Terma Privasi Pengiklan

TERMA PRIVASI PENIJAJIKAN TABOOLA

Tarikh Berkuatkuasa:  14 Ogos 2023

Terma Privasi Pengiklan Taboola (“Terma Privasi Pengiklan“) ini terpakai kepada perkhidmatan pengiklanan digital Taboola, seperti apabila Taboola mengedarkan kandungan Pengiklan melalui platform pengedaran miliknya, Taboola Dynamic Creative Optimization (DCO), atau GenAI Landing Page menurut perjanjian antara Taboola dan Pengiklan (“Perjanjian“), dan Terma Privasi Pengiklan ini hendaklah dianggap dimasukkan ke dalam, dan menjadi sebahagian penting daripada, mana-mana Perjanjian tersebut.  Terma Privasi Pengiklan ini mengenal pasti peranan dan tanggungjawab Taboola dan Pengiklan berhubung Data Peribadi.

1. Susunan Keutamaan

Sekiranya terdapat konflik antara Terma Privasi Pengiklan dan Perjanjian, Terma Privasi Pengiklan akan menguasai sejauh konflik tersebut melainkan peruntukan yang bertentangan dalam Perjanjian secara nyata merujuk kepada peruntukan bertentangan dalam Terma Privasi Pengiklan ini dan menyatakan bahawa ia mengatasi peruntukan bertentangan tersebut.

2. Definisi.

Istilah yang ditakrifkan dalam seksyen ini hendaklah mempunyai maksud seperti yang dinyatakan di bawah, dan istilah yang berkaitan hendaklah ditafsirkan dengan sewajarnya. Istilah yang dimulakan dengan huruf besar yang digunakan tetapi tidak ditakrifkan dalam Terma Privasi Pengiklan hendaklah mempunyai maksud yang ditakrifkan dalam Perjanjian.

3. 3. 1. “Undang-undang Perlindungan Data Terpakai” bermaksud apa jua undang-undang persekutuan, kebangsaan, negeri atau lain-lain mengenai privasi dan perlindungan data yang terpakai ke atas Pemprosesan yang menjadi subjek Perjanjian dan Terma Pengiklan ini, sebagaimana dipinda atau digantikan dari semasa ke semasa.
      2. “Data yang Dikumpul” bermaksud Data Peribadi yang dikumpul oleh setiap pihak daripada Subjek Data di atas atau melalui pelayan atau rangkaian mereka (termasuk semua data yang dikumpul secara pasif atau boleh dibaca oleh mesin, seperti data berdasarkan jenis pelayar dan pengecam peranti) dalam hubungan dengan penyediaan atau penerimaan Perkhidmatan.
      3. “Pengawal” bermaksud: (i) entiti yang menentukan tujuan dan kaedah Pemprosesan Data Peribadi, dan (ii) mana-mana individu yang tergolong dalam skop istilah “pengawal” (atau apa-apa istilah yang hampir sama) seperti yang ditakrifkan di bawah Undang-Undang Perlindungan Data Terpakai.
      4. “Undang-Undang Privasi California” bermaksud Akta Privasi Pengguna California 2018, Cal. Kod Sivil § 1798.100 dan seterusnya (“CCPA“), seperti yang dipinda (termasuk oleh Akta Hak Privasi California), dan mana-mana undang-undang sekunder serta peraturan pelaksanaannya.
      5. “Subjek Data” bermaksud: (i) seorang individu semula jadi yang telah dikenal pasti atau boleh dikenal pasti (dan, untuk tujuan ini, seorang individu semula jadi yang boleh dikenal pasti ialah seseorang yang boleh dikenal pasti, secara langsung atau tidak langsung, terutamanya dengan merujuk kepada pengecam seperti nama, nombor pengenalan, data lokasi, pengecam dalam talian atau satu atau lebih faktor khusus kepada identiti fizikal, fisiologi, genetik, mental, ekonomi, budaya atau sosial individu semula jadi tersebut), dan (ii) mana-mana individu yang termasuk dalam skop istilah “subjek data”, “pengguna” (atau apa-apa istilah yang serupa) seperti yang ditakrifkan di bawah Undang-Undang Perlindungan Data.
      6. “Undang-Undang Perlindungan Data EU” bermaksud: (i) Peraturan Umum Perlindungan Data EU (Peraturan 2016/679) (“EU GDPR“); (ii) Arahan Privasi Elektronik EU (Arahan 2002/58/EC); dan (iii) mana-mana undang-undang perlindungan data kebangsaan yang dibuat di bawah atau menurut (i) atau (ii), setiap satu sebagaimana dipinda atau digantikan dari semasa ke semasa.
      7. “Tujuan yang dibenarkan” mempunyai maksud yang diberikan dalam seksyen 3.
      8. “Data Peribadi” bermaksud apa-apa maklumat yang berkaitan dengan Subjek Data (termasuk, apabila dikehendaki oleh Undang-Undang Perlindungan Data Terpakai, pengecam unik pelayar atau peranti), seperti yang dinyatakan dalam Lampiran A, Bahagian B.
      9. “Pemprosesan” bermaksud apa-apa operasi atau set operasi yang dijalankan ke atas Data Peribadi atau set Data Peribadi, sama ada dengan cara automatik atau tidak, seperti pengumpulan, penerimaan, pendaftaran, pengorganisasian, penyusunan, penggunaan, penghantaran, capaian, perkongsian, pendedahan, pemindahan, penyimpanan, penyesuaian atau pengubahan, pemulihan, perundingan, penyebaran atau sebaliknya menjadikan tersedia, penjajaran atau gabungan, pengagregatan, inferens, turunan, analisis, pengehadan, pemadaman, pemusnahan atau pelupusan atau pengendalian lain terhadap Data Peribadi, termasuk bagaimana istilah tersebut ditakrifkan di bawah Undang-Undang Perlindungan Data Terpakai.
      10. “Pemproses” bermaksud: (i) entiti yang memproses Data Peribadi bagi pihak Pengawal, dan (ii) mana-mana orang yang termasuk dalam skop istilah “pemproses” (atau apa-apa istilah yang hampir sama) seperti yang ditakrifkan di bawah Undang-Undang Perlindungan Data yang Berkuatkuasa.
      11. “Pemindahan Terhad” bermaksud: (i) di mana EU GDPR terpakai, pemindahan Data Peribadi daripada Kawasan Ekonomi Eropah (EEA) ke negara di luar EEA yang tidak tertakluk kepada penentuan kecukupan oleh Suruhanjaya Eropah (sebuah “Pemindahan Terhad EU“); dan (ii) di mana UK GDPR terpakai, pemindahan Data Peribadi dari United Kingdom ke mana-mana negara lain yang tidak tertakluk kepada atau berdasarkan peraturan kecukupan menurut Seksyen 17A Akta Perlindungan Data United Kingdom 2018 (sebuah “Pemindahan Terhad UK“).
      12. “Jualan” dan “Menjual” bermaksud pertukaran Data Peribadi untuk pertimbangan wang atau pertimbangan berharga lain, dan merangkumi cara istilah tersebut ditakrifkan di bawah Undang-Undang Perlindungan Data Terpakai.
      13. “Perkhidmatan” bermaksud perkhidmatan yang disediakan oleh Taboola di bawah Perjanjian dengan Pengiklan.
      14. “Kejadian Keselamatan” bermaksud pelanggaran keselamatan yang membawa kepada pemusnahan, kehilangan, pengubahsuaian, pendedahan tanpa kebenaran atau akses secara tidak sengaja atau tidak sah terhadap Data Peribadi.
      15. “Standard Contractual Clauses” bermaksud: (i) di mana EU GDPR terpakai, klausa kontrak yang dilampirkan pada Keputusan Pelaksanaan Suruhanjaya Eropah 2021/914 bertarikh 4 Jun 2021 mengenai standard contractual clauses untuk pemindahan data peribadi ke negara ketiga menurut Peraturan (EU) 2016/679 Parlimen Eropah dan Majlis (“EU SCCs“); dan (ii) di mana UK GDPR terpakai, “International Data Transfer Addendum to the EU Commission Standard Contractual Clauses” yang dikeluarkan oleh Suruhanjaya Maklumat di bawah s.119A(1) Akta Perlindungan Data Peribadi 2018 (“Addendum UK“).
      16. “Pihak Ketiga” bermaksud perniagaan yang bertindak sebagai Pengawal dengan respect kepada Data Peribadi, dan yang bukan perniagaan yang telah dihubungi secara sengaja oleh Subjek Data yang Data Peribadinya diproses; istilah ini merangkumi maksudnya menurut Undang-Undang Perlindungan Data Terpakai.
      17. “Undang-Undang Perlindungan Data UK” bermaksud: (i) Akta Perlindungan Data UK 2018, (ii) UK GDPR (sebagaimana ditakrifkan dalam s.3(10) Akta Perlindungan Data UK 2018) (“UK GDPR“), (iii) Peraturan Privasi dan Komunikasi Elektronik (Arahan EC) UK 2003), dan (iv) mana-mana undang-undang UK lain yang dibuat di bawah atau menurut (i), (ii) atau (iii), setiap satu sebagaimana dipinda atau digantikan dari semasa ke semasa.

3. Had Tujuan.

Setiap pihak hendaklah memproses Data yang Dikumpul yang dikumpul atau diterima daripada pihak lain untuk tujuan yang dinyatakan dalam Lampiran A, Bahagian B (“Tujuan yang Dibenarkan“).  Pengiklan bersetuju bahawa Taboola akan memproses Data yang Dikumpul seperti yang dibenarkan oleh Dasar Privasi Taboola (yang, untuk mengelakkan keraguan, juga akan menjadi Tujuan yang Dibenarkan bagi Taboola).

4. Hubungan Pihak-Pihak.

Sejauh mana Data yang Dikumpul layak sebagai, atau mengandungi, Data Peribadi di bawah Undang-Undang Perlindungan Data yang Berkuatkuasa, setiap pihak hendaklah memproses Data yang Dikumpul yang dikumpul atau diterima daripada pihak lain sebagai Pengawal (yang mungkin termasuk, apabila Undang-Undang Privasi California terpakai, sebagai Pihak Ketiga, jika berkenaan).  Pendedahan (sama ada pemindahan, atau melalui pihak yang menyediakan data kepada pihak lain) Data yang Dikumpul atau Data Peribadi daripada satu pihak kepada pihak lain adalah pendedahan kepada Pihak Ketiga.

1. 1. 1. Jika Undang-Undang Perlindungan Data AS atau negeri AS terpakai pada Data yang Dikumpul, termasuk tanpa had Undang-Undang Privasi California, sejauh mana Realize Pixels (dahulunya dikenali sebagai “Taboola Pixels”) digunakan berkaitan dengan Perkhidmatan untuk memproses Data Peribadi tentang Pelawat, Taboola bertindak sebagai Pihak Ketiga kepada Pengiklan bagi Data Peribadi tersebut. Taboola hendaklah memproses Data Peribadi tersebut untuk Tujuan yang Dibenarkan. Data Peribadi sedemikian hanya disediakan kepada Taboola untuk Tujuan yang Dibenarkan.  Taboola akan menyediakan tahap perlindungan privasi yang sama seperti yang dikehendaki daripada Perniagaan oleh Undang-Undang Perlindungan Data AS yang berkenaan, termasuk, jika berkenaan, Undang-Undang Privasi California. Taboola akan memaklumkan Pengiklan dalam tempoh yang ditetapkan oleh Undang-Undang Perlindungan Data Terpakai jika Taboola menentukan ia tidak lagi dapat memenuhi kewajibannya di bawah Undang-Undang Perlindungan Data Terpakai. Setelah memberi notis kepada Taboola, Pengiklan berhak mengambil langkah-langkah yang munasabah dan sesuai untuk menghentikan dan membetulkan penggunaan Data Peribadi tanpa kebenaran yang disediakan olehnya kepada Taboola.

5. Penerapan Undang-Undang Perlindungan Data.

Pihak-pihak mengakui bahawa sebahagian atau semua Data yang Dikumpul mungkin layak sebagai, atau termasuk, Data Peribadi dan oleh itu Undang-Undang Perlindungan Data yang Berkuatkuasa mungkin terpakai ke atas Pemprosesan Data yang Dikumpul oleh setiap pihak.  Apabila keadaan ini berlaku, dan tertakluk kepada seksyen 7, setiap pihak hendaklah bertanggungjawab secara berasingan untuk mematuhi Undang-Undang Perlindungan Data Terpakai masing-masing, termasuk apa-apa keperluan terpakai untuk: (i) memberikan ketelusan kepada Subjek Data, (ii) memperoleh persetujuan atau asas sah lain untuk Pemprosesan, dan (iii) menyediakan titik hubungan di mana Subjek Data boleh menuntut hak perlindungan data mereka.

6. Pemindahan Antarabangsa.

Sekiranya mana-mana pihak membuat Pemindahan Terhad Data yang Dikumpul kepada pihak lain, peruntukan Lampiran C hendaklah terpakai.

7. Keterbukaan untuk Pelawat pada Halaman Pendaratan Pengiklan.

a. Taboola menggunakan Realize Pixels untuk menyediakan Perkhidmatan.  Tanpa mengira seksyen 5, setakat Taboola mengumpul Data Terkumpul daripada harta digital Pengiklan (seperti laman web, aplikasi mudah alih atau sebaliknya) menggunakan Realize Pixels, Pengiklan hendaklah: (i) menyediakan semua notis ketelusan yang diperlukan kepada Subjek Data mengenai penggunaan Realize Pixels oleh Taboola untuk mengumpul Data Terkumpul daripada harta digital Pengiklan bagi Tujuan yang Dibenarkan, dan (ii) memperoleh (dan, atas permintaan Taboola pada bila-bila masa, menyediakan bukti yang sesuai mengenai) persetujuan Subjek Data untuk penggunaan Realize Pixels sedemikian bagi Tujuan yang Dibenarkan, dalam setiap kes selaras dengan keperluan Undang-Undang Perlindungan Data Terpakai.  Kewajipan Pengiklan dalam hal ini termasuk mengenal pasti Taboola dan penggunaan Realize Pixels olehnya untuk Tujuan yang Dibenarkan secara nyata dalam notis ketelusan dan paparan kebenaran yang disediakan oleh Pengiklan kepada Subjek Data, serta apa-apa maklumat lain yang dikehendaki oleh Undang-Undang Perlindungan Data Terpakai, supaya Taboola dapat menyediakan Perkhidmatannya secara sah melalui harta digital tersebut dan memproses Data yang Dikumpul serta Data Peribadi untuk Tujuan yang Dibenarkan. Sejauh mana pengiklan menerima perkhidmatan Gen AI Landing Page daripada Taboola, Taboola hendaklah menyediakan notis yang telus dan mendapatkan persetujuan pengguna.

b. Atas permintaan bertulis, Taboola akan menyediakan Pengiklan dengan maklumat yang diperlukan mengenai Piksel Realize dan Pemprosesan Data yang Dikumpul oleh Taboola melalui harta digital Pengiklan supaya Pengiklan dapat memastikan mekanisme pemberitahuan dan persetujuan mematuhi Undang-Undang Perlindungan Data yang Berkuatkuasa.  Pengiklan tidak boleh memecat mana-mana Realize Pixels melainkan dan sehingga ketelusan yang diperlukan telah disediakan dan persetujuan yang diperlukan di bawah Undang-Undang Perlindungan Data Terpakai telah diperoleh.

c. Pengiklan hendaklah juga menyediakan Subjek Data dengan maklumat tentang cara mereka boleh menuntut hak perlindungan data mereka di bawah Undang-Undang Perlindungan Data Terpakai, dan menyediakan titik hubungan untuk Subjek Data menghubungi bagi menuntut hak mereka. Pengiklan hendaklah segera memaklumkan kepada Taboola jika dan sejauh mana ia menerima sebarang permintaan hak perlindungan data berkaitan Pemprosesan Data yang Dikumpul oleh Taboola sebagai Pengawal supaya Taboola dapat memenuhi permintaan tersebut selaras dengan kewajibannya di bawah Undang-Undang Perlindungan Data Terpakai.

8. Rakan Atribusi.

Jika Taboola, atas permintaan Pengiklan, memindahkan Data Peribadi kepada rakan atribusi Pengiklan atau kepada Pengiklan untuk tujuan atribusi, Pengiklan menyatakan dan menjamin bahawa: (i) rakan atribusi beliau adalah Pemproses bagi pihak Pengiklan; (ii) melainkan dikumpul secara bebas, Pengiklan dan rakan atribusi akan menggunakan Data Peribadi tersebut semata-mata untuk tujuan atribusi; dan (iii) rakan atribusi dan Pengiklan akan memadam semua Data Peribadi yang telah dipindahkan dalam tempoh tiga puluh (30) hari selepas Pengunjung terakhir dikenal pasti sebagai datang dari Taboola.

9. Keselamatan.

Setiap pihak hendaklah melaksanakan langkah keselamatan teknikal dan organisasi yang sesuai untuk melindungi Data yang Dikumpul dan/atau Data Peribadi yang diprosesnya daripada dan terhadap Insiden Keselamatan.  Langkah-langkah ini hendaklah merangkumi langkah-langkah yang dinyatakan dalam Lampiran B.

10. Kejadian Keselamatan.

Jika mana-mana Pihak mengalami Insiden Keselamatan berhubung Data yang Dikumpul dan/atau Data Peribadi yang diprosesnya dan yang menjadi subjek Perjanjian dan Terma Privasi Pengiklan ini, Pihak tersebut hendaklah: (i) bertanggungjawab untuk memenuhi (pada kosnya sendiri) sebarang kewajipan pelaporan yang dikenakan ke atasnya di bawah Undang-Undang Perlindungan Data Terpakai kepada pihak berkuasa perlindungan data dan/atau Subjek Data yang terjejas, (ii) memaklumkan kepada Pihak lain tanpa kelewatan yang tidak wajar, menyediakan maklumat tentang Insiden Keselamatan yang munasabah diminta oleh Pihak lain atau yang diperlukan supaya Pihak lain dapat menentukan sama ada ia juga mempunyai kewajipan pelaporan di bawah Undang-Undang Perlindungan Data Terpakai berhubung Insiden Keselamatan itu, dan (iii) mengambil semua tindakan dan langkah yang sesuai, tanpa kelewatan yang tidak wajar, untuk membaiki dan/atau mengurangkan kesan Insiden Keselamatan itu

11. DPIAs. 

Di mana dan sejauh mana dikehendaki oleh Undang-Undang Perlindungan Data Terpakai yang terpakai ke atas setiap pihak, setiap pihak hendaklah menjalankan sebarang penilaian impak perlindungan data berhubung Pemprosesannya terhadap Data yang Dikumpul dan/atau Data Peribadi untuk Tujuan yang Dibenarkan dan/atau berunding dengan pihak berkuasa perlindungan data yang berkenaan, apabila perlu.  Setiap pihak hendaklah memberikan segala kerjasama dan maklumat yang munasabah yang diminta oleh pihak lain apabila ini diperlukan untuk membolehkan pihak lain tersebut menyelesaikan penilaian impak perlindungan data dan/atau berunding dengan pihak berkuasa perlindungan data yang berkenaan selaras dengan kewajipan pihak lain tersebut di bawah seksyen 11 ini.

 

LAMPIRAN A

DESKRIPSI PROSES

A. SENARAI PARTI

Setiap pihak hendaklah:

3. 3. • seorang pengawal data (dan pengeksport data) bagi Data yang Dikumpul yang didedahkan atau disediakan olehnya kepada pihak lain, dan
      • seorang pengawal data (dan pengimport data) bagi Data Terkumpul yang diterimanya daripada pihak lain, atau yang diakses olehnya melalui pihak lain.

Butiran setiap pihak disediakan di bawah.

Nama: Lihat butiran Pengiklan yang dinyatakan dalam Perjanjian.

Alamat: Lihat butiran Pengiklan yang dinyatakan dalam Perjanjian.

Nama orang yang boleh dihubungi, jawatan dan butiran perhubungan: Lihat butiran Pengiklan yang dinyatakan dalam Perjanjian atau yang dipersetujui secara bertulis antara pihak-pihak.

Aktiviti yang berkaitan dengan data yang dipindahkan di bawah Klausa-klausa ini: Penerimaan Perkhidmatan, seperti yang dinyatakan dalam Perjanjian.

Tandatangan dan tarikh: Annex A ini hendaklah dianggap telah dilaksanakan sebaik sahaja Pengiklan menerima Terma Privasi Pengiklan ini.

Peranan (pengawal/pemproses): Pengawal (apabila ia merupakan pengeksport data) dan Pengawal (apabila ia merupakan pengimport data)

 

Nama: Lihat butiran Taboola yang dinyatakan dalam pengenalan kepada Perjanjian.

Alamat: Lihat butiran Taboola yang dinyatakan dalam pengenalan kepada Perjanjian.

Nama orang yang boleh dihubungi, jawatan dan butiran perhubungan: Pasukan privasi Taboola, privacy@taboola.com.

Aktiviti yang berkaitan dengan data yang dipindahkan di bawah Klausa-klausa ini: Penyediaan Perkhidmatan, seperti yang dinyatakan dalam Perjanjian.

Tandatangan dan tarikh: Annex A ini hendaklah dianggap dilaksanakan sebaik sahaja Taboola menerima Terma Privasi Pengiklan ini.

Peranan (pengawal/pemproses): Pengawal (apabila ia merupakan pengeksport data) dan Pengawal (apabila ia merupakan pengimport data)

 

B. DESKRIPSI PROSES DAN PEMINJAMAN

Kategori subjek data yang data peribadinya diproses dan/atau dipindahkan: Pengguna

Kategori data peribadi yang diproses dan/atau dipindahkan:

Data Peranti: Sistem pengendalian, jenis pelayar, versi pelayar, alamat IP (dipotong selepas 30 hari) semasa pengumpulan, kod pos (diperolehi daripada alamat IP), ID Pengguna Taboola yang dihas, e-mel yang dihas, lawatan awal dan susulan ke halaman laman web Pengiklan, jantina pengguna (difahami berdasarkan minat), isyarat penglibatan (masa di laman, kedalaman tatal, kedalaman sesi), data penukaran.

Data tentang harta digital yang dilawati oleh pengguna: URL halaman yang dilawati, laman web rujukan

• Sejauh mana DCO adalah sebahagian daripada perkhidmatan, Taboola juga memproses data berikut:

Data Peranti: CookieID Taboola atau ID peranti, bergantung pada platform), alamat IP yang disamarkan, ID klik Taboola, rentetan ejen pengguna, negara, jenis pengguna, termasuk maklumat pengguna baharu/pengguna yang kembali (jika dikongsi oleh pengiklan), maklumat produk (terikat kepada URL tertentu), termasuk harga dan ketersediaan daripada halaman item

Data Acara: mata wang, ID produk, ID pesanan, ID kategori, kategori, istilah carian, butiran troli, nilai, dan ID kempen.

Data sensitif dipindahkan (jika berkenaan) dan sekatan atau langkah keselamatan yang digunakan mengambil kira sepenuhnya sifat data dan risiko yang terlibat, seperti contohnya had tujuan yang ketat, sekatan akses (termasuk akses hanya untuk kakitangan yang telah menjalani latihan khusus), penyimpanan rekod akses kepada data, sekatan untuk pemindahan selanjutnya atau langkah keselamatan tambahan: Tidak terpakai.

Kekerapan pemprosesan dan/atau pemindahan (contohnya sama ada data diproses dan/atau dipindahkan secara sekali sahaja atau berterusan): Bersambung sepanjang tempoh Perjanjian.

Sifat pemprosesan: Pemprosesan Data Peribadi yang diperlukan untuk penyediaan Perkhidmatan, seperti yang dinyatakan dalam Perjanjian.

Tujuan pemprosesan/pemindahan dan pemprosesan lanjut data: Penyediaan Perkhidmatan, seperti yang dinyatakan dalam Perjanjian. Bagi mengelakkan keraguan, Tujuan yang Dibenarkan termasuk: (i) menyimpan dan/atau mengakses maklumat pada peranti; (ii) memilih iklan asas; (iii) mencipta profil iklan peribadi; (iv) memilih iklan peribadi; (v) mencipta profil kandungan peribadi; (vi) memilih kandungan peribadi; (vii) mengukur prestasi iklan; (viii) mengukur prestasi kandungan; (ix) membangunkan dan memperbaiki produk; (x) memastikan keselamatan, mencegah penipuan, dan menyelesaikan pepijat; (xi) penghantaran iklan atau kandungan secara teknikal; (xii) memadankan dan menggabungkan sumber data luar talian; (xiii) menghubungkan peranti yang berbeza; (xiv) menerima dan menggunakan ciri peranti yang dihantar secara automatik untuk pengecaman; (xv) menggunakan data terhad untuk memilih kandungan, dan (xvi) memahami khalayak melalui statistik.

Tempoh data peribadi akan disimpan, atau, jika itu tidak mungkin, kriteria yang digunakan untuk menentukan tempoh tersebut:

3. 3. • Taboola: Data mentah disimpan selama maksimum 13 bulan.
      • Pengiklan: Selama yang diperlukan untuk menerima Perkhidmatan atau seperti yang dinyatakan sebaliknya dalam Perjanjian.

Untuk pemindahan kepada pemproses (sub-) , nyatakan juga subjek, sifat dan tempoh pemprosesan: Tidak terpakai.

 

C. PIHAK BERKUASA PENYELIAAN YANG KOMPETEN

Pihak berkuasa pengawasan yang kompeten di mana EU GDPR terpakai: Pihak berkuasa pengawasan yang kompeten bagi setiap pihak adalah seperti yang diterangkan di bawah:

3. 3. • Taboola: Pihak berkuasa pengawasan yang berkenaan hendaklah ditentukan selaras dengan Klausa 13 EU SCCs.
      • Pengiklan: Pihak berkuasa pengawasan yang berkenaan hendaklah ditentukan selaras dengan Klausa 13 EU SCCs.

Pihak berkuasa pengawasan yang kompeten di mana UK GDPR terpakai: Pejabat Pesuruhjaya Maklumat

 

LAMPIRAN B

LANGKAH-LANGKAH KESELAMATAN

Keterangan mengenai langkah teknikal dan organisasi yang dilaksanakan oleh setiap pihak (termasuk sebarang pensijilan berkaitan) untuk memastikan tahap keselamatan yang sesuai, dengan mengambil kira sifat, skop, konteks dan tujuan pemprosesan, serta risiko terhadap hak dan kebebasan individu semula jadi.

Langkah-langkah pseidonimisasi dan penyulitan data peribadi: Taboola hanya mengumpul data pseudonim, yang bermaksud kami tidak tahu siapa anda kerana kami tidak mengetahui atau memproses nama pengguna, alamat e-mel, atau data boleh dikenal pasti lain. Maklumat Pengguna yang kami kumpulkan termasuk, tetapi tidak terhad kepada, maklumat tentang peranti dan sistem operasi Pengguna, alamat IP, halaman web yang diakses oleh Pengguna dalam laman web Pelanggan kami, pautan yang membawa Pengguna ke laman web Pelanggan, tarikh dan masa Pengguna mengakses laman web Pelanggan dan data pelayaran web lain. CookieID dianonimkan menggunakan Bcrypt dan alamat IP dipendekkan.

Langkah-langkah untuk memastikan kerahsiaan, integriti, ketersediaan dan ketahanan berterusan sistem pemprosesan dan perkhidmatan: Taboola menggunakan pelbagai peringkat keselamatan elektronik (contohnya: keselamatan hujung titik, keselamatan sisi pelayan, penjejakan pengesanan, ujian penembusan berkala, dan pengumpulan risikan mendalam untuk mengkaji semula peristiwa pasca-kematian).

Langkah-langkah untuk memastikan keupayaan memulihkan ketersediaan dan akses kepada data peribadi dengan segera sekiranya berlaku insiden fizikal atau teknikal: Taboola mengekalkan 9 pusat data yang beroperasi di seluruh dunia. Setiap pusat data digunakan sebagai replikasi antara satu sama lain, jadi jika salah satu daripadanya gagal, data boleh diekstrak daripada pusat data yang lain.

Proses untuk menguji, menilai dan menilai keberkesanan langkah teknikal dan organisasi secara berkala bagi memastikan keselamatan pemprosesan: Taboola mengekalkan proses ketat untuk menguji keberkesanan kawalan (teknikal dan organisasi). Kami mempunyai log dan pemantauan sistem, ujian pemulihan bencana sekurang-kurangnya sebulan sekali, ujian penembusan suku tahunan, firewall yang melindungi laman web dan honeypot yang tersebar di seluruh rangkaian untuk mengesan sebarang aktiviti berniat jahat. Selain itu, kami mempunyai program ganjaran yang membantu kami memantau rangkaian kami secara berterusan.

Langkah-langkah untuk pengecaman dan kebenaran pengguna: Setiap pengguna di Taboola dikaitkan dengan nama pengguna dan kata laluan khusus. Setiap akses ke rangkaian dalaman Taboola dilakukan dengan 2FA menggunakan pengesahan Google. Pengguna hanya dicipta oleh jabatan IT semasa proses orientasi dan hanya selepas menerima semua butiran dan kontrak yang telah ditandatangani daripada jabatan HR.

Langkah-langkah untuk perlindungan data semasa penghantaran: Taboola menyokong sebarang penghantaran data melalui protokol penghantaran yang selamat (HTTPS dan TLS v1.2 sekurang-kurangnya). Selain itu, sistem yang mungkin mengandungi PII disekuriti dan data disimpan dalam bentuk has dan dianonimkan.

Langkah-langkah untuk perlindungan data semasa penyimpanan: Data yang disimpan dalam pangkalan data kami dianonimkan dan di-hash menggunakan Bcrypt. Akses kepada DB dihadkan dan berdasarkan prinsip ‘keperluan perniagaan untuk mengetahui’.

Langkah-langkah untuk memastikan keselamatan fizikal lokasi di mana data peribadi diproses: Setiap pusat data global Taboola (di AS, Eropah, dan Asia) mempunyai semua pelayarnya terletak dalam kabinet berkunci yang dikekalkan secara eksklusif untuk kegunaan Taboola. Kabinet-kabinet ini diselenggara oleh syarikat yang sama ada disahkan SOC2 atau Taboola telah menyemak langkah keselamatan mereka. Selain itu, sebarang akses ke pelayan memerlukan kebenaran bertulis yang direkodkan. Semua pejabat Taboola juga dikawal, dan menghendaki pekerja menggunakan kad akses untuk masuk. Selain itu, hanya sejumlah kecil pekerja yang mempunyai akses ke pelayan Taboola dan sebarang akses juga memerlukan kebenaran bertulis yang direkodkan.

Langkah-langkah untuk memastikan log acara: Taboola melaksanakan alat pemantauan dan log dikumpul ke sistem SIEM kami yang memberi amaran kepada kami tentang sebarang peristiwa mencurigakan serta dipantau oleh pasukan NOC.

Langkah-langkah untuk memastikan konfigurasi sistem, termasuk konfigurasi lalai: Pelayan diimbas untuk penyimpangan konfigurasi dan tahap tampalan. Pelaporan dan/atau pemberitahuan telah ditetapkan pada kedua-duanya dan tahap tampalan yang berkaitan telah disahkan. Patch baru diedarkan menggunakan Puppet. Semua ulasan teknikal diuruskan melalui aplikasi R&D dan diperoleh melalui proses semakan formal (QA) selepas proses pengkodan dan CI/CD dilaksanakan juga.

Langkah-langkah untuk tadbir urus dan pengurusan IT dalaman serta keselamatan IT: Taboola diperakui ISO 27001:2013 dan 27701. Taboola mempunyai Dasar Keselamatan Maklumat yang menyatakan bahawa Lembaga Pengarah dan pengurusan Taboola komited untuk memelihara kerahsiaan, integriti dan ketersediaan semua aset maklumat fizikal dan elektronik di seluruh organisasi mereka. Taboola mengadakan latihan keselamatan untuk semua pekerja baharu, latihan pancingan klik untuk semua pekerja di seluruh dunia, dan latihan keselamatan berkala untuk semua pekerja serta mengadakan sesi khusus untuk kumpulan R&D.

Langkah-langkah untuk pensijilan/pengesahan proses dan produk: Audit dalaman suku tahunan / separuh tahunan / tahunan ke atas pelbagai proses dan sistem untuk mengesahkan bahawa Taboola mematuhi matlamat dan langkah keselamatan yang ditetapkan.

Langkah-langkah untuk memastikan pengurangan data: Taboola secara sengaja mengehadkan data yang kami kumpulkan sebagai sebahagian daripada prinsip pengurangan data global Taboola, iaitu memproses hanya data terhad yang diperlukan untuk tujuan perniagaan khusus kami. Selain itu, Taboola tidak mempunyai keupayaan, mahupun keperluan perniagaan, untuk “merekabentuk semula” mana-mana titik data yang digunakan dalam algoritma kami bagi menyediakan perkhidmatan kami. Lebih khusus, titik data yang dikumpul oleh Taboola tidak pernah menunjukkan identiti pengguna — kerana Taboola tidak mengumpul atau memproses maklumat seperti nama pengguna, nombor telefon, e-mel, atau alamat fizikal. Sebaliknya, Taboola hanya mengumpul pengecam pseudonim, yang sekadar mengenal pasti ciri-ciri tentang peranti pengguna. Ini termasuk alamat IP (yang dipendekkan semasa pengumpulan dan hanya dapat mengenal pasti lokasi poskod am peranti, tetapi tidak pernah geolokasi tepat) dan, dalam beberapa kes terhad, alamat e-mel yang di-hash (yang secara semula jadi tidak dapat dipulihkan dan tidak dapat didekripsi untuk mendedahkan alamat e-mel asal). Selain itu, walaupun digunakan secara kolektif, data yang kami kumpulkan tidak akan pernah dapat mendedahkan nama individu, nombor telefon, emel, atau alamat fizikal, dan jurutera kami tidak melakukan apa-apa cara untuk mencapai tujuan ini. Selain itu, Taboola membuat dan merekod penilaian impak privasi dalam usaha meminimumkan risiko privasi perkhidmatan, proses, dan dasar kami.

Langkah-langkah untuk memastikan kualiti data: Data dikumpul terus daripada pengguna dan pengguna diberi peluang untuk membetulkan sebarang data yang berkaitan dengan CookieID mereka melalui Portal Permintaan Akses Subjek Taboola: https://accessrequest.taboola.com/access

Langkah-langkah untuk memastikan penyimpanan data terhad: Kami menyimpan Maklumat Pengguna, yang dikumpul secara langsung untuk tujuan penyampaian iklan, selama paling lama tiga belas (13) bulan dari interaksi terakhir Pengguna dengan Perkhidmatan kami (biasanya untuk tempoh yang lebih singkat), selepas itu kami menyahdikenali data tersebut dengan membuang pengecam unik atau menggabungkan data tersebut. Proses ini dilakukan secara automatik.

Langkah-langkah untuk memastikan akauntabiliti: Taboola menjalankan beberapa audit keselamatan dan ujian penembusan (tetapi tidak untuk semua sistem). Taboola juga menggunakan penyedia awan yang disahkan ISO dan mematuhi pensijilan berkaitan awan lain untuk mengekalkan langkah keselamatan fizikal pelayan.

Langkah-langkah untuk membenarkan kebolehmindahan data dan memastikan pemadaman: Sebarang media mesti dipadam sepenuhnya sebelum digunakan semula atau dibuang. Segala pelupusan media didokumenkan. Para pekerja diarahkan untuk tidak mencetak sebarang kertas yang mungkin mengandungi maklumat peribadi.

LAMPIRAN C

PEMINDAHAN TERHAD

1. Sejauh mana pihak membuat Pemindahan Terhad Data yang Dikumpul kepada pihak lain, Standard Contractual Clauseshendaklah dimasukkan ke dalam Terma Privasi Pengiklan ini dan terpakai seperti berikut:
   1. di mana Pemindahan Terhad adalah Pemindahan Terhad EU, EU SCCs akan terpakai antara pihak-pihak seperti berikut:
      1. Modul Satu akan terpakai;
      2. dalam Klausa 7, Klausa doking pilihan akan terpakai;
      3. dalam Klausa 11, bahasa pilihan tidak akan terpakai;
      4. dalam Klausa 17, Pilihan 1 akan terpakai, dan EU SCCs akan tertakluk kepada undang-undang Ireland;
      5. dalam Klausa 18(b), pertikaian hendaklah diselesaikan di hadapan mahkamah Ireland;
      6. Bahagian A, B dan C Lampiran I hendaklah dianggap lengkap dengan maklumat yang dinyatakan dalam Bahagian A, B dan C Lampiran A kepada Terma Privasi Pengiklan ini; dan
      7. Annex II hendaklah dianggap lengkap dengan langkah-langkah keselamatan yang dinyatakan dalam Annex B kepada Terma Privasi Pengiklan ini;
   2. di mana Pemindahan Terhad adalah Pemindahan Terhad UK, Lampiran UK akan terpakai antara pihak-pihak seperti berikut:
      1. EU SCCs yang telah disiapkan seperti yang dinyatakan di atas hendaklah terpakai antara pihak-pihak, dan hendaklah diubah suai oleh Lampiran UK (yang telah disiapkan seperti yang dinyatakan dalam subklausul (ii) di bawah); dan
      2. Jadual 1 hingga 3 Lampiran UK hendaklah dianggap lengkap dengan maklumat berkaitan daripada EU SCCs, yang telah disiapkan seperti yang dinyatakan di atas, dan pilihan “Pengeksport” dan “Pengimport” hendaklah dianggap telah dipilih dalam Jadual 4. Tarikh permulaan Lampiran UK (sebagaimana dinyatakan dalam Jadual 1) hendaklah Tarikh Berkuatkuasa Terma Privasi Pengiklan ini.
2. Pemindahan Terhad ke Hadapan:  Tiada pihak akan membuat Pemindahan Terhad Lanjutan Data yang Dikumpul yang diterima daripada pihak lain melainkan pihak tersebut telah melakukan semua tindakan dan perkara yang diperlukan untuk memastikan Pemindahan Terhad Lanjutan tersebut mematuhi Undang-Undang Perlindungan Data Terpakai dan sebarang Standard Contractual Clausesyang telah dipersetujui dengan pihak lain.