юридичний

Угода про обробку даних

Останнє оновлення: 20 травня 2026 р CallMama Limited · Гонконг · CR № 77766807

Ця Угода про обробку даних («DPA») є частиною Умов надання послуг між CallMama Limited («CallMama», «Обробник») і бізнес-клієнтом, який погоджується з нею («Клієнт», «Контролер»). Він застосовується, коли CallMama обробляє персональні дані від імені Клієнта — на практиці, коли бізнес-клієнт використовує веб-портал CallMama для маршрутизації, зберігання або запису спілкування з власними абонентами та контактами.

Для звичайного споживчого використання CallMama CallMama є контролером, і цей DPA не застосовується — див. Політика конфіденційності. Цей DPA застосовується лише до бізнес-клієнтів, які обробляють власні дані кінцевих користувачів через CallMama.

1. Ролі

Що стосується персональних даних, які Клієнт обробляє за допомогою Сервісу щодо своїх власних абонентів і контактів («Особисті дані Клієнта»), Клієнт є контролером, а CallMama є обробником. CallMama обробляє Персональні дані Клієнта лише відповідно до задокументованих інструкцій Клієнта, які включають Умови надання послуг, цей DPA та використання Клієнтом функцій Сервісу.

2. Предмет і реквізити обробки

ПунктДеталь
ПредметНадання послуги викликів, обміну повідомленнями, номерів, маршрутизації та (веб-портал) запису CallMama
ТривалістьТермін дії Умов надання послуг
Характер і призначенняНадавати Послуги Клієнту та його кінцевим користувачам, включаючи розміщення, передачу, маршрутизацію, зберігання та (якщо Клієнт дозволяє) запис повідомлень Клієнта; а також для підтримки безпеки та цілісності Служби
Види персональних данихКонтактні номери, імена, метадані та вміст дзвінків і повідомлень, голосова пошта, записи дзвінків та інші дані, які Клієнт обирає для обробки
Категорії суб'єктів данихАбоненти, контакти, клієнти та персонал Замовника

Терміни зберігання: Записи про дзвінки зберігаються протягом періодів, передбачених чинним телекомунікаційним і податковим законодавством (зазвичай від 90 днів до 12 місяців залежно від юрисдикції). Усі інші Особисті дані Клієнта зберігаються до тих пір, поки Клієнт не попросить видалення, припинення дії DPA або закінчення відповідного періоду зберігання, залежно від того, що настане раніше.

3. Зобов'язання CallMama

  • Обробляти Персональні дані Клієнта лише відповідно до задокументованих інструкцій Клієнта, якщо інше не вимагається законом (у цьому випадку CallMama повідомить Клієнта, якщо це не заборонено законом).
  • Переконайтеся, що особи, уповноважені обробляти дані, зобов’язані дотримуватися конфіденційності.
  • Запровадити відповідні технічні та організаційні заходи безпеки (додаток нижче).
  • Допомога Клієнту, беручи до уваги характер обробки, щодо запитів суб’єктів даних, безпеки, повідомлення про порушення та оцінки впливу на захист даних.
  • Протягом 30 днів після припинення дії Умов обслуговування або письмового запиту видаліть або поверніть усі Персональні дані Клієнта та підтвердьте видалення в письмовій формі, за винятком випадків, коли чинне законодавство вимагає тривалого зберігання. У цьому випадку CallMama повідомить Клієнту про правову основу та очікувану дату видалення.
  • Надати доступ до інформації, необхідної для демонстрації дотримання цього DPA, і дозволити перевірки та перевірки Клієнтом або його уповноваженим аудитором за умови: (i) попереднього письмового повідомлення за 60 робочих днів; (ii) проводити протягом робочого часу без зайвих збоїв; (iii) аудитор зобов’язаний дотримуватись конфіденційності; (iv) Замовник несе витрати, якщо аудит не виявить суттєвого порушення. CallMama може надати звіт ISO 27001 або SOC 2 замість прямого аудиту.
  • Записи обробки: CallMama зберігає записи всіх категорій обробки, які здійснюються від імені Клієнта відповідно до статті 30(2) GDPR, доступні за письмовим запитом.
  • Допомога DPIA: Якщо для запису дзвінків або іншої обробки потрібен DPIA згідно зі статтею 35 GDPR, CallMama надасть розумну допомогу, включаючи інформацію про заходи безпеки, субпроцесори та дії з обробки.

4. Обов'язки замовника

  • Замовник несе відповідальність за наявність законної підстави для обробки та за законність своїх інструкцій.
  • Якщо Клієнт використовує функцію запису дзвінків веб-порталу, Клієнт повинен повідомити своїх абонентів про це та отримати згоду, яку вимагає закон — див. Повідомлення про запис дзвінка.
  • Клієнт не повинен надсилати дані спеціальної категорії CallMama або конфіденційні дані за межі того, для обробки якого призначено Сервіс.

5. Підпроцесори

Клієнт надає загальний письмовий дозвіл для CallMama залучати субпроцесорів, у тому числі перелічених у Список підпроцесорів опубліковано на CallMama.com. CallMama накладає зобов’язання щодо захисту даних на кожного субпроцесора, еквівалентні тим, які покладаються на CallMama цим DPA, включаючи зобов’язання щодо конфіденційності. CallMama залишається відповідальним за продуктивність своїх підпроцесорів. CallMama повідомить Клієнта принаймні за 14 днів до додавання або заміни субпроцесора. Клієнт може заперечити проти нового або заміни субпроцесора з обґрунтованих, задокументованих причин щодо захисту даних, повідомивши CallMama письмово протягом 14 днів після отримання повідомлення. Якщо сторони не можуть вирішити заперечення, Клієнт може припинити відповідну частину Сервісу, надіславши письмове повідомлення. Продовження користування Сервісом після 14-денного періоду заперечень означає прийняття нового субпроцесора.

6. Міжнародні перекази

Якщо Персональні дані Клієнта передаються з ЄЕЗ або Великобританії до країни без рішення про достатність, передача регулюється SCC ЄС (Імплементаційне рішення Комісії 2021/914), Модулем 2 (від контролера до обробника) для передачі в ЄЕЗ та IDTA Великобританії 2022 для передачі у Великобританії. Обидва включені шляхом посилання та доповнені деталями в розділі 2. CallMama провів оцінку впливу передачі для всіх субпроцесорів третіх країн.

7. Порушення персональних даних

CallMama повідомить Клієнта без невиправданої затримки та, якщо це можливо, не пізніше ніж через 24 години після того, як йому стане відомо про порушення безпеки Персональних даних, яке впливає на Персональні дані Клієнта. Цей графік має на меті дозволити Клієнту оцінити порушення та, за потреби, повідомити компетентний наглядовий орган протягом 72-годинного періоду, передбаченого статтею 33 GDPR і статтею 33 GDPR у Великій Британії. Повідомлення включатиме, наскільки це відомо на той час: (a) опис характеру порушення, включаючи категорії та приблизну кількість суб’єктів даних і записів, яких це стосується; (b) ймовірні наслідки порушення; та (c) заходи, вжиті або запропоновані для усунення порушення. Якщо інформація недоступна негайно, CallMama надаватиме її поетапно без подальших невиправданих затримок.

8. Відповідальність та строк

Цей DPA доповнює Умови надання послуг і регулюється ними. У разі суперечності між цією DPA та Умовами обслуговування з будь-якого питання, пов’язаного з обробкою персональних даних, ця DPA має переважну силу. Цей DPA регулюється законодавством спеціального адміністративного району Гонконг. Однак для спорів, що виникають відповідно до SCC ЄС, регулююче право та суди визначено у відповідних SCC (пункти 17 та пункти 18 Імплементаційного рішення Комісії 2021/914). Цей DPA набирає чинності, коли Клієнт приймає Умови надання послуг (або, для клієнтів, яким потрібен підписаний DPA, у дату останнього підпису обома сторонами) і діє до тих пір, поки CallMama обробляє Персональні дані Клієнта.

Додаток — Заходи безпеки

CallMama реалізує наступні технічні та організаційні заходи, як того вимагає стаття 32 GDPR та детальніше описано в Додатку II SCCs ЄС:

A. Шифрування та передача даних

  • Шифрування під час передачі: усі персональні дані, що передаються між Сервісом і пристроями кінцевих користувачів, зашифровані за допомогою TLS 1.2 або вище. Передача персональних даних у незашифрованому вигляді заборонена.
  • Шифрування в стані спокою: конфіденційні особисті дані (включно з записами дзвінків і голосовою поштою) зашифровані в спокої за допомогою AES-256 або аналогічного. Усі носії резервного копіювання зашифровані.

B. Контроль доступу та автентифікація

  • Багатофакторна аутентифікація: необхідний для всіх співробітників, які мають доступ до систем, що містять персональні дані клієнта, включаючи віддалений доступ.
  • Контроль доступу на основі ролей: доступ до Персональних даних Клієнта надається тільки працівникам, які цього вимагають. Права доступу переглядаються щокварталу та скасовуються негайно після припинення дії або зміни ролі.
  • Унікальні облікові записи користувачів: кожен співробітник має унікальний ідентифікатор. Спільні облікові записи заборонені. Вимоги до складності пароля дотримані.
  • Керування сеансом: час очікування неактивних сеансів автоматично закінчується. Максимальна кількість невдалих спроб входу призведе до блокування облікового запису.

C. Моніторинг, реєстрація та реагування на інциденти

  • Моніторинг безпеки: системи постійно контролюються на наявність подій безпеки. Розгорнуті системи виявлення та запобігання вторгненням.
  • Реєстрація аудиту: усі доступи та зміни персональних даних клієнта реєструються. Журнали зберігаються щонайменше 12 місяців і захищені від підробки.
  • Реагування на інцидент: задокументований план реагування на інцидент підтримується та перевіряється щонайменше раз на рік. Інциденти класифікуються, локалізуються та повідомляються відповідно до цього DPA.

D. Фізична безпека та безпека інфраструктури

  • Безпека центру обробки даних: Персональні дані клієнта зберігаються в сертифікованих за стандартом ISO 27001 центрах обробки даних (Hetzner) із засобами контролю фізичного доступу, відеоспостереженням, засобами контролю навколишнього середовища та джерелами безперебійного живлення.
  • Резервне копіювання та відновлення: регулярно створюються резервні копії та надійно зберігаються. Процедури аварійного відновлення задокументовані та перевірені. Визначаються та переглядаються цілі щодо часу відновлення.

E. Контроль персоналу та постачальників

  • Конфіденційність персоналу: усі співробітники та підрядники, які мають доступ до персональних даних клієнта, зобов’язані дотримуватися договірних зобов’язань щодо конфіденційності. Перевірки репутації проводяться там, де це дозволено чинним законодавством.
  • Навчання безпеки: усі співробітники, які мають доступ до особистих даних, проходять навчання із захисту даних і безпеки під час залучення та щорічно.
  • Належна перевірка постачальника: перед залученням усі суб’єкти обробки оцінюються на предмет захисту даних і відповідності вимогам безпеки та контролюються на постійній основі.

F. Розвиток і управління змінами

  • Безпечна розробка: безпека включена в життєвий цикл розробки програмного забезпечення. Огляд коду включає оцінку безпеки. Існують процедури керування вразливістю та керування виправленнями.
  • Тест на проникнення: незалежне тестування на проникнення проводиться щонайменше раз на рік. Критичні вразливості усуваються протягом 30 днів.
  • Мінімізація даних: системи створені для мінімізації персональних даних, що обробляються. У відповідних випадках використовується псевдонімізація.

Як виконати цей DPA

Корпоративний клієнт, якому потрібен підписаний DPA, повинен звернутися legal@CallMama.com. Прийняття Умов обслуговування бізнес-клієнтом, який обробляє власні дані кінцевих користувачів за допомогою Сервісу, також означає згоду з цим DPA.

9. Додаткові положення для окремих юрисдикцій

США — CCPA / CPRA

Якщо Персональні дані Клієнта містять особисту інформацію жителів Каліфорнії, CallMama є «постачальником послуг» відповідно до CCPA/CPRA, а не «третьою стороною». CallMama не продаватиме та не передаватиме Особисті дані клієнта, не зберігатиме, не використовуватиме та не розголошуватиме їх поза прямими діловими відносинами та підтверджує дотримання обмежень CCPA/CPRA. Субпроцесори, які обробляють особисту інформацію штату Каліфорнія, пов’язані еквівалентними обмеженнями постачальників послуг.

Канада — PIPEDA та Закон Квебеку 25

Якщо Персональні дані Клієнта містять особисту інформацію резидентів Канади:

  • PIPEDA: Закон Канади про захист особистої інформації та електронних документів (PIPEDA) вимагає від CallMama запровадити гарантії безпеки відповідно до Принципу 7 (Захисні заходи). Клієнт продовжує нести відповідальність за отримання змістовної згоди та відповіді на запити на доступ і виправлення.
  • Закон Квебеку 25: Для жителів Квебеку Закон 25 (чинний у вересні 2023 р.) передбачає зобов’язання протягом 72 годин повідомляти про порушення Комісії з доступу до інформації (CAI). CallMama повідомить Клієнта протягом 24 годин після того, як стане відомо про порушення, яке впливає на дані жителів Квебеку.

Ця сторінка є частиною документації щодо відповідності CallMama. Дивіться також наш Політика конфіденційності, Умови обслуговування, і варіанти контактів.

Збери, де ти
зупинено.

Один дотик для встановлення. Ще один дзвонити. Це справді так просто.

Твіки