디지털 자산 소유자를 위한 개인정보 보호 약관

Last Update: October 10, 2024

시행일: 2024년 10월 10일

본 Taboola 디지털 자산 소유자 개인정보 보호 약관(“게시자 개인정보 보호 약관”)은 타불라가 게시자 자산에 광고주 콘텐츠를 게재하는 경우와 같이 타 Taboola 와 게시자 간의 계약(“계약”)에 따라 타불라가 게시자 자산에 광고주 콘텐츠를 게재하는 경우에 적용되며, 여기에는 Taboola Newsroom, Header Bidding, Taboola 홈페이지 4유, Taboola Taboola News, Taboola 푸시와 같은 게시자 제품 및 서비스가 포함되지만 이에 국한되지는 않습니다. 본 게시자 개인정보 보호 약관은 해당 계약에 통합되어 계약의 필수적인 부분으로 간주됩니다. 본 게시자 개인정보 보호 약관은 개인 데이터와 관련하여 Taboola 와 게시자의 역할 및 책임을 명시합니다.

게시자 개인정보 보호 약관과 본 계약 사이에 충돌이 있는 경우, 본 계약의 충돌 조항이 게시자 개인정보 보호 약관의 충돌 조항을 명시적으로 참조하고 본 약관이 충돌 조항보다 우선함을 명시하지 않는 한 게시자 개인정보 보호 약관이 우선합니다.

본 절에서 정의된 용어는 아래에 명시된 의미를 가지며, 관련 용어는 그에 따라 해석되어야 한다. 게시자 개인정보 보호 약관에서 사용되었지만 정의되지 않은 대문자로 시작하는 용어는 본 계약에서 정의된 의미를 갖습니다.

      1. 적용 가능한 데이터 보호법”이란 본 계약 및 본 게시자 개인정보 보호 약관의 대상이 되는 처리에 적용되는 모든 관련 연방, 국가, 주 또는 기타 개인정보 보호 및 데이터 보호법을 의미하며, 이는 수시로 개정되거나 대체될 수 있습니다.
      2. 캘리포니아 개인정보보호법”이란 2018년 캘리포니아 소비자 개인정보보호법(Cal.)을 의미합니다. 개정된 (캘리포니아 개인정보보호법 포함) 민법 제1798.100조 이하(이하 “CCPA“) 및 모든 하위 법령 및 시행 규정.
      3. 컨트롤러”란 다음을 의미합니다. (i) 개인 데이터 처리의 목적과 수단을 결정하는 주체, 그리고 (ii) 적용 가능한 데이터 보호법에 정의된 “컨트롤러” 또는 “사업체”(또는 이와 실질적으로 유사한 용어)의 범위에 속하는 모든 개인 또는 법인.
      4. 데이터 주체”란 다음을 의미합니다. (i) 식별되었거나 식별 가능한 자연인(이 목적상 식별 가능한 자연인이란 이름, 식별 번호, 위치 데이터, 온라인 식별자 또는 해당 자연인의 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성에 특정한 하나 이상의 요소를 참조하여 직간접적으로 식별될 수 있는 사람을 말합니다), 그리고 (ii) 데이터 보호법에 정의된 “데이터 주체”, “소비자”(또는 이와 실질적으로 유사한 용어)의 범위에 속하는 모든 사람.
      5. EU 데이터 보호법”이란 다음을 의미합니다. (i) EU 일반 데이터 보호 규정(규정 2016/679)(“EU GDPR”); (ii) EU 전자 개인정보 보호 지침(지침 2002/58/EC); 및 (iii) (i) 또는 (ii)에 따라 제정된 모든 국가 데이터 보호법. 각각은 수시로 개정되거나 대체될 수 있습니다.
      6. 개인 데이터”란 식별되거나 식별 가능한 개인과 관련된 모든 정보를 의미하며, 해당 데이터 보호법에서 요구하는 경우 고유한 브라우저 또는 장치 식별자를 포함합니다. 이는 부록 A, 파트 B에 명시되어 있습니다.
        1. 상호작용 개인정보”란 소비자가 Taboola, 타불라의 제품, 타불라의 서비스 및 Taboola 불라가 게재하는 광고와 의도적으로 상호작용하는 시점 또는 그 이후에 수집되는 모든 개인정보를 의미합니다.
        2. 수동적 상호작용 개인 데이터”란 소비자가 Taboola, Taboola의 제품, Taboola의 속성 및 Taboola 게재하는 광고와 의도적으로 상호작용하기 전 또는 상호작용하지 않은 상태에서 Taboola 가 수집하는 IP 주소, 페이지 URL 및 User Agent String을 포함하되 이에 국한되지 않고 게시자 속성으로부터 Taboola 으로 수집된 모든 개인 데이터를 의미합니다.
      7. 처리”란 자동화된 수단을 사용하거나 사용하지 않고 개인 데이터 또는 개인 데이터 집합에 대해 수행되는 모든 작업 또는 일련의 작업을 의미하며, 여기에는 수집, 수신, 기록, 구성, 구조화, 사용, 전송, 접근, 공유, 공개, 이전, 저장, 적응 또는 변경, 검색, 조회, 배포 또는 기타 방식으로 제공, 정렬 또는 결합, 집계, 추론, 파생, 분석, 제한, 삭제, 파기 또는 폐기 또는 기타 개인 데이터 처리가 포함되며, 관련 데이터 보호법에서 해당 용어가 정의되는 방식도 포함합니다.
      8. 처리자”란 관리자를 대신하여 개인 데이터를 처리하는 주체를 의미하며, 해당 용어 및/또는 “데이터 처리자”(또는 이와 실질적으로 유사한 용어)가 관련 데이터 보호법에서 정의되는 방식을 포함합니다.
      9. 제한적 전송”이란 다음을 의미합니다. (i) EU GDPR 적용되는 경우, 유럽 위원회의 적정성 결정 대상이 아닌 EEA 외부 국가로의 개인 데이터 전송(“EU 제한적 전송”), 그리고 (ii) UK GDPR 적용되는 경우, 영국 데이터 보호법 2018 제17A조에 따른 적정성 규정의 적용을 받지 않거나 이를 기반으로 하지 않는 다른 국가로의 개인 데이터 전송(“UK 제한적 전송”).
      10. 서비스”란 퍼블리셔와의 계약에 따라 Taboola 가 제공하는 서비스를 의미합니다.
      11. “보안 사고”란 개인정보의 우발적 또는 불법적인 파괴, 손실, 변경, 무단 공개 또는 접근으로 이어지는 보안 침해를 의미합니다.
      12. “Standard Contractual Clauses” 이란 다음을 의미합니다. (i) EU GDPR 적용되는 경우, 유럽 의회 및 이사회 규정(EU) 2016/679에 따라 제3국으로 개인 데이터를 전송하기 위한 Standard Contractual Clauses에 관한 2021년 6월 4일 유럽 위원회 시행 결정 2021/914에 첨부된 계약 조항(“EU SCCs”); 및 (ii) UK GDPR 적용되는 경우, 2018년 DPA 119A(1)조에 따라 정보 위원회가 발행한 “ EU 위원회 Standard Contractual Clauses 조항에 대한 국제 데이터 전송 부록”(“UK Addendum”).
      13. 제3자”란 개인정보와 관련하여 데이터 관리자 역할을 하는 사업체를 의미하며, 개인정보가 처리되는 정보 주체가 의도적으로 상호 작용한 사업체는 포함하지 않습니다. 이 용어는 관련 데이터 보호법에서 정의하는 방식을 모두 포함합니다.
      14. UK 데이터 보호법”이란 다음을 의미합니다. (i) 2018년 UK 데이터 보호법, (ii) 2018년 UK 데이터 보호법 제3조(10)항에 정의된 UK GDPR (“UK GDPR”), (iii) 2003년 UK 개인정보 및 전자통신(EC 지침) 규정, (iv) (i), (ii) 또는 (iii)에 따라 제정된 기타 UK 법률. 각각은 수시로 개정되거나 대체될 수 있습니다.

서비스와 관련하여 처리되는 개인 데이터에 대해 각 당사자는 수집한 개인 데이터를 부록 A, 파트 B(“허용된 목적”)에 명시된 목적 및 본 게시자 개인정보 처리방침, 계약, 그리고 적용 가능한 데이터 보호법(각각 수시로 업데이트될 수 있음)에서 허용하는 범위 내에서만 처리하는 데 동의합니다. Taboola Taboola 개인정보 처리방침(및 수시로 업데이트될 수 있는 내용)에서 허용하는 범위 내에서 수동적 상호작용을 통해 수집된 개인 데이터를 처리할 수도 있습니다.

각 당사자는 자신이 수집한 수동적 상호작용 개인 데이터를 상황에 따라 데이터 관리자 또는 제3자로서 처리합니다. 각 당사자는 자신이 수집한 상호작용 개인 데이터를 관리자 또는 사업자로서 처리합니다. 한 당사자가 다른 당사자에게 개인 정보를 공개하는 행위(직접 공개하거나, 제3자를 통해 데이터를 제공하는 경우 포함)는 제3자에 대한 공개에 해당합니다.

      1. 미국 또는 미국 주 데이터 보호법(캘리포니아 개인정보 보호법 포함)이 개인 데이터에 적용되는 경우, Taboola 서비스와 관련하여 수동적 상호 작용 개인 데이터를 처리하는 범위 내에서 Taboola 해당 수동적 상호 작용 개인 데이터에 대해 게시자의 제3자 역할을 합니다. Taboola 부록 A, 파트 B에 설명된 목적 및 본 게시자 개인정보 보호 약관, 계약, 관련 데이터 보호법, 그리고 Taboola의 개인정보 보호정책(각각 수시로 업데이트될 수 있음)에서 허용하는 범위 내에서 이러한 수동적 상호작용 개인정보를 처리합니다. 이러한 수동적 상호작용을 통해 수집된 개인 데이터는 해당 목적을 위해서만 Taboola 에 제공됩니다. Taboola 해당되는 경우 캘리포니아 개인정보 보호법을 포함하여, 미국 데이터 보호법에서 기업에 요구하는 것과 동일한 수준의 개인정보 보호를 제공합니다. 게시자는 Taboola 게시자의 의무에 부합하는 방식으로 수동적 상호작용 개인 데이터를 사용하도록 보장할 권리가 있습니다. 게시자는 Taboola 에 통지하는 즉시, Taboola 에 제공한 개인 데이터의 무단 사용을 중지하고 시정하기 위해 합리적이고 적절한 조치를 취할 권리가 있습니다. Taboola Taboola 관련 데이터 보호법에 따른 의무를 더 이상 이행할 수 없다고 판단하는 경우, 관련 데이터 보호법에서 요구하는 기간 내에 퍼블리셔에게 이를 통보할 것입니다. Taboola 서비스와 관련하여 상호작용 개인 데이터를 수집하는 경우, 이는 별도의 사업 활동으로 간주됩니다.

당사자들은 개인정보를 처리할 수 있으며, 각 당사자의 개인정보 처리에는 관련 데이터 보호법이 적용될 수 있음을 인정합니다. 이 경우 각 당사자는 개인 데이터 처리에 관하여 해당 데이터 보호법을 준수해야 합니다. 이러한 경우, 그리고 제7조에 따라 각 당사자는 다음을 포함한 적용 가능한 데이터 보호법을 준수할 개별적인 책임을 집니다. (i) 데이터 주체에게 투명성을 제공하는 것, (ii) 처리를 위한 동의 또는 기타 합법적인 근거를 확보하는 것, (iii) 데이터 주체가 데이터 보호 권리를 행사할 수 있는 연락처를 제공하는 것. 게시자는 Taboola 가 데이터 관리자로서 개인 데이터를 처리하는 것과 관련하여 데이터 보호 권리 요청을 받는 경우, 해당 요청을 Taboola에 즉시 통지하여 Taboola 관련 데이터 보호법에 따른 의무에 따라 요청을 이행할 수 있도록 해야 합니다.

  1. 퍼블리셔는 타불라 서비스와 관련하여 접수된 모든 데이터 주체 요청을타불라의 글로벌 데이터 주체 접근 요청 포털로 전달해야 합니다. 우리를 소비자 권리 거부 포털해당되는 경우.

어느 일방 당사자가 서비스와 관련하여 정보 주체의 개인 데이터 처리에 대한 문의, 불만 또는 서신(“제3자 통지”)을 개인, 규제 기관 또는 기타 제3자로부터 받는 경우, 해당 당사자는 즉시 상대방 당사자에게 통지해야 하며, 양 당사자는 제3자 통지의 요구 사항을 해결하기 위해 성실하게 그리고 합리적으로 필요한 범위 내에서 협력해야 합니다.

어느 일방 당사자가 상대방 당사자에게 개인 데이터의 제한적 전송을 하는 경우, 부록 C의 조항이 적용됩니다.

Taboola Taboola 코드, 픽셀 및 기타 추적 기술을 사용하여 게시자 속성으로부터 개인 데이터를 수집하는 경우, 게시자는 (i) 허용된 목적을 위해 게시자 속성으로부터 개인 데이터를 수집하기 위한 Taboola 코드 사용에 대해 데이터 주체에게 필요한 모든 투명성 고지를 제공하고, (ii) 적용 가능한 데이터 보호법의 요건에 따라 허용된 목적을 위한 Taboola 코드 사용에 대한 데이터 주체의 동의를 얻고 ( Taboola 의 요청이 있을 경우 언제든지 적절한 증거를 제공해야 합니다). 이와 관련하여 게시자는 데이터 주체에게 제공하는 투명성 고지 및 동의 요청서에 Taboola 와 허용된 목적을 위한 Taboola 코드 사용을 명시적으로 식별해야 하며, 적용 가능한 데이터 보호법에서 요구하는 기타 정보도 제공해야 합니다. 이를 통해 Taboola 해당 속성을 통해 합법적으로 서비스를 제공하고 허용된 목적을 위해 개인 데이터를 처리할 수 있습니다. Taboola 서면 요청 시, 게시자가 Taboola 코드 및 게시자 웹사이트를 통한 Taboola의 개인 데이터 처리와 관련하여 합리적으로 필요로 하는 정보를 게시자에게 제공하여, 게시자의 고지 및 동의 메커니즘이 관련 데이터 보호법을 준수하도록 보장합니다. 출판사는 다음과 같은 사항에 명시적으로 동의합니다.

  1. 웹 기반 속성과 관련하여, 게시자의 개인정보 보호정책은 제3자(예: Taboola)가 관심 기반 광고 및 분석(속성 내외에서)을 위해 쿠키, 고유 식별자 및 비쿠키 기술을 사용하는 방식을 설명하고, 적용 가능한 데이터 보호법의 요건을 충족하는 방식으로 NAI의 업계 옵트아웃 페이지(http://www.networkadvertising.org), DAA의 업계 옵트아웃 페이지(http://www.aboutads.info) 또는 (유럽 웹 기반 미디어 및 데이터 수집의 경우) EDAA 옵트아웃 링크(http://www.youronlinechoices.eu)를 제공해야 합니다.
  2. 모바일 앱 기반 속성과 관련하여, 게시자의 개인정보 보호정책은 모바일 앱에서 SDK 사용 및 관심 기반 또는 앱 간 광고 및 분석(속성 내외에서)을 위한 모바일 광고 식별자 수집에 대한 내용을 설명해야 하며, 사용자가 기기 설정을 통해 앱 간 광고를 위한 모바일 데이터 수집을 거부할 수 있는 방법을 설명해야 합니다.
  3. 퍼블리셔는 EU 대상으로 하는 자사 웹사이트의 경우, 방문자의 기기에 Taboola 쿠키 또는 기타 고유 식별자를 설치하거나 접근하는 것과 관련하여 EU 개인정보 보호법에 따라 방문자가 자유롭게 제공하고, 구체적이며, 충분한 정보를 바탕으로 하고, 명확하게 동의한 내용을 확보해야 합니다. 게시자는 방문자가 데이터 보호 권리(서비스와 관련하여 처리되는 개인 데이터 관련 권리 포함)를 행사할 수 있도록 연락처 정보(개인정보 보호정책을 통해 해당 정보를 제공하는 것을 포함할 수 있음)를 게시자에게 제공해야 합니다. 상기 의무는 게시자 속성이 서비스와 관련하여 동의 메커니즘을 요구하는 관할 지역에서 방문자를 유치하는 경우에 적용됩니다.

계약 기간 동안 Taboola 게시자에게 권장되는 개인정보 보호 정책 또는 공개 문구를 제공할 수 있습니다. 게시자는 권장되는 문구를 법률 자문으로 또는 법률 자문을 대신하여 의존해서는 안 되며, 게시자 또는 회사 자체가 개인정보 보호정책이나 웹사이트에 공개된 내용에 대해 전적으로 책임을 져야 함을 인정합니다.

게시자는 Taboola Taboola 할 수 있도록 특수 범주의 개인 데이터 또는 민감한 개인 정보 또는 민감한 데이터(적용 가능한 데이터 보호법에 정의된 바에 따름)를 수집하거나 공개하도록 서비스를 제공하거나 구성해서는 안 됩니다. 또한, 게시자는 Taboola 에 제공하는 모든 페이지 URL에 동영상 제목 정보가 포함되지 않도록 해야 합니다. Taboola 게시자가 본 조항을 준수하지 않을 경우, 해당 위반 사항이 시정될 때까지 서비스 제공을 중단할 권리를 보유합니다.

각 당사자는 보안 사고로부터 방문자의 개인 정보를 보호하기 위해 적절한 기술적 및 조직적 보안 조치를 시행해야 합니다. 이러한 조치에는 부록 B에 명시된 조치가 포함됩니다.

어느 일방 당사자가 본 계약 및 본 게시자 개인정보 처리방침의 적용을 받는 자신이 처리하는 개인정보와 관련하여 보안 사고를 겪는 경우, 해당 당사자는 (i) 관련 데이터 보호법에 따라 데이터 보호 당국 및/또는 영향을 받는 데이터 주체에게 보고해야 하는 의무를 (자신의 비용으로) 이행하고, (ii) 지체 없이 상대방에게 통지하고, 상대방이 합리적으로 요청할 수 있는 정보 또는 상대방이 해당 보안 사고와 관련하여 관련 데이터 보호법에 따른 보고 의무가 있는지 여부를 판단하는 데 필요한 정보를 제공하며, (iii) 보안 사고의 영향을 시정 및/또는 완화하기 위해 적절한 모든 조치를 지체 없이 취해야 합니다.

각 당사자는 자신이 적용받는 데이터 보호법에서 요구하는 범위 내에서 허용된 목적을 위한 개인 데이터 처리에 대한 데이터 보호 영향 평가를 수행하고, 필요한 경우 관련 데이터 보호 당국과 협의해야 합니다. 각 당사자는 상대방이 본 조항에 따른 의무에 따라 데이터 보호 영향 평가를 완료하고/하거나 관련 데이터 보호 당국과 협의할 수 있도록 필요한 경우, 상대방이 합리적으로 요청하는 모든 합리적인 협력 및 정보를 제공해야 합니다.

A. 당사자 목록

각 당사자는 다음과 같아야 합니다.

  • 수집된 데이터의 데이터 관리자(및 데이터 수출자)로서, 해당 데이터를 상대방에게 공개하거나 이용 가능하게 합니다.
  • 수집된 데이터의 데이터 관리자(및 데이터 수입자)로서, 상대방으로부터 데이터를 수신하거나 상대방이 해당 데이터에 대한 접근 권한을 제공하는 주체입니다.

각 당사자에 대한 자세한 정보는 아래에 제공됩니다.

이름: 출판사 정보는 계약서에 명시되어 있습니다.

주소: 출판사 정보는 계약서에 명시되어 있습니다..

담당자 이름, 직책 및 연락처: 출판사 정보는 계약서 또는 당사자 간 서면 합의서에 명시된 내용을 참조하십시오.

본 조항에 따라 전송되는 데이터와 관련된 활동: 계약서에 명시된 바와 같이 서비스를 수령하는 것.

서명 및 날짜: 본 부록 A는 게시자가 본 게시자 개인정보 보호 약관을 수락하는 시점에 체결된 것으로 간주됩니다.

역할(컨트롤러/프로세서): 컨트롤러(데이터 내보내기 담당자인 경우) 및 컨트롤러(데이터 가져오기 담당자인 경우)

 

이름: Taboola에 대한 자세한 정보는 계약서 서두를 참조하십시오.

주소: Taboola에 대한 자세한 정보는 계약서 서두를 참조하십시오.

담당자 이름, 직책 및 연락처: 타 taboola.com 개인정보보호팀: privacy@taboola.com

본 조항에 따라 전송되는 데이터와 관련된 활동: 본 계약에 명시된 바와 같이 서비스가 제공됩니다.

서명 및 날짜: 본 부록 A는 Taboola가 본 게시자 개인정보 보호 약관을 수락하는 시점에 체결된 것으로 간주됩니다.

역할(컨트롤러/프로세서): 컨트롤러(데이터 내보내기 담당자인 경우) 및 컨트롤러(데이터 가져오기 담당자인 경우)

 

B. 처리 및 이송에 대한 설명 

개인 데이터가 처리 및/또는 전송되는 데이터 주체의 범주: 사용자

처리 및/또는 전송되는 개인 데이터의 범주:

기기 데이터: 사용자의 기기, 브라우저 및 운영 체제; 모바일 기기 정보(모든 모바일 ID는 해시 처리됨) (IDFAs 및 AAIDs 포함); Taboola 에서 읽거나 배포할 수 있는 쿠키 데이터(모든 쿠키 ID/사용자 ID는 해시 처리됨); IP 주소; 해시 처리된 이메일 주소; 참조 웹사이트; 사용자의 언어; 국가/지역/도시. 모바일 앱이 서비스의 일부인 경우, 추가 데이터 요소에는 축약되거나 부정확한 위도/경도, 연결 유형 및 화면 크기가 포함됩니다.

사용자가 방문한 디지털 자산에 대한 데이터: 플랫폼의 표시 방식 및 사용자가 플랫폼과 상호 작용했는지 여부, 웹 또는 앱 동작.

Header Bidding 이 서비스의 일부인 경우 다음 사항이 적용됩니다.

  • Bid Request / Bid Response Data: 입찰 요청의 고유 ID, 제공된 노출을 나타내는 IMP object , 표시된 게시자 사이트 또는 앱, 앱, 기기, 경매 유형, 최대 시간, 통화, 차단된 카테고리, 기기 ID, Taboola 사용자 ID, 호출 태그 파트너: URL.

Taboola Newsroom 과 관련하여 다음 사항이 적용됩니다.

  • 출판사 웹사이트의 이벤트 정보: 변환 데이터
  • 사용자 에이전트에서 읽어온 사용자 브라우저에 대한 정보: 방문한 페이지의 URL, 참조 웹사이트, 운영 체제, 브라우저 유형 및 브라우저 버전, 쿠키에서 읽은 연결된 해시 처리된 Taboola 사용자 ID, 연결된 IP 주소(30일 후 데이터는 삭제됨).

(해당되는 경우) 민감한 데이터가 전송되며, 데이터의 특성과 관련된 위험을 충분히 고려하여 엄격한 목적 제한, 접근 제한(전문 교육을 이수한 직원만 접근 가능), 데이터 접근 기록 유지, 추가 전송 제한 또는 추가 보안 조치와 같은 제한 또는 보호 조치가 적용됩니다. 해당 사항 없음.

데이터 처리 및/또는 전송 빈도(예: 데이터가 일회성으로 처리 및/또는 전송되는지 또는 지속적으로 처리 및/또는 전송되는지 여부): 계약 기간 동안 지속됩니다.

처리 방식: 본 계약에 명시된 바와 같이 서비스 제공에 필요한 개인정보 처리.

데이터 처리/전송 및 추가 처리의 목적: 본 계약에 명시된 바와 같이 서비스가 제공됩니다. 오해의 소지를 없애기 위해 허용되는 목적은 다음과 같습니다. (i) 기기에 정보를 저장 및/또는 액세스하는 것; (ii) 기본 광고를 선택하는 것; (iii) 개인 맞춤형 광고 프로필을 생성하는 것; (iv) 개인 맞춤형 광고를 선택하는 것; (v) 개인 맞춤형 콘텐츠 프로필을 생성하는 것; (vi) 개인 맞춤형 콘텐츠를 선택하는 것; (vii) 광고 성과 측정; (viii) 콘텐츠 성과 측정; (ix) 제품 개발 및 개선; (x) 보안 유지, 사기 방지 및 디버깅; (xi) 광고 또는 콘텐츠를 기술적으로 제공하는 것; (xii) 오프라인 데이터 소스를 일치시키고 결합하는 것; (xiii) 서로 다른 기기를 연결하는 것; (xiv) 식별을 위해 자동으로 전송되는 기기 특성을 수신하고 사용하는 것; (xv) 제한된 데이터를 사용하여 콘텐츠를 선택하는 것; (xvi) 개인정보 보호 선택 사항을 저장하고 전달하는 것.

Taboola Newsroom 과 관련하여 다음 사항이 적용됩니다. (i) 구독 전환 이벤트 추적.

Taboola Push와 관련하여 다음과 같은 추가 목적이 적용됩니다. (i) 사용자의 기기에 알림을 전송합니다.

Header Bidding 서비스의 일부인 경우 다음과 같은 추가 목적이 적용됩니다. (i) 게재 위치에 입찰하고 개인화된 추천을 제공할지 여부를 결정합니다.

Home Page 4 You가 서비스의 일부인 경우 다음과 같은 추가 목적이 적용됩니다. (i) 지정된 디지털 자산 홈페이지 내에서 게시자 콘텐츠를 자동화하고 큐레이션합니다.

개인정보를 보관할 기간 또는, 그것이 불가능한 경우, 해당 기간을 결정하는 데 사용되는 기준:

  • Taboola: 원본 데이터는 최대 13개월 동안 보관됩니다.
  • 광고주: 서비스를 제공받는 데 필요한 기간 동안 또는 계약서에 달리 명시된 기간 동안.

(하위)처리업체로의 전송 시에는 처리 대상, 처리 성격 및 기간도 명시해야 합니다. 해당 사항 없음.

 

C. 권한 있는 감독 기관

EU GDPR 적용되는 관할 감독 기관: 각 당사자에 대한 관할 감독 기관은 다음과 같습니다.

  • Taboola: 관할 감독 기관은 EU SCCs 13항에 따라 결정됩니다.
  • 광고주: 관할 감독 기관은 EU SCCs 13항에 따라 결정됩니다.

UK GDPR 적용되는 관할 감독 기관: 정보 감독관 사무실

각 당사자가 처리의 성격, 범위, 맥락 및 목적, 그리고 개인의 권리와 자유에 대한 위험을 고려하여 적절한 수준의 보안을 보장하기 위해 시행한 기술적 및 조직적 조치(관련 인증 포함)에 대한 설명.

개인 데이터의 가명화 및 암호화 조치: Taboola 가명 처리된 데이터만 수집합니다. 즉, 사용자의 이름, 이메일 주소 또는 기타 식별 가능한 데이터를 알거나 처리하지 않으므로 사용자가 누구인지 알 수 없습니다. 당사가 수집하는 사용자 정보에는 사용자의 기기 및 운영 체제 정보, IP 주소, 사용자가 당사 고객사 웹사이트 내에서 접속한 웹 페이지, 사용자를 고객사 웹사이트로 이끈 링크, 사용자가 고객사 웹사이트에 접속한 날짜 및 시간, 기타 웹 브라우징 데이터 등이 포함되지만 이에 국한되지는 않습니다. CookieID는 Bcrypt 사용하여 익명화되고 IP 주소는 잘립니다.

처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장하기 위한 조치: Taboola 엔드포인트 보안, 서버 측 보안, 탐지 추적, 주기적인 침투 테스트, 사후 분석을 위한 심층적인 정보 수집 등 여러 단계의 전자 보안을 사용합니다.

물리적 또는 기술적 사고 발생 시 개인 데이터의 가용성과 접근성을 적시에 복구할 수 있도록 보장하는 조치: Taboola 전 세계에 9개의 데이터 센터를 운영하고 있습니다. 모든 데이터 센터는 서로 복제본 역할을 하므로, 하나의 데이터 센터에 장애가 발생하더라도 다른 데이터 센터에서 데이터를 복구할 수 있습니다.

처리 과정의 보안을 보장하기 위해 기술적 및 조직적 조치의 효과성을 정기적으로 테스트, 평가 및 검증하는 프로세스: Taboola 기술적 및 조직적 통제의 효과성을 검증하기 위한 엄격한 절차를 유지합니다. 저희는 시스템 로깅 및 모니터링 시스템을 갖추고 있으며, 매달 (최소한) 재해 복구 테스트를 실시하고, 분기별로 침투 테스트를 진행합니다. 또한 웹을 보호하는 방화벽과 네트워크 전반에 걸쳐 악성 활동을 탐지하기 위한 허니팟을 운영하고 있습니다. 또한, 당사는 네트워크를 지속적으로 모니터링하는 데 도움이 되는 현상금 프로그램을 운영하고 있습니다.

사용자 식별 및 권한 부여 조치: Taboola 의 모든 사용자는 고유한 사용자 이름과 비밀번호를 갖습니다. 타불라의 내부 네트워크에 대한 모든 접근은 구글 인증을 사용한 2단계 인증(2FA)을 통해 이루어집니다. 사용자 계정은 IT 부서에서만 온보딩 과정 중에, 인사 부서로부터 모든 세부 정보와 서명된 계약서를 받은 후에만 생성됩니다.

데이터 전송 중 데이터 보호를 위한 조치: Taboola 안전한 전송 프로토콜(최소 HTTPS 및 TLS v1.2)을 통한 모든 데이터 전송을 지원합니다. 또한 개인 식별 정보(PII)가 포함될 수 있는 시스템은 보안이 강화되어 있으며, 데이터는 해시 처리되어 익명화됩니다.

데이터 저장 중 데이터 보호를 위한 조치: 당사 데이터베이스에 저장된 데이터는 Bcrypt 사용하여 익명화 및 해시 처리됩니다. 데이터베이스 접근은 최소화되며 ‘업무상 필요한 경우에만’ 접근이 허용된다는 원칙에 따라 관리됩니다.

개인 데이터가 처리되는 장소의 물리적 보안을 보장하기 위한 조치: 타불라의 전 세계 데이터 센터(미국, 유럽, 아시아)는 모든 서버가 잠금 장치가 있는 캐비닛에 보관되어 있으며, 타불라 전용으로 관리됩니다. 이러한 캐비닛은 SOC2-certified 거나 Taboola 보안 조치를 검토한 회사에서 관리합니다. 또한, 서버에 접근하려면 서면으로 기록된 허가가 필요합니다. Taboola 모든 사무실은 통제 시스템을 갖추고 있으며, 직원들은 출입 시 출입 카드를 사용해야 합니다. 또한, 제한된 수의 직원만이 타불라 서버에 접근할 수 있으며, 접근 시에는 반드시 서면으로 기록된 허가를 받아야 합니다.

이벤트 로깅을 보장하기 위한 조치: Taboola 모니터링 도구를 구현하고 로그를 수집하여 당사의 SIEM 시스템에 전송합니다. SIEM 시스템은 의심스러운 이벤트 발생 시 경고를 보내며, NOC 팀에서도 이를 모니터링합니다.

기본 설정을 포함한 시스템 구성 보장을 위한 조치: 서버는 구성 변경 및 패치 수준 모두를 확인하기 위해 검사됩니다. 보고 및/또는 알림이 양쪽 모두에 설정되어 있고 관련 패치 수준이 확인되었습니다. 새로운 패치는 Puppet을 사용하여 배포됩니다. 모든 기술 검토는 R&D 애플리케이션을 통해 관리되며, 코딩 및 CI/CD processes 구현된 후 공식적인 검토(QA) 프로세스를 통해 진행됩니다.

내부 IT 및 IT 보안 거버넌스 및 관리를 위한 조치: Taboola 는 ISO 27001:2013 및 27701 인증을 획득했습니다. Taboola 정보 보안 정책을 시행하고 있으며, 이 정책에 따라 Taboola 의 이사회와 경영진은 조직 내 모든 물리적 및 전자적 정보 자산의 기밀성, 무결성 및 가용성을 유지하기 위해 최선을 다하고 있습니다. Taboola 모든 신입 직원을 대상으로 보안 교육을 실시하고, 전 세계 모든 직원을 대상으로 피싱 대응 교육을 실시하며, 모든 직원을 위한 정기적인 보안 교육과 더불어 연구 개발 그룹을 위한 별도의 교육 세션도 제공합니다.

공정 및 제품 인증/보증을 위한 조치: Taboola 정의된 보안 목표 및 조치를 준수하고 있는지 확인하기 위해 여러 프로세스 및 시스템에 대한 분기별/반기별/연간 내부 감사를 실시합니다.

데이터 최소화를 위한 조치: Taboola 자사의 특정 사업 목적에 필요한 최소한의 데이터만 처리한다는 데이터 최소화 원칙의 일환으로 수집하는 데이터를 의도적으로 제한합니다. 또한, Taboola 자사 서비스 제공을 위해 알고리즘에 사용되는 데이터 포인트를 “역설계”할 능력도 없고, 그럴 사업적 필요성도 없습니다. 더 구체적으로 말하자면, Taboola 수집하는 데이터는 사용자의 신원을 나타내는 정보가 절대 아닙니다. Taboola 사용자의 이름, 전화번호, 이메일 주소 또는 실제 주소와 같은 정보를 수집하거나 처리하지 않습니다. 대신, Taboola 사용자의 기기에 대한 특징만을 식별하는 가명 식별자만 수집합니다. 여기에는 IP 주소(수집 시 일부가 잘려 기기의 대략적인 우편번호 위치만 파악할 수 있으며 정확한 지리적 위치는 알 수 없음)와, 제한적인 경우에 한해 해시 처리된 이메일 주소(본질적으로 되돌릴 수 없으며 복호화하여 원래 이메일 주소를 확인할 수 없음)가 포함됩니다. 더욱이, 우리가 수집하는 데이터는 종합적으로 사용되더라도 개인의 이름, 전화번호, 이메일 주소 또는 실제 주소를 절대 알아낼 수 없으며, 우리 엔지니어들은 그러한 목적을 달성하기 위해 어떠한 작업도 하지 않습니다. 또한, Taboola 자사 서비스, 프로세스 및 정책의 개인정보 보호 위험을 최소화하기 위해 개인정보 영향 평가를 실시하고 기록합니다.

데이터 품질 보장을 위한 조치: 데이터는 사용자로부터 직접 수집되며, 사용자는 Taboola 개인정보 접근 요청 포털(https://accessrequest.taboola.com/access)을 통해 자신의 CookieID와 관련된 데이터를 수정할 수 taboola.com 기회를 갖습니다.

데이터 보존 기간을 제한하기 위한 조치: 당사는 광고 게재 목적으로 직접 수집한 사용자 정보를 사용자가 당사 서비스와 마지막으로 상호 작용한 시점으로부터 최대 13개월(대개 더 짧은 기간) 동안 보유하며, 그 이후에는 고유 식별자를 제거하거나 데이터를 집계하여 데이터를 익명화합니다. 이 과정은 자동으로 진행됩니다.

책임성 확보를 위한 조치: Taboola 다양한 보안 감사 및 침투 테스트를 수행합니다(모든 시스템에 대한 것은 아닙니다). Taboola ISO 인증을 획득하고 서버의 물리적 보안 유지를 위한 기타 클라우드 관련 인증을 준수하는 클라우드 제공업체를 이용합니다.

데이터 이동성을 허용하고 삭제를 보장하기 위한 조치: 미디어 폐기 관련 Taboola 개인 식별 정보(PII)를 포함할 수 있으므로 모든 종류의 미디어에 동일하게 적용됩니다. 모든 저장 매체는 재사용 또는 폐기 전에 완전히 데이터를 삭제해야 합니다. 모든 미디어 폐기는 기록됩니다. 직원들은 개인 정보가 포함될 수 있는 어떠한 문서도 인쇄하지 않도록 지시받았습니다.

  1. 어느 일방 당사자가 수집된 데이터를 다른 당사자에게 제한적으로 전송하는 경우, Standard Contractual Clauses 본 게시자 개인정보 보호 약관에 통합되어 다음과 같이 적용됩니다.

a. 제한적 이전이 EU 제한적 이전인 경우, EU SCCs 당사자 간에 다음과 같이 적용됩니다.

  1. (i) 제1모듈이 적용됩니다.
  2. (ii) 제7조에서는 선택적 도킹 조항이 적용됩니다.
  3. (iv) 제11조에서는 선택적 문구가 적용되지 않습니다.
  4. (v) 제17조에서 옵션 1이 적용되며 EU SCCs 아일랜드법의 적용을 받습니다.
  5. (vi) 제18조(b)항에 따라 분쟁은 아일랜드 법원에서 해결됩니다.
  6. (vii) 부록 I의 A, B 및 C 부분은 본 게시자 개인정보 보호 약관의 부록 A의 A, B 및 C 부분에 명시된 정보로 완성된 것으로 간주됩니다.
  7. (vii) 부록 II는 본 게시자 개인정보 보호 약관의 부록 B에 명시된 보안 조치로 완성된 것으로 간주됩니다.

b. 제한적 이전이 UK 제한적 이전인 경우, UK Addendum 당사자 간에 다음과 같이 적용됩니다.

(i) 상기 명시된 바와 같이 작성된 EU SCCs 당사자 간에 적용되며, 아래 하위 조항 (ii)에 명시된 바와 같이 작성된 UK Addendum 에 의해 수정됩니다.

(ii) UK Addendum 의 표 1~3은 위에 명시된 대로 작성된 EU SCCs 의 관련 정보로 완성된 것으로 간주되며 표 4에서 “수출자” 및 “수입자” 옵션이 선택된 것으로 간주됩니다. (표 1에 명시된) UK Addendum 의 시작일은 본 게시자 개인정보 보호 약관의 효력 발생일이 됩니다.

2. 추가 제한 이체: 어느 당사자도 상대방으로부터 수령한 수집된 데이터를 해당 당사자가 적용 가능한 데이터 보호법 및 상대방과 합의한 Standard Contractual Clauses 준수하도록 필요한 모든 조치를 취하지 않는 한, 해당 데이터를 제한적으로 전송하지 않습니다.