パブリッシャー
データ処理契約（DPA）

本パブリッシャー向けデータ処理補遺（“DPA”）は、Almedia Publisher利用規約（“Terms”）および、Almedia GmbH, Koppenstr. 8, 10243 Berlin, Germany（“Controller”または“Almedia”）と、Order FormにおいてPublisherとして特定される事業体（“Processor”または“Publisher”）との間で締結される該当のインサーションオーダーまたは注文書（“Order Form”）に、参照により組み込まれます。

Order Form、Terms、および本DPAは併せて、ControllerとProcessor間の個人データ処理に関する完全なデータ処理契約を構成します（“Agreement”）。本DPAで定義されていない頭文字大文字の用語は、Order FormまたはTermsにおける意味を有します。

1. 定義

1.1 “Applicable Laws”とは、GDPR、UK GDPR、CCPA（該当する場合）を含む、適用されるすべてのデータ保護法およびプライバシー法、ならびに本Agreementに基づくPersonal Dataの処理を規律するすべての法令を意味します。

1.2 “Personal Data”とは、本Agreementに基づきProcessorがControllerに代わって処理するあらゆる個人データを意味します。

1.3 “Data Protection Laws”とは、EU Data Protection Lawsおよび、該当する範囲で、UK GDPRならびに該当する場合のCCPAを含む、その他の適用国のデータ保護法またはプライバシー法を意味します。

1.4 “EU Data Protection Laws”とは、EU指令95/46/ECの各加盟国の国内法への移行版であり、GDPRおよびGDPRを実施または補完する法令を含め、随時改正、差替えまたは廃止されるものを意味します。

1.5 “GDPR”とは、EU一般データ保護規則（EU 2016/679）を意味します。

1.6 “Personal Data”、“Processing”、“Controller”、“Processor”、“Data Subject”、“Sub-processor”および“Supervisory Authority”などの用語は、GDPRにおける意味を有します。

1.7 “Services”とは、本Agreementに記載される広告、アトリビューション、分析、不正検知、請求、最適化および関連するパブリッシャーサービスを意味します。

2. 各当事者の役割

2.1 AlmediaはControllerとして行動します。広告主は本Agreementに基づきProcessorとして行動します。

2.2 ControllerはProcessorに対し、(i) Personal Dataを処理すること、ならびに (ii) とりわけ、Personal Dataをあらゆる国または地域へ移転することを指示します。これらは、Servicesの提供に合理的に必要であり、かつ本AgreementおよびApplicable Lawsに整合する範囲に限られます。

2.3 Processorは、Servicesの実施を目的とし、Controllerの文書化された指示に従ってのみPersonal Dataを処理します。

2.4 Controllerは、Section 2.2に定める指示および本Agreementに基づく追加の文書化された指示を、関連するすべての時点において、またProcessorが合法的にPersonal Dataを処理する期間中を通じて、適法かつ有効に行う権限を有し、今後も有し続けることを保証し、表明します。

2.5 GDPR第28条(3)で要求されるPersonal Data処理の詳細は、Schedule 1（処理の詳細）に定められており、同Scheduleは本DPAの不可分の一部を構成します。

3. Processorの義務

3.1 Processorは、法令で別途要求される場合を除き、Controllerからの文書化された指示に基づいてのみPersonal Dataを処理します。

3.2 Processorは、Personal Dataの処理を許可された者が、執行可能な秘密保持義務を負うことを確保します。

3.3 Processorは、GDPR第32条で要求される適切な技術的および組織的措置を実施します。

3.4 Processorは、Applicable Lawsにより保管が要求または許容される場合、あるいは法的請求の確立、行使もしくは防御、Agreementの執行、または不正の防止およびServicesの安全性の保護に必要な場合を除き、Servicesの提供に必要な期間を超えてPersonal Dataを保持しません。そのような場合、Processorは当該目的に処理を限定し、適切なアクセス制御を適用します。

3.5 Processorは、自らの目的のためにPersonal Dataを処理してはなりません。Processorは、Personal Dataに該当しない集約済みまたは匿名化済みの形式のデータのみを保持および利用できます。

4. サブプロセッサー

4.1 本Section 4に従い、Controllerは、Processorがサブプロセッサーを起用することを、Servicesの提供に必要な範囲に限り、かつSchedule 2に定める処理カテゴリーの範囲内においてのみ許可します。

4.2 Processorは、すべてのサブプロセッサーが、本DPAに含まれるものと実質的に同等であり、Applicable Lawsに基づき要求されるデータ保護義務を課す書面契約に拘束されるようにします。

4.3 Processorは、Servicesの提供に関与するすべての現行サブプロセッサーについて、その識別情報、所在地、および処理目的を含む最新の一覧を維持し、Controllerから要請があれば当該一覧を提供します。

4.4 Processorは、Personal Dataに重大な影響を与える処理活動について、いずれかのサブプロセッサーを選任または変更する前に、電子メールにより事前通知を行います。

4.5 Controllerは、合理的かつ文書化されたデータ保護上の理由に限り、新たなサブプロセッサーの選任に異議を申し立てることができます。Processorは、当該異議の解決に向け、Controllerと誠実に協議します。

4.6 相互に受け入れ可能な解決策に至らない場合、Controllerは影響を受けるServicesを停止し、または書面通知により終了させることができます。かかる停止または終了は、サブプロセッサーに関する異議についてのControllerの唯一かつ排他的な救済手段とします。

5. 国際移転

5.1 Processorは、法的に許容され、かつ適切な保護措置が講じられる場合、EEA/UK外へPersonal Dataを移転できます。

5.2 承認された保護措置には、EU標準契約条項、UK Addendum/IDTA、またはそれに代わる後継の仕組みが含まれます。

5.3 Processorは、移転を受けるサブプロセッサーが適切な保護措置を実施することを確保します。

6. データ主体の権利

6.1 データ主体からの請求への対応責任はControllerが負います。

6.2 Processorは、データ主体からの請求に対応するにあたり、Controllerに合理的な支援を提供します。

6.3 Processorは、法令で要求される場合またはControllerから指示された場合を除き、データ主体に直接応答しません。

7. 個人データ侵害

7.1 Processorは、Personal Dataに影響を及ぼすPersonal Data Breachを認識した後、不当な遅滞なくControllerに通知します。

7.2 Processorは、Controllerの通知義務の履行を支援するため、合理的に入手可能な情報を提供します。

7.3 Processorは、是正対応に関してControllerに協力します。

8. データ保護影響評価および監査

8.1 Processorは、Data Protection Lawsで要求される範囲で、DPIAおよび監督当局との協議について合理的な支援を提供します。

8.2 Controllerは、独立した信頼できる監査人が実施する監査または検査を、(a) 30日前の書面通知、(b) 法令で要求される場合または確認済みインシデント後を除き12か月間に1回を超えないこと、(c) 関連費用をすべてControllerが負担すること、(d) 業務の通常時間内に不当な支障を伴わず実施されること、を条件として実施できます。

8.3 Processorは、コンプライアンスを証明するのに十分であれば、第三者認証または監査報告書を提供することで監査義務を満たすことができます。

9. データの返却および削除

9.1 Section 9.2に従い、Processorは、個人データの処理を伴うServicesの終了日から速やかに、かついかなる場合も60日以内に、Controllerの文書化された指示に従って、Personal Dataのすべての写しを削除、仮名化または返却します。ただし、Applicable Lawsにより保持が要求される写しは除きます。

9.2 AgreementおよびApplicable Lawsに従い、Processorは、法令により保持が要求または許可される範囲でPersonal Dataを保持できます。ただし、Processorは当該Personal Dataの秘密性を確保し、保持が要求または許可された目的にのみ処理します。

10. 責任

Agreementに定める責任の制限および免責は、本DPAにも同様に適用されます。

11. 準拠法および裁判管轄

本DPAは、Agreementに定める準拠法および裁判管轄に関する規定に従います。

12. 優先順位

12.1 本DPAとAgreementの他の部分との間に矛盾がある場合、当該矛盾がPersonal Dataの処理またはData Protection Lawsへの準拠に関係する範囲で、本DPAが優先します。

12.2 Section 12.1に従い、Order Formは、明示的に定められている場合、Termsおよび本DPAに優先します。

Schedule 1: 処理の詳細

対象事項: 広告キャンペーンのアトリビューション、分析、不正検知、請求検証、および最適化。

期間: Agreementの契約期間および法令上必要な保持期間。

処理の性質: ControllerのPersonal Dataの受領、収集、構造化、照合、分析、仮名化、移転、保存および削除。

処理目的:

• MMPを通じたアトリビューションおよびマッチング

• クリック、インプレッション、インストールおよびイベントの計測

• 不正検知およびその軽減

• 精算および請求検証

• キャンペーン最適化およびレポーティング

• 技術サポート

データ主体:

• 広告素材と接触するエンドユーザー

• プラットフォームへのアクセス権を有する広告主の担当者

個人データのカテゴリー:

• エンドユーザーデータ（アプリ/ウェブ）: 広告識別子（IDFA/GAID）、IPアドレス、ユーザーエージェント、OSバージョン、デバイスモデル、インストール時刻、クリック時刻、粗い位置情報、インストール後イベント、不正分析シグナル。

• 広告主担当者データ: 氏名、メールアドレス、ログイン活動。

機微な個人データおよび特別カテゴリの個人データ: Advertiserは、Data Protection Lawsで定義されるいかなる機微な個人データまたは特別カテゴリの個人データもProcessorに送信してはなりません。

Schedule 2: サブプロセッサー

Processorは、以下の処理カテゴリーの範囲内でのみ、かつServicesの提供に必要な範囲に限り、サブプロセッサーを起用できます:

1. クラウドホスティングおよびインフラストラクチャ提供者（サーバー、ストレージ、コンテンツ配信、および関連インフラストラクチャサービスを含む

2. データ分析、アトリビューション、および計測支援ツール（アトリビューションシグナルの受信、処理、または検証に使用される技術ツールを含む）

3. 不正検知およびトラフィック品質ベンダー（不正防止のためにデバイス、行動、または技術シグナルを分析するシステムを含む）

4. セキュリティ、ログ記録、および監視提供者（アクセス制御、異常検知、インシデント監視、および脅威防止のためのツールを含む）

5. カスタマーサポートおよびコミュニケーションサービス（Controllerの担当者とのやり取りに使用されるチケット管理、メール、およびコミュニケーションプラットフォームを含む）

6. バックアップ、冗長化、および事業継続性の提供者

7. 社内開発、監査、および運用ツール（Processorの社内運用およびServicesの提供を支援するためだけに使用される）

Processorは、各サブプロセッサーの識別情報、所在地、および処理目的を含む、現行のすべてのサブプロセッサーの最新かつ権威ある一覧を維持しており、当該一覧はControllerにも通知されます)

この一覧は、本DPAのSection 4に従い継続的に更新されます。