Terma Privasi Pengiklan

TERMA PRIVASI PENGIKLAN TABOLALA

Tarikh Berkuat Kuasa:  Ogos 14, 2023

Terma Privasi Pengiklan Taboola ini (“Terma Privasi Pengiklan“) terpakai kepada perkhidmatan pengiklanan digital Taboola, seperti apabila Taboola mengedarkan kandungan Pengiklan melalui platform pengedarannya, menurut perjanjian antara Taboola dan Pengiklan (“Perjanjian“), dan Terma Privasi Pengiklan ini hendaklah dianggap digabungkan ke dalam, dan membentuk sebahagian daripada mana-mana Perjanjian tersebut.  Terma Privasi Pengiklan ini mengenal pasti peranan dan tanggungjawab Taboola dan Pengiklan berkenaan dengan Data Peribadi.

1. Susunan Keutamaan.

Sekiranya terdapat percanggahan antara Terma Privasi Pengiklan dan Perjanjian, Terma Privasi Pengiklan akan mentadbir setakat konflik tersebut melainkan peruntukan yang bercanggah dalam Perjanjian dengan jelas merujuk kepada peruntukan yang bercanggah dalam Terma Privasi Pengiklan ini dan menyatakan bahawa ia mengatasi peruntukan yang bercanggah itu.

2. Definisi.

Istilah yang ditakrifkan dalam seksyen ini hendaklah mempunyai makna yang dinyatakan di bawah, dan istilah serumpun hendaklah ditafsirkan dengan sewajarnya. Istilah berhuruf besar yang digunakan tetapi tidak ditakrifkan dalam Terma Privasi Pengiklan hendaklah mempunyai makna yang ditakrifkan dalam Perjanjian.

3. 3. 1. “Undang-undang Perlindungan Data yang Berkenaan” bermaksud mana-mana dan semua undang-undang privasi dan perlindungan data persekutuan, kebangsaan, negeri atau lain-lain yang terpakai kepada Pemprosesan yang merupakan subjek Perjanjian dan Terma Pengiklan ini, seperti yang boleh dipinda atau digantikan dari semasa ke semasa.
      2. “Data yang Dikumpul” bermaksud Data Peribadi yang dikumpulkan oleh setiap pihak daripada Subjek Data pada atau melalui pelayan atau rangkaian mereka (termasuk semua data yang dikumpul secara pasif atau boleh dibaca mesin, seperti data berdasarkan jenis penyemak imbas dan pengecam peranti) berkaitan dengan penyediaan atau penerimaan Perkhidmatan.
      3. “Pengawal” bermaksud: (i) entiti yang menentukan tujuan dan cara Pemprosesan Data Peribadi, dan (ii) mana-mana orang yang termasuk dalam skop istilah “pengawal” (atau mana-mana istilah yang serupa secara substansial) seperti yang ditakrifkan di bawah Undang-undang Perlindungan Data yang Berkenaan.
      4. “Undang-undang Privasi California” bermaksud Akta Privasi Pengguna California 2018, Cal. Kanun Sivil § 1798.100 et seq. (“CCPA“), seperti yang dipinda (termasuk oleh Akta Hak Privasi California), dan mana-mana undang-undang bawahan dan peraturan pelaksanaan.
      5. “Subjek Data” bermaksud: (i) orang sebenar yang dikenal pasti atau boleh dikenal pasti (dan, untuk tujuan ini, orang sebenar yang boleh dikenal pasti ialah orang yang boleh dikenal pasti, secara langsung atau tidak langsung, khususnya dengan merujuk kepada pengecam seperti nama, nombor pengenalan, data lokasi, pengecam dalam talian atau kepada satu atau lebih faktor khusus untuk fizikal, fisiologi, genetik, identiti mental, ekonomi, budaya atau sosial orang semula jadi itu), dan (ii) mana-mana orang yang termasuk dalam skop istilah “subjek data”, “pengguna” (atau mana-mana istilah yang hampir serupa) seperti yang ditakrifkan di bawah Undang-undang Perlindungan Data.
      6. “Undang-undang Perlindungan Data EU” bermaksud: (i) Peraturan Perlindungan Data Am EU (Peraturan 2016/679) (“EU GDPR”); (ii) Arahan e-Privasi EU (Arahan 2002/58/EC); dan (iii) mana-mana undang-undang perlindungan data negara yang dibuat di bawah atau menurut (i) atau (ii), setiap satu yang boleh dipinda atau digantikan dari semasa ke semasa.
      7. “Tujuan yang Dibenarkan” mempunyai makna yang diberikan dalam seksyen 3.
      8. “Data Peribadi” bermaksud sebarang maklumat yang berkaitan dengan Subjek Data (termasuk, jika dikehendaki oleh Undang-undang Perlindungan Data yang Berkenaan, penyemak imbas unik atau pengecam peranti), seperti yang dinyatakan dalam Lampiran A, Bahagian B.
      9. “Proses” bermaksud apa-apa operasi atau set operasi yang dilakukan ke atas Data Peribadi atau pada set Data Peribadi, sama ada dengan cara automatik atau tidak, seperti pengumpulan, penerimaan, rakaman, organisasi, penstrukturan, penggunaan, penghantaran, akses, perkongsian, pendedahan, pemindahan, penyimpanan, penyesuaian atau perubahan, pengambilan, perundingan, penyebaran atau sebaliknya menyediakan, penjajaran atau gabungan, pengagregatan, kesimpulan, derivasi, analisis, sekatan, pemadaman, pemusnahan atau pelupusan atau pengendalian Data Peribadi yang lain, termasuk cara istilah tersebut ditakrifkan di bawah Undang-undang Perlindungan Data yang Berkenaan.
      10. “Pemproses” bermaksud: (i) entiti yang Memproses Data Peribadi bagi pihak Pengawal, dan (ii) mana-mana orang yang termasuk dalam skop istilah “pemproses” (atau mana-mana istilah yang hampir serupa) seperti yang ditakrifkan di bawah Undang-undang Perlindungan Data yang Berkenaan.
      11. “Pemindahan Terhad” bermaksud: (i) di mana GDPR EU terpakai, pemindahan Data Peribadi dari EEA ke negara di luar EEA yang tidak tertakluk kepada penentuan kecukupan oleh Suruhanjaya Eropah (an “Pemindahan Terhad EU“); dan (ii) di mana GDPR UK terpakai, pemindahan Data Peribadi dari United Kingdom ke mana-mana negara lain yang tidak tertakluk kepada atau berdasarkan peraturan kecukupan menurut Seksyen 17A Akta Perlindungan Data United Kingdom 2018 (a “Pemindahan Terhad UK“).
      12. “Jualan” dan “Menjual” bermaksud menukar Data Peribadi untuk pertimbangan kewangan atau lain yang berharga, dan termasuk cara istilah tersebut ditakrifkan di bawah Undang-undang Perlindungan Data yang Berkenaan.
      13. “Perkhidmatan” bermaksud perkhidmatan yang disediakan oleh Taboola di bawah Perjanjian dengan Pengiklan.
      14. “Insiden Keselamatan” bermaksud pelanggaran keselamatan yang membawa kepada kemusnahan, kehilangan, pengubahan, pendedahan tanpa kebenaran atau akses kepada, Data Peribadi secara tidak sengaja atau menyalahi undang-undang.
      15. “Klausa Kontrak Standard” bermaksud: (i) di mana GDPR EU terpakai, klausa kontrak yang dilampirkan kepada Keputusan Pelaksanaan Suruhanjaya Eropah 2021/914 pada 4 Jun 2021 mengenai klausa kontrak standard untuk pemindahan data peribadi ke negara ketiga menurut Peraturan (EU) 2016/679 Parlimen Eropah dan Majlis (“SCC EU”); dan (ii) di mana GDPR UK terpakai, “Adendum Pemindahan Data Antarabangsa kepada Klausa Kontrak Standard Suruhanjaya EU” yang dikeluarkan oleh Pesuruhjaya Maklumat di bawah s.119A(1) DPA 2018 (“Adendum UK”).
      16. “Pihak Ketiga” bermaksud perniagaan yang bertindak sebagai Pengawal berkenaan dengan Data Peribadi, dan itu bukan perniagaan yang Subjek Data yang Data Peribadinya Diproses telah berinteraksi dengan sengaja; istilah ini merangkumi cara istilah tersebut ditakrifkan di bawah Undang-undang Perlindungan Data yang Berkenaan.
      17. “Undang-undang Perlindungan Data UK” bermaksud: (i) Akta Perlindungan Data UK 2018, (ii) GDPR UK (seperti yang ditakrifkan dalam s.3(10) Akta Perlindungan Data UK 2018) (“UK GDPR“), (iii) Peraturan-Peraturan Privasi dan Komunikasi Elektronik UK (Arahan SPR) 2003), dan (iv) mana-mana undang-undang UK lain yang dibuat di bawah atau menurut (i), (ii) atau (iii), masing-masing boleh dipinda atau digantikan dari semasa ke semasa.

3. Had Tujuan.

Setiap pihak hendaklah Memproses Data yang Dikumpul yang dikumpulkan atau diterima daripada pihak lain untuk tujuan yang dinyatakan dalam Lampiran A, Bahagian B (“Tujuan yang Dibenarkan”).  Pengiklan bersetuju bahawa Taboola akan Memproses Data yang Dikumpul seperti yang dibenarkan oleh Dasar Privasi Taboola (yang, untuk mengelakkan keraguan, juga akan menjadi Tujuan yang Dibenarkan untuk Taboola).

4. Hubungan Pihak-pihak.

Setakat mana Data yang Dikumpul layak sebagai, atau mengandungi, Data Peribadi di bawah Undang-undang Perlindungan Data yang Berkenaan, setiap pihak hendaklah Memproses Data yang Dikumpul yang dikumpulkan atau diterima daripada pihak lain sebagai Pengawal (yang mungkin termasuk, di mana Undang-undang Privasi California terpakai, sebagai Pihak Ketiga, jika berkenaan).  Pendedahan (sama ada pemindahan, atau melalui pihak yang menyediakan data kepada pihak lain) Data yang Dikumpul atau Data Peribadi daripada satu pihak kepada pihak yang lain adalah pendedahan kepada Pihak Ketiga.

1. 1. 1. Jika Undang-undang Perlindungan Data negeri AS atau AS terpakai kepada Data yang Dikumpul, termasuk tanpa had Undang-undang Privasi California, setakat Realize Pixels (dahulunya dinamakan sebagai “Piksel Taboola”) digunakan berkaitan dengan Perkhidmatan Memproses Data Peribadi tentang Pelawat, Taboola bertindak sebagai Pihak Ketiga kepada Pengiklan untuk Data Peribadi tersebut. Taboola akan Memproses Data Peribadi tersebut untuk Tujuan yang Dibenarkan. Data Peribadi sedemikian hanya disediakan kepada Taboola untuk Tujuan yang Dibenarkan.  Taboola akan menyediakan tahap perlindungan privasi yang sama seperti yang dikehendaki Perniagaan oleh Undang-undang Perlindungan Data AS yang berkenaan, termasuk jika berkenaan, Undang-undang Privasi California. Taboola akan memaklumkan kepada Pengiklan dalam tempoh masa yang diperlukan oleh Undang-undang Perlindungan Data yang Berkenaan jika Taboola menentukan ia tidak lagi dapat memenuhi kewajipannya di bawah Undang-undang Perlindungan Data yang Berkenaan. Setelah memberikan notis kepada Taboola, Pengiklan mempunyai hak untuk mengambil langkah yang munasabah dan sesuai untuk menghentikan dan memulihkan penggunaan Data Peribadi yang tidak dibenarkan yang disediakan kepada Taboola.

5. Penggunaan Undang-undang Perlindungan Data.

Pihak-pihak mengakui bahawa sebahagian atau semua Data yang Dikumpul mungkin layak sebagai, atau termasuk, Data Peribadi dan oleh itu bahawa Undang-undang Perlindungan Data yang Berkenaan mungkin terpakai kepada Pemprosesan Data yang Dikumpul oleh setiap pihak.  Jika ini berlaku, dan tertakluk kepada seksyen 7, setiap pihak hendaklah bertanggungjawab secara individu untuk pematuhannya sendiri terhadap Undang-undang Perlindungan Data yang Berkenaan, termasuk sebarang keperluan yang berkenaan untuk: (i) memberikan ketelusan kepada Subjek Data, (ii) mempunyai persetujuan atau asas undang-undang lain untuk Pemprosesan, dan (iii) menyediakan titik hubungan di mana Subjek Data boleh melaksanakan hak perlindungan data mereka.

6. Pemindahan Antarabangsa.

Sekiranya mana-mana pihak membuat Pemindahan Terhad Data yang Dikumpul kepada pihak lain, peruntukan Lampiran C akan terpakai.

7. Ketelusan untuk pelawat di halaman pendaratan pengiklan.

Taboola menggunakan Realize Pixels untuk menyediakan Perkhidmatan.  Walau apa pun seksyen 5, setakat Taboola mengumpul Data yang Dikumpul daripada sifat digital Pengiklan (seperti tapak web, aplikasi mudah alih atau sebaliknya) menggunakan Realize Pixels, Pengiklan hendaklah: (i) memberikan semua notis ketelusan yang diperlukan kepada Subjek Data tentang penggunaan Realize Pixels oleh Taboola untuk mengumpul Data yang Dikumpul daripada harta digital Pengiklan untuk Tujuan yang Dibenarkan, dan (ii) mendapatkan (dan, atas permintaan pada bila-bila masa oleh Taboola, berikan bukti yang sesuai tentang) Subjek Data bersetuju dengan penggunaan Realize Pixels sedemikian untuk Tujuan yang Dibenarkan, dalam setiap kes mengikut keperluan Undang-undang Perlindungan Data yang Berkenaan.  Kewajipan Pengiklan dalam hal ini termasuk mengenal pasti Taboola dan penggunaan Realize Pixels untuk Tujuan yang Dibenarkan dengan jelas dalam notis ketelusan dan gesaan persetujuan yang diberikan oleh Pengiklan kepada Subjek Data, serta sebarang maklumat lain yang diperlukan oleh Undang-undang Perlindungan Data yang Berkenaan, supaya Taboola boleh menyediakan Perkhidmatannya secara sah melalui sifat digital tersebut dan Memproses Data yang Dikumpul dan Data Peribadi untuk Tujuan yang Dibenarkan.  Atas permintaan bertulis, Taboola hendaklah memberikan Pengiklan maklumat yang diperlukan tentang Merealisasikan Piksel dan Pemprosesan Data yang Dikumpul oleh Taboola melalui sifat digital Pengiklan untuk Pengiklan untuk memastikan bahawa mekanisme notis dan persetujuannya akan mematuhi Undang-undang Perlindungan Data yang Berkenaan.  Pengiklan tidak boleh memecahkan mana-mana Realize Pixels melainkan dan sehingga sebarang ketelusan yang diperlukan telah disediakan dan sebarang persetujuan yang diperlukan yang diperlukan di bawah Undang-undang Perlindungan Data Berkenaan telah diperolehi. Pengiklan selanjutnya hendaklah memberikan maklumat kepada Subjek Data tentang cara mereka boleh melaksanakan hak perlindungan data mereka di bawah Undang-undang Perlindungan Data yang Berkenaan, dan menyediakan titik hubungan untuk Subjek Data menghubungi untuk melaksanakan hak mereka. Pengiklan hendaklah segera memberitahu Taboola jika dan setakat mana ia menerima sebarang permintaan hak perlindungan data mengenai Pemprosesan Data yang Dikumpul oleh Taboola sebagai Pengawal agar Taboola boleh memenuhi permintaan mengikut kewajipannya di bawah Undang-undang Perlindungan Data yang Berkenaan.

8. Rakan Kongsi Atribusi.

Jika Taboola, atas permintaan Pengiklan, menghantar Data Peribadi kepada rakan kongsi atribusi Pengiklan atau kepada Pengiklan untuk tujuan atribusi, Pengiklan mewakili dan menjamin bahawa: (i) rakan kongsi atribusinya ialah Pemproses bagi pihak Pengiklan; (ii) melainkan dikumpulkan sebaliknya secara bebas, Pengiklan dan rakan kongsi atribusi akan menggunakan Data Peribadi tersebut semata-mata untuk tujuan atribusi; dan (iii) rakan kongsi atribusi dan Pengiklan akan memadamkan semua Data Peribadi yang diluluskan dalam tempoh tiga puluh (30) hari dari tarikh terakhir mengenal pasti Pelawat sebagai datang dari Taboola.

9. Keselamatan.

Setiap pihak hendaklah melaksanakan langkah keselamatan teknikal dan organisasi yang sesuai untuk melindungi Data yang Dikumpul dan/atau Data Peribadi yang Diproses daripada dan terhadap Insiden Keselamatan.  Langkah-langkah ini hendaklah termasuk langkah-langkah yang dinyatakan dalam Lampiran B.

10. Insiden Keselamatan.

Jika mana-mana Pihak mengalami Insiden Keselamatan berkenaan dengan Data yang Dikumpul dan/atau Data Peribadi yang Diprosesnya dan yang merupakan subjek Perjanjian dan Terma Privasi Pengiklan ini, Pihak tersebut hendaklah: (i) bertanggungjawab untuk memenuhi (dengan kosnya sendiri) apa-apa kewajipan pelaporan yang terpakai kepadanya di bawah Undang-undang Perlindungan Data yang Berkenaan kepada pihak berkuasa perlindungan data dan/atau Subjek Data yang terjejas, (ii) memberitahu Pihak lain tanpa berlengah-lengah yang tidak wajar, memberikan maklumat tentang Insiden Keselamatan yang mungkin diminta secara munasabah oleh Pihak lain atau sebagaimana yang dikehendaki oleh Pihak lain untuk menentukan sama ada ia juga mungkin mempunyai kewajipan pelaporan di bawah Undang-undang Perlindungan Data yang Berkenaan berkenaan dengan Insiden Keselamatan, dan (iii) mengambil semua tindakan dan langkah sedemikian, tanpa berlengah-lengah yang tidak wajar, seperti yang sesuai untuk memulihkan dan/atau mengurangkan kesan Insiden Keselamatan

11. DPIAs. 

Di mana dan setakat yang dikehendaki oleh Undang-undang Perlindungan Data yang Berkenaan yang tertakluk kepada setiap pihak, setiap pihak hendaklah menjalankan sebarang penilaian kesan perlindungan data berkenaan dengan Pemprosesan Data yang Dikumpul dan/atau Data Peribadi untuk Tujuan yang Dibenarkan dan/atau berunding dengan pihak berkuasa perlindungan data yang berkenaan, jika perlu.  Setiap pihak hendaklah memberikan semua kerjasama dan maklumat yang munasabah yang diminta secara munasabah oleh pihak lain, di mana ini perlu untuk membolehkan pihak lain melengkapkan penilaian kesan perlindungan data dan/atau berunding dengan pihak berkuasa perlindungan data yang berkenaan mengikut kewajipan pihak lain di bawah seksyen 11 ini.

 

ANNEX A

PENERANGAN PEMPROSESAN

A. SENARAI PARTI

Setiap pihak hendaklah:

3. 3. • pengawal data (dan pengeksport data) Data yang Dikumpul yang didedahkan, atau disediakan, kepada pihak lain, dan
      • pengawal data (dan pengimport data) Data yang Dikumpul yang diterimanya daripada, atau akses yang disediakan oleh, pihak lain.

Butiran setiap pihak disediakan di bawah.

Nama: Lihat butiran Pengiklan yang dinyatakan dalam Perjanjian.

Alamat: Lihat butiran Pengiklan yang dinyatakan dalam Perjanjian.

Nama, jawatan dan butiran hubungan orang hubungan: Lihat butiran Pengiklan yang dinyatakan dalam Perjanjian atau sebaliknya dipersetujui antara pihak-pihak secara bertulis.

Aktiviti yang berkaitan dengan data yang dipindahkan di bawah Fasal ini: Penerimaan Perkhidmatan, seperti yang dinyatakan dalam Perjanjian.

Tandatangan dan tarikh: Lampiran A ini hendaklah dianggap dilaksanakan setelah Pengiklan menerima Terma Privasi Pengiklan ini.

Peranan (pengawal / pemproses): Pengawal (di mana ia adalah pengeksport data) dan Pengawal (di mana ia adalah pengimport data)

 

Nama: Lihat butiran Taboola yang dinyatakan dalam pengenalan kepada Perjanjian.

Alamat: Lihat butiran Taboola yang dinyatakan dalam pengenalan kepada Perjanjian.

Nama, jawatan dan butiran hubungan orang hubungan: Pasukan privasi Taboola, privacy@taboola.com.

Aktiviti yang berkaitan dengan data yang dipindahkan di bawah Fasal ini: Penyediaan Perkhidmatan, seperti yang dinyatakan dalam Perjanjian.

Tandatangan dan tarikh: Lampiran A ini akan dianggap dilaksanakan selepas Taboola menerima Terma Privasi Pengiklan ini.

Peranan (pengawal / pemproses): Pengawal (di mana ia adalah pengeksport data) dan Pengawal (di mana ia adalah pengimport data)

 

B. PERIHALAN PEMPROSESAN DAN PEMINDAHAN

Kategori subjek data yang data peribadinya diproses dan/atau dipindahkan: Pengguna

Kategori data peribadi yang diproses dan/atau dipindahkan:

Data Peranti: Sistem pengendalian, jenis penyemak imbas, versi penyemak imbas, alamat IP (dipotong dalam masa 30 hari) selepas pengumpulan, poskod (diperoleh daripada alamat IP), ID Pengguna Taboola yang dicincang , e-mel cincang, lawatan halaman awal dan seterusnya di laman web Pengiklan, jantina pengguna (disimpulkan oleh minat), isyarat penglibatan (masa di tapak, kedalaman tatal, kedalaman sesi), data penukaran.

Data mengenai harta digital yang dilawati oleh pengguna: URL halaman yang dilawati, laman web rujukan

Data sensitif yang dipindahkan (jika berkenaan) dan sekatan atau perlindungan yang dikenakan yang mengambil kira sepenuhnya sifat data dan risiko yang terlibat, seperti contohnya had tujuan yang ketat, sekatan akses (termasuk akses hanya untuk kakitangan yang mengikuti latihan khusus), menyimpan rekod akses kepada data, sekatan untuk pemindahan seterusnya atau langkah keselamatan tambahan: Tidak berkenaan.

Kekerapan pemprosesan dan/atau pemindahan (cth. sama ada data diproses dan/atau dipindahkan secara sekali sahaja atau berterusan): Berterusan sepanjang tempoh Perjanjian.

Sifat pemprosesan: Pemprosesan Data Peribadi yang diperlukan untuk penyediaan Perkhidmatan, seperti yang dinyatakan dalam Perjanjian.

Tujuan pemprosesan / pemindahan data dan pemprosesan selanjutnya: Penyediaan Perkhidmatan, seperti yang dinyatakan dalam Perjanjian. Untuk mengelakkan keraguan, Tujuan yang Dibenarkan termasuk: (i) menyimpan dan/atau mengakses maklumat pada peranti; (ii) memilih iklan asas; (iii) mencipta profil iklan yang diperibadikan; (iv) memilih iklan yang diperibadikan; (v) mencipta profil kandungan yang diperibadikan; (vi) memilih kandungan yang diperibadikan; (vii) mengukur prestasi iklan; (viii) mengukur prestasi kandungan; (ix) membangunkan dan menambah baik produk; (x) memastikan keselamatan, mencegah penipuan dan penyahpepijatan; (xi) menyampaikan iklan atau kandungan secara teknikal; (xii) memadankan dan menggabungkan sumber data luar talian; (xiii) menghubungkan peranti yang berbeza; (xiv) menerima dan menggunakan ciri peranti yang dihantar secara automatik untuk pengenalan; (xv) menggunakan data terhad untuk memilih kandungan, dan (xvi) understanding khalayak melalui statistik.

Tempoh di mana data peribadi akan disimpan, atau, jika itu tidak mungkin, kriteria yang digunakan untuk menentukan tempoh tersebut:

3. 3. • Taboola: Data mentah disimpan selama paling lama 13 bulan.
      • Pengiklan: Selama yang diperlukan untuk menerima Perkhidmatan atau seperti yang dinyatakan dalam Perjanjian.

Untuk pemindahan kepada (sub-) pemproses, juga nyatakan subjek, sifat dan tempoh pemprosesan: Tidak berkenaan.

 

C. PIHAK BERKUASA PENYELIAAN YANG KOMPETEN

Pihak berkuasa penyeliaan yang kompeten di mana GDPR EU terpakai: Pihak berkuasa penyeliaan yang kompeten untuk setiap pihak adalah seperti yang diterangkan di bawah:

3. 3. • Taboola: Pihak berkuasa penyeliaan yang kompeten hendaklah ditentukan mengikut Fasal 13 SCC EU.
      • Pengiklan: Pihak berkuasa penyeliaan yang kompeten hendaklah ditentukan mengikut Fasal 13 SCC EU.

Pihak berkuasa penyeliaan yang kompeten di mana GDPR UK terpakai: Pejabat Pesuruhjaya Maklumat

 

ANNEX B

LANGKAH KESELAMATAN

Penerangan tentang langkah-langkah teknikal dan organisasi yang dilaksanakan oleh setiap pihak (termasuk sebarang pensijilan yang berkaitan) untuk memastikan tahap keselamatan yang sesuai, dengan mengambil kira sifat, skop, konteks dan tujuan pemprosesan, dan risiko untuk hak dan kebebasan orang semula jadi.

Langkah-langkah samaran dan penyulitan data peribadi: Taboola hanya mengumpul data samaran, yang bermaksud kami tidak tahu siapa anda kerana kami tidak mengetahui atau memproses nama pengguna, alamat e-mel atau data lain yang boleh dikenal pasti. Maklumat Pengguna yang kami kumpulkan termasuk, tetapi tidak terhad kepada, Maklumat tentang peranti dan sistem pengendalian Pengguna, alamat IP, halaman web yang diakses oleh Pengguna dalam laman web Pelanggan kami, pautan yang membawa Pengguna ke laman web Pelanggan, tarikh dan masa Pengguna mengakses laman web Pelanggan dan data penyemakan imbas web lain. CookieID dianonimkan menggunakan Bcrypt dan alamat IP dipotong.

Langkah-langkah untuk memastikan kerahsiaan, integriti, ketersediaan dan daya tahan sistem dan perkhidmatan pemprosesan yang berterusan: Taboola menggunakan pelbagai tahap keselamatan elektronik (cth: keselamatan titik akhir, keselamatan bahagian pelayan, penjejakan pengesanan, ujian penembusan berkala dan pengumpulan risikan mendalam untuk menyemak peristiwa bedah siasat).

Langkah-langkah untuk memastikan keupayaan untuk memulihkan ketersediaan dan akses kepada data peribadi tepat pada masanya sekiranya berlaku insiden fizikal atau teknikal: Taboola mengekalkan 9 pusat data yang beroperasi di seluruh dunia. Setiap pusat data digunakan sebagai replikasi antara satu sama lain, jadi jika satu jatuh, data boleh diekstrak daripada pusat data lain.

Proses untuk menguji, menilai dan menilai keberkesanan langkah-langkah teknikal dan organisasi secara berkala untuk memastikan keselamatan pemprosesan: Taboola mengekalkan proses yang ketat untuk menguji keberkesanan kawalannya (baik teknikal dan organisasi). Kami mempunyai pembalakan dan pemantauan sistem, ujian DR bulanan (sekurang-kurangnya), ujian penembusan suku tahunan, Firewall yang melindungi web dan honeypot yang tersebar di seluruh rangkaian untuk mencari sebarang aktiviti berniat jahat. Selain itu, kami mempunyai program hadiah yang membantu kami sentiasa memantau rangkaian kami.

Langkah-langkah untuk pengenalan dan kebenaran pengguna: Setiap pengguna di Taboola dikaitkan dengan nama pengguna dan kata laluan khusus. Setiap akses kepada rangkaian dalaman Taboola dilakukan dengan 2FA menggunakan pengesahan Google. Pengguna dicipta hanya oleh jabatan IT, semasa proses onboarding dan hanya selepas menerima semua butiran dan kontrak yang ditandatangani daripada jabatan HR.

Langkah-langkah untuk perlindungan data semasa penghantaran: Taboola menyokong sebarang penghantaran data melalui protokol penghantaran selamat (HTTPS dan TLS v1.2 sekurang-kurangnya). Tambahan pula, sistem yang mungkin mengandungi PII dilindungi dan data disimpan cincang dan tanpa nama.

Langkah-langkah untuk perlindungan data semasa penyimpanan: Data yang disimpan dalam pangkalan data kami dianonimkan dan dicincang menggunakan Bcrypt. Akses kepada DB diminimumkan dan berdasarkan prinsip ‘perniagaan perlu tahu’.

Langkah-langkah untuk memastikan keselamatan fizikal lokasi di mana data peribadi diproses: Setiap pusat data global Taboola (di AS, Eropah dan Asia), mempunyai semua pelayannya terletak dalam kabinet berkunci yang diselenggara secara eksklusif untuk kegunaan Taboola. Kabinet ini diselenggara oleh syarikat yang sama ada diperakui SOC2 atau Taboola telah mengkaji semula langkah keselamatan mereka. Selanjutnya, sebarang akses kepada pelayan memerlukan kebenaran bertulis dan dilog. Semua pejabat Taboola juga dikawal, dan memerlukan pekerja menggunakan kad akses untuk masuk. Tambahan pula, hanya bilangan pekerja yang terhad mempunyai akses kepada pelayan Taboola dan sebarang akses juga memerlukan kebenaran bertulis dan dilog.

Langkah-langkah untuk memastikan pembalakan acara: Taboola melaksanakan alat pemantauan dan log dikumpulkan ke sistem SIEM kami yang memberi amaran kepada kami tentang sebarang kejadian yang mencurigakan dan juga dipantau oleh pasukan NOC.

Langkah-langkah untuk memastikan konfigurasi sistem, termasuk konfigurasi lalai: Pelayan diimbas untuk kedua-dua penyimpangan konfigurasi dan tahap tampalan. Pelaporan dan/atau amaran ditetapkan pada kedua-duanya dan tahap tampalan yang berkaitan disahkan. Tampalan baharu diedarkan menggunakan Boneka. Semua semakan teknikal diuruskan melalui aplikasi R&D dan diperoleh melalui proses semakan formal (QA) selepas proses pengekodan dan CI/CD dilaksanakan juga.

Langkah-langkah untuk tadbir urus dan pengurusan keselamatan IT dan IT dalaman: Taboola diperakui ISO 27001:2013 dan 27701. Taboola mempunyai Dasar Keselamatan Maklumat yang menyatakan bahawa Lembaga Pengarah dan pengurusan Taboola komited untuk memelihara kerahsiaan, integriti dan ketersediaan semua aset maklumat fizikal dan elektronik di seluruh organisasi mereka. Taboola mengadakan latihan keselamatan untuk semua pekerja baharu, latihan pancingan data untuk semua pekerja di seluruh dunia, dan latihan keselamatan biasa untuk semua pekerja dan juga mendedikasikan sesi untuk kumpulan R&D.

Langkah-langkah untuk pensijilan/jaminan proses dan produk: Audit dalaman suku tahunan / separuh tahunan / tahunan pada pelbagai proses dan sistem untuk mengesahkan bahawa Taboola mematuhi matlamat dan langkah keselamatannya yang ditakrifkan.

Langkah-langkah untuk memastikan pengurangan data: Taboola sengaja mengehadkan data yang kami kumpulkan sebagai sebahagian daripada prinsip pengurangan data global Taboola untuk memproses hanya data terhad yang diperlukan untuk tujuan perniagaan khusus kami. Tambahan pula, Taboola tidak mempunyai keupayaan, mahupun sebarang keperluan perniagaan, untuk “kejuruteraan terbalik” mana-mana titik data yang digunakan dalam algoritma kami untuk menyediakan perkhidmatan kami. Lebih khusus lagi, titik data yang dikumpulkan oleh Taboola tidak pernah menunjukkan identiti pengguna — kerana Taboola tidak mengumpul atau memproses maklumat seperti nama pengguna, nombor telefon, e-mel atau alamat fizikal. Sebaliknya, Taboola hanya mengumpul pengecam nama samaran, yang hanya mengenal pasti ciri-ciri tentang peranti pengguna. Ini termasuk alamat IP (yang dipotong semasa pengumpulan dan hanya boleh mengenal pasti lokasi poskod umum peranti, tetapi tidak pernah geolokasi yang tepat) dan, dalam beberapa keadaan terhad, alamat e-mel cincang (yang sememangnya tidak boleh dipulihkan dan tidak boleh dinyahsulit untuk mendedahkan alamat e-mel asal). Selain itu, walaupun digunakan secara kolektif, data yang kami kumpulkan tidak boleh menghasilkan nama, nombor telefon, e-mel atau alamat fizikal individu, dan jurutera kami tidak bekerja dalam apa jua cara untuk mencapai matlamat ini. Selain itu, Taboola membuat dan merekodkan penilaian kesan privasi dalam usaha untuk meminimumkan risiko privasi perkhidmatan, proses dan dasar kami.

Langkah-langkah untuk memastikan kualiti data: Data dikumpulkan terus daripada pengguna dan pengguna diberi peluang untuk membetulkan sebarang data yang berkaitan dengan CookieID mereka melalui Portal Permintaan Akses Subjek Taboola: https://accessrequest.taboola.com/access

Langkah-langkah untuk memastikan pengekalan data terhad: Kami mengekalkan Maklumat Pengguna, yang dikumpulkan secara langsung untuk tujuan menyiarkan iklan, selama paling lama tiga belas (13) bulan dari interaksi terakhir Pengguna dengan Perkhidmatan kami (selalunya untuk tempoh masa yang lebih singkat), selepas itu kami menyahkenal pasti data dengan mengalih keluar pengecam unik atau mengagregatkan data. Proses ini dilakukan secara automatik.

Langkah-langkah untuk memastikan akauntabiliti: Taboola melakukan pelbagai audit keselamatan dan ujian penembusan (tetapi tidak untuk semua sistem). Taboola juga menggunakan penyedia awan yang diperakui ISO dan yang mematuhi pensijilan lain yang berkaitan dengan awan untuk mengekalkan perlindungan fizikal pelayan.

Langkah-langkah untuk membenarkan mudah alih data dan memastikan pemadaman: Taboola berkaitan pelupusan media sama untuk semua jenis media kerana ia mungkin mengandungi PII. Mana-mana media mesti disapu sepenuhnya sebelum digunakan semula atau dilupuskan. Sebarang pelupusan media didokumenkan. Pekerja diarahkan untuk tidak mencetak sebarang kertas yang mungkin mengandungi maklumat peribadi.

ANNEX C

PEMINDAHAN TERHAD

1. Setakat mana pihak membuat Pemindahan Terhad Data yang Dikumpul kepada pihak lain, Klausa Kontrak Standard hendaklah dimasukkan ke dalam Terma Privasi Pengiklan ini dan terpakai seperti berikut:
   1. di mana Pemindahan Terhad ialah Pemindahan Terhad EU, SCC EU akan digunakan antara pihak-pihak seperti berikut:
      1. Modul Satu akan digunakan;
      2. dalam Fasal 7, Fasal dok pilihan akan terpakai;
      3. dalam Fasal 11, bahasa pilihan tidak akan terpakai;
      4. dalam Fasal 17, Pilihan 1 akan terpakai, dan SCC EU akan ditadbir oleh undang-undang Ireland;
      5. dalam Fasal 18 (b), pertikaian hendaklah diselesaikan di hadapan mahkamah Ireland;
      6. Bahagian A, B dan C Lampiran I hendaklah dianggap lengkap dengan maklumat yang dinyatakan dalam Bahagian A, B dan C Lampiran A kepada Terma Privasi Pengiklan ini; Dan
      7. Lampiran II hendaklah dianggap lengkap dengan langkah-langkah keselamatan yang dinyatakan dalam Lampiran B kepada Terma Privasi Pengiklan ini;
   2. di mana Pemindahan Terhad ialah Pemindahan Terhad UK, Adendum UK akan digunakan antara pihak-pihak seperti berikut:
      1. SCC EU, yang dilengkapkan seperti yang dinyatakan di atas hendaklah terpakai antara pihak-pihak, dan hendaklah diubah suai oleh Adendum UK (dilengkapkan seperti yang dinyatakan dalam sub-fasal (ii) di bawah); Dan
      2. jadual 1 hingga 3 Adendum UK hendaklah dianggap lengkap dengan maklumat yang berkaitan daripada SCC EU, dilengkapkan seperti yang dinyatakan di atas, dan pilihan “Pengeksport” dan “Pengimport” hendaklah dianggap diperiksa dalam jadual 4. Tarikh mula Adendum UK (seperti yang dinyatakan dalam jadual 1) ialah Tarikh Berkuat Kuasa Terma Privasi Pengiklan ini.
2. Pemindahan Terhad Seterusnya:  Kedua-dua pihak tidak akan membuat Pemindahan Terhad Data yang Dikumpul yang mereka terima daripada pihak lain melainkan ia telah melakukan semua tindakan dan perkara yang diperlukan untuk memastikan bahawa Pemindahan Terhad tersebut mematuhi Undang-undang Perlindungan Data yang Berkenaan dan mana-mana Klausa Kontrak Standard yang telah dipersetujui dengan pihak lain.