Link
Thỏa thuận xử lý dữ liệu (DPA)

Phụ lục Xử lý Dữ liệu Liên kết (“DPA”) này được tích hợp bằng dẫn chiếu vào Điều khoản & Điều kiện Liên kết của Almedia (“Điều khoản”) và Đơn đặt hàng hoặc Mẫu Đơn hàng áp dụng (“Mẫu Đơn hàng”) được ký kết bởi và giữa Almedia GmbH, Koppenstr. 8, 10243 Berlin, Germany (“Bên Kiểm soát” hoặc "Almedia") và pháp nhân được xác định là Nhà phát hành trong Mẫu Đơn hàng (“Bên Xử lý” hoặc "Nhà phát hành").

Mẫu Đơn hàng, Điều khoản và DPA này cùng nhau tạo thành toàn bộ thỏa thuận xử lý dữ liệu giữa Bên Kiểm soát và Bên Xử lý (gọi chung là “Thỏa thuận”). Các thuật ngữ viết hoa không được định nghĩa trong DPA này sẽ có ý nghĩa được nêu trong Mẫu Đơn hàng hoặc Điều khoản.

1. Định nghĩa

1.1 “Luật Áp dụng” có nghĩa là tất cả các luật bảo vệ dữ liệu và quyền riêng tư hiện hành, bao gồm GDPR, UK GDPR, CCPA (nếu áp dụng), và mọi luật điều chỉnh việc Xử lý Dữ liệu Cá nhân theo Thỏa thuận.

1.2 “Dữ liệu Cá nhân” có nghĩa là mọi dữ liệu cá nhân do Bên Xử lý xử lý thay mặt cho Bên Kiểm soát theo Thỏa thuận. Dữ liệu Cá nhân bao gồm, nếu áp dụng, các mã định danh và dữ liệu sự kiện liên quan đến việc liên kết tài khoản người dùng cuối với các dịch vụ của Bên Kiểm soát, bao gồm mã định danh tài khoản Freecash, mã liên kết, các sự kiện phân bổ thưởng, và các mã định danh kỹ thuật được tạo ra liên quan đến việc liên kết đó.

1.3 “Luật Bảo vệ Dữ liệu” có nghĩa là Luật Bảo vệ Dữ liệu của EU và, trong phạm vi áp dụng, các luật bảo vệ dữ liệu hoặc quyền riêng tư của bất kỳ quốc gia áp dụng nào khác, bao gồm UK GDPR và, nếu áp dụng, CCPA.

1.4 “Luật Bảo vệ Dữ liệu của EU” có nghĩa là Chỉ thị EU 95/46/EC, được chuyển hóa vào pháp luật trong nước của từng Quốc gia Thành viên và được sửa đổi, thay thế hoặc bãi bỏ theo từng thời điểm, bao gồm bởi GDPR và các luật triển khai hoặc bổ sung GDPR.

1.5 “GDPR” có nghĩa là Quy định Chung về Bảo vệ Dữ liệu của EU (EU 2016/679).

1.6 Các thuật ngữ như “Dữ liệu Cá nhân”, “Xử lý”, “Bên Kiểm soát”, “Bên Xử lý”, “Chủ thể dữ liệu”, “Bên Xử lý phụ”, và “Cơ quan giám sát có thẩm quyền” có ý nghĩa như được nêu trong GDPR.

1.7 “Dịch vụ” có nghĩa là các dịch vụ quảng cáo, phân bổ, phân tích, phát hiện gian lận, thanh toán, tối ưu hóa và các dịch vụ liên quan dành cho nhà phát hành được mô tả trong Thỏa thuận.

2. Vai trò của Các Bên

2.1 Almedia đóng vai trò là Bên Kiểm soát. Nhà quảng cáo đóng vai trò là Bên Xử lý theo Thỏa thuận.

2.2 Bên Kiểm soát chỉ thị cho Bên Xử lý (i) xử lý Dữ liệu Cá nhân; và (ii) cụ thể là, chuyển Dữ liệu Cá nhân đến bất kỳ quốc gia hoặc vùng lãnh thổ nào, trong phạm vi hợp lý cần thiết cho việc cung cấp Dịch vụ và phù hợp với Thỏa thuận và Luật Áp dụng.

2.3 Bên Xử lý sẽ chỉ xử lý Dữ liệu Cá nhân cho mục đích thực hiện Dịch vụ, nghiêm ngặt theo các chỉ thị đã được Bên Kiểm soát ghi nhận bằng văn bản, và sẽ không tự mình xác định mục đích hoặc phương tiện Xử lý.

2.4 Bên Kiểm soát bảo đảm và cam đoan rằng tại mọi thời điểm liên quan và trong suốt thời gian Bên Xử lý xử lý Dữ liệu Cá nhân một cách hợp pháp, Bên Kiểm soát đã và sẽ tiếp tục được ủy quyền hợp lệ và đầy đủ để ban hành chỉ thị nêu tại Mục 2.2 và mọi chỉ thị bổ sung được ghi nhận bằng văn bản theo Thỏa thuận.

2.5 Chi tiết về việc Xử lý Dữ liệu Cá nhân, theo yêu cầu tại Điều 28(3) GDPR, được nêu tại Phụ lục 1 (Chi tiết Xử lý), là một phần không tách rời của DPA này.

2.6 Các Bên thừa nhận và đồng ý rằng, đối với toàn bộ Dữ liệu Cá nhân được xử lý theo Thỏa thuận (bao gồm liên quan đến Tích hợp Liên kết), Bên Xử lý chỉ hành động với tư cách là bên xử lý thay mặt cho Bên Kiểm soát chứ không phải là bên kiểm soát chung hoặc bên kiểm soát độc lập.

3. Nghĩa vụ của Bên Xử lý

3.1 Bên Xử lý chỉ được xử lý Dữ liệu Cá nhân theo các chỉ thị đã được Bên Kiểm soát ghi nhận bằng văn bản, trừ khi pháp luật yêu cầu khác.

3.2 Bên Xử lý phải bảo đảm rằng những người được ủy quyền xử lý Dữ liệu Cá nhân phải chịu các nghĩa vụ bảo mật có thể thực thi.

3.3 Bên Xử lý phải triển khai các biện pháp kỹ thuật và tổ chức phù hợp theo yêu cầu tại Điều 32 GDPR.

3.4 Bên Xử lý không được lưu giữ Dữ liệu Cá nhân lâu hơn mức cần thiết để cung cấp Dịch vụ, trừ khi việc lưu giữ được yêu cầu hoặc được phép theo Luật Áp dụng hoặc là cần thiết để xác lập, thực thi hoặc bảo vệ các yêu cầu pháp lý, thực thi Thỏa thuận, hoặc ngăn chặn gian lận và bảo vệ an ninh của Dịch vụ. Trong những trường hợp đó, Bên Xử lý phải giới hạn việc xử lý vào các mục đích đó và áp dụng các kiểm soát truy cập phù hợp.

3.5 Bên Xử lý không được xử lý Dữ liệu Cá nhân cho mục đích riêng của mình. Cụ thể, Bên Xử lý không được sử dụng Dữ liệu Cá nhân để xây dựng hồ sơ người dùng, đồ thị tài khoản, mô hình hành vi hoặc phân khúc đối tượng, cũng như không được dùng để làm giàu cho bộ dữ liệu hoặc dịch vụ của mình, hoặc cho mục đích phân tích, kiếm tiền hay tối ưu hóa ngoài các chỉ thị đã được Bên Kiểm soát ghi nhận bằng văn bản. Bên Xử lý chỉ được lưu giữ và sử dụng dữ liệu dưới dạng tổng hợp hoặc ẩn danh, không cấu thành Dữ liệu Cá nhân.

4. Bên Xử lý phụ

4.1 Theo Mục 4 này, Bên Kiểm soát ủy quyền cho Bên Xử lý thuê Bên Xử lý phụ chỉ trong phạm vi cần thiết cho việc cung cấp Dịch vụ và chỉ trong các nhóm xử lý được nêu tại Phụ lục 2.

4.2 Bên Xử lý phải bảo đảm rằng tất cả Bên Xử lý phụ đều bị ràng buộc bởi các thỏa thuận bằng văn bản áp đặt các nghĩa vụ bảo vệ dữ liệu tương đương về cơ bản với các nghĩa vụ quy định trong DPA này và theo yêu cầu của Luật Áp dụng.

4.3 Bên Xử lý duy trì danh sách cập nhật tất cả các Bên Xử lý phụ hiện tại tham gia cung cấp Dịch vụ, bao gồm danh tính, địa điểm và mục đích xử lý của họ, và sẽ cung cấp danh sách đó cho Bên Kiểm soát khi được yêu cầu.

4.4 Bên Xử lý phải thông báo trước qua email trước khi chỉ định hoặc thay thế bất kỳ Bên Xử lý phụ nào đối với các hoạt động xử lý ảnh hưởng đáng kể đến Dữ liệu Cá nhân.

4.5 Bên Kiểm soát có thể phản đối việc chỉ định một Bên Xử lý phụ mới chỉ trên cơ sở hợp lý và có tài liệu chứng minh liên quan đến bảo vệ dữ liệu. Bên Xử lý sẽ hợp tác thiện chí với Bên Kiểm soát để giải quyết các phản đối đó.

4.6 Nếu không thể đạt được giải pháp được hai bên chấp nhận, Bên Kiểm soát có thể tạm ngừng Dịch vụ bị ảnh hưởng hoặc chấm dứt Dịch vụ đó bằng văn bản. Việc tạm ngừng hoặc chấm dứt như vậy là biện pháp khắc phục duy nhất và độc quyền của Bên Kiểm soát liên quan đến các phản đối đối với Bên Xử lý phụ.

5. Chuyển dữ liệu quốc tế

5.1 Bên Xử lý có thể chuyển Dữ liệu Cá nhân ra ngoài EEA/UK khi được pháp luật cho phép và với các biện pháp bảo đảm phù hợp, bao gồm các việc chuyển dữ liệu cần thiết để hỗ trợ Tích hợp Liên kết và phân bổ thưởng..

5.2 Các biện pháp bảo đảm được phê duyệt có thể bao gồm Điều khoản Hợp đồng Mẫu của EU, Phụ lục/IDTA của UK, hoặc bất kỳ cơ chế kế thừa nào.

5.3 Bên Xử lý phải bảo đảm rằng các Bên Xử lý phụ nhận dữ liệu chuyển giao áp dụng các biện pháp bảo đảm đầy đủ.

6. Quyền của Chủ thể dữ liệu

6.1 Bên Kiểm soát chịu trách nhiệm phản hồi các yêu cầu của Chủ thể dữ liệu.

6.2 Bên Xử lý phải hỗ trợ hợp lý cho Bên Kiểm soát trong việc phản hồi các yêu cầu của Chủ thể dữ liệu.

6.3 Bên Xử lý sẽ không trực tiếp phản hồi Chủ thể dữ liệu trừ khi pháp luật yêu cầu hoặc theo chỉ thị của Bên Kiểm soát.

7. Vi phạm Dữ liệu Cá nhân

7.1 Bên Xử lý phải thông báo cho Bên Kiểm soát mà không chậm trễ quá mức sau khi biết về một Vi phạm Dữ liệu Cá nhân ảnh hưởng đến Dữ liệu Cá nhân.

7.2 Bên Xử lý phải cung cấp các thông tin sẵn có một cách hợp lý để hỗ trợ Bên Kiểm soát đáp ứng các nghĩa vụ thông báo của mình.

7.3 Bên Xử lý phải hợp tác với Bên Kiểm soát liên quan đến việc khắc phục.

8. Đánh giá Tác động Bảo vệ Dữ liệu và Kiểm toán

8.1 Bên Xử lý phải hỗ trợ hợp lý đối với DPIA và các cuộc tham vấn với cơ quan giám sát, trong phạm vi mà Luật Bảo vệ Dữ liệu yêu cầu.

8.2 Bên Kiểm soát có thể tiến hành kiểm toán hoặc kiểm tra do một kiểm toán viên độc lập, có uy tín thực hiện, với điều kiện: (a) thông báo bằng văn bản trước 30 ngày, (b) không quá một cuộc kiểm toán trong bất kỳ giai đoạn 12 tháng nào trừ khi pháp luật yêu cầu hoặc sau một sự cố đã được xác nhận, (c) Bên Kiểm soát chịu toàn bộ chi phí liên quan, và (d) các cuộc kiểm toán diễn ra trong giờ làm việc bình thường mà không gây gián đoạn quá mức.

8.3 Bên Xử lý có thể đáp ứng các nghĩa vụ kiểm toán bằng cách cung cấp các chứng nhận hoặc báo cáo kiểm toán của bên thứ ba nếu đủ để chứng minh sự tuân thủ.

9. Trả lại và Xóa dữ liệu

9.1 Theo Mục 9.2, Bên Xử lý phải, kịp thời và trong mọi trường hợp trong vòng sáu mươi (60) ngày kể từ ngày chấm dứt bất kỳ Dịch vụ nào liên quan đến việc Xử lý Dữ liệu Cá nhân, xóa, giả danh hóa hoặc trả lại toàn bộ bản sao Dữ liệu Cá nhân, phù hợp với các chỉ thị đã được Bên Kiểm soát ghi nhận bằng văn bản, ngoại trừ bất kỳ bản sao nào mà Bên Xử lý phải lưu giữ theo Luật Áp dụng.

9.2 Theo Thỏa thuận và Luật Áp dụng, Bên Xử lý có thể lưu giữ Dữ liệu Cá nhân trong phạm vi được pháp luật yêu cầu hoặc cho phép, với điều kiện Bên Xử lý bảo đảm tính bảo mật của Dữ liệu Cá nhân đó và chỉ xử lý dữ liệu đó cho mục đích mà việc lưu giữ được yêu cầu hoặc cho phép.

10. Trách nhiệm pháp lý

Các giới hạn và loại trừ trách nhiệm được nêu trong Thỏa thuận cũng áp dụng tương đương cho DPA này.

11. Luật điều chỉnh và Thẩm quyền

DPA này được điều chỉnh bởi các điều khoản về luật điều chỉnh và thẩm quyền được nêu trong Thỏa thuận.

12. Thứ tự ưu tiên

12.1 Trong trường hợp có xung đột giữa DPA này và bất kỳ phần nào khác của Thỏa thuận, DPA này sẽ được ưu tiên áp dụng trong phạm vi xung đột đó liên quan đến việc Xử lý Dữ liệu Cá nhân hoặc tuân thủ Luật Bảo vệ Dữ liệu.

12.2 Theo Mục 12.1, Mẫu Đơn hàng sẽ được ưu tiên hơn Điều khoản và DPA này khi được nêu rõ như vậy.

Phụ lục 1: Chi tiết Xử lý

Đối tượng: Phân bổ, phân tích, phát hiện gian lận, xác nhận thanh toán, tối ưu hóa các chiến dịch quảng cáo, và liên kết tài khoản cùng phân bổ thưởng liên quan đến Tích hợp Liên kết.

Thời hạn: Trong suốt thời hạn của Thỏa thuận cộng với mọi thời gian lưu giữ theo yêu cầu pháp luật.

Bản chất của việc Xử lý: Tiếp nhận, thu thập, cấu trúc, đối sánh, phân tích, giả danh hóa, chuyển giao, lưu trữ và xóa Dữ liệu Cá nhân của Bên Kiểm soát.

Mục đích Xử lý:

• phân bổ và đối sánh thông qua MMPs

• đo lường lượt nhấp, lượt hiển thị, lượt cài đặt và các sự kiện

• phát hiện và giảm thiểu gian lận

• đối soát và xác minh thanh toán

• tối ưu hóa chiến dịch và báo cáo

• hỗ trợ kỹ thuật

• liên kết tài khoản người dùng cuối giữa các tài sản của Nhà phát hành và các dịch vụ của Bên Kiểm soát

• xác minh và phân bổ mức tương tác trong trò chơi đủ điều kiện nhận thưởng

• ngăn chặn các yêu cầu nhận thưởng trùng lặp, gian lận hoặc bị thao túng

Chủ thể dữ liệu:

• người dùng cuối tương tác với tài liệu quảng cáo

• nhân sự của Nhà quảng cáo có quyền truy cập nền tảng

Các loại Dữ liệu Cá nhân:

• Dữ liệu người dùng cuối (app/web): mã định danh quảng cáo (IDFA/GAID), địa chỉ IP, user-agent, phiên bản hệ điều hành, mẫu thiết bị, dấu thời gian cài đặt, dấu thời gian nhấp, thông tin địa lý ở mức khái quát, sự kiện sau cài đặt, tín hiệu phân tích gian lận, mã định danh tài khoản Freecash hoặc mã liên kết ẩn danh, dấu thời gian liên kết tài khoản và các cờ trạng thái, trạng thái đủ điều kiện nhận thưởng và các sự kiện phân bổ.

• Dữ liệu nhân sự của Nhà quảng cáo: tên, email, hoạt động đăng nhập.

Dữ liệu Cá nhân Nhạy cảm và Thuộc nhóm đặc biệt: Nhà quảng cáo không được gửi cho Bên Xử lý bất kỳ Dữ liệu Cá nhân Nhạy cảm hoặc Thuộc nhóm đặc biệt nào, như được định nghĩa trong Luật Bảo vệ Dữ liệu.

Phụ lục 2: Bên Xử lý phụ

Bên Xử lý chỉ được thuê Bên Xử lý phụ trong các nhóm xử lý sau đây, và chỉ trong phạm vi cần thiết cho việc cung cấp Dịch vụ:

1. Nhà cung cấp lưu trữ đám mây và hạ tầng (bao gồm máy chủ, lưu trữ, phân phối nội dung, và các dịch vụ hạ tầng liên quan

2. Công cụ hỗ trợ phân tích dữ liệu, phân bổ và đo lường (bao gồm các công cụ kỹ thuật dùng để nhận, xử lý hoặc xác minh các tín hiệu phân bổ)

3. Nhà cung cấp phát hiện gian lận và chất lượng lưu lượng (bao gồm các hệ thống phân tích tín hiệu thiết bị, hành vi hoặc kỹ thuật để phòng chống gian lận)

4. Nhà cung cấp bảo mật, ghi nhật ký và giám sát (bao gồm các công cụ kiểm soát truy cập, phát hiện bất thường, giám sát sự cố và ngăn ngừa mối đe dọa)

5. Dịch vụ hỗ trợ khách hàng và liên lạc (bao gồm các nền tảng quản lý yêu cầu hỗ trợ, email và giao tiếp được sử dụng để tương tác với nhân sự của Bên Kiểm soát)

6. Nhà cung cấp sao lưu, dự phòng và duy trì hoạt động kinh doanh liên tục

7. Công cụ phát triển nội bộ, kiểm toán và vận hành, chỉ nhằm hỗ trợ hoạt động nội bộ của Bên Xử lý cần thiết cho việc cung cấp Dịch vụ và không phục vụ cho phát triển sản phẩm độc lập hoặc khai thác dữ liệu.

Bên Xử lý duy trì danh sách cập nhật và có thẩm quyền đối với tất cả Bên Xử lý phụ hiện tại, bao gồm danh tính, địa điểm và mục đích xử lý của họ, danh sách này cũng sẽ được thông báo cho Bên Kiểm soát).

Danh sách này được cập nhật liên tục theo Mục 4 của DPA này.