Adatvédelmi kiegészítés az RTB és programmatikus partnerek számára

Last Update: May 29, 2024

Hatálybalépés dátuma: 2024. május 29.

Annak érdekében, hogy a Taboola megfelelő adatvédelmi feltételeket biztosítson programmatikus és RTB partnereink (egyenként „Partner”) számára, a Taboola jelen Adatvédelmi kiegészítést (a „DPA”) biztosítja.

Ez a DPA automatikusan kiegészíti és részét képezi a Partner és a Taboola között az RTB és programozási szolgáltatások nyújtásával kapcsolatban létrejött meglévő szerződéses üzleti megállapodásnak („Alapmegállapodás”).

A jelen DPA-ban használt, de a jelen DPA-ban nem meghatározott nagybetűs kifejezések jelentése megegyezik az alapul szolgáló megállapodásban megadott jelentéssel.  Amennyiben a jelen DPA és az alapul szolgáló megállapodás között bármilyen ellentmondás merül fel, a jelen DPA az ellentmondás mértékéig elsőbbséget élvez.

Alkalmazandó adatvédelmi törvények” alatt minden alkalmazandó szövetségi, nemzeti, állami vagy egyéb adatvédelmi törvényt értünk, amelyek időről időre módosulhatnak vagy felülírhatók, ideértve, ha alkalmazható és korlátozás nélkül, a CCPA-t (az alábbiakban meghatározottak szerint) és az európai adatvédelmi törvényeket.

„CCPA” a kaliforniai fogyasztói adatvédelmi törvényt (Cal. Civ. Kód §§ 1798.100 – 1798.199), a kaliforniai adatvédelmi törvény (Cal. Civ. Kódex §§ 1798.100 – 1798.199).

„Adatkezelő”: olyan szervezet, amely meghatározza a személyes adatok feldolgozásának céljait és eszközeit, és magában foglal minden olyan szervezetet, amely a CCPA és a CPRA értelmében „vállalkozásként” vagy „harmadik félként” személyes adatokat dolgoz fel.

„Adatvédelmi keretrendszer” vagy „DPF” az EU–USA közötti adatvédelmi keretrendszert jelenti. Adatvédelmi keretrendszer és az EU–USA megállapodás UK kiterjesztése Az Egyesült Államok által meghatározott DPF. Kereskedelmi Minisztérium.

„Európai adatvédelmi törvények”: az EU adatvédelmi törvényei és az UK adatvédelmi törvényei.

„EU adatvédelmi jogszabályok”: (i) az EU 2016/679 rendelet („EU GDPR”); (ii) az EU 2002/58/EK irányelve; és (iii) az EGT tagállamok nemzeti jogszabályai, amelyek (i) vagy (ii) alapján, azoknak megfelelően vagy azok végrehajtása céljából, illetve egyéb módon a személyes adatok feldolgozásával kapcsolatban hoztak létre, minden esetben az időről időre módosított vagy felváltott formában.

Személyes adatok”: bármely azonosított vagy azonosítható természetes személyre vonatkozó információ, beleértve az alkalmazandó adatvédelmi törvények szerint „személyes adatoknak” vagy „személyes információknak” minősülő információkat.

Megengedett cél” az alapul szolgáló megállapodásnak megfelelő online hirdetések vételével és eladásával kapcsolatos valós idejű licitálási célokat jelenti, amelyek érdekében a Taboola a mellékletben meghatározottak szerint megosztja vagy más módon a Partner rendelkezésére bocsátja a megosztott adatokat feldolgozás céljából.

Korlátozott adattovábbítás”: (i) az EU GDPR alkalmazása esetén a személyes adatok továbbítása az EGT-ből az EGT-n kívüli olyan országba, amelyre az Európai Bizottság nem állapított meg megfelelőségi határozatot („EU-korlátozott adattovábbítás”); és (ii) amennyiben az UK GDPR alkalmazandó, személyes adatok továbbítása az UK-ból bármely más országba, amelyre nem vonatkoznak, vagy amely nem alapul az UK 2018. évi adatvédelmi törvényének 17A. szakaszában foglalt megfelelőségi szabályozásokon („korlátozott átadás az UK-ban”).

Biztonsági incidens” alatt a biztonság megsértését értjük, amely a megosztott adatok véletlen vagy jogellenes megsemmisítéséhez, elvesztéséhez, megváltoztatásához, jogosulatlan közzétételéhez vagy hozzáféréséhez vezet.

A „értékesítés” és a „megosztás” kifejezések jelentése megegyezik a CCPA / CPRA, valamint azok végrehajtási rendeleteiben meghatározott jelentéssel.

Megosztott adatok” alatt a jelen DPA I. mellékletében felsorolt személyes adatok kategóriáit értjük.

Standard Contractual Clauses”: (i) amennyiben az EU GDPR alkalmazandó, az Európai Bizottság 2021. június 4-i 2021/914 végrehajtási határozatához csatolt standard contractual clauses a személyes adatok harmadik országokba történő továbbítására vonatkozóan az Európai Parlament és a Tanács (EU) 2016/679 rendelete („EU SCCs”) alapján; és (ii) amennyiben az EU GDPR / UK GDPR alkalmazandó, az információs biztos által a DPA 2018 119A(1) bekezdése alapján kiadott „Az EU Bizottság Standard Contractual Clauses-hoz fűzött nemzetközi adatátviteli kiegészítés” („UK Addendum”).

„Egyesült Királyság adatvédelmi törvényei”: (i) az EU GDPR, mivel az a 2018. évi európai uniós (kilépési) törvény 3. szakasza értelmében az Egyesült Királyság jogának részét képezi („UK GDPR”); (ii) a 2003. évi adatvédelmi és elektronikus hírközlési (EK irányelv) rendeletet; (iii) a 2018. évi adatvédelmi törvényt; és (iv) az UK-ban az (i) vagy (ii) pont alapján, azoknak megfelelően vagy azok végrehajtása érdekében hozott, vagy egyéb módon a személyes adatok feldolgozásával kapcsolatos bármely más törvényt; minden esetben az időről időre módosított vagy felváltott formában.

A Partnernek az alapul szolgáló megállapodás és a jelen DPA betartása mellett Taboola a megosztott adatokat a Partner számára közzéteszi vagy más módon hozzáférhetővé teszi, hogy a Partner azokat kizárólag a megengedett célra dolgozza fel.

A felek tudomásul veszik, hogy a Taboola a Partnernek átadott Megosztott Adatok adatkezelője, és hogy a Partner a Megosztott Adatokat adatkezelőként kizárólag a Megengedett Célra fogja feldolgozni.

A Partner szavatolja, kijelenti és vállalja, hogy:

(a) a Megosztott Adatokat minden esetben kizárólag a Megengedett Célra és az Alkalmazandó Adatvédelmi Törvényeknek megfelelően fogja feldolgozni;

(b) nincs oka azt feltételezni, hogy az alkalmazandó adatvédelmi törvények megakadályozzák abban, hogy a megosztott adatok feldolgozásával kapcsolatos kötelezettségeit a megengedett célra teljesítse;

(c) ha a Partner úgy dönt, hogy az alkalmazandó adatvédelmi törvényeknek megfelelően nem tudja a megosztott adatokat a megengedett célra feldolgozni, akkor erről haladéktalanul értesíti a Taboolát;

(d) weboldalán mindenkor nyilvánosan hozzáférhető adatvédelmi nyilatkozatot kell közzétennie és fenntartania, amely megfelel az alkalmazandó adatvédelmi törvények követelményeinek, és amely tartalmazza azokat az elérhetőségeket, ahol az érintettek adatvédelemmel kapcsolatos kérdéseiket feltehetik;

(e) lehetővé teszi az érintettek számára, hogy az alkalmazandó adatvédelmi törvényekkel összhangban gyakorolják adatvédelmi jogaikat, ideértve (korlátozás nélkül) a megosztott adataik feldolgozása elleni tiltakozás jogát;

(f) az európai adatvédelmi törvények által védett megosztott adatok feldolgozása tekintetében:

(g) a megosztott adatokat csak akkor dolgozza fel, ha ehhez hozzájárulást kapott, összhangban az európai adatvédelmi törvények követelményeivel; és

(h) megfelelő technikai és szervezési intézkedéseket hajt végre, amelyek legalább a II. mellékletben meghatározott intézkedéseket tartalmazzák, a megosztott adatok biztonsági incidensekkel szembeni védelme érdekében.

Taboola ésszerű és megfelelő lépéseket tehet annak biztosítása érdekében, hogy a Partner az alapul szolgáló megállapodásnak és a jelen DPA-nak megfelelően, az alkalmazandó adatvédelmi törvényekkel összhangban kezelje a megosztott adatokat.

Ha a Partner nem felel meg az alapul szolgáló megállapodásnak, a jelen DPA-nak vagy az alkalmazandó adatvédelmi törvényeknek, a Taboola ésszerű és megfelelő lépéseket tesz a megosztott adatok jogosulatlan felhasználásának leállítására és orvoslására (beleértve a megosztott adatok Partnernek történő közzétételének felfüggesztését vagy megszüntetését).

A Partner köteles betartani az alkalmazandó adatvédelmi törvényeket, és a megosztott adatoknak ugyanolyan szintű adatvédelmi védelmet biztosítani, mint amit az alkalmazandó adatvédelmi törvények előírnak.

Abban az esetben, ha bármelyik fél levelet, kérdést vagy panaszt kap egy érintett személytől, szabályozó hatóságtól vagy más harmadik féltől („Levelezés”) a következőkre vonatkozóan (a) a Megosztott Adatok engedélyezett célra történő közzététele; vagy (b) a megosztott adatok másik fél általi feldolgozásával kapcsolatban, haladéktalanul tájékoztatnia kell a másik felet a levél teljes tartalmáról, és a felek ésszerűen és jóhiszeműen együttműködnek annak érdekében, hogy a levelekre az alkalmazandó adatvédelmi jogszabályok szerinti követelményeknek megfelelően válaszoljanak.

Amennyiben a Taboola által a Partnernek átadott megosztott adatok átadása korlátozott átadásnak minősül, a Standard Contractual Clauses-t be kell építeni a jelen DPA-ba, és azok az alábbiak szerint alkalmazandók:

(a) ha a korlátozott adattovábbítás EU-korlátozott adattovábbítás, az EU SCCs a következőképpen alkalmazandók a Taboola (adatátadóként) és a Partner (adatbefogadóként) között:

(i) Az első modul alkalmazandó;

(ii) a 7. pontban az opcionális dokkolási záradék alkalmazandó;

(iii) a 11. pontban az opcionális nyelv nem alkalmazandó;

(iv) a 17. pontban az 1. opció alkalmazandó, és az EU SCCs-re az ír jog az irányadó;

(v) a 18. cikk (b) pontjában a vitás kérdéseket az ír bíróságok előtt kell rendezni;

vi. az I. mellékletben:

(A) Az A és B részek a jelen DPA A. mellékletében szereplő információkkal teljesnek minősülnek;

(B) A C rész az EU SCCs 13(a) pontjában meghatározott kritériumoknak megfelelően teljesítettnek minősül; és

(vii) A II. melléklet a jelen DPA B. mellékletében meghatározott biztonsági intézkedésekkel teljesnek tekintendő.

(b) amennyiben a korlátozott átruházás egy UK-i korlátozott átruházás, az UK Addendum a felek között az alábbiak szerint alkalmazandó:

(i) a fentiek szerint kitöltött EU SCCs alkalmazandók a felek között, és azokat az UK Addendum-el (az alábbi (ii) albekezdésben meghatározottak szerint kitöltve) módosítani kell; és

(ii) az UK Addendum 1–3. táblázatait az EU SCCs-ből származó, a fentiek szerint kitöltött releváns információkkal kell kitölteni, és a 4. táblázatban az „Exporter” (exportőr) és „Importer” (importőr) opciókat kell bejelölni.  Az UK Addendum kezdő dátuma (az 1. táblázatban meghatározottak szerint) a jelen DPA hatálybalépésének dátuma.

A Partner nem továbbítja a megosztott adatokat harmadik félnek, kivéve, ha minden szükséges intézkedést megtett annak biztosítására, hogy a korlátozott adattovábbítás megfeleljen az alkalmazandó adatvédelmi törvényeknek és a Taboola-val kötött Standard Contractual Clauses-nek.

A fentiek ellenére, ha a Partner a DPF szerint tanúsítást szerzett és azt betartja, a DPF szerint a Partnernek átadott megosztott adatok nem minősülnek korlátozott átadásnak.  Ilyen esetben a Partner haladéktalanul értesíti a Taboolát, ha nem felel meg a DPF tanúsításnak, vagy ha a DPF tanúsítása lejár, vagy egyéb okból érvényét veszti, amely esetben:

(a) a Megosztott Adatok Taboolától a Partnerhez történő bármely átadása azonnal Korlátozott Átadásnak minősül, és a fenti Korlátozott Átadásra vonatkozó rendelkezések alkalmazandók; és

(b) Taboola saját belátása szerint, büntetés nélkül felfüggesztheti vagy megszüntetheti a Megosztott Adatok Partnerhez történő továbbítását.

A Partner köteles megvédeni a Taboolát és annak igazgatóit, tisztségviselőit, alkalmazottait, ügynökeit és ügyfeleit (a „Taboola Kártalanított Felek”) minden olyan követelés, igény, per, eljárások és cselekmények ellen, amelyeket harmadik fél indít azzal az állítással kapcsolatban, hogy a Partner megsértette ezt a DPA-t vagy az alkalmazandó adatvédelmi törvényeket, és köteles kártalanítani a Taboola kártalanított feleket minden olyan kárért, veszteségért, költségért és kiadásért (beleértve az ésszerű ügyvédi díjakat is), amely a Taboola kártalanított felek számára az ilyen igényből eredően vagy azzal összefüggésben merül fel.

A Partner kizárólagos felelősséggel tartozik a Megosztott Adatok feldolgozása során az alkalmazandó adatvédelmi törvények betartásáért.

Az alkalmazandó adatvédelmi törvények bármilyen változása esetén a Taboola módosíthatja és frissítheti ezt a DPA-t, amennyiben és amennyiben ez szükséges az alkalmazandó adatvédelmi törvények ilyen változásainak való megfeleléshez.

A jelen DPA hatálybalépésének napjától kezdve a jelen DPA-ban vagy az alapul szolgáló megállapodásban szereplő „megállapodás” kifejezés az alapul szolgáló megállapodást jelenti, kiegészítve a jelen DPA-val.

A. A FELEK JEGYZÉKE

[táblázat azonosítója=13 /]

[táblázat azonosítója=14 /]

B. AZ ÁTADÁS LEÍRÁSA

[táblázat azonosítója=15 /]

C. ILLETÉKES FELÜGYELŐ HATÓSÁG

[táblázat azonosítója=16 /]

Az egyes felek által végrehajtott technikai és szervezési intézkedések leírása (beleértve az esetleges vonatkozó tanúsítványokat) a megfelelő biztonsági szint biztosítása érdekében, figyelembe véve az adatkezelés jellegét, hatókörét, kontextusát és célját, valamint a természetes személyek jogaira és szabadságaira jelentett kockázatokat. A Partner kijelenti és szavatolja, hogy rendelkezik a Taboola alábbi biztonsági intézkedéseihez lényegében hasonló, megfelelő technikai és szervezési intézkedésekkel.

A személyes adatok álnevesítésére és titkosítására vonatkozó intézkedések: Taboola csak álnevesített adatokat gyűjt, ami azt jelenti, hogy nem tudjuk, ki vagy, mert nem ismerjük és nem kezeljük a felhasználó nevét, e-mail címét vagy egyéb azonosítható adatait. Az általunk gyűjtött felhasználói információk között szerepelnek többek között a felhasználó eszközével és operációs rendszerével kapcsolatos adatok, az IP Address, a felhasználók által ügyfeleink webhelyein belül megnyitott weboldalak, a felhasználót az ügyfél webhelyére irányító link, a felhasználó által az ügyfél webhelyének megnyitására használt dátumok és időpontok, valamint egyéb webes böngészési adatok. A CookieID-t Bcrypt segítségével anonimizálják, az IP Address-t pedig rövidítik.

A feldolgozó rendszerek és szolgáltatások folyamatos titkosságának, integritásának, rendelkezésre állásának és ellenálló képességének biztosítására irányuló intézkedések: Taboola többszintű elektronikus biztonsági rendszert alkalmaz (pl.: végpontbiztonság, szerveroldali biztonság, észlelések nyomon követése, rendszeres behatolási tesztek és mélyreható információgyűjtés a posztmortem események felülvizsgálatához).

Intézkedések a személyes adatok rendelkezésre állásának és hozzáférhetőségének fizikai vagy technikai incidens esetén történő időben történő helyreállításának biztosítására: Taboola világszerte 9 adatközpontot üzemeltet. Minden adatközpont egymás másolataként működik, így ha az egyik leáll, az adatok a másik adatközpontból kinyerhetők.

A feldolgozás biztonságának biztosítása érdekében a technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, értékelésére és felmérésére szolgáló eljárások: Taboola szigorú eljárásokat alkalmaz a kontrollok (mind technikai, mind szervezeti) hatékonyságának tesztelésére. Rendszeres naplózás és monitorozás, havi (legalább) DR-tesztelés, negyedéves behatolási tesztek, a web védelmét szolgáló tűzfalak és a hálózatra elosztott honeypotok működnek nálunk, hogy felderítsék az esetleges rosszindulatú tevékenységeket. Ezenkívül bounty programot is működtetünk, amely segít nekünk hálózatunk folyamatos figyelemmel kísérésében.

A felhasználók azonosítására és engedélyezésére vonatkozó intézkedések: Taboola minden felhasználója egy egyedi felhasználónévvel és jelszóval rendelkezik. Taboola belső hálózatához való minden hozzáférés 2FA-val történik, Google-hitelesítéssel. A felhasználókat kizárólag az IT-osztály hozza létre, a felvételi folyamat során, és csak azután, hogy megkapta az összes részletet és az aláírt szerződést a HR-osztálytól.

Az adatok átvitel közbeni védelmét szolgáló intézkedések: Taboola minden adatátvitelt támogat biztonságos átviteli protokollok (legalább HTTPS és TLS v1.2) segítségével. Ezenkívül a személyes adatokat tartalmazó rendszerek biztonságosak, az adatok pedig hash-elt és anonimizált formában kerülnek tárolásra.

Az adatok tárolása során alkalmazott adatvédelmi intézkedések: Az adatbázisainkban tárolt adatok névtelenek és Bcrypt segítségével hash-elve vannak. A DB-hez való hozzáférés minimálisra van csökkentve, és a „üzleti szükségesség” elvén alapul.

A személyes adatok feldolgozásának helyszíneinek fizikai biztonságát biztosító intézkedések: A Taboola globális adatközpontjainak (az Egyesült Államokban, Európában és Ázsiában) minden szerverét zárt szekrényekben tárolják, amelyeket kizárólag a Taboola használatára tartanak fenn. Ezeket a szervereket SOC2-certified vállalatok tartják karban, vagy Taboola ellenőrizte biztonsági intézkedéseiket. Továbbá, a szerverekhez való hozzáféréshez írásbeli, naplózott engedély szükséges. Taboola összes irodája szintén ellenőrzött, és a belépéshez a munkavállalóknak belépőkártyát kell használniuk. Ezenkívül csak korlátozott számú alkalmazott fér hozzá a Taboola szervereihez, és minden hozzáféréshez írásbeli, naplózott engedély szükséges.

Az események naplózásának biztosítására irányuló intézkedések: Taboola felügyeleti eszközöket alkalmaz, és a naplófájlokat a SIEM rendszerünkbe gyűjti, amely figyelmeztet minket minden gyanús eseményről, és amelyet a NOC csapat is figyelemmel kísér.

A rendszerkonfiguráció biztosítására irányuló intézkedések, beleértve az alapértelmezett konfigurációt: A szerverek konfigurációs eltéréseit és javítások szintjét is ellenőrizzük. A jelentés és/vagy riasztás mindkettőn be van állítva, és a megfelelő javítás szintje megerősítést nyert. Az új javításokat a Puppet segítségével terjesztik. Minden technikai felülvizsgálatot a K+F alkalmazáson keresztül kezelnek, és a kódolás és a CI/CD processes végrehajtása után egy hivatalos felülvizsgálati folyamat (QA) keretében kapnak meg.

Belső IT- és IT-biztonsági irányítási és kezelési intézkedések: Taboola rendelkezik az ISO/IEC 27001:2013 és az ISO/IEC 27701:2019 tanúsítvánnyal. A Taboola rendelkezik egy információbiztonsági politikával, amely kimondja, hogy a Taboola igazgatótanácsa és vezetése elkötelezett az egész szervezeten belüli összes fizikai és elektronikus információs eszköz titkosságának, integritásának és elérhetőségének megőrzése iránt. Taboola biztonsági képzéseket tart minden új alkalmazott számára, adathalászati képzéseket minden alkalmazott számára világszerte, valamint rendszeres biztonsági képzéseket minden alkalmazott számára, és külön foglalkozásokat is szervez a kutatási és fejlesztési csoportok számára.

A folyamatok és termékek tanúsítására/biztosítására irányuló intézkedések: Negyedéves/féléves/éves belső audit több folyamaton és rendszeren, annak ellenőrzése érdekében, hogy a Taboola betartja-e a meghatározott biztonsági célokat és intézkedéseket.

Az adatminimalizálás biztosítására irányuló intézkedések: Taboola szándékosan korlátozza az általunk gyűjtött adatokat, a Taboola globális adatminimalizálási elveinek részeként, amelyek szerint csak a konkrét üzleti céljainkhoz szükséges korlátozott adatokat dolgozunk fel. Továbbá a Taboola nem rendelkezik azzal a képességgel, sem pedig üzleti igényével, hogy szolgáltatásaink nyújtása érdekében „visszafejlessze” az algoritmusunkban használt adatpontokat. Pontosabban, a Taboola által gyűjtött adatok soha nem utalnak a felhasználó személyazonosságára, mivel a Taboola nem gyűjt és nem dolgoz fel olyan információkat, mint a felhasználó neve, telefonszáma, e-mail címe vagy lakcíme. Ehelyett a Taboola csak álneves azonosítókat gyűjt, amelyek csupán a felhasználó eszközének jellemzőit azonosítják. Ez magában foglalja az IP Addresseket (amelyeket gyűjtéskor rövidítenek, és amelyek csak az eszköz általános irányítószámát azonosítják, de soha nem a pontos földrajzi helyét), valamint bizonyos korlátozott esetekben a hash-elt e-mail címeket (amelyek természetüknél fogva visszafordíthatatlanok, és nem lehet őket dekódolni az eredeti e-mail cím feltárása érdekében). Továbbá, még együttesen is, az általunk gyűjtött adatok soha nem adhatják meg egy személy nevét, telefonszámát, e-mail címét vagy lakcímét, és mérnökeink semmilyen módon nem törekednek erre a célra. Ezenkívül a Taboola adatvédelmi hatástanulmányokat készít és rögzít annak érdekében, hogy minimálisra csökkentse szolgáltatásaink, folyamataink és irányelveink adatvédelmi kockázatait.

Az adatminőség biztosítására irányuló intézkedések: Az adatok közvetlenül a felhasználótól kerülnek begyűjtésre, és a felhasználó lehetőséget kap arra, hogy a Taboola Adatvédelmi Portálon keresztül kijavítsa a CookieID-jéhez kapcsolódó bármely adatot: https://accessrequest.taboola.com/access

A korlátozott adatmegőrzés biztosítására irányuló intézkedések: A hirdetések megjelenítésének céljából közvetlenül gyűjtött felhasználói információkat legfeljebb tizenhárom (13) hónapig tároljuk a felhasználó utolsó szolgáltatásunkkal való interakciójától számítva (gyakran ennél rövidebb ideig), ezt követően pedig az egyedi azonosítókat eltávolítva vagy az adatokat összesítve anonimizáljuk az adatokat. Ez a folyamat automatikusan történik.

Az elszámoltathatóság biztosítására irányuló intézkedések: Taboola több biztonsági ellenőrzést és behatolási tesztet végez (de nem minden rendszer esetében). Taboola olyan felhőszolgáltatókat is igénybe vesz, amelyek ISO-tanúsítvánnyal rendelkeznek és megfelelnek a szerver fizikai védelmének fenntartására vonatkozó egyéb felhővel kapcsolatos tanúsítványoknak.

Az adatok hordozhatóságát és törlését biztosító intézkedések: A Taboola média megsemmisítésével kapcsolatban minden típusú médiára ugyanúgy vonatkozik, mivel azok személyes adatokat tartalmazhatnak. Minden adathordozót teljesen törölni kell, mielőtt újra felhasználnák vagy megsemmisítenék. Minden adathordozó megsemmisítését dokumentálják. A munkavállalóknak tilos olyan papírokat kinyomtatni, amelyek személyes adatokat tartalmazhatnak.