제품

요금제

솔루션

개발자 센터

연구

회사 소개

블로그

Select Language

플레이그라운드

엔터프라이즈 문의하기

Data processing addendum

시행일: 2025년 6월 30일

본 개인정보 처리 합의서(“DPA”)는 Twelve Labs 기업 서비스 약관의 첨부 문서입니다. 본 DPA에서 정의되지 않은 대문자 용어는 해당 약관에 정의되어 있습니다.

주제 및 기간.
1.1. 주제. 본 DPA는 본 계약과 관련하여 고객 개인정보를 처리함에 있어 개인정보 보호법을 준수하겠다는 양 당사자의 약속을 반영합니다. 본 DPA에서 명시적으로 정의되지 않은 모든 대문자 용어는 본 계약에 정의되어 있는 의미를 가집니다. 본 DPA 또는 그 별첨 문서의 용어가 본 계약과 상충하는 경우, 본 DPA가 우선합니다.
1.2. 기간 및 존속. 본 DPA는 본 계약의 효력 발생일 또는 본 계약의 효력 발생일 이후에 본 DPA에 양 당사자가 서명한 날부터 법적 구속력을 가집니다. 서비스 제공자는 본 계약에 명시된 대로 관계가 종료될 때까지 고객 개인정보를 처리합니다.
정의. 본 DPA의 목적을 위해 다음 용어 및 본 DPA 본문에 정의된 용어가 적용됩니다.
2.1. “고객 개인정보”란 서비스 제공자가 고객을 대신하여 처리하는 개인정보인 고객 데이터를 의미합니다.
2.2. “개인정보 보호법”이라 함은 고객 개인정보에 적용되는 해당 프라이버시 및 개인정보 보호 법률, 규칙 및 규정을 의미합니다. “개인정보 보호법”에는 2018년 캘리포니아 소비자 개인정보 보호법(캘리포니아 개인정보 권리법에 의해 개정됨)(“CCPA”), EU 일반 개인정보 보호법 2016/679(“GDPR”) 및 각 국가별 시행 법률, 스위스 연반 개인정보 보호법, 영국 일반 개인정보 보호법, 2018년 영국 개인정보 보호법이 포함될 수 있으나 이에 국한되지 않습니다(각각 수시로 개정, 채택 또는 대체됨).
2.3. “개인정보”는 적용되는 개인정보 보호법에 따라 “개인정보(personal data)” 또는 “개인식별정보(personal information)”라는 용어에 부여된 의미를 가집니다.
2.4. “처리” 또는 “처리하는 것”은 수집, 기록, 조직, 구조화, 저장, 적응 또는 변경, 검색, 참조, 송신에 의한 공개, 유포 또는 기타 제공, 정렬 또는 조합, 제한, 삭제 또는 파괴와 같이 자동화된 수단 여부에 관계없이 개인정보 또는 개인정보 세트에 대해 수행되는 모든 작업 또는 일련의 작업을 의미합니다.
2.5. “보안 사고”란 서비스 제공자의 귀책 사유로 인해 고객 개인정보가 실수로 또는 불법적으로 파괴, 분실, 변경되거나 무단 공개 또는 액세스되는 보안 침해를 의미합니다.
2.6. 하위 처리자”란 서비스 제공자가 고객 개인정보를 처리하기 위해 고용한 업체를 의미합니다.
고객 개인정보 처리 약관.
3.1. 문서화된 지침. 서비스 제공자는 본 계약 및 양 당사자가 합의한 지침에 따라 클라우드 서비스를 제공하기 위해 고객 개인정보를 처리해야 합니다.
3.2. 하위 처리자 사용 허가. 고객은 서비스 제공자가 하위 처리자를 고용할 수 있도록 승인합니다. 고객은 하위 처리자가 다른 업체를 추가로 고용할 수 있음을 인정합니다.
3.3. 서비스 제공자 및 하위 처리자 준수 사항. 서비스 제공자는 (i) 본 DPA와 일치하는 고객 개인정보에 대한 개인정보 보호 요구 사항을 하위 처리자에게 부과하는 서면 계약을 체결해야 하며, (ii) 하위 처리자가 고객 개인정보 처리와 관련된 의무를 이행하지 않은 것에 대해 고객에게 책임을 집니다.
3.4. 하위 처리자에 대한 이의 제기 권리. 개인정보 보호법에서 요구하는 경우, 서비스 제공자는 고객이 클라우드 서비스에 로그인할 때 액세스할 수 있는 알림 및/또는 문서를 통해 새로운 하위 처리자를 고용하기 전에 고객에게 통지합니다. 서비스 제공자는 새로운 하위 처리자 알림이 서비스 제공자 고객 기반에 처음 액세스할 수 있게 된 날로부터 10일(이하 “이의 제기 기간”) 동안 고객이 새로운 하위 처리자에 대해 이의를 제기할 수 있도록 허용합니다. 고객이 이의 제기 기간 내에 새로운 하위 처리자의 지정에 대해 정당한 이의를 제기하는 경우, 양 당사자는 이의 제기 사유를 해결하기 위해 신의성실에 따라 협력할 것입니다.
3.5. 비밀 유지. 고객 개인정보를 처리할 수 있는 권한을 부여받은 모든 사람은 비밀 유지 의무를 준수해야 하며, 그러한 정보의 비밀을 유지하기로 계약상 합의하거나 적절한 법적 비밀 유지 의무가 있어야 합니다.
3.6. 개인정보 문의 및 요청. 개인정보 보호법에서 요구하는 경우, 서비스 제공자는 개인정보 보호법에 따라 부여된 고객 개인정보에 대한 권리를 행사하는 개인의 요청과 관련하여 합리적인 지원을 제공하고 고객의 합리적인 지침을 따르기로 동의합니다.
3.7. 개인정보 평가, 개인정보 영향 평가 및 사전 협의. 개인정보 보호법에서 요구하는 경우, 서비스 제공자는 고객의 판단에 따라 서비스 제공자가 수행하는 처리 유형에 개인정보 평가, 개인정보 영향 평가 및/또는 관련 개인정보 보호 당국과의 사전 협의가 필요한 경우 고객에게 합리적인 지원과 정보를 제공하기로 동의합니다.
3.8. 준수 증명 능력. 서비스 제공자는 고객의 합리적인 요청이 있을 경우 본 DPA의 준수 여부를 증명하는 데 합리적으로 필요한 정보를 제공하기로 동의합니다.
3.9. 캘리포니아 특정 약관. 서비스 제공자의 고객 개인정보 처리가 CCPA의 적용을 받는 범위 내에서 본 조항이 적용됩니다. 고객은 본 계약 및 본 DPA에 따라 서비스 제공자가 고객에게 클라우드 서비스를 제공하는 제한적이고 구체적인 목적으로 고객 개인정보를 서비스 제공자에게 공개하거나 제공합니다. 서비스 제공자는 다음을 수행해야 합니다. (i) CCPA에 따른 해당 의무를 준수합니다, (ii) CCPA에서 요구하는 것과 동일한 수준의 보호를 제공합니다, (iii) 더 이상 CCPA에 따른 의무를 충족할 수 없는 경우 고객에게 통지합니다, (iv) 고객 개인정보를 “판매(sell)”하거나 “공유(share)”(CCPA에 정의된 용어)하지 않습니다, (v) 본 계약에 따라 클라우드 서비스를 제공하는 것 이외의 다른 목적(상업적 목적 포함) 또는 CCPA에서 허용하는 이외의 목적으로 고객 개인정보를 보유, 사용 또는 공개하지 않습니다, (vi) 고객과 서비스 제공자 간의 직접적인 비즈니스 관계를 벗어나 고객 개인정보를 보유, 사용 또는 공개하지 않습니다, (vii) CCPA에서 달리 허용하지 않는 한, 고객 개인정보를 서비스 제공자가 (a) 다른 사람으로부터 또는 다른 사람을 대신하여 수신하거나 (b) 자체적이고 독립적인 소비자 상호 작용을 통해 수집한 개인정보와 결합하지 않습니다. 고객은 다음을 수행할 수 있습니다. (1) 서비스 제공자가 고객의 CCPA 의무와 일치하는 방식으로 고객 개인정보를 처리하도록 보장하기 위해 양 당사자가 합의한 합리적이고 적절한 조치를 취합니다, (2) 통지 시 서비스 제공자의 무단 고객 개인정보 처리를 중단하고 시정하기 위해 양 당사자가 합의한 합리적이고 적절한 조치를 취합니다.
3.10. 집계 및 비식별화. 서비스 제공자는 다음과 같이 처리할 수 있습니다. (i) 제공된 정보가 고객 또는 고객 개인정보가 관련된 데이터 주체를 식별하는 데 합리적으로 사용될 수 없는 한, 클라우드 서비스 제공과 관련하여 집계 및/또는 비식별화된 정보를 컴파일합니다(“집계 및/또는 비식별 데이터”), (ii) 적법한 비즈니스 목적을 위해 집계 및/또는 비식별 데이터를 사용합니다.
정보 보안 프로그램. 서비스 제공자는 별첨 A에 따라 고객 개인정보를 보호하기 위해 설계된 합리적인 관리적, 기술적, 물리적 보호 조치를 시행하고 유지해야 합니다.
보안 사고. 보안 사고를 인지하는 즉시 서비스 제공자는 부당한 지체 없이 개인정보 보호법에 따라 요구되는 기간 내에 고객의 주문서 또는 고객의 사용자 계정에서 고객이 제공한 이메일 주소로 서면 통지를 제공하기로 동의합니다. 가능한 경우, 이러한 통지에는 고객이 규제 당국이나 보안 사고 가 발생한 개인에 대해 자신의 통지 의무를 이행하는 데 개인정보 보호법에 따라 요구되는 가용한 세부 정보가 모두 포함됩니다.
고객 개인정보의 국외 이전.

6.1. 고객 개인정보의 국외 이전. 고객은 유럽경제지역, 스위스 및/또는 영국에서 미국을 포함하여 국제 국경을 넘어 고객 개인정보를 전송할 수 있도록 서비스 제공자와 그 하위 처리자를 승인합니다.
6.2. EEA, 스위스, 영국의 표준계약조항. 유럽경제지역, 스위스 및/또는 영국에서 시작된 고객 개인정보가 적용 가능한 개인정보 보호법에 따라 적절한 수준의 보호를 제공하는 것으로 판명되지 않은 국가의 서비스 제공자에게 전송되는 경우, 양 당사자는 전송이 여기에 첨부되어 참조 목적으로 본 문서의 법적 효력을 구성하는 별첨 B로 보완된 유럽 의회 및 위원회 규정 (EU) 2016/679에 의거하여 제3국으로의 개인정보 전송을 위한 표준계약조항에 관한 2021년 6월 4일자의 위원회 이행 결정 (EU) 2021/914의 부속서 내 모듈 2의 의무(“표준계약조항”)에 따를 것에 동의합니다. 주문서에 서명한 각 당사자의 서명은 표준계약조항이 적용되는 한도 내에서 표준계약조항에 서명한 것으로 간주됩니다.
감사 및 평가. 개인정보 보호법이 고객에게 감사 또는 평가 권한을 부여하는 경우, 고객(또는 고객이 지정한 대리인)은 고객 개인정보 처리와 관련된 서비스 제공자의 정책, 절차 및 기록에 대한 감사 또는 평가를 수행할 수 있습니다. 모든 감사 또는 평가는 다음과 같아야 합니다. (i) 서비스 제공자의 통상적인 업무 시간 중에 수행되어야 합니다, (ii) 서비스 제공자에게 사전에 합리적인 통지를 해야 합니다, (iii) 서비스 제공자의 업무에 불필요한 중단을 방지하는 방식으로 수행되어야 합니다, (iv) 합리적인 비밀 유지 절차를 준수해야 합니다. 또한, 감사 또는 평가는 고객 개인정보 처리에 대한 관할권을 가진 정부 당국의 지시에 따라 수행되지 않는 한 연 1회로 제한됩니다.
고객 개인정보 삭제. 양 당사자가 달리 합의하지 않는 한, 본 계약의 만료 또는 종료 시 서비스 제공자는 모든 고객 개인정보를 삭제해야 하며(서비스 제공자의 데이터 보존 일정에 따라 삭제될 백업 또는 보관용 사본은 제외), 서비스 제공자가 해당 법률에 따라 사본을 보유해야 하는 경우는 예외로 하되, 이 경우 서비스 제공자는 해당 법률에서 요구하는 범위를 제외하고는 향후 어떠한 처리 과정에서도 해당 고객 개인정보를 격리하고 보호해야 합니다.
고객의 의무. 고객은 다음을 진술하고 보증합니다. (i) 개인정보 보호법을 준수해 왔으며 앞으로도 준수할 것입니다, (ii) 본 계약에 따른 서비스 제공자의 고객 개인정보 처리가 개인정보 보호법을 위반하지 않으며 고객과 제3자 간의 계약이나 의무를 이행하는 데 있어 위반을 초래하지 않습니다.
처리 세부 사항.
10.1. 주제. 처리의 주제는 본 계약에 따른 클라우드 서비스입니다.
10.2. 기간. 처리는 본 계약의 만료 또는 종료 시까지 계속됩니다.
10.3. 데이터 주체의 범위. 본 계약에 따라 고객 개인정보가 처리될 데이터 주체입니다.
10.4. 처리의 성격 및 목적. 서비스 제공자가 고객 개인정보를 처리하는 목적은 클라우드 서비스를 실행하는 것입니다.
10.5. 고객 개인정보의 유형. 본 계약에 따라 처리되는 고객 개인정보입니다.
계정 데이터. 서비스 제공자는 다음과 같은 주소에서 제공되는 개인정보 보호정책(수시로 업데이트됨)에 따라 고객의 승인된 사용자의 클라우드 서비스 이용에 관한 개인정보(“계정 데이터”)를 처리할 수 있습니다. https://www.twelvelabs.io/privacy-policy. 계정 데이터는 고객 데이터가 아닙니다.

DPA 별첨 A

정보 보안 표준

본 별첨 A는 DPA의 일부입니다. 본 별첨 A에서 정의되지 않은 대문자 용어는 DPA에 설정된 의미를 가집니다.

서비스 제공자는 고객 개인정보를 보호하기 위해 설계된 합리적인 관리적, 기술적, 물리적 보호 조치를 시행하고 유지해야 합니다. 이러한 보호 조치에는 다음이 포함됩니다.

정보 보안 정책. 서비스 제공자는 서면으로 작성된 정보 보안 정책을 유지합니다.
보안 리더십. 서비스 제공자는 정보 보안 관리를 담당할 하나 이상의 직원을 임명했습니다.
신원 조사. 관련 법률이 허용하는 경우, 서비스 제공자는 채용 과정의 일부로 신입 직원에 대한 신원 조사를 실시합니다.
비밀 유지. 고객 개인정보에 액세스할 수 있는 서비스 제공자 직원은 비밀 유지 의무를 준수해야 합니다.
교육. 서비스 제공자는 매년 모든 직원에게 정보 보안 인식 교육을 제공합니다.
액세스 권한 제어. 서비스 제공자는 고객 개인정보에 대한 액세스를 알 필요가 있는 직원 및 하위 처리자로 제한합니다.
암호화. 해당하는 경우, 고객 개인정보는 업계 표준 암호화 기술을 사용하여 전송 중 및 보관 시 암호화됩니다.
악성코드 보호. 서비스 제공자는 악성 코드 및 바이러스로부터 보호하기 위해 설계된 직원 워크스테이션용 최신 악성코드 예방 조치를 유지합니다.
호스팅 보안. 서비스 제공자는 주로 Google Cloud Platform 및 Amazon Web Services를 사용하여 고객 개인정보를 호스팅합니다. Google Cloud Platform의 보안 조치에 대한 자세한 정보는 다음을 방문하십시오. https://cloud.google.com/security/compliance. Amazon Web Services의 보안 조치에 대한 자세한 정보는 다음을 방문하십시오. https://aws.amazon.com/compliance/programs/.
다중 요소 인증. 서비스 제공자 직원은 고객 개인정보를 호스팅하는 주요 시스템 및 애플리케이션에 액세스하기 위해 다중 요소 인증을 사용해야 합니다.
논리적 분리. 서비스 제공자는 고객 개인정보가 다른 서비스 제공업체 클라이언트 데이터와 논리적으로 분리되도록 보장합니다.
사고 대응 계획. 서비스 제공자는 사고 대응 계획을 유지합니다.
고객 개인정보의 백업. 서비스 제공자는 업계 표준 백업 시스템 및 고객 개인정보의 백업을 유지합니다.

DPA 별첨 B

표준계약조항에 대한 보완 약관

본 별첨 B는 DPA의 일부이며 표준계약조항을 보완합니다. 본 별첨 B에서 정의되지 않은 대문자 용어는 DPA에 설정된 의미를 가집니다.

양 당사자는 다음 약관이 표준계약조항을 보완하는 것에 동의합니다.

보완 약관. 양 당사자는 다음 사항에 동의합니다. (i) 표준계약조항에 새로운 제1조(e)항이 추가되며 다음과 같이 읽습니다. “본 문서의 조항이 적용되는 한도 내에서, 이 조항들은 스위스 연방법 개인정보 보호법의 적용을 받는 당사자들의 개인정보 처리에도 준용됩니다. 해당하는 경우, EU 회원국 법률 또는 EU 감독 당국에 대한 언급은 스위스 연방 개인정보 보호법의 적용을 받는 개인정보 전송과 관련된 스위스 법률에 따른 적절한 언급을 포함하도록 수정됩니다.”, (ii) 표준계약조항에 새로운 제1조(f)항이 추가되며 다음과 같이 읽습니다. “본 문서의 조항이 적용되는 한도 내에서, 별첨 III으로 보완된 이 조항들은 영국 개인정보 보호법(별첨 III에 정의됨)의 적용을 받는 당사자들의 개인정보 처리에도 준용됩니다.”, (iii) 제7조의 선택적 텍스트는 삭제됩니다, (iv) 제9조의 옵션 1은 삭제되고 옵션 2가 유지되며, 정보 수입자는 DPA 제3.4조에 따라 새로운 하위 처리자를 정보 수출자에게 통지해야 합니다, (v) 제11조의 선택적 텍스트는 삭제됩니다, (vi) 제17조 및 제18조에서 준거법 및 관할 법원은 아일랜드(EEA 전송의 경우), 스위스(스위스 전송의 경우) 또는 잉글랜드 및 웨일스(영국 전송의 경우)입니다.
별첨 I. 표준계약조항의 별첨 I은 다음과 같이 읽습니다.

A. 당사자 명단

정보 수출자: 고객.

주소: 본 계약의 통지 섹션에 명시된 바와 같습니다.

담당자의 이름, 직책 및 연락처 정보: 본 계약의 통지 섹션에 명시된 바와 같습니다.

본 조항들이 적용되는 양도된 데이터와 관련된 활동: 클라우드 서비스.

역할: 개인정보 처리자(Controller).

정보 수입자: 서비스 제공자.

주소: 본 계약의 통지 섹션에 명시된 바와 같습니다.

담당자의 이름, 직책 및 연락처 정보: 본 계약의 통지 섹션에 명시된 바와 같습니다.

본 조항들이 적용되는 양도된 데이터와 관련된 활동: 클라우드 서비스.

역할: 수탁자(Processor).

B. 이전의 설명:

개인정보가 전송되는 데이터 주체의 카테고리: 고객이 클라우드 서비스에 업로드한 고객 개인정보에 포함된 데이터 주체.

전송되는 개인정보의 유형: 고객이 클라우드 서비스에 업로드한 고객 개인정보에 존재하는 이미지, 비디오 및 기타 콘텐츠.

전송되는 민감한 정보(해당하는 경우) 및 정보의 성격과 관련 위험을 완전히 고려하여 적용되는 제한 또는 보안 조치(예: 엄격한 목적 제한, 액세스 제한(전문 교육을 이수한 직원으로만 액세스 제한 포함), 정보 액세스 기록 유지, 전송 제한 또는 추가 보안 조치 등): 고객이 클라우드 서비스에 업로드한 고객 개인정보가 포함된 이미지 또는 비디오에 등장하는 모든 민감 정보. 민감 정보는 별첨 A에 규정된 보안 조치의 적용을 받습니다.

이전 빈도(예: 데이터가 일회성으로 전송되는지 또는 지속적으로 전송되는지 여부): 개인정보는 클라우드 서비스의 기본 기능에 따라 또는 양 당사자가 달리 합의한 바에 따라 전송됩니다.

처리의 성격: 클라우드 서비스.

데이터 이전 및 추가 처리의 목적: 클라우드 서비스.

개인정보 보유 기간 또는 기간 결정 기준이 불가능한 경우 그 기준: 정보 수입자는 DPA에 따라 개인정보를 보유합니다.

(하위) 처리자로의 전송을 위해 처리의 주제, 성격 및 기간도 명시합니다: 위에 기재된 것과 동일한 주제, 성격 및 기간에 적용됩니다.

C. 관할 감독 당국: 제13조에 위임된 감독 당국. 제13조에 따라 수임된 감독당국이 없는 경우에는 아일랜드 개인정보보호위원회(DPC), 이것이 불가능할 경우에는 제13조에 설정된 조건에 부합되도록 당사자들이 달리 합의한 당국으로 합니다.

D. 정화 조항: 양 당사자는 다음 사항에 동의합니다. (i) 본 조항의 제8.5조 및 제16조(d)항에서 요구하는 삭제 증명서는 정보 수출자의 서면 요청에 따라 제공됩니다, (ii) 정보 수입자가 본 조항의 제8.6(c)조에 따라 취해야 하는 조치는 정보 수입자의 해당 시스템에만 적용됩니다, (iii) 본 조항의 제8.9조에 설명된 감사는 DPA의 제7조에 따라 수행되어야 합니다, (iv) 본 조항의 제14(f)조 및 제16(c)조에서 고려하는 해지 권한은 본 조항들의 해지로 제한됩니다, (v) 정보 수입자가 달리 언급하지 않는 한, 정보 수출자는 본 조항의 제15.1(a)조에 따라 데이터 주체들과 소통할 책임이 있습니다, (vi) 본 조항의 제15.1(c)조에 따라 요구되는 정보는 정보 수출자의 서면 요청에 따라 제공됩니다.

별첨 II. 표준계약조항의 별첨 II는 다음과 같이 읽습니다.

정보 수입자는 DPA에 따라 개인정보를 보호하기 위해 설계된 기술적 및 조직적 조치를 구현하고 유지해야 합니다.

제10조(b)항에 따라, 정보 수입자는 DPA에 따라 데이터 주체 요청에 대한 지원을 정보 수출자에게 제공할 것입니다.

별첨 III. 새로운 별첨 III이 표준계약조항에 추가되며 다음과 같이 읽습니다.

또한, 여기에 참조 목적으로 법적 효력을 구성하는 영국 정보위원회실의 EU 위원회 표준계약조항에 대한 국제 데이터 전송 부속서(“영국 부속서”)를 포함합니다.

표 1: 표 1의 시작일은 DPA의 발효일입니다. 표 1에서 요구하는 기타 모든 정보는 본 조항의 별첨 I, 섹션 A에 규정되어 있습니다.

표 2: 영국 부속서는 본 영국 부속서가 덧붙여진 승인된 EU SCC 버전의 일부를 형성하며, 부속서의 발효일을 기준으로 발효되는 부속서 정보를 포함합니다.

표 3: 표 3에서 요구하는 정보는 본 조항들의 별첨 I 및 II에 규정되어 있습니다.

표 4: 양 당사자는 수입자가 제19조에 기술된 방식으로 영국 부속서를 종료할 수 있음에 동의합니다.

This Data Processing Addendum (“DPA”) is an Attachment to the Twelve Labs Enterprise Terms of Service. Capitalized terms not defined in this DPA are defined therein.

Subject Matter and Duration.
1.1. Subject Matter. This DPA reflects the parties’ commitment to abide by Data Protection Laws concerning the Processing of Customer Personal Data in connection with the Agreement. All capitalized terms that are not expressly defined in this DPA will have the meanings given to them in the Agreement. If and to the extent language in this DPA or any of its Exhibits conflicts with the Agreement, this DPA controls.
1.2. Duration and Survival. This DPA will become legally binding upon the effective date of the Agreement or upon the date that the parties sign this DPA if it is completed after the effective date of the Agreement. Provider will Process Customer Personal Data until the relationship terminates as specified in the Agreement.
Definitions. For the purposes of this DPA, the following terms and those defined within the body of this DPA apply.
2.1. “Customer Personal Data” means Customer Data that is Personal Data Processed by Provider on behalf of Customer.
2.2. “Data Protection Laws” means the applicable privacy and data protection laws, rules and regulations to which the Customer Personal Data are subject. “Data Protection Laws” may include, but are not limited to, the California Consumer Privacy Act of 2018 (as amended by the California Privacy Rights Act) (“CCPA”); the EU General Data Protection Regulation 2016/679 (“GDPR”) and its respective national implementing legislations; the Swiss Federal Act on Data Protection; the United Kingdom General Data Protection Regulation; and the United Kingdom Data Protection Act 2018 (in each case, as amended, adopted, or superseded from time to time).
2.3. “Personal Data” has the meaning assigned to the term “personal data” or “personal information” under applicable Data Protection Laws.
2.4. “Process” or “Processing” means any operation or set of operations which is performed on Personal Data or sets of Personal Data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination, or otherwise making available, alignment or combination, restriction, erasure, or destruction.
2.5. “Security Incident(s)” means the breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to Customer Personal Data attributable to Provider.
2.6. Subprocessor” means a vendor that Provider has engaged to Process Customer Personal Data.
Processing Terms for Customer Personal Data.
3.1. Documented Instructions. Provider shall Process Customer Personal Data to provide the Cloud Service in accordance with the Agreement and any instructions agreed upon by the parties.
3.2. Authorization to Use Subprocessors. Customer authorizes Provider to engage Subprocessors. Customer acknowledges that Subprocessors may further engage vendors.
3.3. Provider and Subprocessor Compliance. Provider shall (i) enter into a written agreement with Subprocessors that imposes data protection requirements for Customer Personal Data on such Subprocessors that are consistent with this DPA; and (ii) remain responsible to Customer for the Subprocessors’ failure to perform their obligations with respect to the Processing of Customer Personal Data.
3.4. Right to Object to Subprocessors. Where required by Data Protection Laws, Provider will notify Customer prior to engaging any new Subprocessors via a notification that is accessible when Customer logs into the Cloud Service and/or within the Documentation. Provider will allow Customer ten (10) days from the date the new Subprocessor notification is first accessible to the Provider customer base (the “Objection Period”) to object to the new Subprocessor. If Customer raises legitimate objections to the appointment of any new Subprocessor within the Objection Period, the parties will work together in good faith to resolve the grounds for the objection.
3.5. Confidentiality. Any person authorized to Process Customer Personal Data must be subject to a duty of confidentiality, contractually agree to maintain the confidentiality of such information, or be under an appropriate statutory obligation of confidentiality.
3.6. Personal Data Inquiries and Requests. Where required by Data Protection Laws, Provider agrees to provide reasonable assistance and comply with reasonable instructions from Customer related to any requests from individuals exercising their rights in Customer Personal Data granted to them under Data Protection Laws.
3.7. Data Protection Assessment, Data Protection Impact Assessment, and Prior Consultation. Where required by Data Protection Laws, Provider agrees to provide reasonable assistance and information to Customer where, in Customer’s judgement, the type of Processing performed by Provider requires a data protection assessment, data protection impact assessment, and/or prior consultation with the relevant data protection authorities.
3.8. Demonstrable Compliance. Provider agrees to provide information reasonably necessary to demonstrate compliance with this DPA upon Customer’s reasonable request.
3.9. California Specific Terms. To the extent that Provider’s Processing of Customer Personal Data is subject to the CCPA, this Section shall also apply. Customer discloses or otherwise makes available Customer Personal Data to Provider for the limited and specific purpose of Provider providing the Cloud Service to Customer in accordance with the Agreement and this DPA. Provider shall: (i) comply with its applicable obligations under the CCPA; (ii) provide the same level of protection as required under the CCPA; (iii) notify Customer if it can no longer meet its obligations under the CCPA; (iv) not “sell” or “share” (as such terms are defined by the CCPA) Customer Personal Data; (v) not retain, use, or disclose Customer Personal Data for any purpose (including any commercial purpose) other than to provide the Cloud Service under the Agreement or as otherwise permitted under the CCPA; (vi) not retain, use, or disclose Customer Personal Data outside of the direct business relationship between Customer and Provider; and (vii) unless otherwise permitted by the CCPA, not combine Customer Personal Data with Personal Data that Provider (a) receives from, or on behalf of, another person, or (b) collects from its own, independent consumer interaction. Customer may: (1) take reasonable and appropriate steps agreed upon by the parties to help ensure that Provider Processes Customer Personal Data in a manner consistent with Customer’s CCPA obligations; and (2) upon notice, take reasonable and appropriate steps agreed upon by the parties to stop and remediate unauthorized Processing of Customer Personal Data by Provider.
3.10. Aggregation and De-Identification. Provider may: (i) compile aggregated and/or de-identified information in connection with providing the Cloud Service provided that such information cannot reasonably be used to identify Customer or any data subject to whom Customer Personal Data relates (“Aggregated and/or De-Identified Data”); and (ii) use Aggregated and/or De-Identified Data for its lawful business purposes.
Information Security Program. Provider shall implement and maintain reasonable administrative, technical, and physical safeguards designed to protect Customer Personal Data in accordance with Exhibit A.
Security Incidents. Upon becoming aware of a Security Incident, Provider agrees to provide written notice without undue delay and within the time frame required under Data Protection Laws via email to a Customer-provided email address from Customer’s Order or Customer’s User accounts. Where possible, such notice will include all available details required under Data Protection Laws for Customer to comply with its own notification obligations to regulatory authorities or individuals affected by the Security Incident.
Cross-Border Transfers of Customer Personal Data.

6.1. Cross-Border Transfers of Customer Personal Data. Customer authorizes Provider and its Subprocessors to transfer Customer Personal Data across international borders, including from the European Economic Area, Switzerland, and/or the United Kingdom to the United States.
6.2. EEA, Swiss, and UK Standard Contractual Clauses. If Customer Personal Data originating in the European Economic Area, Switzerland, and/or the United Kingdom is transferred by Customer to Provider in a country that has not been found to provide an adequate level of protection under applicable Data Protection Laws, the parties agree that the transfer shall be governed by Module Two’s obligations in the Annex to the Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (“Standard Contractual Clauses”) as supplemented by Exhibit B attached hereto, the terms of which are incorporated herein by reference. Each party’s signature to the Order shall be considered a signature to the Standard Contractual Clauses to the extent that the Standard Contractual Clauses apply hereunder.
Audits and Assessments. Where Data Protection Laws afford Customer an audit or assessment right, Customer (or its appointed representative) may carry out an audit or assessment of Provider’s policies, procedures, and records relevant to the Processing of Customer Personal Data. Any audit or assessment must be: (i) conducted during Provider’s regular business hours; (ii) with reasonable advance notice to Provider; (iii) carried out in a manner that prevents unnecessary disruption to Provider’s operations; and (iv) subject to reasonable confidentiality procedures. In addition, any audit or assessment shall be limited to once per year, unless an audit or assessment is carried out at the direction of a government authority with jurisdiction over the Processing of Customer Personal Data.
Customer Personal Data Deletion. At the expiry or termination of the Agreement, unless otherwise agreed by the parties, Provider will delete all Customer Personal Data (excluding any back-up or archival copies which shall be deleted in accordance with Provider’s data retention schedule), except where Provider is required to retain copies under applicable laws, in which case Provider will isolate and protect that Customer Personal Data from any further Processing except to the extent required by applicable laws.
Customer’s Obligations. Customer represents and warrants that: (i) it has complied and will comply with Data Protection Laws; and (ii) Provider’s Processing of Customer Personal Data in accordance with the Agreement will not violate Data Protection Laws or cause a breach of any agreement or obligations between Customer and any third party.
Processing Details.
10.1. Subject Matter. The subject matter of the Processing is the Cloud Service pursuant to the Agreement.
10.2. Duration. The Processing will continue until the expiration or termination of the Agreement.
10.3. Categories of Data Subjects. Data subjects whose Customer Personal Data will be Processed pursuant to the Agreement.
10.4. Nature and Purpose of the Processing. The purpose of the Processing of Customer Personal Data by Provider is the performance of the Cloud Service.
10.5. Types of Customer Personal Data. Customer Personal Data that is Processed pursuant to the Agreement.
Account Data. Provider may Process Personal Data about Customer’s authorized users’ use of the Cloud Service (“Account Data”) in accordance with its Privacy Policy available at: https://www.twelvelabs.io/privacy-policy (as updated from time to time). Account Data is not Customer Data.

EXHIBIT A TO THE DPA

Information Security Standards

This Exhibit A forms part of the DPA. Capitalized terms not defined in this Exhibit A have the meaning set forth in the DPA.

Provider shall implement and maintain reasonable administrative, technical, and physical safeguards designed to protect Customer Personal Data. Such safeguards shall include:

Information Security Policy. Provider will maintain a written information security policy.
Security Leadership. Provider has appointed one or more employees responsible for managing information security.
Background Checks. Where permitted by applicable law, Provider conducts background checks on new employees as part of the hiring process.
Confidentiality. Provider personnel with access to Customer Personal Data are subject to confidentiality obligations.
Training. Provider will provide information security awareness training to all employees annually.
Access Control. Provider will limit access to Customer Personal Data to those employees and Subprocessors with a need-to-know.
Encryption. Where appropriate, Customer Personal Data will be encrypted in-transit and at rest using industry standard encryption technologies.
Malware Protection. Provider will maintain up-to-date malware prevention measures for employee workstations designed to protect against malicious code and viruses.
Hosting Security. Provider primarily uses Google Cloud Platform and Amazon Web Services to host Customer Personal Data. For more information about Google Cloud Platform’s security measures, please visit: https://cloud.google.com/security/compliance. For more information about Amazon Web Services’ security measures, please visit: https://aws.amazon.com/compliance/programs/.
Multi-Factor Authentication. Provider personnel are required to use multi-factor authentication to access key systems and applications that host Customer Personal Data.
Logical Separation. Provider will ensure Customer Personal Data is logically separated from other Provider client data.
Incident Response Plan. Provider will maintain an incident response plan.
Backups of Customer Personal Data. Provider will maintain an industry standard backup system and backup of Customer Personal Data.

EXHIBIT B TO THE DPA

Supplemental Terms for the Standard Contractual Clauses

This Exhibit B forms part of the DPA and supplements the Standard Contractual Clauses. Capitalized terms not defined in this Exhibit B have the meaning set forth in the DPA.

The parties agree that the following terms shall supplement the Standard Contractual Clauses:

Supplemental Terms. The parties agree that: (i) a new Clause 1(e) is added the Standard Contractual Clauses which shall read: “To the extent applicable hereunder, these Clauses also apply mutatis mutandis to the Parties’ processing of personal data that is subject to the Swiss Federal Act on Data Protection. Where applicable, references to EU Member State law or EU supervisory authorities shall be modified to include the appropriate reference under Swiss law as it relates to transfers of personal data that are subject to the Swiss Federal Act on Data Protection.”; (ii) a new Clause 1(f) is added to the Standard Contractual Clauses which shall read: “To the extent applicable hereunder, these Clauses, as supplemented by Annex III, also apply mutatis mutandis to the Parties’ processing of personal data that is subject to UK Data Protection Laws (as defined in Annex III).”; (iii) the optional text in Clause 7 is deleted; (iv) Option 1 in Clause 9 is struck and Option 2 is kept, and data importer must notify data exporter of any new subprocessors in accordance with Section 3.4 of the DPA; (v) the optional text in Clause 11 is deleted; and (vi) in Clauses 17 and 18, the governing law and the competent courts are those of Ireland (for EEA transfers), Switzerland (for Swiss transfers), or England and Wales (for UK transfers).
Annex I. Annex I to the Standard Contractual Clauses shall read as follows:

A. List of Parties

Data Exporter: Customer.

Address: As set forth in the Notices section of the Agreement.

Contact person’s name, position, and contact details: As set forth in the Notices section of the Agreement.

Activities relevant to the data transferred under these Clauses: The Cloud Service.

Role: Controller.

Data Importer: Provider.

Address: As set forth in the Notices section of the Agreement.

Contact person’s name, position, and contact details: As set forth in the Notices section of the Agreement.

Activities relevant to the data transferred under these Clauses: The Cloud Service.

Role: Processor.

B. Description of the Transfer:

Categories of data subjects whose personal data is transferred: Data subjects featured in Customer Personal Data that is uploaded by Customer to the Cloud Service.

Categories of personal data transferred: Images, videos, and other content present in Customer Personal Data uploaded to the Cloud Service by Customer.

Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures: Any sensitive data that is featured in images or videos present in Customer Personal Data that are uploaded by Customer to the Cloud Service. Sensitive data will be subject to the safeguards set forth in Exhibit A.

The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis): Personal data is transferred in accordance with the standard functionality of the Cloud Service, or as otherwise agreed upon by the parties.

Nature of the processing: The Cloud Service.

Purpose(s) of the data transfer and further processing: The Cloud Service.

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period: Data importer will retain personal data in accordance with the DPA.

For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing: For the subject matter, nature, and duration as identified above.

C. Competent Supervisory Authority: The supervisory authority mandated by Clause 13. If no supervisory authority is mandated by Clause 13, then the Irish Data Protection Commission (DPC), and if this is not possible, then as otherwise agreed by the parties consistent with the conditions set forth in Clause 13.

D. Clarifying Terms: The parties agree that: (i) the certification of deletion required by Clause 8.5 and Clause 16(d) of the Clauses will be provided upon data exporter’s written request; (ii) the measures data importer is required to take under Clause 8.6(c) of the Clauses will only cover data importer’s impacted systems; (iii) the audit described in Clause 8.9 of the Clauses shall be carried out in accordance with Section 7 of the DPA; (iv) the termination right contemplated by Clause 14(f) and Clause 16(c) of the Clauses will be limited to the termination of the Clauses; (v) unless otherwise stated by data importer, data exporter will be responsible for communicating with data subjects pursuant to Clause 15.1(a) of the Clauses; and (vi) the information required under Clause 15.1(c) of the Clauses will be provided upon data exporter’s written request.

Annex II. Annex II of the Standard Contractual Clauses shall read as follows:

Data importer shall implement and maintain technical and organisational measures designed to protect personal data in accordance with the DPA.

Pursuant to Clause 10(b), data importer will provide data exporter assistance with data subject requests in accordance with the DPA.

Annex III. A new Annex III shall be added to the Standard Contractual Clauses and shall read as follows:

The UK Information Commissioner’s Office International Data Transfer Addendum to the EU Commission Standard Contractual Clauses (“UK Addendum”) is incorporated herein by reference.

Table 1: The start date in Table 1 is the effective date of the DPA. All other information required by Table 1 is set forth in Annex I, Section A of the Clauses.

Table 2: The UK Addendum forms part of the version of the Approved EU SCCs which this UK Addendum is appended to including the Appendix Information, effective as of the effective date of the Addendum.

Table 3: The information required by Table 3 is set forth in Annex I and II to the Clauses.

Table 4: The parties agree that Importer may end the UK Addendum as set out in Section 19.