Niniejsza Umowa o przetwarzaniu danych („DPA”) stanowi część Warunków świadczenia usług pomiędzy CallMama Limited („CallMama”, „Przetwarzający”) a klientem biznesowym, który wyraża na to zgodę („Klient”, „Administrator”). Ma zastosowanie, gdy CallMama przetwarza dane osobowe w imieniu Klienta – w praktyce, gdy Klient biznesowy korzysta z portalu internetowego CallMama w celu kierowania, przechowywania lub nagrywania komunikacji z własnymi rozmówcami i kontaktami.
1. Role
W przypadku danych osobowych przetwarzanych przez Klienta za pośrednictwem Usługi, dotyczących jego własnych rozmówców i kontaktów („Dane Osobowe Klienta”), Klient jest administratorem, a CallMama jest podmiotem przetwarzającym. CallMama przetwarza Dane osobowe Klienta wyłącznie zgodnie z udokumentowanymi instrukcjami Klienta, które obejmują Warunki świadczenia usług, niniejszą Umowę dotyczącą ochrony danych oraz sposób korzystania przez Klienta z funkcji Usługi.
2. Przedmiot i szczegóły przetwarzania
| Przedmiot | Szczegół |
|---|---|
| Tematyka | Świadczenie usługi nagrywania połączeń, przesyłania wiadomości, numerów, przekierowywania i nagrywania (portal internetowy) CallMama |
| Czas trwania | Termin obowiązywania Regulaminu |
| Natura i cel | Świadczenie Usług Klientowi i jego użytkownikom końcowym, w tym hosting, przesyłanie, routing, przechowywanie i (jeśli Klient na to pozwala) rejestrowanie komunikacji Klienta; oraz w celu utrzymania bezpieczeństwa i integralności Usługi |
| Rodzaje danych osobowych | Numery kontaktowe, nazwiska, metadane i treść połączeń i wiadomości, poczta głosowa, nagrania rozmów i inne dane, które Klient zdecyduje się przetwarzać |
| Kategorie osób, których dane dotyczą | Osoby dzwoniące, kontakty, klienci i pracownicy Klienta |
Okresy przechowywania: Zapisy szczegółów połączeń są przechowywane przez okresy wymagane przez obowiązujące przepisy telekomunikacyjne i podatkowe (zwykle od 90 dni do 12 miesięcy w zależności od jurysdykcji). Wszystkie pozostałe Dane Osobowe Klienta są przechowywane do czasu, aż Klient zażąda usunięcia, wygaśnięcia Umowy o przetwarzanie danych lub wygaśnięcia obowiązującego okresu przechowywania, w zależności od tego, co nastąpi wcześniej.
3. Obowiązki CallMama
- Przetwarzaj Dane Osobowe Klienta wyłącznie na udokumentowane polecenie Klienta, chyba że prawo wymaga inaczej (w takim przypadku CallMama poinformuje Klienta, chyba że prawo tego zabrania).
- Zadbaj o to, aby osoby upoważnione do przetwarzania danych były zobowiązane do zachowania poufności.
- Wdrożyć odpowiednie techniczne i organizacyjne środki bezpieczeństwa (załącznik poniżej).
- Pomagaj Klientowi, biorąc pod uwagę charakter przetwarzania, w zakresie żądań osób, których dane dotyczą, bezpieczeństwa, powiadamiania o naruszeniach i ocen skutków dla ochrony danych.
- W ciągu 30 dni od rozwiązania Regulaminu lub pisemnego wniosku usuń lub zwróć wszystkie Dane Osobowe Klienta i potwierdź usunięcie na piśmie, z wyjątkiem zakresu, w jakim obowiązujące prawo wymaga dalszego przechowywania, w którym to przypadku CallMama poinformuje Klienta o podstawie prawnej i przewidywanym terminie usunięcia.
- Udostępnij informacje potrzebne do wykazania zgodności z postanowieniami niniejszej Umowy o ochronie danych i zezwól na audyty i inspekcje przeprowadzane przez Klienta lub jego upoważnionego audytora, z zastrzeżeniem: (i) pisemnego powiadomienia z wyprzedzeniem 60 dni roboczych; (ii) zachowanie w godzinach pracy bez zbędnych zakłóceń; (iii) audytor zobowiązany do zachowania poufności; (iv) Klient ponosi koszty, chyba że audyt wykaże istotne naruszenie. CallMama może dostarczyć raport ISO 27001 lub SOC 2 zamiast bezpośredniego audytu.
- Zapisy przetwarzania: CallMama prowadzi ewidencję wszystkich kategorii przetwarzania dokonanych w imieniu Klienta zgodnie z art. 30 ust. 2 RODO, dostępną na pisemny wniosek.
- Pomoc w zakresie oceny skutków dla ochrony danych: Jeżeli nagrywanie rozmów lub inne przetwarzanie wymaga oceny skutków dla ochrony danych zgodnie z art. 35 RODO, CallMama zapewni uzasadnioną pomoc, w tym informacje o środkach bezpieczeństwa, podwykonawcach przetwarzania i działaniach związanych z przetwarzaniem.
4. Obowiązki Klienta
- Klient odpowiada za posiadanie zgodnej z prawem podstawy przetwarzania oraz za zgodność z prawem swoich poleceń.
- Jeżeli Klient korzysta z funkcji nagrywania rozmów dostępnej na portalu internetowym, Klient ma obowiązek powiadomić osoby dzwoniące i uzyskać wymagane prawem zgody — patrz Powiadomienie o nagrywaniu rozmów.
- Klientowi nie wolno przesyłać CallMama danych kategorii specjalnej ani danych wrażliwych wykraczających poza zakres, do obsługi którego zaprojektowano Usługę.
5. Podwykonawcy przetwarzania
Klient udziela CallMama ogólnego pisemnego upoważnienia do angażowania podwykonawców przetwarzania, w tym wymienionych w ust. Lista podprocesorów opublikowane na stronie CallMama.com. CallMama nakłada na każdego podprocesora obowiązki w zakresie ochrony danych równoważne obowiązkom nałożonym na CallMama przez niniejszą Umowę Ochrony Danych, w tym obowiązki dotyczące poufności. CallMama pozostaje odpowiedzialny za wydajność swoich podprocesorów. CallMama powiadomi Klienta co najmniej na 14 dni przed dodaniem lub wymianą podprocesora. Klient może sprzeciwić się nowemu lub zastępczemu podwykonawcy przetwarzania z uzasadnionych, udokumentowanych powodów związanych z ochroną danych, powiadamiając o tym CallMama na piśmie w ciągu 14 dni od otrzymania powiadomienia. Jeżeli strony nie będą w stanie rozstrzygnąć sprzeciwu, Klient może zakończyć świadczenie danej części Usługi za pisemnym powiadomieniem. Dalsze korzystanie z Usługi po upływie 14 dni na sprzeciw oznacza akceptację nowego podwykonawcy przetwarzania.
6. Przelewy międzynarodowe
W przypadku przekazywania Danych Osobowych Klienta z EOG lub Wielkiej Brytanii do kraju bez decyzji stwierdzającej odpowiedni stopień ochrony, przekazywanie podlega unijnym SKU (decyzja wykonawcza Komisji 2021/914), Moduł 2 (Administrator-przetwarzający) w przypadku transferów w EOG oraz brytyjskiej ustawy IDTA 2022 w przypadku transferów w Wielkiej Brytanii. Obydwa są włączone przez odniesienie i uzupełnione szczegółami w Sekcji 2. CallMama przeprowadził oceny skutków przeniesienia dla wszystkich podwykonawców przetwarzania z krajów trzecich.
7. Naruszenie danych osobowych
CallMama powiadomi Klienta bez zbędnej zwłoki, a jeśli to możliwe, nie później niż 24 godziny po powzięciu informacji o Naruszeniu Danych Osobowych mających wpływ na Dane Osobowe Klienta. Harmonogram ten ma na celu umożliwienie Klientowi oceny naruszenia i, w razie potrzeby, powiadomienia właściwego organu nadzorczego w terminie 72 godzin wymaganym przez art. 33 RODO i art. 33 brytyjskiego RODO. Powiadomienie będzie zawierać, w zakresie znanym w tamtym momencie: (a) opis charakteru naruszenia, w tym kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz rejestrów, których to dotyczy; b) prawdopodobne konsekwencje naruszenia; oraz c) środki podjęte lub zaproponowane w celu zaradzenia naruszeniu. Jeżeli informacje nie są natychmiast dostępne, CallMama będzie je dostarczać stopniowo, bez dalszej zbędnej zwłoki.
8. Odpowiedzialność i termin
Niniejsza Umowa o ochronie danych stanowi uzupełnienie Warunków świadczenia usług i podlega im. W przypadku sprzeczności pomiędzy niniejszą Umową Ochrony Danych a Warunkami świadczenia usług w jakiejkolwiek kwestii związanej z przetwarzaniem danych osobowych, niniejsza Uchwała ma pierwszeństwo. Niniejsza Umowa o ochronie danych podlega prawu Specjalnego Regionu Administracyjnego Hongkongu. Jednakże w przypadku sporów wynikających z unijnych SKU właściwe prawo i sądy są określone w mających zastosowanie SKU (klauzula 17 i 18 decyzji wykonawczej Komisji 2021/914). Niniejsza Umowa DPA wchodzi w życie, gdy Klient zaakceptuje Warunki świadczenia usług (lub, w przypadku klientów wymagających kontrasygnowanej umowy DPA, w dniu ostatniego podpisania przez obie strony) i obowiązuje tak długo, jak CallMama przetwarza Dane osobowe Klienta.
Załącznik — Środki bezpieczeństwa
CallMama wdraża następujące środki techniczne i organizacyjne, zgodnie z wymogami art. 32 RODO i szczegółowo opisanymi w załączniku II SKU UE:
A. Szyfrowanie i przesyłanie danych
- Szyfrowanie podczas przesyłania: wszelkie dane osobowe przesyłane pomiędzy Serwisem a urządzeniami użytkowników końcowych są szyfrowane przy użyciu protokołu TLS 1.2 lub nowszego. Nieszyfrowane przesyłanie danych osobowych jest zabronione.
- Szyfrowanie w stanie spoczynku: wrażliwe dane osobowe (w tym nagrania rozmów i wiadomości głosowe) są szyfrowane w stanie spoczynku przy użyciu AES-256 lub równoważnego. Wszystkie nośniki kopii zapasowych są szyfrowane.
B. Kontrola dostępu i uwierzytelnianie
- Uwierzytelnianie wieloskładnikowe: wymagane dla wszystkich pracowników uzyskujących dostęp do systemów zawierających Dane Osobowe Klienta, w tym dostęp zdalny.
- Kontrola dostępu oparta na rolach: dostęp do Danych Osobowych Klienta jest ograniczony do personelu, którego rola tego wymaga. Prawa dostępu są sprawdzane co kwartał i cofane natychmiast po rozwiązaniu umowy lub zmianie roli.
- Unikalne konta użytkowników: każdy członek personelu ma unikalny identyfikator. Wspólne konta są zabronione. Wymuszone wymagania dotyczące złożoności hasła.
- Zarządzanie sesją: nieaktywne sesje wygasają automatycznie. Maksymalna liczba nieudanych prób logowania powoduje blokadę konta.
C. Monitorowanie, rejestrowanie i reagowanie na incydenty
- Monitorowanie bezpieczeństwa: systemy są stale monitorowane pod kątem zdarzeń związanych z bezpieczeństwem. Wdrażane są systemy wykrywania i zapobiegania włamaniom.
- Rejestrowanie audytu: każdy dostęp i modyfikacja Danych osobowych Klienta jest rejestrowana. Dzienniki są przechowywane przez co najmniej 12 miesięcy i są zabezpieczone przed manipulacją.
- Reakcja na incydent: udokumentowany plan reagowania na incydenty jest utrzymywany i testowany co najmniej raz w roku. Incydenty są klasyfikowane, ograniczane i zgłaszane zgodnie z niniejszą Umową o ochronie danych.
D. Bezpieczeństwo fizyczne i infrastrukturalne
- Bezpieczeństwo centrum danych: Dane osobowe klientów są przechowywane w centrach danych posiadających certyfikat ISO 27001 (Hetzner) wyposażonych w fizyczną kontrolę dostępu, telewizję przemysłową, kontrolę środowiska i zasilanie awaryjne.
- Kopia zapasowa i odzyskiwanie: regularne kopie zapasowe są tworzone i bezpiecznie przechowywane. Procedury odzyskiwania po awarii są udokumentowane i przetestowane. Cele dotyczące czasu regeneracji są zdefiniowane i poddawane przeglądowi.
E. Kontrole personelu i dostawców
- Poufność personelu: wszyscy pracownicy i kontrahenci mający dostęp do Danych Osobowych Klienta są zobowiązani umownymi zobowiązaniami do zachowania poufności. Jeśli zezwala na to obowiązujące prawo, przeprowadza się weryfikację przeszłości.
- Szkolenie z zakresu bezpieczeństwa: wszyscy pracownicy mający dostęp do danych osobowych przechodzą szkolenie w zakresie ochrony danych i świadomości bezpieczeństwa w dniu zaangażowania i co roku.
- Należyta staranność dostawcy: wszyscy podprzetwarzający są przed zaangażowaniem oceniani pod kątem ochrony danych i bezpieczeństwa oraz na bieżąco monitorowani.
F. Zarządzanie rozwojem i zmianą
- Bezpieczny rozwój: bezpieczeństwo jest uwzględniane w cyklu życia oprogramowania. Przeglądy kodu obejmują ocenę bezpieczeństwa. Istnieją procedury zarządzania podatnościami i poprawkami.
- Testy penetracyjne: niezależne testy penetracyjne przeprowadzane są co najmniej raz w roku. Krytyczne luki są usuwane w ciągu 30 dni.
- Minimalizacja danych: systemy mają na celu minimalizację przetwarzanych danych osobowych. W stosownych przypadkach stosuje się pseudonimizację.
Jak wykonać niniejszą umowę DPA
Klient biznesowy, który potrzebuje podpisanej umowy DPA, powinien się skontaktować legal@CallMama.com. Akceptacja Regulaminu przez Klienta biznesowego przetwarzającego za pośrednictwem Serwisu dane własnych użytkowników końcowych oznacza jednocześnie akceptację niniejszej Umowy o ochronie danych.
9. Dodatkowe postanowienia dotyczące konkretnych jurysdykcji
Stany Zjednoczone — CCPA/CPRA
Jeżeli Dane Osobowe Klienta obejmują dane osobowe mieszkańców Kalifornii, CallMama jest „dostawcą usług” w rozumieniu CCPA/CPRA, a nie „stroną trzecią”. CallMama nie będzie sprzedawać ani udostępniać Danych Osobowych Klienta, nie będzie ich zatrzymywać, wykorzystywać ani ujawniać poza bezpośrednimi relacjami biznesowymi i poświadcza zgodność z ograniczeniami CCPA/CPRA. Podmioty przetwarzające przetwarzające dane osobowe w Kalifornii podlegają równoważnym ograniczeniom dostawców usług.
Kanada – PIPEDA i ustawa Quebecu 25
Jeżeli Dane Osobowe Klienta obejmują dane osobowe mieszkańców Kanady:
- RURA: Kanadyjska ustawa o ochronie danych osobowych i dokumentów elektronicznych (PIPEDA) wymaga od CallMama wdrożenia zabezpieczeń zgodnych z Zasadą 7 (Zabezpieczenia). Klient pozostaje odpowiedzialny za uzyskanie znaczącej zgody oraz odpowiadanie na prośby o dostęp i sprostowanie.
- Prawo Quebecu 25: W przypadku mieszkańców Quebecu ustawa nr 25 (obowiązująca od września 2023 r.) nakłada obowiązek powiadamiania Komisji d'accès à l'information (CAI) o naruszeniu w ciągu 72 godzin. CallMama powiadomi Klienta w ciągu 24 godzin od stwierdzenia naruszenia mającego wpływ na dane mieszkańców Quebecu.
Ta strona jest częścią dokumentacji zgodności CallMama. Zobacz także nasze Polityka prywatności, Warunki świadczenia usług, I opcje kontaktu.