게시자 개인정보 취급방침

Last Update: October 10, 2024

발효 날짜: 2024년 10월 10일

본 타불라 퍼블리셔 개인정보 처리방침(“퍼블리셔 개인정보 처리방침”)은 타불라 뉴스룸, 헤더 비딩, 타불라 홈 페이지 4 유, 타불라 뉴스, 타불라 푸시와 같은 퍼블리셔 제품 및 서비스를 포함하되 이에 국한되지 않는 타불라의 디지털 광고 서비스에 적용되며, 타불라와 퍼블리셔 간의 계약(“계약”)에 따라 타불라가 광고주 콘텐츠를 퍼블리셔 자산에 배치할 때 본 타불라 개인정보 처리방침은 그러한 계약에 통합된 것으로 간주되며, 계약의 필수 부분을 형성합니다. 본 퍼블리셔 개인정보 처리방침은 개인 데이터와 관련한 타불라와 퍼블리셔의 역할과 책임을 명시합니다.

게시자 개인정보 처리방침과 계약이 상충하는 경우, 계약의 상충하는 조항이 본 게시자 개인정보 처리방침의 상충하는 조항을 명시적으로 언급하고 상충하는 조항을 우선한다고 명시하지 않는 한, 게시자 개인정보 처리방침이 우선합니다.

이 섹션에서 정의된 용어는 아래에 명시된 의미를 가지며, 이와 유사한 용어는 그에 따라 해석됩니다. 게시자 개인정보 취급방침에서 사용되었으나 정의되지 않은 대문자로 표기된 용어는 본 계약에 정의된 의미를 갖습니다.

      1. 적용 가능한 데이터 보호법“이란 수시로 개정되거나 대체될 수 있는 계약 및 본 퍼블리셔 개인정보처리방침의 대상인 처리에 적용되는 모든 관련 연방, 국가, 주 또는 기타 개인정보 및 데이터 보호법을 의미합니다.
      2. 캘리포니아 개인정보 보호법“은 2018년 캘리포니아 소비자 개인정보 보호법(캘리포니아주 소비자 개인정보 보호법, Cal. 개정된 민법 § 1798.100 이하(캘리포니아 개인정보 보호법 포함) 및 모든 하위 법률 및 시행 규정(이하 “CCPA“).
      3. 관리자“란 (i) 개인 데이터 처리의 목적과 수단을 결정하는 법인, (ii) 해당 데이터 보호법에 정의된 “관리자” 또는 “비즈니스”(또는 실질적으로 유사한 용어)라는 용어의 범위에 속하는 모든 개인 또는 단체를 의미합니다.
      4. 데이터 주체“란 다음을 의미합니다: (i) 식별되거나 식별 가능한 자연인(이러한 목적상 식별 가능한 자연인은 특히 이름, 식별 번호, 위치 데이터, 온라인 식별자 또는 해당 자연인의 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성에 특정한 하나 이상의 요소를 참조하여 직간접적으로 식별할 수 있는 자연인) 및 (ii) 데이터 보호법에서 정의하는 “데이터 주체”, “소비자(또는 실질적으로 유사한 용어)”의 범위 내에 해당하는 모든 사람을 의미합니다.
      5. EU 데이터 보호법“이란 (i) EU 일반 데이터 보호 규정(규정 2016/679)(“EU GDPR“), (ii) EU 전자 개인정보 보호 지침(지침 2002/58/EC), (i) 또는 (ii)에 따라 제정되거나 이에 따라 수시로 개정되거나 대체되는 모든 국내 데이터 보호법을 의미합니다.
      6. 개인정보“는 부록 A, 파트 B에 명시된 대로 식별되거나 식별 가능한 개인과 관련된 모든 정보(해당 데이터 보호법에서 요구하는 경우 고유 브라우저 또는 기기 식별자를 포함)를 의미합니다.
        1. 상호작용 개인정보“는 소비자가 Taboola, Taboola의 제품, Taboola의 자산 및 Taboola가 게재하는 광고와 의도적으로 상호작용할 당시 또는 그 이후에 소비자로부터 수집한 모든 개인정보를 의미합니다.
        2. 수동적 상호작용 개인정보“는 Taboola, Taboola의 제품, Taboola의 속성 및 Taboola가 게재하는 광고와 소비자가 의도적으로 상호작용하기 전 또는 후에 Taboola가 수집한 IP 주소, 페이지 URL 및 사용자 에이전트 문자열을 포함하되 이에 국한되지 않고 게시자 속성에서 수동적으로 수집한 모든 개인정보를 의미합니다.
      7. 처리“란 자동화된 수단에 의한 것인지 여부와 관계없이 개인정보 또는 개인정보 집합에 대해 수행되는 모든 작업 또는 일련의 작업(해당 데이터 보호법에서 해당 용어가 정의된 방식을 포함)으로, 수집, 수신, 기록, 조직, 구조화, 사용, 전송, 액세스, 공유, 공개, 이전, 저장, 개조 또는 변경, 검색, 상담, 배포 또는 기타 제공, 정렬 또는 조합, 집계, 추론, 파생, 분석, 제한, 삭제, 파기 또는 처분 또는 기타 개인정보 취급을 의미합니다.
      8. 처리자“란 컨트롤러를 대신하여 개인 데이터를 처리하는 주체를 의미하며, 해당 용어 및/또는 “데이터 처리자”(또는 실질적으로 유사한 용어)가 해당 데이터 보호법에서 정의되는 방식을 포함합니다.
      9. 제한적 이전“이란 다음을 의미합니다: (i) EU GDPR이 적용되는 경우, EEA에서 유럽 위원회의 적정성 결정의 대상이 아닌 EEA 외부 국가로 개인 데이터를 이전하는 경우(“EU 제한 이전“), (ii) 영국 GDPR이 적용되는 경우, 영국에서 2018 영국 데이터 보호법 17A조에 따른 적정성 규정의 적용을 받지 않거나 이에 근거하지 않는 다른 국가로 개인 데이터를 이전하는 경우(“영국 제한 이전“)를 의미합니다.
      10. 서비스 “란 게시자와의 계약에 따라 타불라가 제공하는 서비스를 의미합니다.
      11. “보안 사고”란 우발적이거나 불법적인 개인 데이터의 파괴, 분실, 변경, 무단 공개 또는 접근을 초래하는 보안 위반을 의미합니다.
      12. “표준 계약 조항” 이란 (i) EU GDPR이 적용되는 경우, 유럽의회 및 이사회의 규정 (EU) 2016/679에 따라 제3국으로의 개인 데이터 전송을 위한 표준 계약 조항에 관한 유럽위원회의 2021년 6월 4일 시행 결정 2021/914에 부속된 계약 조항(“EU SCC“), (ii) 영국 GDPR이 적용되는 경우 정보 위원장이 발행한 “EU 위원회 표준 계약 조항에 대한 국제 데이터 전송 부록”을 말합니다(s에 따라 정보 위원장이 발행한).119A(1)에 따라 정보 위원회가 발행한 “DPA 2018의 국제 데이터 전송부록“(“영국 부록“).
      13. 제3자“란 개인정보와 관련하여 개인정보 처리자 역할을 하는 업체로서 개인정보를 처리하는 데이터 주체가 의도적으로 상호작용한 업체가 아닌 업체를 의미하며, 해당 용어에는 해당 데이터 보호법에서 정의하는 용어가 포함됩니다.
      14. 영국 데이터 보호법“이란 (i) 2018년 영국 데이터 보호법, (ii) 2018년 영국 데이터 보호법 제3조(10)에 정의된 영국 GDPR(“영국 GDPR“), (iii) 2003년 영국 개인정보보호 및 전자통신(EC 지침) 규정, (iv) 수시로 개정 또는 대체될 수 있는 (i), (ii) 또는 (iii)에 따라 또는 이에 따라 만들어진 기타 영국 법률을 의미합니다.

서비스와 관련하여 처리되는 개인정보의 경우, 각 당사자는 수집하는 개인정보를 부록 A, 파트 B에 설명된 목적(“허용된 목적“)으로만 처리하고 본 게시자 개인정보 처리방침, 본 계약 및 관련 데이터 보호법에서 허용하는 바에 따라 수시로 업데이트될 수 있음에 동의합니다(각 해당 조항은 수시로 업데이트될 수 있음). 타불라는 또한 타불라 개인정보 처리방침에서 허용하고 수시로 업데이트되는 대로 수동적 상호작용 개인 데이터를 처리할 수 있습니다.

각 당사자는 해당되는 경우 컨트롤러 또는 제3자로서 수집하는 수동적 상호작용 개인 데이터를 처리해야 합니다. 각 당사자는 해당되는 경우 컨트롤러 또는 사업자로서 수집하는 상호 작용 개인 데이터를 처리해야 합니다. 한 당사자가 다른 당사자에게 개인 데이터를 공개(직접 또는 상대방에게 데이터를 제공하는 당사자를 통해)하는 것은 제3자에 대한 공개에 해당합니다.

      1. 타불라가 서비스와 관련하여 수동적 상호작용 개인정보를 처리하는 범위 내에서 캘리포니아 개인정보 보호법을 포함하되 이에 국한되지 않는 미국 또는 미국 주 데이터 보호법이 개인정보에 적용되는 경우, 타불라는 해당 수동적 상호작용 개인정보에 대해 게시자의 제3자 역할을 수행합니다. 타불라는 부록 A, 파트 B에 설명된 목적과 본 게시자 개인정보 처리방침, 계약, 관련 데이터 보호법 및 타불라의 개인정보 처리방침(각각 수시로 업데이트될 수 있음)에서 허용하는 바에 따라 이러한 수동적 상호작용 개인 데이터를 처리합니다. 이러한 수동적 상호작용 개인정보는 해당 목적을 위해서만 타불라에 제공됩니다. 타불라는 해당되는 경우 캘리포니아 개인정보 보호법을 포함하여 해당 미국 데이터 보호법에서 비즈니스에 요구하는 것과 동일한 수준의 개인정보 보호를 제공합니다. 퍼블리셔는 타불라가 퍼블리셔의 의무에 부합하는 방식으로 수동적 상호작용 개인 데이터를 사용하도록 보장할 권리가 있습니다. 게시자는 타불라에 통지하면 타불라에 제공하는 개인 데이터의 무단 사용을 중지하고 시정하기 위해 합리적이고 적절한 조치를 취할 권리가 있습니다. 타불라가 해당 데이터 보호법에 따른 의무를 더 이상 이행할 수 없다고 판단하는 경우, 타불라는 해당 데이터 보호법이 요구하는 기간 내에 게시자에게 이를 알립니다. 타불라가 서비스와 관련하여 상호작용 개인 데이터를 수집하는 경우, 이는 별도의 사업으로서 수집합니다.

양 당사자는 개인 데이터를 처리할 수 있으며 각 당사자의 개인 데이터 처리에 적용 가능한 데이터 보호법이 적용될 수 있음을 인정합니다. 이 경우 각 당사자는 개인 데이터 처리와 관련하여 해당 데이터 보호법을 준수해야 합니다. 이 경우 7항에 따라 각 당사자는 (i) 데이터 주체에게 투명성 제공, (ii) 처리에 대한 동의 또는 기타 합법적 근거 확보, (iii) 데이터 주체가 데이터 보호 권리를 행사할 수 있는 연락처 제공 등 해당 요건을 포함하여 관련 데이터 보호법을 준수할 개별적인 책임이 있습니다. 퍼블리셔는 타불라의 개인정보 처리자로서 타불라의 개인정보 처리와 관련한 데이터 보호 권리 요청을 받는 경우, 그리고 그 범위 내에서 타불라가 해당 데이터 보호법에 따른 의무에 따라 요청을 이행할 수 있도록 타불라에 즉시 통지해야 합니다.

  1. 게시자는 타불라의 서비스와 관련하여 접수된 모든 데이터 주체 요청을 타불라의 글로벌 데이터 주체 액세스 요청 포털 또는 미국으로 보내야 합니다. 소비자 권리 옵트아웃 포털, 해당되는 경우.

당사자 일방이 서비스와 관련하여 데이터 주체의 개인정보 처리와 관련하여 개인, 규제기관 또는 기타 제3자로부터 문의, 불만 또는 서신(“제3자 통지“)을 받는 경우, 즉시 다른 당사자에게 통지해야 하며 양 당사자는 그러한 제3자 통지의 요구 사항을 해결하기 위해 성실하게 그리고 합리적으로 필요한 경우 협력해야 합니다.

당사자 일방이 상대방에게 개인 데이터를 제한적으로 전송하는 경우, 부록 C의 조항이 적용됩니다.

타불라가 타불라 코드, 픽셀 및 기타 추적 기술을 사용하여 퍼블리셔 자산으로부터 개인정보를 수집하는 범위 내에서, 퍼블리셔는 다음과 같이 해야 합니다: (i) 허용된 목적을 위해 타불라가 타불라 코드를 사용하여 게시자 자산으로부터 개인정보를 수집하는 것에 대해 데이터 주체에게 필요한 모든 투명성 고지를 제공하고, (ii) 각 경우에 해당 데이터 보호법의 요건에 따라 허용된 목적을 위해 타불라 코드를 사용하는 것에 대한 데이터 주체 동의를 얻고(그리고 타불라의 요청 시 언제든지 적절한 증거를 제공), 그러한 동의에 대한 증거를 제공합니다. 이와 관련하여 퍼블리셔의 의무에는 퍼블리셔가 데이터 주체에게 제공하는 투명성 고지 및 동의 프롬프트에 명시적으로 타불라 및 허용된 목적을 위한 타불라 코드의 사용을 식별하고, 해당 데이터 보호법에서 요구하는 기타 정보를 제공하여 타불라가 해당 자산을 통해 합법적으로 서비스를 제공하고 허용된 목적을 위해 개인 데이터를 처리할 수 있도록 하는 것이 포함됩니다. 서면 요청 시, 타불라는 게시자의 통지 및 동의 메커니즘이 해당 데이터 보호법을 준수하도록 하기 위해 게시자가 타불라 코드 및 타불라의 개인 데이터 처리에 대해 합리적으로 요구할 수 있는 정보를 게시자를 위한 게시자 속성을 통해 게시자에게 제공해야 합니다. 퍼블리셔는 이에 구체적으로 동의합니다:

  1. 웹 기반 자산과 관련하여 퍼블리셔의 개인정보 처리방침은 관심 기반 광고 및 분석(자산 안팎)을 위한 제3자(예: 타불라)의 쿠키, 고유 식별자 및 비쿠키 기술 사용을 설명하고, 해당 데이터 보호법의 요건을 충족하는 방식으로 NAI의 업계 옵트아웃 페이지(http://www.networkadvertising.org), DAA의 업계 옵트아웃 페이지(http://www.aboutads.info) 또는 (유럽 웹 기반 미디어 및 데이터 수집의 경우) EDAA 옵트아웃 링크(http://www.youronlinechoices.eu) 링크를 제공하여야 하며, 관련 데이터 보호법의 요건을 충족하는 방식으로 해당 링크에 대한 정보를 제공합니다.
  2. 모바일 앱 기반 자산과 관련하여 퍼블리셔의 개인정보 처리방침은 모바일 앱에서 관심 기반 또는 크로스 앱 광고 및 분석(자산 안팎)을 위한 SDK의 사용과 모바일 광고 식별자 수집을 설명하고, 사용자 및 방문자가 기기 설정을 통해 크로스 앱 광고를 위한 모바일 데이터 수집을 거부할 수 있는 방법에 대한 설명을 제공해야 합니다.
  3. EU를 대상으로 하는 자산의 경우, 게시자는 방문자의 장치에 타불라 쿠키 또는 기타 고유 식별자를 배치하거나 액세스하는 것과 관련하여 EU 개인정보 보호법에 따라 방문자의 자유롭고 구체적이며 정보에 입각한 명확한 동의를 얻어야 합니다. 퍼블리셔는 방문자가 (서비스와 관련하여 처리된 개인 데이터와 관련하여) 퍼블리셔에 연락하여 데이터 보호 권리를 행사할 수 있도록 연락처 세부 정보(개인정보 처리방침을 통해 해당 세부 정보를 제공하는 것을 포함할 수 있음)를 방문자에게 제공해야 합니다. 앞서 언급한 의무는 서비스와 관련하여 동의 메커니즘이 필요한 관할권에서 퍼블리셔 자산이 방문자를 유치하는 경우에 적용됩니다.

기간 동안 타불라는 퍼블리셔에게 권장 개인정보 보호정책 또는 공개 문구를 제공할 수 있습니다. 퍼블리셔는 이러한 권장 문구를 법률 자문을 대신하거나 법률 자문을 대신할 수 없으며 개인정보 처리방침 또는 웹사이트에 공개되는 모든 사항에 대한 책임은 전적으로 퍼블리셔 또는 회사 자체에 있음을 인정합니다.

퍼블리셔는 특수한 범주의 개인정보 또는 민감한 개인정보 또는 민감한 데이터(해당 데이터 보호법에 정의된 바에 따라)를 수집하거나 Taboola에 공개하여 처리하도록 서비스를 제공하거나 구성해서는 안 됩니다. 또한 퍼블리셔는 타불라에 제공되는 모든 페이지 URL에 동영상 제목 정보가 포함되지 않도록 해야 합니다. 타불라는 퍼블리셔가 본 조항을 준수하지 않는 경우 해당 위반이 시정될 때까지 서비스를 중단할 수 있는 권리를 보유합니다.

각 당사자는 보안 사고로부터 방문자의 개인정보를 보호하기 위해 적절한 기술적 및 조직적 보안 조치를 시행해야 합니다. 이러한 조치에는 부록 B에 명시된 조치가 포함되어야 합니다.

어느 한 당사자가 처리하고 본 계약 및 본 퍼블리셔 개인정보 처리방침의 적용 대상이 되는 개인정보와 관련하여 보안 사고가 발생하는 경우, 해당 당사자는 보안 사고를 처리할 책임을 집니다: (i) 해당 데이터 보호법에 따라 데이터 보호 당국 및/또는 영향을 받는 데이터 주체에게 적용되는 모든 보고 의무를 (자체 비용으로) 이행할 책임이 있으며, (ii) 부당한 지체 없이 상대방 당사자에게 통지합니다, 상대방 당사자가 합리적으로 요청하거나 상대방 당사자가 보안 사고와 관련하여 해당 데이터 보호법에 따라 보고 의무가 있는지 여부를 판단하는 데 필요한 보안 사고에 대한 정보를 제공하고, (iii) 보안 사고의 영향을 시정 및/또는 완화하는 데 적절한 모든 조치 및 조치를 부당한 지체 없이 취합니다.

각 당사자가 적용되는 해당 데이터 보호법이 요구하는 경우와 범위 내에서 각 당사자는 허용된 목적의 개인 데이터 처리와 관련하여 데이터 보호 영향 평가를 수행하거나 필요한 경우 해당 데이터 보호 당국과 협의해야 합니다. 각 당사자는 상대방이 본 조항에 따른 상대방의 의무에 따라 데이터 보호 영향 평가를 완료하거나 해당 데이터 보호 당국과 협의하는 데 필요한 경우 상대방이 합리적으로 요청하는 모든 합리적인 협조 및 정보를 제공해야 합니다.

A. 당사자 목록

각 당사자는 다음과 같습니다:

  • 상대방에게 공개하거나 제공하는 수집된 데이터의 데이터 컨트롤러(및 데이터 수출업체).
  • 상대방으로부터 수신하거나 상대방이 액세스 권한을 부여한 수집된 데이터의 데이터 컨트롤러(및 데이터 수입자)입니다.

각 당사자에 대한 자세한 내용은 아래에 나와 있습니다.

이름: 계약에 명시된 광고주의 세부 정보를 참조하세요.

주소: 계약에 명시된 광고주의 세부 정보를 참조하세요.

담당자 이름, 직위 및 연락처 세부 정보를 입력합니다: 광고주의 세부 정보는 계약에 명시되어 있거나 당사자 간에 서면으로 합의한 내용을 참조하세요.

본 조항에 따라 전송된 데이터와 관련된 활동: 계약에 명시된 대로 서비스를 수령합니다.

서명 및 날짜: 본 부록 A는 광고주가 본 광고주 개인정보 처리방침에 동의하는 즉시 실행되는 것으로 간주됩니다.

역할(컨트롤러/프로세서): 컨트롤러(데이터 내보내기인 경우) 및 컨트롤러(데이터 가져오기인 경우)

 

이름: 타불라의 자세한 내용은 본 계약의 소개에 명시된 내용을 참조하세요.

주소: 타불라의 자세한 내용은 본 계약의 소개에 명시된 내용을 참조하세요.

담당자 이름, 직위 및 연락처 세부 정보를 입력합니다: 타불라 개인정보 보호팀, privacy@taboola.com.

본 조항에 따라 전송된 데이터와 관련된 활동: 계약에 명시된 대로 서비스를 제공합니다.

서명 및 날짜: 본 부록 A는 타불라가 본 광고주 개인정보 처리방침을 수락하는 즉시 실행되는 것으로 간주됩니다.

역할(컨트롤러/프로세서): 컨트롤러(데이터 내보내기인 경우) 및 컨트롤러(데이터 가져오기인 경우)

 

B. 처리 및 전송에 대한 설명 

개인 데이터가 처리 및/또는 전송되는 데이터 주체의 범주: 사용자

처리 및/또는 전송되는 개인 데이터의 범주:

Device Data: 운영 체제, 브라우저 유형, 브라우저 버전, 수집한 IP 주소(30일 이내에 잘림), 우편번호(IP 주소에서 파생), 해시된 타불라 사용자 ID, 해시된 이메일, 광고주 웹사이트의 최초 및 후속 페이지 방문, 사용자 성별(관심사로 추론), 참여 신호(사이트 체류 시간, 스크롤 깊이, 세션 깊이), 전환 데이터.

사용자가 방문한 디지털 자산에 대한 데이터입니다: 방문한 페이지의 URL, 참조 웹 사이트

민감한 데이터 전송(해당되는 경우) 및 엄격한 목적 제한, 접근 제한(전문 교육을 받은 직원만 접근 가능), 데이터 접근 기록 보관, 향후 전송 제한 또는 추가 보안 조치 등 데이터의 성격과 관련된 위험을 충분히 고려한 제한 또는 보호 조치를 적용합니다: 해당되지 않습니다.

처리 및/또는 전송 빈도(예: 데이터가 일회성으로 처리 및/또는 전송되는지 또는 지속적으로 처리 및/또는 전송되는지 여부): 계약 기간 동안 계속됩니다.

처리의 성격: 계약에 명시된 대로 서비스 제공에 필요한 개인 데이터의 처리.

데이터 처리/전송 및 추가 처리의 목적: 계약에 명시된 대로 서비스를 제공합니다. 의심의 여지를 없애기 위해 허용되는 목적은 다음과 같습니다: (i) 기기에 정보 저장 및/또는 액세스, (ii) 기본 광고 선택, (iii) 맞춤 광고 프로필 생성, (iv) 맞춤 광고 선택, (v) 맞춤 콘텐츠 프로필 생성, (vi) 맞춤 콘텐츠 선택, (vii) 광고 성과 측정, (viii) 콘텐츠 성과 측정, (ix) 제품 개발 및 개선; (x) 보안 보장, 사기 방지 및 디버깅, (xi) 기술적으로 광고 또는 콘텐츠 제공, (xii) 오프라인 데이터 소스 매칭 및 결합, (xiii) 서로 다른 기기 연결, (xiv) 식별을 위해 자동 전송된 기기 특성을 수신 및 사용, (xv) 제한된 데이터를 사용하여 콘텐츠 선택, (xvi) 통계를 통한 오디언스 이해.

개인 데이터를 보관할 기간 또는 그것이 불가능할 경우 그 기간을 결정하는 데 사용된 기준:

  • 타불라: 원시 데이터는 최대 13개월 동안 저장됩니다.
  • 광고주: 서비스를 받는 데 필요한 기간 동안 또는 계약에 달리 명시된 기간 동안.

(하위) 처리자에게 전송하는 경우 처리의 주제, 성격 및 기간도 명시하세요: 해당되지 않습니다.

 

C. 관할 감독 기관

EU GDPR이 적용되는 관할 감독 기관: 각 당사자에 대한 관할 감독 기관은 아래에 설명된 바와 같습니다:

  • 타불라: 관할 감독 기관은 EU SCC 13항에 따라 결정됩니다.
  • 광고주: 관할 감독 기관은 EU SCC 13항에 따라 결정됩니다.

영국 GDPR이 적용되는 관할 감독 기관: 정보 커미셔너 사무실

처리의 성격, 범위, 맥락 및 목적, 자연인의 권리와 자유에 대한 위험을 고려하여 적절한 수준의 보안을 보장하기 위해 각 당사자가 시행하는 기술적 및 조직적 조치에 대한 설명(관련 인증 포함).

개인 데이터의 가명화 및 암호화 조치: 타불라는 사용자의 이름, 이메일 주소 또는 기타 식별 가능한 데이터를 알거나 처리하지 않기 때문에 사용자가 누구인지 알 수 없는 가명화된 데이터만 수집합니다. 당사가 수집하는 사용자 정보에는 사용자의 기기 및 운영 체제, IP 주소, 고객 웹사이트 내에서 사용자가 액세스한 웹 페이지, 사용자를 고객 웹사이트로 연결한 링크, 사용자가 고객 웹사이트에 액세스한 날짜 및 시간, 기타 웹 브라우징 데이터 등이 포함되며 이에 국한되지 않습니다. 쿠키ID는 Bcrypt를 사용하여 익명화되며 IP 주소는 잘립니다.

처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장하기 위한 조치: Taboola는 여러 수준의 전자 보안(예: 엔드포인트 보안, 서버 측 보안, 탐지 추적, 정기적인 침투 테스트, 사후 이벤트 검토를 위한 심층 인텔리전스 수집)을 사용합니다.

물리적 또는 기술적 사고 발생 시 개인 데이터에 대한 가용성 및 액세스를 적시에 복원할 수 있는 능력을 보장하기 위한 조치: 타불라는 전 세계에 9개의 데이터 센터를 운영하고 있습니다. 모든 데이터 센터는 서로의 복제본으로 사용되므로 한 데이터 센터가 다운되면 다른 데이터 센터에서 데이터를 추출할 수 있습니다.

처리의 보안을 보장하기 위해 기술적 및 조직적 조치의 효과를 정기적으로 테스트, 평가 및 평가하는 프로세스: 타불라는 기술적, 조직적 제어의 효과를 테스트하기 위한 엄격한 프로세스를 유지하고 있습니다. 시스템 로깅 및 모니터링, 월별(최소) DR 테스트, 분기별 침투 테스트, 웹을 보호하는 방화벽, 네트워크에 퍼져 있는 허니팟을 통해 악성 활동을 찾아내고 있습니다. 또한 지속적으로 네트워크를 모니터링하는 데 도움이 되는 포상금 프로그램을 운영하고 있습니다.

사용자 식별 및 권한 부여를 위한 조치: Taboola의 모든 사용자는 전용 사용자 이름과 비밀번호로 연결됩니다. 타불라의 내부 네트워크에 대한 모든 액세스는 Google 인증을 사용하는 2FA로 이루어집니다. 사용자는 온보딩 프로세스 중, 그리고 인사 부서로부터 모든 세부 정보와 서명된 계약서를 받은 후에만 IT 부서에서 생성합니다.

전송 중 데이터 보호를 위한 조치: 타불라는 보안 전송 프로토콜을 통한 모든 데이터 전송을 지원합니다(최소 HTTPS 및 TLS v1.2). 또한 PII가 포함될 수 있는 시스템은 보안이 유지되며 데이터는 해시 및 익명화되어 보관됩니다.

저장 중 데이터 보호를 위한 조치: 당사 데이터베이스에 저장된 데이터는 익명화되고 Bcrypt를 사용하여 해시 처리됩니다. DB에 대한 접근은 최소화되며 ‘업무상 필요성’ 원칙에 따라 이루어집니다.

개인 데이터가 처리되는 위치의 물리적 보안을 보장하기 위한 조치: 미국, 유럽, 아시아에 위치한 타불라의 각 글로벌 데이터 센터는 모든 서버를 타불라 전용으로 관리되는 잠금 캐비닛에 보관하고 있습니다. 이러한 캐비닛은 SOC2 인증을 받았거나 타불라가 보안 조치를 검토한 업체에서 관리합니다. 또한 서버에 액세스하려면 서면으로 기록된 허가를 받아야 합니다. 모든 타불라 사무실도 통제되며, 직원들은 출입 카드를 사용해야만 출입할 수 있습니다. 또한 타불라의 서버에는 제한된 수의 직원만 액세스할 수 있으며, 모든 액세스는 서면으로 기록된 허가를 받아야 합니다.

이벤트 로깅을 보장하기 위한 조치: 타불라는 모니터링 도구를 구현하고 있으며, 의심스러운 이벤트에 대한 경고를 보내는 SIEM 시스템에 로그가 수집되어 NOC 팀에서 모니터링하고 있습니다.

기본 구성을 포함한 시스템 구성을 보장하기 위한 조치: 서버는 구성 드리프트와 패치 수준을 모두 검사합니다. 보고 및/또는 경고가 둘 다 설정되고 관련 패치 레벨이 확인됩니다. 새 패치는 Puppet을 사용하여 배포됩니다. 모든 기술 검토는 R&D 애플리케이션을 통해 관리되며, 코딩 및 CI/CD 프로세스가 구현된 후 공식적인 검토 프로세스(QA)를 통해 이루어집니다.

내부 IT 및 IT 보안 거버넌스 및 관리를 위한 조치: Taboola는 ISO 27001:2013 및 27701 인증을 받았습니다. 타불라 이사회와 경영진은 조직 전체의 모든 물리적, 전자적 정보 자산의 기밀성, 무결성, 가용성을 유지하기 위해 최선을 다한다는 정보 보안 정책을 시행하고 있습니다. 타불라는 모든 신입 직원을 대상으로 한 보안 교육, 전 세계 모든 직원을 대상으로 한 피싱 교육, 전 직원을 대상으로 한 정기 보안 교육, R&D 그룹을 위한 전용 세션 등을 진행하고 있습니다.

프로세스 및 제품의 인증/보증에 대한 조치: 여러 프로세스 및 시스템에 대한 분기별/반기별/연간 내부 감사를 통해 Taboola가 정의된 보안 목표와 조치를 준수하고 있는지 확인합니다.

데이터 최소화를 위한 조치: 타불라는 특정 비즈니스 목적에 필요한 제한된 데이터만 처리하는 타불라의 글로벌 데이터 최소화 원칙의 일환으로 수집하는 데이터를 의도적으로 제한합니다. 또한, 타불라는 서비스를 제공하기 위해 알고리즘에 사용된 데이터 포인트를 ‘리버스 엔지니어링’할 능력도 없고 비즈니스상 필요성도 없습니다. 보다 구체적으로, Taboola가 수집하는 데이터 포인트는 사용자의 이름, 전화번호, 이메일, 실제 주소와 같은 정보를 수집하거나 처리하지 않기 때문에 사용자의 신원을 나타내는 것이 아닙니다. 대신 타불라는 사용자 기기에 대한 특성만 식별하는 가명 식별자만 수집합니다. 여기에는 IP 주소(수집 시 잘리고 기기의 일반적인 우편번호 위치만 식별할 수 있으며 정확한 지리적 위치는 식별할 수 없음)와 일부 제한된 경우에 해시된 이메일 주소(본질적으로 되돌릴 수 없고 해독하여 원래 이메일 주소를 알 수 없음)가 포함됩니다. 또한 당사가 수집하는 데이터는 집단적으로 사용하더라도 개인의 이름, 전화번호, 이메일 또는 실제 주소는 절대 생성할 수 없으며, 당사 엔지니어는 이러한 목적을 달성하기 위해 어떤 방식으로도 작업하지 않습니다. 또한 타불라는 서비스, 프로세스 및 정책의 개인정보 위험을 최소화하기 위해 개인정보 영향 평가를 수행하고 기록합니다.

데이터 품질을 보장하기 위한 조치: 데이터는 사용자로부터 직접 수집되며 사용자는 타불라 주체 액세스 요청 포털(https://accessrequest.taboola.com/access)을 통해 자신의 쿠키ID와 관련된 모든 데이터를 수정할 수 있습니다.

제한된 데이터 보존을 보장하기 위한 조치: 당사는 광고 게재를 목적으로 직접 수집한 사용자 정보를 사용자가 당사 서비스와 마지막으로 상호작용한 날로부터 최대 13개월 동안(종종 더 짧은 기간 동안) 보유하며, 그 이후에는 고유 식별자를 제거하거나 데이터를 집계하여 데이터를 비식별화합니다. 이 프로세스는 자동으로 수행됩니다.

책임성 확보를 위한 조치: 타불라는 여러 보안 감사 및 침투 테스트를 수행합니다(모든 시스템에 적용되는 것은 아님). 또한 타불라는 서버의 물리적 안전장치를 유지하기 위해 ISO 인증을 받았으며 기타 클라우드 관련 인증을 준수하는 클라우드 제공업체를 사용합니다.

데이터 이동성을 허용하고 삭제를 보장하기 위한 조치: 타불라는 모든 종류의 미디어에 대해 PII를 포함할 수 있으므로 미디어 폐기와 관련된 사항은 동일합니다. 모든 미디어는 재사용하거나 폐기하기 전에 완전히 닦아내야 합니다. 모든 미디어 폐기는 문서화됩니다. 직원들은 개인 정보가 포함될 수 있는 종이를 인쇄하지 않도록 지시받습니다.

  1. 당사자가 수집한 데이터를 상대방에게 제한적으로 전송하는 경우, 표준 계약 조항은 본 퍼블리셔 개인정보 처리방침에 통합되며 다음과 같이 적용됩니다:

a. 제한적 전송이 EU 제한적 전송인 경우, 당사자 간에는 다음과 같이 EU SCC가 적용됩니다:

  1. (i) 모듈 1이 적용됩니다;
  2. (ii) 7항에서 선택적 도킹 조항이 적용됩니다;
  3. (iv) 11항에서 선택적 언어는 적용되지 않습니다;
  4. (v) 17항에서 옵션 1이 적용되며 EU SCC는 아일랜드 법률의 적용을 받습니다;
  5. (vi) 18(b)항에서 분쟁은 아일랜드 법원에서 해결해야 합니다;
  6. (vii) 부록 I의 파트 A, B 및 C는 본 게시자 개인정보 처리방침의 부록 A의 파트 A, B 및 C에 명시된 정보로 완성된 것으로 간주됩니다.
  7. (vii) 부록 II는 본 게시자 개인정보 처리방침의 부록 B에 명시된 보안 조치로 완료된 것으로 간주됩니다;

b. 제한 전송이 영국 제한 전송인 경우, 영국 부록은 당사자 간에 다음과 같이 적용됩니다:

(i) 위에 명시된 대로 작성된 EU SCC는 당사자 간에 적용되며, 영국 부록(아래 (ii) 하위 조항에서 명시된 대로 작성)에 의해 수정됩니다.

(ii) 영국 부록의 표 1~3은 위에 명시된 대로 작성된 EU SCC의 관련 정보로 작성된 것으로 간주되며, 표 4에서 “수출자” 및 “수입자” 옵션이 체크된 것으로 간주됩니다. 영국 부록의 시작일(표 1에 명시된 대로)은 본 게시자 개인정보 처리방침의 효력 발생일로 합니다.

2. 향후 제한 전송: 각 당사자는 상대방으로부터 받은 수집된 데이터의 향후 제한적 전송이 해당 데이터 보호법 및 상대방과 합의한 표준 계약 조항을 준수하도록 보장하는 데 필요한 모든 행위와 조치를 취하지 않는 한, 향후 제한적 전송을 할 수 없습니다.