MyScript 법적 고지 및 사용 약관에 대한 데이터 처리 부록

1.1 특별히 정의되지 않은 한 본 DPA에 사용되는 용어 및 표현은 다음과 같은 의미를 갖습니다.

“Data Protection Laws” means laws and regulations of the European Union, the EEA and their Member States, Switzerland and the United Kingdom, applicable to the Processing of Personal Data, including the GDPR;

“Data Transfer” means:

• 귀하로부터 처리자로의 사용자 개인 데이터의 이동 또는
• 처리자로부터 하위 처리자로의 또는 두 처리자 기관 사이의 지속적인 사용자 개인 데이터 전송을 의미합니다. 어느 경우에나 이러한 전송은 데이터 보호 법률(또는 데이터 보호 법률의 데이터 전송 제한 사항을 해결하기 위해 시행되는 데이터 전송 계약 조건)에 의해 금지됩니다.

“DPA” means this Data Processing Agreement including all Schedules;

“EEA” means the European Economic Area;

“GDPR” means EU General Data Protection Regulation 2016/679;

“End-User” means the physical person(s) granted access by You to use MyScript Cloud recognition through the developer portal;

“Services”means the services MyScript provides either (i) through MyScript apps’ cloud features or (ii) managing and replying to Nebo for Windows’, Nebo’ or MyScript Math’s support requests or (iii) through the MyScript developer portal for text recognition. These Services are only accessible once You have created a MyScript account;

“Sub-processor” means any natural or legal person appointed by or on behalf of Processor to process User Personal Data on Your behalf in connection with the provision of the Services or this DPA;

“User Personal Data” means any Personal Data contained in any files, notes or documents that is uploaded to/sent to the Processor through the Services, such as any of Your content that You upload using MyScript apps’ cloud features. (This may include Your own personal data but also any personal data of any other natural person that you share with the Processor through the Service.)

1.2 The terms “Controller”, “Data Subject”, “Member State”, “Personal Data”, “Personal Data Breach”, “Processing” and “Processor” shall have the same meaning as in the GDPR, and their related terms shall be construed accordingly.

2.1 본 DPA의 목적을 위해 그리고 GDPR에서의 정의에 따라 MyScript는 처리자 역할을 수행하고, 귀하는 책임자 역할을 수행합니다.

2.2 처리자:

• 사용자 개인 데이터의 처리와 관련해서 모든 적용 가능한 데이터 보호 법률을 준수합니다.
• 사용자의 문서화된 지침을 따르지 않고는 사용자 개인 데이터를 처리하지 않습니다.

2.3 귀하는 본 계약에 따라 서비스 제공을 위해 사용자 개인 데이터를 처리하도록 처리자에게 지시합니다.

Processor shall take reasonable steps to ensure the reliability of any employee, agent or contractor of the Processor who may have access to User Personal Data, ensuring in each case that access is strictly limited to those individuals who need to access the relevant User Personal Data for the provision of the Services or to carry out their role within Processor’s organization, and to comply with applicable laws in the context of that individual’s duties to the Processor, ensuring that all such individuals are subject to confidentiality undertakings or professional or statutory obligations of confidentiality.

4.1 Processor’s Security Responsibilities

4.1.1 최신 기술, 구현 비용, 처리의 성격, 범위, 맥락, 목적뿐만 아니라 자연인의 권리 및 자유에 대한 다양한 가능성 및 심각성 위험을 고려해서 처리자는 사용자 개인 데이터와 관련해서 GDPR 32조(1)에 언급된 조치를 포함하여 해당 위험에 적합한 보안 수준을 보장하기 위해 적절한 기술적 및 조직적 조치를 시행해야 합니다.

4.1.2 적절한 보안 수준을 평가할 때 처리자는 특히 개인 데이터 침해로 인해 처리에 의해 발생하는 위험을 고려해야 합니다.

4.1.3 Processor’s security measures are further detailed in Schedule 2 of this DPA.

4.2 귀하의 보안 책임

4.2.1. You agree that, without prejudice to Processor’s obligations under Section 4.1 (Security Measures) and Section 7 (Personal Data Breach):

4.2.1.1 귀하는 (i) 서비스를 통해 처리되는 개인 데이터를 소유하는 자연인으로부터 모든 필수 권한을 얻었는지 확인하고, (ii) 모든 로그인 자격 증명 및 비밀번호를 안전하게 보관하고 정기적으로 변경하는 것을 포함하여 본 서비스 사용에 대해 전적으로 책임이 있습니다.

4.2.1.2. Processor has no obligation to protect User Personal Data that You elect to store or transfer outside of Processor’s (or Sub-processors’) systems.

4.2.2. You are solely responsible for reviewing the security measures and evaluating for yourself whether the Service, the security measures, the additional security information and Processor’s commitments under this Section 4 (Data Security) will meet Your needs, including with respect to any security obligations of Your jurisdiction’s applicable data protection laws.

5.1 처리자는 사용자의 요구 또는 승인이 없는 한 사용자 개인 데이터를 제3자에게 전송할 수 없으며 하위 처리자를 지정하거나 하위 처리자에게 사용자 개인 데이터를 공개할 수 없습니다.

5.2 귀하는 본 DPA의 별표 1에 나열된 하위 처리자가 본 서비스 제공을 위해 필요에 따라 사용자 개인 데이터를 수신하고 처리할 수 있도록 권한을 부여합니다. 별표 1이 변경된 경우 처리자는 새로운 하위 처리자가 사용자 개인 데이터를 처리하기 전에 이러한 변경 사항을 귀하에게 알려야 하며 귀하는 서비스 사용을 중단할 수 있습니다.

5.3 처리자는 본 DPA와 법적 고지 및 사용 약관에 따라 각 하위 처리자의 서비스를 직접 수행하는 경우에 부담해야 할 책임 범위와 동일한 정도까지 하위 처리자의 행위 및 누락에 대해 책임을 져야 합니다.

6.1 Taking into account the nature of the Processing, Processor shall assist You by implementing appropriate technical and organizational measures, insofar as this is possible, for the fulfilment of Your obligations, as reasonably understood by Processor, to respond to requests to exercise Data Subject rights under the Data Protection Laws, namely right of access, right to rectification, restriction of Processing, erasure, data portability, objection to the Processing, or its right not to be subject to an automated individual decision making (hereinafter “Data Subject Request”).

6.2 처리자:

• 사용자 개인 데이터와 관련하여 데이터 보호 법률에 따라 데이터 주체로부터 요청을 받은 경우 즉시 이를 귀하에게 통지합니다.
• 귀하의 문서화된 지침 또는 처리자에 적용되는 해당 법률에 의해 요구되는 경우를 제외하고는 그러한 요청에 응답하지 않는지 확인합니다. 이 경우 처리자는 해당 법률이 허용하는 범위 내에서 그러한 요청에 응답하기 전에 해당 법률 요구 사항을 귀하에게 알려야 합니다.

6.3 Taking into account the nature of the Processing, Processor will assist You by appropriate technical and organizational measures, insofar as it is possible, for the fulfillment of Your obligation to respond to a Data Subject Request under European Data Protection Laws. In addition, to the extent You, in Your use of the Service, do not have the ability to address a Data Subject Request, Processor shall, upon Your written request, provide You with reasonable cooperation and assistance to facilitate Your response to such Data Subject Request, to the extent Processor is legally permitted to do so and the response to such Data Subject Request is required under European Data Protection Laws. To the extent legally permitted, You shall be responsible for any costs arising from Processor’s provision of such assistance.

7.1 처리자는 사용자 개인 데이터에 영향을 주는 개인 데이터 침해를 인지한 경우 귀하 및 관할 감독 기관에 지체 없이 통지하고, 데이터 보호 법률에 따라 개인 데이터 침해를 데이터 주체에 보고하거나 알릴 의무를 충족할 수 있도록 충분한 정보를 귀하에게 제공해야 합니다.

7.2 처리자는 귀하와 협력하고 개인 데이터 침해의 조사, 완화, 시정을 돕기 위해 귀하의 지시에 따라 합리적인 상업적 조치를 취해야 합니다.

7.3 개인 데이터 침해 알림은 직접 통신을 통해 귀하에게 전달됩니다. 귀하는 처리자에게 제공된 알림 이메일 주소를 포함하여 모든 연락처 정보가 최신 상태이고 유효한지 확인할 책임이 있습니다.

7.4 처리자는 특정 법적 요구 사항에 해당하는 정보를 식별하기 위해 사용자 개인 데이터 내용을 평가하지 않습니다. 귀하는 개인 데이터 침해와 관련해서 해당 사고 통지 법률을 준수하고 제3자 통지 의무를 이행할 책임이 있습니다.

7.5 Processor’s notification of, or response to, a Personal data Breach under this Section 7.1 (Personal Data Breach) will not be construed as an acknowledgement by Processor of any fault or liability with respect to the Personal Data Breach.

처리자는 GDPR 35조 또는 36조 또는 기타 데이터 보호 법률의 동등한 규정에 의해 합리적으로 요구되는 모든 데이터 보호 영향 평가 및 감독 당국 또는 기타 권한이 있는 데이터 개인 정보 보호 당국과의 사전 협의를 제공해야 합니다. 이러한 지원은 프로세서의 사용자 개인 데이터 처리와 관련해서 그리고 처리자에게 제공되는 정보 및 처리의 성격을 고려해서 합리적으로 요구되는 것으로 간주됩니다.

9.1 귀하의 명시적 요청에 따라 또는 귀하 자신의 계정 삭제에 따라 처리자는 처리자에 의해 처리되었거나 처리 중인 사용자 개인 데이터를 삭제해야 합니다. 삭제는 확정적으로 이뤄지며 처리자가 이러한 사용자 개인 데이터의 사본을 보관하지 않습니다.

9.2 서비스가 종료된 경우 처리자는 즉시 그리고 사용자 개인 데이터의 처리와 관련된 모든 서비스의 종료 날짜로부터 12개월 이내에 서비스 제공 중에 처리자(또는 모든 하위 처리자)에게 전송된 사용자 개인 데이터의 모든 사본(있는 경우)을 삭제하고 이를 보장해야 합니다.

10.1 처리자는 해당 데이터 보호 법률에 따라 본 DPA 및 해당 의무를 준수할 수 있도록 정기적으로 감사를 수행하고 모든 하위 처리자도 동일하게 정기 감사를 수행하는지 확인해야 합니다.

10.2 본 10절 조항에 따라 처리자는 요청에 따라 그리고 충분한 기밀 유지 계약이 마련된 경우 처리자 및/또는 하위 처리자의 사용자 개인 데이터 처리와 관련해서 본 DPA의 준수를 입증하는 데 필요한 모든 정보를 귀하에게 제공해야 합니다.

10.3 귀하는 10.1절에 설명된 감사를 수행하도록 처리자에게 지시함으로써 해당 데이터 보호 법률에 따라 귀하가 처리자 역할을 수행할 때 귀하 자신 또는 책임자를 대신해서 모든 조사를 포함하여 모든 감사를 수행하도록 요청하거나 위임할 수 있는 권한이 있습니다.

10.4 If You wish to change this instruction regarding the audit, then You have the right to request a change to this instruction by sending Processor a written notice to legal@myscript.com. If Processor declines to follow any request and/or instruction requested by You regarding audits, including inspections, You are entitled to terminate the Services immediately.

11.1 The Processor may not transfer, or authorize the transfer of, User Personal Data to countries outside the EU and/or the EEA without Your prior written consent. If Personal Data processed under this DPA is transferred from a country within the European Economic Area to a country outside the European Economic Area, the Parties shall ensure that the User Personal Data is adequately protected. To achieve this, the Parties shall, unless agreed otherwise, rely on EU adequacy decisions for non-EU countries and/or on EU approved standard contractual clauses for the transfer of Personal Data.

11.2 사용자 개인 데이터를 수신하는 하위 처리자 목록과 이러한 하위 처리자가 있는 국가 목록은 본 DPA의 별표 1에 제공됩니다. 위 11.1절의 목적에 따라 귀하는 별표 1에 나열된 하위 처리자로 사용자 개인 데이터를 전송하는 것에 동의합니다.

12.1 Duration. This DPA takes effect upon Your acceptation of the Legal Notice and Terms of Use and shall remain in effect for as long as the Processor provides You the Services.

12.2 Notices. All notices and communications given under this DPA must be in writing and sent through email to the address used to create a MyScript account in the case of MyScript contacting You, and must be sent to legal@myscript.com in case You wish to notify MyScript.

12.3 Law and jurisdiction. This DPA is governed by the laws of France, excluding its conflict of law provisions. Any dispute arising out of or in connection with this DPA, which the Parties will not be able to resolve amicably, will be submitted to the exclusive jurisdiction of the competent French courts or authorities.

12.4 Severance. Should any provision of this DPA be invalid or unenforceable, then the remainder of this DPA shall remain valid and in force. The invalid or unenforceable provision shall be either (i) amended as necessary to ensure its validity and enforceability, while preserving the Parties' intentions as closely as possible or, if this is not possible, (ii) construed in a manner as if the invalid or unenforceable part had never been contained therein.

12.5 주장, 불만 또는 요청이 있을 때 연락할 관할 감독 기관은 Commission Nationale des Informations et des Libertés(CNIL)이며 https://www.cnil.fr/fr/plaintes/를 통해 연락할 수 있습니다.

1.1 MyScript apps' cloud features

dpa.t126

1.2 MyScript Cloud recognition through the developer portal

처리자는 귀하를 대신하여 사용자 개인 데이터를 처리할 때 다음과 같은 기술적 및 조직적 보안 조치를 구현하고 유지합니다.

물리적 액세스 통제

처리자는 승인되지 않은 사람이 사용자 개인 데이터에 액세스하는 것을 방지하기 위해 또는 처리자 대신 데이터 센터를 운영하는 하위 처리자가 이러한 통제를 준수하는지 확인하기 위해 보안 건물 및 보안 서버 룸과 같이 물리적 액세스를 방지하기 위해 합리적인 조치를 취해야 합니다.

시스템 액세스 통제

처리자는 허가 없이 사용자 개인 데이터가 사용되지 않도록 방지하기 위해 합리적인 조치를 취해야 합니다. 이러한 통제는 수행되는 처리 작업의 특성에 따라 달라지며, 여러 다른 통제 중에서도 비밀번호를 통한 인증, 다단계 인증 조합(해당하는 경우), 문서화된 승인 프로세스, 방화벽, 문서화된 변경 관리 프로세스 및/또는 여러 수준의 액세스 로깅, 자동 보안 업데이트를 포함할 수 있습니다.

시스템 액세스 통제

처리자는 허가 없이 사용자 개인 데이터가 사용되지 않도록 방지하기 위해 합리적인 조치를 취해야 합니다. 이러한 통제는 수행되는 처리 작업의 특성에 따라 달라지며, 여러 다른 통제 중에서도 비밀번호를 통한 인증, 다단계 인증 조합(해당하는 경우), 문서화된 승인 프로세스, 방화벽, 문서화된 변경 관리 프로세스 및/또는 여러 수준의 액세스 로깅, 자동 보안 업데이트를 포함할 수 있습니다.

데이터 액세스 통제

처리자는 적절하게 승인된 직원만 사용자 개인 데이터를 액세스 및 관리할 수 있고, 데이터 처리 시스템 사용 권한이 있는 사람만 자신에게 액세스 권한이 있는 사용자 개인 데이터에 액세스하고 처리 과정 중 승인 없이 사용자 개인 데이터에 대해 읽기, 복사, 수정, 삭제를 수행할 수 없도록 보장하기 위해 직접 데이터베이스 쿼리 액세스가 제한되고 애플리케이션 액세스 권한이 설정 및 적용되도록 합리적인 조치를 취해야 합니다.

전송 통제

처리자는 전자 방식의 데이터 전송 또는 이동 중에 승인 없이 사용자 개인 데이터에 대해 읽기, 복사, 수정, 삭제를 수행할 수 없도록 데이터 전송 시설을 통해 사용자 개인 데이터 전송을 계획하는 주체를 확인하고 설정할 수 있도록 합리적인 조치를 취해야 합니다. 이러한 조치에는 인증된 보안 서버 연결을 사용하고 모든 API에서 원산지 간 리소스 공유에 대한 제한이 포함됩니다.

입력 통제

처리자는 데이터 처리 시스템에서 메타데이터 입력, 수정 삭제를 확인하고 설정할 수 있도록 합리적인 조치를 취해야 합니다. 처리자는 인증 및 보안 감사 로깅을 위한 암호화 프로토콜에 따라 업계 모범 사례를 활용해야 합니다.

데이터 백업

서비스에 포함된 데이터베이스는 사고로 인한 손상 또는 손실로부터 사용자 개인 데이터를 보호하기 위해 정기적으로 백업이 수행되고, 보안 기술로 보호되며, 저장 상태로 암호화됩니다. 스냅샷은 12시간 간격으로 작성됩니다(AWS). 암호화된 백업은 당사 서버에서 3일마다 수행됩니다.

이름:MyScript SAS

주소:3 rue de la Rainière 44339, Nantes, France

Contact person’s name, position and contact details:

Emilie Fowell, DPO, legal@myscript.com

전송 데이터 관련 활동:서비스 성능

역할(책임자/처리자):처리자

3.1 MyScript apps' cloud features

1. 전송되는 개인 데이터를 소유하는 데이터 주체의 범주:

귀하는 본 서비스에 사용자 개인 데이터를 제출할 수 있으며, 그 범위는 귀하가 단독으로 결정하고 관리합니다.

2. 전송되는 개인 데이터의 범주:

• Unstructured User Personal Data contained in Nebo’ or MyScript Math content sent by You to the Processor through the Service for sharing with MyScript or for storing through MyScript apps’ cloud features.

3. 특수 데이터 범주:

MyScript는 특별한 범주의 데이터(인종 또는 민족적 기원, 정치적 의견, 종교 또는 철학적 신념, 노동조합 가입, 유전자 또는 생체 데이터, 건강 및 성생활 등)를 수집하지 않습니다. 그러나 위에서 설명한 바와 같이 비정형 사용자 개인 데이터의 내용은 MyScript가 알 수 없습니다.

4. 전송 빈도

비정형 사용자 개인 데이터는 사용자의 서비스 사용 빈도에 따라 별표 1에 나열된 당사 하위 처리자에게 지속적으로 전송됩니다.

5. 처리의 특성

처리의 특성은 본 서비스 수행과 관련이 있습니다.

6. 데이터 전송의 목적과 추가 처리

MyScript는 사용자가 요청한 서비스를 수행하기 위해 필요에 따라 사용자 개인 데이터를 처리합니다.

7. 개인 데이터가 보존되는 기간 또는 이것이 불가능한 경우 기간을 결정하는 데 사용되는 조건

Unstructured User Personal Data is transferred to Processor’s servers for as long as You decide to store or share User Personal Data through MyScript apps’ cloud features. If You delete Your MyScript account then all User Personal Data is automatically deleted from all storage points.

8. (하위) 처리자로의 전송을 위한 처리 주체, 특성 및 기간 지정

하위 처리자는 서비스 수행을 위해 필요한 경우에 사용자 개인 데이터를 처리합니다. 하위 처리자는 서면으로 달리 동의하지 않거나 사용자 개인 데이터의 사전 삭제를 요청한 경우를 제외하고 귀하에게 MyScript 계정이 있는 경우에 사용자 개인 데이터를 처리합니다. 서비스 제공에 사용되는 하위 처리자의 ID 및 위치 국가는 본 DPA의 별표 1에 나열되어 있습니다.

3.2 Nebo 생성형 인공 지능 기능

1. 전송되는 개인 데이터를 소유하는 데이터 주체의 범주:

귀하는 본 서비스에 사용자 개인 데이터를 제출할 수 있으며, 그 범위는 귀하가 단독으로 결정하고 관리합니다.

2. 전송되는 개인 데이터의 범주:

• 노트북에서 콘텐츠를 생성하고 가져오기 위해 서비스를 통해 귀하가 처리자에게 전송한 노트북에 포함된 비정형 사용자 개인 데이터입니다.

3. 특수 데이터 범주:

MyScript는 특별한 범주의 데이터(인종 또는 민족적 기원, 정치적 의견, 종교 또는 철학적 신념, 노동조합 가입, 유전자 또는 생체 데이터, 건강 및 성생활 등)를 수집하지 않습니다. 그러나 위에서 설명한 바와 같이 비정형 사용자 개인 데이터의 내용은 MyScript가 알 수 없습니다.

4. 전송 빈도

비정형 사용자 개인 데이터는 사용자의 서비스 사용 빈도에 따라 별표 1에 나열된 당사 하위 처리자에게 지속적으로 전송됩니다.

5. 처리의 특성

처리의 특성은 본 서비스 수행과 관련이 있습니다.

6. 데이터 전송의 목적과 추가 처리

MyScript는 사용자가 요청한 서비스를 수행하기 위해 필요에 따라 사용자 개인 데이터를 처리합니다.

7. 개인 데이터가 보존되는 기간 또는 이것이 불가능한 경우 기간을 결정하는 데 사용되는 조건

Unstructured User Personal Data is temporarily transferred to Sub-processor’s servers when You include it in a request to generate content through the articifial intelligent features.

8. (하위) 처리자로의 전송을 위한 처리 주체, 특성 및 기간 지정

서비스 제공에 사용되는 하위 처리자의 ID 및 위치 국가는 본 DPA의 별표 1에 나열되어 있습니다. 하위 처리자는 서비스 수행을 위해 필요에 따라 사용자 개인 데이터를 처리합니다. 사용자 개인 데이터는 불법 및/또는 콘텐츠 오용을 모니터링하기 위해 30일 동안 하위 처리자 OpenAI에 의해 보관되고 이후 삭제됩니다. 사용자 개인 데이터는 하위 처리자 AWS 서버에서만 전송되며 즉시 삭제됩니다.

3.2 MyScript Cloud recognition through the developer portal

1. 전송되는 개인 데이터를 소유하는 데이터 주체의 범주:

귀하는 본 서비스에 사용자 개인 데이터를 제출할 수 있으며, 그 범위는 귀하가 단독으로 결정하고 관리합니다.

2. 전송되는 개인 데이터의 범주:

• 필기로 작성된 메모에서 타이핑된 텍스트로 변환하기 위해 귀하가 본 서비스를 통해 처리자에게 전송한 문서에 포함된 비정형 사용자 개인 데이터입니다.
• 최종 사용자 IP 주소.

3. 특수 데이터 범주:

MyScript는 특별한 범주의 데이터(인종 또는 민족적 기원, 정치적 의견, 종교 또는 철학적 신념, 노동조합 가입, 유전자 또는 생체 데이터, 건강 및 성생활 등)를 수집하지 않습니다. 그러나 위에서 설명한 바와 같이 비정형 사용자 개인 데이터의 내용은 MyScript가 알 수 없습니다.

4. 전송 빈도(예: 데이터가 일회성으로 또는 연속적으로 전송되는지 여부)

위에 나열된 모든 데이터 범주는 별표 1에 나열된 하위 처리자에게 전송되며 서비스 사용 빈도에 따라 지속적으로 전송됩니다.

5. 처리의 특성

처리의 특성은 본 서비스 수행과 관련이 있습니다.

6. 데이터 전송의 목적과 추가 처리

MyScript는 서비스 수행을 위해 필요에 따라 개인 데이터를 처리합니다.

7. 개인 데이터가 보존되는 기간 또는 이것이 불가능한 경우 기간을 결정하는 데 사용되는 조건

Unstructured User Personal Data is transferred to Processor’s servers the time for the Processing to take place, is then returned to the End-User and is not stored by the Processor. IP addresses are kept in log records for 12 months. Unstructured User Personal Data is not stored by the Processor unless specifically & expressly requested by You in writing.

8. (하위) 처리자로의 전송을 위한 처리 주체, 특성 및 기간 지정

하위 처리자는 서비스 수행을 위해 필요한 경우에 사용자 개인 데이터를 처리합니다. 하위 처리자는 서면으로 달리 동의하지 않는 한 귀하가 서비스를 사용하는 한 개인 데이터를 처리합니다.서비스 제공에 사용되는 하위 처리자의 ID 및 위치 국가는 본 DPA의 별표 1에 나열되어 있습니다.

관할 감독 기관

주장, 불만 또는 요청이 있을 때 연락할 관할 감독 기관은 Commission Nationale des Informations et des Libertés(CNIL)이며 https://www.cnil.fr/fr/plaintes/를 통해 연락할 수 있습니다.