• 아래는 일본어로 된 편리한 번역 / 계약 문서에 적합한 자연스러운 일본어는 다음이 가장 좋습니다

본 퍼블리셔 데이터 처리 부속합의서("DPA")는 Almedia Publisher 이용약관 및 조건("Terms")과, Almedia GmbH, Koppenstr. 8, 10243 베를린, 독일("Controller" 또는 "Almedia")과 주문서에 퍼블리셔로 식별된 법인("Processor" 또는 "Publisher") 간에 체결된 해당 삽입 주문서 또는 주문서("Order Form")에 참조로 편입됩니다.

Order Form, Terms 및 본 DPA는 함께 Controller와 Processor 간의 전체 데이터 처리 계약("Agreement")을 구성합니다. 본 DPA에서 정의되지 않은 대문자 용어는 Order Form 또는 Terms에서 부여된 의미를 가집니다.

1. 정의

1.1 “Applicable Laws”는 GDPR, UK GDPR, CCPA(해당되는 경우) 및 본 계약에 따른 개인 데이터의 처리를 규율하는 모든 법률을 포함하여, 적용 가능한 모든 데이터 보호 및 개인정보 보호 법률을 의미합니다.

1.2 “Personal Data”는 본 계약에 따라 Processor가 Controller를 대신하여 처리하는 모든 개인정보를 의미합니다.

1.3 “Data Protection Laws”는 EU 데이터 보호법과, 해당되는 범위에서 UK GDPR 및, 해당되는 경우 CCPA를 포함한 기타 적용 가능한 국가의 데이터 보호 또는 개인정보 보호 법률을 의미합니다.

1.4 “EU Data Protection Laws”는 GDPR 및 GDPR을 이행하거나 보완하는 법률을 포함하여, 각 회원국의 국내법으로 전환되었고, 수시로 개정, 대체 또는 승계되는 EU 지침 95/46/EC를 의미합니다.

1.5 “GDPR”는 EU 일반개인정보보호규정(EU 2016/679)을 의미합니다.

1.6 “Personal Data”, “Processing”, “Controller”, “Processor”, “Data Subject”, “Sub-processor” 및 “Supervisory Authority”와 같은 용어는 GDPR에서 부여된 의미를 가집니다.

1.7 “Services”는 본 계약에 명시된 광고, 어트리뷰션, 분석, 부정행위 탐지, 청구, 최적화 및 관련 퍼블리셔 서비스를 의미합니다.

2. 각 당사자의 역할

2.1 Almedia는 Controller로서의 역할을 수행합니다. 광고주는 본 계약상 Processor로서의 역할을 수행합니다.

2.2 Controller는 Processor에게 (i) 개인 데이터를 처리하고; (ii) 특히 개인 데이터를 합리적으로 필요한 범위에서 모든 국가 또는 지역으로 이전할 것을 지시하며, 이는 Services의 제공에 필요하고 본 계약 및 Applicable Laws와 일치하는 범위 내에서 이루어져야 합니다.

2.3 Processor는 Services를 수행하는 목적에 한하여, 그리고 Controller의 문서화된 지시에 따라 개인 데이터를 처리해야 합니다.

2.4 Controller는, 관련된 모든 시점과 Processor가 법적으로 개인 데이터를 처리하는 기간 동안, 제2.2조에 명시된 지시 및 본 계약에 따른 추가 문서화된 지시를 부여할 적법하고 유효한 권한을 보유하고 있으며 앞으로도 그러할 것임을 보증하고 진술합니다.

2.5 GDPR 제28조 제3항에서 요구하는 개인 데이터 처리의 세부사항은 본 DPA의 필수적인 일부를 구성하는 별첨 1(처리 세부사항)에 규정되어 있습니다.

3. 처리자의 의무

3.1 Processor는 법률에 의해 달리 요구되는 경우를 제외하고, Controller의 문서화된 지시에 따라서만 개인 데이터를 처리해야 합니다.

3.2 Processor는 개인 데이터 처리 권한이 있는 자들이 집행 가능한 비밀유지 의무를 부담하도록 보장해야 합니다.

3.3 Processor는 GDPR 제32조에서 요구하는 적절한 기술적 및 조직적 조치를 이행해야 합니다.

3.4 Processor는 Applicable Laws에 따라 보관이 요구되거나 허용되거나, 법적 청구를 제기, 행사 또는 방어하거나, 본 계약을 집행하거나, 부정행위를 방지하고 Services의 보안을 보호하기 위해 필요한 경우를 제외하고는, Services 제공에 필요한 기간을 초과하여 개인 데이터를 보관해서는 안 됩니다. 이러한 경우 Processor는 해당 목적에 처리를 제한하고 적절한 접근 통제를 적용해야 합니다.

3.5 Processor는 자체 목적을 위해 개인 데이터를 처리해서는 안 됩니다. Processor는 개인 데이터에 해당하지 않는 집계 또는 익명화된 형식의 데이터만 보관하고 사용할 수 있습니다.

4. 하위 처리자

4.1 본 제4조에 따라, Controller는 Processor가 Services 제공에 필요한 범위 내에서만, 그리고 별첨 2에 규정된 처리 범주 내에서만 하위 처리자를 고용하는 것을 승인합니다.

4.2 Processor는 모든 하위 처리자가 본 DPA에 포함된 것과 실질적으로 동등하며 Applicable Laws에 따라 요구되는 데이터 보호 의무를 부과하는 서면 계약에 구속되도록 보장해야 합니다.

4.3 Processor는 Services 제공에 참여하는 모든 현재 하위 처리자의 최신 목록을 해당 식별 정보, 위치 및 처리 목적을 포함하여 유지하며, Controller의 요청이 있을 경우 해당 목록을 제공해야 합니다.

4.4 Processor는 개인 데이터에 중대한 영향을 미치는 처리 활동과 관련하여 하위 처리자를 지정하거나 교체하기 전에 이메일로 사전 통지해야 합니다.

4.5 Controller는 합리적이고 문서화된 데이터 보호상의 사유에 근거하여서만 새로운 하위 처리자 지정에 이의를 제기할 수 있습니다. Processor는 그러한 이의를 해결하기 위해 Controller와 성실하게 협의해야 합니다.

4.6 상호 수용 가능한 해결책에 도달할 수 없는 경우, Controller는 영향을 받는 Services를 중단하거나 서면 통지로 이를 해지할 수 있습니다. 이러한 중단 또는 해지는 하위 처리자 이의 제기와 관련하여 Controller의 유일하고 배타적인 구제수단입니다.

5. 국제 이전

5.1 Processor는 법적으로 허용되고 적절한 보호조치가 수반되는 경우 EEA/영국 외부로 개인 데이터를 이전할 수 있습니다.

5.2 승인된 보호조치에는 EU 표준계약조항, 영국 부속문서/IDTA 또는 그 승계 메커니즘이 포함될 수 있습니다.

5.3 Processor는 이전을 수령하는 하위 처리자가 적절한 보호조치를 이행하도록 보장해야 합니다.

6. 정보주체의 권리

6.1 Controller는 정보주체 요청에 대응할 책임이 있습니다.

6.2 Processor는 정보주체 요청에 대응하는 데 있어 Controller를 합리적으로 지원해야 합니다.

6.3 Processor는 법률에 의해 요구되거나 Controller의 지시가 있는 경우를 제외하고 정보주체에게 직접 응답해서는 안 됩니다.

7. 개인정보 침해

7.1 Processor는 개인 데이터에 영향을 미치는 개인정보 침해를 인지한 후 지체 없이 Controller에게 통지해야 합니다.

7.2 Processor는 Controller의 통지 의무 이행을 지원하기 위해 합리적으로 확보 가능한 정보를 제공해야 합니다.

7.3 Processor는 시정 조치와 관련하여 Controller와 협력해야 합니다.

8. 데이터 보호 영향평가 및 감사

8.1 Processor는 Data Protection Laws에서 요구하는 범위 내에서, DPIA 및 감독기관과의 협의와 관련하여 합리적인 지원을 제공해야 합니다.

8.2 Controller는 다음 조건에 따라 독립적이고 신뢰할 수 있는 감사인이 수행하는 감사 또는 점검을 실시할 수 있습니다: (a) 30일 전 서면 통지, (b) 법률상 요구되거나 확인된 사고가 발생한 경우를 제외하고 12개월 기간 내 1회를 초과하지 않을 것, (c) 관련 비용 전액은 Controller가 부담할 것, 및 (d) 감사는 정상 업무 시간 중 과도한 방해 없이 진행될 것.

8.3 Processor는 준수 입증에 충분한 경우 제3자 인증 또는 감사 보고서를 제공함으로써 감사 의무를 충족할 수 있습니다.

9. 데이터의 반환 및 삭제

9.1 제9.2조에 따라, Processor는 개인 데이터 처리와 관련된 모든 Services가 종료된 날로부터 신속하게, 어떠한 경우에도 60일 이내에, Controller의 문서화된 지시에 따라 개인 데이터의 모든 사본을 삭제, 가명처리 또는 반환해야 하며, 다만 Applicable Laws에 따라 Processor가 보관해야 하는 사본은 예외로 합니다.

9.2 Agreement 및 Applicable Laws에 따라, Processor는 법률상 요구되거나 승인된 범위에서 개인 데이터를 보관할 수 있으며, 이 경우 Processor는 해당 개인정보의 비밀을 보장하고, 보관이 요구되거나 승인된 목적에 한하여 이를 처리해야 합니다.

10. 책임

Agreement에 명시된 책임 제한 및 면책은 본 DPA에도 동일하게 적용됩니다.

11. 준거법 및 관할

본 DPA는 Agreement에 명시된 준거법 및 관할 조항의 적용을 받습니다.

12. 우선순위

12.1 본 DPA와 Agreement의 다른 부분 사이에 충돌이 있는 경우, 그 충돌이 개인 데이터의 처리 또는 Data Protection Laws 준수와 관련되는 범위에서 본 DPA가 우선합니다.

12.2 제12.1조에 따라, Order Form에서 명시한 경우 Order Form이 Terms 및 본 DPA에 우선합니다.

별첨 1: 처리 세부사항

처리 대상: 어트리뷰션, 분석, 부정행위 탐지, 청구 검증 및 광고 캠페인 최적화.

기간: 계약 기간 및 법적으로 요구되는 추가 보관 기간.

처리의 성격: Controller의 개인 데이터 수신, 수집, 구조화, 매칭, 분석, 가명처리, 이전, 저장 및 삭제.

처리 목적:

• MMP를 통한 어트리뷰션 및 매칭

• 클릭, 노출, 설치 및 이벤트 측정

• 부정행위 탐지 및 완화

• 정산 및 청구 검증

• 캠페인 최적화 및 보고

• 기술 지원

정보주체:

• 광고 자료와 상호작용하는 최종 사용자

• 플랫폼 접근 권한이 있는 광고주 인력

개인정보의 범주:

• 최종 사용자 데이터(app/web): 광고 식별자(IDFA/GAID), IP 주소, 사용자 에이전트, OS 버전, 기기 모델, 설치 타임스탬프, 클릭 타임스탬프, 대략적인 지역 정보, 설치 후 이벤트, 부정행위 분석 신호.

• 광고주 인력 데이터: 이름, 이메일, 로그인 활동.

Sensitive and Special Categories of Personal Data: Advertiser는 데이터 보호법에서 정의하는 민감 또는 특수 범주의 개인 데이터를 Processor에게 전송해서는 안 됩니다.

별첨 2: 하위 처리자

Processor는 다음 처리 범주 내에서만, 그리고 Services 제공에 필요한 범위 내에서만 하위 처리자를 고용할 수 있습니다:

1. 클라우드 호스팅 및 인프라 제공업체(서버, 스토리지, 콘텐츠 전송 및 관련 인프라 서비스 포함

2. 데이터 분석, 어트리뷰션 및 측정 지원 도구(어트리뷰션 신호를 수신, 처리 또는 검증하는 데 사용되는 기술 도구 포함)

3. 부정행위 탐지 및 트래픽 품질 벤더(부정행위 방지를 위해 기기, 행동 또는 기술 신호를 분석하는 시스템 포함)

4. 보안, 로깅 및 모니터링 제공업체(접근 통제, 이상 탐지, 사고 모니터링 및 위협 방지용 도구 포함)

5. 고객 지원 및 커뮤니케이션 서비스(Controller 인력과의 상호작용에 사용되는 티켓팅, 이메일 및 커뮤니케이션 플랫폼 포함)

6. 백업, 이중화 및 비즈니스 연속성 제공업체

7. 내부 개발, 감사 및 운영 도구(Processor의 내부 운영 및 Services 제공을 지원하기 위한 목적으로만 사용됨)

Processor는 현재 모든 하위 처리자의 최신 권위 있는 목록을 해당 식별 정보, 위치 및 처리 목적과 함께 유지하며, 이는 Controller에도 전달됩니다).

이 목록은 본 DPA 제4조에 따라 지속적으로 업데이트됩니다.