본 데이터 처리 계약("DPA")은 CallMama Limited("CallMama", "처리자")와 이에 동의하는 비즈니스 고객("고객", "컨트롤러") 간의 서비스 약관의 일부를 구성합니다. 이는 CallMama가 고객을 대신하여 개인 데이터를 처리하는 경우에 적용됩니다. 실제로 비즈니스 고객이 CallMama 웹 포털을 사용하여 발신자 및 연락처와의 통신을 라우팅, 저장 또는 녹음하는 경우에 적용됩니다.
1. 역할
고객이 서비스를 통해 자신의 발신자 및 연락처에 대해 처리하는 개인 데이터("고객 개인 데이터")의 경우 고객이 컨트롤러이고 CallMama가 프로세서입니다. CallMama는 서비스 약관, 본 DPA 및 고객의 서비스 기능 사용을 포함하는 고객의 문서화된 지침에 따라서만 고객 개인 데이터를 처리합니다.
2. 처리대상 및 처리내용
| 목 | 세부 사항 |
|---|---|
| 소재 | CallMama 통화, 메시징, 번호, 라우팅 및 (웹 포털) 녹음 서비스 제공 |
| 지속 | 서비스 약관의 기간 |
| 성격과 목적 | 고객과 고객의 최종 사용자에게 호스팅, 전송, 라우팅, 저장 및 고객 통신 기록(고객이 허용하는 경우)을 포함하여 서비스를 제공합니다. 서비스의 보안과 무결성을 유지하기 위해 |
| 개인정보 유형 | 연락처, 이름, 통화 및 메시지 메타데이터와 콘텐츠, 음성 메일, 통화 녹음 및 고객이 처리하기로 선택한 기타 데이터 |
| 데이터 주체의 카테고리 | 고객의 발신자, 연락처, 고객 및 직원 |
보존 기간: 통화 세부정보 기록은 해당 통신 및 세법에서 요구하는 기간(관할권에 따라 일반적으로 90일~12개월) 동안 보관됩니다. 기타 모든 고객 개인 데이터는 고객이 삭제를 요청하거나 DPA가 종료되거나 해당 보존 기간이 만료되는 것 중 가장 빠른 날짜까지 보존됩니다.
3. CallMama의 의무
- 법에서 달리 요구하지 않는 한 고객의 문서화된 지침에 따라서만 고객 개인 데이터를 처리하십시오(이 경우 법에서 금지하지 않는 한 CallMama는 고객에게 알립니다).
- 데이터 처리 권한을 부여받은 사람들이 기밀을 유지하도록 하십시오.
- 적절한 기술 및 조직 보안 조치를 구현합니다(아래 부록).
- 처리 성격을 고려하여 데이터 주체 요청, 보안, 위반 알림 및 데이터 보호 영향 평가를 통해 고객을 지원합니다.
- 서비스 약관 또는 서면 요청이 종료된 후 30일 이내에 모든 고객 개인 데이터를 삭제 또는 반환하고 서면으로 삭제를 확인합니다. 단, 해당 법률에서 지속적인 보존을 요구하는 경우는 제외합니다. 이 경우 CallMama는 고객에게 법적 근거와 예상 삭제 날짜를 알립니다.
- 본 DPA 준수를 입증하는 데 필요한 정보를 제공하고 다음 조건에 따라 고객 또는 승인된 감사자의 감사 및 검사를 허용합니다. (i) 영업일 기준 60일 사전 서면 통지; (ii) 업무 시간 동안 부당한 방해 없이 업무를 수행합니다. (iii) 기밀 유지의 의무가 있는 감사인; (iv) 감사에서 중대한 위반이 밝혀지지 않는 한 고객은 비용을 부담합니다. CallMama는 직접 감사 대신 ISO 27001 또는 SOC 2 보고서를 제공할 수 있습니다.
- 처리 기록: CallMama는 GDPR 제30(2)조에 따라 고객을 대신하여 수행된 모든 처리 범주에 대한 기록을 유지하며 서면 요청 시 이용 가능합니다.
- DPIA 지원: 통화 녹음 또는 기타 처리에 GDPR 제35조에 따라 DPIA가 필요한 경우 CallMama는 보안 조치, 하위 프로세서 및 처리 활동에 대한 정보를 포함하여 합리적인 지원을 제공합니다.
4. 고객의 의무
- 고객은 처리에 대한 합법적인 근거와 지침의 적법성에 대한 책임이 있습니다.
- 고객이 웹 포털의 통화 녹음 기능을 사용하는 경우 고객은 발신자에게 이를 알리고 법률에서 요구하는 동의를 얻어야 합니다. 통화 녹음 알림.
- 고객은 서비스가 처리하도록 설계된 것 이상으로 CallMama 특수 범주 데이터 또는 민감한 데이터를 전송해서는 안 됩니다.
5. 하위 프로세서
고객은 CallMama가 다음에 나열된 하위 프로세서를 포함하여 하위 프로세서를 고용할 수 있는 일반 서면 승인을 부여합니다. 하위 프로세서 목록 CallMama.com에 게시되었습니다. CallMama는 기밀 유지 의무를 포함하여 본 DPA가 CallMama에 부과한 것과 동등한 데이터 보호 의무를 각 하위 프로세서에 부과합니다. CallMama는 하위 프로세서의 성능에 대한 책임을 집니다. CallMama는 하위 프로세서를 추가하거나 교체하기 최소 14일 전에 고객에게 알립니다. 고객은 통지를 받은 후 14일 이내에 서면으로 CallMama에 통지하여 합리적이고 문서화된 데이터 보호 근거에 따라 신규 또는 교체 하위 프로세서에 이의를 제기할 수 있습니다. 당사자들이 이의를 해결할 수 없는 경우, 고객은 서면 통지를 통해 해당 서비스 부분을 종료할 수 있습니다. 14일의 이의 제기 기간 이후에도 서비스를 계속 사용하면 새로운 하위 처리자를 수락하는 것으로 간주됩니다.
6. 해외송금
고객 개인 데이터가 적절성 결정 없이 EEA 또는 영국에서 국가로 전송되는 경우, 전송에는 EU SCC(Commission Implementing Decision 2021/914), EEA 전송의 경우 모듈 2(컨트롤러-프로세서), 영국 전송의 경우 UK IDTA 2022가 적용됩니다. 두 가지 모두 참조로 통합되었으며 섹션 2의 세부 정보로 완성되었습니다. CallMama는 모든 제3국 하위 프로세서에 대해 이전 영향 평가를 실시했습니다.
7. 개인정보 침해
CallMama는 과도한 지체 없이, 가능한 경우 고객 개인 데이터에 영향을 미치는 개인 데이터 위반을 인지한 후 24시간 이내에 고객에게 알립니다. 이 일정은 고객이 위반을 평가하고 필요한 경우 GDPR 제33조 및 영국 GDPR 제33조에서 요구하는 72시간 이내에 관할 감독 기관에 알릴 수 있도록 하기 위한 것입니다. 알림에는 당시 알려진 범위 내에서 다음이 포함됩니다. (a) 영향을 받는 데이터 주체 및 기록의 범주 및 대략적인 수를 포함하여 위반 성격에 대한 설명 (b) 위반으로 인해 발생할 수 있는 결과; (c) 위반을 해결하기 위해 취해졌거나 제안된 조치. 정보를 즉시 이용할 수 없는 경우 CallMama는 더 이상의 과도한 지연 없이 단계적으로 정보를 제공합니다.
8. 책임 및 기간
본 DPA는 서비스 약관을 보완하며 해당 약관의 적용을 받습니다. 개인 데이터 처리와 관련된 문제에 대해 본 DPA와 서비스 약관이 상충하는 경우 본 DPA가 우선합니다. 본 DPA는 홍콩 특별행정구 법률의 적용을 받습니다. 그러나 EU SCC에 따라 발생하는 분쟁의 경우 준거법과 법원은 해당 SCC에 명시되어 있습니다(위원회 이행 결정 2021/914의 17항 및 18항). 본 DPA는 고객이 서비스 약관을 수락할 때(또는 연대 서명된 DPA가 필요한 고객의 경우 양 당사자가 마지막으로 서명한 날짜) 발효되며 CallMama가 고객 개인 데이터를 처리하는 동안 지속됩니다.
부록 — 보안 조치
CallMama는 GDPR 제32조에서 요구하고 EU SCC Annex II에 자세히 설명된 대로 다음과 같은 기술 및 조직적 조치를 구현합니다.
A. 암호화 및 전송 중인 데이터
- 전송 중 암호화: 서비스와 최종 사용자 장치 간에 전송되는 모든 개인 데이터는 TLS 1.2 이상을 사용하여 암호화됩니다. 개인 데이터의 암호화되지 않은 전송은 금지됩니다.
- 미사용 암호화: 민감한 개인 데이터(통화 녹음 및 음성 메일 포함)는 AES-256 또는 이에 상응하는 방법을 사용하여 암호화됩니다. 모든 백업 미디어는 암호화됩니다.
나. 접근통제 및 인증
- 다단계 인증: 원격 액세스를 포함하여 고객 개인 데이터가 포함된 시스템에 액세스하는 모든 직원에게 필요합니다.
- 역할 기반 액세스 제어: 고객 개인 데이터에 대한 액세스는 해당 역할이 필요한 직원으로 제한됩니다. 액세스 권한은 분기별로 검토되며 종료 또는 역할 변경 시 즉시 취소됩니다.
- 고유한 사용자 계정: 각 직원은 고유한 식별자를 가지고 있습니다. 공유 계정은 금지되어 있습니다. 비밀번호 복잡성 요구 사항이 시행되었습니다.
- 세션 관리: 비활성 세션 시간은 자동으로 초과됩니다. 최대 로그인 시도 실패 횟수가 계정 잠금을 유발합니다.
C. 모니터링, 로깅 및 사고 대응
- 보안 모니터링: 시스템은 보안 이벤트에 대해 지속적으로 모니터링됩니다. 침입 탐지 및 예방 시스템이 배포됩니다.
- 감사 로깅: 고객 개인 데이터에 대한 모든 액세스 및 수정 사항이 기록됩니다. 로그는 최소 12개월 동안 보관되며 변조가 방지됩니다.
- 사고 대응: 문서화된 사고 대응 계획을 최소한 1년에 한 번 유지하고 테스트합니다. 사고는 본 DPA에 따라 분류, 억제 및 보고됩니다.
D. 물리적 및 인프라 보안
- 데이터 센터 보안: 고객 개인 데이터는 물리적 액세스 제어, CCTV, 환경 제어 및 무정전 전원 공급 장치를 갖춘 ISO 27001 인증 데이터 센터(Hetzner)에 호스팅됩니다.
- 백업 및 복구: 정기적인 백업이 이루어지고 안전하게 저장됩니다. 재해 복구 절차가 문서화되고 테스트되었습니다. 복구 시간 목표가 정의되고 검토됩니다.
E. 인사 및 공급업체 통제
- 직원 기밀 유지: 고객 개인 데이터에 접근할 수 있는 모든 직원과 계약자는 계약상의 기밀 유지 의무를 따릅니다. 관련 법률이 허용하는 경우 배경 조사가 실시됩니다.
- 보안 교육: 개인 데이터에 접근할 수 있는 모든 직원은 참여에 관한 데이터 보호 및 보안 인식 교육을 매년 받습니다.
- 공급업체 실사: 모든 하위 프로세서는 참여 전에 데이터 보호 및 보안 규정 준수 여부를 평가하고 지속적으로 모니터링합니다.
F. 개발 및 변경 관리
- 안전한 개발: 보안은 소프트웨어 개발 수명주기에 통합됩니다. 코드 검토에는 보안 평가가 포함됩니다. 취약점 관리 및 패치 관리 절차가 마련되어 있습니다.
- 침투 테스트: 독립적인 침투 테스트는 최소한 매년 실시됩니다. 심각한 취약점은 30일 이내에 해결됩니다.
- 데이터 최소화: 시스템은 처리되는 개인 데이터를 최소화하도록 설계되었습니다. 적절한 경우 가명처리가 사용됩니다.
이 DPA를 실행하는 방법
서명된 DPA가 필요한 비즈니스 고객은 문의해야 합니다. legal@CallMama.com. 서비스를 통해 자체 최종 사용자의 데이터를 처리하는 비즈니스 고객이 서비스 약관을 수락하는 것도 본 DPA를 수락하는 것으로 간주됩니다.
9. 특정 관할권에 대한 추가 조항
미국 - CCPA / CPRA
고객 개인 데이터에 캘리포니아 거주자의 개인 정보가 포함되어 있는 경우, CallMama는 "제3자"가 아닌 CCPA/CPRA에 따른 "서비스 제공업체"입니다. CallMama는 고객 개인 데이터를 판매 또는 공유하지 않으며 직접적인 비즈니스 관계 외부에서 이를 유지, 사용 또는 공개하지 않으며 CCPA/CPRA 제한 사항을 준수함을 인증합니다. 캘리포니아주 개인 정보를 처리하는 하위 처리자에게는 동등한 서비스 제공업체 제한 사항이 적용됩니다.
캐나다 — PIPEDA 및 퀘벡 법률 25
고객 개인 데이터에 캐나다 거주자의 개인 정보가 포함되어 있는 경우:
- 파이프다: 캐나다의 개인 정보 보호 및 전자 문서법(PIPEDA)은 CallMama가 원칙 7(안전 장치)에 따라 보안 보호 장치를 구현하도록 요구합니다. 고객은 의미 있는 동의를 얻고 액세스 및 수정 요청에 응답할 책임이 있습니다.
- 퀘벡 법률 25: 퀘벡 거주자의 경우 법률 25(2023년 9월 발효)에 따라 CAI(Commission d'accès à l'information)에 72시간 위반 알림 의무가 부과됩니다. CallMama는 퀘벡 주민의 데이터에 영향을 미치는 위반 사실을 인지한 후 24시간 이내에 고객에게 알립니다.
이 페이지는 CallMama 규정 준수 문서의 일부입니다. 우리의 개인 정보 보호 정책, 서비스 약관, 그리고 연락처 옵션.