Bu Veri İşleme Sözleşmesi ("DPA"), CallMama Limited ("CallMama", "İşlemci") ile bunu kabul eden ticari müşteri ("Müşteri", "Denetleyici") arasındaki Hizmet Koşullarının bir parçasını oluşturur. CallMama'un kişisel verileri Müşteri adına işlediği durumlarda geçerlidir; pratikte bir ticari Müşterinin, kendi arayanları ve kişileriyle iletişimi yönlendirmek, depolamak veya kaydetmek için CallMama web portalını kullandığı durumlarda.
1. Roller
Müşterinin Hizmet aracılığıyla kendi arayanları ve kişileri hakkında işlediği kişisel veriler ("Müşteri Kişisel Verileri") için, Müşteri denetleyicidir ve CallMama işleyicidir. CallMama, Müşteri Kişisel Verilerini yalnızca Hizmet Koşullarını, bu DPA'yı ve Müşterinin Hizmet özelliklerini kullanımını içeren Müşterinin belgelenmiş talimatlarına göre işler.
2. İşlemenin konusu ve ayrıntıları
| Öğe | Detay |
|---|---|
| Konu | CallMama arama, mesajlaşma, numara, yönlendirme ve (web portalı) kayıt hizmetinin sağlanması |
| Süre | Hizmet Şartlarının süresi |
| Doğa ve amaç | Müşterinin iletişimlerinin barındırılması, iletilmesi, yönlendirilmesi, saklanması ve (Müşterinin izin verdiği durumlarda) kaydedilmesi de dahil olmak üzere Hizmetleri Müşteriye ve son kullanıcılarına sağlamak; ve Hizmetin güvenliğini ve bütünlüğünü korumak |
| Kişisel veri türleri | İletişim numaraları, isimler, çağrı ve mesaj meta verileri ve içeriği, sesli posta, çağrı kayıtları ve Müşterinin işlemeyi seçtiği diğer veriler |
| Veri konularının kategorileri | Müşterinin arayanları, kişileri, müşterileri ve personeli |
Saklama süreleri: Çağrı Detayı Kayıtları geçerli telekomünikasyon ve vergi yasalarının gerektirdiği süreler boyunca (yetki alanına bağlı olarak genellikle 90 gün ila 12 ay) saklanır. Diğer tüm Müşteri Kişisel Verileri, Müşterinin silinmesini talep etmesine, DPA feshedilmesine veya geçerli saklama süresi sona erene kadar (hangisi daha erkense) saklanır.
3. CallMama'un yükümlülükleri
- Yasalar aksini gerektirmedikçe, Müşterinin Kişisel Verilerini yalnızca Müşterinin belgelenen talimatları doğrultusunda işleyin (bu durumda CallMama, yasalar yasaklamadığı sürece Müşteriyi bilgilendirecektir).
- Verileri işlemeye yetkili kişilerin gizlilik ilkesine bağlı olduğundan emin olun.
- Uygun teknik ve organizasyonel güvenlik önlemlerini uygulayın (aşağıdaki Ek).
- Veri sahibinin talepleri, güvenlik, ihlal bildirimi ve veri koruma etki değerlendirmeleri konusunda, işlemenin doğasını dikkate alarak Müşteriye yardımcı olun.
- Hizmet Koşullarının feshedilmesinden veya yazılı talepten sonraki 30 gün içinde, tüm Müşteri Kişisel Verilerini silin veya iade edin ve yürürlükteki kanunun sürekli saklamayı gerektirdiği durumlar haricinde, silme işlemini yazılı olarak onaylayın; bu durumda CallMama, Müşteriyi yasal dayanak ve beklenen silme tarihi hakkında bilgilendirecektir.
- Bu DPA'ya uygunluğu göstermek için gereken bilgileri sağlayın ve aşağıdakilere tabi olarak Müşteri veya onun yetkili denetçisi tarafından yapılacak denetim ve incelemelere izin verin: (i) 60 iş günü önceden yazılı bildirimde bulunmak; (ii) mesai saatleri içerisinde gereksiz kesintiye uğramadan hareket etmek; (iii) gizlilik ilkesine bağlı denetçi; (iv) Denetimde önemli bir ihlal ortaya çıkmadığı sürece masrafları müşteri üstlenir. CallMama, doğrudan denetim yerine ISO 27001 veya SOC 2 raporu sağlayabilir.
- İşleme kayıtları: CallMama, yazılı talep üzerine, GDPR Madde 30(2) kapsamında Müşteri adına gerçekleştirilen tüm işleme kategorilerinin kayıtlarını tutar.
- DPIA yardımı: Arama kaydetme veya diğer işleme işlemlerinin GDPR Madde 35 kapsamında bir DPIA gerektirdiği durumlarda CallMama, güvenlik önlemleri, alt işleyiciler ve işleme faaliyetleri hakkında bilgiler de dahil olmak üzere makul yardım sağlayacaktır.
4. Müşterinin yükümlülükleri
- Müşteri, işleme ilişkin yasal dayanağa sahip olmaktan ve talimatlarının hukuka uygunluğundan sorumludur.
- Müşteri, web portalının çağrı kaydetme özelliğini kullanıyorsa, arayanlara bildirimde bulunmalı ve yasaların gerektirdiği izinleri almalıdır - bkz. Çağrı Kaydı Bildirimi.
- Müşteri, CallMama özel kategori verilerini veya Hizmetin işlemek üzere tasarlandığı sınırların ötesinde hassas veriler göndermemelidir.
5. Alt işlemciler
Müşteri, CallMama'a, aşağıda listelenenler de dahil olmak üzere alt işleyicileri görevlendirmesi için genel yazılı yetki verir. Alt İşleyici Listesi CallMama.com'da yayınlandı. CallMama, her bir alt işlemciye, gizlilik yükümlülükleri de dahil olmak üzere, bu DPA tarafından CallMama'a uygulananlara eşdeğer veri koruma yükümlülükleri getirir. CallMama, alt işlemcilerinin performansından sorumlu olmaya devam ediyor. CallMama, bir alt işlemci eklemeden veya değiştirmeden en az 14 gün önce Müşteriyi bilgilendirecektir. Müşteri, bildirimi aldıktan sonra 14 gün içinde CallMama'a yazılı olarak bildirimde bulunarak makul, belgelenmiş veri koruma gerekçelerine dayanarak yeni veya değiştirilmiş bir alt işleyiciye itiraz edebilir. Tarafların itirazı çözememesi durumunda Müşteri, yazılı bildirimde bulunarak Hizmetin etkilenen kısmını sonlandırabilir. 14 günlük itiraz süresinden sonra Hizmetin kullanılmaya devam edilmesi, yeni alt işleyicinin kabulü anlamına gelir.
6. Uluslararası transferler
Müşteri Kişisel Verilerinin AEA veya Birleşik Krallık'tan bir yeterlilik kararı olmadan bir ülkeye aktarıldığı durumlarda, aktarım, AEA aktarımları için AB SCC'leri (Komisyon Uygulama Kararı 2021/914), Modül 2 (Kontrolörden İşleyiciye) ve Birleşik Krallık aktarımları için Birleşik Krallık IDTA 2022'ye tabidir. Her ikisi de referans olarak dahil edilmiştir ve Bölüm 2'deki ayrıntılarla tamamlanmıştır. CallMama, tüm üçüncü ülke alt işleyicileri için Transfer Etki Değerlendirmeleri gerçekleştirmiştir.
7. Kişisel veri ihlali
CallMama, Müşterinin Kişisel Verilerini etkileyen bir Kişisel Veri İhlali'nin farkına vardıktan sonra mümkünse en geç 24 saat içinde ve gereksiz gecikme olmaksızın Müşteriyi bilgilendirecektir. Bu zaman çizelgesi, Müşterinin ihlali değerlendirmesine ve gerektiğinde GDPR Madde 33 ve Birleşik Krallık GDPR Madde 33'ün gerektirdiği 72 saatlik süre içinde yetkili denetim makamına bildirimde bulunmasına olanak sağlamayı amaçlamaktadır. Bildirim, o sırada bilindiği ölçüde şunları içerecektir: (a) kategoriler ve etkilenen veri sahibi ve kayıtların yaklaşık sayısı dahil olmak üzere ihlalin niteliğine ilişkin bir açıklama; (b) ihlalin olası sonuçları; ve (c) ihlali gidermek için alınan veya önerilen önlemler. Bilginin hemen mevcut olmadığı durumlarda CallMama, bilgiyi daha fazla gecikme olmaksızın aşamalı olarak sağlayacaktır.
8. Sorumluluk ve süre
Bu DPA, Hizmet Şartlarını tamamlar ve bunlara tabidir. Kişisel verilerin işlenmesiyle ilgili herhangi bir konuda bu DPA ile Hizmet Şartları arasında bir çelişki olması durumunda, bu DPA geçerli olacaktır. Bu DPA, Hong Kong Özel İdari Bölgesi yasalarına tabidir. Ancak AB SCC'leri kapsamında ortaya çıkan anlaşmazlıklar için geçerli yasa ve mahkemeler, geçerli SCC'lerde belirtildiği gibidir (2021/914 sayılı Komisyon Uygulama Kararının 17. Maddesi ve 18. Maddesi). Bu DPA, Müşterinin Hizmet Şartlarını kabul etmesiyle (veya karşılıklı imzalı bir DPA talep eden müşteriler için, her iki tarafın da son imzaladığı tarihte) yürürlüğe girer ve CallMama, Müşterinin Kişisel Verilerini işlediği sürece devam eder.
Ek – Güvenlik önlemleri
CallMama, GDPR Madde 32'nin gerektirdiği ve AB SCC'leri Ek II'de daha ayrıntılı olarak açıklandığı şekilde aşağıdaki teknik ve organizasyonel önlemleri uygular:
A. Şifreleme ve aktarım halindeki veriler
- Aktarım sırasında şifreleme: Hizmet ile son kullanıcı cihazları arasında iletilen tüm kişisel veriler, TLS 1.2 veya üzeri kullanılarak şifrelenir. Kişisel verilerin şifrelenmeden iletilmesi yasaktır.
- Beklemedeyken şifreleme: hassas kişisel veriler (çağrı kayıtları ve sesli mesajlar dahil) kullanımda değilken AES-256 veya eşdeğeri kullanılarak şifrelenir. Tüm yedekleme ortamları şifrelenmiştir.
B. Erişim kontrolleri ve kimlik doğrulama
- Çok faktörlü kimlik doğrulama: Uzaktan erişim de dahil olmak üzere, Müşteri Kişisel Verilerini içeren sistemlere erişen tüm personel için gereklidir.
- Rol tabanlı erişim kontrolü: Müşteri Kişisel Verilerine erişim, görevi bunu gerektiren personel ile sınırlıdır. Erişim hakları üç ayda bir gözden geçirilir ve fesih veya rol değişikliği durumunda derhal iptal edilir.
- Benzersiz kullanıcı hesapları: Her personelin benzersiz bir tanımlayıcısı vardır. Paylaşılan hesaplar yasaktır. Şifre karmaşıklığı gereklilikleri uygulandı.
- Oturum yönetimi: etkin olmayan oturumlar otomatik olarak zaman aşımına uğrar. Maksimum başarısız oturum açma denemesi, hesabın kilitlenmesini tetikler.
C. İzleme, kayıt tutma ve olay müdahalesi
- Güvenlik izleme: Sistemler güvenlik olayları açısından sürekli izlenmektedir. Saldırı tespit ve önleme sistemleri devreye alınmıştır.
- Denetim günlüğü: Müşteri Kişisel Verilerine tüm erişim ve değişiklikler günlüğe kaydedilir. Günlükler en az 12 ay boyunca saklanır ve kurcalanmaya karşı dayanıklıdır.
- Olay yanıtı: belgelenmiş bir olay müdahale planı en az yılda bir kez muhafaza edilir ve test edilir. Olaylar bu DPA'ya uygun olarak sınıflandırılır, kontrol altına alınır ve raporlanır.
D. Fiziksel ve altyapı güvenliği
- Veri merkezi güvenliği: Müşteri Kişisel Verileri, fiziksel erişim kontrolleri, CCTV, çevre kontrolleri ve kesintisiz güç kaynağına sahip ISO 27001 sertifikalı veri merkezlerinde (Hetzner) barındırılmaktadır.
- Yedekleme ve kurtarma: düzenli yedeklemeler alınır ve güvenli bir şekilde saklanır. Olağanüstü durum kurtarma prosedürleri belgelenir ve test edilir. İyileşme süresi hedefleri tanımlanır ve gözden geçirilir.
E. Personel ve satıcı kontrolleri
- Personel gizliliği: Müşterinin Kişisel Verilerine erişimi olan tüm personel ve yükleniciler sözleşmeden doğan gizlilik yükümlülüklerine tabidir. Yürürlükteki yasaların izin verdiği durumlarda geçmiş kontrolleri gerçekleştirilir.
- Güvenlik eğitimi: Kişisel verilere erişimi olan tüm personele, katılıma ilişkin ve yıllık olarak veri koruma ve güvenlik farkındalığı eğitimi verilmektedir.
- Satıcı durum tespiti: tüm alt işleyiciler, devreye alınmadan önce veri koruma ve güvenlik uyumluluğu açısından değerlendirilir ve sürekli olarak izlenir.
F. Gelişim ve değişim yönetimi
- Güvenli geliştirme: Güvenlik, yazılım geliştirme yaşam döngüsüne dahil edilmiştir. Kod incelemeleri güvenlik değerlendirmesini içerir. Güvenlik açığı yönetimi ve yama yönetimi prosedürleri mevcuttur.
- Sızma testi: bağımsız penetrasyon testleri en az yılda bir kez yapılır. Kritik güvenlik açıkları 30 gün içinde giderilir.
- Veri minimizasyonu: sistemler işlenen kişisel verileri en aza indirecek şekilde tasarlanmıştır. Uygun olduğu yerde takma ad kullanılır.
Bu DPA nasıl yürütülür?
İmzalı bir DPA'ya ihtiyaç duyan bir ticari Müşterinin iletişime geçmesi gerekir legal@CallMama.com. Hizmet aracılığıyla kendi son kullanıcılarının verilerini işleyen bir ticari Müşterinin Hizmet Koşullarını kabul etmesi, aynı zamanda bu DPA'nın da kabul edildiği anlamına gelir.
9. Belirli yargı bölgelerine ilişkin ek hükümler
Amerika Birleşik Devletleri — CCPA / CPRA
Müşteri Kişisel Verilerinin Kaliforniya'da ikamet edenlerin kişisel bilgilerini içerdiği durumlarda, CallMama, CCPA/CPRA kapsamında bir "üçüncü taraf" değil, bir "hizmet sağlayıcıdır". CallMama, Müşteri Kişisel Verilerini satmayacak veya paylaşmayacaktır, bunları doğrudan iş ilişkisi dışında saklamaz, kullanmaz veya ifşa etmez ve CCPA/CPRA kısıtlamalarına uygunluğu tasdik eder. Kaliforniya'daki kişisel bilgileri işleyen alt işleyiciler, eşdeğer hizmet sağlayıcı kısıtlamalarına tabidir.
Kanada - PIPEDA ve Quebec Yasası 25
Müşteri Kişisel Verilerinin Kanada'da ikamet edenlerin kişisel bilgilerini içerdiği durumlarda:
- BORU: Kanada'nın Kişisel Bilgilerin Korunması ve Elektronik Belgeler Yasası (PIPEDA), CallMama'un İlke 7 (Güvenlik Önlemleri) ile tutarlı güvenlik önlemleri uygulamasını gerektirir. Müşteri, anlamlı onay almaktan ve erişim ve düzeltme taleplerine yanıt vermekten sorumlu olmaya devam eder.
- Quebec Yasası 25: Quebec'te ikamet edenler için, Kanun 25 (Eylül 2023'ten itibaren geçerlidir), Commission d'accès à l'information'a (CAI) 72 saatlik bir ihlal bildirimi yükümlülüğü getirmektedir. CallMama, Quebec sakinlerinin verilerini etkileyen bir ihlalin farkına vardıktan sonra 24 saat içinde Müşteriyi bilgilendirecektir.
Bu sayfa CallMama'un uyumluluk belgelerinin bir parçasıdır. Ayrıca bkz. Gizlilik Politikası, Hizmet Şartları, Ve iletişim seçenekleri.