DPA 2026年5月

2.1. 就本 DPA 而言，並依 GDPR 之定義，MyScript 為處理者，您為控制者。

2.2. 處理者應：

• 於處理使用者個人資料時遵守所有適用之資料保護法律，且
• 除依您書面記錄之指示外，不得處理使用者個人資料。

2.2. 您特此指示處理者為提供服務之目的處理使用者個人資料。

處理者應採取合理措施以確保其任何可能接觸使用者個人資料之員工、代理人或承包商之可靠性，並確保在各情況下僅限於為提供服務或履行其於處理者組織中之職責而需存取相關使用者個人資料之人員方可存取，並遵守適用法律，且確保所有該等人員均受保密承諾或專業或法定保密義務之約束。

4.1. 處理者之安全責任

4.1.1. 在考量技術現況、實施成本以及處理之性質、範圍、背景與目的，以及對自然人權利與自由造成不同可能性與嚴重程度之風險後，處理者應就使用者個人資料採取適當之技術與組織措施，以確保符合該風險程度之安全水準，包括（視情況）GDPR 第 32(1) 條所述之措施。

4.1.2. 在評估適當之安全水準時，處理者應特別考量處理所帶來之風險，尤其是個人資料外洩之風險。

4.1.3. 處理者之安全措施詳列於本 DPA 附表 2。

4.2. 您的安全責任

您同意，在不影響處理者於第 4.1 條（安全措施）及第 7 條（個人資料外洩）下之義務前提下：

4.2.1. 您須對您使用服務之行為負完全責任，包括：(i) 確保您已取得所有透過服務處理其個人資料之自然人之必要授權；以及 (ii) 妥善保管所有登入憑證與密碼並定期更換。

4.2.2. 對於您選擇儲存或傳輸至處理者（或次處理者）系統之外之使用者個人資料，處理者無任何保護義務。

4.2.3. 您須自行負責審查安全措施，並評估服務、安全措施、額外安全資訊以及處理者於本第 4 條（資料安全）下之承諾是否符合您的需求，包括是否符合您所在地適用資料保護法律之任何安全義務。

5.1. 除非經您要求或授權，處理者不得將使用者個人資料轉移予任何第三方，亦不得委任任何次處理者（或向其揭露任何使用者個人資料）。

5.2. 您特此授權本 DPA 附表 1 所列之次處理者，於提供服務所必要之範圍內接收並處理使用者個人資料。 處理者應於任何新次處理者開始處理使用者個人資料前，通知您附表 1 之任何變更，且您得停止使用服務。

5.3. 處理者應就其次處理者之作為與不作為負責，其責任範圍與處理者若依本 DPA 及法律聲明與使用條款直接提供各次處理者服務時相同。

6.1. 在考量處理之性質後，處理者應在可能範圍內，透過適當之技術與組織措施協助您履行義務，以回應資料主體依資料保護法律行使之權利請求，包括存取權、更正權、限制處理權、刪除權、資料可攜權、反對處理權或不受自動化個別決策之權利（以下簡稱「資料主體請求」）。

6.2. 處理者應：

• 若其收到資料主體依任何資料保護法律提出與使用者個人資料相關之請求，應即時通知您，且
• 除依您書面指示或依處理者所受適用法律要求外，不得對該請求作出回應；於後者情形，處理者應在法律允許範圍內，於回應前通知您該法律要求。

6.3. 在考量處理之性質後，處理者應於可能範圍內，透過適當之技術與組織措施協助您履行依歐洲資料保護法律回應資料主體請求之義務。 此外，若您於使用服務時無法處理資料主體請求，處理者應於您提出書面請求後，在法律允許範圍內，提供合理合作與協助，以促進您回應該等資料主體請求，前提係該回應為歐洲資料保護法律所要求。 在法律允許範圍內，您應負擔處理者提供該等協助所產生之任何費用。

7.1. 當處理者知悉發生影響使用者個人資料之個人資料外洩時，應在不延遲之情況下通知您及主管監督機關，並提供足夠資訊，使您得履行依資料保護法律就該外洩事件之通報或通知資料主體之義務。

7.2. 處理者應與您合作，並依您的指示採取合理之商業措施，以協助調查、減輕及補救各該個人資料外洩事件。

7.3. 任何個人資料外洩之通知(Notifications)將以直接通訊方式提供予您。 您應全權負責確保提供予處理者之任何聯絡資訊（包括通知電子郵件地址）為最新且有效。

7.4. 處理者不會為識別受特定法律要求約束之資訊而評估使用者個人資料之內容。 您須自行負責遵守適用之事件通報法律，並履行與任何個人資料外洩相關之第三方通知義務。

7.5. 處理者依本第 7.1 條（個人資料外洩）所作之通知或回應，不應被解釋為處理者承認對該個人資料外洩負有任何過失或責任。

處理者應就任何資料保護影響評估以及與監督機關或其他具管轄權之資料隱私機關之事前諮詢，向您提供合理協助，前提係您合理認為該等程序係依 GDPR 第 35 或 36 條或其他資料保護法律之同等規定所要求，且該等協助僅限於與處理者處理使用者個人資料相關之範圍，並考量處理之性質及處理者可得之資訊。

9.1. 於您明確請求或您自行刪除帳戶時，處理者應刪除已處理或正在處理之使用者個人資料。 刪除為最終性，處理者不得保留該等使用者個人資料之任何副本。

9.2. 於服務終止時，處理者應立即，且無論如何應於任何涉及處理使用者個人資料之服務終止日起 12 個月內，刪除並促使刪除所有於提供服務期間傳輸予處理者（或任何次處理者）之該等使用者個人資料之所有副本（如有）。

10.1. 處理者應定期進行稽核，並確保所有次處理者亦同，以確保遵守本 DPA 及其於適用資料保護法律下之義務。

10.2. 在符合本第 10 條之前提下，處理者應依您的要求，在已建立充分保密協議之情況下，提供所有必要資訊，以證明處理者及／或次處理者於處理使用者個人資料時遵守本 DPA。

10.3. 您得依適用資料保護法律，代表您自身，或當您作為處理者時代表您的控制者，透過指示處理者執行第 10.1 條所述之稽核，以要求進行任何稽核（包括任何檢查），該等稽核為您有權代表自身或您的控制者提出或授權之稽核。

10.4. 若您希望變更有關稽核之該項指示，您有權透過書面通知寄送至 legal@myscript.com 向處理者提出變更請求。 若處理者拒絕遵循您就稽核（包括檢查）所提出之任何請求及/或指示，您有權立即終止服務。

11.1. 未經您事先書面同意，處理者不得將使用者個人資料傳輸或授權傳輸至歐盟及／或歐洲經濟區以外之國家。 若依本 DPA 處理之個人資料自歐洲經濟區內之國家傳輸至歐洲經濟區外之國家，雙方應確保該等使用者個人資料獲得充分保護。 為達此目的，除非另有約定，雙方應依賴歐盟對非歐盟國家之適足性決定及／或歐盟核准之個人資料傳輸標準契約條款。

11.2. 接收使用者個人資料之次處理者清單及其所在國家列於本 DPA 附表 1。 就上述第 11.1 條之目的，您同意將使用者個人資料傳輸予附表 1 所列之次處理者。

12.1. 合約期間

本 DPA 自您接受法律聲明與使用條款之時生效，並在處理者向您提供服務期間持續有效。

12.2. 通知

依本 DPA 發出之所有通知與通訊均須以書面形式，並於 MyScript 聯絡您時寄送至您建立 MyScript 帳戶所使用之電子郵件地址；若您欲通知 MyScript，則須寄送至 legal@myscript.com。

12.3. 法律與管轄

本 DPA 受法國法律管轄，但不包括其法律衝突規定。 因本 DPA 所生或與之相關且雙方無法友好解決之任何爭議，應提交法國有管轄權之法院或機關專屬管轄。

12.4. 可分割性

若本 DPA 之任何條款被認定為無效或不可執行，其餘條款仍應保持有效並持續生效。 該無效或不可執行之條款應（i）於必要範圍內進行修訂，以確保其有效性與可執行性，同時盡可能保留雙方之原意；或若無法達成，則（ii）應以如同該無效或不可執行部分從未存在之方式進行解釋。

12.5. 主管監督機關

如需提出索賠、申訴或請求，應聯絡之主管監督機關為法國國家資訊與自由委員會（CNIL），可透過此頁面（法文）聯絡。

13.1. 附表 1 – 次處理者清單

MyScript 應用程式雲端功能

次處理者：AWS，位於歐盟之雲端基礎設施提供者。

Sub-processor: Freshdesk (Freshworks)，負責接收與管理支援請求，該等請求可能包含檔案 (Content) 的傳輸，且其據點位於歐盟。

次處理者：Brevo，位於歐盟之郵件服務提供者。

透過開發者入口網站之 MyScript 雲端辨識

次處理者：AWS，位於美國俄勒岡州之雲端基礎設施提供者（已採用 SCC）。

次處理者：Brevo，位於歐盟之郵件服務提供者。

13.2. 附表 2 – 安全措施

處理者在代表您處理使用者個人資料時，將實施並維持以下技術與組織性安全措施：

實體存取控制

處理者應採取合理措施防止實體存取，例如使用受保護之建築與伺服器機房，以防止未經授權之人員存取使用者個人資料，或確保代表其運營資料中心之次處理者遵守此類控制措施。

系統存取控制

處理者應採取合理措施防止未經授權使用使用者個人資料。 此類控制措施將依處理之性質而異，並可能包括（除其他控制措施外）透過密碼進行之驗證、在適用情況下結合多重因素驗證、文件化之授權流程、防火牆、文件化之變更管理流程及/或多層級之存取記錄，以及自動安全更新。

資料存取控制

處理者應採取合理措施，以確保使用者個人資料僅供經適當授權之人員存取與管理，限制直接資料庫查詢存取，並建立與執行應用程式存取權限，以確保有權使用資料處理系統之人員僅能存取其具存取權限之使用者個人資料，且於處理過程中，未經授權不得讀取、複製、修改或移除使用者個人資料。

傳輸控制

處理者應採取合理措施，以確保能檢查並確定透過資料傳輸設施將使用者個人資料傳輸至哪些實體，並確保在電子傳輸或運輸過程中，未經授權不得讀取、複製、修改或移除使用者個人資料。 此類措施包括使用經認證之安全伺服器連線，並限制所有 API 的跨來源資源共享。

輸入控制

處理者應採取合理措施，以確保能檢查並確定中繼資料是否已輸入資料處理系統、被修改或被刪除。 處理者應採用業界最佳實務，包括使用加密協定進行驗證與安全稽核記錄。

資料備份

服務中的資料庫會定期備份，並以安全方式儲存且於靜態時加密，以確保使用者個人資料免於意外毀損或遺失。 每 12 小時進行一次快照（AWS）。 每三天於我們的伺服器上進行一次加密備份。

13.3. 附表 3 – 處理活動說明

名稱： MyScript SAS

地址： 3 rue de la Rainière, 44339 Nantes Cedex 3, France

聯絡人姓名、職稱及聯絡方式： Emilie Fowell，DPO，legal@myscript.com

與資料傳輸相關之活動： 服務之提供

角色（控制者／處理者）： 處理者

13.3.1. MyScript 應用程式雲端功能

a. 被傳輸個人資料之資料主體類別

您可將使用者個人資料提交至服務，其範圍完全由您自行決定與控制。

b. 被傳輸之個人資料類別

包含於您透過服務傳送予處理者之 MyScript Notes 或 MyScript Math 內容中的非結構化使用者個人資料，用於與 MyScript 分享或透過 MyScript 應用程式雲端功能儲存。

c. 特殊類別資料

MyScript 不會蒐集任何特殊類別資料（例如種族或族裔來源、政治意見、宗教或哲學信仰、工會會員資格、基因或生物識別資料、健康狀況及性生活）。 然而，如上所述之非結構化使用者個人資料內容對 MyScript 而言為未知。

d. 傳輸頻率

非結構化使用者個人資料會傳輸至附表 1 所列之我們的 Sub-processor(s)，並依您使用服務之頻率持續進行傳輸。

e. 處理性質

處理之性質為提供服務。

f. 資料傳輸及後續處理之目的(s)

MyScript 將於必要範圍內處理使用者個人資料，以提供您所要求之服務。

g. 個人資料將被保存之期間，或，如無法確定，則用以判定該期間之標準

非結構化使用者個人資料將於您決定透過 MyScript 應用程式雲端功能儲存或分享期間內，保存在處理者之伺服器上。 若您刪除您的 MyScript 帳戶，則所有使用者個人資料將自所有儲存位置自動刪除。

h. 對（次）處理者之傳輸，亦須說明處理之標的、性質及期間

次處理者將於必要範圍內處理使用者個人資料，以提供服務。 除非另有書面約定或您要求提前刪除使用者個人資料，否則次處理者將於您持有 MyScript 帳戶期間持續處理使用者個人資料。 用於提供服務之 Sub-processor(s) 的身分及其所在國家列於本 DPA 的附表 1 中。

13.3.2. 透過開發者入口網站之 MyScript 雲端辨識

a. 被傳輸個人資料之資料主體類別

您可將使用者個人資料提交至服務，其範圍完全由您自行決定與控制。

b. 被傳輸之個人資料類別

• 您透過本服務傳送給處理者以將手寫筆記轉換為打字文字之文件中所包含的非結構化使用者個人資料。
• 終端使用者的 IP 位址。

c. 特殊類別資料

MyScript 不會蒐集任何特殊類別資料（例如種族或族裔來源、政治意見、宗教或哲學信仰、工會會員資格、基因或生物識別資料、健康狀況及性生活）。 然而，如上所述之非結構化使用者個人資料內容對 MyScript 而言為未知。

d. 傳輸的頻率（例如，資料是一次性傳輸還是持續性傳輸）

上述列出的所有資料類別會傳輸至附表 1 所列之我們的 Sub-processor(s)，並依據服務的使用情況持續進行傳輸。

e. 處理性質

處理之性質為提供服務。

f. 資料傳輸及後續處理之目的(s)

MyScript 將在提供服務所需的範圍內處理個人資料。

g. 個人資料將被保存之期間，或，如無法確定，則用以判定該期間之標準

非結構化使用者個人資料會在進行處理期間傳輸至處理者的伺服器，之後返回給終端使用者，且不會由處理者儲存。 IP 位址會在日誌記錄中保存 12 個月。 除非您以書面形式明確且特別要求，否則處理者不會儲存非結構化使用者個人資料。

h. 對（次）處理者之傳輸，亦須說明處理之標的、性質及期間

次處理者將於必要範圍內處理使用者個人資料，以提供服務。 除非另有書面約定，次處理者將在您使用服務期間持續處理個人資料。 用於提供服務之 Sub-processor(s) 的身分及其所在國家列於本 DPA 的附表 1 中。