Rättslig

Databehandlingsavtal

Senast uppdaterad: 20 maj 2026 CallMama Limited · Hong Kong · CR-nr 77766807

Detta databearbetningsavtal ("DPA") utgör en del av användarvillkoren mellan CallMama Limited ("CallMama", "Behandlare") och den företagskund som godkänner det ("Kund", "Kontrollansvarig"). Det gäller där CallMama behandlar personuppgifter för kundens räkning — i praktiken där en företagskund använder webbportalen CallMama för att dirigera, lagra eller spela in kommunikation med sina egna uppringare och kontakter.

För vanlig konsumentanvändning av CallMama är CallMama styrenheten och denna DPA gäller inte — se Sekretesspolicy. Denna DPA gäller endast för företagskunder som behandlar sina egna slutanvändares data genom CallMama.

1. Roller

För de personuppgifter som Kunden behandlar genom Tjänsten om sina egna uppringare och kontakter ("Kundens Personuppgifter"), är Kunden personuppgiftsansvarig och CallMama är databehandlare. CallMama behandlar kundens personuppgifter endast enligt kundens dokumenterade instruktioner, som inkluderar användarvillkoren, denna DPA och kundens användning av tjänstens funktioner.

2. Ämne och detaljer om behandlingen

PunktDetalj
ÄmneTillhandahållande av CallMama samtals-, meddelande-, nummer-, routing- och (webbportal) inspelningstjänst
VaraktighetVillkoren för användarvillkoren
Natur och syfteFör att tillhandahålla tjänsterna till kunden och dess slutanvändare, inklusive hosting, sändning, routing, lagring och (där kunden tillåter det) inspelning av kundens kommunikation; och att upprätthålla tjänstens säkerhet och integritet
Typer av personuppgifterKontaktnummer, namn, samtals- och meddelandemetadata och innehåll, röstbrevlåda, samtalsinspelningar och annan data som kunden väljer att behandla
Kategorier av registreradeKundens uppringare, kontakter, kunder och personal

Lagringsperioder: Uppgifter om samtalsuppgifter bevaras under de perioder som krävs enligt tillämplig telekommunikations- och skattelagstiftning (vanligtvis 90 dagar till 12 månader beroende på jurisdiktion). Alla andra kunduppgifter bevaras tills kunden begär radering, dataskyddsavtalet upphör eller tills den tillämpliga lagringsperioden löper ut, beroende på vilket som är tidigast.

3. CallMama:s skyldigheter

  • Behandla kundens personuppgifter endast enligt kundens dokumenterade instruktioner, om inte annat krävs enligt lag (i vilket fall CallMama kommer att informera kunden om inte lagen förbjuder det).
  • Se till att personer som har behörighet att behandla uppgifterna är bundna av konfidentialitet.
  • Genomför lämpliga tekniska och organisatoriska säkerhetsåtgärder (bilaga nedan).
  • Assistera kunden, med hänsyn till behandlingens karaktär, med förfrågningar från registrerade, säkerhet, anmälan om intrång och konsekvensbedömningar av dataskydd.
  • Inom 30 dagar efter uppsägning av användarvillkoren eller skriftlig begäran, radera eller returnera alla Kundens Personuppgifter och bekräfta raderingen skriftligen, förutom i den utsträckning tillämplig lag kräver fortsatt lagring, i vilket fall CallMama kommer att informera Kunden om den rättsliga grunden och det förväntade raderingsdatumet.
  • Gör tillgänglig information som behövs för att visa efterlevnad av denna DPA, och tillåta revisioner och inspektioner av kunden eller dess auktoriserade revisor, med förbehåll för: (i) 60 arbetsdagars skriftliga varsel; (ii) uppträda under kontorstid utan onödiga avbrott; (iii) revisor bunden av konfidentialitet; (iv) Kunden står för kostnaden om inte granskningen avslöjar ett väsentligt brott. CallMama kan tillhandahålla en ISO 27001- eller SOC 2-rapport i stället för en direkt revision.
  • Register över bearbetning: CallMama upprätthåller register över alla behandlingskategorier som utförs på uppdrag av kunden enligt GDPR artikel 30(2), tillgängliga på skriftlig begäran.
  • DPIA-hjälp: Där samtalsinspelning eller annan behandling kräver en DPIA enligt GDPR Artikel 35, kommer CallMama att tillhandahålla rimlig assistans inklusive information om säkerhetsåtgärder, underbehandlare och bearbetningsaktiviteter.

4. Kundens skyldigheter

  • Kunden ansvarar för att ha en laglig grund för behandlingen och för att dess instruktioner är lagliga.
  • Om Kunden använder webbportalens samtalsinspelningsfunktion måste Kunden meddela sina uppringare meddelanden och inhämta samtycken som lagen kräver – se Meddelande om samtalsinspelning.
  • Kunden får inte skicka CallMama specialkategoridata eller känslig data utöver vad Tjänsten är utformad för att hantera.

5. Underbehandlare

Kunden beviljar allmänt skriftligt tillstånd för CallMama att anlita underbehandlare, inklusive de som anges i Underprocessorlista publicerad på CallMama.com. CallMama ålägger varje underbehandlare dataskyddsskyldigheter motsvarande dem som åläggs CallMama av denna dataskyddsmyndighet, inklusive sekretessskyldigheter. CallMama förblir ansvarig för prestandan hos sina underprocessorer. CallMama kommer att meddela kunden minst 14 dagar innan du lägger till eller ersätter en underbehandlare. Kunden kan invända mot en ny eller ersättande underbehandlare av rimliga, dokumenterade dataskyddsskäl genom att skriftligen meddela CallMama inom 14 dagar efter mottagandet av meddelandet. Om parterna inte kan lösa invändningen kan Kunden säga upp den berörda delen av Tjänsten med skriftligt meddelande. Fortsatt användning av Tjänsten efter den 14 dagar långa invändningsperioden utgör ett godkännande av den nya underbehandlaren.

6. Internationella överföringar

När kunduppgifter överförs från EES eller Storbritannien till ett land utan ett beslut om adekvathet, styrs överföringen av EU SCCs (Commission Implementing Decision 2021/914), Modul 2 (Controller-to-Processor) för EES-överföringar och av UK IDTA 2022 för brittiska överföringar. Båda är införlivade genom referens och kompletteras med detaljerna i avsnitt 2. CallMama har genomfört överföringseffektbedömningar för alla underbehandlare från tredje land.

7. Brott mot personuppgifter

CallMama kommer att meddela kunden utan onödigt dröjsmål, och om möjligt senast 24 timmar efter att ha blivit medveten om ett personuppgiftsintrång som påverkar kundens personuppgifter. Denna tidslinje är avsedd att göra det möjligt för kunden att bedöma överträdelsen och, vid behov, meddela den behöriga tillsynsmyndigheten inom den 72-timmarsperiod som krävs enligt GDPR artikel 33 och Storbritanniens GDPR artikel 33. Meddelandet kommer att innehålla, i den utsträckning som är känt vid tidpunkten: (a) en beskrivning av överträdelsens karaktär inklusive kategorier och ungefärligt antal berörda personer och register; (b) de sannolika konsekvenserna av överträdelsen; och (c) de åtgärder som vidtagits eller föreslagits för att åtgärda överträdelsen. Där information inte är omedelbart tillgänglig kommer CallMama att tillhandahålla den i faser utan ytterligare onödigt dröjsmål.

8. Ansvar och löptid

Denna DPA kompletterar och är föremål för användarvillkoren. I händelse av en konflikt mellan denna dataskyddsmyndighet och användarvillkoren i någon fråga som rör behandlingen av personuppgifter, har denna dataskyddsmyndighet företräde. Denna DPA styrs av lagarna i Hongkongs särskilda administrativa region. För tvister som uppstår under EU:s SCCs är dock tillämplig lag och domstolar som specificeras i de tillämpliga SCCs (klausul 17 och klausul 18 i kommissionens genomförandebeslut 2021/914). Denna DPA träder i kraft när kunden accepterar användarvillkoren (eller, för kunder som kräver en motsignerad DPA, det datum som senast undertecknades av båda parter) och fortsätter så länge som CallMama behandlar kundens personuppgifter.

Bilaga — Säkerhetsåtgärder

CallMama implementerar följande tekniska och organisatoriska åtgärder, som krävs av GDPR artikel 32 och som beskrivs närmare i EU:s SCCs bilaga II:

A. Kryptering och data under överföring

  • Kryptering under överföring: all personlig information som överförs mellan tjänsten och slutanvändarens enheter krypteras med TLS 1.2 eller högre. Okrypterad överföring av personuppgifter är förbjuden.
  • Kryptering i vila: känsliga personuppgifter (inklusive samtalsinspelningar och röstmeddelanden) krypteras i vila med AES-256 eller motsvarande. Alla backupmedia är krypterade.

B. Åtkomstkontroller och autentisering

  • Multifaktorautentisering: krävs för all personal som får åtkomst till system som innehåller kunduppgifter, inklusive fjärråtkomst.
  • Rollbaserad åtkomstkontroll: åtkomst till Kundens Personuppgifter är begränsad till personal vars roll kräver det. Åtkomsträttigheter ses över kvartalsvis och återkallas omedelbart vid uppsägning eller rollbyte.
  • Unika användarkonton: varje anställd har en unik identifierare. Delade konton är förbjudna. Lösenordets komplexitetskrav tillämpas.
  • Sessionshantering: inaktiva sessioner timeout automatiskt. Maximalt antal misslyckade inloggningsförsök utlöser kontolåsning.

C. Övervakning, loggning och incidentrespons

  • Säkerhetsövervakning: system övervakas kontinuerligt för säkerhetshändelser. Intrångsdetektering och förebyggande system används.
  • Granskningsloggning: all åtkomst till och ändring av kundens personuppgifter loggas. Loggar bevaras i minst 12 månader och är manipuleringssäkra.
  • Händelsesvar: en dokumenterad incidenthanteringsplan upprätthålls och testas minst en gång per år. Incidenter klassificeras, innesluts och rapporteras i enlighet med denna DPA.

D. Fysisk säkerhet och infrastruktursäkerhet

  • Datacentersäkerhet: Kundens personuppgifter finns i ISO 27001-certifierade datacenter (Hetzner) med fysiska åtkomstkontroller, CCTV, miljökontroller och avbrottsfri strömförsörjning.
  • Säkerhetskopiering och återställning: regelbundna säkerhetskopior tas och lagras säkert. Katastrofåterställningsprocedurer är dokumenterade och testade. Mål för återhämtningstid definieras och granskas.

E. Personal- och leverantörskontroller

  • Personalens sekretess: all personal och entreprenörer med tillgång till kundpersonuppgifter är bundna av avtalsenliga sekretessskyldigheter. Bakgrundskontroller utförs där det är tillåtet enligt tillämplig lag.
  • Säkerhetsutbildning: all personal med tillgång till personuppgifter får utbildning i dataskydd och säkerhetsmedvetenhet om engagemang och årligen.
  • Säljarens due diligence: alla underbehandlare utvärderas för dataskydd och säkerhetsefterlevnad före engagemang och övervakas löpande.

F. Utveckling och förändringsledning

  • Säker utveckling: säkerhet ingår i mjukvaruutvecklingens livscykel. Kodgranskningar inkluderar säkerhetsbedömning. Sårbarhetshantering och patchhanteringsprocedurer finns på plats.
  • Penetrationstest: oberoende penetrationstestning genomförs minst en gång per år. Kritiska sårbarheter åtgärdas inom 30 dagar.
  • Dataminimering: system är utformade för att minimera de personuppgifter som behandlas. Pseudonymisering används där så är lämpligt.

Hur man utför denna DPA

En företagskund som behöver en undertecknad DPA bör kontakta legal@CallMama.com. Godkännande av användarvillkoren av en företagskund som bearbetar sina egna slutanvändares data via tjänsten utgör också godkännande av denna DPA.

9. Ytterligare bestämmelser för specifika jurisdiktioner

USA — CCPA / CPRA

Där kunduppgifter inkluderar personlig information om invånare i Kalifornien, är CallMama en "tjänsteleverantör" enligt CCPA/CPRA, inte en "tredje part". CallMama kommer inte att sälja eller dela kundpersonuppgifter, kommer inte att behålla, använda eller avslöja dem utanför den direkta affärsrelationen och intygar efterlevnad av CCPA/CPRA-begränsningar. Underbehandlare som hanterar personuppgifter från Kalifornien är bundna av motsvarande begränsningar för tjänsteleverantörer.

Kanada – PIPEDA och Quebec lag 25

Där kundpersonuppgifter inkluderar personlig information om kanadensiska invånare:

  • PIPEDA: Kanadas lag om personlig informationsskydd och elektroniska dokument (PIPEDA) kräver att CallMama implementerar säkerhetsåtgärder i överensstämmelse med princip 7 (Safeguards). Kunden förblir ansvarig för att erhålla meningsfullt samtycke och svara på åtkomst- och korrigeringsförfrågningar.
  • Quebec lag 25: För invånare i Quebec ålägger lag 25 (gäller september 2023) en 72-timmarsplikt för att anmäla överträdelser till Commission d'accès à l'information (CAI). CallMama kommer att meddela kunden inom 24 timmar efter att ha blivit medveten om ett brott som påverkar Quebec-invånarnas data.

Den här sidan är en del av CallMama:s överensstämmelsedokumentation. Se även vår Sekretesspolicy, Användarvillkor, och kontaktalternativ.

Hämta där du
slutade.

Ett tryck för att installera. En till att ringa. Det är verkligen så enkelt.

Tweaks