Advertiser
Data Processing Agreement (DPA)
v1.0 (December 22, 2025)
Japanese convenience translation below / の自然で契約文書向きな日本語は、次がベストです
This Advertiser Data Processing Addendum (“DPA”) is incorporated by reference into the Almedia Advertiser Terms & Conditions (“Terms”) and the applicable Insertion Order or Order Form (“Order Form”) entered into by and between Almedia GmbH, Potsdamer Str. 125, 10783 Berlin, Germany (“Processor” or "Almedia") and the entity identified as the Advertiser in the Order Form (“Controller”).
The Order Form, the Terms and this DPA together form the entire data processing agreement between Controller and Processor (the “Agreement”). Capitalised terms not defined in this DPA have the meaning given in the Order Form or the Terms.
This DPA is concluded in the English language. Any translations, including any Japanese or other language versions, are provided for convenience only and shall have no legal effect. In the event of any inconsistency or discrepancy between the English version and any translated version, the English version shall prevail.
Definitions
1.1 “Applicable Laws” means all applicable data protection and privacy laws, including the GDPR, UK GDPR, CCPA (where applicable), and all laws regulating the Processing of Personal Data under the Agreement.
1.2 “Personal Data” means any personal data processed by Processor on behalf of Controller under the Agreement.
1.3 “Data Protection Laws” means means EU Data Protection Laws and, to the extent applicable, the data protection or privacy laws of any other applicable country, including the UK GDPR and, where applicable, the CCPA.
1.4 “EU Data Protection Laws” means EU Directive 95/46/EC, as transposed into domestic legislation of each Member State and as amended, replaced or superseded from time to time, including by the GDPR and laws implementing or supplementing the GDPR.
1.5 “GDPR” means the EU General Data Protection Regulation (EU 2016/679).
1.6 Terms such as “Personal Data”, “Processing”, “Controller”, “Processor”, “Data Subject”, “Sub-processor”, and “Supervisory Authority” have the meanings given in the GDPR.
1.7 “Services” means the advertising, attribution, analytics, fraud-detection, billing, optimisation and related services described in the Agreement.
Roles of the Parties
2.1 Almedia acts solely as Processor. The Advertiser acts as Controller under the Agreement. If the Advertiser is a processor authorised by a third-party controller, the Advertiser warrants it has authority to instruct Almedia and appoint Almedia as Processor.
2.2 Controller instructs Processor to (i) process Personal Data; and (ii) in particular, transfer Personal Data to any country or territory, all as reasonably necessary for the provision of the Services and consistent with the Agreement and Applicable Laws.
2.3 Processor shall process Personal Data solely for the purposes of performing the Services and in accordance with the Controller’s documented instructions.
2.4 Controller warrants and represents that it is and will remain duly and effectively authorised to give the instruction set out in Section 2.2 and any additional documented instructions pursuant to the Agreement, at all relevant times and for as long as Processor lawfully processes Personal Data.
2.5 The details of the Processing of Personal Data, as required by Article 28(3) GDPR, are set out in Schedule 1 (Details of Processing), which forms an integral part of this DPA.
Processor Obligations
3.1 Processor shall process Personal Data only on documented instructions from Controller, unless required otherwise by law.
3.2 Processor shall ensure persons authorised to process Personal Data are subject to enforceable confidentiality obligations.
3.3 Processor shall implement appropriate technical and organisational measures as required by Article 32 GDPR.
3.4 Processor shall not retain Personal Data longer than necessary for providing the Services or as required by law.
3.5 Processor shall not process Personal Data for its own purposes. Processor may only retain and use data in aggregated or anonymised form that does not constitute Personal Data.
Sub-Processors
4.1 Subject to this Section 4, Controller authorises Processor to engage Sub-processors solely to the extent necessary for the provision of the Services and only within the categories of processing set out in Schedule 2.
4.2 Processor shall ensure that all Sub-processors are bound by written agreements imposing data-protection obligations that are substantially equivalent to those contained in this DPA and required under Applicable Laws.
4.3 Processor maintains an up-to-date list of all current Sub-processors involved in providing the Services. This list is continuously updated and made available to Controller at: www.freecash.com/en/policies/privacy-eu (or any successor URL communicated to Controller).
4.4 Processor shall provide prior notice (via the Sub-processor list or by email where legally required) before appointing or replacing any Sub-processor for processing activities that materially affect Personal Data.
4.5 Controller may object to the appointment of a new Sub-processor solely on reasonable and documented data-protection grounds. Processor shall work in good faith with Controller to resolve such objections.
4.6 If no mutually acceptable solution can be reached, Controller may suspend the affected Services or terminate them upon written notice. Such suspension or termination shall be Controller’s sole and exclusive remedy in relation to Sub-processor objections.
International Transfers
5.1 Processor may transfer Personal Data outside the EEA/UK where legally permitted and subject to appropriate safeguards.
5.2 Approved safeguards may include the EU Standard Contractual Clauses, the UK Addendum/IDTA, or any successor mechanism.
5.3 Processor shall ensure Sub-processors receiving transfers implement adequate safeguards.
Data Subject Rights
6.1 Controller is responsible for responding to Data Subject requests.
6.2 Processor shall provide reasonable assistance to Controller, at Controller’s cost, in responding to Data Subject requests.
6.3 Processor shall not respond to Data Subjects directly unless required by law or instructed by Controller.
Personal Data Breach
7.1 Processor shall notify Controller without undue delay after becoming aware of a Personal Data Breach affecting Personal Data.
7.2 Processor shall provide information reasonably available to assist Controller in meeting its notification obligations.
7.3 Processor shall cooperate with Controller in relation to remediation.
Data Protection Impact Assessments and Audits
8.1 Processor shall provide reasonable assistance with DPIAs and consultations with supervisory authorities, to the extent required by Data Protection Laws.
8.2 Controller may conduct audits or inspections performed by an independent, reputable auditor, subject to: (a) 30 days’ written notice; (b) no more than one audit in any 12-month period unless required by law or following a confirmed incident; (c) Controller bearing all associated costs; and (d) audits occurring during normal business hours without undue disruption.
8.3 Processor may satisfy audit obligations by providing third-party certifications or audit reports if sufficient to demonstrate compliance.
8.4 Controller shall bear all costs and fees associated with audits.
Return and Deletion of Data
9.1 Subject to Section 9.2, Processor shall, promptly and in any event within ninety (90) business days of the date of cessation of any Services involving the Processing of Personal Data, delete, pseudonymise or return all copies of Personal Data, in accordance with Controller’s documented instructions, except for any copies that Processor is required to retain under Applicable Laws.
9.2 Subject to the Agreement and Applicable Laws, Processor may retain Personal Data to the extent required or authorised by law, provided that Processor ensures the confidentiality of such Personal Data and processes it only for the purpose(s) for which retention is required or authorised.
Liability
The liability limitations and exclusions set out in the Agreement apply equally to this DPA.
Governing Law and Jurisdiction
This DPA is governed by the governing law and jurisdiction provisions set out in the Agreement.
Order of Precedence
12.1 In the event of a conflict between this DPA and any other part of the Agreement, this DPA shall prevail to the extent such conflict relates to the Processing of Personal Data or compliance with Data Protection Laws.
12.2 Subject to Section 12.1, the Order Form shall prevail over the Terms and this DPA where expressly stated.
Schedule 1: Details of Processing
Subject Matter: Attribution, analytics, fraud detection, billing validation, and optimisation of advertising campaigns.
Duration: For the term of the Agreement plus any legally required retention.
Nature of Processing: Receipt, collection, structuring, matching, analysis, pseudonymisation, transfer, storage, and deletion of Controller Personal Data.
Purpose of Processing:
attribution and matching via MMPs
measurement of clicks, impressions, installs, and events
fraud detection and mitigation
settlement and billing validation
campaign optimisation and reporting
technical support
Data Subjects:
end-users interacting with advertising materials
Advertiser personnel with platform access
Categories of Personal Data:
End-user data (app/web): advertising identifiers (IDFA/GAID), IP address, user-agent, OS version, device model, install timestamps, click timestamps, coarse geo information, post-install events, fraud-analysis signals.
Advertiser personnel data: name, email, login activity.
Sensitive and Special Categories of Personal Data: Advertiser shall not send Processor any Sensitive or Special Categories of Personal Data, as defined in the Data Protection Laws.
Schedule 2: Sub-Processors
Processor may engage Sub-processors only within the following categories of processing, and solely to the extent necessary for the provision of the Services:
Cloud hosting and infrastructure providers (including servers, storage, content delivery, and related infrastructure services
Data analytics, attribution, and measurement support tools (including technical tools used to receive, process, or validate attribution signals)
Fraud-detection and traffic-quality vendors (including systems analysing device, behavioural, or technical signals for fraud prevention)
Security, logging, and monitoring providers (including tools for access control, anomaly detection, incident monitoring, and threat prevention)
Customer support and communication services (including ticketing, email, and communication platforms used to interact with Controller personnel)
Backup, redundancy, and business continuity providers
Internal development, auditing, and operational tooling (used solely to support Processor’s internal operations and delivery of the Services)
Processor maintains an up-to-date and authoritative list of all current Sub-processors, including their identities, locations, and processing purposes, at: www.freecash.com/en/policies/privacy-eu (or any successor URL communicated to Controller).
This list is continuously updated in accordance with Section 4 of this DPA.
広告主
データ処理契約 (DPA)
v1.0 (2025年12月22日)
【参考訳/便宜的翻訳(日本語)】
※本日本語訳は参考目的のみで作成されたものであり、法的拘束力はありません。
※英語正文と日本語訳の間に齟齬がある場合には、英語正文が優先されます。
本広告主データ処理補遺(以下「DPA」といいます。)は、Almedia 広告主利用規約(以下「利用規約」といいます。)および、Almedia GmbH(所在地:Potsdamer Str. 125, 10783 Berlin, Germany。以下「処理者」または「Almedia」といいます。)と、オーダーフォームにおいて広告主として特定される事業体(以下「管理者」といいます。)との間で締結される、該当するインサーションオーダーまたはオーダーフォーム(以下「オーダーフォーム」といいます。)に参照により組み込まれます。
オーダーフォーム、利用規約および本 DPA は、管理者と処理者との間の完全なデータ処理契約(以下「本契約」といいます。)を構成します。本 DPA において定義されていない大文字で始まる用語は、オーダーフォームまたは利用規約において与えられた意味を有するものとします。
本 DPA は英語により締結されます。本 DPA の翻訳(日本語その他の言語による翻訳を含みます)は、便宜目的のみで提供されるものであり、法的効力を有しません。英語版と翻訳版との間に齟齬または不一致がある場合には、英語版が優先されます。
1. 定義
1.1 「適用法令(Applicable Laws)」とは、GDPR、UK GDPR、CCPA(該当する場合)および本契約に基づく個人データの処理を規制するすべての適用されるデータ保護およびプライバシー関連法令をいいます。
1.2 「個人データ(Personal Data)」とは、本契約に基づき、処理者が管理者のために処理するすべての個人データをいいます。
1.3 「データ保護法令(Data Protection Laws)」とは、EU データ保護法令および、該当する範囲において、UK GDPR および(該当する場合)CCPA を含む、その他の国のデータ保護またはプライバシー関連法令をいいます。
1.4 「EU データ保護法令(EU Data Protection Laws)」とは、EU 指令 95/46/EC(各加盟国の国内法に移行されたもの)ならびに、GDPR および GDPR を実施または補完する法律を含め、随時改正、置換または廃止される法令をいいます。
1.5 「GDPR」とは、EU 一般データ保護規則(EU 2016/679)をいいます。
1.6 「個人データ」「処理」「管理者」「処理者」「データ主体」「サブプロセッサー」「監督当局」等の用語は、GDPR において与えられた意味を有するものとします。
1.7 「サービス(Services)」とは、本契約に記載された、広告、アトリビューション、分析、不正検知、請求、最適化および関連サービスをいいます。
2. 当事者の役割
2.1 Almedia は、本契約に基づき、専ら処理者として行動します。広告主は管理者として行動します。広告主が第三者管理者から権限を付与された処理者である場合、広告主は、Almedia に指示を行い、Almedia を処理者として任命する権限を有することを保証します。
2.2 管理者は、サービス提供に合理的に必要であり、本契約および適用法令に従う範囲で、(i) 個人データを処理すること、ならびに (ii) 個人データをいかなる国または地域にも移転することを、処理者に指示します。
2.3 処理者は、管理者の文書化された指示に従い、サービス提供の目的に限って個人データを処理するものとします。
2.4 管理者は、第 2.2 条に定める指示および本契約に基づく追加の文書化された指示を行う正当な権限を有し、処理者が適法に個人データを処理する期間中、当該権限を維持することを表明し、保証します。
2.5 GDPR 第 28 条第 3 項に基づき要求される個人データ処理の詳細は、本 DPA の不可欠な一部を構成する別紙 1(処理の詳細)に定められます。
3. 処理者の義務
3.1 処理者は、法令により別途要求されない限り、管理者の文書化された指示に基づいてのみ個人データを処理するものとします。
3.2 処理者は、個人データを処理する権限を有する者が、強制力のある守秘義務を負うことを確保します。
3.3 処理者は、GDPR 第 32 条に従い、適切な技術的および組織的安全管理措置を実施します。
3.4 処理者は、サービス提供に必要な期間または法令により要求される期間を超えて個人データを保持しません。
3.5 処理者は、自己の目的のために個人データを処理しません。処理者は、個人データに該当しない集計または匿名化されたデータのみを保持および利用することができます。
4. サブプロセッサー
4.1 本第 4 条に従い、処理者は、サービス提供に必要な範囲に限り、かつ別紙 2 に定める処理カテゴリの範囲内でのみ、サブプロセッサーを利用することについて、管理者から包括的な承認を受けるものとします。
4.2 処理者は、すべてのサブプロセッサーが、本 DPA および適用法令に基づき要求されるものと実質的に同等のデータ保護義務を課す書面契約に拘束されていることを確保します。
4.3 処理者は、サービス提供に関与するすべての現行サブプロセッサーの最新一覧を維持し、当該一覧を以下の URL にて管理者に提供します。
www.freecash.com/en/policies/privacy-eu
4.4 処理者は、個人データに重大な影響を及ぼすサブプロセッサーの新規任命または変更に先立ち、事前通知を行います。
4.5 管理者は、合理的かつ文書化されたデータ保護上の理由に限り、新たなサブプロセッサーの任命に異議を述べることができます。
4.6 合理的な解決策が得られない場合、管理者は、影響を受けるサービスを停止または終了することができ、これがサブプロセッサーに関する唯一かつ排他的な救済手段となります。
5. 国際データ移転
5.1 処理者は、法令により許容され、適切な保護措置が講じられている場合、EEA/UK 域外へ個人データを移転することができます。
5.2 適切な保護措置には、EU 標準契約条項、UK 追加条項/IDTA またはそれらの後継制度が含まれます。
5.3 処理者は、サブプロセッサーが適切な保護措置を実施していることを確保します。
6. データ主体の権利
6.1 データ主体からの請求への対応は、管理者の責任とします。
6.2 処理者は、管理者の費用負担により、当該請求への対応について合理的な支援を行います。
6.3 処理者は、法令により要求される場合または管理者の指示がある場合を除き、データ主体に直接対応しません。
7. 個人データ侵害
7.1 処理者は、個人データ侵害を認識した場合、遅滞なく管理者に通知します。
7.2 処理者は、管理者の通知義務履行を支援するため、合理的に入手可能な情報を提供します。
7.3 処理者は、是正対応について管理者と協力します。
8. および監査
8.1 処理者は、データ保護影響評価および監督当局との協議について、法令により必要な範囲で合理的な支援を行います。
8.2 管理者は、一定の条件の下、独立監査人による監査を実施することができます。
8.3 処理者は、第三者認証または監査報告書の提供により監査義務を充足することができます。
8.4 監査に関する費用はすべて管理者が負担するものとします。
9. データの返却および削除
9.1 処理者は、サービス終了後、原則として 90 営業日以内に、管理者の指示に従い個人データを削除、仮名化または返却します。
9.2 法令により保持が必要な場合、処理者は、当該目的に限って個人データを保持することができます。
10. 責任
本契約に定める責任制限および免責は、本 DPA にも同様に適用されます。
11. 準拠法および管轄
本 DPA は、本契約に定める準拠法および管轄に従うものとします。
12. 優先順位
12.1 本 DPA と本契約の他の条項との間に齟齬がある場合、個人データ処理に関する限り、本 DPA が優先されます。
12.2 第 12.1 条に従い、明示的に定められている場合には、オーダーフォームが利用規約および本 DPA に優先します。
別紙 1:処理の詳細
処理対象:広告キャンペーンのアトリビューション、分析、不正検知、請求検証および最適化
処理期間:本契約期間および法令上必要な保存期間
処理の性質:取得、収集、構造化、照合、分析、仮名化、移転、保存および削除
処理目的:
・MMP を通じたアトリビューションおよび照合
・クリック、インプレッション、インストールおよびイベントの測定
・不正検知および防止
・精算および請求検証
・キャンペーン最適化およびレポーティング
・技術サポート
データ主体:
・広告素材と接触するエンドユーザー
・プラットフォームにアクセスする広告主担当者
個人データの種類:
・エンドユーザーデータ(IDFA/GAID、IP アドレス、ユーザーエージェント、OS バージョン、デバイスモデル、タイムスタンプ、概算位置情報、イベント情報、不正分析信号)
・広告主担当者データ(氏名、メールアドレス、ログイン情報)
特別カテゴリーの個人データ:広告主は、法令上定義される特別カテゴリーの個人データを処理者に提供してはなりません。
別紙 2:サブプロセッサー
処理者は、以下のカテゴリに限り、かつサービス提供に必要な範囲でのみ、サブプロセッサーを利用することができます。
・クラウドホスティングおよびインフラ提供者
・分析、アトリビューションおよび計測ツール
・不正検知およびトラフィック品質ベンダー
・セキュリティ、ログおよび監視サービス
・カスタマーサポートおよび通信サービス
・バックアップおよび事業継続サービス
・内部開発、監査および運用ツール
処理者は、サブプロセッサーの最新一覧を、以下の URL にて管理者に提供します。
www.freecash.com/en/policies/privacy-eu