• 日语便捷译文如下 / 下面是最适合合同文件的自然日语版本

本广告主数据处理附录（“DPA”）通过引用并入 Almedia 广告主条款与条件（“Terms”）以及适用的插入订单或订单表（“Order Form”）；该等文件由德国柏林 Koppenstr. 8, 10243 Berlin, Germany 的 Almedia GmbH（“Processor”或“Almedia”）与订单表中指定为广告主的实体（“Controller”）共同签署。

订单表、条款以及本 DPA 共同构成控制方与处理方之间完整的数据处理协议（“Agreement”）。本 DPA 中未定义的首字母大写术语，含义以订单表或条款中的定义为准。

本 DPA 以英文签订。任何翻译版本，包括日语或其他语言版本，仅为便利之用，不具有任何法律效力。如英文版本与任何译文之间存在不一致或差异，以英文版本为准。

1. 定义

1.1 “适用法律”指所有适用的数据保护和隐私法律，包括 GDPR、UK GDPR、CCPA（如适用）以及本协议项下规范个人数据处理的所有法律。

1.2 “个人数据”指处理方根据本协议代表控制方处理的任何个人数据。

1.3 “数据保护法律”指欧盟数据保护法律，以及在适用范围内，任何其他适用国家/地区的数据保护或隐私法律，包括 UK GDPR 以及（如适用）CCPA。

1.4 “欧盟数据保护法律”指欧盟指令 95/46/EC，经各成员国国内立法转化并随时修订、替代或取代后的版本，包括 GDPR 及实施或补充 GDPR 的法律。

1.5 “GDPR”指欧盟《通用数据保护条例》（EU 2016/679）。

1.6 “个人数据”、“处理”、“控制方”、“处理方”、“数据主体”、“子处理方”和“监管机构”等术语，含义以 GDPR 中的定义为准。

1.7 “服务”指本协议中所述的广告、归因、分析、反欺诈、计费、优化及相关服务。

2. 各方角色

2.1 Almedia 仅作为处理方行事。广告主在本协议项下作为控制方行事。若广告主是经第三方控制方授权的处理方，则广告主保证其有权指示 Almedia 并任命 Almedia 为处理方。

2.2 控制方指示处理方：(i) 处理个人数据；以及 (ii) 尤其是将个人数据传输至任何国家或地区；上述处理均以为提供服务所合理必要且符合本协议及适用法律为限。

2.3 处理方仅为履行服务之目的并依据控制方的书面指示处理个人数据。

2.4 控制方声明并保证，其在所有相关时间以及在处理方合法处理个人数据的持续期间内，已并将持续获得充分且有效授权，可作出第 2.2 条所述指示及本协议项下任何其他书面指示。

2.5 根据 GDPR 第 28(3) 条要求提供的个人数据处理详情载于附表 1（处理详情），该附表构成本 DPA 的组成部分。

3. 处理方义务

3.1 除非法律另有要求，处理方仅应依据控制方的书面指示处理个人数据。

3.2 处理方应确保获授权处理个人数据的人员承担可执行的保密义务。

3.3 处理方应根据 GDPR 第 32 条实施适当的技术和组织措施。

3.4 处理方不得在提供服务所必需或法律要求之外的更长时间内保留个人数据。

3.5 处理方不得为自身目的处理个人数据。处理方仅可保留并使用不构成个人数据的汇总或匿名化数据。

4. 子处理方

4.1 在本第 4 条约束下，控制方授权处理方仅在提供服务所必需的范围内，且仅限于附表 2 所列的处理类别内聘用子处理方。

4.2 处理方应确保所有子处理方均受书面协议约束，该等协议施加的数据保护义务应与本 DPA 所载义务及适用法律要求的义务实质上相当。

4.3 处理方维护一份最新的当前参与提供服务的所有子处理方名单。该名单将持续更新，并可在以下网址向控制方提供：www.freecash.com/en/policies/privacy-eu（或通知控制方的任何后续 URL）。

4.4 在任命或替换任何会对个人数据产生重大影响的处理活动的子处理方之前，处理方应事先通知（通过子处理方名单或在法律要求时通过电子邮件通知）。

4.5 控制方仅可基于合理且有记录的数据保护理由，对新子处理方的任命提出异议。处理方应本着诚信原则与控制方协商解决该等异议。

4.6 如无法达成双方均可接受的解决方案，控制方可暂停受影响的服务，或以书面通知终止该等服务。就子处理方异议而言，该等暂停或终止为控制方唯一且排他的救济。

5. 国际传输

5.1 在法律允许且采取适当保障措施的情况下，处理方可将个人数据传输至 EEA/UK 之外。

5.2 经批准的保障措施可包括欧盟标准合同条款、英国附录/IDTA，或任何后续机制。

5.3 处理方应确保接收传输的子处理方实施充分保障措施。

6. 数据主体权利

6.1 控制方负责回应数据主体请求。

6.2 处理方应在控制方承担费用的前提下，向控制方提供合理协助，以回应数据主体请求。

6.3 除非法律要求或控制方指示，处理方不得直接回应数据主体。

7. 个人数据泄露

7.1 一旦知悉影响个人数据的个人数据泄露，处理方应在不无故拖延的情况下通知控制方。

7.2 处理方应提供其合理可获得的信息，以协助控制方履行其通知义务。

7.3 处理方应就整改事宜与控制方合作。

8. 数据保护影响评估和审计

8.1 在数据保护法律要求的范围内，处理方应就 DPIA 以及与监管机构的磋商提供合理协助。

8.2 控制方可由独立且信誉良好的审计机构实施审计或检查，但须符合以下条件：(a) 提前 30 天书面通知；(b) 除非法律要求或在确认发生事件后，否则任何 12 个月期间内不得超过一次审计；(c) 由控制方承担全部相关费用；以及 (d) 审计应在正常营业时间内进行，且不得造成不合理干扰。

8.3 如第三方认证或审计报告足以证明合规，处理方可通过提供该等材料履行审计义务。

8.4 与审计相关的全部成本和费用均由控制方承担。

9. 数据返还与删除

9.1 在遵守第 9.2 条的前提下，自任何涉及个人数据处理的服务终止之日起，处理方应尽快且最迟于九十（90）个工作日内，根据控制方的书面指示删除、假名化或返还所有个人数据副本，但处理方根据适用法律必须保留的任何副本除外。

9.2 在遵守本协议及适用法律的前提下，处理方可在法律要求或授权的范围内保留个人数据，但前提是处理方确保该等个人数据的保密性，并且仅为保留所必需或获授权的目的处理该等数据。

10. 责任

本协议中规定的责任限制和免责条款同等适用于本 DPA。

11. 适用法律和管辖权

本 DPA 适用本协议中规定的准据法和管辖权条款。

12. 优先顺序

12.1 如本 DPA 与本协议任何其他部分存在冲突，在该等冲突涉及个人数据处理或遵守数据保护法律的范围内，以本 DPA 为准。

12.2 在遵守第 12.1 条的前提下，如订单表中有明确规定，则订单表优先于条款和本 DPA。

附表 1：处理详情

处理事项：广告归因、分析、反欺诈、计费核验以及广告活动优化。

期限：本协议有效期内，以及法律要求的任何保留期。

处理性质：接收、收集、结构化、匹配、分析、假名化、传输、存储以及删除控制方个人数据。

处理目的：

• 通过 MMP 进行归因和匹配

• 衡量点击、展示、安装和事件

• 欺诈检测和缓解

• 结算和计费核验

• 广告活动优化和报告

• 技术支持

数据主体：

• 与广告素材互动的终端用户

• 拥有平台访问权限的广告主员工

个人数据类别：

• 终端用户数据（应用/网页）：广告标识符（IDFA/GAID）、IP 地址、用户代理、操作系统版本、设备型号、安装时间戳、点击时间戳、粗略地理信息、安装后事件、欺诈分析信号。

• 广告主员工数据：姓名、电子邮件、登录活动。

敏感及特殊类别个人数据：广告主不得向处理方发送数据保护法律所定义的任何敏感或特殊类别个人数据。

附表 2：子处理方

处理方仅可在以下处理类别内，且仅在提供服务所必需的范围内聘用子处理方：

1. 云托管和基础设施提供商（包括服务器、存储、内容分发以及相关基础设施服务

2. 数据分析、归因和衡量支持工具（包括用于接收、处理或验证归因信号的技术工具）

3. 欺诈检测和流量质量供应商（包括分析设备、行为或技术信号以防止欺诈的系统）

4. 安全、日志记录和监控提供商（包括用于访问控制、异常检测、事件监控和威胁防护的工具）

5. 客户支持和通信服务（包括用于与控制方人员互动的工单、电子邮件和通信平台）

6. 备份、冗余和业务连续性提供商

7. 内部开发、审计和运营工具（仅用于支持处理方的内部运营及服务交付）

处理方在以下网址维护一份最新且具权威性的当前所有子处理方名单，包括其身份、所在地和处理目的：www.freecash.com/en/policies/privacy-eu（或通知控制方的任何后续 URL）。

该名单将按照本 DPA 第 4 条持续更新。