Adendum Perlindungan Data untuk RTB dan Rakan Kongsi Terprogram
Last Update: May 29, 2024
Adendum Perlindungan Data untuk RTB dan Rakan Kongsi Terprogram
Tarikh Berkuat Kuasa: Boleh 29, 2024
Untuk memastikan bahawa Taboola mempunyai syarat perlindungan data yang sesuai dengan Rakan Kongsi Terprogram dan RTB kami (masing-masing “Rakan kongsi“) Taboola menyediakan Adendum Perlindungan Data ini (“DPA”).
DPA ini secara automatik melengkapkan dan membentuk sebahagian daripada pengaturan perniagaan kontrak sedia ada antara Rakan Kongsi dan Taboola yang berkaitan dengan penyediaan RTB dan perkhidmatan terprogram (“Perjanjian Asas”).
Semua istilah berhuruf besar yang digunakan dalam DPA ini, tetapi tidak ditakrifkan dalam DPA ini hendaklah mempunyai makna yang diberikan kepadanya dalam Perjanjian Asas. Sekiranya berlaku sebarang percanggahan antara DPA ini dan Perjanjian Asas, DPA ini akan diguna pakai setakat konflik tersebut.
1. Definisi
“Undang-undang Perlindungan Data yang Berkenaan” bermaksud mana-mana dan semua undang-undang privasi dan perlindungan data persekutuan, kebangsaan, negeri atau lain-lain yang berkenaan yang boleh dipinda atau digantikan dari semasa ke semasa, termasuk, jika berkenaan dan tanpa had, CCPA (seperti yang ditakrifkan di bawah), dan Undang-undang Perlindungan Data Eropah.
“CCPA” bermaksud Akta Privasi Pengguna California (Cal. Civ. Kod §§ 1798.100 – 1798.199), seperti yang dipinda oleh Akta Hak Privasi California (Cal. Civ. Kod §§ 1798.100 – 1798.199).
“Pengawal” bermaksud entiti yang menentukan tujuan dan cara pemprosesan Maklumat Peribadi, dan termasuk mana-mana entiti yang memproses Maklumat Peribadi sebagai “perniagaan” atau “pihak ketiga” di bawah CCPA dan CPRA.
“Rangka Kerja Privasi Data” atau “DPF” bermaksud EU-A.S. Rangka Kerja Privasi Data dan Pelanjutan UK kepada EU-AS DPF seperti yang ditetapkan oleh A.S. Jabatan Perdagangan.
“Undang-undang Perlindungan Data Eropah” bermaksud Undang-undang Perlindungan Data EU dan Undang-undang Perlindungan Data UK.
“Undang-undang Perlindungan Data EU” bermaksud: (i) Peraturan EU 2016/679 (“EU GDPR“); (ii) Arahan EU 2002/58/EC; dan (iii) undang-undang negara setiap negara anggota EEA yang dibuat di bawah, menurut atau yang melaksanakan (i) atau (ii), atau yang berkaitan dengan pemprosesan data peribadi; dalam setiap kes, seperti yang dipinda atau digantikan dari semasa ke semasa.
“Maklumat Peribadi” bermaksud apa-apa maklumat yang berkaitan dengan orang sebenar yang dikenal pasti atau boleh dikenal pasti, dan termasuk sebarang maklumat yang ditakrifkan sebagai “data peribadi” atau “maklumat peribadi” seperti yang ditakrifkan di bawah Undang-undang Perlindungan Data yang Berkenaan.
“Tujuan yang Dibenarkan” bermaksud tujuan pembidaan masa nyata, yang berkaitan dengan pembelian dan penjualan iklan dalam talian mengikut Perjanjian Asas, yang mana Taboola mendedahkan atau sebaliknya menyediakan Data Dikongsi kepada Rakan Kongsi untuk diproses, seperti yang dinyatakan dalam Lampiran I.
“Pemindahan Terhad” bermaksud: (i) di mana GDPR EU terpakai, pemindahan data peribadi dari EEA ke negara di luar EEA yang tidak tertakluk kepada penentuan kecukupan oleh Suruhanjaya Eropah (an “Pemindahan Terhad EU“); dan (ii) di mana GDPR UK terpakai, pemindahan data peribadi dari United Kingdom ke mana-mana negara lain yang tidak tertakluk kepada atau berdasarkan peraturan kecukupan menurut Seksyen 17A Akta Perlindungan Data United Kingdom 2018 (a “Pemindahan Terhad UK“).
“Insiden Keselamatan” bermaksud pelanggaran keselamatan yang membawa kepada kemusnahan, kehilangan, perubahan, pendedahan tanpa kebenaran atau akses kepada, Data Dikongsi secara tidak sengaja atau menyalahi undang-undang.
“Menjual” dan “Berkongsi” hendaklah mempunyai makna yang dinyatakan dalam CCPA dan CPRA dan peraturan pelaksanaannya.
“Data Dikongsi” bermaksud kategori Maklumat Peribadi yang disenaraikan dalam Lampiran I kepada DPA ini.
“Klausa Kontrak Standard” bermaksud: (i) di mana GDPR EU terpakai, klausa kontrak yang dilampirkan kepada Keputusan Pelaksanaan Suruhanjaya Eropah 2021/914 pada 4 Jun 2021 mengenai klausa kontrak standard untuk pemindahan data peribadi ke negara ketiga menurut Peraturan (EU) 2016/679 Parlimen Eropah dan Majlis (“SCC EU”); dan (ii) di mana GDPR UK terpakai, “Adendum Pemindahan Data Antarabangsa kepada Klausa Kontrak Standard Suruhanjaya EU” yang dikeluarkan oleh Pesuruhjaya Maklumat di bawah s.119A(1) DPA 2018 (“Adendum UK”).
“Undang-undang Perlindungan Data UK” bermaksud: (i) GDPR EU kerana ia merupakan sebahagian daripada undang-undang UK berdasarkan seksyen 3 Akta Kesatuan Eropah (Penarikan) 2018 (“UK GDPR“); (ii) Peraturan-Peraturan Privasi dan Komunikasi Elektronik (Arahan SPR) 2003; (iii) Akta Perlindungan Data 2018; dan (iv) mana-mana undang-undang lain di UK yang dibuat di bawah, menurut atau yang melaksanakan (i) atau (ii), atau yang berkaitan dengan pemprosesan data peribadi; dalam setiap kes, seperti yang dipinda atau digantikan dari semasa ke semasa.
2. Pendedahan data
Tertakluk kepada pematuhan Rakan Kongsi dengan Perjanjian Asas dan DPA ini, Taboola akan mendedahkan atau sebaliknya menyediakan Data Dikongsi kepada Rakan Kongsi untuk diproses oleh Rakan Kongsi dengan ketat untuk Tujuan yang Dibenarkan.
3. Hubungan pihak-pihak
Pihak-pihak mengakui bahawa Taboola ialah pengawal Data Dikongsi yang didedahkan kepada Rakan Kongsi, dan Rakan Kongsi akan memproses Data Dikongsi sebagai pengawal semata-mata untuk Tujuan yang Dibenarkan.
4. Kewajipan Rakan Kongsi
Rakan Kongsi menjamin, mewakili dan berjanji bahawa:
(a) ia akan pada setiap masa Memproses Data Dikongsi hanya untuk Tujuan yang Dibenarkan dan mengikut Undang-undang Perlindungan Data yang Berkenaan;
(b) ia tidak mempunyai sebab untuk mempercayai bahawa Undang-undang Perlindungan Data yang Berkenaan menghalangnya daripada memenuhi kewajipannya berkenaan dengan Pemprosesan Data Dikongsi untuk Tujuan yang Dibenarkan;
(c) jika Rakan Kongsi menentukan ia tidak dapat Memproses Data Dikongsi untuk Tujuan yang Dibenarkan mengikut Undang-undang Perlindungan Data yang Berkenaan, ia akan segera memberitahu Taboola;
(d) ia hendaklah pada setiap masa mengemukakan dan mengekalkan notis privasi yang boleh diakses secara umum di laman webnya yang mematuhi keperluan Undang-undang Perlindungan Data yang Berkenaan, dan yang menyediakan butiran hubungan di mana subjek data boleh mengemukakan pertanyaan yang berkaitan dengan perlindungan data;
(e) ia akan membolehkan subjek data melaksanakan hak perlindungan data mereka mengikut Undang-undang Perlindungan Data yang Berkenaan, termasuk (tanpa had) hak mereka untuk membantah pemprosesan Data Dikongsi mereka;
(f) berkenaan dengan sebarang pemprosesan Data Dikongsi yang dilindungi di bawah Undang-undang Perlindungan Data Eropah, ia hendaklah:
(g) memproses Data Dikongsi hanya jika ia mempunyai persetujuan untuk berbuat demikian, selaras dengan keperluan Undang-undang Perlindungan Data Eropah; Dan
(h) ia hendaklah melaksanakan langkah-langkah teknikal dan organisasi yang sesuai termasuk, sekurang-kurangnya, langkah-langkah yang dinyatakan dalam Lampiran II untuk melindungi Data Dikongsi daripada dan terhadap Insiden Keselamatan.
5. Langkah yang munasabah dan sesuai
Taboola boleh mengambil langkah yang munasabah dan sesuai untuk memastikan Rakan Kongsi memproses Data Dikongsi menurut Perjanjian Asas dan DPA ini dengan cara yang konsisten dengan Undang-undang Perlindungan Data yang Berkenaan.
Jika Rakan Kongsi tidak mematuhi Perjanjian Asas, DPA ini atau Undang-undang Perlindungan Data yang Berkenaan, Taboola mengambil langkah yang munasabah dan sesuai untuk menghentikan dan memulihkan penggunaan Data Dikongsi yang tidak dibenarkan (termasuk menggantung atau menamatkan pendedahan Data Dikongsi kepada Rakan Kongsi).
6. Pematuhan dengan Undang-undang Terpakai
Rakan Kongsi hendaklah mematuhi Undang-undang Perlindungan Data yang Berkenaan, dan hendaklah menyediakan tahap perlindungan privasi yang sama kepada Data Dikongsi seperti yang dikehendaki oleh Undang-undang Perlindungan Data yang Berkenaan.
7. Kewajipan kerjasama
Sekiranya mana-mana pihak menerima sebarang surat-menyurat, pertanyaan atau aduan daripada subjek data, pengawal selia atau pihak ketiga lain (“Menyurat“) berkaitan dengan (a) pendedahan Data Dikongsi untuk Tujuan yang Dibenarkan; atau (b) pemprosesan Data Dikongsi oleh pihak lain, ia hendaklah segera memaklumkan pihak lain yang memberikan butiran penuh tentang perkara yang sama, dan pihak-pihak hendaklah bekerjasama secara munasabah dan dengan niat baik untuk bertindak balas terhadap Surat-menyurat mengikut sebarang keperluan di bawah Undang-undang Perlindungan Data yang Berkenaan.
8. Pemindahan Terhad dari EU dan UK
Setakat mana sebarang pemindahan Data Dikongsi daripada Taboola kepada Rakan Kongsi adalah Pemindahan Terhad, Klausa Kontrak Standard hendaklah dimasukkan ke dalam DPA ini dan terpakai seperti berikut:
(a) di mana Pemindahan Terhad ialah Pemindahan Terhad EU, SCC EU akan digunakan antara Taboola (sebagai pengeksport data) dan Rakan Kongsi (sebagai pengimport data) seperti berikut:
(i) Modul Satu akan terpakai;
(ii) dalam Fasal 7, Fasal dok pilihan akan terpakai;
(iii) dalam Fasal 11, bahasa pilihan tidak akan terpakai;
(iv) dalam Fasal 17, Pilihan 1 akan terpakai, dan SCC EU akan ditadbir oleh undang-undang Ireland;
(v) dalam Fasal 18(b), pertikaian hendaklah diselesaikan di hadapan mahkamah Ireland;
(vi) dalam Lampiran I:
(A) Bahagian A dan B hendaklah dianggap lengkap dengan maklumat yang dinyatakan dalam Lampiran A kepada DPA ini;
(B) Bahagian C hendaklah dianggap lengkap mengikut kriteria yang ditetapkan dalam Fasal 13 (a) SCC EU; Dan
(vii) Lampiran II hendaklah dianggap lengkap dengan langkah-langkah keselamatan yang dinyatakan dalam Lampiran B kepada DPA ini.
(b) di mana Pemindahan Terhad ialah Pemindahan Terhad UK, Adendum UK akan terpakai antara pihak-pihak seperti berikut:
(i) SCC EU, yang dilengkapkan seperti yang dinyatakan di atas akan terpakai antara pihak-pihak, dan hendaklah diubah suai oleh Adendum UK (dilengkapkan seperti yang dinyatakan dalam sub-fasal (ii) di bawah); Dan
(ii) jadual 1 hingga 3 Adendum UK hendaklah dianggap lengkap dengan maklumat yang berkaitan daripada SCC EU, dilengkapkan seperti yang dinyatakan di atas, dan pilihan “Pengeksport” dan “Pengimport” hendaklah dianggap diperiksa dalam jadual 4. Tarikh mula Adendum UK (seperti yang dinyatakan dalam jadual 1) hendaklah tarikh kuat kuasa DPA ini.
Rakan Kongsi tidak akan membuat Pemindahan Terhad Data Dikongsi kepada pihak ketiga melainkan ia telah melakukan semua tindakan dan perkara yang diperlukan untuk memastikan bahawa Pemindahan Terhad mematuhi Undang-undang Perlindungan Data yang Berkenaan dan mana-mana Klausa Kontrak Standard yang telah dilaksanakan dengan Taboola.
Walau apa pun perkara di atas, jika Rakan Kongsi telah diperakui di bawah dan mematuhi DPF, pemindahan Data Dikongsi kepada Rakan Kongsi yang dibuat di bawah DPF tidak akan menjadi Pemindahan Terhad. Dalam keadaan sedemikian, Rakan Kongsi akan segera memberitahu Taboola jika ia gagal mematuhi pensijilan DPFnya atau pensijilan DPFnya luput atau sebaliknya tidak sah, dalam hal ini:
(a) sebarang pemindahan Data Dikongsi daripada Taboola kepada Rakan Kongsi hendaklah segera dianggap sebagai Pemindahan Terhad dan peruntukan Pemindahan Terhad di atas akan terpakai; Dan
(b) Taboola boleh, mengikut budi bicara mutlaknya, memilih untuk menggantung atau menamatkan pemindahan Data Dikongsi kepada Rakan Kongsi tanpa penalti.
9. Ganti rugi
Rakan Kongsi hendaklah membela Taboola dan pengarah, pegawai, pekerja, ejen, dan pelanggannya (“Indemniti Taboola“) daripada dan terhadap mana-mana dan semua tuntutan, tuntutan, saman, prosiding dan tindakan yang dibawa oleh pihak ketiga yang berkaitan dengan dakwaan bahawa Rakan Kongsi melanggar DPA ini atau Undang-undang Perlindungan Data yang Berkenaan dan hendaklah menanggung rugi Ganti Rugi Taboola untuk semua kerosakan, kerugian, kos dan perbelanjaan (termasuk yuran peguam yang munasabah) yang ditanggung oleh Ganti Rugi Taboola yang timbul daripada atau hasil daripada tuntutan tersebut.
10. Pelbagai
Rakan Kongsi bertanggungjawab sepenuhnya untuk pematuhannya sendiri terhadap Undang-undang Perlindungan Data yang Berkenaan dalam pemprosesan Data Dikongsi.
Sekiranya berlaku sebarang perubahan kepada Undang-undang Perlindungan Data yang Berkenaan, Taboola boleh meminda dan mengemas kini DPA ini di mana dan setakat yang diperlukan untuk mematuhi perubahan tersebut dalam Undang-undang Perlindungan Data yang Berkenaan.
Berkuat kuasa dari tarikh kuat kuasa DPA ini, rujukan kepada “Perjanjian” dalam DPA ini atau Perjanjian Asas bermaksud Perjanjian Asas seperti yang ditambah oleh DPA ini.
ANNEX I
Penerangan Perkongsian Data
A. SENARAI PARTI
| Taboola - Data exporter(s) | |
|---|---|
| Name: | See Taboola’s details set out in the Underlying Agreement. |
| Address: | See Taboola’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | privacy@taboola.com |
| Activities relevant to the data transferred under these Clauses: | Disclosure of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
| Partner - Data importer: | |
|---|---|
| Name: | See Partner’s details set out in the Underlying Agreement. |
| Address: | See Partner’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | See Partner’s details set out in the Underlying Agreement. |
| Activities relevant to the data transferred under these Clauses: | Receipt and processing of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
B. PERIHALAN PEMINDAHAN
| Description of Transfer | |
|---|---|
| Categories of data subjects whose personal data is transferred | Visitors to digital properties (such as websites and mobile applications) owned by customers of Taboola and who have integrated Taboola’s advertising technologies on those properties. |
| Categories of personal data transferred | Pre-partnership Integration: Unique User IDs from RTB partners Cookie match / sync / table (either Taboola or Partner can host and the non-hosting party must share data points) Bid request includes: Unique ID of the bid request (provided by the exchange) IMP object representing the impression offered Publisher site or app represented App Device Auction Type Maximum Time Currency Blocked Categories Device ID Taboola User ID Calling Tag Partners: URL |
| Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures | Not applicable. |
| The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis) | Continuous for the duration of the Underlying Agreement. |
| Nature of the processing | Processing of Shared Data by Partner for the purposes of real-time bidding in order to buy and sell advertising inventory on digital properties of Taboola’s customers. |
| Purpose(s) of the data transfer and further processing | Partner processes Shared Data, for the following purposes: Serve personalized and behavioral recommendations. Determine whether to bid on a placement and serve personalized recommendations. |
| The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period | For the duration of the Underlying Agreement and as otherwise required by applicable law. |
| For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing | Not applicable. |
C. PIHAK BERKUASA PENYELIAAN YANG KOMPETEN
| Competent Supervisory Authority | |
|---|---|
| Competent supervisory authority where the EU GDPR applies | The competent supervisory authority shall be determined in accordance with Clause 13 of Module 1 of the EU Standard Contractual Clauses. |
| Competent supervisory authority where the UK GDPR applies | The Information Commissioner’s Office |
ANNEX II
Langkah Keselamatan
Penerangan tentang langkah-langkah teknikal dan organisasi yang dilaksanakan oleh setiap pihak (termasuk sebarang pensijilan yang berkaitan) untuk memastikan tahap keselamatan yang sesuai, dengan mengambil kira sifat, skop, konteks dan tujuan pemprosesan, dan risiko untuk hak dan kebebasan orang semula jadi. Rakan Kongsi mewakili dan menjamin bahawa ia mempunyai langkah-langkah teknikal dan organisasi yang sesuai secara substansial serupa dengan langkah-langkah keselamatan Taboola yang dinyatakan di bawah.
Langkah-langkah samaran dan penyulitan data peribadi: Taboola hanya mengumpul data samaran, yang bermaksud kami tidak tahu siapa anda kerana kami tidak mengetahui atau memproses nama pengguna, alamat e-mel atau data lain yang boleh dikenal pasti. Maklumat pengguna yang kami kumpulkan termasuk, tetapi tidak terhad kepada, maklumat tentang peranti dan sistem pengendalian pengguna, alamat IP, halaman web yang diakses oleh pengguna dalam laman web pelanggan kami, pautan yang membawa pengguna ke laman web pelanggan, tarikh dan masa pengguna mengakses laman web pelanggan dan data penyemakan imbas web lain. CookieID dianonimkan menggunakan Bcrypt dan alamat IP dipotong.
Langkah-langkah untuk memastikan kerahsiaan, integriti, ketersediaan dan daya tahan sistem dan perkhidmatan pemprosesan yang berterusan: Taboola menggunakan pelbagai tahap keselamatan elektronik (cth: keselamatan titik akhir, keselamatan bahagian pelayan, penjejakan pengesanan, ujian penembusan berkala dan pengumpulan risikan mendalam untuk menyemak peristiwa bedah siasat).
Langkah-langkah untuk memastikan keupayaan untuk memulihkan ketersediaan dan akses kepada data peribadi tepat pada masanya sekiranya berlaku insiden fizikal atau teknikal: Taboola mengekalkan 9 pusat data yang beroperasi di seluruh dunia. Setiap pusat data digunakan sebagai replikasi antara satu sama lain, jadi jika satu jatuh, data boleh diekstrak daripada pusat data lain.
Proses untuk menguji, menilai dan menilai keberkesanan langkah-langkah teknikal dan organisasi secara berkala untuk memastikan keselamatan pemprosesan: Taboola mengekalkan proses yang ketat untuk menguji keberkesanan kawalannya (baik teknikal dan organisasi). Kami mempunyai pembalakan dan pemantauan sistem, ujian DR bulanan (sekurang-kurangnya), ujian penembusan suku tahunan, Firewall yang melindungi web dan honeypot yang tersebar di seluruh rangkaian untuk mencari sebarang aktiviti berniat jahat. Selain itu, kami mempunyai program hadiah yang membantu kami sentiasa memantau rangkaian kami.
Langkah-langkah untuk pengenalan dan kebenaran pengguna: Setiap pengguna di Taboola dikaitkan dengan nama pengguna dan kata laluan khusus. Setiap akses kepada rangkaian dalaman Taboola dilakukan dengan 2FA menggunakan pengesahan Google. Pengguna dicipta hanya oleh jabatan IT, semasa proses onboarding dan hanya selepas menerima semua butiran dan kontrak yang ditandatangani daripada jabatan HR.
Langkah-langkah untuk perlindungan data semasa penghantaran: Taboola menyokong sebarang penghantaran data melalui protokol penghantaran selamat (HTTPS dan TLS v1.2 sekurang-kurangnya). Tambahan pula, sistem yang mungkin mengandungi PII dilindungi dan data disimpan cincang dan tanpa nama.
Langkah-langkah untuk perlindungan data semasa penyimpanan: Data yang disimpan dalam pangkalan data kami dianonimkan dan dicincang menggunakan Bcrypt. Akses kepada DB diminimumkan dan berdasarkan prinsip ‘perniagaan perlu tahu’.
Langkah-langkah untuk memastikan keselamatan fizikal lokasi di mana data peribadi diproses: Setiap pusat data global Taboola (di AS, Eropah dan Asia), mempunyai semua pelayannya terletak dalam kabinet berkunci yang diselenggara secara eksklusif untuk kegunaan Taboola. Kabinet ini diselenggara oleh syarikat yang sama ada diperakui SOC2 atau Taboola telah mengkaji semula langkah keselamatan mereka. Selanjutnya, sebarang akses kepada pelayan memerlukan kebenaran bertulis dan dilog. Semua pejabat Taboola juga dikawal, dan memerlukan pekerja menggunakan kad akses untuk masuk. Tambahan pula, hanya bilangan pekerja yang terhad mempunyai akses kepada pelayan Taboola dan sebarang akses juga memerlukan kebenaran bertulis dan dilog.
Langkah-langkah untuk memastikan pembalakan acara: Taboola melaksanakan alat pemantauan dan log dikumpulkan ke sistem SIEM kami yang memberi amaran kepada kami tentang sebarang kejadian yang mencurigakan dan juga dipantau oleh pasukan NOC.
Langkah-langkah untuk memastikan konfigurasi sistem, termasuk konfigurasi lalai: Pelayan diimbas untuk kedua-dua penyimpangan konfigurasi dan tahap tampalan. Pelaporan dan/atau amaran ditetapkan pada kedua-duanya dan tahap tampalan yang berkaitan disahkan. Tampalan baharu diedarkan menggunakan Boneka. Semua semakan teknikal diuruskan melalui aplikasi R&D dan diperoleh melalui proses semakan formal (QA) selepas proses pengekodan dan CI/CD dilaksanakan juga.
Langkah-langkah untuk tadbir urus dan pengurusan keselamatan IT dan IT dalaman: Taboola diperakui ISO/IEC 27001:2013 dan ISO/IEC 27701:2019. Taboola mempunyai Dasar Keselamatan Maklumat yang menyatakan bahawa Lembaga Pengarah dan pengurusan Taboola komited untuk memelihara kerahsiaan, integriti dan ketersediaan semua aset maklumat fizikal dan elektronik di seluruh organisasi mereka. Taboola mengadakan latihan keselamatan untuk semua pekerja baharu, latihan pancingan data untuk semua pekerja di seluruh dunia, dan latihan keselamatan biasa untuk semua pekerja dan juga mendedikasikan sesi untuk kumpulan R&D.
Langkah-langkah untuk pensijilan/jaminan proses dan produk: Audit dalaman suku tahunan / separuh tahunan / tahunan pada pelbagai proses dan sistem untuk mengesahkan bahawa Taboola mematuhi matlamat dan langkah keselamatannya yang ditakrifkan.
Langkah-langkah untuk memastikan pengurangan data: Taboola sengaja mengehadkan data yang kami kumpulkan sebagai sebahagian daripada prinsip pengurangan data global Taboola untuk memproses hanya data terhad yang diperlukan untuk tujuan perniagaan khusus kami. Tambahan pula, Taboola tidak mempunyai keupayaan, mahupun sebarang keperluan perniagaan, untuk “kejuruteraan terbalik” mana-mana titik data yang digunakan dalam algoritma kami untuk menyediakan perkhidmatan kami. Lebih khusus lagi, titik data yang dikumpulkan oleh Taboola tidak pernah menunjukkan identiti pengguna — kerana Taboola tidak mengumpul atau memproses maklumat seperti nama pengguna, nombor telefon, e-mel atau alamat fizikal. Sebaliknya, Taboola hanya mengumpul pengecam nama samaran, yang hanya mengenal pasti ciri-ciri tentang peranti pengguna. Ini termasuk alamat IP (yang dipotong semasa pengumpulan dan hanya boleh mengenal pasti lokasi poskod umum peranti, tetapi tidak pernah geolokasi yang tepat) dan, dalam beberapa keadaan terhad, alamat e-mel cincang (yang sememangnya tidak boleh dipulihkan dan tidak boleh dinyahsulit untuk mendedahkan alamat e-mel asal). Selain itu, walaupun digunakan secara kolektif, data yang kami kumpulkan tidak boleh menghasilkan nama, nombor telefon, e-mel atau alamat fizikal individu, dan jurutera kami tidak bekerja dalam apa jua cara untuk mencapai matlamat ini. Selain itu, Taboola membuat dan merekodkan penilaian kesan privasi dalam usaha untuk meminimumkan risiko privasi perkhidmatan, proses dan dasar kami.
Langkah-langkah untuk memastikan kualiti data: Data dikumpulkan terus daripada pengguna dan pengguna diberi peluang untuk membetulkan sebarang data yang berkaitan dengan CookieID mereka melalui Portal Permintaan Akses Subjek Taboola: https://accessrequest.taboola.com/access
Langkah-langkah untuk memastikan pengekalan data terhad: Kami mengekalkan maklumat pengguna, yang dikumpulkan secara langsung untuk tujuan menyiarkan iklan, selama paling lama tiga belas (13) bulan dari interaksi terakhir pengguna dengan perkhidmatan kami (selalunya untuk tempoh masa yang lebih singkat), selepas itu kami menyahkenal pasti data dengan mengalih keluar pengecam unik atau mengagregatkan data. Proses ini dilakukan secara automatik.
Langkah-langkah untuk memastikan akauntabiliti: Taboola melakukan pelbagai audit keselamatan dan ujian penembusan (tetapi tidak untuk semua sistem). Taboola juga menggunakan penyedia awan yang diperakui ISO dan yang mematuhi pensijilan lain yang berkaitan dengan awan untuk mengekalkan perlindungan fizikal pelayan.
Langkah-langkah untuk membenarkan mudah alih data dan memastikan pemadaman: Taboola berkaitan pelupusan media sama untuk semua jenis media kerana ia mungkin mengandungi PII. Mana-mana media mesti disapu sepenuhnya sebelum digunakan semula atau dilupuskan. Sebarang pelupusan media didokumenkan. Pekerja diarahkan untuk tidak mencetak sebarang kertas yang mungkin mengandungi maklumat peribadi.