ข้อตกลงการประมวลผลข้อมูล ("DPA") นี้เป็นส่วนหนึ่งของข้อกำหนดในการให้บริการระหว่าง CallMama Limited ("CallMama", "ผู้ประมวลผล") และลูกค้าธุรกิจที่ตกลง ("ลูกค้า", "ผู้ควบคุม") ใช้ในกรณีที่ CallMama ประมวลผลข้อมูลส่วนบุคคลในนามของลูกค้า - ในทางปฏิบัติ เมื่อลูกค้าธุรกิจใช้เว็บพอร์ทัล CallMama เพื่อกำหนดเส้นทาง จัดเก็บ หรือบันทึกการสื่อสารกับผู้โทรและผู้ติดต่อของตนเอง
1. บทบาท
สำหรับข้อมูลส่วนบุคคลที่ลูกค้าประมวลผลผ่านบริการเกี่ยวกับผู้โทรและผู้ติดต่อของลูกค้า ("ข้อมูลส่วนบุคคลของลูกค้า") ลูกค้าคือผู้ควบคุมและ CallMama เป็นผู้ประมวลผล CallMama ประมวลผลข้อมูลส่วนบุคคลของลูกค้าตามคำแนะนำของลูกค้าเท่านั้น ซึ่งรวมถึงข้อกำหนดในการให้บริการ DPA นี้ และการใช้บริการคุณลักษณะของบริการของลูกค้า
2. เนื้อหาสาระและรายละเอียดการประมวลผล
| รายการ | รายละเอียด |
|---|---|
| หัวข้อเรื่อง | การให้บริการการโทร การส่งข้อความ หมายเลข การกำหนดเส้นทาง และ (เว็บพอร์ทัล) ของ CallMama |
| ระยะเวลา | ระยะเวลาของข้อกำหนดในการให้บริการ |
| ธรรมชาติและวัตถุประสงค์ | เพื่อให้บริการแก่ลูกค้าและผู้ใช้ปลายทาง รวมถึงการโฮสต์ การส่ง การกำหนดเส้นทาง การจัดเก็บ และ (ในกรณีที่ลูกค้าเปิดใช้งาน) บันทึกการสื่อสารของลูกค้า และเพื่อรักษาความปลอดภัยและความสมบูรณ์ของบริการ |
| ประเภทของข้อมูลส่วนบุคคล | หมายเลขติดต่อ ชื่อ ข้อมูลเมตาและเนื้อหาการโทรและข้อความ ข้อความเสียง บันทึกการโทร และข้อมูลอื่น ๆ ที่ลูกค้าเลือกที่จะประมวลผล |
| ประเภทของหัวข้อข้อมูล | ผู้โทร ผู้ติดต่อ ลูกค้า และพนักงานของลูกค้า |
ระยะเวลาการเก็บรักษา: บันทึกรายละเอียดการโทรจะถูกเก็บไว้ตามระยะเวลาที่กำหนดโดยกฎหมายโทรคมนาคมและภาษีที่เกี่ยวข้อง (โดยทั่วไปคือ 90 วันถึง 12 เดือน ขึ้นอยู่กับเขตอำนาจศาล) ข้อมูลส่วนบุคคลของลูกค้าอื่นๆ ทั้งหมดจะถูกเก็บไว้จนกว่าลูกค้าจะร้องขอให้ลบ DPA ยุติ หรือระยะเวลาการเก็บรักษาที่เกี่ยวข้องหมดลง ขึ้นอยู่กับว่ากรณีใดจะเร็วที่สุด
3. ภาระผูกพันของ CallMama
- ประมวลผลข้อมูลส่วนบุคคลของลูกค้าตามคำแนะนำของลูกค้าเท่านั้น เว้นแต่กฎหมายจะกำหนดไว้เป็นอย่างอื่น (ในกรณีนี้ CallMama จะแจ้งให้ลูกค้าทราบ เว้นแต่กฎหมายห้ามไว้)
- ตรวจสอบให้แน่ใจว่าผู้ที่ได้รับอนุญาตให้ประมวลผลข้อมูลถูกผูกมัดโดยการรักษาความลับ
- ใช้มาตรการทางเทคนิคและความปลอดภัยขององค์กรที่เหมาะสม (ภาคผนวกด้านล่าง)
- ช่วยเหลือลูกค้าโดยคำนึงถึงลักษณะของการประมวลผล ด้วยคำขอของเจ้าของข้อมูล การรักษาความปลอดภัย การแจ้งเตือนการละเมิด และการประเมินผลกระทบต่อการปกป้องข้อมูล
- ภายใน 30 วันหลังจากการยกเลิกข้อกำหนดในการให้บริการหรือคำขอเป็นลายลักษณ์อักษร ให้ลบหรือส่งคืนข้อมูลส่วนบุคคลของลูกค้าทั้งหมดและยืนยันการลบเป็นลายลักษณ์อักษร ยกเว้นในขอบเขตที่กฎหมายที่เกี่ยวข้องกำหนดให้มีการเก็บรักษาต่อไป ซึ่งในกรณีนี้ CallMama จะแจ้งให้ลูกค้าทราบถึงพื้นฐานทางกฎหมายและวันที่คาดว่าจะลบ
- จัดให้มีข้อมูลที่จำเป็นเพื่อแสดงให้เห็นถึงการปฏิบัติตาม DPA นี้ และอนุญาตให้มีการตรวจสอบและการตรวจสอบโดยลูกค้าหรือผู้ตรวจสอบที่ได้รับอนุญาต โดยอยู่ภายใต้: (i) การแจ้งเตือนเป็นลายลักษณ์อักษรล่วงหน้า 60 วันทำการ; (ii) ดำเนินการในช่วงเวลาทำการโดยไม่หยุดชะงักเกินสมควร; (iii) ผู้ตรวจสอบที่ถูกผูกมัดโดยการรักษาความลับ; (iv) ลูกค้าเป็นผู้รับผิดชอบค่าใช้จ่าย เว้นแต่การตรวจสอบพบว่ามีการละเมิดที่เป็นสาระสำคัญ CallMama อาจจัดให้มีรายงาน ISO 27001 หรือ SOC 2 แทนการตรวจสอบโดยตรง
- บันทึกการประมวลผล: CallMama เก็บรักษาบันทึกของหมวดหมู่การประมวลผลทั้งหมดที่ดำเนินการในนามของลูกค้าภายใต้ GDPR Article 30(2) ซึ่งมีให้ตามคำขอเป็นลายลักษณ์อักษร
- ความช่วยเหลือ DPIA: ในกรณีที่การบันทึกการโทรหรือการประมวลผลอื่นๆ จำเป็นต้องมี DPIA ภายใต้ GDPR Article 35 CallMama จะให้ความช่วยเหลือตามสมควร รวมถึงข้อมูลเกี่ยวกับมาตรการรักษาความปลอดภัย ผู้ประมวลผลย่อย และกิจกรรมการประมวลผล
4. ภาระผูกพันของลูกค้า
- ลูกค้ามีหน้าที่รับผิดชอบในการมีพื้นฐานที่ถูกต้องตามกฎหมายสำหรับการประมวลผลและความถูกต้องตามกฎหมายของคำแนะนำ
- หากลูกค้าใช้คุณสมบัติบันทึกการโทรของพอร์ทัลเว็บ ลูกค้าจะต้องแจ้งให้ผู้โทรทราบและรับความยินยอมตามที่กฎหมายกำหนด — ดู ประกาศการบันทึกการโทร.
- ลูกค้าจะต้องไม่ส่งข้อมูลหมวดหมู่พิเศษของ CallMama หรือข้อมูลที่ละเอียดอ่อนเกินกว่าที่บริการได้รับการออกแบบให้จัดการ
5. โปรเซสเซอร์ย่อย
ลูกค้าให้การอนุญาตเป็นลายลักษณ์อักษรทั่วไปแก่ CallMama เพื่อว่าจ้างผู้ประมวลผลย่อย รวมถึงผู้ที่ระบุไว้ใน รายการโปรเซสเซอร์ย่อย เผยแพร่ที่ CallMama.com CallMama กำหนดภาระหน้าที่ในการปกป้องข้อมูลให้กับโปรเซสเซอร์ย่อยแต่ละตัวที่เทียบเท่ากับภาระหน้าที่ที่กำหนดบน CallMama โดย DPA นี้ รวมถึงภาระหน้าที่ในการรักษาความลับด้วย CallMama ยังคงรับผิดชอบต่อประสิทธิภาพของโปรเซสเซอร์ย่อย CallMama จะแจ้งให้ลูกค้าทราบอย่างน้อย 14 วันก่อนเพิ่มหรือเปลี่ยนโปรเซสเซอร์ย่อย ลูกค้าสามารถคัดค้านโปรเซสเซอร์ย่อยตัวใหม่หรือตัวทดแทนได้บนพื้นฐานการคุ้มครองข้อมูลที่สมเหตุสมผลและมีเอกสารประกอบ โดยแจ้งให้ CallMama ทราบเป็นลายลักษณ์อักษรภายใน 14 วันนับจากวันที่ได้รับแจ้ง หากทั้งสองฝ่ายไม่สามารถแก้ไขข้อโต้แย้งได้ ลูกค้าอาจยุติบริการส่วนที่ได้รับผลกระทบโดยแจ้งให้ทราบเป็นลายลักษณ์อักษร การใช้บริการต่อไปหลังจากระยะเวลาคัดค้าน 14 วันถือเป็นการยอมรับผู้ประมวลผลย่อยรายใหม่
6. การโอนเงินระหว่างประเทศ
ในกรณีที่ข้อมูลส่วนบุคคลของลูกค้าถูกถ่ายโอนจาก EEA หรือสหราชอาณาจักรไปยังประเทศโดยไม่มีการตัดสินใจที่เพียงพอ การถ่ายโอนจะอยู่ภายใต้ SCC ของสหภาพยุโรป (Commission Implementing Decision 2021/914), Module 2 (Controller-to-Processor) สำหรับการถ่ายโอน EEA และโดย UK IDTA 2022 สำหรับการถ่ายโอนในสหราชอาณาจักร ทั้งสองถูกรวมเข้าด้วยกันโดยการอ้างอิงและกรอกรายละเอียดในส่วนที่ 2 CallMama ได้ทำการประเมินผลกระทบการถ่ายโอนสำหรับผู้ประมวลผลย่อยในประเทศที่สามทั้งหมด
7. การละเมิดข้อมูลส่วนบุคคล
CallMama จะแจ้งให้ลูกค้าทราบโดยไม่ชักช้า และหากเป็นไปได้ภายใน 24 ชั่วโมงหลังจากทราบถึงการละเมิดข้อมูลส่วนบุคคลที่ส่งผลต่อข้อมูลส่วนบุคคลของลูกค้า ไทม์ไลน์นี้มีจุดมุ่งหมายเพื่อให้ลูกค้าสามารถประเมินการละเมิด และแจ้งหน่วยงานกำกับดูแลที่มีอำนาจตามที่กำหนดภายในระยะเวลา 72 ชั่วโมงที่กำหนดโดย GDPR Article 33 และ UK GDPR Article 33 การแจ้งเตือนจะรวมถึงในขอบเขตที่ทราบในขณะนั้น: (a) คำอธิบายลักษณะของการละเมิด รวมถึงหมวดหมู่และจำนวนโดยประมาณของเจ้าของข้อมูลและบันทึกที่ได้รับผลกระทบ (a) คำอธิบายลักษณะของการละเมิด รวมถึงหมวดหมู่และจำนวนโดยประมาณของเจ้าของข้อมูลและบันทึกที่ได้รับผลกระทบ; (b) ผลที่ตามมาของการละเมิด; และ (ค) มาตรการที่ใช้หรือเสนอเพื่อแก้ไขการละเมิด ในกรณีที่ข้อมูลไม่พร้อมใช้งานทันที CallMama จะจัดเตรียมข้อมูลเป็นระยะโดยไม่ล่าช้าเกินควร
8. ความรับผิดและระยะเวลา
DPA นี้เป็นส่วนเสริมและอยู่ภายใต้ข้อกำหนดในการให้บริการ ในกรณีที่มีข้อขัดแย้งระหว่าง DPA นี้กับข้อกำหนดในการให้บริการในเรื่องใด ๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล DPA นี้จะมีผลเหนือกว่า DPA นี้อยู่ภายใต้กฎหมายของเขตบริหารพิเศษฮ่องกง อย่างไรก็ตาม สำหรับข้อพิพาทที่เกิดขึ้นภายใต้ SCC ของสหภาพยุโรป กฎหมายที่ใช้บังคับและศาลจะเป็นไปตามที่ระบุไว้ใน SCC ที่เกี่ยวข้อง (Clause 17 และ Clause 18 of Commission Implementing Decision 2021/914) DPA นี้จะมีผลเมื่อลูกค้ายอมรับข้อกำหนดในการให้บริการ (หรือสำหรับลูกค้าที่ต้องการ DPA ที่ลงนามร่วมกัน ในวันที่ลงนามครั้งล่าสุดโดยทั้งสองฝ่าย) และดำเนินต่อไปตราบใดที่ CallMama ประมวลผลข้อมูลส่วนบุคคลของลูกค้า
ภาคผนวก — มาตรการรักษาความปลอดภัย
CallMama ใช้มาตรการด้านเทคนิคและองค์กรต่อไปนี้ ตามที่กำหนดโดย GDPR Article 32 และตามรายละเอียดเพิ่มเติมใน EU SCCs ภาคผนวก II:
A. การเข้ารหัสและข้อมูลระหว่างทาง
- การเข้ารหัสระหว่างทาง: ข้อมูลส่วนบุคคลทั้งหมดที่ส่งระหว่างบริการและอุปกรณ์ของผู้ใช้ปลายทางได้รับการเข้ารหัสโดยใช้ TLS 1.2 หรือสูงกว่า ห้ามส่งข้อมูลส่วนบุคคลโดยไม่เข้ารหัส
- การเข้ารหัสที่เหลือ: ข้อมูลส่วนบุคคลที่ละเอียดอ่อน (รวมถึงการบันทึกการโทรและข้อความเสียง) จะถูกเข้ารหัสเมื่อไม่ได้ใช้งานโดยใช้ AES-256 หรือเทียบเท่า สื่อสำรองข้อมูลทั้งหมดได้รับการเข้ารหัส
B. การควบคุมการเข้าถึงและการรับรองความถูกต้อง
- การรับรองความถูกต้องแบบหลายปัจจัย: จำเป็นสำหรับพนักงานทุกคนในการเข้าถึงระบบที่มีข้อมูลส่วนบุคคลของลูกค้า รวมถึงการเข้าถึงระยะไกล
- การควบคุมการเข้าถึงตามบทบาท: การเข้าถึงข้อมูลส่วนบุคคลของลูกค้านั้นจำกัดเฉพาะพนักงานที่มีบทบาทที่ต้องการเท่านั้น สิทธิ์การเข้าถึงจะได้รับการตรวจสอบทุกไตรมาสและเพิกถอนทันทีเมื่อมีการยุติหรือเปลี่ยนบทบาท
- บัญชีผู้ใช้ที่ไม่ซ้ำ: พนักงานแต่ละคนมีตัวระบุที่ไม่ซ้ำกัน บัญชีที่ใช้ร่วมกันเป็นสิ่งต้องห้าม บังคับใช้ข้อกำหนดความซับซ้อนของรหัสผ่าน
- การจัดการเซสชัน: เซสชันที่ไม่ได้ใช้งานจะหมดเวลาโดยอัตโนมัติ จำนวนความพยายามในการเข้าสู่ระบบที่ล้มเหลวสูงสุดจะกระตุ้นให้เกิดการล็อกบัญชี
C. การติดตาม การบันทึก และการตอบสนองต่อเหตุการณ์
- การตรวจสอบความปลอดภัย: ระบบได้รับการตรวจสอบเหตุการณ์ด้านความปลอดภัยอย่างต่อเนื่อง มีระบบตรวจจับและป้องกันการบุกรุก
- การบันทึกการตรวจสอบ: การเข้าถึงและการแก้ไขข้อมูลส่วนบุคคลของลูกค้าทั้งหมดจะถูกบันทึกไว้ บันทึกจะถูกเก็บไว้เป็นเวลาอย่างน้อย 12 เดือนและมีหลักฐานการงัดแงะ
- การตอบสนองต่อเหตุการณ์: แผนการตอบสนองเหตุการณ์ที่ได้รับการบันทึกไว้จะได้รับการดูแลและทดสอบอย่างน้อยปีละครั้ง เหตุการณ์ต่างๆ ได้รับการจำแนก กักกัน และรายงานตาม DPA นี้
D. ความปลอดภัยทางกายภาพและโครงสร้างพื้นฐาน
- ความปลอดภัยของศูนย์ข้อมูล: ข้อมูลส่วนบุคคลของลูกค้าถูกโฮสต์ไว้ในศูนย์ข้อมูลที่ได้รับการรับรองมาตรฐาน ISO 27001 (Hetzner) พร้อมด้วยการควบคุมการเข้าถึงทางกายภาพ กล้องวงจรปิด การควบคุมสิ่งแวดล้อม และระบบจ่ายไฟสำรอง
- การสำรองข้อมูลและการกู้คืน: การสำรองข้อมูลปกติจะถูกดำเนินการและเก็บไว้อย่างปลอดภัย ขั้นตอนการกู้คืนความเสียหายได้รับการจัดทำเป็นเอกสารและทดสอบ มีการกำหนดและทบทวนวัตถุประสงค์ของระยะเวลาฟื้นตัว
จ. การควบคุมบุคลากรและผู้จำหน่าย
- การรักษาความลับของพนักงาน: พนักงานและผู้รับเหมาทุกคนที่สามารถเข้าถึงข้อมูลส่วนบุคคลของลูกค้าจะผูกพันตามภาระผูกพันในการรักษาความลับตามสัญญา การตรวจสอบประวัติจะดำเนินการตามที่กฎหมายที่เกี่ยวข้องอนุญาต
- การฝึกอบรมด้านความปลอดภัย: พนักงานทุกคนที่เข้าถึงข้อมูลส่วนบุคคลจะได้รับการฝึกอบรมด้านการคุ้มครองข้อมูลและความปลอดภัยเกี่ยวกับการมีส่วนร่วมและเป็นประจำทุกปี
- ความรอบคอบของผู้ขาย: ผู้ประมวลผลย่อยทั้งหมดได้รับการประเมินสำหรับการปกป้องข้อมูลและการปฏิบัติตามข้อกำหนดด้านความปลอดภัยก่อนการมีส่วนร่วมและได้รับการตรวจสอบอย่างต่อเนื่อง
ฉ. การพัฒนาและการจัดการการเปลี่ยนแปลง
- การพัฒนาที่ปลอดภัย: การรักษาความปลอดภัยรวมอยู่ในวงจรการพัฒนาซอฟต์แวร์ การตรวจสอบโค้ดรวมถึงการประเมินความปลอดภัย มีการจัดการช่องโหว่และขั้นตอนการจัดการแพทช์
- การทดสอบการเจาะ: การทดสอบการเจาะระบบโดยอิสระจะดำเนินการอย่างน้อยปีละครั้ง ช่องโหว่ที่สำคัญจะได้รับการแก้ไขภายใน 30 วัน
- การลดขนาดข้อมูล: ระบบได้รับการออกแบบเพื่อลดการประมวลผลข้อมูลส่วนบุคคลให้เหลือน้อยที่สุด การใช้นามแฝงจะถูกใช้ตามความเหมาะสม
วิธีดำเนินการ DPA นี้
ลูกค้าธุรกิจที่ต้องการ DPA ที่ลงนามควรติดต่อ กฎหมาย@CallMama.com. การยอมรับข้อกำหนดในการให้บริการโดยลูกค้าธุรกิจที่ประมวลผลข้อมูลของผู้ใช้ปลายทางผ่านบริการยังถือเป็นการยอมรับ DPA นี้ด้วย
9. ข้อกำหนดเพิ่มเติมสำหรับเขตอำนาจศาลเฉพาะ
สหรัฐอเมริกา — CCPA / CPRA
ในกรณีที่ข้อมูลส่วนบุคคลของลูกค้ามีข้อมูลส่วนบุคคลของผู้พักอาศัยในแคลิฟอร์เนีย CallMama จะเป็น "ผู้ให้บริการ" ภายใต้ CCPA/CPRA ไม่ใช่ "บุคคลที่สาม" CallMama จะไม่ขายหรือแบ่งปันข้อมูลส่วนบุคคลของลูกค้า จะไม่เก็บ ใช้ หรือเปิดเผยนอกความสัมพันธ์ทางธุรกิจโดยตรง และรับรองการปฏิบัติตามข้อจำกัด CCPA/CPRA ผู้ประมวลผลย่อยที่จัดการข้อมูลส่วนบุคคลของแคลิฟอร์เนียจะผูกพันตามข้อจำกัดของผู้ให้บริการที่เทียบเท่า
แคนาดา — PIPEDA และกฎหมายควิเบก 25
ในกรณีที่ข้อมูลส่วนบุคคลของลูกค้ารวมถึงข้อมูลส่วนบุคคลของชาวแคนาดา:
- ไปป์ดา: กฎหมายคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ของแคนาดา (PIPEDA) กำหนดให้ CallMama ใช้มาตรการรักษาความปลอดภัยที่สอดคล้องกับหลักการ 7 (มาตรการป้องกัน) ลูกค้ายังคงรับผิดชอบในการได้รับความยินยอมที่มีความหมายและตอบสนองต่อคำขอเข้าถึงและแก้ไข
- กฎหมายควิเบก 25: สำหรับผู้อยู่อาศัยในควิเบก กฎหมายฉบับที่ 25 (มีผลใช้บังคับในเดือนกันยายน 2023) กำหนดให้คณะกรรมการ d'accès à l'information (CAI) ต้องแจ้งข้อผูกพันในการแจ้งเตือนการละเมิดภายใน 72 ชั่วโมง CallMama จะแจ้งให้ลูกค้าทราบภายใน 24 ชั่วโมงหลังจากตระหนักถึงการละเมิดที่ส่งผลกระทบต่อข้อมูลของชาวควิเบก
หน้านี้เป็นส่วนหนึ่งของเอกสารการปฏิบัติตามข้อกำหนดของ CallMama ดูของเราด้วย นโยบายความเป็นส่วนตัว, ข้อกำหนดในการให้บริการ, และ ตัวเลือกการติดต่อ.