DPA Май 2026

2.1. Для целей настоящего DPA и в соответствии с определениями GDPR, MyScript действует как Обработчик, а Вы действуете как Контролер.

2.2. Обработчик должен:

• соблюдать все применимые Законы о защите данных при Обработке Персональных данных пользователя, и
• не обрабатывать Персональные данные пользователя иначе как на основании Ваших документированных инструкций.

2.2. Настоящим Вы поручаете Обработчику обрабатывать Персональные данные пользователя для предоставления Сервисов.

Обработчик должен принимать разумные меры для обеспечения надежности любого сотрудника, агента или подрядчика Обработчика, который может иметь доступ к Персональным данным пользователя, обеспечивая в каждом случае, что доступ строго ограничен теми лицами, которым он необходим для предоставления Сервисов или выполнения их роли в организации Обработчика, а также для соблюдения применимого законодательства в рамках их обязанностей перед Обработчиком, и обеспечивая, что все такие лица связаны обязательствами конфиденциальности или профессиональными либо установленными законом обязанностями конфиденциальности.

4.1. Обязанности Обработчика по безопасности

4.1.1. С учетом современного уровня развития технологий, стоимости внедрения и характера, объема, контекста и целей Обработки, а также риска различной вероятности и степени серьезности для прав и свобод физических лиц, Обработчик должен в отношении Персональных данных пользователя внедрять соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего такому риску, включая, при необходимости, меры, указанные в статье 32(1) GDPR.

4.1.2. При оценке надлежащего уровня безопасности Обработчик должен учитывать, в частности, риски, связанные с Обработкой, в том числе возникающие вследствие Нарушения безопасности персональных данных.

4.1.3. Меры безопасности Обработчика дополнительно описаны в Приложении 2 к настоящему DPA.

4.2. Ваши обязанности по безопасности

Вы соглашаетесь, что без ущерба для обязательств Обработчика по Разделу 4.1 (Меры безопасности) и Разделу 7 (Нарушение безопасности персональных данных):

4.2.1. Вы несете единоличную ответственность за использование Сервиса, включая (i) обеспечение получения всех необходимых разрешений от любых физических лиц, чьи Персональные данные обрабатываются через Сервис, и (ii) безопасное хранение всех Ваших учетных данных и паролей, а также их регулярную смену.

4.2.2. Обработчик не обязан защищать Персональные данные пользователя, которые Вы решаете хранить или передавать вне систем Обработчика (или Суб-обработчиков).

4.2.3. Вы несете единоличную ответственность за проверку мер безопасности и самостоятельную оценку того, соответствуют ли Сервис, меры безопасности, дополнительная информация о безопасности и обязательства Обработчика по настоящему Разделу 4 (Безопасность данных) Вашим потребностям, включая любые требования безопасности, установленные применимыми законами о защите данных Вашей юрисдикции.

5.1. Обработчик не должен передавать Персональные данные пользователя третьим лицам и не должен назначать (или раскрывать какие-либо Персональные данные пользователя) Суб-обработчику, если это не требуется или не разрешено Вами.

5.2. Настоящим Вы разрешаете Суб-обработчикам, перечисленным в Приложении 1 к настоящему DPA, получать и обрабатывать Персональные данные пользователя в объеме, необходимом для предоставления Сервисов. Обработчик должен уведомить Вас о любых изменениях в Приложении 1 до начала Обработки любых Персональных данных пользователя новым Субобработчиком, и Вы можете прекратить использование Сервисов.

5.3. Обработчик несет ответственность за действия и бездействие своих Суб-обработчиков в той же степени, в какой он нес бы ответственность, если бы выполнял услуги каждого Суб-обработчика непосредственно в соответствии с условиями настоящего DPA и Юридического уведомления и Условий использования.

6.1. С учетом характера Обработки Обработчик оказывает Вам содействие, внедряя соответствующие технические и организационные меры, насколько это возможно, для выполнения Ваших обязательств, как это разумно понимается Обработчиком, по ответу на запросы на осуществление прав субъектов данных в соответствии с Законами о защите данных, а именно права доступа, права на исправление, ограничения Обработки, удаления, переносимости данных, возражения против Обработки или права не подпадать под автоматизированное принятие индивидуальных решений (далее «Запрос субъекта данных»).

6.2. Обработчик должен:

• незамедлительно уведомлять Вас, если он получает запрос от субъекта данных в соответствии с любым Законом о защите данных в отношении Персональных данных пользователя, и
• обеспечивать, что он не отвечает на такой запрос, за исключением случаев, когда это делается на основании Ваших документированных инструкций или требуется применимым законодательством, которому подчиняется Обработчик, в таком случае Обработчик в пределах, допустимых применимым законодательством, уведомит Вас о таком юридическом требовании до ответа на запрос.

6.3. С учетом характера Обработки Обработчик будет оказывать Вам содействие посредством соответствующих технических и организационных мер, насколько это возможно, для выполнения Вашего обязательства по ответу на Запрос субъекта данных в соответствии с европейскими законами о защите данных. Кроме того, в той мере, в какой Вы при использовании Сервиса не имеете возможности обработать Запрос субъекта данных, Обработчик по Вашему письменному запросу окажет разумное содействие и помощь для облегчения Вашего ответа на такой Запрос субъекта данных, в той мере, в какой это разрешено законом и требуется европейскими законами о защите данных. В пределах, допустимых законом, Вы несете ответственность за любые расходы, возникающие в связи с оказанием Обработчиком такой помощи.

7.1. Обработчик должен без неоправданной задержки уведомить Вас и Компетентный надзорный орган после того, как ему станет известно о Нарушении безопасности персональных данных, затрагивающем Персональные данные пользователя, предоставив Вам достаточную информацию, чтобы Вы могли выполнить любые обязательства по уведомлению или информированию субъектов данных о таком нарушении в соответствии с Законами о защите данных.

7.2. Обработчик должен сотрудничать с Вами и предпринимать разумные коммерческие меры по Вашему указанию для содействия расследованию, смягчению последствий и устранению каждого такого Нарушения безопасности персональных данных.

7.3. Уведомление(я) о любом Нарушении безопасности персональных данных будут направляться Вам посредством прямой связи. Вы несете единоличную ответственность за обеспечение актуальности и действительности любой контактной информации, включая адрес электронной почты для уведомлений, предоставленной Обработчику.

7.4. Обработчик не будет оценивать содержимое Персональных данных пользователя с целью выявления информации, подпадающей под какие-либо специальные правовые требования. Вы несете единоличную ответственность за соблюдение применимых законов об уведомлении об инцидентах и выполнение любых обязательств по уведомлению третьих лиц, связанных с любым Нарушением безопасности персональных данных.

7.5. Уведомление Обработчика о Нарушении безопасности персональных данных или его ответ на него в соответствии с настоящим Разделом 7.1 (Нарушение безопасности персональных данных) не считается признанием Обработчиком какой-либо вины или ответственности в связи с таким нарушением.

Обработчик должен оказывать Вам разумную помощь в проведении любых оценок воздействия на защиту данных и предварительных консультаций с надзорными органами или другими компетентными органами по защите данных, которые Вы обоснованно считаете необходимыми в соответствии со статьями 35 или 36 GDPR или эквивалентными положениями любого другого Закона о защите данных, в каждом случае исключительно в отношении Обработки Персональных данных пользователя Обработчиком и с учетом характера Обработки и информации, доступной Обработчику.

9.1. По Вашему явному запросу или при удалении Вами своей учетной записи Обработчик должен удалить Персональные данные пользователя, которые были обработаны или обрабатываются Обработчиком. Удаление является окончательным, и Обработчик не сохраняет никаких копий таких Персональных данных пользователя.

9.2. После прекращения оказания Сервисов Обработчик должен незамедлительно, и в любом случае в течение 12 месяцев с даты прекращения любых Сервисов, связанных с Обработкой Персональных данных пользователя, удалить и обеспечить удаление всех копий (если таковые имеются) этих Персональных данных пользователя, которые были переданы Обработчику (или любым Суб-обработчикам) в ходе предоставления Сервиса.

10.1. Обработчик должен регулярно проводить аудиты и обеспечивать, чтобы все Суб-обработчики делали то же самое, с целью обеспечения соблюдения настоящего DPA и их обязательств в соответствии с применимыми Законами о защите данных.

10.2. С учетом настоящего Раздела 10 Обработчик должен по запросу предоставлять Вам, при условии наличия достаточного соглашения о конфиденциальности, всю информацию, необходимую для демонстрации соблюдения настоящего DPA в отношении Обработки Персональных данных пользователя Обработчиком и/или Суб-обработчиками.

10.3. Вы можете запросить проведение любого аудита, включая любую проверку, на которую Вы имеете право или которую вправе инициировать от своего имени и от имени Ваших контролеров, когда Вы действуете как обработчик, в соответствии с применимым Законом о защите данных, поручив Обработчику провести аудит, описанный в Разделе 10.1.

10.4. Если Вы хотите изменить данное указание относительно аудита, Вы имеете право запросить изменение данного указания, направив Обработчику письменное уведомление по адресу legal@myscript.com. Если Обработчик откажется выполнить любой запрос и/или указание, запрошенное Вами в отношении аудитов, включая проверки, Вы вправе немедленно прекратить использование Сервисов.

11.1. Обработчик не вправе передавать или разрешать передачу Персональных данных пользователя в страны за пределами ЕС и/или ЕЭЗ без Вашего предварительного письменного согласия. Если Персональные данные, обрабатываемые в рамках настоящего DPA, передаются из страны в пределах Европейской экономической зоны в страну за ее пределами, Стороны должны обеспечить надлежащую защиту Персональных данных пользователя. Для достижения этой цели Стороны, если не согласовано иное, будут опираться на решения ЕС об адекватности для стран вне ЕС и/или на утвержденные ЕС стандартные договорные положения для передачи Персональных данных.

11.2. Список Суб-обработчиков, получающих Персональные данные пользователя, а также стран, в которых они находятся, приведен в Приложении 1 к настоящему DPA. Для целей Раздела 11.1 выше Вы даете согласие на передачу Персональных данных пользователя Суб-обработчикам, перечисленным в Приложении 1.

12.1. Длительность

Настоящее DPA вступает в силу с момента принятия Вами Юридического уведомления и Условий использования и остается в силе до тех пор, пока Обработчик предоставляет Вам Сервисы.

12.2. Уведомления

Все уведомления и сообщения, направляемые в рамках настоящего DPA, должны быть в письменной форме и отправляться по электронной почте на адрес, использованный для создания учетной записи MyScript в случае связи MyScript с Вами, и должны направляться на legal@myscript.com, если Вы хотите уведомить MyScript.

12.3. Применимое право и юрисдикция

Настоящее DPA регулируется законодательством Франции, за исключением его коллизионных норм. Любой спор, возникающий из настоящего DPA или в связи с ним, который Стороны не смогут урегулировать мирным путем, подлежит исключительной юрисдикции компетентных французских судов или органов.

12.4. Недействительность положений

Если какое-либо положение настоящего DPA является недействительным или не подлежит исполнению, остальные положения настоящего DPA остаются действительными и сохраняют силу. Недействительное или не подлежащее исполнению положение должно быть либо (i) изменено в необходимой степени для обеспечения его действительности и исполнимости с максимально возможным сохранением намерений Сторон, либо, если это невозможно, (ii) толковаться таким образом, как если бы недействительная или неисполнимая часть никогда не была включена в него.

12.5. Компетентный надзорный орган

Компетентным надзорным органом для обращения в случае претензии, жалобы или запроса является Commission Nationale des Informations et des Libertés (CNIL), с которой можно связаться через эту страницу (на французском языке).

13.1. Приложение 1 – Список Субобработчиков

Облачные функции приложений MyScript

Субобработчик: AWS, поставщик облачной инфраструктуры, базирующийся в Европейском союзе.

Субобработчик: Freshdesk (Freshworks), принимает и обрабатывает запросы поддержки, которые могут включать передачу файлов (Контента), базируется в Европейском союзе.

Субобработчик: Brevo, поставщик почтовых услуг, базирующийся в Европейском союзе.

Облачное распознавание MyScript через портал разработчика

Субобработчик: AWS, поставщик облачной инфраструктуры, базирующийся в Орегоне, США (применяются SCC).

Субобработчик: Brevo, поставщик почтовых услуг, базирующийся в Европейском союзе.

13.2. Приложение 2 – Меры безопасности

Обработчик будет внедрять и поддерживать следующие технические и организационные меры безопасности при обработке Персональных данных пользователя от Вашего имени:

Контроль физического доступа

Обработчик должен принимать разумные меры для предотвращения физического доступа, такие как защищенные здания и защищенные серверные помещения, чтобы предотвратить несанкционированный доступ к Персональным данным пользователя, либо обеспечивать, чтобы Субобработчики, управляющие дата-центрами от его имени, соблюдали такие меры контроля.

Контроль доступа к системам

Обработчик должен принимать разумные меры для предотвращения использования Персональных данных пользователя без разрешения. Эти меры контроля варьируются в зависимости от характера выполняемой Обработки и могут включать, помимо прочего, аутентификацию с использованием паролей, в сочетании с многофакторной аутентификацией при необходимости, документированные процессы авторизации, межсетевые экраны, документированные процессы управления изменениями и/или ведение журналов доступа на нескольких уровнях и автоматические обновления безопасности.

Контроль доступа к данным

Обработчик должен принимать разумные меры для обеспечения того, чтобы Персональные данные пользователя были доступны и управляемы только надлежащим образом уполномоченным персоналом, прямой доступ к запросам базы данных был ограничен, а права доступа к приложениям были установлены и применялись для обеспечения того, чтобы лица, имеющие право использовать систему обработки данных, имели доступ только к тем Персональным данным пользователя, к которым у них есть право доступа, и чтобы Персональные данные пользователя не могли быть прочитаны, скопированы, изменены или удалены без разрешения в процессе Обработки.

Контроль передачи

Обработчик должен принимать разумные меры для обеспечения возможности проверки и установления, каким субъектам предполагается передача Персональных данных пользователя посредством средств передачи данных, чтобы Персональные данные пользователя не могли быть прочитаны, скопированы, изменены или удалены без разрешения во время электронной передачи или транспортировки. Эти меры включают использование сертифицированных защищенных соединений с сервером и ограничение совместного использования ресурсов между источниками для всех API.

Контроль ввода

Обработчик должен принимать разумные меры для обеспечения возможности проверки и установления того, были ли метаданные введены в системы обработки данных, изменены или удалены. Обработчик должен использовать лучшие отраслевые практики, включая криптографические протоколы для аутентификации и безопасного ведения журналов аудита.

Резервное копирование данных

Резервные копии баз данных в Сервисе создаются регулярно, защищены и зашифрованы в состоянии покоя для обеспечения защиты Персональных данных пользователя от случайного уничтожения или потери. Снимки создаются каждые 12 часов (AWS). Зашифрованное резервное копирование выполняется каждые три дня на наших серверах.

13.3. Приложение 3 – Описание операций обработки

Название: MyScript SAS

Адрес: 3 rue de la Rainière, 44339 Nantes Cedex 3, Франция

Имя контактного лица, должность и контактные данные: Emilie Fowell, DPO, legal@myscript.com

Деятельность, связанная с передаваемыми данными: Оказание Сервисов

Роль (контролер/обработчик): Обработчик

13.3.1. Облачные функции приложений MyScript

a. Категории субъектов данных, чьи персональные данные передаются

Вы можете передавать Персональные данные пользователя в Сервисы, объем которых определяется и контролируется исключительно Вами.

b. Категории передаваемых персональных данных

Неструктурированные Персональные данные пользователя, содержащиеся в контенте MyScript Notes или MyScript Math, отправляемом Вами Обработчику через Сервис для передачи MyScript или для хранения с использованием облачных функций приложений MyScript.

c. Особые категории данных

MyScript не собирает какие-либо особые категории данных (такие как расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, генетические или биометрические данные, данные о здоровье и сексуальной жизни). Однако содержание неструктурированных Персональных данных пользователя, как описано выше, неизвестно MyScript.

d. Частота передачи

Неструктурированные Персональные данные пользователя передаются нашим Суб-обработчикам, перечисленным в Приложении 1, на постоянной основе в зависимости от частоты использования Вами Сервиса.

e. Характер Обработки

Характер Обработки заключается в оказании Сервисов.

f. Цель(и) передачи данных и последующей Обработки

MyScript будет обрабатывать Персональные данные пользователя по мере необходимости для оказания запрошенных Вами Сервисов.

g. Срок хранения персональных данных или, если это невозможно, критерии его определения

Неструктурированные Персональные данные пользователя передаются на серверы Обработчика на срок, в течение которого Вы решаете хранить или передавать их через облачные функции приложений MyScript. Если Вы удаляете свою учетную запись MyScript, все Персональные данные пользователя автоматически удаляются из всех мест хранения.

h. Для передач (Суб-) обработчикам также укажите предмет, характер и продолжительность Обработки

Субобработчик будет обрабатывать Персональные данные пользователя по мере необходимости для оказания Сервисов. Субобработчик будет обрабатывать Персональные данные пользователя до тех пор, пока у Вас есть учетная запись MyScript, если иное не согласовано в письменной форме или если Вы не запросили предварительное удаление Персональных данных пользователя. Сведения о Субобработчиках, используемых для предоставления Сервисов, и странах их расположения приведены в Приложении 1 к настоящему DPA.

13.3.2. Облачное распознавание MyScript через портал разработчика

a. Категории субъектов данных, чьи персональные данные передаются

Вы можете передавать Персональные данные пользователя в Сервисы, объем которых определяется и контролируется исключительно Вами.

b. Категории передаваемых персональных данных

• Неструктурированные Персональные данные пользователя, содержащиеся в документах, отправленных Вами Обработчику через Сервис для преобразования рукописных заметок в печатный текст.
• IP-адрес Конечного пользователя.

c. Особые категории данных

MyScript не собирает какие-либо особые категории данных (такие как расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, генетические или биометрические данные, данные о здоровье и сексуальной жизни). Однако содержание неструктурированных Персональных данных пользователя, как описано выше, неизвестно MyScript.

d. Частота передачи (например, осуществляется ли передача данных однократно или на постоянной основе)

Все перечисленные выше категории данных передаются нашим Суб-обработчикам, указанным в Приложении 1, на постоянной основе в зависимости от использования Сервиса.

e. Характер Обработки

Характер Обработки заключается в оказании Сервисов.

f. Цель(и) передачи данных и последующей Обработки

MyScript будет обрабатывать Персональные данные по мере необходимости для оказания Сервисов.

g. Срок хранения персональных данных или, если это невозможно, критерии его определения

Неструктурированные Персональные данные пользователя передаются на серверы Обработчика на время, необходимое для выполнения Обработки, затем возвращаются Конечному пользователю и не сохраняются Обработчиком. IP-адреса хранятся в журналах в течение 12 месяцев. Неструктурированные Персональные данные пользователя не хранятся Обработчиком, если только Вы специально и прямо не запросите это в письменной форме.

h. Для передач (Суб-) обработчикам также укажите предмет, характер и продолжительность Обработки

Субобработчик будет обрабатывать Персональные данные пользователя по мере необходимости для оказания Сервисов. Субобработчик будет обрабатывать Персональные данные до тех пор, пока Вы используете Сервисы, если иное не согласовано в письменной форме. Сведения о Субобработчиках, используемых для предоставления Сервисов, и странах их расположения приведены в Приложении 1 к настоящему DPA.