• 以下に、自然で契約文書向きな日本語訳を示します

このパブリッシャーデータ処理追加契約（“DPA”）は、Almedia Publisher Terms & Conditions（“Terms”）および、該当するInsertion OrderまたはOrder Form（“Order Form”）に参照により組み込まれます。当該Order Formは、Almedia GmbH, Koppenstr. 8, 10243 Berlin, Germany（“Controller”または「Almedia」）と、Order FormにおいてPublisherとして特定される事業体（“Processor”または「Publisher」）との間で締結されるものです。

Order Form、Termsおよび本DPAは、ControllerとProcessorとの間の個人データ処理に関する完全な契約（以下“Agreement”）を構成します。本DPAで定義されていない大文字で始まる用語は、Order FormまたはTermsにおける定義に従うものとします。

1. 定義

1.1 “Applicable Laws”とは、GDPR、UK GDPR、CCPA（該当する場合）を含む、適用されるすべてのデータ保護法およびプライバシー法ならびに、本契約に基づく個人データの処理を規律するすべての法律をいいます。

1.2 “Personal Data”とは、本契約に基づき、ProcessorがControllerに代わって処理する個人データをいいます。

1.3 “Data Protection Laws”とは、EU Data Protection Lawsならびに、該当する範囲で、UK GDPRおよび、適用される場合にはCCPAを含むその他の適用国のデータ保護法またはプライバシー法をいいます。

1.4 “EU Data Protection Laws”とは、EU指令95/46/ECが各加盟国の国内法として移植されたものを指し、GDPRおよびGDPRを実施し、補完し、またはこれに代替もしくは置換される法律を含め、随時改正、置換または廃止されるものをいいます。

1.5 “GDPR”とは、EU一般データ保護規則（EU 2016/679）をいいます。

1.6 “Personal Data”、“Processing”、“Controller”、“Processor”、“Data Subject”、“Sub-processor”および“Supervisory Authority”といった用語は、GDPRにおける定義に従うものとします。

1.7 “Services”とは、本契約に記載された広告、アトリビューション、分析、不正検知、請求、最適化および関連するパブリッシャー向けサービスをいいます。

2. 当事者の役割

2.1 AlmediaはControllerとして行為します。広告主は本契約上、Processorとして行為します。

2.2 Controllerは、(i) 個人データを処理すること、ならびに(ii) とりわけ、個人データをいずれの国または地域にも移転することを、サービス提供に合理的に必要な範囲で、かつ本契約およびApplicable Lawsに適合する形で、Processorに指示します。

2.3 Processorは、Controllerの文書化された指示に従い、かつサービスの遂行を目的としてのみ、個人データを処理するものとします。

2.4 Controllerは、第2.2条に定める指示および本契約に基づく追加の文書化された指示を行うについて、関連するすべての時点において、ならびにProcessorが適法に個人データを処理する期間中、適法かつ有効に権限を有していること、および今後も有し続けることを保証し、表明します。

2.5 GDPR第28条第3項で要求される個人データ処理の詳細は、DPAの不可分の一部を構成するSchedule 1（処理の詳細）に定めるとおりです。

3. Processorの義務

3.1 Processorは、法令により別途要求される場合を除き、Controllerからの文書化された指示に基づく場合にのみ個人データを処理するものとします。

3.2 Processorは、個人データを処理する権限を付与された者が、強制力のある機密保持義務に服することを確保するものとします。

3.3 Processorは、GDPR第32条に従い要求される適切な技術的および組織的措置を実施するものとします。

3.4 Processorは、Applicable Lawsにより保持が要求または許容される場合、または法的請求の立証、行使もしくは防御、契約の履行、詐欺の防止およびサービスの安全性の保護に必要な場合を除き、サービス提供に必要な期間を超えて個人データを保持しないものとします。そのような場合、Processorは当該目的に処理を限定し、適切なアクセス制御を適用するものとします。

3.5 Processorは、自らの目的のために個人データを処理してはなりません。Processorは、個人データを構成しない集計済みまたは匿名化済みの形式のデータのみを保持および使用することができます。

4. Sub-processor

4.1 本第4条に従うことを条件として、Controllerは、Schedule 2に定める処理カテゴリの範囲内で、かつサービス提供に必要な範囲に限り、ProcessorがSub-processorを起用することを承認します。

4.2 Processorは、すべてのSub-processorが、本DPAに含まれるものと実質的に同等であり、Applicable Lawsに基づき要求されるデータ保護義務を課す書面契約に拘束されるようにするものとします。

4.3 Processorは、サービス提供に関与する現在のすべてのSub-processorについて、その名称、所在地および処理目的を含む最新の一覧を維持し、Controllerから要請があった場合には当該一覧を提供するものとします。

4.4 Processorは、個人データに重大な影響を及ぼす処理活動についてSub-processorを選任または変更する前に、電子メールにより事前通知を行うものとします。

4.5 Controllerは、合理的かつ文書化されたデータ保護上の理由がある場合に限り、新たなSub-processorの選任に異議を述べることができます。Processorは、当該異議の解決に向け、Controllerと誠実に協議するものとします。

4.6 相互に受け入れ可能な解決策に至らない場合、Controllerは、影響を受けるサービスを停止し、または書面通知により解除することができます。当該停止または解除は、Sub-processorに関する異議に関してControllerが有する唯一かつ排他的な救済手段とします。

5. 国際移転

5.1 Processorは、法的に許容され、かつ適切な保護措置を条件として、EEA/UK域外へ個人データを移転することができます。

5.2 承認された保護措置には、EU標準契約条項、UK Addendum/IDTA、またはそれらの後継となる仕組みが含まれる場合があります。

5.3 Processorは、移転を受領するSub-processorが適切な保護措置を実施することを確保するものとします。

6. データ主体の権利

6.1 Controllerは、データ主体からの請求への対応責任を負います。

6.2 Processorは、データ主体からの請求への対応について、Controllerに合理的な支援を提供するものとします。

6.3 Processorは、法令により要求される場合、またはControllerから指示された場合を除き、データ主体に直接対応してはなりません。

7. 個人データ侵害

7.1 Processorは、個人データに影響を及ぼす個人データ侵害を認識した後、遅滞なくControllerに通知するものとします。

7.2 Processorは、Controllerの通知義務の履行を支援するために合理的に利用可能な情報を提供するものとします。

7.3 Processorは、是正措置に関してControllerに協力するものとします。

8. データ保護影響評価および監査

8.1 Processorは、Data Protection Lawsにより要求される範囲で、DPIAおよび監督当局との協議に関し、合理的な支援を提供するものとします。

8.2 Controllerは、独立した信頼性の高い監査人が実施する監査または検査を行うことができます。ただし、(a) 30日前の書面通知、(b) 法令により要求される場合または確認済みインシデントの後を除き、12か月間に1回を超えないこと、(c) 関連費用の全額をControllerが負担すること、ならびに(d) 通常の営業時間内に、過度の支障なく実施されることを条件とします。

8.3 Processorは、遵守を示すのに十分である場合、第三者認証または監査報告書を提供することにより、監査義務を充足することができます。

9. データの返却および削除

9.1 第9.2条に従うことを条件として、Processorは、個人データの処理を伴うサービスの提供が終了した日から、速やかに、かついかなる場合も60日以内に、Controllerの文書化された指示に従い、個人データのすべての複製を削除、仮名化または返却するものとします。ただし、Applicable Lawsに基づきProcessorが保持を義務付けられる複製はこの限りではありません。

9.2 本契約およびApplicable Lawsに従うことを条件として、Processorは、法令により必要または許可される範囲で個人データを保持することができます。ただし、Processorは当該個人データの機密性を確保し、保持が必要または許可される目的のためにのみこれを処理するものとします。

10. 責任

本契約に定める責任の制限および免責は、本DPAにも同様に適用されます。

11. 準拠法および管轄

本DPAには、本契約に定める準拠法および管轄に関する条項が適用されます。

12. 優先順位

12.1 本DPAと本契約の他の部分との間に矛盾がある場合、当該矛盾が個人データの処理またはData Protection Lawsの遵守に関連するときは、本DPAが優先するものとします。

12.2 第12.1条に従うことを条件として、Order Formにおいて明示的に定められている場合には、Order FormがTermsおよび本DPAに優先します。

Schedule 1: 処理の詳細

対象事項: アトリビューション、分析、不正検知、請求検証および広告キャンペーンの最適化。

期間: 本契約の有効期間に加え、法令により要求される保持期間。

処理の性質: Controllerの個人データの受領、収集、構造化、照合、分析、仮名化、移転、保存および削除。

処理目的:

• MMPを通じたアトリビューションおよび照合

• クリック、インプレッション、インストールおよびイベントの計測

• 不正検知および不正抑止

• 精算および請求検証

• キャンペーン最適化およびレポーティング

• 技術サポート

データ主体:

• 広告素材とやり取りするエンドユーザー

• プラットフォームアクセス権を有する広告主担当者

個人データのカテゴリ:

• エンドユーザーデータ（アプリ／Web）: 広告識別子（IDFA/GAID）、IPアドレス、user-agent、OSバージョン、デバイスモデル、インストール時刻、クリック時刻、概略地理情報、インストール後イベント、不正分析シグナル。

• 広告主担当者データ: 氏名、メールアドレス、ログインアクティビティ。

機微な個人データおよび特別カテゴリーの個人データ: データ保護法に定義される機微な個人データまたは特別カテゴリーの個人データを、AdvertiserはProcessorに送信してはなりません。

Schedule 2: Sub-processor

Processorは、以下の処理カテゴリの範囲内に限り、かつサービス提供に必要な範囲に限り、Sub-processorを起用することができます。

1. クラウドホスティングおよびインフラストラクチャ提供事業者（サーバー、ストレージ、コンテンツ配信および関連インフラサービスを含む

2. データ分析、アトリビューションおよび計測支援ツール（アトリビューションシグナルを受信、処理または検証するために使用される技術ツールを含む）

3. 不正検知およびトラフィック品質ベンダー（不正防止のためにデバイス、行動または技術シグナルを分析するシステムを含む）

4. セキュリティ、ロギングおよび監視提供事業者（アクセス制御、異常検知、インシデント監視および脅威防止のためのツールを含む）

5. カスタマーサポートおよびコミュニケーションサービス（Controllerの担当者とのやり取りに使用されるチケット管理、メールおよびコミュニケーション・プラットフォームを含む）

6. バックアップ、冗長化および事業継続提供事業者

7. 内部開発、監査および運用ツール（Processorの社内業務およびサービス提供を支援する目的に限り使用されるもの）

Processorは、現在のすべてのSub-processorについて、その名称、所在地および処理目的を含む最新かつ正確な一覧を維持し、当該一覧はControllerにも共有されます。

この一覧は、本DPA第4条に従い継続的に更新されます。