【Bản dịch tham khảo / bản dịch tiện dùng (tiếng Nhật)】
※Bản dịch tiếng Nhật này chỉ được lập cho mục đích tham khảo và không có giá trị pháp lý.
※Trong trường hợp có khác biệt giữa bản tiếng Anh gốc và bản dịch tiếng Nhật, bản tiếng Anh gốc sẽ được ưu tiên.

Phụ lục Xử lý Dữ liệu dành cho Nhà xuất bản này (sau đây gọi là “DPA này”) được ký kết giữa Almedia GmbH (địa chỉ: Potsdamer Str. 125, 10783 Berlin, Germany; sau đây gọi là “Bên kiểm soát dữ liệu” hoặc “Almedia”) và pháp nhân được xác định là nhà xuất bản trong đơn đặt hàng chèn hoặc biểu mẫu đặt hàng liên quan (sau đây gọi là “Bên xử lý dữ liệu” hoặc “Nhà xuất bản”). DPA này được tích hợp vào Điều khoản Sử dụng dành cho Nhà xuất bản của Almedia (sau đây gọi là “Điều khoản”) và biểu mẫu đặt hàng liên quan, và được coi là một phần không tách rời của các tài liệu đó theo hình thức dẫn chiếu.

Biểu mẫu đặt hàng, Điều khoản và DPA này cùng tạo thành thỏa thuận đầy đủ giữa Bên kiểm soát dữ liệu và Bên xử lý dữ liệu liên quan đến việc xử lý dữ liệu (sau đây gọi là “Thỏa thuận này”). Các thuật ngữ viết hoa không được định nghĩa trong DPA này sẽ có nghĩa như được quy định trong Biểu mẫu đặt hàng hoặc Điều khoản.

1. Định nghĩa

1.1 “Luật hiện hành (Applicable Laws)” có nghĩa là toàn bộ luật và quy định hiện hành về bảo vệ dữ liệu và quyền riêng tư điều chỉnh việc xử lý dữ liệu cá nhân theo Thỏa thuận này, bao gồm GDPR, UK GDPR và CCPA (nếu áp dụng).

1.2 “Dữ liệu cá nhân (Personal Data)” có nghĩa là toàn bộ dữ liệu cá nhân mà Bên xử lý dữ liệu xử lý thay mặt cho Bên kiểm soát dữ liệu theo Thỏa thuận này.

1.3 “Luật Bảo vệ Dữ liệu (Data Protection Laws)” có nghĩa là Luật Bảo vệ Dữ liệu EU và, trong phạm vi áp dụng, các luật hoặc quy định về bảo vệ dữ liệu hoặc quyền riêng tư khác của quốc gia, bao gồm UK GDPR và (nếu áp dụng) CCPA.

1.4 “Luật Bảo vệ Dữ liệu EU (EU Data Protection Laws)” có nghĩa là Chỉ thị EU 95/46/EC (được chuyển hóa vào luật quốc gia của từng quốc gia thành viên), cùng với GDPR và mọi luật thực thi hoặc bổ sung GDPR, dưới dạng được sửa đổi, thay thế hoặc bãi bỏ theo từng thời điểm.

1.5 “GDPR” có nghĩa là Quy định chung về bảo vệ dữ liệu của EU (EU 2016/679).

1.6 Các thuật ngữ như “dữ liệu cá nhân”, “xử lý”, “bên kiểm soát dữ liệu”, “bên xử lý dữ liệu”, “chủ thể dữ liệu”, “bên xử lý phụ” và “cơ quan giám sát” sẽ có nghĩa như được quy định trong GDPR.

1.7 “Dịch vụ (Services)” có nghĩa là các dịch vụ quảng cáo, phân bổ, phân tích, phát hiện gian lận, lập hóa đơn, tối ưu hóa và các dịch vụ liên quan được nêu trong Thỏa thuận này.

2. Vai trò của các bên

2.1 Almedia sẽ hành động với tư cách là Controller đối với việc xử lý dữ liệu cá nhân theo Thỏa thuận này, và Advertiser sẽ hành động với tư cách là Processor.

2.2 Bên kiểm soát dữ liệu chỉ đạo Bên xử lý dữ liệu, trong phạm vi hợp lý cần thiết để cung cấp Dịch vụ và phù hợp với Thỏa thuận này cũng như Luật hiện hành, để (i) xử lý Dữ liệu cá nhân; và (ii) chuyển Dữ liệu cá nhân đến bất kỳ quốc gia hoặc khu vực nào.

2.3 Bên xử lý dữ liệu chỉ được xử lý Dữ liệu cá nhân theo chỉ đạo bằng văn bản của Bên kiểm soát dữ liệu và chỉ cho mục đích cung cấp Dịch vụ.

2.4 Bên kiểm soát dữ liệu tuyên bố và bảo đảm rằng mình có thẩm quyền hợp pháp để đưa ra các chỉ đạo quy định tại Điều 2.2 và các chỉ đạo bằng văn bản bổ sung theo Thỏa thuận này, và sẽ duy trì thẩm quyền đó trong suốt thời gian Bên xử lý dữ liệu xử lý Dữ liệu cá nhân một cách hợp pháp.

2.5 Chi tiết về việc xử lý Dữ liệu cá nhân theo yêu cầu tại Điều 28(3) GDPR được quy định tại Phụ lục 1 (Chi tiết xử lý) và là một phần không thể tách rời của DPA này.

3. Nghĩa vụ của Bên xử lý dữ liệu

3.1 Processor chỉ được xử lý Dữ liệu cá nhân dựa trên chỉ đạo bằng văn bản từ Controller, trừ khi luật pháp có quy định khác.

3.2 Bên xử lý dữ liệu sẽ bảo đảm rằng mọi người được ủy quyền xử lý Dữ liệu cá nhân đều bị ràng buộc bởi nghĩa vụ bảo mật có hiệu lực thi hành.

3.3 Bên xử lý dữ liệu sẽ triển khai các biện pháp bảo mật kỹ thuật và tổ chức phù hợp theo Điều 32 GDPR.

3.4 Bên xử lý dữ liệu sẽ không lưu giữ Dữ liệu cá nhân lâu hơn thời gian cần thiết để cung cấp Dịch vụ, trừ khi việc lưu giữ được yêu cầu hoặc được phép theo Luật hiện hành, hoặc khi cần thiết để xác lập, thực thi hoặc bảo vệ các khiếu nại pháp lý, bảo đảm thực hiện hợp đồng, ngăn chặn gian lận hoặc bảo vệ an toàn của Dịch vụ. Trong các trường hợp đó, Bên xử lý dữ liệu chỉ xử lý Dữ liệu cá nhân cho các mục đích nêu trên và áp dụng kiểm soát truy cập phù hợp.

3.5 Bên xử lý dữ liệu không xử lý Dữ liệu cá nhân cho mục đích riêng của mình. Bên xử lý dữ liệu chỉ được lưu giữ và sử dụng dữ liệu tổng hợp hoặc dữ liệu đã được ẩn danh hóa mà không còn là Dữ liệu cá nhân.

4. Bên xử lý phụ

4.1 Theo Điều 4 này, Bên kiểm soát dữ liệu chấp thuận việc Bên xử lý dữ liệu sử dụng các Bên xử lý phụ, nhưng chỉ trong phạm vi cần thiết để cung cấp Dịch vụ và chỉ đối với các danh mục xử lý được nêu tại Phụ lục 2.

4.2 Bên xử lý dữ liệu sẽ bảo đảm rằng tất cả các Bên xử lý phụ đều bị ràng buộc bởi hợp đồng bằng văn bản áp đặt các nghĩa vụ bảo vệ dữ liệu thực chất tương đương với các nghĩa vụ theo DPA này và Luật hiện hành.

4.3 Bên xử lý dữ liệu sẽ duy trì và cập nhật danh sách chính thức, mới nhất của tất cả các Bên xử lý phụ hiện đang tham gia cung cấp Dịch vụ, bao gồm tên, địa điểm và mục đích xử lý của họ, và sẽ cung cấp danh sách này cho Bên kiểm soát dữ liệu khi được yêu cầu.

4.4 Bên xử lý dữ liệu sẽ thông báo trước trước khi chỉ định mới hoặc thay đổi bất kỳ Bên xử lý phụ nào có ảnh hưởng đáng kể đến Dữ liệu cá nhân.

4.5 Bên kiểm soát dữ liệu chỉ có thể phản đối việc chỉ định một Bên xử lý phụ mới trên cơ sở các lý do bảo vệ dữ liệu hợp lý và có tài liệu chứng minh.

4.6 Nếu không đạt được giải pháp được cả hai bên chấp nhận, Bên kiểm soát dữ liệu có thể tạm dừng hoặc chấm dứt các Dịch vụ bị ảnh hưởng bằng thông báo bằng văn bản, và đây sẽ là biện pháp khắc phục duy nhất và độc quyền liên quan đến Bên xử lý phụ.

5. Chuyển dữ liệu quốc tế

5.1 Bên xử lý dữ liệu có thể chuyển Dữ liệu cá nhân ra ngoài EEA/UK nếu pháp luật cho phép và có các biện pháp bảo vệ phù hợp.

5.2 Các biện pháp bảo vệ phù hợp bao gồm Điều khoản Hợp đồng Mẫu của EU, các điều khoản bổ sung của UK/IDTA hoặc các cơ chế kế nhiệm của chúng.

5.3 Bên xử lý dữ liệu sẽ bảo đảm rằng mọi Bên xử lý phụ nhận dữ liệu đều áp dụng các biện pháp bảo vệ phù hợp.

6. Quyền của chủ thể dữ liệu

6.1 Việc phản hồi các yêu cầu từ chủ thể dữ liệu thuộc trách nhiệm của Bên kiểm soát dữ liệu.

6.2 Bên xử lý dữ liệu sẽ hỗ trợ hợp lý trong việc phản hồi các yêu cầu đó, với chi phí do Bên kiểm soát dữ liệu chịu.

6.3 Bên xử lý dữ liệu sẽ không trực tiếp phản hồi chủ thể dữ liệu, trừ khi luật pháp yêu cầu hoặc Bên kiểm soát dữ liệu chỉ đạo.

7. Vi phạm dữ liệu cá nhân

7.1 Khi phát hiện vi phạm dữ liệu cá nhân, Bên xử lý dữ liệu sẽ thông báo cho Bên kiểm soát dữ liệu mà không chậm trễ.

7.2 Bên xử lý dữ liệu sẽ cung cấp các thông tin có thể thu thập được một cách hợp lý để hỗ trợ Bên kiểm soát dữ liệu thực hiện nghĩa vụ thông báo.

7.3 Bên xử lý dữ liệu sẽ phối hợp với Bên kiểm soát dữ liệu trong các biện pháp khắc phục.

8. Đánh giá tác động bảo vệ dữ liệu và kiểm toán

8.1 Bên xử lý dữ liệu sẽ hỗ trợ hợp lý đối với các đánh giá tác động bảo vệ dữ liệu và tham vấn với cơ quan giám sát, trong phạm vi cần thiết theo Luật Bảo vệ Dữ liệu.

8.2 Bên kiểm soát dữ liệu có thể, theo một số điều kiện nhất định, tiến hành kiểm toán hoặc kiểm tra thông qua một kiểm toán viên độc lập và đáng tin cậy.

8.3 Bên xử lý dữ liệu có thể đáp ứng nghĩa vụ kiểm toán bằng cách cung cấp các chứng nhận của bên thứ ba hoặc báo cáo kiểm toán chứng minh mức độ tuân thủ đầy đủ.

9. Hoàn trả và xóa dữ liệu

9.1 Theo Điều 9.2, Processor sẽ, ngay sau khi Dịch vụ liên quan đến việc xử lý Dữ liệu cá nhân chấm dứt và trong mọi trường hợp không muộn hơn sáu mươi (60) ngày, thực hiện theo chỉ đạo bằng văn bản của Controller để xóa, giả danh hóa hoặc hoàn trả toàn bộ bản sao Dữ liệu cá nhân, ngoại trừ các bản sao mà Processor bắt buộc phải lưu giữ theo Luật hiện hành.

9.2 Theo Thỏa thuận này và Luật hiện hành, Bên xử lý dữ liệu có thể lưu giữ Dữ liệu cá nhân trong phạm vi luật pháp yêu cầu hoặc cho phép. Trong trường hợp đó, Bên xử lý dữ liệu sẽ bảo đảm tính bảo mật của Dữ liệu cá nhân đó và chỉ xử lý cho mục đích mà việc lưu giữ được yêu cầu hoặc cho phép.

10. Trách nhiệm pháp lý

Các giới hạn trách nhiệm và miễn trừ trách nhiệm quy định trong Thỏa thuận này cũng sẽ áp dụng tương tự cho DPA này.

11. Luật áp dụng và thẩm quyền tài phán

DPA này sẽ tuân theo luật áp dụng và thẩm quyền tài phán được quy định trong Thỏa thuận này.

12. Thứ tự ưu tiên

12.1 Nếu có xung đột giữa DPA này và các điều khoản khác của Thỏa thuận này, DPA này sẽ được ưu tiên áp dụng trong phạm vi liên quan đến việc xử lý Dữ liệu cá nhân hoặc việc tuân thủ Luật Bảo vệ Dữ liệu.

12.2 Theo Điều 12.1, nếu được quy định rõ ràng, Biểu mẫu đặt hàng sẽ được ưu tiên hơn Điều khoản Sử dụng và DPA này.

Phụ lục 1: Chi tiết xử lý

Đối tượng xử lý: phân bổ chiến dịch quảng cáo, phân tích, phát hiện gian lận, xác minh thanh toán và tối ưu hóa
Thời hạn xử lý: thời hạn của Thỏa thuận này và thời hạn lưu giữ theo yêu cầu của pháp luật
Tính chất xử lý: thu thập, tập hợp, cấu trúc, đối soát, phân tích, giả danh hóa, chuyển, lưu trữ và xóa
Mục đích xử lý:
Phân bổ và đối soát thông qua MMP
Đo lường lượt nhấp, lượt hiển thị, lượt cài đặt và sự kiện
Phát hiện và ngăn chặn gian lận
Đối soát và xác minh thanh toán
Tối ưu hóa chiến dịch và báo cáo
Hỗ trợ kỹ thuật
Chủ thể dữ liệu:
Người dùng cuối tiếp xúc với nội dung quảng cáo
Nhân sự của nhà quảng cáo truy cập nền tảng
Loại dữ liệu cá nhân:
Dữ liệu người dùng cuối (IDFA/GAID, địa chỉ IP, chuỗi tác nhân người dùng, phiên bản hệ điều hành, mẫu thiết bị, thời điểm cài đặt, thời điểm nhấp, thông tin vị trí gần đúng, sự kiện sau cài đặt, tín hiệu phân tích gian lận)
Dữ liệu nhân sự của nhà quảng cáo (họ tên, địa chỉ email, hoạt động đăng nhập)
Dữ liệu cá nhân thuộc nhóm đặc biệt: Nhà quảng cáo không được cung cấp cho Bên xử lý dữ liệu bất kỳ dữ liệu cá nhân thuộc nhóm đặc biệt nào theo định nghĩa của Luật Bảo vệ Dữ liệu.

Phụ lục 2: Bên xử lý phụ

Processor chỉ được sử dụng các Bên xử lý phụ thuộc các danh mục xử lý dưới đây, và chỉ trong phạm vi cần thiết để cung cấp các Services theo Thỏa thuận này.

1. Nhà cung cấp dịch vụ lưu trữ đám mây và cơ sở hạ tầng
   (bao gồm máy chủ, lưu trữ, phân phối nội dung và các dịch vụ cơ sở hạ tầng liên quan khác)

2. Công cụ hỗ trợ phân tích dữ liệu, phân bổ và đo lường
   (bao gồm các công cụ kỹ thuật được sử dụng để tiếp nhận, xử lý hoặc xác minh tín hiệu phân bổ)

3. Nhà cung cấp phát hiện gian lận và đánh giá chất lượng lưu lượng
   (bao gồm các hệ thống phân tích tín hiệu từ thiết bị, hành vi hoặc tín hiệu kỹ thuật nhằm mục đích ngăn chặn gian lận)

4. Nhà cung cấp dịch vụ bảo mật, quản lý nhật ký và giám sát
   (bao gồm các công cụ kiểm soát truy cập, phát hiện bất thường, giám sát sự cố và ngăn chặn đe dọa)

5. Nhà cung cấp dịch vụ hỗ trợ khách hàng và truyền thông
   (bao gồm các nền tảng ticket, email và truyền thông được sử dụng để trao đổi với nhân sự của Controller)

6. Nhà cung cấp dịch vụ sao lưu, dự phòng và liên quan đến tính liên tục kinh doanh (BCP)

7. Công cụ phát triển nội bộ, kiểm toán và hỗ trợ vận hành
   (chỉ giới hạn ở các công cụ được sử dụng cho mục đích hỗ trợ hoạt động nội bộ của Processor và cung cấp Services)

Processor sẽ duy trì và cập nhật danh sách chính thức, mới nhất của tất cả các Bên xử lý phụ hiện có, bao gồm tên, địa điểm và mục đích xử lý của họ, đồng thời thông báo danh sách này cho Controller.

Danh sách này sẽ được cập nhật liên tục theo Điều 4 của DPA này.