Brisk 데이터 처리 부록

발효일: 2024년 8월 22일

본 데이터 처리 부록 (”DPA“) 보충제 및 구성 요소는 Brisk Labs Corp. (”활기찬“) 및 교육 기관 또는 (해당하는 경우) 교사 (해당하는 경우) 서비스 제공과 관련된 해당 데이터의 전송 및 처리

1.정의
1.1

본 DPA에서 달리 정의하지 않는 한, 본 DPA에서 사용되었지만 정의되지 않은 대문자로 표시된 용어는 계약에 명시된 의미를 갖습니다.본 DPA에서 사용되는 다음과 같은 대문자 용어는 다음과 같이 정의됩니다.
계약“는 다음 약관을 통합하여 Brisk와 고객 간에 체결된 계약을 의미합니다. https://www.briskteaching.com/terms 또는 당사자 간에 달리 합의된 경우
관련 데이터 보호법“는 GDPR을 포함하여 (이에 국한되지 않음) 수시로 수정되거나 업데이트될 수 있는 개인 데이터의 개인 정보 보호, 기밀 유지 또는 보안과 관련된 모든 관련 법률, 규칙, 규정 및 정부 요구 사항을 의미합니다.
공인 하청 처리업체“스케줄 4에 나열된 하위 처리자 및 7.4항에 따라 임명된 기타 하위 처리자를 의미합니다.
컨트롤러 용도“란 (a) Brisk 제품 및 서비스의 기능을 개발, 테스트, 개선 및 변경하기 위한 내부 연구 및 개발 수행, (b) Brisk 제품 및 서비스의 교육 또는 평가를 위한 익명화된 데이터 세트 생성, (c) 서비스에서 고객 계정을 관리하고 계약에 따라 Brisk와 고객과의 관계를 관리하는 것을 의미합니다. 각 경우에 스케줄 1에 자세히 설명되어 있습니다.
적용 데이터“란 (a) 서비스 제공과 관련하여 고객이 또는 고객을 대신하여 Brisk에 제공한 개인 데이터, 또는 (b) Brisk 또는 그 대리인 또는 하청업체가 서비스 제공 목적으로 획득, 개발, 생산 또는 처리하는 개인 데이터를 의미하며, 각 경우에 스케줄 1에 자세히 설명되어 있습니다.
고객“서비스와 관련하여 Brisk와 계약을 체결한 교육 기관 또는 교사를 의미합니다.
데이터 주체“는 GDPR에 명시된 의미를 가집니다.
효력 발생일“는 Brisk와 고객이 계약을 체결하는 날짜를 의미합니다.
GDPR“규정 (EU) 2016/679 (더”) 를 의미합니다.유럽 GDPR“) 또는 해당하는 경우”영국 GDPR“는 2018년 데이터 보호법 섹션 3 (10) 에 정의되어 있습니다.
개인 데이터“는 GDPR에 명시된 의미를 가집니다.
프로세싱“GDPR에 명시된 의미를 지니고 있으며”프로세스“,”프로세스“및”처리됨“그에 따라 해석될 것입니다.
보안 사고“해당 데이터의 우발적 또는 불법적인 파기, 손실, 변경, 무단 공개 또는 무단 액세스 (무단 내부 액세스 포함) 로 이어지는 보안 침해를 의미합니다.
표준 계약 조항“또는”SCC“는 위원회 이행 결정 (EU) 2021/914에 첨부되고 다음에서 확인할 수 있는 표준 계약 조항을 의미합니다. https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en.
하위 프로세서“컨트롤러의 명령을 수행하기 위해 다른 프로세서와 계약한 프로세서를 의미합니다.
스위스 데이터 보호법“2020년 9월 25일의 데이터 보호에 관한 스위스 연방법을 의미합니다 (”FADP“) 및 2022년 8월 31일 스위스 데이터 보호 조례 (더”조례“) 및 때때로 발효될 수 있는 이러한 법률의 신규 또는 개정판.

1.2

약관”제어 장치“및”프로세서“GDPR에서 그들에게 주어진 의미를 가지고 있습니다.

2.계약과의 상호 작용
2.1

이 DPA는 계약에 통합되어 계약의 필수 부분을 구성합니다.본 DPA는 해당 데이터의 처리와 관련된 계약을 보완하며 (상충되는 경우) 계약을 대체합니다.

3.당사자의 역할
3.1

양 당사자는 다음 사항을 인정하고 이에 동의합니다.

  1. 3.1항에 명시된 경우를 제외하고 Brisk는 계약에 따른 의무를 이행하는 프로세서로서 해당 데이터를 처리하고 본 DPA와 고객이 컨트롤러 역할을 합니다.
  2. Brisk는 스케줄 1에 명시된 바와 같이 컨트롤러 목적의 해당 데이터 처리와 관련하여 컨트롤러 역할을 합니다.
4.데이터 처리 세부 정보
4.1

계약 및 본 DPA에 따른 개인 데이터 처리에 대한 세부 정보 (처리의 주제, 성격 및 목적, 개인 데이터 범주 및 데이터 주체 포함) 는 계약 및 본 DPA의 스케줄 1에 설명되어 있습니다.

4.2

컨트롤러 목적의 해당 데이터 처리와 관련해서는 제외:

  1. Brisk는 고객이 제공한 지침에 따라 해당 데이터 보호법에 따라서만 해당 데이터를 처리합니다.
  2. 계약 및 본 DPA는 Brisk의 해당 데이터 처리에 대한 지침을 구성하며 고객은 본 DPA에 따라 추가 서면 지침을 발행할 수 있습니다.
4.3

브리스크는 다음과 같이 할 것입니다.

  1. 고객이 관련 데이터 보호법에 따라 요구되는 모든 데이터 보호 영향 평가 및 감독 기관과의 사전 협의를 수행하고 문서화할 수 있도록 정보를 제공합니다.
  2. 고객의 지시가 관련 데이터 보호법을 위반한다고 판단되는 경우 즉시 고객에게 알리십시오.
5.규정 준수
5.1

고객은 관련 데이터 보호법에 따른 의무를 준수하고 다음을 보장해야 합니다.

  1. 해당 데이터 처리와 관련하여 Brisk에 대한 모든 지침은 해당 데이터 보호법을 준수합니다.
  2. 관련 데이터 보호법에 따라 Brisk의 해당 데이터 처리와 관련하여 데이터 주체에게 해당 정보를 제공합니다.
  3. 관련 데이터 보호법에 따른 권리를 행사하기 위해 데이터 주체로부터 받은 요청을 Brisk에 즉시 알립니다.
6.기밀 유지 및 공개
6.1

브리스크는 다음을 수행해야 합니다.

  1. 해당 데이터에 대한 액세스를 업무상 필요에 따라 해당 적용 데이터에 액세스할 수 있는 직원으로 제한합니다. 그리고
  2. 해당 직원이 액세스 권한이 있는 해당 데이터에 대한 기밀 유지 의무를 포함하여 최소한 본 DPA 및 계약의 조항만큼 적용 대상 데이터를 보호할 의무가 있는지 확인하십시오.
7.정의
7.1

Brisk는 본 7항의 나머지 부분과 SCC에 포함된 이후 전송에 대한 제한 사항에 따라 Brisk 또는 그 하위 처리업체가 시설을 유지하는 모든 곳에서 해당 데이터를 처리할 수 있습니다.

7.2

고객은 Brisk에 모든 공인 하청 업체를 참여시켜 해당 데이터를 처리할 수 있는 일반 권한을 부여합니다.

7.3

브리스크는 다음을 수행해야 합니다.

  1. 각 공인 하청 처리 업체와 서면 계약을 체결하여 데이터 보호 의무를 부과합니다. 데이터 보호 의무는 본질적으로 본 DPA에 따른 Brisk의 의무만큼 해당 데이터에 대한 보호 의무도 덜하지 않습니다.
  2. 각 공인 하청 처리 업체가 본 DPA에 따른 의무를 준수할 경우 그에 대한 책임은 계속 유지됩니다.
7.4

Brisk는 승인된 하위 처리업체에 제안된 변경 사항을 최소 14일 전에 고객에게 통지합니다.고객은 승인된 하위 처리업체에 제안된 변경에 이의를 제기하는 경우 (해당되는 경우 SCC 9 (a) 항에 따라 이의를 제기할 권리를 행사하는 경우 포함) Brisk가 고객에게 제안된 변경 사항을 고객에게 통지한 날로부터 7일 이내에 이의 제기에 대한 서면 통지를 Brisk에 제공해야 합니다 (an”이의 제기“).

7.5

고객이 이의를 제기하는 경우 Brisk와 고객은 선의로 협력하여 해당 이의 제기를 해결하기 위해 상호 수용 가능한 해결책을 찾아야 합니다.Brisk와 고객이 합리적인 기간 (30일을 초과하지 않는) 내에 상호 수용 가능한 해결에 도달하지 못하는 경우, Brisk는 고객에게 서면 통지를 제공하여 그러한 변경의 영향을 받는 서비스와 관련된 계약의 일부를 해지할 수 있습니다.

8.데이터 주체 권리 요청
8.1

Brisk는 처리자 또는 하청 처리자로서 Brisk가 처리한 해당 데이터와 관련하여 관련 데이터 보호법에 따른 권리를 주장하기 위해 데이터 주체로부터 Brisk 또는 승인된 하청 처리자가 받은 요청을 부당한 지체 없이 고객에게 알립니다 (a”데이터 주체 요청“).

8.2

Brisk와 고객 간의 컨트롤러 목적으로 Brisk가 해당 데이터를 처리하는 경우를 제외하고 고객은 데이터 주체의 요청에 응답하는 데 있어 단독 재량권을 갖습니다.Brisk는 고객의 사전 동의 없이는 데이터 주체의 요청에 응답하지 않습니다. 단, Brisk는 데이터 주체에게 요청이 고객에게 전달되었음을 알릴 수 있습니다.

8.3

Brisk는 고객이 관련 데이터 보호법에 따른 의무를 이행하여 해당 데이터와 관련된 데이터 주체의 요청에 응답하는 데 필요한 합당한 지원을 고객에게 제공합니다.

9.보안
9.1

Brisk는 무단 또는 불법 처리 및 해당 데이터의 우발적 손실, 파괴 또는 손상에 대한 보호를 포함하되 이에 국한되지 않는 해당 데이터의 보안을 보장하기 위해 설계된 적절한 기술 및 조직 데이터 보호 및 보안 조치를 구현하고 유지할 것입니다.

9.2

적절한 보안 수준을 평가할 때 Brisk는 처리의 특성, 범위, 상황 및 목적뿐만 아니라 특히 해당 데이터의 우발적 또는 불법적 파기, 손실, 변경, 무단 공개 또는 액세스로 인해 처리로 인해 발생하는 위험을 고려해야 합니다.

9.3

Brisk는 스케줄 2에 명시된 조치를 최소 기준으로 구현하고 유지할 것입니다.

10.정보 및 감사
10.1

고객은 적용 대상 데이터 처리와 관련하여 Brisk가 본 DPA를 준수하는지 감사할 수 있습니다.양 당사자는 이러한 모든 감사가 수행된다는 데 동의합니다.

  1. 해당 데이터 처리에 대한 관할권을 가진 감독 기관 또는 관련 데이터 보호법에 따라 더 자주 감사를 요구하는 경우를 제외하고 매년 초과해서는 안 됩니다.
  2. Brisk에 합리적인 서면 통지를 한 경우
  3. Brisk의 정상 업무 시간에만; 그리고
  4. Brisk의 비즈니스 또는 운영을 실질적으로 방해하지 않는 방식으로
10.2

10.3항에 따라 실시된 모든 감사와 관련하여 일부 텍스트

  1. 고객은 제3자 감사자를 고용하여 자신을 대신하여 감사를 수행할 수 있습니다. 단, Brisk가 제3자 감사자가 Brisk의 경쟁자인 경우 Brisk가 제3자 감사자의 참여에 대해 합리적으로 이의를 제기할 수 있습니다.
  2. Brisk는 당사자들이 감사의 범위와 시기를 서면으로 합의하지 않는 한 그러한 감사를 용이하게 할 필요가 없습니다.
10.3

고객은 감사 중에 발견된 규정 미준수에 대해 즉시 Brisk에 알려야 합니다.

10.4

감사 결과는 Brisk의 기밀 정보여야 합니다.

10.5

Brisk는 요청 시 고객에게 제공하거나 고객이 Brisk에 제출한 감사 요청에 대한 응답으로 다음 중 하나를 고객에게 제공할 수 있습니다.

  1. 데이터 보안 전문가의 감사를 받은 일반적으로 인정되는 인증 발급자 또는 공개적으로 인증된 감사 회사에서 발급한 데이터 보호 규정 준수 인증, 또는
  2. 산업 표준에 따른 기술 및 조직적 데이터 보안 조치의 구현을 합리적으로 입증하는 기타 문서
10.6

고객이 요청한 감사가 10.7항에 따라 Brisk가 제공한 문서 또는 인증서에 기재된 경우:

  1. 인증 또는 문서의 날짜가 고객의 감사 요청일로부터 십이 (12) 개월 이내여야 합니다.
  2. Brisk는 감사 대상 통제에 알려진 중대한 변화가 없음을 확인합니다.

고객은 관련 인증 또는 문서에서 다루는 제어 항목에 대한 물리적 감사를 수행하는 대신 해당 인증 또는 문서를 수락하는 데 동의합니다.

11.보안 사고
11.1

Brisk는 보안 사고를 알게 된 후 지체 없이 서면으로 고객에게 통지해야 합니다.

11.2

Brisk는 보안 사고를 억제, 조사 및 완화하기 위한 합리적인 조치를 취해야 하며, 보안 사고의 성격, 보안 사고를 완화 또는 억제하기 위해 취한 조치 및 조사 상태를 포함하되 이에 국한되지 않는 정보를 Brisk에 알려진 범위 내에서 또는 Brisk에 정보가 제공되는 대로 고객에게 보안 사고에 대한 정보를 적시에 보내야 합니다.

11.3

Brisk는 데이터 주체 또는 감독 기관에 대한 통지를 포함하여 해당 데이터 보호법에 따른 보안 사고와 관련된 고객 (또는 해당하는 경우 고객) 의 보안 사고에 대한 고객 (또는 해당하는 경우 고객) 의 의무에 대한 고객 (또는 해당하는 경우 고객) 의 조사에 대해 합당한 지원을 제공합니다.

11.4

본 제11항에 따른 보안 사고에 대한 Brisk의 통지 또는 대응은 Brisk가 보안 사고와 관련된 과실 또는 책임을 인정한 것으로 해석되지 않습니다.

12.기간, 삭제 및 반환
12.1

본 DPA는 발효일에 시작되며, 계약 해지에도 불구하고 Brisk가 본 DPA에 설명된 대로 모든 적용 대상 데이터를 삭제할 때까지 효력을 유지하며 자동으로 만료됩니다.

12.2

브리스크는 다음을 수행해야 합니다.

  1. 계약 만료 후 삼십 (30) 일 이내에 고객이 (필요에 따라 고객을 대신하여) 그렇게 하도록 요청한 경우 (”보존 기간“), 고객의 요청에 따라 일반적으로 사용되는 형식으로 모든 적용 데이터의 사본을 제공하거나 고객이 해당 적용 데이터를 다운로드할 수 있는 셀프 서비스 기능을 제공합니다.
  2. 보존 기간 만료 시, Brisk가 관련 법률을 준수하거나 법적 청구를 추구 또는 방어하기 위해 또는 컨트롤러 목적으로 보관해야 하는 관련 데이터를 제외하고 Brisk 또는 승인된 하위 처리자가 처리한 해당 데이터의 모든 사본을 삭제하십시오.
13.국제 송금
13.1

표준 계약 조항은 스케줄 3에 추가로 명시된 바와 같이 고객으로부터 Brisk로 해당 데이터를 전송하는 데 적용되며 본 DPA의 일부를 구성합니다.

13.2

양 당사자는 계약의 집행이 SCC 서명과 동일한 효력을 갖는다는 데 동의합니다.

스케줄 1: 처리 세부 정보
A. 당사자 목록
고객
고객
역할
데이터 익스포터 (컨트롤러)
데이터 임포터 (컨트롤러/프로세서)
Brisk에 통지를 받은 고객 계정의 관리자
양도와 관련된 활동
B. 처리 설명
데이터 주체
처리의 성격 및 목적
보존 기간
연락처 정보, 예: 이름, 이메일 주소, 교육 기관 이름.
없음
데이터 주체로부터 직접 수집.
계약 관리 및 당사자 간의 관계와 관련하여 계정 관리자와 의견을 교환하십시오.

계정 관리자의 기본 설정에 따라 프로모션 이메일을 보내십시오.

Brisk가 서비스를 개선하고 서비스의 오류를 수정할 수 있는 방법을 식별합니다.
계정 기본 설정 프로모션 메시지와 관련하여
데이터 주체로부터 직접 수집하거나 교육 기관에서 제공한 경우
관련 교육 기관을 대신하는 처리자.

다음 중 이전까지:

  • 계약의 해지; 및
  • 컨트롤러의 요청에 따라 또는 18개월 동안 활동이 없는 경우 데이터 주체가 보유한 서비스의 관련 계정을 폐쇄합니다.
계정 기본 설정 서비스 관련 메시지와 관련하여

계정 등급즉, 독립 교사가 서비스에서 프리미엄 계정을 사용하는지 무료 계정을 사용하는지 여부

질문, 의견 및 기타 서신 서비스와 관련하여 제출되었습니다.

가르치는 과목학생 학년 그룹 또는 성적.

콘텐츠 및 자료 서비스를 통해 자동으로 생성된 콘텐츠에 대한 수정 사항을 포함하여 서비스를 통해 생성됩니다.

웹 사이트 서비스가 활성화되는 것과 관련하여 방문했습니다.

피드백 서비스를 통해 생성된 콘텐츠와 관련하여

특징 및 기능성 서비스에 사용됩니다.
서비스를 통해 생성된 콘텐츠 및 자료, 또는 서비스에 제출된 프롬프트 또는 피드백에 포함되지 않는 한 해당 없음.
학교 계정의 교사
연락처 정보, 예: 이름, 이메일 주소, 교육 기관 이름.
없음
계약 기간 동안 그리고 계약 이후 6년 동안
데이터 주체의 요청에 따라 또는 18개월 동안 활동이 없는 경우 서비스에서 데이터 주체의 계정을 폐쇄한 후 2년까지
질문, 의견 및 기타 서신 서비스와 관련하여 제출되었습니다.
특징 및 기능성 서비스에 사용됩니다.
로그인을 용이하게 하고 로그인 문제를 해결하는 것을 포함하여 서비스의 특징과 기능에 대한 액세스 제공
최대 90일.
추천즉, 독립 교사가 서비스에 추천한 다른 교사의 수입니다.
데이터 주체로부터 직접 수집.
프리미엄 기능에 대한 보상 또는 프로모션 액세스 관리를 포함하여 Brisk의 추천 프로그램을 관리합니다.
컨트롤러
계약 기간 동안.
전문성 개발 과정 서비스를 통해 수행 및 완료되었습니다.
전문성 개발 과정 이수와 관련된 프리미엄 기능에 대한 액세스 권한 부여
독립 교사
연락처 정보, 예: 이름, 이메일 주소, 교육 기관 이름.
데이터 주체로부터 직접 수집.
계정 등급즉, 독립 교사가 서비스에서 프리미엄 계정을 사용하는지 무료 계정을 사용하는지 여부
계약 기간 동안 그리고 계약 이후 6년 동안
결제 정보예: 신용카드 또는 직불카드, 청구서 수신 주소
계정 기본 설정 서비스 관련 메시지 및 프로모션 메시지와 관련하여
질문, 의견 및 기타 서신 서비스와 관련하여 제출되었습니다.
가르치는 과목학생 학년 그룹 또는 성적.
계약 기간 동안.
콘텐츠 및 자료 서비스를 통해 자동으로 생성된 콘텐츠에 대한 수정 사항을 포함하여 서비스를 통해 생성됩니다.
계약 기간 동안.
이 정보는 집계되고 익명화된 형태로 저장됩니다.
서비스에 액세스하는 데 사용된 장치(예: IP 주소)
로그인 촉진, 로그인 문제 해결 및 로드 밸런싱을 포함하여 서비스의 특징과 기능에 대한 액세스 제공.
최대 90일.
재학생
연락처 정보(예: 액세스 권한을 부여한 교육 기관 또는 교사의 이름, 이메일 주소, 이름)
없음
고객이 제공합니다.
서비스의 개인화를 포함하여 서비스의 특징 및 기능에 대한 액세스 제공.
관련 교육 기관 또는 독립 교사를 대신하는 처리자.
학생이 서비스에 업로드한 작업 결과물 또는 상호 작용에 포함된 모든 민감한 개인 데이터.
Brisk에 통지를 받은 고객 계정의 관리자
Brisk에 통지를 받은 고객 계정의 관리자
데이터 주체로부터 직접 수집.
컨트롤러
최대 90일.
C. 관할 감독 기관

관할 감독 기관은 아일랜드 데이터 보호 위원입니다.

스케줄 2: 기술적 및 조직적 조치

소개

Brisk는 처리하는 개인 데이터를 우발적 손실 및 무단 액세스, 공개 또는 파괴로부터 보호하기 위해 정책, 절차, 지침 및 기술 및 물리적 통제를 조합하여 사용합니다.

거버넌스 및 정책

Brisk는 보안 정책 및 조치의 결정, 검토 및 구현을 담당하는 직원을 배정합니다.

활발한:

  • 보안 정책 및/또는 기타 관련 지침 및 문서에 구현한 보안 조치를 문서화했습니다.
  • 보안 조치 및 정책을 정기적으로 검토하여 보호 대상 데이터에 지속적으로 적절한지 확인합니다.

Brisk는 시스템 및 소프트웨어의 보안 구성을 설정하고 준수하며 프로젝트 시작 및 새로운 IT 시스템 개발 중에 보안 조치를 고려하도록 합니다.

보안 침해 대응

Brisk는 데이터 유출 사건을 해결하기 위해 개발된 침해 대응 계획을 가지고 있습니다.이 계획은 정기적으로 테스트되고 업데이트됩니다.

침입, 안티바이러스 및 안티맬웨어 방어

개인 데이터를 처리하는 데 사용되는 Brisk의 IT 시스템에는 업계 표준 방화벽, 바이러스 백신, 맬웨어 방지 및 침입 탐지 시스템을 비롯한 적절한 데이터 보안 소프트웨어가 설치되어 있습니다.

Brisk는 이벤트 로그를 수집, 유지 및 검토하여 의심스러운 활동을 식별합니다.

액세스 제어

Brisk는 다음을 포함하여 적절한 액세스 제어를 구현하여 개인 데이터에 대한 액세스를 제한합니다.

  • 관리자 액세스 권한 및 관리자 계정 사용을 제한합니다.
  • 운영 체제, 자산 또는 애플리케이션을 배포하기 전에 모든 기본 암호를 변경합니다.
  • IT 시스템에 액세스하기 위한 인증 및 권한 요구 (예: IT 시스템에 대한 액세스를 허용하기 전에 사용자에게 사용자 ID 및 암호를 입력하도록 요구)
  • IT 시스템에 대한 최소 권한 액세스를 보장하기 위한 조치
  • 개인 데이터 액세스 권한의 할당 및 철회를 통제하기 위한 적절한 절차예를 들어, 직원이 직장을 그만두거나 역할이 바뀌었을 때 IT 시스템에 대한 액세스 권한을 취소하기 위한 적절한 절차를 마련하는 것
  • 다단계 인증을 사용하여 Brisk 시스템의 데이터에 액세스합니다.
  • 유휴 상태인 경우 사용자 터미널의 자동 타임아웃 및 잠금;
  • 올바른 인증 및/또는 권한 부여 세부 정보를 입력하려는 시도가 여러 번 실패하면 IT 시스템에 대한 액세스가 차단됩니다.
  • IT 시스템에 대한 액세스 모니터링 및 로깅
  • IT 시스템의 데이터 또는 파일에 대한 수정 사항을 모니터링하고 기록합니다.

가용성 및 백업 개인 데이터

Brisk는 물리적 또는 기술적 사고 발생 시 주요 시스템과 데이터를 적시에 복원할 수 있도록 보장하는 문서화된 재해 복구 계획을 가지고 있습니다.이 계획은 정기적으로 테스트되고 업데이트됩니다.

Brisk는 정기적으로 IT 시스템에 정보를 백업하고 백업을 별도의 위치에 보관합니다.정보 백업은 정기적으로 테스트됩니다.

개인 데이터 세분화

활발한:

  • 네트워크 구성 요소 간의 액세스를 분리 및 제한하며, 적절한 경우 다양한 목적으로 수집 및 사용되는 개인 데이터를 별도로 처리 (저장, 수정, 삭제, 전송) 하기 위한 조치를 구현합니다.
  • 라이브 데이터를 시스템 테스트에 사용하지 않습니다.

IT 장비 폐기

활발한:

  • IT 시스템을 폐기하기 전에 모든 개인 데이터를 안전하게 제거하는 프로세스를 갖추고 있습니다.
  • 적절한 기술을 사용하여 장비에서 데이터를 제거합니다.

암호화

Brisk는 저장 중인 데이터를 AES-256 및 TLS 1.2 이상을 사용하여 전송 중인 데이터를 암호화합니다.

암호화 키는 암호화된 정보와 별도로 저장됩니다.

개인 데이터의 전송 또는 전송

Brisk는 전송 또는 전송 중에 개인 데이터를 보호하기 위해 다음과 같은 적절한 제어를 구현합니다.

  • 전송 중 암호화;
  • 전자적으로 전송되는 경우 개인 데이터를 기록합니다.

디바이스 강화

Brisk는 모든 가상 머신이 인터넷 보안 센터 (CIS) 벤치마크에 따라 강화되도록 합니다.

자산 및 소프트웨어 관리

Brisk는 관련 IT 자산의 소유자 목록과 함께 IT 자산 및 해당 자산에 저장된 데이터의 인벤토리를 유지 관리합니다.

활발한:

  • IT 자산의 허용 가능한 사용에 대한 규칙을 문서화하고 구현합니다.
  • 네트워크 수준 인증이 필요하며 클라이언트 인증서를 사용하여 시스템을 검증하고 인증합니다.
  • 운영 체제 및 소프트웨어를 위한 자동화된 패치 관리 도구 및 소프트웨어 업데이트 도구를 배포합니다.
  • 소프트웨어 취약점을 사전에 모니터링하고 주기 외 패치를 즉시 구현합니다.
  • 완전히 지원되는 웹 브라우저 및 이메일 클라이언트의 최신 버전만 사용할 수 있습니다.

Brisk는 다음을 포함하여 모든 API 키를 안전하게 저장합니다.

  • Brisk는 API 키를 환경 변수에 직접 저장합니다.
  • Brisk는 클라이언트 측에 API 키를 저장하지 않습니다.
  • Brisk는 온라인 코드 리포지토리에 API 키 자격 증명을 게시하지 않습니다 (비공개 여부에 관계없이). 그리고
  • Brisk는 API 키 관리 도구를 사용하여 대규모 개발 프로젝트의 자격 증명을 검색하고 관리합니다.

직원 교육 및 인식

Brisk는 직원 및 계약자와 체결한 계약 및 직원 핸드북에는 정보 보안과 관련된 직원의 책임이 명시되어 있습니다.

Brisk는 다음을 수행합니다.

  • 직무와 관련된 데이터 보안 및 개인 정보 보호 문제에 대한 정기적인 직원 교육 및 신입 직원이 역할을 시작하기 전에 적절한 교육을 받을 수 있도록 합니다 (온보딩 절차의 일부).
  • 민감한 개인 데이터에 접근할 수 있는 개인에 대한 적절한 선별 및 신원 조회.

Brisk는 고용 해고 또는 고용 변경 직전에 적용되는 정보 보안 책임과 해고/고용 변경 후에 적용되는 정보 보안 책임을 전달하고 이행하도록 보장합니다.

직원은 데이터 프라이버시 및 보안과 관련된 Brisk의 정책 및 절차 위반에 대해 징계 조치를 받을 수 있습니다.

서비스 제공업체 선정 및 서비스 커미션

Brisk는 서비스 공급자를 고용하기 전에 보안 요구 사항을 충족할 수 있는 서비스 제공자의 능력을 평가합니다.

Brisk는 서비스 제공자가 액세스할 수 있는 개인 데이터를 보호하고 Brisk의 지침에 따라 개인 데이터 사용을 제한하기 위해 적절한 보안 조치를 구현하도록 요구하는 계약을 서비스 제공자와 체결했습니다.

파트 2

데이터 주체 권리 요청 지원

Brisk는 다음을 포함하여 데이터 주체 권리 요청을 식별하고 처리하기 위한 적절한 정책과 조치를 구현했습니다.

  • Brisk는 고객을 대신하여 처리된 모든 개인 데이터를 신속하게 식별할 수 있도록 정확한 기록을 유지합니다. 그리고
  • 고객을 대신하여 Brisk가 처리한 개인 데이터의 백업은 삭제 및 수정 요청이 완전히 처리되도록 하기 위해 정기적으로, 어떤 경우에도 삼십 (30) 일마다 덮어쓰여집니다.
스케줄 3: 표준 계약 조항
1.전 망설이네요

제13항에 언급된 모든 양도와 관련하여 표준 계약 조항은 다음과 같이 작성되어야 합니다.

1.1

모듈 2 (컨트롤러와 프로세서), 또는 적절한 경우 모듈 3 (프로세서 대 프로세서) 의 SCC는 Brisk의 해당 데이터 처리에 적용됩니다.

1.2

표준 계약 조항 (도킹 조항) 의 7항은 적용되지 않습니다.

1.3

제9조 (a) 의 옵션 2 (일반 서면 승인) 가 적용되며, 명시되는 기간은 DPA 7.4항에 명시되어 있습니다.

1.4

표준 계약 조항 11 (a) 에 있는 옵션 (독립 분쟁 해결 기관)) 는 적용되지 않습니다.

1.5

표준 계약 조항의 제17항과 관련하여 (준거법), 양 당사자는 옵션 1이 적용되고 준거법이 아일랜드 법이라는 데 동의합니다.

1.6

표준 계약 조항 18에서 (포럼 및 관할권 선택), 양 당사자는 아일랜드 법원의 관할권에 복종합니다.

1.7

표준 계약 조항의 부록 I의 목적상, DPA의 스케줄 1에는 당사자에 관한 사양, 양도에 대한 설명 및 관할 감독 기관이 포함되어 있습니다.

1.8

표준 계약 조항의 부록 II의 목적상, DPA의 스케줄 2에는 기술적 및 조직적 조치가 포함되어 있습니다.

2.영국 부록
2.1

이 단락 2 (영국 부록) 는 다음과 같은 범위 내에서 고객 (데이터 수출자) 에서 Brisk (데이터 수입자) 로 해당 데이터를 전송하는 데 적용됩니다.

  1. 전송시 영국 데이터 보호법이 고객에게 적용됩니다. 또는
  2. 양도는 승인된 부록에 정의된 “차후 양도”입니다.
2.2

이 단락 2에서 사용된 바와 같이:

승인된 부록“은 2018년 S119A (1) 데이터 보호법에 따라 영국 정보 감독관이 발행하고 승인된 부록의 섹션 18에 따라 개정될 수 있으므로 2022년 2월 2일에 영국 의회에 제출한 템플릿 부록, 버전 B.1.0을 의미합니다.

영국 데이터 보호법“는 영국 GDPR 및 데이터 보호법 2018을 포함하여 영국에서 수시로 시행되는 데이터 보호, 개인 데이터 처리, 개인 정보 보호 및/또는 전자 통신과 관련된 모든 법률을 의미합니다.

2.3

승인된 부록은 2.1항에 언급된 모든 전송과 관련하여 본 DPA의 일부를 구성하며, 이 DPA의 실행은 승인된 부록에 서명하는 것과 동일한 효력을 갖습니다.

2.4

승인된 부록은 다음과 같이 완성된 것으로 간주됩니다.일부 텍스트

  1. “부록 EU SCC”란 제13항 및 본 스케줄 3에 따라 본 계약에 포함된 SCC를 지칭한다.
  2. 승인된 부록의 표 1은 스케줄 1의 A항에 있는 세부 정보와 함께 작성되어야 합니다.
  3. “부록 정보”는 스케줄 1 및 스케줄 2에 명시된 정보를 참조해야 합니다.
  4. 승인된 부록의 표 4의 목적상, Brisk (데이터 수입자) 는 승인된 부록의 섹션‎19 에 따라 승인된 부록이 적용되는 범위 내에서 본 DPA를 종료할 수 있습니다.
  5. 승인된 부록의 제16조는 적용되지 않습니다.
3.스위스 부록
3.1

이 스위스 부록은 스위스 데이터 보호법의 적용을 받는 모든 해당 데이터 처리에 적용됩니다.

3.2

본 부록의 해석

  1. 이 부록이 표준 계약 조항에 정의된 용어를 사용하는 경우, 해당 용어는 표준 계약 조항과 동일한 의미를 갖습니다.또한 다음 용어의 의미는 다음과 같습니다.

    추가“는 조항에 대한 이 부록을 의미합니다.
    조항“는 제13항에 따라 그리고 본 스케줄 3에 추가로 명시된 바와 같이 본 DPA에 포함되는 표준 계약 조항을 의미합니다.
    FDPIC“는 연방 데이터 보호 및 정보 감독관을 의미합니다.
  1. 이 부록은 스위스 데이터 보호법과 일치하는 방식으로 읽고 해석하여 FADP 제16조 (2) (d) 항에 따른 당사자의 의무를 이행해야 합니다.
  2. 이 부록은 스위스 데이터 보호법에 규정된 권리 및 의무와 상충되는 방식으로 해석되지 않습니다.
  3. 법률 (또는 특정 법률 조항) 에 대한 언급은 시간이 지남에 따라 변경될 수 있는 해당 법률 (또는 특정 조항) 을 의미합니다.여기에는 본 스위스 부록이 체결된 후 해당 법률 (또는 특정 조항) 이 통합, 재제정 및/또는 대체된 경우가 포함됩니다.
  4. 스위스 데이터 보호법의 적용을 받는 개인 데이터 처리와 관련하여, 본 부록은 필요한 범위 내에서 조항을 수정 및 보완하여 운영되도록 합니다.일부 텍스트
    1. 데이터를 내보내는 사람이 데이터를 가져오는 사람에게 전송하는 경우, 전송 시 데이터 수출자의 처리에 스위스 데이터 보호법이 적용되는 범위 내에서, 그리고
    2. FADP 제16조 (2) (d) 항의 목적상 FDPIC가 승인, 발행 또는 인정한 표준 데이터 보호 조항에 따릅니다.

3.3

계층

본 부록이 합의되거나 체결된 시점에 존재했던 조항의 조항 또는 당사자 간의 기타 관련 계약 간에 충돌 또는 불일치가 있는 경우, 데이터 주체를 최대한 보호하는 조항이 우선합니다.

3.4

조항에 대한 변경

  1. 데이터 수출자의 개인 데이터 처리가 스위스 데이터 보호법의 단독 적용을 받거나, 본 조항에 따라 데이터를 내보내는 사람으로부터 데이터 수입자에게 개인 데이터를 전송하는 것이 “제3의 전송" (본 조항 3.3 (a) 의 나머지 부분에 의해 수정된 조항에 따라 정의됨) 에 해당하는 경우, 조항은 다음과 같이 수정됩니다.
    1. “조항” 또는 “SCC”에 대한 언급은 SCC를 개정하는 스위스 부록을 의미합니다.
    2. 제6조 양도에 대한 설명은 다음으로 대체됩니다.
    3. “전송에 대한 세부 정보, 특히 전송되는 개인 데이터의 범주 및 전송 목적은 전송 시 데이터 수출자의 처리에 스위스 데이터 보호법이 적용되는 본 DPA의 스케줄 1에 명시된 내용입니다.”
    4. “규정 (EU) 2016/679" 또는 “해당 규정” 또는 “" GDPR”에 대한 언급은 “스위스 데이터 보호법”으로 대체되며, “규정 (EU) 2016/679" 또는 “GDPR”의 특정 조항에 대한 언급은 해당되는 범위 내에서 스위스 데이터 보호법의 해당 조항 또는 섹션으로 대체됩니다.
    5. 규정 (EU) 2018/1725에 대한 언급이 삭제되었습니다.
    6. “유럽 연합”, “연합”, “EU” 및 “EU 회원국”에 대한 언급은 모두 “스위스”로 대체됩니다.
    7. 부록 I의 제13조 (a) 항 및 파트 C는 사용되지 않습니다. “관할 감독 기관”은 FDPIC입니다.
    8. 제17항은 “이 조항은 스위스 법률의 적용을 받습니다”라는 내용으로 대체됩니다.
    9. 제18항은 다음과 같이 대체됩니다. “스위스 데이터 보호법과 관련된 이 조항으로 인해 발생하는 모든 분쟁은 스위스 법원에서 해결됩니다.또한 데이터 주체는 데이터를 내보내는 사람 및/또는 데이터 수입자를 상대로 상주 거주지가 있는 스위스 법원에 법적 절차를 제기할 수 있습니다.양 당사자는 해당 법원의 관할권에 복종하기로 동의합니다.”
스케줄 4: 승인된 하위 처리업체
하위 프로세서
설명
데이터독 주식회사
실시간 데이터 인사이트 및 시각화를 통해 성능을 추적하고, 문제를 감지하고, 사용자 경험을 개선하는 데 도움이 되는 사이트 안정성 및 모니터링 도구
Brisk에 전원을 공급하고 백업하는 데이터베이스 및 서버를 호스팅합니다.
Kepingan Salju Inc.
이전에 Snowflake에서 캡처한 데이터에 대해 다양한 데이터 보고서를 실행하여 도구를 개선할 수 있도록 합니다.
구글 LLC (알파벳 주식회사)
Brisk 사용자를 위한 싱글 사인온 (SSO) 인증을 제공하고, 학생 수업 및 교사 제작 콘텐츠를 호스팅합니다.
세그먼트 (트윌리오 주식회사)
개발자가 사용자가 Brisk와 상호 작용하는 방식을 이해하는 데 도움이 되는 로깅 및 분석 도구
오픈AI, Inc.
AWS 베드록에서 실행되는 인트로픽
인공 지능 서비스
Sentry (Perangkat Lunak Fungsional, Inc.)
지피티제로 주식회사
AI 생성 텍스트를 탐지하는 데 도움이 되는 텍스트 분석 도구
묘목
문법 및 스타일 제안을 제공하여 글쓰기 능력을 향상시키는 데 도움이 되는 텍스트 분석 도구
영업
파트너십 계약, 연락처 및 기타 조정 정보를 보관하고 추적합니다.