Hợp pháp

Thỏa thuận xử lý dữ liệu

Cập nhật lần cuối: 20 tháng 5 năm 2026 CallMama Limited · Hồng Kông · Số CR 77766807

Thỏa thuận xử lý dữ liệu này ("DPA") là một phần của Điều khoản dịch vụ giữa CallMama Limited ("CallMama", "Người xử lý") và khách hàng doanh nghiệp đồng ý với nó ("Khách hàng", "Người kiểm soát"). Nó áp dụng khi CallMama xử lý dữ liệu cá nhân thay mặt Khách hàng - trong thực tế, khi Khách hàng doanh nghiệp sử dụng cổng web CallMama để định tuyến, lưu trữ hoặc ghi lại thông tin liên lạc với người gọi và người liên hệ của chính họ.

Đối với việc sử dụng CallMama của người tiêu dùng thông thường, CallMama là bộ điều khiển và DPA này không áp dụng - xem phần Chính sách bảo mật. DPA này chỉ áp dụng cho Khách hàng doanh nghiệp xử lý dữ liệu của người dùng cuối thông qua CallMama.

1. Vai trò

Đối với dữ liệu cá nhân mà Khách hàng xử lý thông qua Dịch vụ về người gọi và người liên hệ của mình ("Dữ liệu cá nhân của khách hàng"), Khách hàng là người kiểm soát và CallMama là người xử lý. CallMama chỉ xử lý Dữ liệu cá nhân của Khách hàng theo hướng dẫn bằng văn bản của Khách hàng, bao gồm Điều khoản dịch vụ, DPA này và việc Khách hàng sử dụng các tính năng của Dịch vụ.

2. Đối tượng và nội dung xử lý

MụcChi tiết
chủ đềCung cấp dịch vụ gọi điện, nhắn tin, số, định tuyến và ghi âm (cổng web) CallMama
Khoảng thời gianThời hạn của Điều khoản dịch vụ
Bản chất và mục đíchĐể cung cấp Dịch vụ cho Khách hàng và người dùng cuối của Khách hàng, bao gồm lưu trữ, truyền, định tuyến, lưu trữ và (nếu Khách hàng cho phép) ghi lại thông tin liên lạc của Khách hàng; và để duy trì tính bảo mật và tính toàn vẹn của Dịch vụ
Các loại dữ liệu cá nhânSố liên lạc, tên, siêu dữ liệu và nội dung cuộc gọi và tin nhắn, thư thoại, bản ghi âm cuộc gọi và các dữ liệu khác mà Khách hàng chọn xử lý
Danh mục đối tượng dữ liệuNgười gọi, người liên hệ, khách hàng và nhân viên của Khách hàng

Thời gian lưu giữ: Hồ sơ chi tiết cuộc gọi được lưu giữ trong khoảng thời gian theo yêu cầu của luật thuế và viễn thông hiện hành (thường là 90 ngày đến 12 tháng tùy theo khu vực pháp lý). Tất cả Dữ liệu cá nhân khác của Khách hàng sẽ được lưu giữ cho đến khi Khách hàng yêu cầu xóa, DPA chấm dứt hoặc hết thời gian lưu giữ hiện hành, tùy theo thời điểm nào đến sớm nhất.

3. Nghĩa vụ của CallMama

  • Chỉ xử lý Dữ liệu cá nhân của Khách hàng theo hướng dẫn bằng văn bản của Khách hàng, trừ khi pháp luật có yêu cầu khác (trong trường hợp đó CallMama sẽ thông báo cho Khách hàng trừ khi luật pháp cấm).
  • Đảm bảo những người được ủy quyền xử lý dữ liệu bị ràng buộc bởi tính bảo mật.
  • Thực hiện các biện pháp an ninh kỹ thuật và tổ chức phù hợp (Phụ lục bên dưới).
  • Hỗ trợ Khách hàng, có tính đến bản chất của quá trình xử lý, với các yêu cầu về chủ đề dữ liệu, bảo mật, thông báo vi phạm và đánh giá tác động bảo vệ dữ liệu.
  • Trong vòng 30 ngày kể từ ngày chấm dứt Điều khoản dịch vụ hoặc yêu cầu bằng văn bản, hãy xóa hoặc trả lại tất cả Dữ liệu cá nhân của Khách hàng và xác nhận xóa bằng văn bản, ngoại trừ trong phạm vi luật hiện hành yêu cầu tiếp tục lưu giữ, trong trường hợp đó CallMama sẽ thông báo cho Khách hàng về cơ sở pháp lý và ngày xóa dự kiến.
  • Cung cấp thông tin cần thiết để chứng minh sự tuân thủ DPA này và cho phép Khách hàng hoặc kiểm toán viên được ủy quyền của Khách hàng tiến hành kiểm tra và thanh tra, tùy theo: (i) thông báo bằng văn bản trước 60 ngày làm việc; (ii) tiến hành trong giờ làm việc mà không bị gián đoạn quá mức; (iii) kiểm toán viên bị ràng buộc bởi tính bảo mật; (iv) Khách hàng chịu chi phí trừ khi việc kiểm tra phát hiện ra vi phạm nghiêm trọng. CallMama có thể cung cấp báo cáo ISO 27001 hoặc SOC 2 thay cho kiểm tra trực tiếp.
  • Hồ sơ xử lý: CallMama lưu giữ hồ sơ về tất cả các hạng mục xử lý được thực hiện thay mặt cho Khách hàng theo Điều 30(2 của GDPR), sẵn có theo yêu cầu bằng văn bản.
  • Hỗ trợ của PPIA: Trong trường hợp việc ghi âm cuộc gọi hoặc quá trình xử lý khác yêu cầu phải có PPIA theo Điều 35 GDPR, CallMama sẽ cung cấp hỗ trợ hợp lý bao gồm thông tin về các biện pháp bảo mật, bộ xử lý phụ và hoạt động xử lý.

4. Nghĩa vụ của khách hàng

  • Khách hàng chịu trách nhiệm về việc có cơ sở hợp pháp cho việc xử lý và tính hợp pháp của các hướng dẫn của mình.
  • Nếu Khách hàng sử dụng tính năng ghi âm cuộc gọi của cổng web, Khách hàng phải thông báo cho người gọi của mình và nhận được sự đồng ý mà luật pháp yêu cầu — xem phần Thông báo ghi âm cuộc gọi.
  • Khách hàng không được gửi dữ liệu thuộc danh mục đặc biệt hoặc dữ liệu nhạy cảm của CallMama ngoài những gì Dịch vụ được thiết kế để xử lý.

5. Bộ xử lý phụ

Khách hàng cấp ủy quyền chung bằng văn bản cho CallMama để thuê các đơn vị xử lý phụ, bao gồm cả những đơn vị được liệt kê trong Danh sách bộ xử lý phụ được xuất bản tại CallMama.com. CallMama áp đặt các nghĩa vụ bảo vệ dữ liệu trên mỗi bộ xử lý phụ tương đương với các nghĩa vụ mà DPA này áp đặt cho CallMama, bao gồm cả nghĩa vụ bảo mật. CallMama vẫn chịu trách nhiệm về hiệu suất của bộ xử lý phụ. CallMama sẽ thông báo cho Khách hàng ít nhất 14 ngày trước khi thêm hoặc thay thế bộ xử lý phụ. Khách hàng có thể phản đối bộ xử lý phụ mới hoặc thay thế trên cơ sở bảo vệ dữ liệu hợp lý, được ghi chép bằng cách thông báo cho CallMama bằng văn bản trong vòng 14 ngày kể từ ngày nhận được thông báo. Nếu các bên không thể giải quyết khiếu nại, Khách hàng có thể chấm dứt phần Dịch vụ bị ảnh hưởng bằng thông báo bằng văn bản. Việc tiếp tục sử dụng Dịch vụ sau thời gian phản đối 14 ngày sẽ đồng nghĩa với việc chấp nhận đơn vị xử lý phụ mới.

6. Chuyển khoản quốc tế

Trong trường hợp Dữ liệu cá nhân của Khách hàng được chuyển từ EEA hoặc Vương quốc Anh sang một quốc gia mà không có quyết định thỏa đáng thì việc chuyển dữ liệu đó sẽ chịu sự điều chỉnh của SCC EU (Quyết định triển khai của Ủy ban 2021/914), Mô-đun 2 (Bộ điều khiển đến Bộ xử lý) đối với hoạt động chuyển dữ liệu tại EEA và bởi IDTA 2022 của Vương quốc Anh đối với hoạt động chuyển dữ liệu tại Vương quốc Anh. Cả hai đều được kết hợp bằng cách tham chiếu và hoàn thành với các chi tiết trong Phần 2. CallMama đã tiến hành Đánh giá tác động chuyển giao cho tất cả các nhà xử lý phụ của nước thứ ba.

7. Vi phạm dữ liệu cá nhân

CallMama sẽ thông báo cho Khách hàng không chậm trễ quá mức và nếu có thể thì không muộn hơn 24 giờ sau khi biết về Vi phạm Dữ liệu Cá nhân ảnh hưởng đến Dữ liệu Cá nhân của Khách hàng. Dòng thời gian này nhằm cho phép Khách hàng đánh giá hành vi vi phạm và, nếu cần, thông báo cho cơ quan giám sát có thẩm quyền trong khoảng thời gian 72 giờ theo yêu cầu của Điều 33 GDPR và Điều 33 GDPR của Vương quốc Anh. Thông báo sẽ bao gồm, trong phạm vi được biết tại thời điểm đó: (a) mô tả về bản chất của vi phạm, bao gồm các danh mục và số lượng đối tượng dữ liệu và hồ sơ bị ảnh hưởng; (b) hậu quả có thể xảy ra của hành vi vi phạm; và (c) các biện pháp được thực hiện hoặc đề xuất để giải quyết vi phạm. Trong trường hợp thông tin không có sẵn ngay lập tức, CallMama sẽ cung cấp thông tin theo từng giai đoạn mà không bị chậm trễ quá mức.

8. Trách nhiệm và thời hạn

DPA này bổ sung và tuân theo Điều khoản dịch vụ. Trong trường hợp có xung đột giữa DPA này và Điều khoản dịch vụ về bất kỳ vấn đề nào liên quan đến việc xử lý dữ liệu cá nhân thì DPA này sẽ được ưu tiên áp dụng. DPA này được điều chỉnh bởi luật pháp của Đặc khu hành chính Hồng Kông. Tuy nhiên, đối với các tranh chấp phát sinh theo SCC của EU, luật điều chỉnh và tòa án được quy định trong SCC hiện hành (Khoản 17 và Điều 18 của Quyết định Thực thi 2021/914 của Ủy ban). DPA này có hiệu lực khi Khách hàng chấp nhận Điều khoản dịch vụ (hoặc, đối với những khách hàng yêu cầu DPA được ký tiếp, vào ngày được cả hai bên ký lần cuối) và tiếp tục miễn là CallMama xử lý Dữ liệu cá nhân của Khách hàng.

Phụ lục - Các biện pháp an ninh

CallMama thực hiện các biện pháp kỹ thuật và tổ chức sau đây, theo yêu cầu của Điều 32 GDPR và được nêu chi tiết hơn trong Phụ lục II SCC của EU:

A. Mã hóa và truyền dữ liệu

  • Mã hóa trong quá trình chuyển tiếp: tất cả dữ liệu cá nhân được truyền giữa Dịch vụ và thiết bị của người dùng cuối đều được mã hóa bằng TLS 1.2 trở lên. Việc truyền dữ liệu cá nhân không được mã hóa đều bị cấm.
  • Mã hóa ở phần còn lại: dữ liệu cá nhân nhạy cảm (bao gồm bản ghi âm cuộc gọi và thư thoại) được mã hóa ở phần lưu trữ bằng AES-256 hoặc tương đương. Tất cả các phương tiện sao lưu đều được mã hóa.

B. Kiểm soát truy cập và xác thực

  • Xác thực đa yếu tố: bắt buộc đối với tất cả nhân viên truy cập vào hệ thống chứa Dữ liệu Cá nhân của Khách hàng, bao gồm cả quyền truy cập từ xa.
  • Kiểm soát truy cập dựa trên vai trò: quyền truy cập vào Dữ liệu Cá nhân của Khách hàng được giới hạn ở những nhân viên có vai trò yêu cầu quyền truy cập đó. Quyền truy cập được xem xét hàng quý và bị thu hồi ngay lập tức khi chấm dứt hoặc thay đổi vai trò.
  • Tài khoản người dùng duy nhất: mỗi nhân viên có một mã định danh duy nhất. Tài khoản chia sẻ bị cấm. Yêu cầu về độ phức tạp của mật khẩu được thực thi.
  • Quản lý phiên: các phiên không hoạt động sẽ tự động hết thời gian. Số lần đăng nhập thất bại tối đa sẽ kích hoạt khóa tài khoản.

C. Giám sát, ghi nhật ký và ứng phó sự cố

  • Giám sát an ninh: hệ thống được giám sát liên tục để phát hiện các sự kiện bảo mật. Hệ thống phát hiện và ngăn chặn xâm nhập được triển khai.
  • Ghi nhật ký kiểm tra: tất cả quyền truy cập và sửa đổi Dữ liệu Cá nhân của Khách hàng đều được ghi lại. Nhật ký được lưu giữ tối thiểu 12 tháng và có bằng chứng giả mạo.
  • Phản ứng sự cố: kế hoạch ứng phó sự cố được ghi chép lại được duy trì và kiểm tra ít nhất hàng năm. Các sự cố được phân loại, ngăn chặn và báo cáo theo DPA này.

D. An ninh vật lý và cơ sở hạ tầng

  • Bảo mật trung tâm dữ liệu: Dữ liệu Cá nhân của Khách hàng được lưu trữ trong các trung tâm dữ liệu được chứng nhận ISO 27001 (Hetzner) với các biện pháp kiểm soát truy cập vật lý, camera quan sát, kiểm soát môi trường và nguồn điện liên tục.
  • Sao lưu và phục hồi: sao lưu thường xuyên được thực hiện và lưu trữ an toàn. Các thủ tục khắc phục thảm họa được ghi lại và thử nghiệm. Các mục tiêu về thời gian phục hồi được xác định và xem xét.

E. Kiểm soát nhân sự và nhà cung cấp

  • Bảo mật nhân sự: tất cả nhân viên và nhà thầu có quyền truy cập vào Dữ liệu Cá nhân của Khách hàng đều bị ràng buộc bởi nghĩa vụ bảo mật theo hợp đồng. Việc kiểm tra lý lịch được tiến hành khi luật pháp hiện hành cho phép.
  • Đào tạo an ninh: tất cả nhân viên có quyền truy cập vào dữ liệu cá nhân đều được đào tạo nâng cao nhận thức về bảo mật và bảo vệ dữ liệu khi tham gia và hàng năm.
  • Thẩm định nhà cung cấp: tất cả các bộ xử lý phụ đều được đánh giá về khả năng bảo vệ dữ liệu và tuân thủ bảo mật trước khi tham gia và được giám sát liên tục.

F. Quản lý phát triển và thay đổi

  • Phát triển an toàn: bảo mật được đưa vào vòng đời phát triển phần mềm. Đánh giá mã bao gồm đánh giá bảo mật. Các quy trình quản lý bản vá và quản lý lỗ hổng được áp dụng.
  • Kiểm tra thâm nhập: thử nghiệm thâm nhập độc lập được tiến hành ít nhất hàng năm. Các lỗ hổng nghiêm trọng được khắc phục trong vòng 30 ngày.
  • Giảm thiểu dữ liệu: hệ thống được thiết kế để giảm thiểu việc xử lý dữ liệu cá nhân. Việc sử dụng bút danh khi thích hợp.

Cách thực thi DPA này

Khách hàng doanh nghiệp cần DPA có chữ ký nên liên hệ legal@CallMama.com. Việc Khách hàng doanh nghiệp chấp nhận Điều khoản dịch vụ xử lý dữ liệu của người dùng cuối thông qua Dịch vụ cũng cấu thành sự chấp nhận DPA này.

9. Quy định bổ sung cho các khu vực pháp lý cụ thể

Hoa Kỳ — CCPA / CPRA

Khi Dữ liệu Cá nhân của Khách hàng bao gồm thông tin cá nhân của cư dân California, CallMama là "nhà cung cấp dịch vụ" theo CCPA/CPRA, không phải là "bên thứ ba". CallMama sẽ không bán hoặc chia sẻ Dữ liệu cá nhân của Khách hàng, sẽ không lưu giữ, sử dụng hoặc tiết lộ dữ liệu đó ra bên ngoài mối quan hệ kinh doanh trực tiếp và chứng nhận tuân thủ các hạn chế của CCPA/CPRA. Những người xử lý phụ xử lý thông tin cá nhân của California bị ràng buộc bởi các hạn chế tương đương của nhà cung cấp dịch vụ.

Canada — Luật PIPEDA và Quebec 25

Trường hợp Dữ liệu Cá nhân của Khách hàng bao gồm thông tin cá nhân của cư dân Canada:

  • ỐNG: Đạo luật Tài liệu Điện tử và Bảo vệ Thông tin Cá nhân của Canada (PIPEDA) yêu cầu CallMama thực hiện các biện pháp bảo vệ an ninh phù hợp với Nguyên tắc 7 (Các biện pháp bảo vệ). Khách hàng vẫn chịu trách nhiệm lấy được sự chấp thuận có ý nghĩa cũng như phản hồi các yêu cầu truy cập và chỉnh sửa.
  • Luật Quebec 25: Đối với cư dân Quebec, Luật 25 (có hiệu lực từ tháng 9 năm 2023) áp dụng nghĩa vụ thông báo vi phạm trong 72 giờ cho Ủy ban thông tin (CAI). CallMama sẽ thông báo cho Khách hàng trong vòng 24 giờ kể từ khi phát hiện hành vi vi phạm ảnh hưởng đến dữ liệu của cư dân Quebec.

Trang này là một phần trong tài liệu tuân thủ của CallMama. Xem thêm của chúng tôi Chính sách bảo mật, Điều khoản dịch vụ, Và tùy chọn liên hệ.

Đón bạn ở đâu
bỏ đi.

Một lần nhấn để cài đặt. Một cái nữa để gọi. Nó thực sự là đơn giản.

Tinh chỉnh