Nhà xuất bản
Thỏa thuận xử lý dữ liệu (DPA)

Phụ lục Bổ sung Xử lý Dữ liệu cho Nhà xuất bản này (“DPA”) được tích hợp bằng tham chiếu vào Điều khoản & Điều kiện dành cho Nhà xuất bản của Almedia (“Terms”) và Đơn đặt hàng hoặc Mẫu Đơn đặt hàng áp dụng (“Order Form”) được ký kết giữa Almedia GmbH, Koppenstr. 8, 10243 Berlin, Đức (“Controller” hoặc "Almedia") và pháp nhân được xác định là Publisher trong Order Form (“Processor” hoặc "Publisher").

Order Form, Terms và DPA này cùng nhau tạo thành toàn bộ thỏa thuận xử lý dữ liệu giữa Controller và Processor (sau đây là “Agreement”). Các thuật ngữ viết hoa không được định nghĩa trong DPA này sẽ có ý nghĩa được quy định trong Order Form hoặc Terms.

1. Định nghĩa

1.1 “Applicable Laws” nghĩa là tất cả các luật về bảo vệ dữ liệu và quyền riêng tư áp dụng, bao gồm GDPR, UK GDPR, CCPA (nếu áp dụng), và mọi luật điều chỉnh việc Xử lý Dữ liệu cá nhân theo Agreement.

1.2 “Personal Data” nghĩa là mọi dữ liệu cá nhân do Processor xử lý thay mặt Controller theo Agreement.

1.3 “Data Protection Laws” nghĩa là EU Data Protection Laws và, trong phạm vi áp dụng, các luật bảo vệ dữ liệu hoặc quyền riêng tư của bất kỳ quốc gia áp dụng nào khác, bao gồm UK GDPR và, nếu áp dụng, CCPA.

1.4 “EU Data Protection Laws” nghĩa là Chỉ thị EU 95/46/EC, đã được nội luật hóa vào pháp luật nội địa của từng Quốc gia Thành viên và được sửa đổi, thay thế hoặc bãi bỏ theo từng thời điểm, bao gồm bởi GDPR và các luật thực thi hoặc bổ sung cho GDPR.

1.5 “GDPR” nghĩa là Quy định Chung về Bảo vệ Dữ liệu của EU (EU 2016/679).

1.6 Các thuật ngữ như “Personal Data”, “Processing”, “Controller”, “Processor”, “Data Subject”, “Sub-processor” và “Supervisory Authority” có ý nghĩa được quy định trong GDPR.

1.7 “Services” nghĩa là các dịch vụ quảng cáo, ghi nhận phân bổ, phân tích, phát hiện gian lận, xác thực thanh toán, tối ưu hóa và các dịch vụ liên quan dành cho Publisher được mô tả trong Agreement.

2. Vai trò của các Bên

2.1 Almedia đóng vai trò là Controller. Nhà quảng cáo đóng vai trò là Processor theo Agreement.

2.2 Controller chỉ thị cho Processor (i) xử lý Personal Data; và (ii) cụ thể là chuyển Personal Data đến bất kỳ quốc gia hoặc vùng lãnh thổ nào, trong phạm vi hợp lý cần thiết cho việc cung cấp Services và phù hợp với Agreement và Applicable Laws.

2.3 Processor chỉ được xử lý Personal Data cho mục đích thực hiện Services và theo các chỉ thị bằng văn bản của Controller.

2.4 Controller bảo đảm và cam kết rằng, tại mọi thời điểm liên quan và trong suốt thời gian Processor hợp pháp xử lý Personal Data, Controller đã và sẽ tiếp tục được ủy quyền đầy đủ và có hiệu lực để đưa ra chỉ thị quy định tại Mục 2.2 và mọi chỉ thị bằng văn bản bổ sung theo Agreement.

2.5 Chi tiết về việc Xử lý Personal Data, theo yêu cầu tại Điều 28(3) GDPR, được nêu tại Phụ lục 1 (Chi tiết Xử lý), là phần không tách rời của DPA này.

3. Nghĩa vụ của Processor

3.1 Processor chỉ được xử lý Personal Data theo chỉ thị bằng văn bản của Controller, trừ khi pháp luật yêu cầu khác.

3.2 Processor phải bảo đảm những người được ủy quyền xử lý Personal Data chịu các nghĩa vụ bảo mật có thể thực thi.

3.3 Processor phải triển khai các biện pháp kỹ thuật và tổ chức phù hợp theo yêu cầu tại Điều 32 GDPR.

3.4 Processor không được lưu giữ Personal Data lâu hơn mức cần thiết để cung cấp Services, trừ khi việc lưu giữ được yêu cầu hoặc cho phép bởi Applicable Laws hoặc cần thiết để xác lập, thực hiện hay bảo vệ các yêu cầu pháp lý, thực thi Agreement, hoặc ngăn chặn gian lận và bảo vệ tính an toàn của Services. Trong các trường hợp đó, Processor phải giới hạn việc xử lý cho các mục đích này và áp dụng các biện pháp kiểm soát truy cập phù hợp.

3.5 Processor không được xử lý Personal Data cho mục đích riêng của mình. Processor chỉ được lưu giữ và sử dụng dữ liệu ở dạng tổng hợp hoặc ẩn danh hóa, không cấu thành Personal Data.

4. Bên xử lý phụ

4.1 Theo Mục này 4, Controller cho phép Processor thuê Bên xử lý phụ chỉ trong phạm vi cần thiết để cung cấp Services và chỉ trong các nhóm xử lý được nêu tại Phụ lục 2.

4.2 Processor phải bảo đảm tất cả Bên xử lý phụ đều bị ràng buộc bởi các thỏa thuận bằng văn bản áp đặt các nghĩa vụ bảo vệ dữ liệu tương đương về cơ bản với các nghĩa vụ trong DPA này và được yêu cầu theo Applicable Laws.

4.3 Processor duy trì danh sách cập nhật và đầy đủ của tất cả Bên xử lý phụ hiện tại tham gia cung cấp Services, bao gồm danh tính, địa điểm và mục đích xử lý của họ, và sẽ cung cấp danh sách đó cho Controller theo yêu cầu.

4.4 Processor sẽ thông báo trước bằng email trước khi bổ nhiệm hoặc thay thế bất kỳ Bên xử lý phụ nào cho các hoạt động xử lý ảnh hưởng đáng kể đến Personal Data.

4.5 Controller có thể phản đối việc bổ nhiệm một Bên xử lý phụ mới chỉ dựa trên các căn cứ hợp lý và có tài liệu chứng minh liên quan đến bảo vệ dữ liệu. Processor sẽ hợp tác thiện chí với Controller để giải quyết các phản đối đó.

4.6 Nếu không thể đạt được giải pháp được cả hai bên chấp nhận, Controller có thể tạm dừng các Services bị ảnh hưởng hoặc chấm dứt chúng bằng văn bản thông báo. Việc tạm dừng hoặc chấm dứt đó là biện pháp khắc phục duy nhất và độc quyền của Controller liên quan đến các phản đối đối với Bên xử lý phụ.

5. Chuyển dữ liệu quốc tế

5.1 Processor có thể chuyển Personal Data ra ngoài EEA/UK khi được pháp luật cho phép và tùy thuộc vào các biện pháp bảo vệ phù hợp.

5.2 Các biện pháp bảo vệ được chấp thuận có thể bao gồm Các Điều khoản Hợp đồng Tiêu chuẩn của EU, Phụ lục/IDTA của UK, hoặc bất kỳ cơ chế thay thế nào.

5.3 Processor phải bảo đảm các Bên xử lý phụ nhận dữ liệu chuyển giao áp dụng các biện pháp bảo vệ đầy đủ.

6. Quyền của Chủ thể dữ liệu

6.1 Controller chịu trách nhiệm phản hồi các yêu cầu của Data Subject.

6.2 Processor phải hỗ trợ hợp lý cho Controller trong việc phản hồi các yêu cầu của Data Subject.

6.3 Processor không được phản hồi trực tiếp cho Data Subject, trừ khi pháp luật yêu cầu hoặc theo chỉ thị của Controller.

7. Vi phạm Dữ liệu cá nhân

7.1 Processor phải thông báo cho Controller mà không chậm trễ quá mức sau khi phát hiện bất kỳ Vi phạm Dữ liệu cá nhân nào ảnh hưởng đến Personal Data.

7.2 Processor phải cung cấp các thông tin sẵn có một cách hợp lý để hỗ trợ Controller thực hiện nghĩa vụ thông báo của mình.

7.3 Processor phải hợp tác với Controller trong việc khắc phục.

8. Đánh giá tác động bảo vệ dữ liệu và Kiểm toán

8.1 Processor phải hỗ trợ hợp lý đối với DPIA và các cuộc tham vấn với cơ quan giám sát, trong phạm vi được yêu cầu theo Data Protection Laws.

8.2 Controller có thể tiến hành kiểm toán hoặc kiểm tra do một kiểm toán viên độc lập, uy tín thực hiện, với các điều kiện: (a) thông báo bằng văn bản trước 30 ngày, (b) không quá một cuộc kiểm toán trong bất kỳ giai đoạn 12 tháng nào, trừ khi pháp luật yêu cầu hoặc sau khi xảy ra sự cố đã được xác nhận, (c) Controller chịu toàn bộ chi phí liên quan, và (d) kiểm toán diễn ra trong giờ làm việc bình thường, không gây gián đoạn quá mức.

8.3 Processor có thể đáp ứng nghĩa vụ kiểm toán bằng cách cung cấp các chứng nhận của bên thứ ba hoặc báo cáo kiểm toán nếu các tài liệu đó đủ để chứng minh việc tuân thủ.

9. Trả lại và Xóa Dữ liệu

9.1 Theo Mục 9.2, Processor phải, ngay lập tức và trong mọi trường hợp không muộn hơn sáu mươi (60) ngày kể từ ngày chấm dứt mọi Services liên quan đến Xử lý Personal Data, xóa, ẩn danh hóa hoặc trả lại toàn bộ các bản sao của Personal Data, theo chỉ thị bằng văn bản của Controller, ngoại trừ bất kỳ bản sao nào mà Processor phải lưu giữ theo Applicable Laws.

9.2 Theo Agreement và Applicable Laws, Processor có thể lưu giữ Personal Data trong phạm vi được pháp luật yêu cầu hoặc cho phép, với điều kiện Processor bảo đảm tính bảo mật của Personal Data đó và chỉ xử lý cho mục đích mà việc lưu giữ được yêu cầu hoặc cho phép.

10. Trách nhiệm pháp lý

Các giới hạn và loại trừ trách nhiệm pháp lý được quy định trong Agreement cũng áp dụng tương tự cho DPA này.

11. Luật áp dụng và thẩm quyền

DPA này chịu sự điều chỉnh của các quy định về luật áp dụng và thẩm quyền được nêu trong Agreement.

12. Thứ tự ưu tiên

12.1 Trong trường hợp có xung đột giữa DPA này và bất kỳ phần nào khác của Agreement, DPA này sẽ được ưu tiên áp dụng trong phạm vi xung đột đó liên quan đến việc Xử lý Personal Data hoặc việc tuân thủ Data Protection Laws.

12.2 Theo Mục 12.1, Order Form sẽ được ưu tiên hơn Terms và DPA này khi được nêu rõ như vậy.

Phụ lục 1: Chi tiết Xử lý

Đối tượng: Ghi nhận phân bổ, phân tích, phát hiện gian lận, xác thực thanh toán và tối ưu hóa các chiến dịch quảng cáo.

Thời hạn: Trong thời hạn của Agreement cộng với mọi thời gian lưu giữ theo yêu cầu pháp luật.

Bản chất của việc Xử lý: Tiếp nhận, thu thập, cấu trúc, đối chiếu, phân tích, ẩn danh hóa giả, chuyển giao, lưu trữ và xóa Personal Data của Controller.

Mục đích Xử lý:

• ghi nhận phân bổ và đối chiếu thông qua MMPs

• đo lường lượt nhấp, lượt hiển thị, lượt cài đặt và các sự kiện

• phát hiện và giảm thiểu gian lận

• xác nhận thanh toán và đối soát hóa đơn

• tối ưu hóa và báo cáo chiến dịch

• hỗ trợ kỹ thuật

Chủ thể dữ liệu:

• người dùng cuối tương tác với tài liệu quảng cáo

• nhân sự của Nhà quảng cáo có quyền truy cập nền tảng

Các loại Dữ liệu cá nhân:

• Dữ liệu người dùng cuối (app/web): mã định danh quảng cáo (IDFA/GAID), địa chỉ IP, user-agent, phiên bản OS, mẫu thiết bị, thời gian cài đặt, thời gian nhấp, thông tin địa lý ở mức độ sơ bộ, các sự kiện sau cài đặt, tín hiệu phân tích gian lận.

• Dữ liệu nhân sự của Nhà quảng cáo: tên, email, hoạt động đăng nhập.

Các danh mục Dữ liệu cá nhân nhạy cảm và đặc biệt: Nhà quảng cáo không được gửi cho Processor bất kỳ Dữ liệu cá nhân nhạy cảm hoặc thuộc Danh mục đặc biệt nào, như được định nghĩa trong Data Protection Laws.

Phụ lục 2: Bên xử lý phụ

Processor chỉ được thuê Bên xử lý phụ trong các nhóm xử lý sau đây, và chỉ trong phạm vi cần thiết để cung cấp Services:

1. Nhà cung cấp lưu trữ đám mây và cơ sở hạ tầng (bao gồm máy chủ, lưu trữ, phân phối nội dung và các dịch vụ cơ sở hạ tầng liên quan)

2. Công cụ hỗ trợ phân tích dữ liệu, ghi nhận phân bổ và đo lường (bao gồm các công cụ kỹ thuật được sử dụng để tiếp nhận, xử lý hoặc xác thực các tín hiệu ghi nhận phân bổ)

3. Nhà cung cấp phát hiện gian lận và chất lượng lưu lượng truy cập (bao gồm các hệ thống phân tích tín hiệu thiết bị, hành vi hoặc kỹ thuật để phòng ngừa gian lận)

4. Nhà cung cấp bảo mật, ghi nhật ký và giám sát (bao gồm các công cụ kiểm soát truy cập, phát hiện bất thường, giám sát sự cố và ngăn ngừa mối đe dọa)

5. Dịch vụ hỗ trợ khách hàng và truyền thông (bao gồm hệ thống quản lý yêu cầu, email và các nền tảng giao tiếp được sử dụng để tương tác với nhân sự của Controller)

6. Nhà cung cấp sao lưu, dự phòng và duy trì hoạt động kinh doanh

7. Công cụ phát triển nội bộ, kiểm toán và vận hành (chỉ được sử dụng để hỗ trợ hoạt động nội bộ của Processor và việc cung cấp Services)

Processor duy trì danh sách cập nhật và chính thức của tất cả Bên xử lý phụ hiện tại, bao gồm danh tính, địa điểm và mục đích xử lý của họ, danh sách này cũng sẽ được thông báo cho Controller).

Danh sách này được cập nhật liên tục theo Mục 4 của DPA này.