회사 정보
마지막 업데이트 - 2024년 11월 01일
This Publisher Data Processing Addendum (“DPA”) is incorporated by reference into the Almedia Publisher Terms & Conditions (“Terms”) and the applicable Insertion Order or Order Form (“Order Form”) entered into by and between Almedia GmbH, Potsdamer Str. 125, 10783 Berlin, Germany (“Controller” or "Almedia") and the entity identified as the Publisher in the Order Form (“Processor” or "Publisher").
The Order Form, the Terms and this DPA together form the entire data processing agreement between Controller and Processor (the “Agreement”). Capitalised terms not defined in this DPA have the meaning given in the Order Form or the Terms.
Definitions
1.1 “Applicable Laws” means all applicable data protection and privacy laws, including the GDPR, UK GDPR, CCPA (where applicable), and all laws regulating the Processing of Personal Data under the Agreement.
1.2 “Personal Data” means any personal data processed by Processor on behalf of Controller under the Agreement.
1.3 “Data Protection Laws” means EU Data Protection Laws and, to the extent applicable, the data protection or privacy laws of any other applicable country, including the UK GDPR and, where applicable, the CCPA.
1.4 “EU Data Protection Laws” means EU Directive 95/46/EC, as transposed into domestic legislation of each Member State and as amended, replaced or superseded from time to time, including by the GDPR and laws implementing or supplementing the GDPR.
1.5 “GDPR” means the EU General Data Protection Regulation (EU 2016/679).
1.6 Terms such as “Personal Data”, “Processing”, “Controller”, “Processor”, “Data Subject”, “Sub-processor”, and “Supervisory Authority” have the meanings given in the GDPR.
1.7 “Services” means the advertising, attribution, analytics, fraud-detection, billing, optimisation and related publisher services described in the Agreement.
Roles of the Parties
2.1 Almedia acts as Controller. The Advertiser acts as Processor under the Agreement.
2.2 Controller instructs Processor to (i) process Personal Data; and (ii) in particular, transfer Personal Data to any country or territory, all as reasonably necessary for the provision of the Services and consistent with the Agreement and Applicable Laws.
2.3 Processor shall process Personal Data solely for the purposes of performing the Services and in accordance with the Controller’s documented instructions.
2.4 Controller warrants and represents that it is and will remain duly and effectively authorised to give the instruction set out in Section 2.2 and any additional documented instructions pursuant to the Agreement, at all relevant times and for as long as Processor lawfully processes Personal Data.
2.5 The details of the Processing of Personal Data, as required by Article 28(3) GDPR, are set out in Schedule 1 (Details of Processing), which forms an integral part of this DPA.
Processor Obligations
3.1 Processor shall process Personal Data only on documented instructions from Controller, unless required otherwise by law.
3.2 Processor shall ensure persons authorised to process Personal Data are subject to enforceable confidentiality obligations.
3.3 Processor shall implement appropriate technical and organisational measures as required by Article 32 GDPR.
3.4 Processor shall not retain Personal Data longer than necessary to provide the Services, unless retention is required or permitted by Applicable Laws or necessary to establish, exercise or defend legal claims, enforce the Agreement, or prevent fraud and protect the security of the Services. In such cases Processor shall restrict processing to those purposes and apply appropriate access controls.
3.5 Processor shall not process Personal Data for its own purposes. Processor may only retain and use data in aggregated or anonymised form that does not constitute Personal Data.
Sub-Processors
4.1 Subject to this Section 4, Controller authorises Processor to engage Sub-processors solely to the extent necessary for the provision of the Services and only within the categories of processing set out in Schedule 2.
4.2 Processor shall ensure that all Sub-processors are bound by written agreements imposing data-protection obligations that are substantially equivalent to those contained in this DPA and required under Applicable Laws.
4.3 Processor maintains an up-to-date list of all current Sub-processors involved in providing the Services, including their identities, locations, and processing purposes, and shall make such list available to Controller upon request.
4.4 Processor shall provide prior notice by email before appointing or replacing any Sub-processor for processing activities that materially affect Personal Data.
4.5 Controller may object to the appointment of a new Sub-processor solely on reasonable and documented data-protection grounds. Processor shall work in good faith with Controller to resolve such objections.
4.6 If no mutually acceptable solution can be reached, Controller may suspend the affected Services or terminate them upon written notice. Such suspension or termination shall be Controller’s sole and exclusive remedy in relation to Sub-processor objections.
International Transfers
5.1 Processor may transfer Personal Data outside the EEA/UK where legally permitted and subject to appropriate safeguards.
5.2 Approved safeguards may include the EU Standard Contractual Clauses, the UK Addendum/IDTA, or any successor mechanism.
5.3 Processor shall ensure Sub-processors receiving transfers implement adequate safeguards.
Data Subject Rights
6.1 Controller is responsible for responding to Data Subject requests.
6.2 Processor shall provide reasonable assistance to Controller in responding to Data Subject requests.
6.3 Processor shall not respond to Data Subjects directly unless required by law or instructed by Controller.
Personal Data Breach
7.1 Processor shall notify Controller without undue delay after becoming aware of a Personal Data Breach affecting Personal Data.
7.2 Processor shall provide information reasonably available to assist Controller in meeting its notification obligations.
7.3 Processor shall cooperate with Controller in relation to remediation.
Data Protection Impact Assessments and Audits
8.1 Processor shall provide reasonable assistance with DPIAs and consultations with supervisory authorities, to the extent required by Data Protection Laws.
8.2 Controller may conduct audits or inspections performed by an independent, reputable auditor, subject to: (a) 30 days’ written notice, (b) no more than one audit in any 12-month period unless required by law or following a confirmed incident, (c) Controller bearing all associated costs, and (d) audits occurring during normal business hours without undue disruption.
8.3 Processor may satisfy audit obligations by providing third-party certifications or audit reports if sufficient to demonstrate compliance.
Return and Deletion of Data
9.1 Subject to Section 9.2, Processor shall, promptly and in any event within sixty (60) days of the date of cessation of any Services involving the Processing of Personal Data, delete, pseudonymise or return all copies of Personal Data, in accordance with Controller’s documented instructions, except for any copies that Processor is required to retain under Applicable Laws.
9.2 Subject to the Agreement and Applicable Laws, Processor may retain Personal Data to the extent required or authorised by law, provided that Processor ensures the confidentiality of such Personal Data and processes it only for the purpose(s) for which retention is required or authorised.
Liability
The liability limitations and exclusions set out in the Agreement apply equally to this DPA.
Governing Law and Jurisdiction
This DPA is governed by the governing law and jurisdiction provisions set out in the Agreement.
Order of Precedence
12.1 In the event of a conflict between this DPA and any other part of the Agreement, this DPA shall prevail to the extent such conflict relates to the Processing of Personal Data or compliance with Data Protection Laws.
12.2 Subject to Section 12.1, the Order Form shall prevail over the Terms and this DPA where expressly stated.
Schedule 1: Details of Processing
Subject Matter: Attribution, analytics, fraud detection, billing validation, and optimisation of advertising campaigns.
Duration: For the term of the Agreement plus any legally required retention.
Nature of Processing: Receipt, collection, structuring, matching, analysis, pseudonymisation, transfer, storage, and deletion of Controller Personal Data.
Purpose of Processing:
attribution and matching via MMPs
measurement of clicks, impressions, installs, and events
fraud detection and mitigation
settlement and billing validation
campaign optimisation and reporting
technical support
Data Subjects:
end-users interacting with advertising materials
Advertiser personnel with platform access
Categories of Personal Data:
End-user data (app/web): advertising identifiers (IDFA/GAID), IP address, user-agent, OS version, device model, install timestamps, click timestamps, coarse geo information, post-install events, fraud-analysis signals.
Advertiser personnel data: name, email, login activity.
Sensitive and Special Categories of Personal Data: Advertiser shall not send Processor any Sensitive or Special Categories of Personal Data, as defined in the Data Protection Laws.
Schedule 2: Sub-Processors
Processor may engage Sub-processors only within the following categories of processing, and solely to the extent necessary for the provision of the Services:
Cloud hosting and infrastructure providers (including servers, storage, content delivery, and related infrastructure services
Data analytics, attribution, and measurement support tools (including technical tools used to receive, process, or validate attribution signals)
Fraud-detection and traffic-quality vendors (including systems analysing device, behavioural, or technical signals for fraud prevention)
Security, logging, and monitoring providers (including tools for access control, anomaly detection, incident monitoring, and threat prevention)
Customer support and communication services (including ticketing, email, and communication platforms used to interact with Controller personnel)
Backup, redundancy, and business continuity providers
Internal development, auditing, and operational tooling (used solely to support Processor’s internal operations and delivery of the Services)
Processor maintains an up-to-date and authoritative list of all current Sub-processors, including their identities, locations, and processing purposes, which will also be communicated to Controller).
This list is continuously updated in accordance with Section 4 of this DPA.
회사 정보
마지막 업데이트 - 2024년 11월 01일
【参考訳/便宜的翻訳(日本語)】
※本日本語訳は参考目的のみで作成されたものであり、法的拘束力はありません。
※英語正文と日本語訳の間に齟齬がある場合には、英語正文が優先されます。
本パブリッシャー向けデータ処理補遺(以下「本DPA」といいます。)は、Almedia GmbH(所在地:Potsdamer Str. 125, 10783 Berlin, Germany。以下「管理者」または「Almedia」といいます。)と、該当するインサーションオーダーまたはオーダーフォーム(以下「オーダーフォーム」といいます。)においてパブリッシャーとして特定される事業体(以下「処理者」または「パブリッシャー」といいます。)との間で締結される、Almedia パブリッシャー利用規約(以下「規約」といいます。)および該当するオーダーフォームに組み込まれ、これらに参照により統合されるものとします。
オーダーフォーム、規約および本DPAは、管理者および処理者間におけるデータ処理に関する完全な合意(以下「本契約」といいます。)を構成するものとします。本DPAにおいて定義されていない大文字表記の用語は、オーダーフォームまたは規約において付与された意味を有するものとします。
1. 定義
1.1「適用法令(Applicable Laws)」とは、GDPR、UK GDPR、CCPA(該当する場合)を含む、本契約に基づく個人データの処理を規制するすべての適用されるデータ保護およびプライバシー関連法令をいいます。
1.2「個人データ(Personal Data)」とは、本契約に基づき、処理者が管理者のために処理するすべての個人データをいいます。
1.3「データ保護法令(Data Protection Laws)」とは、EU データ保護法令および、該当する範囲において、UK GDPR および(該当する場合)CCPA を含む、その他の国のデータ保護またはプライバシー関連法令をいいます。
1.4「EU データ保護法令(EU Data Protection Laws)」とは、EU 指令 95/46/EC(各加盟国の国内法に移行されたもの)ならびに、GDPR および GDPR を実施または補完する法律を含め、随時改正、置換または廃止される法令をいいます。
1.5「GDPR」とは、EU 一般データ保護規則(EU 2016/679)をいいます。
1.6「個人データ」「処理」「管理者」「処理者」「データ主体」「サブプロセッサー」「監督当局」等の用語は、GDPR において与えられた意味を有するものとします。
1.7「サービス(Services)」とは、本契約に記載された、広告、アトリビューション、分析、不正検知、請求、最適化および関連サービスをいいます。
2. 当事者の役割
2.1 Almedia は、本契約に基づく個人データの処理に関して Controller として行動し、Advertiser は Processor として行動します。
2.2 管理者は、サービス提供に合理的に必要であり、本契約および適用法令に従う範囲で、(i) 個人データを処理すること、ならびに (ii) 個人データをいかなる国または地域にも移転することを、処理者に指示します。
2.3 処理者は、管理者の文書化された指示に従い、サービス提供の目的に限って個人データを処理するものとします。
2.4 管理者は、第 2.2 条に定める指示および本契約に基づく追加の文書化された指示を行う正当な権限を有し、処理者が適法に個人データを処理する期間中、当該権限を維持することを表明し、保証します。
2.5 GDPR 第 28 条第 3 項に基づき要求される個人データ処理の詳細は、別紙 1(処理の詳細)に定められ、本 DPA の不可欠な一部を構成します。
3. 処理者の義務
3.1 Processor は、法令により別途求められる場合を除き、Controller からの文書化された指示に基づいてのみ個人データを処理するものとします。
3.2 処理者は、個人データを処理する権限を有する者が、強制力のある守秘義務を負うことを確保します。
3.3 処理者は、GDPR 第 32 条に従い、適切な技術的および組織的安全管理措置を実施します。
3.4 処理者は、サービス提供に必要な期間を超えて個人データを保持しません。ただし、適用法令により保持が要求または許容される場合、法的請求の確立・行使・防御、契約の履行確保、不正防止またはサービスの安全確保のために必要な場合を除きます。この場合、処理者は当該目的に限定して処理を行い、適切なアクセス制御を実施します。
3.5 処理者は、自己の目的のために個人データを処理しません。処理者は、個人データに該当しない集計または匿名化されたデータのみを保持および利用することができます。
4. サブプロセッサー
4.1 本第 4 条に従い、管理者は、サービス提供に必要な範囲に限り、かつ別紙 2 に定める処理カテゴリの範囲内でのみ、処理者がサブプロセッサーを利用することを承認します。
4.2 処理者は、すべてのサブプロセッサーが、本 DPA および適用法令に基づき要求されるものと実質的に同等のデータ保護義務を課す書面契約に拘束されていることを確保します。
4.3 処理者は、本サービスの提供に関与するすべての現行のサブ処理者について、その名称、所在地および処理目的を含む最新かつ正式な一覧を維持管理し、管理者からの要請があった場合には、当該一覧を管理者に提供するものとします。
4.4 処理者は、個人データに重大な影響を及ぼすサブプロセッサーの新規任命または変更に先立ち、事前通知を行います。
4.5 管理者は、合理的かつ文書化されたデータ保護上の理由に限り、新たなサブプロセッサーの任命に異議を述べることができます。
4.6 相互に受け入れ可能な解決策が得られない場合、管理者は、影響を受けるサービスを停止または書面通知により終了することができ、これがサブプロセッサーに関する唯一かつ排他的な救済手段となります。
5. 国際データ移転
5.1 処理者は、法令により許容され、かつ適切な保護措置が講じられている場合、EEA/UK 域外へ個人データを移転することができます。
5.2 適切な保護措置には、EU 標準契約条項、UK 追加条項/IDTA またはそれらの後継制度が含まれます。
5.3 処理者は、移転を受けるサブプロセッサーが適切な保護措置を実施していることを確保します。
6. データ主体の権利
6.1 データ主体からの請求への対応は、管理者の責任とします。
6.2 処理者は、管理者の費用負担により、当該請求への対応について合理的な支援を行います。
6.3 処理者は、法令により要求される場合または管理者の指示がある場合を除き、データ主体に直接対応しません。
7. 個人データ侵害
7.1 処理者は、個人データ侵害を認識した場合、遅滞なく管理者に通知します。
7.2 処理者は、管理者の通知義務履行を支援するため、合理的に入手可能な情報を提供します。
7.3 処理者は、是正対応について管理者と協力します。
8. データ保護影響評価および監査
8.1 処理者は、データ保護影響評価および監督当局との協議について、データ保護法令により必要な範囲で合理的な支援を行います。
8.2 管理者は、一定の条件の下、独立かつ信頼性のある監査人による監査または検査を実施することができます。
8.3 処理者は、十分なコンプライアンスを示す第三者認証または監査報告書の提供により、監査義務を充足することができます。
9. データの返却および削除
9.1 第9.2条を条件として、Processor は、個人データの処理を伴うサービスが終了した日から速やかに、かついかなる場合でも六十(60)日以内に、Controller の文書化された指示に従い、すべての個人データの写しを削除、仮名化、または返却するものとします。ただし、適用法令に基づき Processor が保持することを義務付けられている個人データの写しについては、この限りではありません。
9.2 本契約および適用法令に従い、処理者は、法令により要求または許容される範囲で個人データを保持することができます。この場合、処理者は、当該個人データの機密性を確保し、保持が要求または許容される目的に限って処理するものとします。
10. 責任
本契約に定める責任制限および免責は、本 DPA にも同様に適用されます。
11. 準拠法および管轄
本 DPA は、本契約に定める準拠法および管轄に従うものとします。
12. 優先順位
12.1 本 DPA と本契約の他の条項との間に齟齬がある場合、個人データの処理またはデータ保護法令の遵守に関する限り、本 DPA が優先されます。
12.2 第 12.1 条に従い、明示的に定められている場合には、オーダーフォームが利用規約および本 DPA に優先します。
別紙 1:処理の詳細
処理対象:広告キャンペーンのアトリビューション、分析、不正検知、請求検証および最適化
処理期間:本契約期間および法令上必要な保存期間
処理の性質:取得、収集、構造化、照合、分析、仮名化、移転、保存および削除
処理目的:
MMP を通じたアトリビューションおよび照合
クリック、インプレッション、インストールおよびイベントの測定
不正検知および防止
精算および請求検証
キャンペーン最適化およびレポーティング
技術サポート
データ主体:
広告素材と接触するエンドユーザー
プラットフォームにアクセスする広告主担当者
個人データの種類:
エンドユーザーデータ(IDFA/GAID、IP アドレス、ユーザーエージェント、OS バージョン、デバイスモデル、インストール時刻、クリック時刻、概算位置情報、インストール後イベント、不正分析信号)
広告主担当者データ(氏名、メールアドレス、ログイン活動)
特別カテゴリーの個人データ:広告主は、データ保護法令に定義される特別カテゴリーの個人データを処理者に提供してはなりません。
別紙 2:サブプロセッサー
Processor は、本契約に基づく Services の提供に必要な範囲においてのみ、以下の処理カテゴリに該当するサブプロセッサーを利用することができます。
クラウドホスティングおよびインフラストラクチャ提供事業者
(サーバー、ストレージ、コンテンツ配信、その他関連するインフラサービスを含みます)データ分析、アトリビューションおよび計測支援ツール
(アトリビューションシグナルの受信、処理または検証に使用される技術的ツールを含みます)不正検知およびトラフィック品質評価ベンダー
(不正防止を目的として、デバイス、行動または技術的シグナルを分析するシステムを含みます)セキュリティ、ログ管理およびモニタリング提供事業者
(アクセス制御、異常検知、インシデント監視および脅威防止のためのツールを含みます)カスタマーサポートおよびコミュニケーションサービス提供事業者
(Controller の担当者とのやり取りに使用されるチケッティング、電子メールおよびコミュニケーションプラットフォームを含みます)バックアップ、冗長化および事業継続性(BCP)関連サービス提供事業者
内部開発、監査および運用支援ツール
(Processor の内部業務および Services の提供を支援する目的にのみ使用されるものに限ります)
Processor は、すべての現行のサブプロセッサーについて、その名称、所在地および処理目的を含む最新かつ正式な一覧を維持管理し、当該一覧を Controller にも通知します。
当該一覧は、本 DPA 第4条に従い、継続的に更新されます。