퍼블리셔
데이터 처리 계약(DPA)

이 퍼블리셔 데이터 처리 부속합의서(“DPA”)는 Almedia 퍼블리셔 이용약관 및 조건(“Terms”)과 당사자 간 체결된 해당 인서션 오더 또는 주문서(“Order Form”)에 참조로 포함되며, 이는 독일 베를린 10243, Koppenstr. 8에 소재한 Almedia GmbH(“Controller” 또는 "Almedia")와 주문서에서 퍼블리셔로 식별되는 법인(“Processor” 또는 "Publisher") 사이에 체결된다.

주문서, 약관 및 본 DPA는 함께 관리자와 처리자 간의 전체 데이터 처리 계약(“Agreement”)을 구성한다. 본 DPA에서 정의되지 않은 대문자로 표기된 용어는 주문서 또는 약관에서 부여된 의미를 따른다.

1. 정의

1.1 “관련 법률”이란 GDPR, UK GDPR, CCPA(해당되는 경우) 및 본 계약상 개인정보 처리에 적용되는 모든 법률을 포함한, 적용 가능한 모든 데이터 보호 및 개인정보 보호 관련 법률을 의미한다.

1.2 “개인 데이터”란 본 계약에 따라 처리자가 관리자를 대신하여 처리하는 모든 개인정보를 의미한다.

1.3 “데이터 보호 법률”이란 EU 데이터 보호 법률과, 해당되는 범위에서 UK GDPR 및 해당되는 경우 CCPA를 포함한 기타 적용 가능한 국가의 데이터 보호 또는 개인정보 보호 법률을 의미한다.

1.4 “EU 데이터 보호 법률”이란 EU 지침 95/46/EC로서 각 회원국의 국내법에 전환되어 적용되고, GDPR 및 GDPR을 이행하거나 보완하는 법률에 의해 수시로 개정, 대체 또는 승계되는 법률을 의미한다.

1.5 “GDPR”이란 EU 일반개인정보보호규정(EU 2016/679)을 의미한다.

1.6 “개인 데이터”, “처리”, “관리자”, “처리자”, “정보주체”, “하위 처리자”, “감독기구” 등의 용어는 GDPR에서 부여된 의미를 갖는다.

1.7 “서비스”란 본 계약에 설명된 광고, 어트리뷰션, 분석, 사기 탐지, 청구, 최적화 및 관련 퍼블리셔 서비스를 의미한다.

2. 당사자의 역할

2.1 Almedia는 관리자 역할을 수행한다. 광고주는 본 계약상 처리자 역할을 수행한다.

2.2 관리자는 처리자에게 (i) 개인 데이터를 처리할 것과; (ii) 특히 개인 데이터를 모든 국가 또는 지역으로 이전할 것을 지시하며, 이는 서비스 제공에 합리적으로 필요한 범위에서 그리고 본 계약 및 관련 법률과 일치하는 범위에서 이루어진다.

2.3 처리자는 서비스 수행 목적에 한하여, 그리고 관리자의 문서화된 지시에 따라 개인 데이터를 처리해야 한다.

2.4 관리자는 본 계약 및 처리자가 합법적으로 개인 데이터를 처리하는 기간 동안 모든 관련 시점에, 제2.2조에 명시된 지시 및 본 계약에 따른 추가 문서화된 지시를 할 수 있도록 적법하고 유효하게 권한을 부여받았으며 앞으로도 그러할 것임을 보증하고 진술한다.

2.5 GDPR 제28조 제3항에 따라 요구되는 개인 데이터 처리의 세부 사항은 별지 1(처리 세부 사항)에 명시되며, 이는 본 DPA의 불가분의 일부를 이룬다.

3. 처리자의 의무

3.1 처리자는 법률상 달리 요구되는 경우를 제외하고, 관리자의 문서화된 지시에 따라서만 개인 데이터를 처리해야 한다.

3.2 처리자는 개인 데이터 처리 권한이 부여된 자들이 집행 가능한 기밀유지 의무의 적용을 받도록 해야 한다.

3.3 처리자는 GDPR 제32조에서 요구하는 적절한 기술적 및 조직적 조치를 이행해야 한다.

3.4 처리자는 관련 법률상 보관이 요구되거나 허용되거나, 법적 청구의 제기·행사·방어, 본 계약의 집행, 또는 사기 방지 및 서비스 보안 보호를 위해 필요한 경우를 제외하고는 서비스 제공에 필요한 기간을 초과하여 개인 데이터를 보유해서는 안 된다. 그러한 경우 처리자는 해당 목적에 한하여 처리를 제한하고 적절한 접근 통제를 적용해야 한다.

3.5 처리자는 자체 목적을 위해 개인 데이터를 처리해서는 안 된다. 처리자는 개인 데이터를 구성하지 않는 집계 또는 익명화된 형태의 데이터만 보관 및 사용할 수 있다.

4. 하위 처리자

4.1 본 제4조의 적용을 전제로, 관리자는 별지 2에 명시된 처리 범주 내에서 그리고 서비스 제공에 필요한 범위에 한하여 처리자가 하위 처리자를 이용하는 것을 승인한다.

4.2 처리자는 모든 하위 처리자가 본 DPA에 포함된 내용과 실질적으로 동등하고 관련 법률상 요구되는 데이터 보호 의무를 부과하는 서면 계약의 구속을 받도록 해야 한다.

4.3 처리자는 서비스 제공에 관여하는 모든 현행 하위 처리자의 최신 목록을 그 신원, 소재지 및 처리 목적을 포함하여 유지하며, 요청 시 해당 목록을 관리자에게 제공해야 한다.

4.4 처리자는 개인 데이터에 중대한 영향을 미치는 처리 활동을 위해 하위 처리자를 지정하거나 교체하기 전에 이메일로 사전 통지해야 한다.

4.5 관리자는 합리적이고 문서화된 데이터 보호상의 근거가 있는 경우에만 신규 하위 처리자 지정에 이의를 제기할 수 있다. 처리자는 해당 이의를 해결하기 위해 관리자와 성실히 협력해야 한다.

4.6 상호 수용 가능한 해결책에 도달할 수 없는 경우, 관리자는 영향을 받는 서비스를 중단하거나 서면 통지로 해지할 수 있다. 이러한 중단 또는 해지는 하위 처리자 이의 제기와 관련하여 관리자의 유일하고 배타적인 구제수단이다.

5. 국제 이전

5.1 처리자는 법적으로 허용되고 적절한 보호조치가 적용되는 경우 EEA/영국 외부로 개인 데이터를 이전할 수 있다.

5.2 승인된 보호조치에는 EU 표준계약조항, 영국 부속서/IDTA 또는 이를 대체하는 후속 메커니즘이 포함될 수 있다.

5.3 처리자는 이전을 수령하는 하위 처리자들이 적절한 보호조치를 이행하도록 해야 한다.

6. 정보주체의 권리

6.1 정보주체의 요청에 응답하는 책임은 관리자에게 있다.

6.2 처리자는 정보주체의 요청에 응답하는 데 있어 관리자에게 합리적인 지원을 제공해야 한다.

6.3 처리자는 법률상 요구되거나 관리자의 지시가 있는 경우를 제외하고 정보주체에게 직접 응답해서는 안 된다.

7. 개인 데이터 침해

7.1 처리자는 개인 데이터에 영향을 미치는 개인 데이터 침해를 인지한 후 부당한 지체 없이 관리자에게 통지해야 한다.

7.2 처리자는 통지 의무를 이행하는 데 있어 관리자를 지원하기 위해 합리적으로 이용 가능한 정보를 제공해야 한다.

7.3 처리자는 시정 조치와 관련하여 관리자와 협력해야 한다.

8. 데이터 보호 영향평가 및 감사

8.1 처리자는 데이터 보호 법률상 요구되는 범위에서, DPIA 및 감독기구와의 협의와 관련하여 합리적인 지원을 제공해야 한다.

8.2 관리자는 다음 조건에 따라 독립적이고 평판이 좋은 감사인이 수행하는 감사 또는 점검을 실시할 수 있다: (a) 30일 전 서면 통지, (b) 법률상 요구되거나 확인된 사고가 발생한 경우를 제외하고는 12개월 기간 내 1회 이하의 감사, (c) 관련 비용은 모두 관리자가 부담할 것, (d) 감사는 정상 영업시간 중 과도한 방해 없이 진행될 것.

8.3 처리자는 제3자 인증서 또는 감사 보고서를 제공하는 것으로 감사 의무를 충족할 수 있으며, 해당 자료가 준수 입증에 충분한 경우에 한한다.

9. 데이터 반환 및 삭제

9.1 제9.2조의 적용을 전제로, 처리자는 개인 데이터 처리와 관련된 모든 서비스가 중단된 날로부터 지체 없이, 어떠한 경우에도 60일 이내에, 관리자의 문서화된 지시에 따라 모든 개인 데이터 사본을 삭제, 가명처리 또는 반환해야 하며, 관련 법률상 보유가 요구되는 사본은 제외한다.

9.2 계약 및 관련 법률의 적용을 전제로, 처리자는 법률상 요구되거나 허용되는 범위에서 개인 데이터를 보유할 수 있으며, 이 경우 처리자는 해당 개인 데이터의 기밀성을 보장하고, 보유가 요구되거나 허용된 목적에 한하여 이를 처리해야 한다.

10. 책임

본 계약에 명시된 책임의 제한 및 면책은 본 DPA에도 동일하게 적용된다.

11. 준거법 및 관할

본 DPA에는 본 계약에 명시된 준거법 및 관할 조항이 적용된다.

12. 우선순위

12.1 본 DPA와 본 계약의 다른 부분 사이에 상충이 있는 경우, 그 상충이 개인 데이터의 처리 또는 데이터 보호 법률 준수와 관련되는 범위에서 본 DPA가 우선한다.

12.2 제12.1조를 전제로, 주문서가 약관 및 본 DPA보다 우선하는 것으로 명시된 경우 주문서가 우선한다.

별지 1: 처리 세부 사항

처리 대상: 어트리뷰션, 분석, 사기 탐지, 청구 검증 및 광고 캠페인 최적화.

기간: 본 계약의 기간 및 법률상 요구되는 추가 보관 기간.

처리의 성격: 관리자 개인 데이터의 수령, 수집, 구조화, 매칭, 분석, 가명처리, 이전, 저장 및 삭제.

처리 목적:

• MMP를 통한 어트리뷰션 및 매칭

• 클릭, 노출, 설치 및 이벤트 측정

• 사기 탐지 및 완화

• 정산 및 청구 검증

• 캠페인 최적화 및 보고

• 기술 지원

정보주체:

• 광고 자료와 상호작용하는 최종 사용자

• 플랫폼에 접근 권한이 있는 광고주 인력

개인 데이터의 범주:

• 최종 사용자 데이터(앱/웹): 광고 식별자(IDFA/GAID), IP 주소, 사용자 에이전트, OS 버전, 기기 모델, 설치 시각, 클릭 시각, 대략적 지리 정보, 설치 후 이벤트, 사기 분석 신호.

• 광고주 인력 데이터: 이름, 이메일, 로그인 활동.

민감 및 특별 범주의 개인정보: 광고주는 데이터 보호 법률상 정의되는 민감 또는 특별 범주의 개인정보를 처리자에게 전송해서는 안 된다.

별지 2: 하위 처리자

처리자는 다음 처리 범주 내에서만, 그리고 서비스 제공에 필요한 범위에 한하여 하위 처리자를 이용할 수 있다:

1. 클라우드 호스팅 및 인프라 제공업체(서버, 스토리지, 콘텐츠 전송 및 관련 인프라 서비스 포함

2. 데이터 분석, 어트리뷰션 및 측정 지원 도구(어트리뷰션 신호의 수신, 처리 또는 검증에 사용되는 기술 도구 포함)

3. 사기 탐지 및 트래픽 품질 벤더(사기 방지를 위해 기기, 행동 또는 기술 신호를 분석하는 시스템 포함)

4. 보안, 로깅 및 모니터링 제공업체(접근 통제, 이상 탐지, 사고 모니터링 및 위협 방지 도구 포함)

5. 고객 지원 및 커뮤니케이션 서비스(관리자 인력과의 상호작용에 사용되는 티켓, 이메일 및 커뮤니케이션 플랫폼 포함)

6. 백업, 이중화 및 비즈니스 연속성 제공업체

7. 사내 개발, 감사 및 운영 도구(처리자의 내부 운영과 서비스 제공을 지원하는 목적으로만 사용됨)

처리자는 모든 현행 하위 처리자의 신원, 소재지 및 처리 목적을 포함한 최신의 권한 있는 목록을 유지하며, 이는 관리자에게도 전달된다).

이 목록은 본 DPA 제4조에 따라 지속적으로 업데이트된다.