub-prosesor
Pelanggan memberikan otorisasi tertulis umum kepada CallMama untuk melibatkan sub-pemroses, termasuk yang tercantum dalam Daftar Sub-prosesor diterbitkan di CallMama.com. CallMama menerapkan kewajiban perlindungan data pada setiap subprosesor yang setara dengan kewajiban yang dikenakan pada CallMama oleh DPA ini, termasuk kewajiban kerahasiaan. CallMama tetap bertanggung jawab atas kinerja subprosesornya. CallMama akan memberi tahu Pelanggan setidaknya 14 hari sebelum menambah atau mengganti sub-prosesor. Pelanggan dapat menolak sub-pemroses baru atau pengganti atas dasar perlindungan data yang wajar dan terdokumentasi dengan memberi tahu CallMama secara tertulis dalam waktu 14 hari setelah menerima pemberitahuan tersebut. Jika para pihak tidak dapat menyelesaikan keberatannya, Pelanggan dapat menghentikan bagian Layanan yang terkena dampak dengan pemberitahuan tertulis. Penggunaan Layanan yang berkelanjutan setelah masa keberatan 14 hari merupakan penerimaan sub-pemroses baru.
6. Transfer internasional
Apabila Data Pribadi Pelanggan ditransfer dari EEA atau Inggris Raya ke suatu negara tanpa keputusan kecukupan, transfer tersebut diatur oleh SCC UE (Keputusan Pelaksana Komisi 2021/914), Modul 2 (Pengendali ke Pemroses) untuk transfer EEA, dan oleh IDTA Inggris 2022 untuk transfer ke Inggris. Keduanya digabungkan berdasarkan referensi dan dilengkapi dengan rincian di Bagian 2. CallMama telah melakukan Penilaian Dampak Transfer untuk semua sub-pemroses negara ketiga.
7. Pelanggaran data pribadi
CallMama akan memberi tahu Pelanggan tanpa penundaan yang tidak semestinya, dan jika memungkinkan, selambat-lambatnya 24 jam setelah mengetahui adanya Pelanggaran Data Pribadi yang memengaruhi Data Pribadi Pelanggan. Garis waktu ini dimaksudkan untuk memungkinkan Pelanggan menilai pelanggaran dan, jika diperlukan, memberi tahu otoritas pengawas yang kompeten dalam jangka waktu 72 jam yang diwajibkan oleh Pasal 33 GDPR dan Pasal 33 GDPR Inggris. Pemberitahuan tersebut akan mencakup, sejauh diketahui pada saat itu: (a) uraian tentang sifat pelanggaran termasuk kategori dan perkiraan jumlah subjek data dan catatan yang terpengaruh; (b) kemungkinan konsekuensi dari pelanggaran tersebut; dan (c) tindakan yang diambil atau diusulkan untuk mengatasi pelanggaran tersebut. Apabila informasi tidak segera tersedia, CallMama akan menyediakannya secara bertahap tanpa penundaan lebih lanjut.
8. Tanggung jawab dan jangka waktu
DPA ini bersifat tambahan dan tunduk pada Ketentuan Layanan. Jika terjadi pertentangan antara DPA ini dan Ketentuan Layanan mengenai masalah apa pun yang berkaitan dengan pemrosesan data pribadi, DPA ini yang berlaku. DPA ini diatur oleh hukum Daerah Administratif Khusus Hong Kong. Namun, untuk perselisihan yang timbul berdasarkan SCC UE, hukum dan pengadilan yang berlaku adalah sebagaimana ditentukan dalam SCC yang berlaku (Klausul 17 dan Klausul 18 Keputusan Pelaksana Komisi 2021/914). DPA ini berlaku ketika Pelanggan menerima Ketentuan Layanan (atau, bagi pelanggan yang memerlukan DPA yang ditandatangani kembali, pada tanggal terakhir ditandatangani oleh kedua belah pihak) dan berlanjut selama CallMama memproses Data Pribadi Pelanggan.
Lampiran — Langkah-langkah keamanan
CallMama menerapkan langkah-langkah teknis dan organisasi berikut, sebagaimana diwajibkan oleh Pasal 32 GDPR dan sebagaimana dirinci lebih lanjut dalam Lampiran II SCC UE:
A. Enkripsi dan data dalam perjalanan
- Enkripsi dalam perjalanan: semua data pribadi yang dikirimkan antara Layanan dan perangkat pengguna akhir dienkripsi menggunakan TLS 1.2 atau lebih tinggi. Transmisi data pribadi yang tidak terenkripsi dilarang.
- Enkripsi saat istirahat: data pribadi sensitif (termasuk rekaman panggilan dan pesan suara) dienkripsi saat disimpan menggunakan AES-256 atau yang setara. Semua media cadangan dienkripsi.
B. Kontrol akses dan otentikasi
- Otentikasi multi-faktor: diperlukan bagi seluruh staf yang mengakses sistem yang berisi Data Pribadi Pelanggan, termasuk akses jarak jauh.
- Kontrol akses berbasis peran: akses ke Data Pribadi Pelanggan terbatas pada staf yang perannya memerlukannya. Hak akses ditinjau setiap tiga bulan dan segera dicabut setelah penghentian atau perubahan peran.
- Akun pengguna unik: setiap anggota staf memiliki pengenal unik. Akun bersama dilarang. Persyaratan kompleksitas kata sandi diberlakukan.
- Manajemen sesi: waktu sesi yang tidak aktif habis secara otomatis. Upaya login yang gagal maksimum memicu penguncian akun.
C. Pemantauan, pencatatan dan respons insiden
- Pemantauan keamanan: sistem dipantau terus menerus untuk kejadian keamanan. Sistem deteksi dan pencegahan intrusi dikerahkan.
- Pencatatan audit: semua akses dan modifikasi Data Pribadi Pelanggan dicatat. Log disimpan minimal selama 12 bulan dan tahan terhadap kerusakan.
- Respons insiden: rencana respons insiden yang terdokumentasi dipelihara dan diuji setidaknya setiap tahun. Insiden diklasifikasikan, ditampung, dan dilaporkan sesuai dengan DPA ini.
D. Keamanan fisik dan infrastruktur
- Keamanan pusat data: Data Pribadi Pelanggan disimpan di pusat data bersertifikat ISO 27001 (Hetzner) dengan kontrol akses fisik, CCTV, kontrol lingkungan, dan pasokan listrik yang tidak pernah terputus.
- Pencadangan dan pemulihan: cadangan reguler diambil dan disimpan dengan aman. Prosedur pemulihan bencana didokumentasikan dan diuji. Sasaran waktu pemulihan ditentukan dan ditinjau.
E. Pengendalian personel dan vendor
- Kerahasiaan staf: semua staf dan kontraktor yang memiliki akses ke Data Pribadi Pelanggan terikat oleh kewajiban kerahasiaan kontrak. Pemeriksaan latar belakang dilakukan jika diizinkan oleh hukum yang berlaku.
- Pelatihan keamanan: semua staf yang memiliki akses ke data pribadi menerima pelatihan perlindungan data dan kesadaran keamanan tentang keterlibatan dan setiap tahun.
- Uji tuntas vendor: semua sub-pemroses dinilai untuk perlindungan data dan kepatuhan keamanan sebelum dilibatkan dan dipantau secara berkelanjutan.
F. Pengembangan dan manajemen perubahan
- Pengembangan yang aman: keamanan dimasukkan ke dalam siklus hidup pengembangan perangkat lunak. Peninjauan kode mencakup penilaian keamanan. Prosedur manajemen kerentanan dan manajemen patch sudah ada.
- Pengujian penetrasi: pengujian penetrasi independen dilakukan setidaknya setiap tahun. Kerentanan kritis diperbaiki dalam waktu 30 hari.
- Minimalkan data: sistem dirancang untuk meminimalkan data pribadi yang diproses. Nama samaran digunakan jika diperlukan.
Bagaimana cara menjalankan DPA ini
Pelanggan bisnis yang memerlukan DPA yang ditandatangani harus menghubungi legal@CallMama.com. Penerimaan Ketentuan Layanan oleh Pelanggan bisnis yang memproses data pengguna akhirnya melalui Layanan juga merupakan penerimaan DPA ini.
9. Ketentuan tambahan untuk yurisdiksi tertentu
Amerika Serikat — CCPA / CPRA
Apabila Data Pribadi Pelanggan mencakup informasi pribadi penduduk California, CallMama adalah "penyedia layanan" berdasarkan CCPA/CPRA, bukan "pihak ketiga". CallMama tidak akan menjual atau membagikan Data Pribadi Pelanggan, tidak akan menyimpan, menggunakan, atau mengungkapkannya di luar hubungan bisnis langsung, dan menyatakan kepatuhan terhadap pembatasan CCPA/CPRA. Sub-pemroses yang menangani informasi pribadi California terikat oleh batasan penyedia layanan yang setara.
Kanada — PIPEDA dan Hukum Quebec 25
Apabila Data Pribadi Pelanggan mencakup informasi pribadi penduduk Kanada:
- PIPEDA: Undang-Undang Perlindungan Informasi Pribadi dan Dokumen Elektronik Kanada (PIPEDA) mewajibkan CallMama untuk menerapkan perlindungan keamanan yang konsisten dengan Prinsip 7 (Pengamanan). Pelanggan tetap bertanggung jawab untuk mendapatkan persetujuan yang berarti dan menanggapi permintaan akses dan koreksi.
- Hukum Quebec 25: Bagi penduduk Quebec, UU 25 (berlaku pada September 2023) memberlakukan kewajiban pemberitahuan pelanggaran selama 72 jam kepada Commission d'accès à l'information (CAI). CallMama akan memberi tahu Pelanggan dalam waktu 24 jam setelah mengetahui adanya pelanggaran yang memengaruhi data penduduk Quebec.
Halaman ini adalah bagian dari dokumentasi kepatuhan CallMama. Lihat juga kami Kebijakan Privasi, Ketentuan Layanan, Dan opsi kontak.