데이터 처리 부록​

Last updated: May 7, 2024

이 데이터 처리 추가 조항(” DPA “)은 델라웨어 주 법인인 WEIGHTS AND BIASES, INC.(주소: 400 ALABAMA STREET, SUITE 202, SAN FRANCISCO, CA 94110,W&B “)와 고객이 수락을 나타내는 상자를 클릭하거나 W&B 자산을 통해 처리를 위해 개인 데이터를 W&B로 전송하거나 다른 방식으로 이 DPA 수락을 긍정적으로 표시하는 고객(아래 정의) 사이에 적용됩니다. 이를 수행함으로써 귀하는: (A) 귀하 자신 또는 귀하가 행동하는 조직, 회사 또는 기타 법적 주체(각각 “고객 )를 대신하여 이 DPA(명확성을 위해 표준 계약 조항 포함)에 동의하고 (B) 귀하가 고객 및 그 계열사를 이 DPA에 구속할 권한이 있음을 진술합니다. 그러한 권한이 없거나 이 DPA에 동의하지 않는 경우 개인 데이터를 W&B에 직접 또는 간접적으로 전송할 수 없습니다. W&B는 자체 재량에 따라 이 DPA의 조건을 수정 또는 업데이트할 권리를 보유하며, 그 발효일은 (I) 해당 업데이트 또는 수정일로부터 30일 후 및 (II) 고객의 개인 데이터 지속적 이전 중 빠른 날짜가 됩니다.

이 DPA는 W&B의 주 서비스 계약( https://wandb.ai/site/terms 에서 제공 )의 일부를 구성합니다. 단, W&B와 고객이 서비스 사용을 위한 별도의 서면 계약을 체결한 경우에는 해당 다른 계약이 지배합니다(” 계약 “). 이 계약에 따라 W&B는 고객에게 W&B 자산을 제공하며, 여기에는 해당 데이터 보호법에 따른 개인 데이터 처리가 포함됩니다. 이 DPA의 목적은 W&B가 고객을 대신하여 개인 데이터를 처리하는 조건을 명시하는 것입니다.

본 DPA는 본문과 일정 1~4로 구성되어 있습니다. 본 DPA 승인에는 표준 계약 조항(아래 정의) 및 부록(아래 일정 2 참조) 승인이 포함됩니다.

1. 정의

이 DPA에서 사용되지만 정의되지 않은 대문자 용어는 계약에 명시된 의미를 갖습니다. 컨트롤러, 데이터 주체, 프로세서 및 감독 기관이라는 용어는 해당 데이터 보호법에 명시된 의미를 갖습니다.

  1. 해당 데이터 보호법 “은 계약에 따른 개인 데이터 처리에 적용되는 모든 관할권의 개인정보 보호, 데이터 보호 및 데이터 보안법과 규정을 의미하며, 여기에는 유럽 데이터 보호법, 영국 GDPR 및 CCPA가 포함되지만 이에 국한되지 않습니다.
  2. CCPA ”는 2018년 캘리포니아 소비자 개인정보 보호법 및 이에 따라 공포된 모든 규정을 의미하며, 각각 수시로 개정되며, 여기에는 2020년 캘리포니아 개인정보 보호권리법 및 이에 따라 공포된 모든 규정이 포함됩니다. 
  3. EEA ”는 유럽 경제 지역을 의미합니다. 
  4. 유럽 데이터 보호법 ”이란 GDPR 및 EEA와 유럽 연합의 기타 데이터 보호법과 규정, 그리고 이들 각각의 회원국을 의미하며, 이는 계약에 따른 개인 데이터 처리에 적용되는 범위 내에서 적용됩니다.
  5. GDPR ”은 개인 데이터 처리와 해당 데이터의 자유로운 이동에 관한 자연인의 보호에 관한 2016년 4월 27일 유럽 의회 및 위원회 규정(EU) 2016/679(일반 데이터 보호 규정)를 의미하며 지침 95/46/EC를 폐지합니다. 
  6. 정보 보안 사고 “는 회사의 보안에 대한 확인된 위반으로 인해 회사가 소유, 보관 또는 관리하는 개인 데이터의 우발적 또는 불법적 파괴, 손실, 변경, 무단 공개 또는 액세스가 발생하는 것을 의미합니다. 정보 보안 사고에는 로그인 시도 실패, ping, 포트 스캔, 서비스 거부 공격 또는 방화벽이나 네트워크 시스템에 대한 기타 네트워크 공격을 포함하여 개인 데이터의 보안을 손상시키지 않는 실패한 시도 또는 활동은 포함되지 않습니다. 
  7. 개인 데이터 “란 적용 가능한 데이터 보호법에 정의된 “개인 데이터”, “개인 정보” 또는 “개인 식별 정보” 또는 이에 따라 규제되는 유사한 성격의 정보를 구성하는 고객 데이터를 의미하며, 이러한 데이터는 전자 데이터 및 고객이 서비스에 제출하거나 고객을 위해 제출한 정보입니다. 
  8. 공공 기관 “이란 사법 기관을 포함한 정부 기관 또는 법 집행 기관을 의미합니다. 
  9. 처리 ” 또는 ” 프로세스 “는 수집, 기록, 구성, 구조화, 저장, 각색 또는 변경, 검색, 참조, 사용, 전송, 배포 또는 기타 방법으로 공개, 정렬 또는 결합, 제한, 삭제 또는 파기 등 자동화된 수단을 사용하든 사용하지 않든 개인 데이터 또는 개인 데이터 집합에 대해 수행되는 모든 작업 또는 작업 집합을 의미합니다. 
  10. 보안 조치 “는 개인 데이터의 보안 및 무결성을 보호하고 정보 보안 사고를 방지하기 위해 설계된 행정적, 기술적 및 물리적 보호 장치로서 구현 및 유지되는 회사의 보안 조치입니다. 이는 여기에 첨부된 제2부속서 III에 자세히 설명되어 있으며 해당 데이터 보호법에서 요구하는 기타 조치입니다. 
  11. 표준 계약 조항 “이란 유럽 의회 및 유럽 위원회가 2021년 6월 4일 시행 결정(EU) 2021/914에서 승인한 이사회 규정(EU) 2016/679에 따라 개인 데이터를 제3국으로 전송하기 위한 표준 계약 조항을 의미하며, 현재 여기에서 확인할 수 있습니다: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj.
  12. 하위 프로세서 ” 또는 ” 하위 프로세서 “는 회사가 서비스와 관련하여 개인 데이터를 처리하기 위해 고용하는 모든 제3자 프로세서를 의미합니다. 
  13. 영국 GDPR “은 킬링 일정인 제21조에 의해 보완된 2018년 영국 데이터 보호법을 의미합니다.

2. DPA의 기간 및 범위

이 DPA는 계약 만료 또는 종료에도 불구하고 회사가 개인 데이터를 처리하는 한 유효합니다. 이 DPA의 일정 1 및 2는 유럽 데이터 보호법에 따른 처리에만 적용됩니다. 이 DPA의 일정 3은 영국 GDPR에 따른 처리에만 적용됩니다. 이 DPA의 일정 4는 고객이 해당 처리와 관련하여 “사업체”(CCPA에서 정의한 대로)인 범위 내에서 CCPA에 따른 처리에만 적용됩니다.

3. 고객 지침

회사는 고객이 회사에 지시한 사항에 따라서만 개인 데이터를 처리합니다. 이 DPA는 이러한 지시를 완전히 표현한 것이며, 고객의 추가 지시는 양 당사자가 서명한 이 DPA의 개정에 따라서만 회사에 구속력을 가집니다. 고객은 회사가 서비스를 통해 계약에 따라 허가된 대로 개인 데이터를 처리하도록 지시합니다. 회사는 다음 사항을 고객에게 즉시 알려야 합니다. (a) 회사의 판단에 따라 고객의 지시가 적용 가능한 데이터 보호법을 위반하는 경우 (b) 회사가 개인 데이터 처리에 대한 고객의 지시를 따를 수 없는 경우 (c) 회사가 고객 지시 또는 이 DPA의 조건 또는 요구 사항에 반하는 적용 가능한 데이터 보호법의 변경을 받는다고 믿을 만한 이유가 있는 경우.

4. 개인정보의 보안

  1. 회사 보안 조치 . 회사는 업데이트된 조치가 개인 데이터의 전반적인 보호를 실질적으로 감소시키지 않는 한 수시로 보안 조치를 업데이트할 수 있습니다.
  2. 정보 보안 사고 . 회사는 회사가 알게 된 정보 보안 사고에 대해 지체 없이 고객에게 통지합니다. 이러한 통지에는 정보 보안 사고에 대한 자세한 내용, 잠재적 위험을 완화하기 위해 취한 조치 및 회사가 고객에게 정보 보안 사고를 해결하기 위해 취하도록 권장하는 조치가 설명됩니다. 회사가 정보 보안 사고를 통지하거나 대응한다고 해서 회사가 정보 보안 사고에 대한 잘못이나 책임을 인정한 것으로 해석되지 않습니다.
  3. 규정 준수 및 정보보호영향평가(DPIA) 감사.

    1. 고객은 달력 연도당 최대 한 번, 그리고 유럽 데이터 보호법에서 요구하는 경우를 포함하여 고객의 감독 기관에서 의무화하는 경우를 포함하여 고객이 단독 비용으로 최소 15일 전에 서면으로 통지하여 회사가 이 DPA에 따른 의무를 준수하는지 감사할 수 있습니다. 이러한 감사는 회사의 주요 사업장에서 정규 영업 시간 동안 수행해야 하며 회사의 사업 활동을 부당하게 방해해서는 안 됩니다.
    2. 회사는 고객 또는 고객의 감독 기관에 감사를 실시하는 데 합리적으로 필요한 정보와 지원을 제공하여 각 감사에 기여합니다. 제3자가 감사를 실시하는 경우 회사는 감사자가 회사의 합리적인 의견에 따라 독립적이지 않거나 회사의 경쟁자이거나 그렇지 않으면 명백히 부적합한 경우 감사자에게 이의를 제기할 수 있습니다. 회사가 이러한 이의를 제기하면 고객은 다른 감사자를 임명하거나 직접 감사를 실시해야 합니다.
    3. 요청된 감사에서 평가될 통제 또는 조치가 자격을 갖춘 제3자 감사자가 고객의 감사 요청일로부터 12(12)개월 이내에 수행한 회사 SOC 2 유형 2, ISO, NIST 또는 이와 유사한 감사 보고서에 포함되어 있고 회사가 해당 보고서 날짜 이후 감사된 통제에 알려진 실질적인 변경 사항이 없음을 확인한 경우, 고객은 해당 통제 또는 조치에 대한 감사를 요청하는 대신 해당 보고서를 수락하는 데 동의합니다.
    4. 고객은 감사 과정에서 발견된 모든 불이행 사항을 회사에 즉시 통지하고, 유럽 데이터 보호법에 의해 금지되거나 감독 기관의 지시가 없는 한, 이 섹션 4(c)에 따른 모든 감사와 관련하여 생성된 모든 감사 보고서를 회사에 제공해야 합니다. 고객은 고객의 규제 감사 요구 사항을 충족하거나 이 DPA 요구 사항을 준수하는지 확인하는 목적으로만 감사 보고서를 사용할 수 있습니다.
    5. 고객은 이 섹션 4(c)에 따른 감사 또는 검사와 관련하여 회사 및 제3자가 소비한 모든 시간을 회사의 당시 전문 서비스 요금으로 회사에 상환해야 하며, 이는 고객이 요청하면 제공됩니다. 명확히 하자면, 고객은 그러한 감사를 실행하기 위해 고객이 임명한 감사자가 청구하는 모든 수수료에 대해 책임을 져야 합니다.
  4. 데이터 보호 영향 평가(DPIA) . 고객의 서면 요청에 따라 회사는 해당 데이터 보호법에 따라 고객의 서비스 사용과 관련된 데이터 보호 영향 평가를 수행하는 데 필요한 합리적인 협조와 지원을 고객에게 제공합니다. 이는 고객이 다른 방법으로 관련 정보에 액세스할 수 없는 범위 내에서, 그리고 해당 정보가 회사에서 사용할 수 있는 범위 내에서 제공됩니다.

5. 고객의 책임

  1. 고객 의무 . 고객은 개인 데이터의 정확성, 품질 및 합법성과 개인 데이터를 취득한 수단에 대한 전적인 책임을 집니다. 고객은 특히 해당 데이터 보호법에 따라 적용되는 범위 내에서 개인 데이터의 판매 또는 기타 공개를 거부한 사람을 포함하여 모든 데이터 주체의 권리를 침해하지 않는 서비스 사용을 인정하고 동의합니다. 계약에 따른 고객 의무의 제한 없이 고객은 다음을 수행합니다. (a) 고객은 서비스 사용에 대한 전적인 책임이 있음에 동의합니다. 여기에는 (1) 개인 데이터에 대한 위험에 적합한 수준의 보안을 보장하기 위해 서비스를 적절히 사용하는 것, (2) 고객이 서비스에 액세스하는 데 사용하는 계정 인증 자격 증명, 시스템 및 장치의 보안, (3) 회사가 서비스를 제공하는 데 사용하는 고객의 시스템 및 장치의 보안, (4) 개인 데이터의 백업이 포함됩니다. (b) 고객이 처리자인 경우 최종 통제자가 그렇게 하도록 보장하여 개인 데이터가 관련된 개인 및 회사가 계약에서 명시한 대로 개인 데이터를 처리하도록 요구하는 모든 기타 당사자에게 모든 통지를 제공하고 모든 동의를 얻었습니다.
  2. 금지된 데이터 . 고객은 회사의 사전 서면 동의 없이는 고객 데이터에 사회보장번호 또는 기타 정부 발급 식별 번호, 건강보험 양도성 및 책임법(HIPAA)에 따른 보호된 건강 정보 또는 개인의 병력, 정신적 또는 신체적 상태, 의료 전문가의 치료 또는 진단에 대한 기타 정보, 건강보험 정보, 생체 인식 정보, 온라인 계정의 비밀번호, 모든 금융 계좌의 자격 증명, 세무 신고 데이터, 신용 보고서 또는 소비자 보고서, 지불 카드 산업 데이터 보안 표준에 따른 지불 카드 정보, Gramm-Leach-Bliley 법, 공정 신용 보고법 또는 이러한 법률에 따라 공포된 규정에 따른 정보, 16세 미만 아동에 대한 모든 정보를 포함하되 이에 국한되지 않는 아동의 개인 데이터를 규정하는 해당 데이터 보호법에 따른 제한을 받는 정보 또는 GDPR에 정의된 특수 데이터 범주에 속하는 정보가 포함되지 않음을 회사에 진술하고 보증합니다.

6. 법률 및 데이터 주체 권리 준수

  1. 법률 준수 . 각 당사자는 모든 해당 데이터 보호법을 준수합니다. 특히, 고객은 통제자(또는 통제자를 대신하여)로서의 의무를 준수하고 회사는 처리자로서의 의무를 준수합니다.
  2. 개인 데이터 공개 및 정부 요청 . 회사는 다음을 제외하고 공공 기관을 포함한 제3자에게 개인 데이터를 공개하지 않습니다. (i) 이 DPA를 포함한 계약에 따라 달리 허용되는 경우; 또는 (ii) 유효하고/또는 구속력 있는 공공 기관 법원 명령(예: 법 집행 소환장)을 포함하여 해당 데이터 보호법을 준수하는 데 필요한 경우. 회사가 공공 기관으로부터 개인 데이터에 대한 접근 또는 공개를 요청하는 구속력 있는 명령을 받으면 회사는 법적으로 금지되지 않는 한 고객에게 요청을 통지합니다.
  3. 데이터 주체 요청 지원 . 회사는 (개인 데이터 처리의 특성을 고려하여) 고객이 적용 가능한 데이터 보호법에 따라 의무를 이행하고 데이터 주체가 적용 가능한 데이터 보호법에 따라 권리를 행사하려는 요청을 이행하는 데 합리적으로 필요한 지원을 고객에게 제공합니다(” 데이터 주체 요청 “). 적용 가능한 데이터 보호법에 따라 허용되는 경우, 고객은 그러한 지원에 대해 회사의 당시 전문 서비스 요금으로 보상하며, 이는 요청 시 고객에게 제공됩니다.
  4. 고객의 요청에 대한 책임 . 회사는 고객이 직접 응답할 수 있도록 회사가 데이터 주체 요청을 리디렉션하도록 허가한 경우를 제외하고는 데이터 주체 요청에 직접 응답하지 않습니다. 회사가 데이터 주체 요청을 받으면 회사는 데이터 주체에게 요청을 고객에게 제출하도록 알리고 고객은 요청에 응답할 책임이 있습니다.

7. 유럽 및 영국 데이터 보호법의 특정 조항, 법률의 변경.

  1. GDPR . 회사는 회사의 서비스 제공에 직접 적용되는 GDPR에 따라 개인 데이터를 처리하며, 본 계약의 일정 1 및 2에 명시된 대로 처리합니다.
  2. 영국 GDPR . 회사는 회사의 서비스 제공에 직접 적용되는 영국 GDPR에 따라 개인 데이터를 처리하고 여기에 첨부된 일정 3에 명시된 대로 처리합니다.

8. 하위 프로세서

  1. 하위 프로세서 참여에 대한 동의 . 고객은 다음 하위 프로세서가 개인 데이터를 처리하도록 허가합니다: (i) 회사의 계열사; 및 (ii) 여기에 첨부된 일정 2 부록 III에 명시된 하위 프로세서(여기에서도 확인 가능: https://security.wandb.ai/?itemUid=e3fae2ca-94a9-416b-b577-5c90e382df57 )는 회사가 수시로 업데이트하거나 회사가 수시로 고객에게 제공하는 기타 웹사이트 주소(” 하위 프로세서 사이트 “)입니다.
  2. 하청업체 참여 요건 . 하청업체를 참여시킬 때 회사는 해당 하청업체와 서면 계약을 체결하며, 여기에는 해당 하청업체가 제공하는 서비스의 특성에 적용되는 범위 내에서 개인 데이터에 관한 본 DPA에 명시된 것보다 덜 보호적이지 않은 데이터 보호 의무가 포함됩니다. 회사는 하청업체에 하청된 계약에 따른 모든 의무, 하청업체 또는 이와 관련된 행위 및 부작위에 대해 책임을 져야 합니다.
  3. 하위 프로세서 변경. 회사가 계약 발효일 이후에 새로운 하위 프로세서를 고용하는 경우 회사는 하위 프로세서 사이트(해당 하위 프로세서의 이름 및 위치와 수행할 활동 포함)를 업데이트합니다. 이 섹션 8(c)는 GDPR과 관련하여 적용되지 않지만 대신 여기에 있는 일정 1의 섹션 4(g) 및 4(h)에 명시된 표준 계약 조항의 요구 사항으로 대체됩니다.
  4. 하위 프로세서 변경에 대한 이의 제기 기회 . 고객이 개인 데이터 보호와 관련된 합리적인 근거로 회사에 대한 서면 통지에 대한 이러한 참여에 이의를 제기하는 경우, 고객과 회사는 이러한 이의를 해결하기 위한 상호 수용 가능한 해결책을 찾기 위해 선의로 협력합니다. 당사자가 합리적인 기간 내에 상호 수용 가능한 해결책에 도달하지 못하는 경우, 고객은 유일하고 배타적인 구제책으로 회사에 서면 통지를 제공하여 계약을 해지할 수 있습니다.

9. 개인정보의 반환 또는 삭제

고객의 서면 요청 시 또는 계약 종료 또는 만료 시 회사는 계약에 따라 개인 데이터를 삭제하거나 반환합니다. 이 요구 사항은 회사가 관련 법률에 따라 일부 또는 모든 개인 데이터를 보관해야 하는 경우 또는 회사가 백업 시스템에 보관한 개인 데이터에는 적용되지 않으며, 개인 데이터는 회사가 안전하게 격리하고 추가 처리로부터 보호하고 궁극적으로 회사의 삭제 정책에 따라 삭제해야 합니다. 계약 종료 또는 만료 후 고객은 회사가 회사의 표준 정책에 따라 소유 또는 관리하는 모든 개인 데이터를 자동으로 삭제할 수 있음을 인정하고 동의합니다.

10. 기타

DPA에서 명시적으로 수정한 경우를 제외하고, 계약의 조건은 완전한 효력을 유지합니다. 이 DPA와 계약의 다른 조건 사이에 충돌이나 불일치가 있는 경우, 이 DPA가 적용됩니다. 계약 또는 이와 관련하여 작성된 주문서에 상반되는 내용이 있더라도, 당사자는 회사의 개인 데이터 접근이 계약과 관련하여 당사자가 교환한 대가의 일부가 아니라는 사실을 인정하고 동의합니다. 계약에 상반되는 내용이 있더라도, 이 DPA에 따라 회사가 고객에게 제공하도록 요구하거나 허용하는 모든 통지는 다음과 같이 제공될 수 있습니다. (a) 계약의 통지 조항에 따라; (b) 고객과 회사의 주요 연락처로; 또는 (c) 서비스 관련 커뮤니케이션 또는 알림을 제공하기 위해 고객이 제공한 이메일로. 고객은 이러한 이메일 주소가 유효한지 확인하는 전적인 책임이 있습니다.

별표 1 - 표준 계약 조항 데이터 전송을 위한 전송 메커니즘

1. 정의

이 일정 1 및 2의 목적을 위해 이러한 용어는 다음과 같이 정의됩니다.

  1. EU C-to-P 양도 조항 “은 모듈 2(통제자-처리자)를 참조하는 범위 내에서 표준 계약 조항 섹션 I, II, III 및 IV(해당되는 경우)를 의미합니다.
  2. EU P-to-P 전송 조항 “이란 모듈 3(처리자 간)을 참조하는 범위 내에서 표준 계약 조항 섹션 I, II, III 및 IV(해당되는 경우)를 의미합니다.

2. 국제 이체 메커니즘

  1. EU C-to-P 전송 조항 . 고객 및/또는 그 계열사가 개인 데이터의 통제자이자 데이터 수출자이고 회사가 해당 개인 데이터에 대한 처리자이자 데이터 수입자인 경우, 당사자는 일정 1의 추가 조건에 따라 EU C-to-P 전송 조항을 준수해야 합니다. 및/또는
  2. EU P-to-P 전송 조항 . 고객 및/또는 그 계열사가 통제자를 대신하여 행동하는 처리자이자 개인 데이터의 데이터 수출자이고 회사가 해당 개인 데이터에 대한 처리자이자 데이터 수입자인 경우, 당사자는 일정 1의 추가 조건에 따라 EU P-to-P 전송 조항의 조건을 준수해야 합니다. 서비스를 수행하는 동안 GDPR 또는 유럽 데이터 보호법에 따라 개인의 보호 또는 개인 정보 보호와 관련된 기타 법률의 적용을 받는 개인 데이터가 유럽 데이터 보호법의 의미 내에서 적절한 수준의 데이터 보호를 보장하지 않는 국가로 전송되는 경우, 아래에 나열된 전송 메커니즘이 이러한 전송에 적용되며 이러한 전송이 유럽 데이터 보호법의 적용을 받는 범위 내에서 당사자가 직접 시행할 수 있습니다.

3. 역할

EU C-to-P 전송 조항 및 EU P-to-P 전송 조항의 목적을 위해 고객은 데이터 수출자이고 회사는 데이터 수입자이며 당사자는 다음에 동의합니다. 제휴사가 개인 데이터 전송을 위해 EU C-to-P 전송 조항 또는 EU P-to-P 전송 조항에 의존하는 경우 및 그 범위 내에서 이 일정에 있는 고객에 대한 모든 참조에는 해당 제휴사가 포함됩니다. 이 일정 1에 EU C-to-P 전송 조항 또는 EU P-to-P 전송 조항이 명시적으로 언급되지 않은 경우 두 조항 모두에 적용됩니다.

4. 표준 계약 조항, 운영 조항 및 추가 조건

  1. 표준 계약 조항에 대한 참조 . 표준 계약 조항에 포함된 관련 조항은 참조로 통합되어 있으며 이 DPA의 필수적인 부분입니다. 표준 계약 조항의 부록 목적을 위해 필요한 정보는 일정 2에 명시되어 있습니다.
  2. 도킹 조항 . 조항 7에 따른 옵션은 적용되지 않습니다.
  3. 지침 . 이 DPA 및 계약은 개인 데이터 처리를 위한 회사와의 계약에 서명할 당시 고객의 완전하고 최종적인 문서화된 지침입니다. 추가 또는 대체 지침은 이 DPA 및 계약의 조건과 일치해야 합니다. 조항 8.1(a)의 목적을 위해, 개인 데이터를 처리하기 위한 고객의 지침에는 서비스 수행을 목적으로 EEA 외부에 있는 제3자에게의 후속 전송이 포함됩니다.
  4. 삭제 인증 . 당사자들은 표준 계약 조항 8.5 및 16(d)에 설명된 개인 데이터 삭제 인증이 고객의 서면 요청에 의해서만 회사에서 고객에게 제공되어야 한다는 데 동의합니다.
  5. 처리 보안. 조항 8.6(a)의 목적을 위해, 고객은 여기에 명시된 기술적 및 조직적 조치가 고객의 요구 사항을 충족하는지 여부를 독립적으로 판단할 전적인 책임이 있으며, (최첨단 기술, 구현 비용, 개인 데이터 처리의 특성, 범위, 맥락 및 목적과 개인에 대한 위험을 고려하여) 회사가 구현하고 유지하는 보안 조치 및 정책이 개인 데이터와 관련된 위험에 적합한 수준의 보안을 제공한다는 데 동의합니다. 조항 8.6(c)의 목적을 위해, 개인 데이터 침해(즉, 정보 보안 사고)는 이 DPA의 섹션 4(b)에 따라 처리됩니다.
  6. SCC 감사 . 당사자들은 표준 계약 조항 8.9항에 설명된 감사가 이 DPA의 섹션 4(c)에 따라 수행되어야 한다는 데 동의합니다.
  7. 하위 프로세서 사용에 대한 일반 승인 . 조항 9의 옵션 2가 적용됩니다. 데이터 수입자는 부록 III(아래 일정 2 참조)에 명시된 하위 프로세서 참여에 대한 데이터 수출자의 일반 승인을 받습니다. 데이터 수입자는 하위 프로세서 추가 또는 교체를 통해 해당 목록에 대한 의도된 변경 사항을 데이터 수출자에게 서면으로 알려야 합니다. 데이터 수입자는 데이터 수출자가 이의를 제기할 권리를 행사할 수 있도록 필요한 정보를 데이터 수출자에게 제공해야 합니다. 회사가 서비스 제공과 관련하여 하위 프로세서와 EU P-to-P 전송 조항을 체결하는 경우, 고객은 회사 및 회사 계열사에게 서비스 제공에 참여하는 하위 프로세서에 의한 하위 프로세서 참여에 대한 일반 승인을 컨트롤러를 대신하여 제공할 권한과 해당 하위 프로세서의 추가 또는 교체에 대한 의사 결정 및 승인 권한을 부여합니다.
  8. 새로운 하위 프로세서에 대한 통지 및 이의 제기 권리 . 조항 9(a)에 따라, 고객은 회사가 위의 섹션 4(g)에 설명된 대로 새로운 하위 프로세서를 고용할 수 있음을 인정하고 명시적으로 동의합니다. 회사는 위의 섹션 4(g)에 제공된 절차에 따라 하위 프로세서에 대한 변경 사항을 고객에게 알려야 합니다. 고객은 DPA의 섹션 8(d)에 설명된 대로 새로운 하위 프로세서에 대해 이의를 제기할 수 있습니다.
  9. 구제. 조항 11에 따른 옵션은 적용되지 않습니다. 회사는 개인 데이터와 관련하여 데이터 주체 요청을 받은 경우 고객에게 알리고 지체 없이 불만 사항이나 분쟁을 고객에게 전달해야 합니다. 회사는 그렇지 않으면 요청을 처리할 의무가 없습니다(고객과 별도로 합의하지 않는 한).
  10. 책임 . 조항 12(b)에 따른 회사의 책임은 회사가 GDPR에 따라 처리자에게 특별히 지시된 의무를 준수하지 않거나 GDPR 제82조에 명시된 대로 고객의 합법적 지시 범위를 벗어나거나 이에 반하는 행동을 한 경우 회사의 처리로 인해 발생한 손해로 제한됩니다.
  11. 감독 . 조항 13은 다음과 같이 적용됩니다.
    1. 고객이 EU 회원국에 거주하는 경우, 데이터 전송과 관련된 규정 (EU) 2016/679를 고객이 준수하도록 보장할 책임이 있는 감독 기관이 유능한 감독 기관 역할을 합니다.
    2. 고객이 EU 회원국에 설립되지 않았지만 규정 (EU) 2016/679의 제3조(2)항에 따라 해당 규정 (EU) 2016/679의 적용 지역 범위에 속하며 규정 (EU) 2016/679의 제27조(1)항에 따라 대리인을 임명한 경우 규정 (EU) 2016/679의 제27조(1)항에 명시된 대리인이 설립된 회원국의 감독 기관이 유능한 감독 기관으로서 역할을 합니다.
    3. 고객이 영국에 거주하거나 영국 GDPR이 적용되는 지역적 범위에 속하는 경우, 정보 관리 위원회(Information Commissioner’s Office)가 유능한 감독 기관 역할을 합니다.
  12. 정부 접근 요청 통지. 조항 15(1)(a)의 목적을 위해 회사는 정부 접근 요청의 경우 고객(만)에게 통지하고 데이터 주체(들)에게는 통지하지 않습니다. 고객은 필요에 따라 데이터 주체에게 즉시 통지할 전적인 책임이 있습니다. 
  13. 준거법. 조항 17의 목적을 위한 준거법은 계약의 해당 섹션에 지정된 법률입니다. 계약이 EU 회원국 법률에 의해 지배되지 않는 경우 표준 계약 조항은 다음 중 하나에 의해 지배됩니다. (i) 아일랜드의 법률; 또는 (ii) 계약이 영국의 법률에 의해 지배되는 경우 영국의 법률.
  14. 포럼 및 관할권 선택 . 조항 18에 따른 법원은 계약에서 지정된 법원입니다. 계약에서 EU 회원국 법원을 이 계약에서 또는 이 계약과 관련하여 발생하는 분쟁이나 소송을 해결하기 위한 전속 관할권으로 지정하지 않은 경우 당사자는 다음 중 하나의 법원이 표준 계약 조항에서 발생하는 분쟁을 해결하기 위한 전속 관할권을 가지는 데 동의합니다. (i) 아일랜드; (ii) 계약에서 영국을 전속 관할권으로 지정한 경우 영국.
  15. 표준 계약 조항에 따른 영국에서의 데이터 내보내기 . 영국 GDPR에 전적으로 따르는 영국에서의 개인 데이터 전송의 경우, 해당 처리가 여기의 일정 3에 따르는 경우를 제외하고: (i) 표준 계약 조항에서 GDPR 또는 EU 또는 회원국 법에 대한 일반적이고 구체적인 참조는 영국의 해당 데이터 보호법(즉, 영국 GDPR)에서 동등한 참조와 동일한 의미를 갖습니다. (ii) 데이터 내보내기 또는 데이터 주체가 설립된 회원국에서 결정한 표준 계약 조항의 기타 모든 의무는 영국 GDPR에 따른 의무를 말합니다.
  16. 충돌.  표준 계약 조항은 이 DPA 및 여기에 명시된 추가 보호 조치의 적용을 받습니다. 표준 계약 조항에 의해 부여된 권리와 의무는 달리 명시되지 않는 한 이 DPA에 따라 행사됩니다. 이 DPA 본문과 표준 계약 조항 사이에 충돌이나 불일치가 있는 경우 표준 계약 조항이 우선합니다.

5. EU P-to-P 이전 조항에 대한 추가 조건.

EU P-to-P 이전 조항의 목적을 위해서만 당사자는 다음 사항에 동의합니다.

  1. 지침 및 통지. 조항 8.1(a)의 목적을 위해, 고객은 개인 데이터와 관련하여 관련 관리자의 지시에 따라 처리자 역할을 한다는 사실을 회사에 알립니다. 고객은 계약 및 본 DPA에 명시된 처리 지침, 본 DPA에 따라 하위 처리자를 임명하기 위한 회사에 대한 허가를 포함하여 관련 관리자의 허가를 받았음을 보증합니다. 고객은 회사로부터 수신한 모든 통지를 적절한 경우 관련 관리자에게 전달하는 데 전적으로 책임을 집니다.
  2. 처리 보안. 조항 8.6(c) 및 (d)의 목적을 위해 회사는 회사가 처리하는 개인 데이터와 관련된 개인 데이터 침해(즉, 정보 보안 사고)에 대한 통지를 고객에게 제공해야 합니다.
  3. 문서화 및 준수 . 조항 8.9의 목적을 위해 관련 관리자의 모든 문의는 고객이 회사에 제공해야 합니다. 회사가 관리자로부터 직접 문의를 받는 경우, 회사는 해당 문의를 고객에게 전달해야 하며, 고객은 해당 관리자의 문의에 대한 응답에 대해 단독으로 책임을 져야 합니다.
  4. 데이터 주체 권리 . 조항 10의 목적과 본 DPA의 섹션 3에 따라 회사는 처리할 의무 없이 데이터 주체로부터 직접 받은 모든 요청에 ​​대해 고객에게 통지해야 하지만(별도로 합의하지 않는 한) 관련 관리자에게는 통지하지 않습니다. 고객은 그러한 요청에 응답하기 위한 관련 의무를 이행하는 데 있어 관련 관리자와 협조할 전적인 책임이 있습니다.

별표 2 - 표준 계약 조항의 부록 I부터 III까지

This Schedule 2 contains Annex I through III to the Standard Contractual Clauses and must be completed and signed by each party below where indicated.

Annex I

A. 당사자 목록

데이터 수출자/통제자 : 고객
데이터 수입자:

이름: Weights and Biases, Inc.
주소: 400 Alabama Street, Suite 202, San Francisco, CA 94110
담당자 이름, 직위 및 연락처: Cameron Kinloch, CFO
역할: 처리자(또는 경우에 따라 하위 처리자)
이러한 조항에 따라 전송되는 데이터와 관련된 활동: 계약 및 이 DPA에 따라 개인 데이터 처리

B. 양도 설명

본 계약에 따라 회사가 수행하는 처리 활동은 다음과 같이 설명될 수 있습니다.

개인 데이터가 이전되는 데이터 주체의 범주

프로세서의 소프트웨어 및 서비스 최종 사용자의 개인 데이터, 여기에는 컨트롤러가 프로세서에 제출한 컨트롤러 최종 고객 데이터 주체의 개인 데이터가 포함됩니다.

전송되는 개인 데이터의 종류

시간에 따라 컨트롤러가 선택한 대로

민감한 데이터를 전송하고(해당되는 경우) 데이터의 특성과 관련 위험을 충분히 고려하여 제한이나 보호 조치를 적용합니다. 예를 들어, 엄격한 목적 제한, 접근 제한(전문 교육을 받은 직원만 접근 가능 포함), 데이터 접근 기록 보관, 추가 전송 제한 또는 추가 보안 조치가 있습니다.

컨트롤러가 소프트웨어나 서비스를 통해 해당 데이터를 전송하기로 선택한 범위 내에서만 가능합니다.

전송 빈도

프로세서의 “멀티 테넌트 클라우드” 및 “W&B 전용 클라우드” 소프트웨어 및 서비스 제공의 경우, 계약에 따라 허용되는 대로 컨트롤러가 결정한 대로 지속적으로 제공됩니다.

프로세서의 “고객 관리 단일 테넌트 클라우드”, “온프레미스” 및/또는 “W&B 전용 클라우드”(BYOB, 컨트롤러가 지속적인 기반 공유를 해제하는 경우) 소프트웨어 제공의 경우 컨트롤러가 컨트롤러의 요청에 따라 기술 지원 제공 중에 프로세서에게 개인 데이터를 전송하는 방식으로 소프트웨어 및/또는 서비스를 구성하는 경우에만 해당됩니다.

처리의 특성

프로세서의 “멀티 테넌트 클라우드” 및 “W&B 전용 클라우드” 소프트웨어 및 서비스 제공의 경우, 계약에 따라 설명된 대로 소프트웨어 및 서비스에 대한 개인 데이터 처리

프로세서의 “고객 관리 단일 테넌트 클라우드”, “온프레미스” 및/또는 “W&B 전용 클라우드”(BYOB, 컨트롤러가 연속 기반 공유를 해제하는 경우) 소프트웨어 제공의 경우 컨트롤러가 요청한 기술 지원 제공 중에 컨트롤러가 소프트웨어 및/또는 서비스를 구성하여 개인 데이터를 프로세서에 전송하는 방식으로만 해당됩니다.

데이터 전송 및 추가 처리의 목적

프로세서의 “멀티 테넌트 클라우드” 및 “W&B 전용 클라우드” 소프트웨어 및 서비스 제공의 경우, 프로세서는 계약에 따라 필요한 대로 컨트롤러에게 서비스를 제공해야 합니다.

프로세서의 “고객 관리 단일 테넌트 클라우드”, “온프레미스” 및/또는 “W&B 전용 클라우드”(BYOB, 컨트롤러가 연속 기반 공유를 해제하는 경우) 소프트웨어 제공의 경우 컨트롤러가 요청한 기술 지원 제공 중에 컨트롤러가 소프트웨어 및/또는 서비스를 구성하여 개인 데이터를 프로세서에 전송하는 방식으로만 해당됩니다.

개인 데이터가 보관되는 기간

계약 기간 동안

(하위) 프로세서로의 전송 의 경우

계약 기간 동안

C. 유능한 감독 기관

본 DPA 제1부속서 4(k)절에 명시된 표준계약조항 제13조에 따른 유능한 감독기관.

부록 II - 데이터 보안을 보장하기 위한 기술 및 조직적 조치를 포함한 기술 및 조직적 조치

회사는 본 DPA에 따라 관리자로부터 수신한 모든 개인 데이터를 다음과 같은 기술적, 조직적 조치에 따라 처리합니다.

Weights and Biases, Inc.는 개인 데이터를 보호하기 위해 적절한 행정적, 기술적, 물리적 및 절차적 보안 조치를 취했으며 유지할 것입니다. 여기에는 아래에 명시된 조치나 Weights and Biases, Inc.에서 합리적으로 제공하는 조치가 포함됩니다.

운영 보안

  • Weights and Biases, Inc.의 정보 보안 정책은 내부 표준 프레임워크를 확립합니다.
  • 지정된 보안팀은 직원의 개인정보 보호 및 정보 보안을 위한 정책, 표준, 기준선, 절차, 가이드라인 및 교육 프로그램을 설계, 구현 및 관리하는 업무를 담당합니다.
  • Weights and Biases, Inc.는 최소 권한 원칙에 따라 생산 시스템 및 고객 데이터를 포함한 정보 리소스에 대한 액세스를 승인하고 매년 액세스 제어 검토를 수행합니다.
  • Weights and Biases, Inc.에서는 인증, 버전 제어 시스템 및 인프라 콘솔을 위해 사용자 ID, 비밀번호, OTP 및/또는 인증서를 포함하여 민감한 시스템과 애플리케이션에 액세스하기 위한 2단계 인증이 필요하며, 관리 액세스를 위해서는 상황 인식 액세스 제어가 필요합니다.
  • 직원은 Weights and Biases, Inc.의 행동 강령과 허용 사용 정책을 포함한 보안 정책을 수용해야 하며, 고용을 시작하기 전에 신원 조사를 통과해야 합니다.
  • Weights and Biases, Inc.는 인증 메커니즘의 관리 및 사용을 관리하기 위해 직원 암호에 대한 공식 지침을 수립했으며 암호 관리자, 자동 스크린세이버 잠금, 하드 디스크 암호화 및 기타 엔드포인트 보안 조치를 사용하도록 요구합니다.
  • 버전 제어 시스템은 소스 코드, 문서, 릴리스 라벨링 및 기타 변경 관리 작업을 관리하는 데 도움이 됩니다. 시스템에 대한 액세스는 시스템 관리자의 승인을 받아야 합니다.
  • Weights and Biases, Inc.에서는 고객에게 미치는 영향을 최소화하기 위해 업무 중단이나 보안 사고에 효과적으로 대응하기 위한 업무 연속성 및 사고 대응 계획을 수립해 놓았습니다.
  • 공식적인 위험 관리 프로세스는 위험 허용 범위와 식별된 위협과 지정된 허용 범위를 기반으로 위험을 평가하는 프로세스를 지정합니다. Weights and Biases, Inc.는 제3자를 고용하여 최소한 연 1회 위험 평가를 실시합니다.
  • Weights and Biases, Inc.에서는 매일 백업을 수행하고 백업 정책에 사전 정의된 일정에 따라 백업을 보관합니다.


인프라 보안

  • 암호화
    • Weights and Biases, Inc.는 사용자로부터 웹 애플리케이션으로의 모든 연결이 인증된 SSL 및 TLS 구성을 사용하여 암호화되도록 보장합니다. 웹사이트와 애플리케이션은 모두 HTTPS를 통해서만 접근할 수 있습니다.
    • Weights and Biases, Inc.는 고객/파트너 데이터를 저장 시 암호화된 데이터베이스에 저장합니다.
    • 키 관리 프로세스(현재 Google Cloud Platform을 통해)는 조직의 암호화 기술 사용을 지원합니다.
  • 네트워크 보안
    • 프로덕션 환경은 필요한 서비스만 활성화된 격리된 Virtual Private Cloud 네트워크에서 실행됩니다. 외부 관리 액세스는 컨텍스트 인식 액세스 제어 프록시를 통해 중재됩니다.
    • Weights and Biases, Inc.는 로드 밸런서를 사용하여 들어오는 애플리케이션 트래픽을 여러 인스턴스와 가용성 영역에 자동으로 분산합니다.
    • Weights and Biases, Inc.는 승인된 네트워킹 포트와 프로토콜만 구현되도록 하는 구성을 사용합니다. 웹 애플리케이션 방화벽은 애플리케이션을 외부 위협으로부터 보호합니다.
    • Weights and Biases, Inc. 도구는 Weights and Biases, Inc.의 데이터베이스, 서버 및 메시징 큐에서 서버 CPU 사용, 여유 저장 공간, 메시지 수명 및 읽기 I/O를 모니터링하고 사전 결정된 기준에 따라 모든 이벤트 또는 인시던트를 적절한 인력에게 알립니다. 인시던트는 정책에 따라 에스컬레이션됩니다.


제품 보안

  • Weights and Biases, Inc.는 엔터프라이즈급 역할 기반 액세스 제어(RBAC), 단일 로그인(SSO) 인증 및 제품 내 데이터 보호 기능을 사용합니다.
  • Weights and Biases, Inc.는 고객이 삭제를 요청한 후 30일 이내에 고객 데이터를 삭제합니다.

지속적인 혁신

  • 보안팀은 직원 장치, 클라우드 환경 및 네트워크에 대한 악성 활동을 지속적으로 평가하고 모니터링합니다.
  • Weights and Biases, Inc.에서는 최소한 1년에 한 번, 프로덕션 환경에 대한 제3자 취약성 스캔을 실시합니다. – Weights and Biases, Inc.에서는 외부 사용자와 직원이 장애, 사고 및 우려 사항을 보고할 수 있는 프로세스를 제공합니다.
  • Weights and Biases, Inc.는 AICPA SOC 2 Type II를 준수하며, 요청 시 최근 SOC 2 감사 사본을 제공할 수 있습니다.

부록 III - 하위 프로세서 목록

통제자는 다음 하위 프로세서의 사용을 승인했습니다: https://wandb.ai/site/wb-subprocessors

일정 3 - 영국 GDPR의 이전 메커니즘

A. 정의

  1. UK GDPR IDTA “는  “국제 데이터 전송 계약”(여기에 위치: https://ico.org.uk/media/for-organisations/documents/4019538/international-data-transfer-agreement.pdf ) 의 조건을 의미하며  2018년 데이터 보호법 제119A조에 따라 발행되었습니다.
  2. UK GDPR Addendum”  또는  “UK Addendum”은   “국제 데이터 전송을 위한 유럽 위원회 표준 계약 조항에 대한 국제 데이터 전송 추가 조항”(여기에 있음:  https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf )의 조건을 의미하며 2018년 데이터 보호법 제119A조에 따라 발행되었습니다.

B. 국제 이체 메커니즘

이 일정 3의 목적을 위해 이러한 용어는 다음과 같이 정의됩니다.

서비스를 수행하는 과정에서 영국 GDPR 또는 영국에서 적용되는 개인의 보호 또는 개인정보 보호와 관련된 기타 법률의 적용을 받는 개인 데이터가 유럽 데이터 보호법의 의미에서 적절한 수준의 데이터 보호를 보장하지 않는 국가로 영국 밖으로 전송되는 경우, 영국 GDPR IDTA 및/또는 영국 부록이 이러한 전송에 적용되며 이러한 전송이 영국 GDPR의 적용을 받는 범위 내에서 당사자가 직접 시행할 수 있습니다.

C. 부록 정보

이 DPA의 일정 2에 명시된 부록 I부터 III까지는 영국 IDTA에 대한 부록 정보와 영국 부록을 포함하고 있으며 참조로 여기에 통합됩니다.

일정 4 - 캘리포니아 일정

A. 이 일정 4의 목적을 위해 “사업”, “사업 목적”, “판매”, “공유” 및 “서비스 제공자”라는 용어는 CCPA에서 부여한 각각의 의미를 가지며, “개인 정보”는 CCPA에 의해 처리가 관리되는 개인 정보를 구성하는 개인 데이터를 의미합니다.

B. 당사자들은 개인 정보와 관련하여 회사가 서비스 제공자라는 것을 의도합니다. 회사는 다음을 하지 않습니다. (i) 개인 정보를 “판매” 또는 “공유”(CCPA 정의에 따름)합니다. (ii) 계약에 명시된 서비스를 제공하는 특정 사업 목적 외의 목적으로 개인 정보를 보관, 사용 또는 공개하지 않습니다. (iii) 해당 데이터 보호법에서 허용하는 경우를 제외하고 회사와 고객 간의 직접적인 사업 관계 외부에서 개인 정보를 보관, 사용 또는 공개합니다. (iv) 해당 데이터 보호법에서 허용하는 경우를 제외하고 고객으로부터 수신한 개인 정보를 회사가 제3자로부터 또는 제3자를 대신하여 수집하거나 수신한 개인 정보와 결합합니다.

C. 당사자들은 회사가 DPA에 기록된 고객의 지시에 따라 허가된 개인 정보를 보관, 사용 및 공개하는 것이 회사의 서비스 제공과 당사자 간의 사업 관계에 필수적이라는 사실을 인정합니다.