Настоящее Соглашение об обработке данных («DPA») является частью Условий обслуживания между CallMama Limited («CallMama», «Процессор») и бизнес-клиентом, который согласен с ним («Клиент», «Контроллер»). Это применимо, когда CallMama обрабатывает персональные данные от имени Клиента — на практике, когда корпоративный Клиент использует веб-портал CallMama для маршрутизации, хранения или записи сообщений со своими абонентами и контактами.
1. Роли
В отношении персональных данных, которые Клиент обрабатывает через Сервис о своих абонентах и контактах («Персональные данные Клиента»), Клиент является контролером, а CallMama — обработчиком. CallMama обрабатывает Персональные данные Клиента только согласно документированным инструкциям Клиента, которые включают Условия обслуживания, настоящее DPA и использование Клиентом функций Сервиса.
2. Предмет и детали обработки
| Элемент | Деталь |
|---|---|
| Тема сообщения | Предоставление услуги звонков, обмена сообщениями, номеров, маршрутизации и записи (веб-портала) CallMama. |
| Продолжительность | Срок действия Условий обслуживания |
| Природа и цель | Для предоставления Услуг Клиенту и его конечным пользователям, включая хостинг, передачу, маршрутизацию, хранение и (если это разрешено Клиентом) запись сообщений Клиента; и поддерживать безопасность и целостность Сервиса. |
| Виды персональных данных | Контактные номера, имена, метаданные и контент звонков и сообщений, голосовая почта, записи разговоров и другие данные, которые Клиент выбирает для обработки. |
| Категории субъектов данных | Звонящие, контакты, клиенты и сотрудники Заказчика |
Сроки хранения: Подробные записи вызовов хранятся в течение периодов, требуемых действующим законодательством в области телекоммуникаций и налогообложения (обычно от 90 дней до 12 месяцев в зависимости от юрисдикции). Все остальные Персональные данные Клиента сохраняются до тех пор, пока Клиент не запросит удаление, не прекратит действие DPA или не истечет применимый период хранения, в зависимости от того, что наступит раньше.
3. Обязательства CallMama
- Обрабатывать Персональные данные Клиента только по документально оформленным инструкциям Клиента, если иное не требуется по закону (в этом случае CallMama проинформирует Клиента, если закон не запрещает это).
- Убедитесь, что люди, уполномоченные обрабатывать данные, соблюдают конфиденциальность.
- Принять соответствующие технические и организационные меры безопасности (Приложение ниже).
- Оказание помощи Клиенту, принимая во внимание характер обработки, с запросами субъектов данных, безопасностью, уведомлением о нарушении и оценкой воздействия на защиту данных.
- В течение 30 дней с момента прекращения действия Условий обслуживания или письменного запроса удалите или верните все Персональные данные Клиента и подтвердите удаление в письменной форме, за исключением случаев, когда действующее законодательство требует дальнейшего хранения, и в этом случае CallMama проинформирует Клиента о правовом основании и ожидаемой дате удаления.
- Предоставлять информацию, необходимую для демонстрации соблюдения настоящего DPA, и разрешать проведение аудитов и проверок Заказчиком или его уполномоченным аудитором при условии: (i) предварительного письменного уведомления за 60 рабочих дней; (ii) вести себя в рабочее время без ненужных сбоев; (iii) аудитор обязан соблюдать конфиденциальность; (iv) Заказчик несет расходы, если только аудит не выявит существенное нарушение. CallMama может предоставить отчет ISO 27001 или SOC 2 вместо прямого аудита.
- Записи обработки: CallMama ведет учет всех категорий обработки, выполняемых от имени Клиента в соответствии со статьей 30 (2) GDPR, доступный по письменному запросу.
- Помощь DPIA: Если для записи разговоров или другой обработки требуется DPIA в соответствии со статьей 35 GDPR, CallMama предоставит разумную помощь, включая информацию о мерах безопасности, субобработчиках и действиях по обработке.
4. Обязанности Заказчика
- Клиент несет ответственность за наличие законного основания для обработки и законность своих инструкций.
- Если Клиент использует функцию записи разговоров на веб-портале, Клиент должен направить звонящим уведомления и получить согласия, которых требует закон — см. Уведомление о записи разговоров.
- Клиент не должен отправлять CallMama данные особой категории или конфиденциальные данные, выходящие за рамки тех, для обработки которых предназначена Служба.
5. Субпроцессоры
Заказчик предоставляет CallMama общее письменное разрешение на привлечение субобработчиков, в том числе перечисленных в Список субпроцессоров опубликовано на CallMama.com. CallMama налагает на каждого субобработчика обязательства по защите данных, эквивалентные тем, которые наложены на CallMama настоящим DPA, включая обязательства конфиденциальности. CallMama продолжает отвечать за производительность своих субпроцессоров. CallMama уведомит Заказчика как минимум за 14 дней до добавления или замены субобработчика. Клиент может возразить против нового или заменяющего субобработчика на разумных, документально подтвержденных основаниях защиты данных, уведомив CallMama в письменной форме в течение 14 дней с момента получения уведомления. Если стороны не могут разрешить возражение, Клиент может прекратить действие затронутой части Услуги, направив письменное уведомление. Продолжение использования Сервиса после 14-дневного периода возражений означает принятие нового субобработчика.
6. Международные переводы
Если Персональные данные клиента передаются из ЕЭЗ или Великобритании в страну без решения об адекватности, передача регулируется SCC ЕС (Решение Комиссии 2021/914), Модулем 2 (От контроллера к процессору) для передачи в ЕЭЗ и IDTA 2022 Великобритании для передачи в Великобритании. Оба включены посредством ссылки и дополнены подробностями в разделе 2. CallMama провела оценку воздействия передачи для всех субобработчиков третьих стран.
7. Утечка персональных данных
CallMama уведомит Клиента без неоправданной задержки и, если это возможно, не позднее, чем через 24 часа после того, как ему станет известно об Утечке Персональных данных, затрагивающей Персональные данные Клиента. Этот график предназначен для того, чтобы позволить Клиенту оценить нарушение и, при необходимости, уведомить компетентный надзорный орган в течение 72-часового периода, требуемого статьей 33 GDPR и статьей 33 GDPR Великобритании. Уведомление будет включать, насколько это известно на тот момент: (a) описание характера нарушения, включая категории и приблизительное количество затронутых субъектов данных и записей; (b) вероятные последствия нарушения; и (c) меры, принятые или предложенные для устранения нарушения. Если информация недоступна немедленно, CallMama предоставит ее поэтапно, без дальнейших неоправданных задержек.
8. Ответственность и срок
Настоящее DPA дополняет Условия использования и регулируется ими. В случае противоречия между настоящим DPA и Условиями обслуживания по любому вопросу, касающемуся обработки персональных данных, настоящее DPA имеет преимущественную силу. Действие настоящего DPA регулируется законодательством Специального административного района Гонконг. Однако для споров, возникающих в рамках СУК ЕС, применимое право и суды соответствуют применимым СУК ЕС (пункт 17 и пункт 18 Исполнительного решения Комиссии 2021/914). Настоящее DPA вступает в силу, когда Клиент принимает Условия обслуживания (или, для клиентов, которым требуется подписанное DPA, в дату последнего подписания обеими сторонами) и действует до тех пор, пока CallMama обрабатывает Персональные данные Клиента.
Приложение — Меры безопасности
CallMama реализует следующие технические и организационные меры, как того требует статья 32 GDPR и как подробно описано в Приложении II к SCC ЕС:
A. Шифрование и передача данных
- Шифрование при передаче: все персональные данные, передаваемые между Сервисом и устройствами конечных пользователей, шифруются с использованием TLS 1.2 или выше. Передача персональных данных в незашифрованном виде запрещена.
- Шифрование в состоянии покоя: конфиденциальные персональные данные (включая записи разговоров и голосовую почту) при хранении шифруются с использованием AES-256 или его эквивалента. Все резервные носители зашифрованы.
B. Контроль доступа и аутентификация
- Многофакторная аутентификация: требуется для всех сотрудников, имеющих доступ к системам, содержащим Персональные данные Клиента, включая удаленный доступ.
- Ролевой контроль доступа: доступ к Персональным данным Клиента ограничен персоналом, чья должность этого требует. Права доступа пересматриваются ежеквартально и аннулируются немедленно при прекращении действия или изменении роли.
- Уникальные учетные записи пользователей: каждый сотрудник имеет уникальный идентификатор. Общие аккаунты запрещены. Соблюдаются требования к сложности пароля.
- Управление сеансом: время неактивных сессий истекает автоматически. Максимальное количество неудачных попыток входа в систему приводит к блокировке учетной записи.
C. Мониторинг, регистрация и реагирование на инциденты
- Мониторинг безопасности: системы постоянно контролируются на предмет событий безопасности. Развернуты системы обнаружения и предотвращения вторжений.
- Журнал аудита: весь доступ к Персональным данным Клиента и их изменение регистрируются. Журналы хранятся не менее 12 месяцев и защищены от несанкционированного доступа.
- Реагирование на инцидент: документированный план реагирования на инциденты поддерживается и проверяется не реже одного раза в год. Инциденты классифицируются, локализуются и о них сообщается в соответствии с настоящим DPA.
D. Физическая и инфраструктурная безопасность
- Безопасность дата-центра: Персональные данные клиентов хранятся в центрах обработки данных (Hetzner), сертифицированных по стандарту ISO 27001, с контролем физического доступа, системой видеонаблюдения, контролем окружающей среды и источником бесперебойного питания.
- Резервное копирование и восстановление: регулярные резервные копии создаются и надежно хранятся. Процедуры аварийного восстановления документированы и протестированы. Целевые показатели времени восстановления определены и проверены.
E. Контроль персонала и поставщиков
- Конфиденциальность персонала: все сотрудники и подрядчики, имеющие доступ к Персональным данным Клиента, связаны договорными обязательствами по соблюдению конфиденциальности. Проверка анкетных данных проводится там, где это разрешено действующим законодательством.
- Обучение безопасности: все сотрудники, имеющие доступ к персональным данным, ежегодно проходят обучение по вопросам защиты данных и безопасности.
- Комплексная проверка поставщиков: все субобработчики проверяются на предмет защиты данных и соблюдения требований безопасности перед привлечением и контролируются на постоянной основе.
F. Развитие и управление изменениями
- Безопасное развитие: безопасность включена в жизненный цикл разработки программного обеспечения. Проверка кода включает оценку безопасности. Имеются процедуры управления уязвимостями и управления исправлениями.
- Тестирование на проникновение: независимое тестирование на проникновение проводится не реже одного раза в год. Критические уязвимости устраняются в течение 30 дней.
- Минимизация данных: системы предназначены для минимизации обрабатываемых персональных данных. При необходимости используется псевдонимизация.
Как выполнить этот DPA
Бизнес-клиент, которому нужен подписанный DPA, должен обратиться Legal@CallMama.com. Принятие Условий обслуживания бизнес-клиентом, который обрабатывает данные своих конечных пользователей посредством Сервиса, также означает принятие настоящего DPA.
9. Дополнительные положения для конкретных юрисдикций
США — CCPA/CPRA
Если Персональные данные клиента включают личную информацию жителей Калифорнии, CallMama является «поставщиком услуг» в соответствии с CCPA/CPRA, а не «третьей стороной». CallMama не будет продавать или передавать Персональные данные клиента, не будет сохранять, использовать или раскрывать их за пределами прямых деловых отношений и подтверждает соблюдение ограничений CCPA/CPRA. Субобработчики, обрабатывающие личную информацию штата Калифорния, связаны эквивалентными ограничениями поставщиков услуг.
Канада — PIPEDA и Закон Квебека 25
Если Персональные данные клиента включают личную информацию жителей Канады:
- ТИПЕДА: Закон Канады о защите личной информации и электронных документах (PIPEDA) требует, чтобы CallMama реализовывал меры безопасности, соответствующие Принципу 7 (Защитные меры). Клиент остается ответственным за получение значимого согласия и реагирование на запросы на доступ и исправления.
- Закон Квебека 25: Для жителей Квебека Закон 25 (вступает в силу с сентября 2023 г.) налагает обязанность уведомлять Комиссию по доступу к информации (CAI) о нарушении за 72 часа. CallMama уведомит Клиента в течение 24 часов после того, как ему станет известно об утечке данных жителей Квебека.
Эта страница является частью документации соответствия CallMama. Смотрите также наш политика конфиденциальности, Условия использования, и варианты связи.