RTB 및 프로그래밍 파트너를 위한 데이터 보호 부록

Last Update: May 29, 2024

시행일: 2024년 5월 29일

Taboola가 프로그래밍 및 RTB 파트너(각각 “파트너”)와 적절한 데이터 보호 조건을 갖추도록 보장하기 위해파트너”) Taboola는 이 데이터 보호 부록(“DPA”).

본 DPA는 RTB 및 프로그래밍 방식 서비스 제공과 관련하여 파트너와 Taboola 간의 기존 계약적 업무 협약을 자동으로 보완하고 그 일부를 구성합니다(taboola.com(기본 계약”).

이 DPA에서 사용되지만 정의되지 않은 모든 대문자로 표시된 용어는 기본 계약에서 그에 부여된 의미를 가집니다.  이 DPA와 기본 계약 간에 충돌이 발생하는 경우, 이 DPA가 해당 충돌의 범위 내에서 우선합니다.

적용 가능한 데이터 보호 법률“아래에 정의된 CCPA를 포함하여 제한 없이 적용 가능한 모든 연방, 국가, 주 또는 기타 개인정보 보호 및 데이터 보호 법률을 의미하며, 이는 때때로 수정되거나 대체될 수 있습니다. 유럽 데이터 보호 법률.

CCPA”는 캘리포니아 소비자 프라이버시 보호법(Cal.을 의미합니다. 민사. 코드 §§ 1798.100 – 1798.199), 캘리포니아 프라이버시 권리법(Cal. 민사. 코드 §§ 1798.100 – 1798.199).

컨트롤러”는 개인 정보 처리의 목적과 수단을 결정하는 주체를 의미하며, CCPA 및 CPRA에 따라 개인 정보를 “비즈니스” 또는 “제3자”로 처리하는 모든 주체를 포함합니다.

데이터 개인정보 보호 프레임워크” 또는 “DPF”은 EU-미국을 의미합니다. 데이터 개인정보 보호 프레임워크 및 EU-미국 간 EU 확장안 미국에서 규정한 DPF 상무부.

유럽 데이터 보호법”는 EU 데이터 보호법 및 영국 데이터 보호법을 의미합니다.

EU 데이터 보호법은 다음을 의미합니다. (i) EU 규정 2016/679(“EU GDPR“); (ii)       EU 지침 2002/58/EC; 그리고 (iii) 각 EEA 회원국의 국내법은 (i) 또는 (ii)에 따라 또는 이를 이행하기 위해 제정된 법률 또는 개인 데이터 처리와 관련된 법률을 의미하며, 각 경우는 수시로 개정되거나 대체됩니다.

개인 정보“는 식별되거나 식별 가능한 자연인과 관련된 모든 정보를 의미하며, 해당 데이터 보호 법률에 따라 “개인 데이터” 또는 “개인 정보”로 정의된 모든 정보를 포함합니다.

허용된 목적”는 기본 계약에 따라 온라인 광고의 매매와 관련된 실시간 입찰 목적을 의미하며, 이를 위해 Taboola는 첨부서 I에 명시된 바와 같이 처리를 위해 파트너에게 공유 데이터를 공개하거나 제공합니다.

제한된 전송“은 다음을 의미합니다: (i) EU GDPR이 적용되는 경우, 유럽 집행위원회의 적절성 결정 대상이 아닌 EEA 외부 국가로의 EEA 개인 데이터 전송(“EU 제한된 전송“); 및 (ii) UK GDPR이 적용되는 경우, 영국 데이터 보호법 2018(UK Data Protection Act 2018)의 17A조에 따라 적절성 규정의 적용을 받지 않거나 이에 기반을 두지 않는 다른 국가로의 영국 개인 데이터 전송(“영국 제한된 전송“).

보안 사고”는 공유 데이터의 우발적 또는 불법적인 파괴, 손실, 변경, 무단 공개 또는 접근으로 이어지는 보안 침해를 의미합니다.

판매” 및 “공유”은 CCPA 및 CPRA 및 그 시행 규정에 명시된 의미를 가집니다.

공유 데이터”는 본 DPA의 부록 I에 나열된 개인 정보 카테고리를 의미합니다.

Standard Contractual Clauses”는 다음을 의미합니다: (i) EU GDPR이 적용되는 경우, 유럽 의회 및 이사회의 (EU) 2016/679 규정에 따라 제3국으로의 개인정보 이전을 위한 standard contractual clauses에 관한 2021년 6월 4일의 유럽 집행위원회의 집행 결정(「EU SCCs」)에 부속된 계약 조항; 그리고 (ii) UK GDPR이 적용되는 경우, 2018년 DPA의 s.119A(1)에 따라 정보 위원이 발행한 「EU 집행위원회 Standard Contractual Clauses에 대한 국제 데이터 이전 부록」(「UK Addendum」).UK Addendum”).

영국 데이터 보호법은 다음을 의미합니다. (i) 2018년 유럽연합(탈퇴)법(이하 “영국 GDPR“) 제3조에 따라 영국 법의 일부로 구성된 EU GDPR; (ii) 2003년 개인정보 및 전자통신(EC 지침) 규정; (iii) 2018년 데이터 보호법; 및 (iv) (i) 또는 (ii)를 이행하거나 이에 따라 제정되거나 이를 구현하는 영국의 기타 법률 또는 개인 데이터 처리와 관련된 기타 법률(각각 개정 또는 대체된 바 있음).

파트너가 기본 계약 및 본 DPA를 준수하는 경우, Taboola는 허용된 목적을 위해 파트너가 처리하도록 공유 데이터를 공개하거나 달리 제공할 것입니다.

당사자들은 Taboola가 파트너에게 공개하는 공유 데이터의 컨트롤러이며, 파트너가 공유 데이터를 컨트롤러로서 허용된 목적을 위해 처리한다는 것을 인정합니다.

파트너는 다음을 보증하고 진술하며 약속합니다:

(a)   파트너는 항상 허용된 목적에 따라 그리고 해당 데이터 보호 법률에 따라 공유 데이터를 처리합니다.

(b)   파트너는 해당 데이터 보호 법률이 허용된 목적을 위한 공유 데이터 처리와 관련된 의무를 이행하는 것을 방해할 이유가 없다고 믿습니다.

(c)   파트너가 해당 데이터 보호 법률에 따라 허용된 목적을 위한 공유 데이터 처리를 할 수 없다고 판단하는 경우, 파트너는 Taboola에 즉시 알립니다.

(d)   파트너는 항상 해당 데이터 보호 법률의 요구 사항을 준수하고 데이터 보호와 관련된 문의를 할 수 있는 연락처 정보를 제공하는 공개적으로 접근 가능한 개인정보 보호 고지를 웹사이트에 게시하고 유지 관리해야 합니다.

(e)   파트너는 해당 데이터 보호 법률에 따라 데이터 보호 권리를 행사할 수 있도록 데이터 주체를 지원해야 하며, 이는 (단, 이에 국한되지 않고) 공유 데이터 처리에 대한 반대 권리를 포함합니다.

(f)   유럽 데이터 보호 법률에 따라 보호되는 공유 데이터 처리와 관련하여 파트너는 다음을 준수해야 합니다.

(g)   파트너는 유럽 데이터 보호 법률의 요구 사항에 따라 동의를 얻은 경우에만 공유 데이터를 처리해야 합니다.

(h)   파트너는 공유 데이터를 보안 사고로부터 보호하기 위해 최소한 부록 II에 명시된 조치를 포함한 적절한 기술적 및 조직적 조치를 구현해야 합니다.

Taboola는 파트너가 해당 데이터 보호 법률에 따라 기본 계약 및 본 DPA에 따라 공유 데이터를 처리하도록 합리적이고 적절한 조치를 취할 수 있습니다.

파트너가 기본 계약, 본 DPA 또는 해당 데이터 보호 법률을 준수하지 않는 경우, Taboola는 공유 데이터의 무단 사용을 중단하고 이를 시정하기 위해 합리적이고 적절한 조치를 취합니다(공유 데이터의 공개를 일시 중단하거나 종료하는 것을 포함).

파트너는 해당 데이터 보호 법률을 준수해야 하며, 공유 데이터에 대해 해당 데이터 보호 법률이 요구하는 동일한 수준의 개인정보 보호를 제공해야 합니다.

어느 한 당사자가 데이터 주체, 규제 기관 또는 기타 제3자로부터 서신, 문의 또는 불만을 받는 경우(“통신문) 관련된 사항이 있는 경우 (a) 허용된 목적을 위한 공유 데이터의 공개 또는 (b) 상대방에 의한 공유 데이터의 처리, 상대방에게 즉시 알리고 동일한 내용을 자세히 알려야 하며, 당사자들은 해당 데이터 보호 법률에 따른 요구 사항에 따라 통신에 응답하기 위해 합리적이고 선의로 협력해야 합니다.

Taboola에서 파트너로의 공유 데이터 전송이 제한된 전송인 경우, 본 DPA에 Standard Contractual Clauses이 포함되고 다음과 같이 적용됩니다.

(a)   제한된 전송이 EU 제한된 전송인 경우, EU SCCs는 다음과 같이 Taboola(데이터 수출자로서)와 파트너(데이터 수입자로서) 간에 적용됩니다.

(i)   모듈 1이 적용됩니다.

(ii)   제7조에서는 선택적 도킹 조항이 적용됩니다.

(iii) 제11조에서는 선택적 언어가 적용되지 않습니다.

(iv) 제17조에서는 옵션 1이 적용되며 EU SCCs는 아일랜드 법률의 적용을 받습니다.

(v) 제18조(b)에서는 분쟁을 아일랜드 법원에서 해결합니다.

(vi) 부록 I:

(A)   A 및 B 부분은 본 DPA의 부록 A에 명시된 정보로 완성된 것으로 간주됩니다.

(B)   C 부분은 EU SCCs의 제13조(a)에 명시된 기준에 따라 완성된 것으로 간주됩니다.

(vii) 부록 II는 본 DPA의 부록 B에 명시된 보안 조치로 완성된 것으로 간주됩니다.

(b) 제한된 이전이 영국 제한된 이전인 경우, UK Addendum은 다음과 같이 당사자들 사이에 적용됩니다.

(i)   위에 명시된 대로 완성된 EU SCCs는 당사자들 사이에 적용되며 UK Addendum(아래 (ii) 항에 명시된 대로 완성됨)에 의해 수정됩니다.

(ii)   UK Addendum의 표 1부터 3까지는 위에 명시된 대로 완성된 EU SCCs의 관련 정보로 완성된 것으로 간주되며, 표 4에서는 “수출자” 및 “수입자” 옵션이 선택된 것으로 간주됩니다.  UK Addendum의 시작일(표 1에 명시된 대로)은 본 DPA의 효력 발생일이 됩니다.

파트너는 제3자에게 공유 데이터의 제한된 전송을 수행할 때, 해당 제한된 전송이 해당 데이터 보호 법률 및 Taboola와 체결한 모든 Standard Contractual Clauses을 준수하도록 하는 데 필요한 모든 행위를 수행하지 않은 경우에는 공유 데이터의 제한된 전송을 하지 않습니다.

위에도 불구하고, 파트너가 DPF에 따라 인증을 받고 이를 준수하는 경우, DPF에 따라 파트너에게 이전된 공유 데이터의 전송은 제한된 전송이 되지 않습니다.  이러한 경우, 파트너는 DPF 인증을 준수하지 못하거나 DPF 인증이 만료되거나 기타 무효화되는 경우 즉시 Taboola에게 통보해야 하며, 이 경우:

(a) Taboola에서 파트너로의 모든 공유 데이터 전송은 즉시 제한된 전송으로 간주되며 위의 제한된 전송 조항이 적용됩니다. 그리고

(b) Taboola는 전적인 재량에 따라 파트너에게 공유 데이터를 전송하는 것을 일시 중단하거나 종료할 수 있습니다.

파트너는 Taboola 및 그 이사, 임원, 직원, 에이전트 및 고객(“를 방어해야 합니다.Taboola 면책 조항”) 파트너가 본 DPA 또는 해당 데이터 보호 법률을 위반했다는 주장과 관련하여 제3자가 제기한 모든 청구, 요구, 소송, 절차 및 소송에 대해 책임을 지며, Taboola Indemnities는 Taboola Indemnitees가 그러한 청구로 인해 발생한 모든 손해, 손실, 비용 및 경비(합리적인 변호사 수임료 포함)에 대해 배상합니다.

파트너는 공유 데이터 처리 시 해당 데이터 보호 법률을 준수하는 것에 대해 단독으로 책임을 집니다.

적용 가능한 데이터 보호 법률에 변경 사항이 발생할 경우, Taboola는 적용 가능한 데이터 보호 법률의 변경 사항을 준수하기 위해 필요한 경우 본 DPA를 수정 및 업데이트할 수 있습니다.

본 DPA의 발효일부터 본 DPA 또는 기본 계약서에서 “계약서”로 언급되는 것은 본 DPA에 의해 보완된 기본 계약서를 의미합니다.

A. 당사자 목록

[표 id=13 /]

[표 id=14 /]

B. 전송 설명

[표 id=15 /]

C. 권한 있는 감독 기관

[표 id=16 /]

각 당사자가 처리의 성격, 범위, 맥락 및 목적, 그리고 자연인의 권리와 자유에 대한 위험을 고려하여 적절한 수준의 보안을 보장하기 위해 구현한 기술적 및 조직적 조치(관련 인증 포함)에 대한 설명. 파트너는 아래에 명시된 Taboola의 보안 조치와 실질적으로 유사한 적절한 기술적 및 조직적 조치를 취했다고 진술하고 보증합니다.

개인 데이터의 가명화 및 암호화 조치: Taboola는 사용자의 이름, 이메일 주소 또는 기타 식별 가능한 데이터를 알지 못하거나 처리하지 않기 때문에 사용자의 신원을 알 수 없는 가명화된 데이터만 수집합니다. 당사가 수집하는 사용자 정보에는 사용자의 장치 및 운영 체제, IP 주소, 고객 웹사이트 내에서 사용자가 액세스한 웹페이지, 사용자를 고객 웹사이트로 이끈 링크, 사용자가 고객 웹사이트에 액세스한 날짜와 시간, 기타 웹 브라우징 데이터 등이 포함되지만 이에 국한되지 않습니다. CookieID는 Bcrypt를 사용하여 익명화되고 IP 주소는 잘립니다.

처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장하기 위한 조치: Taboola는 여러 수준의 전자 보안(예: 엔드포인트 보안, 서버 측 보안, 탐지 추적, 정기적인 침투 테스트 및 사후 사건 검토를 위한 심층 정보 수집)을 사용합니다.

물리적 또는 기술적 사고 발생 시 개인 데이터의 가용성 및 접근성을 적시에 복원할 수 있는 능력을 보장하기 위한 조치: Taboola는 전 세계에 9개의 데이터 센터를 운영하고 있습니다. 모든 데이터 센터는 서로 복제되어 사용되므로 한 곳이 다운되면 다른 데이터 센터에서 데이터를 추출할 수 있습니다.

처리의 보안을 보장하기 위해 기술적 및 조직적 조치의 효과를 정기적으로 테스트, 평가 및 검토하는 프로세스: Taboola는 엄격한 프로세스를 통해 자체 제어 기능(기술적 및 조직적 모두)의 효과를 테스트합니다. 시스템 로깅 및 모니터링, 월별(최소) 재해 복구 테스트, 분기별 침투 테스트, 웹을 보호하는 방화벽 및 악의적인 활동을 찾기 위해 네트워크 전체에 분산된 허니팟을 운영하고 있습니다. 또한 네트워크를 지속적으로 모니터링하는 데 도움이 되는 현상금 프로그램을 운영하고 있습니다.

사용자 식별 및 인증 조치: Taboola의 모든 사용자는 전용 사용자 이름과 비밀번호와 연결되어 있습니다. Taboola의 내부 네트워크에 대한 모든 액세스는 Google 인증을 사용한 2FA로 이루어집니다. 사용자는 IT 부서에서만 생성되며, 온보딩 프로세스 중에 HR 부서에서 모든 세부 정보와 서명된 계약을 받은 후에만 생성됩니다.

전송 중 데이터 보호 조치: Taboola는 최소 HTTPS 및 TLS v1.2와 같은 보안 전송 프로토콜을 통해 모든 데이터 전송을 지원합니다. 또한 PII가 포함될 수 있는 시스템은 보안이 유지되며 데이터는 해시화되고 익명화됩니다.

저장 중 데이터 보호 조치: 당사 데이터베이스에 저장된 데이터는 Bcrypt를 사용하여 익명화되고 해시화됩니다. 데이터베이스에 대한 접근은 최소화되며 ‘업무상 필요한 지식’ 원칙에 따라 기반을 둡니다.

개인 데이터가 처리되는 위치의 물리적 보안을 보장하기 위한 조치: Taboola의 글로벌 데이터 센터(미국, 유럽, 아시아)는 모두 Taboola의 사용을 위해 유지 관리되는 잠긴 캐비닛에 서버가 있습니다. 이러한 캐비닛은 SOC2-certified인 회사 또는 Taboola가 보안 조치를 검토한 회사에 의해 유지 관리됩니다. 또한 서버에 대한 모든 접근에는 서면으로 기록된 허가가 필요합니다. 모든 Taboola 사무실은 통제되며 직원은 출입 카드를 사용해야 합니다. 또한 제한된 수의 직원만이 Taboola의 서버에 접근할 수 있으며 접근 시에는 반드시 서면으로 기록된 허가가 필요합니다.

이벤트 로깅을 보장하기 위한 조치: Taboola는 모니터링 도구를 구현하고 모든 로그는 의심스러운 이벤트에 대해 경고하고 NOC 팀이 모니터링하는 당사의 SIEM 시스템에 수집됩니다.

기본 구성을 포함한 시스템 구성을 보장하기 위한 조치: 서버는 구성 편차와 패치 수준을 모두 검사합니다. 보고 및/또는 경고는 둘 다 설정되며 관련 패치 수준이 확인됩니다. 새 패치는 Puppet을 사용하여 배포됩니다. 모든 기술 검토는 R&D 애플리케이션을 통해 관리되며 코딩 후 검토(QA)의 공식적인 절차를 거쳐 얻어지며 CI/CD 프로세스도 구현됩니다.

내부 IT 및 IT 보안 거버넌스 및 관리를 위한 조치: Taboola는 ISO/IEC 27001:2013 및 ISO/IEC 27701:2019 인증을 받았습니다. Taboola는 이사회와 경영진이 조직 전체의 모든 물리적 및 전자 정보 자산의 기밀성, 무결성 및 가용성을 보존하기 위해 최선을 다하고 있음을 명시하는 정보 보안 정책을 시행하고 있습니다. Taboola는 모든 신입 직원을 대상으로 보안 교육을 실시하고, 전 세계 모든 직원을 대상으로 피싱 교육을 실시하며, 모든 직원을 대상으로 정기적인 보안 교육을 실시하고 R&D 그룹을 위한 전용 세션도 제공합니다.

프로세스 및 제품 인증/보증 조치: Taboola가 정의한 보안 목표 및 조치를 준수하는지 확인하기 위해 분기별/반기별/연간 여러 프로세스 및 시스템에 대한 내부 감사를 실시합니다.

데이터 최소화를 보장하기 위한 조치: Taboola는 당사의 특정 비즈니스 목적에 필요한 제한된 데이터만 처리하는 Taboola의 글로벌 데이터 최소화 원칙의 일환으로 당사가 수집하는 데이터를 의도적으로 제한합니다. 또한, Taboola는 서비스 제공을 위해 알고리즘에 사용된 데이터 포인트를 “리버스 엔지니어링”할 수 있는 능력이나 비즈니스 요구가 없습니다. 더 구체적으로, Taboola가 수집하는 데이터 포인트는 사용자의 신원을 나타내지 않습니다. Taboola는 사용자의 이름, 전화번호, 이메일 또는 실제 주소와 같은 정보를 수집하거나 처리하지 않습니다. 대신, Taboola는 사용자의 장치에 대한 특성만 식별하는 가명 식별자만 수집합니다. 이에는 수집 시 익명 처리되어 장치의 일반적인 우편 번호 위치는 식별할 수 있지만 정확한 위치 정보는 식별할 수 없는 IP 주소와 일부 제한된 경우 해시 이메일 주소(본질적으로 되돌릴 수 없으며 원래 이메일 주소를 드러내기 위해 해독할 수 없는)가 포함됩니다. 또한, 수집된 데이터는 집합적으로 사용되더라도 개인의 이름, 전화번호, 이메일 또는 실제 주소를 결코 생성할 수 없으며, 당사의 엔지니어는 이러한 목표를 달성하기 위해 어떤 식으로든 작업하지 않습니다. 또한, Taboola는 서비스, 프로세스 및 정책의 개인정보 보호 위험을 최소화하기 위해 개인정보 영향 평가를 수행하고 기록합니다.

데이터 품질 보장을 위한 조치: 데이터는 사용자로부터 직접 수집되며 사용자는 Taboola 주체 접근 요청 포털(https://accessrequest.taboola.com/access)을 통해 CookieID와 관련된 데이터를 수정할 수 있는 기회가 주어집니다.

데이터 보유 제한을 보장하기 위한 조치: 당사는 광고 제공 목적으로 직접 수집된 사용자 정보를 사용자가 당사 서비스와 마지막으로 상호 작용한 시점부터 최대 13개월 동안 보유하며(종종 더 짧은 기간 동안 보유), 그 후에는 고유 식별자를 제거하거나 데이터를 집계하여 데이터를 익명 처리합니다. 이 과정은 자동으로 수행됩니다.

책임성 보장을 위한 조치: Taboola는 여러 보안 감사 및 침투 테스트를 수행합니다(그러나 모든 시스템에 대해 수행하는 것은 아님). Taboola는 또한 서버의 물리적 보호를 유지하기 위해 ISO 인증을 받고 다른 클라우드 관련 인증을 준수하는 클라우드 제공업체를 사용합니다.

데이터 이식성을 허용하고 삭제를 보장하기 위한 조치: PII를 포함할 수 있으므로 모든 종류의 미디어에 대해 미디어 폐기에 관한 Taboola의 정책은 동일합니다. 재사용되거나 폐기되기 전에 모든 미디어를 완전히 삭제해야 합니다. 모든 미디어 폐기는 문서화됩니다. 직원은 개인 정보를 포함할 수 있는 종이를 인쇄하지 않도록 지시받습니다.