Nhà quảng cáo
Thỏa thuận xử lý dữ liệu (DPA)

v1.0 (Ngày 10 tháng 4 năm 2026)

Phụ lục Xử lý Dữ liệu của Nhà quảng cáo này (“DPA”) được viện dẫn và là một phần của Điều khoản & Điều kiện dành cho Nhà quảng cáo của Almedia (“Terms”) và Đơn đặt hàng hoặc Mẫu đơn đặt hàng áp dụng (“Order Form”) được ký kết bởi và giữa Almedia GmbH, Koppenstr. 8, 10243 Berlin, Germany (“Bên xử lý” hoặc "Almedia") và tổ chức được xác định là Nhà quảng cáo trong Order Form (“Bên kiểm soát”).

Order Form, Terms và DPA này cùng tạo thành toàn bộ thỏa thuận xử lý dữ liệu giữa Bên kiểm soát và Bên xử lý (gọi là “Thỏa thuận”). Các thuật ngữ viết hoa không được định nghĩa trong DPA này sẽ có nghĩa như được nêu trong Order Form hoặc Terms.

  1. Định nghĩa

1.1 “Luật Áp dụng” nghĩa là toàn bộ luật bảo vệ dữ liệu và quyền riêng tư hiện hành, bao gồm GDPR, UK GDPR, CCPA (nếu áp dụng) và mọi quy định pháp luật điều chỉnh việc Xử lý Dữ liệu Cá nhân theo Thỏa thuận.

1.2 “Dữ liệu Cá nhân” nghĩa là bất kỳ dữ liệu cá nhân nào được Bên xử lý xử lý thay mặt cho Bên kiểm soát theo Thỏa thuận.

1.3 “Luật Bảo vệ Dữ liệu” nghĩa là Luật Bảo vệ Dữ liệu của EU và, trong phạm vi áp dụng, các luật bảo vệ dữ liệu hoặc quyền riêng tư của bất kỳ quốc gia nào khác có liên quan, bao gồm UK GDPR và, nếu áp dụng, CCPA.

1.4 “Luật Bảo vệ Dữ liệu của EU” nghĩa là Chỉ thị 95/46/EC của EU, đã được nội luật hóa vào hệ thống pháp luật của từng Quốc gia Thành viên và được sửa đổi, thay thế hoặc bãi bỏ theo từng thời điểm, bao gồm bởi GDPR và các luật thực thi hoặc bổ sung GDPR.

1.5 “GDPR” nghĩa là Quy định Chung về Bảo vệ Dữ liệu của EU (EU 2016/679).

1.6 Các thuật ngữ như “Dữ liệu Cá nhân”, “Xử lý”, “Bên kiểm soát”, “Bên xử lý”, “Chủ thể dữ liệu”, “Bên xử lý phụ” và “Cơ quan giám sát” có nghĩa như được quy định trong GDPR.

1.7 “Dịch vụ” nghĩa là các dịch vụ quảng cáo, phân bổ, phân tích, phát hiện gian lận, thanh toán, tối ưu hóa và các dịch vụ liên quan được mô tả trong Thỏa thuận.

  1. Vai trò của các Bên

2.1 Almedia chỉ hành động với tư cách là Bên xử lý. Nhà quảng cáo hoạt động với tư cách là Bên kiểm soát theo Thỏa thuận. Nếu Nhà quảng cáo là một bên xử lý được một bên kiểm soát thứ ba ủy quyền, Nhà quảng cáo bảo đảm rằng mình có thẩm quyền chỉ đạo Almedia và chỉ định Almedia làm Bên xử lý.

2.2 Bên kiểm soát chỉ đạo Bên xử lý (i) xử lý Dữ liệu Cá nhân; và (ii) đặc biệt là chuyển Dữ liệu Cá nhân đến bất kỳ quốc gia hoặc vùng lãnh thổ nào, trong từng trường hợp khi điều đó là cần thiết một cách hợp lý để cung cấp Dịch vụ và phù hợp với Thỏa thuận cũng như Luật Áp dụng.

2.3 Bên xử lý chỉ được xử lý Dữ liệu Cá nhân nhằm mục đích thực hiện Dịch vụ và theo các chỉ dẫn đã được Bên kiểm soát ghi nhận bằng văn bản.

2.4 Bên kiểm soát bảo đảm và cam kết rằng tại mọi thời điểm liên quan và trong suốt thời gian Bên xử lý hợp pháp xử lý Dữ liệu Cá nhân, Bên kiểm soát hiện đang và sẽ tiếp tục được ủy quyền đầy đủ và hợp lệ để đưa ra chỉ dẫn được nêu tại Mục 2.2 và mọi chỉ dẫn bổ sung bằng văn bản theo Thỏa thuận.

2.5 Chi tiết về việc Xử lý Dữ liệu Cá nhân, theo yêu cầu tại Điều 28(3) GDPR, được nêu tại Phụ lục 1 (Chi tiết Xử lý), là một phần không tách rời của DPA này.

  1. Nghĩa vụ của Bên xử lý

3.1 Bên xử lý chỉ được xử lý Dữ liệu Cá nhân theo các chỉ dẫn đã được Bên kiểm soát ghi nhận bằng văn bản, trừ khi pháp luật yêu cầu khác.

3.2 Bên xử lý phải bảo đảm rằng những người được ủy quyền xử lý Dữ liệu Cá nhân phải tuân thủ các nghĩa vụ bảo mật có thể thực thi.

3.3 Bên xử lý phải triển khai các biện pháp kỹ thuật và tổ chức phù hợp theo yêu cầu tại Điều 32 GDPR.

3.4 Bên xử lý không được lưu giữ Dữ liệu Cá nhân lâu hơn mức cần thiết để cung cấp Dịch vụ hoặc theo yêu cầu của pháp luật.

3.5 Bên xử lý không được xử lý Dữ liệu Cá nhân cho mục đích riêng của mình. Bên xử lý chỉ được lưu giữ và sử dụng dữ liệu ở dạng tổng hợp hoặc đã ẩn danh, không cấu thành Dữ liệu Cá nhân.

  1. Bên xử lý phụ

4.1 Theo Mục 4 này, Bên kiểm soát cho phép Bên xử lý thuê Bên xử lý phụ chỉ trong phạm vi cần thiết để cung cấp Dịch vụ và chỉ trong các nhóm hoạt động xử lý được nêu tại Phụ lục 2.

4.2 Bên xử lý phải bảo đảm rằng tất cả các Bên xử lý phụ đều bị ràng buộc bởi các thỏa thuận bằng văn bản, trong đó áp đặt các nghĩa vụ bảo vệ dữ liệu về cơ bản tương đương với các nghĩa vụ có trong DPA này và theo yêu cầu của Luật Áp dụng.

4.3 Bên xử lý duy trì danh sách cập nhật của tất cả các Bên xử lý phụ hiện tại tham gia cung cấp Dịch vụ. Danh sách này được cập nhật liên tục và cung cấp cho Bên kiểm soát tại: www.freecash.com/en/policies/privacy-eu (hoặc bất kỳ URL thay thế nào được thông báo cho Bên kiểm soát).

4.4 Bên xử lý phải thông báo trước (thông qua danh sách Bên xử lý phụ hoặc qua email nếu pháp luật yêu cầu) trước khi chỉ định hoặc thay thế bất kỳ Bên xử lý phụ nào cho các hoạt động xử lý có ảnh hưởng đáng kể đến Dữ liệu Cá nhân.

4.5 Bên kiểm soát chỉ có thể phản đối việc chỉ định một Bên xử lý phụ mới trên cơ sở hợp lý và có tài liệu chứng minh liên quan đến bảo vệ dữ liệu. Bên xử lý sẽ thiện chí phối hợp với Bên kiểm soát để giải quyết các phản đối đó.

4.6 Nếu không thể đạt được giải pháp được các bên cùng chấp thuận, Bên kiểm soát có thể tạm ngừng các Dịch vụ bị ảnh hưởng hoặc chấm dứt chúng bằng thông báo bằng văn bản. Việc tạm ngừng hoặc chấm dứt như vậy là biện pháp khắc phục duy nhất và độc quyền của Bên kiểm soát liên quan đến các phản đối đối với Bên xử lý phụ.

  1. Chuyển dữ liệu quốc tế

5.1 Bên xử lý có thể chuyển Dữ liệu Cá nhân ra ngoài EEA/UK khi pháp luật cho phép và có áp dụng các biện pháp bảo vệ phù hợp.

5.2 Các biện pháp bảo vệ được chấp thuận có thể bao gồm Điều khoản Hợp đồng Mẫu của EU, Phụ lục/IDTA của UK hoặc bất kỳ cơ chế kế nhiệm nào.

5.3 Bên xử lý phải bảo đảm các Bên xử lý phụ nhận dữ liệu chuyển giao áp dụng các biện pháp bảo vệ đầy đủ.

  1. Quyền của Chủ thể dữ liệu

6.1 Bên kiểm soát chịu trách nhiệm trả lời các yêu cầu của Chủ thể dữ liệu.

6.2 Bên xử lý sẽ hỗ trợ hợp lý cho Bên kiểm soát, với chi phí do Bên kiểm soát chịu, trong việc trả lời các yêu cầu của Chủ thể dữ liệu.

6.3 Bên xử lý không được phản hồi trực tiếp cho Chủ thể dữ liệu, trừ khi pháp luật yêu cầu hoặc Bên kiểm soát chỉ định.

  1. Vi phạm Dữ liệu Cá nhân

7.1 Bên xử lý phải thông báo cho Bên kiểm soát mà không chậm trễ quá mức sau khi biết về một Vi phạm Dữ liệu Cá nhân ảnh hưởng đến Dữ liệu Cá nhân.

7.2 Bên xử lý phải cung cấp các thông tin sẵn có một cách hợp lý để hỗ trợ Bên kiểm soát đáp ứng các nghĩa vụ thông báo của mình.

7.3 Bên xử lý phải hợp tác với Bên kiểm soát trong việc khắc phục.

  1. Đánh giá tác động bảo vệ dữ liệu và kiểm toán

8.1 Bên xử lý sẽ hỗ trợ hợp lý đối với DPIA và các tham vấn với cơ quan giám sát, trong phạm vi Luật Bảo vệ Dữ liệu yêu cầu.

8.2 Bên kiểm soát có thể tiến hành các cuộc kiểm toán hoặc thanh tra do một kiểm toán viên độc lập, uy tín thực hiện, với điều kiện: (a) thông báo bằng văn bản trước 30 ngày; (b) không quá một cuộc kiểm toán trong bất kỳ khoảng thời gian 12 tháng nào, trừ khi pháp luật yêu cầu hoặc sau một sự cố đã được xác nhận; (c) Bên kiểm soát chịu mọi chi phí liên quan; và (d) kiểm toán diễn ra trong giờ làm việc bình thường và không gây gián đoạn quá mức.

8.3 Bên xử lý có thể đáp ứng nghĩa vụ kiểm toán bằng cách cung cấp các chứng nhận hoặc báo cáo kiểm toán của bên thứ ba nếu các tài liệu đó đủ để chứng minh việc tuân thủ.

8.4 Bên kiểm soát chịu mọi chi phí và phí liên quan đến các cuộc kiểm toán.

  1. Hoàn trả và xóa dữ liệu

9.1 Theo Mục 9.2, Bên xử lý phải, ngay lập tức và trong mọi trường hợp trong vòng chín mươi (90) ngày làm việc kể từ ngày chấm dứt bất kỳ Dịch vụ nào liên quan đến việc Xử lý Dữ liệu Cá nhân, xóa, ẩn danh hóa hoặc hoàn trả tất cả các bản sao của Dữ liệu Cá nhân, phù hợp với các chỉ dẫn đã được Bên kiểm soát ghi nhận bằng văn bản, trừ những bản sao mà Bên xử lý phải lưu giữ theo Luật Áp dụng.

9.2 Theo Thỏa thuận và Luật Áp dụng, Bên xử lý có thể lưu giữ Dữ liệu Cá nhân trong phạm vi pháp luật yêu cầu hoặc cho phép, với điều kiện Bên xử lý bảo đảm tính bảo mật của Dữ liệu Cá nhân đó và chỉ xử lý cho mục đích mà việc lưu giữ được yêu cầu hoặc cho phép.

  1. Trách nhiệm pháp lý

Các giới hạn và loại trừ trách nhiệm được nêu trong Thỏa thuận cũng áp dụng tương tự cho DPA này.

  1. Luật điều chỉnh và thẩm quyền tài phán

DPA này được điều chỉnh bởi các quy định về luật điều chỉnh và thẩm quyền tài phán được nêu trong Thỏa thuận.

  1. Thứ tự ưu tiên

12.1 Trong trường hợp có mâu thuẫn giữa DPA này và bất kỳ phần nào khác của Thỏa thuận, DPA này sẽ được ưu tiên áp dụng trong phạm vi mâu thuẫn đó liên quan đến việc Xử lý Dữ liệu Cá nhân hoặc tuân thủ Luật Bảo vệ Dữ liệu.

12.2 Theo Mục 12.1, Order Form sẽ được ưu tiên hơn Terms và DPA này khi có quy định rõ ràng như vậy.


Phụ lục 1: Chi tiết Xử lý

Đối tượng: Phân bổ, phân tích, phát hiện gian lận, xác thực thanh toán và tối ưu hóa các chiến dịch quảng cáo.

Thời hạn: Trong suốt thời hạn của Thỏa thuận cộng với bất kỳ thời gian lưu giữ nào theo yêu cầu pháp luật.

Bản chất của việc Xử lý: Tiếp nhận, thu thập, cấu trúc, đối chiếu, phân tích, ẩn danh hóa một phần, chuyển giao, lưu trữ và xóa Dữ liệu Cá nhân của Bên kiểm soát.

Mục đích Xử lý:

  • phân bổ và đối chiếu thông qua MMPs

  • đo lường lượt nhấp, lượt hiển thị, lượt cài đặt và các sự kiện

  • phát hiện và giảm thiểu gian lận

  • xác nhận đối soát và thanh toán

  • tối ưu hóa và báo cáo chiến dịch

  • hỗ trợ kỹ thuật

Chủ thể dữ liệu:

  • người dùng cuối tương tác với tài liệu quảng cáo

  • nhân sự của Nhà quảng cáo có quyền truy cập nền tảng

Các loại Dữ liệu Cá nhân:

  • Dữ liệu người dùng cuối (app/web): mã định danh quảng cáo (IDFA/GAID), địa chỉ IP, user-agent, phiên bản hệ điều hành, mẫu thiết bị, dấu thời gian cài đặt, dấu thời gian nhấp, thông tin địa lý sơ bộ, sự kiện sau cài đặt, tín hiệu phân tích gian lận.

  • Dữ liệu nhân sự của Nhà quảng cáo: họ tên, email, hoạt động đăng nhập.

Dữ liệu Cá nhân Nhạy cảm và Thuộc Danh mục Đặc biệt: Nhà quảng cáo không được gửi cho Bên xử lý bất kỳ Dữ liệu Cá nhân Nhạy cảm hoặc Thuộc Danh mục Đặc biệt nào theo định nghĩa của Luật Bảo vệ Dữ liệu.


Phụ lục 2: Bên xử lý phụ

Bên xử lý chỉ được thuê Bên xử lý phụ trong các nhóm xử lý sau đây và chỉ trong phạm vi cần thiết để cung cấp Dịch vụ:

  1. Nhà cung cấp dịch vụ lưu trữ đám mây và hạ tầng (bao gồm máy chủ, lưu trữ, phân phối nội dung và các dịch vụ hạ tầng liên quan

  2. Công cụ hỗ trợ phân tích dữ liệu, phân bổ và đo lường (bao gồm các công cụ kỹ thuật được sử dụng để nhận, xử lý hoặc xác thực tín hiệu phân bổ)

  3. Nhà cung cấp phát hiện gian lận và chất lượng lưu lượng (bao gồm các hệ thống phân tích tín hiệu từ thiết bị, hành vi hoặc tín hiệu kỹ thuật để phòng chống gian lận)

  4. Nhà cung cấp bảo mật, ghi nhật ký và giám sát (bao gồm các công cụ kiểm soát truy cập, phát hiện bất thường, giám sát sự cố và ngăn ngừa mối đe dọa)

  5. Dịch vụ hỗ trợ khách hàng và truyền thông (bao gồm các nền tảng ticketing, email và liên lạc được sử dụng để tương tác với nhân sự của Bên kiểm soát)

  6. Nhà cung cấp sao lưu, dự phòng và liên tục kinh doanh

  7. Công cụ phát triển nội bộ, kiểm toán và vận hành (chỉ được sử dụng để hỗ trợ hoạt động nội bộ của Bên xử lý và việc cung cấp Dịch vụ)

Bên xử lý duy trì danh sách cập nhật và chính thức của tất cả các Bên xử lý phụ hiện tại, bao gồm danh tính, địa điểm và mục đích xử lý của họ, tại: www.freecash.com/en/policies/privacy-eu (hoặc bất kỳ URL thay thế nào được thông báo cho Bên kiểm soát).

Danh sách này được cập nhật liên tục theo Mục 4 của DPA này.

Yêu cầu nhiều hơn từ chi tiêu quảng cáo của bạn

Bắt đầu ngay bây giờ

Yêu cầu nhiều hơn từ chi tiêu quảng cáo của bạn

Bắt đầu ngay bây giờ