링크
데이터 처리 계약(DPA)

본 링크 데이터 처리 부속합의서(“DPA”)는 Almedia Link 이용약관(“Terms”)과 해당 발주서 또는 주문서 양식(“Order Form”)에 참조로 편입되며, 독일 베를린 10243 Koppenstr. 8 소재 Almedia GmbH(“관리자” 또는 "Almedia")와 주문서 양식에서 퍼블리셔로 식별된 법인(“처리자” 또는 "Publisher") 사이에 체결됩니다.

Order Form, Terms 및 본 DPA는 함께 관리자와 처리자 간의 전체 데이터 처리 계약(“Agreement”)을 구성합니다. 본 DPA에서 정의되지 않은 대문자 표기 용어는 Order Form 또는 Terms에서 부여된 의미를 갖습니다.

1. 정의

1.1 “Applicable Laws”란 GDPR, UK GDPR, CCPA(해당되는 경우)를 포함한 모든 관련 데이터 보호 및 개인정보 보호 법령과, 본 Agreement에 따른 개인정보 처리에 적용되는 모든 법령을 의미합니다.

1.2 “Personal Data”란 본 Agreement에 따라 처리자가 관리자를 대신하여 처리하는 모든 개인정보를 의미합니다. Personal Data에는 해당되는 경우, Freecash 계정 식별자, 연결 토큰, 리워드 귀속 이벤트 및 이러한 연결과 관련하여 생성된 기술 식별자를 포함하여 최종 사용자 계정을 관리자의 서비스와 연결하는 데 관련된 식별자 및 이벤트 데이터가 포함됩니다.

1.3 “Data Protection Laws”란 EU Data Protection Laws와, 적용 범위 내에서 UK GDPR 및 해당되는 경우 CCPA를 포함한 기타 적용 가능한 국가의 데이터 보호 또는 개인정보 보호 법령을 의미합니다.

1.4 “EU Data Protection Laws”란 EU 지침 95/46/EC가 각 회원국의 국내법으로 전환된 법령으로서, GDPR 및 GDPR을 이행하거나 보완하는 법령을 포함하여 수시로 개정, 대체 또는 폐지되는 모든 법령을 의미합니다.

1.5 “GDPR”란 EU 일반 개인정보 보호 규정(EU 2016/679)을 의미합니다.

1.6 “Personal Data”, “Processing”, “Controller”, “Processor”, “Data Subject”, “Sub-processor”, 및 “Supervisory Authority”와 같은 용어는 GDPR에서 부여된 의미를 갖습니다.

1.7 “Services”란 본 Agreement에 설명된 광고, 어트리뷰션, 분석, 사기 탐지, 청구, 최적화 및 관련 퍼블리셔 서비스를 의미합니다.

2. 당사자의 역할

2.1 Almedia는 관리자 역할을 수행합니다. 광고주는 본 Agreement상 처리자 역할을 수행합니다.

2.2 관리자는 처리자에게 (i) Personal Data를 처리할 것과, (ii) 특히 Personal Data를 모든 국가 또는 지역으로 이전할 것을 지시하며, 이는 Services의 제공에 합리적으로 필요한 범위에서 그리고 본 Agreement 및 Applicable Laws와 일치하는 방식으로 이루어집니다.

2.3 처리자는 오로지 Services를 수행하기 위한 목적에 한하여, 관리자의 문서화된 지시에 엄격히 따라 Personal Data를 처리해야 하며, 처리의 목적이나 수단을 독자적으로 결정해서는 안 됩니다.

2.4 관리자는 처리자가 Personal Data를 합법적으로 처리하는 기간 동안 및 모든 관련 시점에, 제2.2조에 명시된 지시와 본 Agreement에 따른 추가 문서화된 지시를 부여할 정당하고 유효한 권한을 보유하고 있으며 앞으로도 계속 보유할 것임을 보증하고 진술합니다.

2.5 GDPR 제28조 제3항에서 요구하는 Personal Data 처리의 세부 사항은 본 DPA의 필수적인 일부를 구성하는 별표 1(처리 세부 사항)에 규정되어 있습니다.

2.6 당사자들은 본 Agreement에 따라 처리되는 모든 Personal Data(링크 통합과 관련된 경우를 포함)에 대하여, 처리자가 공동 관리자나 독립적 관리자가 아니라 오로지 관리자를 대신하는 처리자로서만 역할을 수행함을 인정하고 이에 동의합니다.

3. 처리자의 의무

3.1 처리자는 법률상 달리 요구되는 경우를 제외하고, 관리자의 문서화된 지시에 따라서만 Personal Data를 처리해야 합니다.

3.2 처리자는 Personal Data를 처리하도록 승인된 자들이 집행 가능한 비밀유지 의무를 부담하도록 해야 합니다.

3.3 처리자는 GDPR 제32조에 따라 요구되는 적절한 기술적 및 조직적 조치를 이행해야 합니다.

3.4 처리자는 Applicable Laws에 따라 보유가 요구되거나 허용되거나, 법적 청구의 성립·행사·방어, Agreement의 집행, 또는 사기 방지 및 Services의 보안 보호를 위해 필요한 경우를 제외하고는 Services 제공에 필요한 기간보다 더 오래 Personal Data를 보유해서는 안 됩니다. 이러한 경우 처리자는 해당 목적에 한하여 처리 범위를 제한하고 적절한 접근 통제를 적용해야 합니다.

3.5 처리자는 자신의 목적을 위해 Personal Data를 처리해서는 안 됩니다. 특히 처리자는 Personal Data를 사용하여 사용자 프로필, 계정 그래프, 행동 모델 또는 오디언스 세그먼트를 구축하거나, 자체 데이터셋이나 서비스를 보강하거나, 관리자의 문서화된 지시 범위를 벗어난 분석, 수익화 또는 최적화를 수행해서는 안 됩니다. 처리자는 Personal Data에 해당하지 않는 집계 또는 익명화된 형태의 데이터만 보유하고 사용할 수 있습니다.

4. 하위 처리자

4.1 본 제4조의 적용을 조건으로, 관리자는 처리자가 Services 제공에 필요한 범위 내에서만, 그리고 별표 2에 규정된 처리 범주에 한하여 하위 처리자를 이용하는 것을 승인합니다.

4.2 처리자는 모든 하위 처리자가 본 DPA에 포함된 것과 실질적으로 동등하고 Applicable Laws에 따라 요구되는 데이터 보호 의무를 부과하는 서면 계약에 구속되도록 해야 합니다.

4.3 처리자는 Services 제공에 관여하는 모든 현재 하위 처리자의 최신 목록(신원, 소재지 및 처리 목적 포함)을 유지해야 하며, 요청 시 해당 목록을 관리자에게 제공해야 합니다.

4.4 처리자는 Personal Data에 중대한 영향을 미치는 처리 활동과 관련하여 하위 처리자를 지정하거나 교체하기 전에 이메일로 사전 통지해야 합니다.

4.5 관리자는 합리적이고 문서화된 데이터 보호 사유에 한하여 새로운 하위 처리자 지정에 이의를 제기할 수 있습니다. 처리자는 이러한 이의 제기를 해결하기 위해 관리자와 성실하게 협의해야 합니다.

4.6 상호 수용 가능한 해결책에 도달하지 못하는 경우, 관리자는 영향을 받는 Services를 중단하거나 서면 통지를 통해 종료할 수 있습니다. 이러한 중단 또는 종료는 하위 처리자 이의 제기와 관련하여 관리자의 유일하고 배타적인 구제수단입니다.

5. 국제 이전

5.1 처리자는 법적으로 허용되고 적절한 보호조치가 적용되는 경우, 링크 통합 및 리워드 귀속을 지원하는 데 필요한 이전을 포함하여 Personal Data를 EEA/UK 외부로 이전할 수 있습니다.

5.2 승인된 보호조치에는 EU 표준계약조항, UK 부속서/IDTA 또는 이를 대체하는 메커니즘이 포함될 수 있습니다.

5.3 처리자는 이전을 수령하는 하위 처리자가 적절한 보호조치를 이행하도록 해야 합니다.

6. 정보주체 권리

6.1 정보주체 요청에 응답할 책임은 관리자에게 있습니다.

6.2 처리자는 정보주체 요청에 응답하는 데 있어 관리자에게 합리적인 지원을 제공해야 합니다.

6.3 처리자는 법률상 요구되거나 관리자의 지시가 있는 경우를 제외하고, 정보주체에게 직접 응답해서는 안 됩니다.

7. 개인정보 침해

7.1 처리자는 Personal Data에 영향을 미치는 개인정보 침해를 인지한 후 지체 없이 관리자에게 통지해야 합니다.

7.2 처리자는 관리자가 통지 의무를 이행하는 데 도움이 되도록 합리적으로 이용 가능한 정보를 제공해야 합니다.

7.3 처리자는 시정 조치와 관련하여 관리자와 협력해야 합니다.

8. 개인정보 영향평가 및 감사

8.1 처리자는 Data Protection Laws에서 요구되는 범위 내에서, DPIA 및 감독기관과의 협의에 대해 합리적인 지원을 제공해야 합니다.

8.2 관리자는 독립적이고 평판이 좋은 감사인이 수행하는 감사 또는 점검을 다음 조건에 따라 실시할 수 있습니다: (a) 30일 전 서면 통지, (b) 법률상 요구되거나 확인된 사고 이후가 아닌 한 12개월당 1회 초과 금지, (c) 관련 비용 전액은 관리자 부담, (d) 감사는 정상 영업시간 중 과도한 업무 방해 없이 진행될 것.

8.3 처리자는 준수를 입증하기에 충분한 경우 제3자 인증 또는 감사 보고서를 제공함으로써 감사 의무를 충족할 수 있습니다.

9. 데이터의 반환 및 삭제

9.1 제9.2조에 따르되, 처리자는 Personal Data 처리와 관련된 모든 Services가 종료된 날로부터 가능한 한 신속히, 그리고 어떠한 경우에도 60일 이내에, 관리자의 문서화된 지시에 따라 Personal Data의 모든 사본을 삭제, 가명처리 또는 반환해야 하며, Applicable Laws에 따라 처리자가 보유해야 하는 사본은 예외로 합니다.

9.2 Agreement 및 Applicable Laws에 따르되, 처리자는 법률상 요구되거나 허용되는 범위 내에서 Personal Data를 보유할 수 있으며, 이 경우 처리자는 해당 Personal Data의 기밀성을 보장하고, 보유가 요구되거나 허용된 목적에 한해서만 이를 처리해야 합니다.

10. 책임

Agreement에 규정된 책임의 제한 및 면제는 본 DPA에도 동일하게 적용됩니다.

11. 준거법 및 관할

본 DPA는 Agreement에 규정된 준거법 및 관할 조항의 적용을 받습니다.

12. 우선순위

12.1 본 DPA와 Agreement의 다른 부분 사이에 충돌이 있는 경우, 해당 충돌이 Personal Data의 처리 또는 Data Protection Laws 준수와 관련되는 범위에서 본 DPA가 우선합니다.

12.2 제12.1조에 따르되, Order Form에 명시적으로 규정된 경우 Order Form이 Terms 및 본 DPA보다 우선합니다.

별표 1: 처리 세부 사항

처리 대상: Link Integration과 관련된 어트리뷰션, 분석, 사기 탐지, 청구 검증, 광고 캠페인 최적화, 계정 연결 및 리워드 귀속.

기간: Agreement의 유효 기간과 법적으로 요구되는 보관 기간.

처리의 성격: 관리자의 Personal Data 수령, 수집, 구조화, 매칭, 분석, 가명처리, 이전, 보관 및 삭제.

처리 목적:

• MMP를 통한 어트리뷰션 및 매칭

• 클릭, 노출, 설치 및 이벤트 측정

• 사기 탐지 및 완화

• 정산 및 청구 검증

• 캠페인 최적화 및 보고

• 기술 지원

• 퍼블리셔 속성과 관리자 서비스 간의 최종 사용자 계정 연결

• 리워드 대상 인게임 참여의 검증 및 귀속

• 중복, 사기 또는 조작된 리워드 청구의 방지

정보주체:

• 광고 자료와 상호작용하는 최종 사용자

• 플랫폼 접근 권한을 가진 광고주 인력

Personal Data의 범주:

• 최종 사용자 데이터(app/web): 광고 식별자(IDFA/GAID), IP 주소, 사용자 에이전트, OS 버전, 기기 모델, 설치 시각, 클릭 시각, 대략적 지역 정보, 설치 후 이벤트, 사기 분석 신호, Freecash 계정 식별자 또는 가명 연결 토큰, 계정 연결 시각 및 상태 플래그, 리워드 적격성 및 귀속 이벤트.

• 광고주 인력 데이터: 이름, 이메일, 로그인 활동.

민감 및 특별 범주의 Personal Data: 광고주는 Data Protection Laws에서 정의된 어떠한 민감 정보 또는 특별 범주의 Personal Data도 처리자에게 전송해서는 안 됩니다.

별표 2: 하위 처리자

처리자는 Services 제공에 필요한 범위 내에서만, 그리고 다음 처리 범주에 한하여 하위 처리자를 이용할 수 있습니다:

1. 클라우드 호스팅 및 인프라 제공업체(서버, 스토리지, 콘텐츠 전송 및 관련 인프라 서비스를 포함

2. 데이터 분석, 어트리뷰션 및 측정 지원 도구(어트리뷰션 신호를 수신, 처리 또는 검증하는 데 사용되는 기술 도구 포함)

3. 사기 탐지 및 트래픽 품질 벤더(사기 방지를 위해 기기, 행동 또는 기술 신호를 분석하는 시스템 포함)

4. 보안, 로깅 및 모니터링 제공업체(접근 제어, 이상 탐지, 사고 모니터링 및 위협 방지용 도구 포함)

5. 고객 지원 및 커뮤니케이션 서비스(관리자 인력과의 상호작용에 사용되는 티켓팅, 이메일 및 커뮤니케이션 플랫폼 포함)

6. 백업, 중복성 및 비즈니스 연속성 제공업체

7. 내부 개발, 감사 및 운영 도구. 단, 이는 Services 제공에 필요한 처리자의 내부 운영을 지원하기 위한 경우에만 해당하며, 독립적인 제품 개발이나 데이터 활용을 위한 용도는 아닙니다.

처리자는 신원, 소재지 및 처리 목적을 포함한 모든 현재 하위 처리자의 최신의 권위 있는 목록을 유지하며, 이는 관리자에게도 통지됩니다).

이 목록은 본 DPA 제4조에 따라 지속적으로 업데이트됩니다.