広告主
データ処理契約（DPA）

この広告主データ処理補遺（「DPA」）は、Almedia 広告主利用規約（「Terms」）および、Almedia GmbH, Koppenstr. 8, 10243 Berlin, Germany（「Processor」または「Almedia」）と、注文書において広告主として特定される法人（「Controller」）との間で締結される適用される挿入注文書または注文書（「Order Form」）に、参照により組み込まれる。

Order Form、Terms および本 DPA は、Controller と Processor 間のデータ処理に関する完全な契約（以下「Agreement」）を構成する。本 DPA で定義されていない大文字表記の用語は、Order Form または Terms に定める意味を有する。

1. 定義

1.1 「Applicable Laws」とは、GDPR、UK GDPR、CCPA（該当する場合）を含む、適用されるすべてのデータ保護法およびプライバシー法ならびに、本契約に基づく Personal Data の処理を規律するすべての法律をいう。

1.2 「Personal Data」とは、本契約に基づき Processor が Controller に代わって処理するあらゆる個人データをいう。

1.3 「Data Protection Laws」とは、EU Data Protection Laws および、該当する範囲で、UK GDPR ならびに該当する場合の CCPA を含む、その他の適用国のデータ保護法またはプライバシー法をいう。

1.4 「EU Data Protection Laws」とは、EU 指令 95/46/EC を、各加盟国の国内法に移管された形で、また随時改正、置換または廃止されたものをいい、GDPR および GDPR を実施し又は補完する法律を含む。

1.5 「GDPR」とは、EU 一般データ保護規則（EU 2016/679）をいう。

1.6 「Personal Data」「Processing」「Controller」「Processor」「Data Subject」「Sub-processor」および「Supervisory Authority」といった用語は、GDPR における意味を有する。

1.7 「Services」とは、本契約に記載される広告、アトリビューション、分析、不正検知、請求、最適化および関連サービスをいう。

2. 当事者の役割

2.1 Almedia は専ら Processor として行為する。Advertiser は本契約上 Controller として行為する。Advertiser が第三者の Controller により権限を付与された処理者である場合、Advertiser は、Almedia に指示を与え、Almedia を Processor として任命する権限を有することを保証する。

2.2 Controller は Processor に対し、(i) Personal Data を処理し、(ii) 特に、Personal Data をいずれの国または地域にも移転するよう指示する。いずれも、Services の提供に合理的に必要であり、かつ Agreement および Applicable Laws に整合する範囲に限る。

2.3 Processor は、Services の履行を目的として、かつ Controller の文書化された指示に従い、専ら Personal Data を処理する。

2.4 Controller は、Section 2.2 に定める指示および本契約に基づく追加の文書化された指示を、関連するすべての時点において、かつ Processor が合法的に Personal Data を処理する限り、適法かつ有効に与える権限を有し、今後も有することを保証し表明する。

2.5 GDPR 第28条(3)で要求される Personal Data の処理の詳細は、本 DPA の不可欠な一部を構成する Schedule 1（処理の詳細）に定める。

3. Processor の義務

3.1 Processor は、法令により別途要求される場合を除き、Controller からの文書化された指示に基づいてのみ Personal Data を処理する。

3.2 Processor は、Personal Data を処理する権限を有する者が、実効性のある守秘義務に拘束されるよう確保する。

3.3 Processor は、GDPR 第32条で求められる適切な技術的および組織的措置を実施する。

3.4 Processor は、Services の提供に必要な期間、または法令で要求される期間を超えて Personal Data を保持しない。

3.5 Processor は自己の目的のために Personal Data を処理しない。Processor は、Personal Data に該当しない集計化または匿名化された形式のデータのみを保持し、使用できる。

4. 再委託先

4.1 本第4条に従い、Controller は Processor が、Services の提供に必要な範囲に限り、かつ Schedule 2 に定める処理区分の範囲内においてのみ、Sub-processor を起用することを許可する。

4.2 Processor は、すべての Sub-processor が、本 DPA に含まれるものと実質的に同等であり、Applicable Laws に基づき要求されるデータ保護義務を課す書面契約に拘束されるよう確保する。

4.3 Processor は、Services の提供に関与するすべての現行 Sub-processor の最新一覧を維持する。当該一覧は継続的に更新され、Controller に対し次のURLで提供される：www.freecash.com/en/policies/privacy-eu（または Controller に通知される後継URL）。

4.4 Processor は、Personal Data に重要な影響を及ぼす処理活動について、いかなる Sub-processor を選任または交代させる前にも、事前通知（Sub-processor 一覧または法的に要求される場合は電子メールによる）を行う。

4.5 Controller は、合理的かつ文書化されたデータ保護上の理由に限り、新たな Sub-processor の選任に異議を述べることができる。Processor は、当該異議の解決に向けて Controller と誠実に協議する。

4.6 相互に受け入れ可能な解決策に至らない場合、Controller は、影響を受ける Services を停止し、または書面通知により終了させることができる。かかる停止または終了は、Sub-processor に関する異議についての Controller の唯一かつ排他的な救済手段とする。

5. 国際移転

5.1 Processor は、法的に認められ、かつ適切な保護措置が講じられる場合、EEA/UK 以外へ Personal Data を移転できる。

5.2 承認された保護措置には、EU 標準契約条項、UK Addendum/IDTA、またはそれらに代わるメカニズムが含まれる場合がある。

5.3 Processor は、移転を受ける Sub-processor が十分な保護措置を実施するよう確保する。

6. データ主体の権利

6.1 データ主体からの請求への対応は Controller が責任を負う。

6.2 Processor は、Controller の費用負担で、データ主体からの請求に対応するために合理的な支援を提供する。

6.3 Processor は、法令で要求される場合または Controller の指示がある場合を除き、データ主体に直接対応しない。

7. 個人データ侵害

7.1 Processor は、Personal Data に影響を及ぼす個人データ侵害を認識した後、遅滞なく Controller に通知する。

7.2 Processor は、Controller の通知義務の履行を支援するため、合理的に入手可能な情報を提供する。

7.3 Processor は、是正対応に関して Controller と協力する。

8. データ保護影響評価および監査

8.1 Processor は、Data Protection Laws により要求される範囲で、DPIA および監督当局との協議に合理的に協力する。

8.2 Controller は、独立した信頼性の高い監査人による監査または検査を実施できる。ただし、(a) 30日前の書面通知、(b) 法令で要求される場合または確認済みのインシデント後を除き、12か月間に1回を超えないこと、(c) 関連費用は Controller が負担すること、(d) 通常の営業時間内に、業務に過度の支障を与えず実施することを条件とする。

8.3 Processor は、遵守を示すために十分である場合、第三者認証または監査報告書の提供により監査義務を満たすことができる。

8.4 監査に関連するすべての費用および手数料は Controller が負担する。

9. データの返却および削除

9.1 第9.2条に従い、Processor は、Personal Data の処理を伴う Services の終了日から遅滞なく、いかなる場合も90営業日以内に、Controller の文書化された指示に従って Personal Data のすべての写しを削除、仮名化または返却する。ただし、Applicable Laws に基づき保持が義務付けられる写しを除く。

9.2 Agreement および Applicable Laws に従い、Processor は、法令により要求または許可される範囲で Personal Data を保持できる。ただし、Processor は当該 Personal Data の機密性を確保し、保持が要求または許可される目的のためにのみ処理することを条件とする。

10. 責任

Agreement に定める責任の制限および除外は、本 DPA にも同様に適用される。

11. 準拠法および管轄

本 DPA は、Agreement に定める準拠法および管轄に関する条項に従う。

12. 優先順位

12.1 本 DPA と Agreement の他の部分との間に矛盾がある場合、当該矛盾が Personal Data の処理または Data Protection Laws の遵守に関する限り、本 DPA が優先する。

12.2 第12.1条に従い、Order Form が明示的に定める場合、Order Form は Terms および本 DPA に優先する。

Schedule 1: 処理の詳細

処理対象: アトリビューション、分析、不正検知、請求検証、および広告キャンペーンの最適化。

期間: 契約期間に加え、法令上必要な保持期間。

処理の性質: Controller の Personal Data の受領、収集、構造化、照合、分析、仮名化、移転、保存および削除。

処理の目的:

• MMP を介したアトリビューションおよび照合

• クリック、インプレッション、インストールおよびイベントの測定

• 不正検知および不正抑止

• 精算および請求検証

• キャンペーンの最適化およびレポーティング

• 技術サポート

データ主体:

• 広告素材に接触するエンドユーザー

• プラットフォームへのアクセス権を有する Advertiser の担当者

個人データのカテゴリ:

• エンドユーザーデータ（アプリ/ウェブ）：広告識別子（IDFA/GAID）、IP アドレス、ユーザーエージェント、OS バージョン、端末モデル、インストール時刻、クリック時刻、概略位置情報、インストール後イベント、不正分析シグナル。

• Advertiser 担当者データ：氏名、メールアドレス、ログイン活動。

機微な個人データおよび特別カテゴリの個人データ: Advertiser は、Data Protection Laws に定義される機微な個人データまたは特別カテゴリの個人データを Processor に送信してはならない。

Schedule 2: 再委託先

Processor は、Services の提供に必要な範囲に限り、かつ次の処理区分の範囲内でのみ Sub-processor を起用できる：

1. クラウドホスティングおよびインフラストラクチャ提供事業者（サーバー、ストレージ、コンテンツ配信、および関連インフラサービスを含む

2. データ分析、アトリビューションおよび測定支援ツール（アトリビューションシグナルの受領、処理または検証に使用される技術ツールを含む

3. 不正検知およびトラフィック品質ベンダー（端末、行動、または技術シグナルを分析して不正防止を行うシステムを含む

4. セキュリティ、ログ記録および監視サービス提供事業者（アクセス制御、異常検知、インシデント監視および脅威防止のためのツールを含む

5. カスタマーサポートおよびコミュニケーションサービス（チケット管理、メール、および Controller 担当者とのやり取りに使用されるコミュニケーションプラットフォームを含む

6. バックアップ、冗長化および事業継続サービス提供事業者

7. 内部開発、監査および運用ツール（Processor の内部業務および Services の提供を支援する目的にのみ使用される

Processor は、現行のすべての Sub-processor の名称、所在地および処理目的を含む最新かつ正式な一覧を次のURLで維持する：www.freecash.com/en/policies/privacy-eu（または Controller に通知される後継URL）。

この一覧は、本 DPA 第4条に従い継続的に更新される。