• Bản dịch tiếng Nhật tiện dụng bên dưới / Bản tiếng Nhật tự nhiên, phù hợp cho tài liệu hợp đồng, như sau là tốt nhất

Phụ lục Xử lý Dữ liệu Liên kết này (“DPA”) được tích hợp bằng dẫn chiếu vào Điều khoản & Điều kiện Liên kết của Almedia (“Terms”) và Đơn đặt hàng hoặc Mẫu đơn đặt hàng áp dụng (“Order Form”) được ký kết giữa Almedia GmbH, Koppenstr. 8, 10243 Berlin, Germany (“Controller” hoặc "Almedia") và pháp nhân được xác định là Publisher trong Order Form (“Processor” hoặc "Publisher").

Order Form, Terms và DPA này cùng tạo thành toàn bộ thỏa thuận xử lý dữ liệu giữa Controller và Processor (gọi chung là “Agreement”). Các thuật ngữ viết hoa không được định nghĩa trong DPA này sẽ có ý nghĩa như được nêu trong Order Form hoặc Terms.

1. Định nghĩa

1.1 “Applicable Laws” nghĩa là tất cả các luật về bảo vệ dữ liệu và quyền riêng tư áp dụng, bao gồm GDPR, UK GDPR, CCPA (nếu áp dụng), và mọi luật điều chỉnh việc xử lý Dữ liệu cá nhân theo Agreement.

1.2 “Personal Data” nghĩa là bất kỳ dữ liệu cá nhân nào do Processor xử lý thay mặt Controller theo Agreement. Personal Data bao gồm, khi áp dụng, các định danh và dữ liệu sự kiện liên quan đến việc liên kết tài khoản người dùng cuối với dịch vụ của Controller, bao gồm định danh tài khoản Freecash, mã liên kết, sự kiện quy kết phần thưởng, và các định danh kỹ thuật được tạo ra liên quan đến việc liên kết đó.

1.3 “Data Protection Laws” nghĩa là Luật bảo vệ dữ liệu của EU và, trong phạm vi áp dụng, các luật bảo vệ dữ liệu hoặc quyền riêng tư của bất kỳ quốc gia áp dụng nào khác, bao gồm UK GDPR và, khi áp dụng, CCPA.

1.4 “EU Data Protection Laws” nghĩa là Chỉ thị EU 95/46/EC, như được nội luật hóa vào pháp luật trong nước của từng Quốc gia Thành viên và được sửa đổi, thay thế hoặc bãi bỏ theo từng thời điểm, bao gồm bởi GDPR và các luật triển khai hoặc bổ sung GDPR.

1.5 “GDPR” nghĩa là Quy định chung của EU về bảo vệ dữ liệu (EU 2016/679).

1.6 Các thuật ngữ như “Personal Data”, “Processing”, “Controller”, “Processor”, “Data Subject”, “Sub-processor” và “Supervisory Authority” có ý nghĩa như được quy định trong GDPR.

1.7 “Services” nghĩa là các dịch vụ quảng cáo, phân bổ, phân tích, phát hiện gian lận, đối soát thanh toán, tối ưu hóa và các dịch vụ liên quan cho Publisher được mô tả trong Agreement.

2. Vai trò của các Bên

2.1 Almedia đóng vai trò là Controller. Advertiser đóng vai trò là Processor theo Agreement.

2.2 Controller chỉ thị cho Processor (i) xử lý Personal Data; và (ii) đặc biệt là chuyển Personal Data đến bất kỳ quốc gia hoặc vùng lãnh thổ nào, trong phạm vi hợp lý cần thiết để cung cấp Services và phù hợp với Agreement cùng Applicable Laws.

2.3 Processor sẽ chỉ xử lý Personal Data cho mục đích thực hiện Services, nghiêm ngặt theo hướng dẫn bằng văn bản của Controller, và sẽ không tự xác định độc lập mục đích hoặc phương tiện Processing.

2.4 Controller bảo đảm và cam kết rằng, tại mọi thời điểm liên quan và trong suốt thời gian Processor hợp pháp xử lý Personal Data, Controller đã và sẽ tiếp tục được ủy quyền hợp lệ và có hiệu lực để đưa ra chỉ thị nêu tại Mục 2.2 và mọi chỉ thị bằng văn bản bổ sung theo Agreement.

2.5 Chi tiết về việc xử lý Personal Data, theo yêu cầu tại Điều 28(3) GDPR, được nêu tại Phụ lục 1 (Chi tiết xử lý), là phần không tách rời của DPA này.

2.6 Các Bên thừa nhận và đồng ý rằng, đối với toàn bộ Personal Data được xử lý theo Agreement (bao gồm cả liên quan đến Link Integration), Processor chỉ đóng vai trò là bên xử lý thay mặt Controller và không phải là bên đồng kiểm soát hay bên kiểm soát độc lập.

3. Nghĩa vụ của Processor

3.1 Processor chỉ được xử lý Personal Data theo các chỉ thị bằng văn bản của Controller, trừ khi pháp luật có quy định khác.

3.2 Processor phải bảo đảm rằng những người được ủy quyền xử lý Personal Data phải tuân thủ các nghĩa vụ bảo mật có thể thực thi.

3.3 Processor phải triển khai các biện pháp kỹ thuật và tổ chức phù hợp theo yêu cầu tại Điều 32 GDPR.

3.4 Processor không được lưu giữ Personal Data lâu hơn mức cần thiết để cung cấp Services, trừ khi việc lưu giữ được yêu cầu hoặc được phép theo Applicable Laws hoặc cần thiết để thiết lập, thực thi hoặc bảo vệ các yêu cầu pháp lý, thực thi Agreement, hoặc ngăn chặn gian lận và bảo vệ an ninh của Services. Trong các trường hợp đó, Processor phải giới hạn việc xử lý cho các mục đích đó và áp dụng các kiểm soát truy cập phù hợp.

3.5 Processor không được xử lý Personal Data cho mục đích riêng của mình. Cụ thể, Processor không được sử dụng Personal Data để xây dựng hồ sơ người dùng, sơ đồ tài khoản, mô hình hành vi hoặc phân khúc đối tượng, cũng như không được làm giàu bộ dữ liệu hoặc dịch vụ của chính mình, hoặc sử dụng cho phân tích, kiếm tiền hay tối ưu hóa ngoài các chỉ thị bằng văn bản của Controller. Processor chỉ được lưu giữ và sử dụng dữ liệu ở dạng tổng hợp hoặc ẩn danh mà không còn cấu thành Personal Data.

4. Bên xử lý phụ

4.1 Theo Mục 4 này, Controller ủy quyền cho Processor chỉ định Bên xử lý phụ chỉ trong phạm vi cần thiết để cung cấp Services và chỉ trong các danh mục xử lý được nêu tại Phụ lục 2.

4.2 Processor phải bảo đảm rằng tất cả Bên xử lý phụ đều bị ràng buộc bởi các thỏa thuận bằng văn bản áp đặt các nghĩa vụ bảo vệ dữ liệu về cơ bản tương đương với những nghĩa vụ được quy định trong DPA này và được yêu cầu theo Applicable Laws.

4.3 Processor duy trì danh sách cập nhật của tất cả Bên xử lý phụ hiện tại tham gia cung cấp Services, bao gồm danh tính, địa điểm và mục đích xử lý của họ, và sẽ cung cấp danh sách đó cho Controller khi có yêu cầu.

4.4 Processor phải thông báo trước qua email trước khi bổ nhiệm hoặc thay thế bất kỳ Bên xử lý phụ nào đối với các hoạt động xử lý có ảnh hưởng đáng kể đến Personal Data.

4.5 Controller có thể phản đối việc bổ nhiệm một Bên xử lý phụ mới chỉ trên các cơ sở hợp lý và được ghi nhận liên quan đến bảo vệ dữ liệu. Processor sẽ hợp tác thiện chí với Controller để giải quyết các phản đối đó.

4.6 Nếu không thể đạt được giải pháp được cả hai bên chấp nhận, Controller có thể tạm dừng Services bị ảnh hưởng hoặc chấm dứt chúng bằng thông báo bằng văn bản. Việc tạm dừng hoặc chấm dứt đó sẽ là biện pháp khắc phục duy nhất và độc quyền của Controller liên quan đến các phản đối đối với Bên xử lý phụ.

5. Chuyển dữ liệu quốc tế

5.1 Processor có thể chuyển Personal Data ra ngoài EEA/UK khi pháp luật cho phép và có các biện pháp bảo vệ phù hợp, bao gồm các chuyển giao cần thiết để hỗ trợ Link Integration và quy kết phần thưởng..

5.2 Các biện pháp bảo vệ được phê duyệt có thể bao gồm Điều khoản Hợp đồng Mẫu của EU, UK Addendum/IDTA, hoặc cơ chế thay thế tương ứng.

5.3 Processor phải bảo đảm rằng các Bên xử lý phụ nhận dữ liệu chuyển giao sẽ triển khai các biện pháp bảo vệ đầy đủ.

6. Quyền của Chủ thể dữ liệu

6.1 Controller chịu trách nhiệm phản hồi các yêu cầu của Chủ thể dữ liệu.

6.2 Processor sẽ hỗ trợ hợp lý cho Controller trong việc phản hồi các yêu cầu của Chủ thể dữ liệu.

6.3 Processor sẽ không phản hồi trực tiếp cho Chủ thể dữ liệu, trừ khi pháp luật yêu cầu hoặc Controller chỉ thị.

7. Vi phạm Dữ liệu cá nhân

7.1 Processor phải thông báo cho Controller không chậm trễ quá mức sau khi phát hiện Vi phạm Dữ liệu cá nhân ảnh hưởng đến Personal Data.

7.2 Processor phải cung cấp các thông tin sẵn có một cách hợp lý để hỗ trợ Controller đáp ứng các nghĩa vụ thông báo của mình.

7.3 Processor sẽ hợp tác với Controller trong việc khắc phục.

8. Đánh giá tác động bảo vệ dữ liệu và kiểm toán

8.1 Processor sẽ hỗ trợ hợp lý trong các DPIA và các cuộc tham vấn với cơ quan giám sát, trong phạm vi được yêu cầu theo Data Protection Laws.

8.2 Controller có thể tiến hành kiểm toán hoặc kiểm tra do một kiểm toán viên độc lập, uy tín thực hiện, với điều kiện: (a) thông báo bằng văn bản trước 30 ngày, (b) không quá một cuộc kiểm toán trong bất kỳ giai đoạn 12 tháng nào, trừ khi pháp luật yêu cầu hoặc sau một sự cố đã được xác nhận, (c) Controller chịu toàn bộ chi phí liên quan, và (d) việc kiểm toán diễn ra trong giờ làm việc bình thường mà không gây gián đoạn quá mức.

8.3 Processor có thể đáp ứng nghĩa vụ kiểm toán bằng cách cung cấp các chứng nhận của bên thứ ba hoặc báo cáo kiểm toán nếu các tài liệu đó đủ để chứng minh việc tuân thủ.

9. Trả lại và Xóa dữ liệu

9.1 Theo Mục 9.2, Processor phải, ngay lập tức và trong mọi trường hợp không muộn hơn sáu mươi (60) ngày kể từ ngày chấm dứt bất kỳ Services nào có liên quan đến việc xử lý Personal Data, xóa, bút danh hóa hoặc trả lại toàn bộ bản sao Personal Data, theo các chỉ thị bằng văn bản của Controller, ngoại trừ bất kỳ bản sao nào mà Processor bắt buộc phải lưu giữ theo Applicable Laws.

9.2 Theo Agreement và Applicable Laws, Processor có thể lưu giữ Personal Data trong phạm vi pháp luật yêu cầu hoặc cho phép, với điều kiện Processor bảo đảm tính bảo mật của Personal Data đó và chỉ xử lý chúng cho (các) mục đích mà việc lưu giữ được yêu cầu hoặc cho phép.

10. Trách nhiệm

Các giới hạn và loại trừ trách nhiệm được quy định trong Agreement cũng áp dụng tương đương cho DPA này.

11. Luật điều chỉnh và thẩm quyền

DPA này chịu sự điều chỉnh của các điều khoản về luật điều chỉnh và thẩm quyền được nêu trong Agreement.

12. Thứ tự ưu tiên

12.1 Trong trường hợp có xung đột giữa DPA này và bất kỳ phần nào khác của Agreement, DPA này sẽ được ưu tiên áp dụng trong phạm vi xung đột đó liên quan đến việc xử lý Personal Data hoặc việc tuân thủ Data Protection Laws.

12.2 Theo Mục 12.1, Order Form sẽ được ưu tiên hơn Terms và DPA này khi được nêu rõ như vậy.

Phụ lục 1: Chi tiết xử lý

Đối tượng: Quy kết, phân tích, phát hiện gian lận, xác thực thanh toán, tối ưu hóa các chiến dịch quảng cáo, và liên kết tài khoản cùng quy kết phần thưởng liên quan đến Link Integration.

Thời hạn: Trong thời hạn của Agreement cộng với mọi thời gian lưu giữ theo yêu cầu pháp lý.

Bản chất của việc xử lý: Tiếp nhận, thu thập, cấu trúc hóa, đối sánh, phân tích, bút danh hóa, chuyển giao, lưu trữ và xóa Dữ liệu cá nhân của Controller.

Mục đích xử lý:

• quy kết và đối sánh thông qua MMPs

• đo lường lượt nhấp, lượt hiển thị, lượt cài đặt và các sự kiện

• phát hiện và giảm thiểu gian lận

• đối soát và xác thực thanh toán

• tối ưu hóa và báo cáo chiến dịch

• hỗ trợ kỹ thuật

• liên kết tài khoản người dùng cuối giữa các tài sản của Publisher và các dịch vụ của Controller

• xác thực và quy kết mức độ tương tác trong trò chơi đủ điều kiện nhận thưởng

• ngăn chặn các yêu cầu nhận thưởng trùng lặp, gian lận hoặc bị thao túng

Chủ thể dữ liệu:

• người dùng cuối tương tác với tài liệu quảng cáo

• nhân sự của Advertiser có quyền truy cập nền tảng

Các loại Dữ liệu cá nhân:

• Dữ liệu người dùng cuối (app/web): định danh quảng cáo (IDFA/GAID), địa chỉ IP, user-agent, phiên bản hệ điều hành, mẫu thiết bị, dấu thời gian cài đặt, dấu thời gian nhấp, thông tin địa lý ở mức khái quát, sự kiện sau cài đặt, tín hiệu phân tích gian lận, định danh tài khoản Freecash hoặc mã liên kết bút danh, dấu thời gian liên kết tài khoản và cờ trạng thái, các sự kiện đủ điều kiện nhận thưởng và quy kết.

• Dữ liệu nhân sự của Advertiser: tên, email, hoạt động đăng nhập.

Dữ liệu cá nhân nhạy cảm và các nhóm đặc biệt: Advertiser không được gửi cho Processor bất kỳ Dữ liệu cá nhân nhạy cảm hoặc thuộc nhóm đặc biệt nào, như được định nghĩa trong Data Protection Laws.

Phụ lục 2: Bên xử lý phụ

Processor chỉ được thuê Bên xử lý phụ trong các danh mục xử lý sau đây, và chỉ trong phạm vi cần thiết để cung cấp Services:

1. Nhà cung cấp dịch vụ lưu trữ đám mây và hạ tầng (bao gồm máy chủ, lưu trữ, phân phối nội dung và các dịch vụ hạ tầng liên quan

2. Các công cụ hỗ trợ phân tích dữ liệu, quy kết và đo lường (bao gồm các công cụ kỹ thuật dùng để nhận, xử lý hoặc xác thực tín hiệu quy kết)

3. Nhà cung cấp phát hiện gian lận và chất lượng lưu lượng (bao gồm các hệ thống phân tích tín hiệu thiết bị, hành vi hoặc tín hiệu kỹ thuật để phòng ngừa gian lận)

4. Nhà cung cấp bảo mật, ghi log và giám sát (bao gồm các công cụ kiểm soát truy cập, phát hiện bất thường, giám sát sự cố và phòng ngừa mối đe dọa)

5. Dịch vụ hỗ trợ khách hàng và truyền thông (bao gồm các nền tảng ticket, email và liên lạc dùng để tương tác với nhân sự của Controller)

6. Nhà cung cấp sao lưu, dự phòng và liên tục kinh doanh

7. Công cụ phát triển nội bộ, kiểm toán và vận hành, chỉ nhằm hỗ trợ các hoạt động nội bộ của Processor cần thiết để cung cấp Services và không nhằm phát triển sản phẩm độc lập hoặc khai thác dữ liệu.

Processor duy trì danh sách cập nhật và có tính thẩm quyền về tất cả Bên xử lý phụ hiện tại, bao gồm danh tính, địa điểm và mục đích xử lý của họ, danh sách này cũng sẽ được thông báo cho Controller).

Danh sách này được cập nhật liên tục theo Mục 4 của DPA này.