广告主
数据处理协议（DPA）

本广告主数据处理附录（“DPA”）通过引用并入 Almedia 广告主条款与条件（“Terms”）以及由 Almedia GmbH, Koppenstr. 8, 10243 Berlin, Germany（“Processor”或“Almedia”）与订单表中标识为广告主的实体（“Controller”）签订的适用投放订单或订单表（“Order Form”）。

订单表、条款和本 DPA 共同构成控制方与处理方之间完整的数据处理协议（“Agreement”）。本 DPA 中未另行定义的大写术语具有订单表或条款中赋予的含义。

1. 定义

1.1 “适用法律”是指所有适用的数据保护和隐私法律，包括 GDPR、英国 GDPR、CCPA（如适用）以及根据本协议监管个人数据处理的所有法律。

1.2 “个人数据”是指处理方根据本协议代表控制方处理的任何个人数据。

1.3 “数据保护法”是指欧盟数据保护法，以及在适用范围内任何其他适用国家/地区的数据保护或隐私法律，包括英国 GDPR 以及（如适用）CCPA。

1.4 “欧盟数据保护法”是指欧盟指令 95/46/EC，及其在各成员国国内立法中的转化版本，并经不时修订、替代或废止，其中包括 GDPR 及实施或补充 GDPR 的法律。

1.5 “GDPR”是指欧盟通用数据保护条例（EU 2016/679）。

1.6 “个人数据”、“处理”、“控制方”、“处理方”、“数据主体”、“分处理方”和“监管机构”等术语具有 GDPR 中赋予的含义。

1.7 “服务”是指本协议中所述的广告、归因、分析、反欺诈、计费、优化及相关服务。

2. 各方角色

2.1 Almedia 仅作为处理方行事。广告主作为本协议项下的控制方行事。如广告主为经第三方控制方授权的处理方，则广告主保证其有权指示 Almedia，并任命 Almedia 为处理方。

2.2 控制方指示处理方：(i) 处理个人数据；以及 (ii) 尤其是，将个人数据传输至任何国家或地区；上述行为均以为提供服务所合理必要且符合本协议和适用法律为限。

2.3 处理方仅可为履行服务之目的，并按照控制方的书面记录指示处理个人数据。

2.4 控制方保证并声明，其在所有相关时间以及在处理方依法处理个人数据期间，始终已并将持续具有正式且有效的授权，可作出第 2.2 条所述指示以及根据本协议发出的任何其他书面记录指示。

2.5 根据 GDPR 第 28(3) 条要求，个人数据处理的详细信息载于附表 1（处理详情），该附表构成本 DPA 的组成部分。

3. 处理方义务

3.1 除非法律另有要求，处理方仅可依据控制方的书面记录指示处理个人数据。

3.2 处理方应确保获授权处理个人数据的人员受具有可执行效力的保密义务约束。

3.3 处理方应按照 GDPR 第 32 条的要求实施适当的技术和组织措施。

3.4 处理方保存个人数据的期限不得超过提供服务所必需的期限，或法律要求的期限。

3.5 处理方不得为其自身目的处理个人数据。处理方仅可保留和使用不构成个人数据的汇总或匿名化形式的数据。

4. 分处理方

4.1 在受本第 4 条约束的前提下，控制方授权处理方仅在提供服务所必需的范围内，并且仅在附表 2 所列的处理类别内聘用分处理方。

4.2 处理方应确保所有分处理方均受书面协议约束，该等协议所施加的数据保护义务与本 DPA 所载义务以及适用法律要求的义务实质相当。

4.3 处理方维护一份最新的、涉及提供服务的所有现有分处理方名单。该名单将持续更新，并可通过以下地址向控制方提供：www.freecash.com/en/policies/privacy-eu（或告知控制方的任何后续 URL）。

4.4 在任命或更换任何会实质影响个人数据处理活动的分处理方之前，处理方应事先发出通知（可通过分处理方名单通知，或在法律要求时通过电子邮件通知）。

4.5 控制方仅可基于合理且有记录的数据保护理由，对新分处理方的任命提出异议。处理方应本着诚信原则与控制方合作，以解决该等异议。

4.6 如双方无法达成可接受的解决方案，控制方可暂停受影响的服务，或在书面通知后终止该等服务。就分处理方异议而言，此类暂停或终止构成控制方唯一且排他的救济。

5. 国际传输

5.1 在法律允许且受适当保障措施约束的情况下，处理方可将个人数据传输至欧洲经济区/英国以外地区。

5.2 经批准的保障措施可包括欧盟标准合同条款、英国附录/IDTA，或任何后续替代机制。

5.3 处理方应确保接收传输的分处理方实施充分的保障措施。

6. 数据主体权利

6.1 控制方负责回应数据主体请求。

6.2 处理方应在控制方承担费用的前提下，向控制方提供合理协助，以回应数据主体请求。

6.3 除非法律要求或控制方指示，处理方不得直接回应数据主体。

7. 个人数据泄露

7.1 一旦知悉影响个人数据的个人数据泄露事件，处理方应在无不当延迟的情况下通知控制方。

7.2 处理方应提供其合理可获得的信息，以协助控制方履行其通知义务。

7.3 处理方应就补救事宜与控制方合作。

8. 数据保护影响评估与审计

8.1 在数据保护法要求的范围内，处理方应就 DPIA 以及与监管机构的磋商提供合理协助。

8.2 控制方可由独立、信誉良好的审计员实施审计或检查，但须满足以下条件：(a) 提前 30 天书面通知；(b) 除非法律要求或在确认发生事故后，否则任何 12 个月期间内不得超过一次审计；(c) 相关费用全部由控制方承担；以及 (d) 审计应在正常工作时间内进行，且不得造成不当干扰。

8.3 如第三方认证或审计报告足以证明合规，处理方可通过提供该等材料来满足审计义务。

8.4 与审计相关的所有成本和费用均由控制方承担。

9. 数据返还与删除

9.1 在受第 9.2 条约束的前提下，处理方应在停止任何涉及个人数据处理的服务之日后，及时且无论如何应在九十（90）个工作日内，按照控制方的书面记录指示删除、假名化或返还所有个人数据副本，但适用法律要求处理方保留的任何副本除外。

9.2 在受本协议和适用法律约束的前提下，如法律要求或授权，处理方可保留个人数据；但处理方应确保该等个人数据的保密性，并且仅可为保留所必需或获授权的目的处理该等数据。

10. 责任

本协议中规定的责任限制和免责同样适用于本 DPA。

11. 准据法与管辖权

本 DPA 适用本协议中规定的准据法和管辖权条款。

12. 效力顺序

12.1 如本 DPA 与本协议任何其他部分发生冲突，并且该冲突与个人数据处理或遵守数据保护法有关，则以本 DPA 为准，且仅在该冲突范围内适用。

12.2 在受第 12.1 条约束的前提下，如订单表有明确规定，则订单表优先于条款和本 DPA。

附表 1：处理详情

处理事项：广告归因、分析、反欺诈、计费验证以及广告活动优化。

期限：本协议期限加上任何法律要求的保留期。

处理性质：接收、收集、结构化、匹配、分析、假名化、传输、存储和删除控制方个人数据。

处理目的：

• 通过 MMP 进行归因和匹配

• 衡量点击、展示、安装和事件

• 欺诈检测与缓解

• 结算和计费验证

• 广告活动优化和报告

• 技术支持

数据主体：

• 与广告素材互动的最终用户

• 具有平台访问权限的广告主人员

个人数据类别：

• 最终用户数据（App/Web）：广告标识符（IDFA/GAID）、IP 地址、User-Agent、操作系统版本、设备型号、安装时间戳、点击时间戳、粗粒度地理信息、安装后事件、欺诈分析信号。

• 广告主人员数据：姓名、电子邮件、登录活动。

敏感和特殊类别的个人数据：广告主不得向处理方发送数据保护法所定义的任何敏感或特殊类别的个人数据。

附表 2：分处理方

处理方仅可在以下处理类别范围内，并且仅在提供服务所必需的范围内聘用分处理方：

1. 云托管和基础设施提供商（包括服务器、存储、内容分发及相关基础设施服务

2. 数据分析、归因和测量支持工具（包括用于接收、处理或验证归因信号的技术工具）

3. 反欺诈和流量质量供应商（包括分析设备、行为或技术信号以防止欺诈的系统）

4. 安全、日志记录和监控提供商（包括用于访问控制、异常检测、事件监控和威胁防护的工具）

5. 客户支持和通信服务（包括用于与控制方人员互动的工单、电子邮件和通信平台）

6. 备份、冗余和业务连续性提供商

7. 内部开发、审计和运营工具（仅用于支持处理方的内部运营和服务交付）

处理方维护一份最新且权威的当前所有分处理方名单，包括其名称、所在地和处理目的，地址如下：www.freecash.com/en/policies/privacy-eu（或告知控制方的任何后续 URL）。

该名单将根据本 DPA 第 4 条持续更新。