本数据处理协议(“DPA”)构成 CallMama Limited(“CallMama”、“处理者”)与同意该协议的企业客户(“客户”、“控制者”)之间服务条款的一部分。它适用于 CallMama 代表客户处理个人数据的情况 - 实际上,企业客户使用 CallMama 门户网站路由、存储或记录与其自己的呼叫者和联系人的通信的情况。
1. 角色
对于客户通过服务处理的有关其自己的呼叫者和联系人的个人数据(“客户个人数据”),客户是控制者,CallMama 是处理者。 CallMama 仅根据客户的书面说明处理客户个人数据,其中包括服务条款、本 DPA 以及客户对服务功能的使用。
2. 处理的主题和细节
| 物品 | 细节 |
|---|---|
| 主题 | 提供CallMama呼叫、消息、号码、路由和(门户网站)录音服务 |
| 期间 | 服务条款的期限 |
| 性质和目的 | 向客户及其最终用户提供服务,包括托管、传输、路由、存储和(在客户启用的情况下)记录客户的通信;并维护服务的安全性和完整性 |
| 个人数据的类型 | 联系电话、姓名、通话和消息元数据及内容、语音邮件、通话录音以及客户选择处理的其他数据 |
| 数据主体的类别 | 客户的呼叫者、联系人、客户和员工 |
保留期限: 通话详细记录的保留期限为适用电信法和税法要求的期限(通常为 90 天到 12 个月,具体取决于司法管辖区)。所有其他客户个人数据均将保留,直至客户请求删除、DPA 终止或适用的保留期到期(以较早者为准)。
3. CallMama的义务
- 仅根据客户书面说明处理客户个人数据,除非法律另有要求(在这种情况下,CallMama 将通知客户,除非法律禁止)。
- 确保有权处理数据的人员受到保密的约束。
- 实施适当的技术和组织安全措施(见下文附件)。
- 考虑到处理的性质,协助客户进行数据主体请求、安全、违规通知和数据保护影响评估。
- 在服务条款终止或书面请求后 30 天内,删除或返还所有客户个人数据并以书面形式确认删除,除非适用法律要求继续保留,在这种情况下,CallMama 将告知客户法律依据和预计删除日期。
- 提供证明遵守本 DPA 所需的信息,并允许客户或其授权审计员进行审计和检查,但须遵守: (i) 提前 60 个工作日发出书面通知; (ii) 在工作时间内进行活动,不得造成不当干扰; (iii) 审计员受保密约束; (iv) 除非审计发现重大违规行为,否则客户承担费用。 CallMama 可以提供 ISO 27001 或 SOC 2 报告来代替直接审核。
- 处理记录: CallMama 维护根据 GDPR 第 30(2) 条代表客户执行的所有处理类别的记录,可根据书面请求提供。
- DPIA 协助: 如果通话录音或其他处理需要 GDPR 第 35 条规定的 DPIA,CallMama 将提供合理的帮助,包括有关安全措施、分处理者和处理活动的信息。
4. 客户的义务
- 客户有责任确保处理的合法依据及其指示的合法性。
- 如果客户使用门户网站的通话录音功能,则客户必须向呼叫者发出通知并获得法律要求的同意 - 请参阅 通话录音通知.
- 客户不得发送 CallMama 特殊类别数据或超出服务设计处理范围的敏感数据。
5. 分处理者
客户授予 CallMama 聘请分处理者的一般书面授权,包括在 分处理者列表 发表于 CallMama.com。 CallMama 对每个分处理者施加与本 DPA 对 CallMama 施加的数据保护义务相同的义务,包括保密义务。 CallMama 仍然对其子处理器的性能负责。 CallMama 将在添加或更换子处理器之前至少 14 天通知客户。客户可以在收到通知后 14 天内以书面形式通知 CallMama,以合理、有记录的数据保护理由反对新的或更换的子处理者。如果双方无法解决异议,客户可以书面通知终止受影响的服务部分。在 14 天的异议期后继续使用服务即表示接受新的子处理者。
6. 国际转账
如果客户个人数据从 EEA 或英国转移到没有充分性决定的国家/地区,则该转移受欧盟 SCC(委员会实施决定 2021/914)、针对 EEA 转移的模块 2(控制者到处理者)的管辖,以及针对英国转移的英国 IDTA 2022 的管辖。两者均通过引用纳入,并在第 2 节中填写详细信息。CallMama 已对所有第三国分处理者进行了转移影响评估。
7. 个人数据泄露
CallMama 将立即通知客户,并在可行的情况下,在意识到影响客户个人数据的个人数据泄露后 24 小时内通知客户。此时间表旨在允许客户评估违规行为,并根据需要在 GDPR 第 33 条和英国 GDPR 第 33 条要求的 72 小时内通知主管监管机构。通知将包括(在当时已知的范围内): (a) 对违规性质的描述,包括受影响的数据主体和记录的类别和大致数量; (b) 违规行为可能造成的后果; (c) 为解决违规行为而采取或提议的措施。如果无法立即获得信息,CallMama 将分阶段提供信息,不再无故拖延。
八、责任及期限
本 DPA 是对服务条款的补充并受其约束。如果本 DPA 与服务条款在与个人数据处理相关的任何事宜上发生冲突,则以本 DPA 为准。本 DPA 受香港特别行政区法律管辖。然而,对于根据欧盟 SCC 产生的争议,适用的 SCC 中指定的管辖法律和法院(委员会实施决定 2021/914 第 17 条和第 18 条)。本 DPA 在客户接受服务条款时生效(或者,对于需要会签 DPA 的客户,则在双方最后签署的日期),并在 CallMama 处理客户个人数据期间持续有效。
附件——安全措施
根据 GDPR 第 32 条的要求以及欧盟 SCC 附件 II 中的进一步详细说明,CallMama 实施了以下技术和组织措施:
A. 加密和传输中的数据
- 传输中加密: 服务和最终用户设备之间传输的所有个人数据均使用 TLS 1.2 或更高版本进行加密。禁止未加密的个人数据传输。
- 静态加密: 敏感个人数据(包括通话录音和语音邮件)使用 AES-256 或同等技术进行静态加密。所有备份媒体均已加密。
B. 访问控制和身份验证
- 多重身份验证: 所有员工访问包含客户个人数据的系统(包括远程访问)都需要这样做。
- 基于角色的访问控制: 访问客户个人数据仅限于角色需要的员工。访问权限每季度进行一次审核,并在终止或角色变更时立即撤销。
- 独特的用户帐户: 每个工作人员都有一个唯一的标识符。禁止共享帐户。强制执行密码复杂性要求。
- 会话管理: 非活动会话自动超时。最大失败登录尝试次数会触发帐户锁定。
C. 监控、记录和事件响应
- 安全监控: 持续监控系统的安全事件。部署入侵检测和预防系统。
- 审计日志记录: 对客户个人数据的所有访问和修改都会被记录。日志至少保留 12 个月并且防篡改。
- 事件响应: 至少每年维护和测试记录在案的事件响应计划。事件根据本 DPA 进行分类、控制和报告。
D. 物理和基础设施安全
- 数据中心安全: 客户个人数据托管在经过 ISO 27001 认证的数据中心 (Hetzner),配有物理访问控制、闭路电视、环境控制和不间断电源。
- 备份与恢复: 定期进行备份并安全存储。灾难恢复程序已记录并经过测试。定义并审查恢复时间目标。
E. 人员和供应商控制
- 员工保密: 所有有权访问客户个人数据的员工和承包商均受合同保密义务的约束。在适用法律允许的情况下进行背景调查。
- 安全培训: 所有有权访问个人数据的员工每年都会接受数据保护和安全意识培训。
- 供应商尽职调查: 所有子处理者在参与之前都会接受数据保护和安全合规性评估,并持续受到监控。
F. 发展和变革管理
- 安全开发: 安全性已纳入软件开发生命周期。代码审查包括安全评估。漏洞管理和补丁管理程序已到位。
- 渗透测试: 至少每年进行一次独立渗透测试。严重漏洞将在 30 天内修复。
- 数据最小化: 系统旨在最大限度地减少处理的个人数据。在适当的情况下使用假名。
如何执行此 DPA
需要签署 DPA 的企业客户应联系 法律@CallMama.com。通过服务处理其自己的最终用户数据的企业客户接受服务条款也构成对本 DPA 的接受。
9. 针对特定司法管辖区的附加规定
美国 — CCPA / CPRA
如果客户个人数据包括加州居民的个人信息,则 CallMama 是 CCPA/CPRA 规定的“服务提供商”,而不是“第三方”。 CallMama 不会出售或共享客户个人数据,不会在直接业务关系之外保留、使用或披露该数据,并证明遵守 CCPA/CPRA 限制。处理加州个人信息的分处理者受到同等服务提供商限制的约束。
加拿大 — PIPEDA 和魁北克法律 25
如果客户个人数据包括加拿大居民的个人信息:
- 管道: 加拿大《个人信息保护和电子文件法》(PIPEDA) 要求 CallMama 实施符合原则 7(保障措施)的安全保障措施。客户仍有责任获得有意义的同意并响应访问和更正请求。
- 魁北克法 25: 对于魁北克居民来说,第 25 号法律(2023 年 9 月生效)规定了向信息获取委员会 (CAI) 提供 72 小时违规通知义务。 CallMama 将在发现影响魁北克居民数据的违规行为后 24 小时内通知客户。