• Bản dịch tiếng Nhật tiện lợi bên dưới / の自然で契約文書向きな日本語は、次がベストです

Phụ lục Xử lý Dữ liệu của Nhà quảng cáo này (“DPA”) được tích hợp bằng cách dẫn chiếu vào Điều khoản & Điều kiện dành cho Nhà quảng cáo của Almedia (“Terms”) và Đơn đặt hàng hoặc Mẫu đơn đặt hàng áp dụng (“Order Form”) được ký kết giữa Almedia GmbH, Koppenstr. 8, 10243 Berlin, Germany (“Bên xử lý” hoặc “Almedia”) và pháp nhân được xác định là Nhà quảng cáo trong Mẫu đơn đặt hàng (“Bên kiểm soát”).

Mẫu đơn đặt hàng, Terms và DPA này cùng tạo thành toàn bộ thỏa thuận xử lý dữ liệu giữa Bên kiểm soát và Bên xử lý (the “Agreement”). Các thuật ngữ viết hoa không được định nghĩa trong DPA này sẽ có nghĩa như được quy định trong Mẫu đơn đặt hàng hoặc Terms.

DPA này được lập bằng tiếng Anh. Mọi bản dịch, bao gồm cả các phiên bản tiếng Nhật hoặc ngôn ngữ khác, chỉ được cung cấp để thuận tiện và không có giá trị pháp lý. Trong trường hợp có bất kỳ mâu thuẫn hoặc sai khác nào giữa bản tiếng Anh và bất kỳ bản dịch nào, bản tiếng Anh sẽ được ưu tiên áp dụng.

1. Định nghĩa

1.1 “Pháp luật áp dụng” có nghĩa là tất cả các luật bảo vệ dữ liệu và quyền riêng tư áp dụng, bao gồm GDPR, UK GDPR, CCPA (nếu áp dụng), và tất cả các luật điều chỉnh việc Xử lý Dữ liệu cá nhân theo Agreement.

1.2 “Dữ liệu cá nhân” có nghĩa là bất kỳ dữ liệu cá nhân nào được Bên xử lý xử lý thay mặt cho Bên kiểm soát theo Agreement.

1.3 “Pháp luật bảo vệ dữ liệu” có nghĩa là Pháp luật bảo vệ dữ liệu EU và, trong phạm vi áp dụng, các luật bảo vệ dữ liệu hoặc quyền riêng tư của bất kỳ quốc gia áp dụng nào khác, bao gồm UK GDPR và, nếu áp dụng, CCPA.

1.4 “Pháp luật bảo vệ dữ liệu EU” có nghĩa là Chỉ thị EU 95/46/EC, được nội luật hóa vào pháp luật nội địa của từng Quốc gia thành viên và được sửa đổi, thay thế hoặc bãi bỏ theo thời gian, bao gồm bởi GDPR và các luật triển khai hoặc bổ sung GDPR.

1.5 “GDPR” có nghĩa là Quy định chung về bảo vệ dữ liệu của EU (EU 2016/679).

1.6 Các thuật ngữ như “Dữ liệu cá nhân”, “Xử lý”, “Bên kiểm soát”, “Bên xử lý”, “Chủ thể dữ liệu”, “Bên xử lý phụ” và “Cơ quan giám sát” có nghĩa như được quy định trong GDPR.

1.7 “Dịch vụ” có nghĩa là các dịch vụ quảng cáo, ghi nhận, phân tích, phát hiện gian lận, thanh toán, tối ưu hóa và các dịch vụ liên quan được mô tả trong Agreement.

2. Vai trò của các Bên

2.1 Almedia chỉ hành động với tư cách là Bên xử lý. Nhà quảng cáo hành động với tư cách là Bên kiểm soát theo Agreement. Nếu Nhà quảng cáo là một bên xử lý được ủy quyền bởi một bên kiểm soát bên thứ ba, Nhà quảng cáo bảo đảm rằng mình có thẩm quyền chỉ thị cho Almedia và chỉ định Almedia làm Bên xử lý.

2.2 Bên kiểm soát chỉ thị cho Bên xử lý (i) xử lý Dữ liệu cá nhân; và (ii) cụ thể là chuyển Dữ liệu cá nhân đến bất kỳ quốc gia hoặc vùng lãnh thổ nào, trong từng trường hợp khi cần hợp lý để cung cấp Dịch vụ và phù hợp với Agreement và Pháp luật áp dụng.

2.3 Bên xử lý chỉ được xử lý Dữ liệu cá nhân nhằm mục đích thực hiện Dịch vụ và theo các chỉ dẫn được ghi nhận của Bên kiểm soát.

2.4 Bên kiểm soát bảo đảm và cam kết rằng tại mọi thời điểm liên quan và trong toàn bộ thời gian Bên xử lý xử lý Dữ liệu cá nhân hợp pháp, Bên kiểm soát hiện có và sẽ duy trì đầy đủ, hợp lệ thẩm quyền để đưa ra chỉ dẫn quy định tại Mục 2.2 và mọi chỉ dẫn bổ sung được ghi nhận theo Agreement.

2.5 Chi tiết về việc Xử lý Dữ liệu cá nhân, theo yêu cầu tại Điều 28(3) GDPR, được nêu tại Phụ lục 1 (Chi tiết về Xử lý), là bộ phận không tách rời của DPA này.

3. Nghĩa vụ của Bên xử lý

3.1 Bên xử lý chỉ được xử lý Dữ liệu cá nhân theo các chỉ dẫn được ghi nhận của Bên kiểm soát, trừ khi pháp luật yêu cầu khác.

3.2 Bên xử lý phải bảo đảm những người được ủy quyền xử lý Dữ liệu cá nhân chịu các nghĩa vụ bảo mật có thể thực thi.

3.3 Bên xử lý phải triển khai các biện pháp kỹ thuật và tổ chức phù hợp theo yêu cầu của Điều 32 GDPR.

3.4 Bên xử lý không được lưu giữ Dữ liệu cá nhân lâu hơn mức cần thiết để cung cấp Dịch vụ hoặc theo yêu cầu của pháp luật.

3.5 Bên xử lý không được xử lý Dữ liệu cá nhân cho mục đích riêng của mình. Bên xử lý chỉ được lưu giữ và sử dụng dữ liệu ở dạng tổng hợp hoặc ẩn danh, không cấu thành Dữ liệu cá nhân.

4. Bên xử lý phụ

4.1 Theo Điều 4 này, Bên kiểm soát cho phép Bên xử lý thuê Bên xử lý phụ chỉ trong phạm vi cần thiết cho việc cung cấp Dịch vụ và chỉ trong các nhóm xử lý được nêu tại Phụ lục 2.

4.2 Bên xử lý phải bảo đảm rằng tất cả Bên xử lý phụ đều bị ràng buộc bởi các thỏa thuận bằng văn bản áp đặt các nghĩa vụ bảo vệ dữ liệu về cơ bản tương đương với các nghĩa vụ trong DPA này và theo yêu cầu của Pháp luật áp dụng.

4.3 Bên xử lý duy trì danh sách cập nhật của tất cả Bên xử lý phụ hiện tại tham gia cung cấp Dịch vụ. Danh sách này được cập nhật liên tục và cung cấp cho Bên kiểm soát tại: www.freecash.com/en/policies/privacy-eu (hoặc bất kỳ URL thay thế nào được thông báo cho Bên kiểm soát).

4.4 Bên xử lý sẽ thông báo trước (thông qua danh sách Bên xử lý phụ hoặc qua email nếu pháp luật yêu cầu) trước khi chỉ định hoặc thay thế bất kỳ Bên xử lý phụ nào đối với các hoạt động xử lý có ảnh hưởng đáng kể đến Dữ liệu cá nhân.

4.5 Bên kiểm soát chỉ có thể phản đối việc chỉ định một Bên xử lý phụ mới trên các cơ sở hợp lý và được ghi nhận về bảo vệ dữ liệu. Bên xử lý sẽ thiện chí làm việc với Bên kiểm soát để giải quyết các phản đối đó.

4.6 Nếu không thể đạt được giải pháp có thể chấp nhận được cho cả hai bên, Bên kiểm soát có thể tạm ngừng các Dịch vụ bị ảnh hưởng hoặc chấm dứt chúng bằng thông báo bằng văn bản. Việc tạm ngừng hoặc chấm dứt đó sẽ là biện pháp khắc phục duy nhất và độc quyền của Bên kiểm soát liên quan đến các phản đối đối với Bên xử lý phụ.

5. Chuyển giao quốc tế

5.1 Bên xử lý có thể chuyển Dữ liệu cá nhân ra ngoài EEA/UK khi được pháp luật cho phép và tuân theo các biện pháp bảo vệ phù hợp.

5.2 Các biện pháp bảo vệ được chấp thuận có thể bao gồm Điều khoản Hợp đồng Tiêu chuẩn của EU, Phụ lục/IDTA của Vương quốc Anh, hoặc bất kỳ cơ chế thay thế nào.

5.3 Bên xử lý phải bảo đảm rằng các Bên xử lý phụ nhận dữ liệu chuyển giao sẽ triển khai các biện pháp bảo vệ đầy đủ.

6. Quyền của Chủ thể dữ liệu

6.1 Bên kiểm soát chịu trách nhiệm phản hồi các yêu cầu của Chủ thể dữ liệu.

6.2 Bên xử lý sẽ hỗ trợ hợp lý cho Bên kiểm soát, với chi phí do Bên kiểm soát chịu, trong việc phản hồi các yêu cầu của Chủ thể dữ liệu.

6.3 Bên xử lý sẽ không phản hồi trực tiếp Chủ thể dữ liệu, trừ khi pháp luật yêu cầu hoặc theo chỉ dẫn của Bên kiểm soát.

7. Vi phạm Dữ liệu cá nhân

7.1 Bên xử lý phải thông báo cho Bên kiểm soát mà không chậm trễ quá mức sau khi nhận biết về một Vi phạm Dữ liệu cá nhân ảnh hưởng đến Dữ liệu cá nhân.

7.2 Bên xử lý phải cung cấp các thông tin có thể hợp lý để hỗ trợ Bên kiểm soát trong việc đáp ứng các nghĩa vụ thông báo của mình.

7.3 Bên xử lý phải hợp tác với Bên kiểm soát liên quan đến việc khắc phục.

8. Đánh giá tác động bảo vệ dữ liệu và kiểm toán

8.1 Bên xử lý phải hỗ trợ hợp lý đối với DPIA và các cuộc tham vấn với cơ quan giám sát, trong phạm vi Pháp luật bảo vệ dữ liệu yêu cầu.

8.2 Bên kiểm soát có thể tiến hành các cuộc kiểm toán hoặc kiểm tra do một kiểm toán viên độc lập, có uy tín thực hiện, với điều kiện: (a) thông báo bằng văn bản trước 30 ngày; (b) không quá một cuộc kiểm toán trong bất kỳ giai đoạn 12 tháng nào, trừ khi pháp luật yêu cầu hoặc sau một sự cố đã được xác nhận; (c) Bên kiểm soát chịu toàn bộ chi phí liên quan; và (d) các cuộc kiểm toán diễn ra trong giờ làm việc bình thường và không gây gián đoạn quá mức.

8.3 Bên xử lý có thể đáp ứng nghĩa vụ kiểm toán bằng cách cung cấp các chứng nhận của bên thứ ba hoặc báo cáo kiểm toán nếu đủ để chứng minh việc tuân thủ.

8.4 Bên kiểm soát sẽ chịu toàn bộ chi phí và phí liên quan đến các cuộc kiểm toán.

9. Hoàn trả và Xóa dữ liệu

9.1 Theo Điều 9.2, Bên xử lý sẽ, ngay lập tức và trong mọi trường hợp trong vòng chín mươi (90) ngày làm việc kể từ ngày chấm dứt bất kỳ Dịch vụ nào liên quan đến việc Xử lý Dữ liệu cá nhân, xóa, bút danh hóa hoặc hoàn trả tất cả các bản sao Dữ liệu cá nhân, phù hợp với các chỉ dẫn được ghi nhận của Bên kiểm soát, trừ bất kỳ bản sao nào mà Bên xử lý bắt buộc phải lưu giữ theo Pháp luật áp dụng.

9.2 Theo Agreement và Pháp luật áp dụng, Bên xử lý có thể lưu giữ Dữ liệu cá nhân trong phạm vi được pháp luật yêu cầu hoặc cho phép, với điều kiện Bên xử lý bảo đảm tính bảo mật của Dữ liệu cá nhân đó và chỉ xử lý dữ liệu đó cho (các) mục đích mà việc lưu giữ được yêu cầu hoặc cho phép.

10. Trách nhiệm pháp lý

Các giới hạn và loại trừ trách nhiệm được quy định trong Agreement cũng áp dụng tương tự cho DPA này.

11. Luật điều chỉnh và thẩm quyền

DPA này chịu sự điều chỉnh bởi các quy định về luật điều chỉnh và thẩm quyền được nêu trong Agreement.

12. Thứ tự ưu tiên

12.1 Trong trường hợp có xung đột giữa DPA này và bất kỳ phần nào khác của Agreement, DPA này sẽ được ưu tiên áp dụng trong phạm vi xung đột đó liên quan đến việc Xử lý Dữ liệu cá nhân hoặc tuân thủ Pháp luật bảo vệ dữ liệu.

12.2 Theo Điều 12.1, Mẫu đơn đặt hàng sẽ được ưu tiên hơn Terms và DPA này khi có quy định rõ ràng như vậy.

Phụ lục 1: Chi tiết về Xử lý

Đối tượng: Ghi nhận, phân tích, phát hiện gian lận, xác thực thanh toán và tối ưu hóa các chiến dịch quảng cáo.

Thời hạn: Trong suốt thời hạn của Agreement cộng với bất kỳ thời hạn lưu giữ nào theo yêu cầu pháp luật.

Bản chất của Xử lý: Tiếp nhận, thu thập, cấu trúc hóa, đối sánh, phân tích, bút danh hóa, chuyển giao, lưu trữ và xóa Dữ liệu cá nhân của Bên kiểm soát.

Mục đích của Xử lý:

• ghi nhận và đối sánh thông qua MMPs

• đo lường lượt nhấp, lượt hiển thị, lượt cài đặt và sự kiện

• phát hiện và giảm thiểu gian lận

• đối soát và xác thực thanh toán

• tối ưu hóa và báo cáo chiến dịch

• hỗ trợ kỹ thuật

Chủ thể dữ liệu:

• người dùng cuối tương tác với tài liệu quảng cáo

• nhân sự của Nhà quảng cáo có quyền truy cập nền tảng

Các loại Dữ liệu cá nhân:

• Dữ liệu người dùng cuối (app/web): mã định danh quảng cáo (IDFA/GAID), địa chỉ IP, user-agent, phiên bản hệ điều hành, mẫu thiết bị, thời điểm cài đặt, thời điểm nhấp, thông tin địa lý ở mức khái quát, sự kiện sau cài đặt, tín hiệu phân tích gian lận.

• Dữ liệu nhân sự của Nhà quảng cáo: tên, email, hoạt động đăng nhập.

Dữ liệu cá nhân nhạy cảm và thuộc loại đặc biệt: Nhà quảng cáo sẽ không gửi cho Bên xử lý bất kỳ Dữ liệu cá nhân nhạy cảm hoặc thuộc loại đặc biệt nào, כפי được định nghĩa trong Pháp luật bảo vệ dữ liệu.

Phụ lục 2: Bên xử lý phụ

Bên xử lý chỉ được thuê Bên xử lý phụ trong các nhóm xử lý sau đây, và chỉ trong phạm vi cần thiết cho việc cung cấp Dịch vụ:

1. Nhà cung cấp dịch vụ lưu trữ đám mây và hạ tầng (bao gồm máy chủ, lưu trữ, phân phối nội dung và các dịch vụ hạ tầng liên quan

2. Công cụ hỗ trợ phân tích dữ liệu, ghi nhận và đo lường (bao gồm các công cụ kỹ thuật được dùng để nhận, xử lý hoặc xác thực tín hiệu ghi nhận)

3. Nhà cung cấp phát hiện gian lận và chất lượng lưu lượng (bao gồm các hệ thống phân tích tín hiệu từ thiết bị, hành vi hoặc kỹ thuật để phòng chống gian lận)

4. Nhà cung cấp bảo mật, ghi log và giám sát (bao gồm các công cụ kiểm soát truy cập, phát hiện bất thường, giám sát sự cố và phòng ngừa mối đe dọa)

5. Dịch vụ hỗ trợ khách hàng và truyền thông (bao gồm hệ thống quản lý yêu cầu, email và các nền tảng giao tiếp dùng để tương tác với nhân sự của Bên kiểm soát)

6. Nhà cung cấp sao lưu, dự phòng và duy trì liên tục hoạt động kinh doanh

7. Công cụ phát triển nội bộ, kiểm toán và vận hành (chỉ được sử dụng để hỗ trợ hoạt động nội bộ của Bên xử lý và việc cung cấp Dịch vụ)

Bên xử lý duy trì danh sách cập nhật và có tính chính thức của tất cả Bên xử lý phụ hiện tại, bao gồm danh tính, địa điểm và mục đích xử lý của họ, tại: www.freecash.com/en/policies/privacy-eu (hoặc bất kỳ URL thay thế nào được thông báo cho Bên kiểm soát).

Danh sách này được cập nhật liên tục theo Điều 4 của DPA này.