Lampiran Perlindungan Data untuk RTB dan Rakan Kongsi Programmatik
Last Update: May 29, 2024
Lampiran Perlindungan Data untuk RTB dan Rakan Kongsi Programmatik
Tarikh Berkuatkuasa: 29 Mei 2024
Untuk memastikan Taboola mempunyai terma perlindungan data yang sesuai dengan Rakan Kongsi Programmatic dan RTB kami (masing-masing “Rakan Kongsi”), Taboola menyediakan Lampiran Perlindungan Data ini (“DPA“).
DPA ini secara automatik melengkapkan dan menjadi sebahagian daripada susunan perniagaan kontrak sedia ada antara Partner dan Taboola yang berkaitan dengan penyediaan perkhidmatan RTB dan programatik (“Perjanjian Asas“).
Semua istilah yang dimulakan dengan huruf besar yang digunakan dalam DPA ini, tetapi tidak ditakrifkan dalam DPA ini, hendaklah mempunyai maksud yang diberikan kepada mereka dalam Perjanjian Asas. Sekiranya terdapat sebarang konflik antara DPA ini dan Perjanjian Asas, DPA ini akan diutamakan setakat konflik tersebut.
1. Definisi
“Undang-Undang Perlindungan Data Terpakai” bermaksud mana-mana dan semua undang-undang persekutuan, kebangsaan, negeri atau lain-lain mengenai privasi dan perlindungan data yang terpakai, sebagaimana dipinda atau digantikan dari semasa ke semasa, termasuk, jika berkenaan dan tanpa had, CCPA (sebagaimana ditakrifkan di bawah) dan Undang-Undang Perlindungan Data Eropah.
“CCPA” bermaksud Akta Privasi Pengguna California (Cal. Civ. Kod §§ 1798.100 – 1798.199), seperti yang dipinda oleh Akta Hak Privasi California (Cal. Civ. Kod §§ 1798.100 – 1798.199).
“Pengawal” bermaksud entiti yang menentukan tujuan dan kaedah pemprosesan Maklumat Peribadi, dan termasuk mana-mana entiti yang memproses Maklumat Peribadi sebagai “perniagaan” atau “pihak ketiga” di bawah CCPA dan CPRA.
“Kerangka Privasi Data” atau “DPF” bermaksud EU-AS. Kerangka Privasi Data dan Sambungan UK kepada EU-AS. DPF seperti yang ditetapkan oleh Amerika Syarikat. Jabatan Perdagangan
“Undang-undang Perlindungan Data Eropah” bermaksud Undang-undang Perlindungan Data EU dan Undang-undang Perlindungan Data UK.
“Undang-Undang Perlindungan Data EU” bermaksud: (i) Peraturan EU 2016/679 (EU GDPR); (ii) Arahan EU 2002/58/EC; dan (iii) undang-undang kebangsaan setiap negara anggota EEA yang dibuat di bawah, menurut, atau yang melaksanakan (i) atau (ii), atau yang berkaitan dengan pemprosesan data peribadi; dalam setiap kes, sebagaimana dipinda atau digantikan dari semasa ke semasa.
“Maklumat Peribadi” bermaksud apa-apa maklumat yang berkaitan dengan seseorang semula jadi yang telah dikenal pasti atau boleh dikenal pasti, dan termasuk apa-apa maklumat yang ditakrifkan sebagai “data peribadi” atau “maklumat peribadi” di bawah Undang-Undang Perlindungan Data yang Terpakai.
“Tujuan yang Dibenarkan” bermaksud tujuan bidaan masa nyata yang berkaitan dengan pembelian dan penjualan iklan dalam talian selaras dengan Perjanjian Asas, di mana Taboola mendedahkan atau sebaliknya menyediakan Data Bersama kepada Rakan Kongsi untuk diproses, seperti yang dinyatakan dalam Lampiran I.
“Pemindahan Terhad” bermaksud: (i) di mana EU GDPR terpakai, pemindahan data peribadi daripada Kawasan Ekonomi Eropah (EEA) ke negara di luar EEA yang tidak tertakluk kepada penentuan kecukupan oleh Suruhanjaya Eropah (sebuah “Pemindahan Terhad EU“); dan (ii) di mana UK GDPR terpakai, pemindahan data peribadi daripada United Kingdom ke mana-mana negara lain yang tidak tertakluk kepada atau berdasarkan peraturan kecukupan menurut Seksyen 17A Akta Perlindungan Data United Kingdom 2018 (sebuah “Pemindahan Terhad UK“).
“Kejadian Keselamatan” bermaksud pelanggaran keselamatan yang membawa kepada pemusnahan, kehilangan, pengubahan, pendedahan tanpa kebenaran atau capaian secara tidak sengaja atau tidak sah terhadap Data Bersama.
“Jual” dan “kongsi” hendaklah mempunyai maksud seperti yang dinyatakan dalam CCPA dan CPRA serta peraturan pelaksanaannya.
“Data Terkongsi” bermaksud kategori Maklumat Peribadi yang disenaraikan dalam Lampiran I kepada DPA ini.
“Standard Contractual Clauses” bermaksud: (i) di mana EU GDPR terpakai, klausa kontrak yang dilampirkan pada Keputusan Pelaksanaan Suruhanjaya Eropah 2021/914 bertarikh 4 Jun 2021 mengenai standard contractual clauses untuk pemindahan data peribadi ke negara ketiga selaras dengan Peraturan (EU) 2016/679 Parlimen Eropah dan Majlis (“EU SCCs”); dan (ii) di mana UK GDPR terpakai, “International Data Transfer Addendum to the EU Commission Standard Contractual Clauses” yang dikeluarkan oleh Suruhanjaya Maklumat di bawah s.119A(1) Akta Perlindungan Data Peribadi 2018 (“Addendum UK“).
“Undang-Undang Perlindungan Data UK” bermaksud: (i) EU GDPR sebagaimana ia menjadi sebahagian daripada undang-undang UK oleh virtue seksyen 3 Akta Kesatuan Eropah (Penarikan) 2018 (the “UK GDPR“); (ii) Peraturan Privasi dan Komunikasi Elektronik (Arahan EC) 2003; (iii) Akta Perlindungan Data 2018; dan (iv) mana-mana undang-undang lain di UK yang dibuat di bawah, menurut, atau yang melaksanakan (i) atau (ii), atau yang berkaitan dengan pemprosesan data peribadi; dalam setiap kes, sebagaimana dipinda atau digantikan dari semasa ke semasa.
2. Pendedahan data
Mata, tertakluk kepada pematuhan Rakan Kongsi terhadap Perjanjian Asas dan DPA ini, Taboola akan mendedahkan atau menyediakan Data Terkongsi kepada Rakan Kongsi supaya Rakan Kongsi memprosesnya semata-mata untuk Tujuan yang Dibenarkan.
3. Hubungan pihak-pihak
Pihak-pihak mengakui bahawa Taboola adalah pengawal Data Bersama yang didedahkan kepada Rakan Kongsi, dan bahawa Rakan Kongsi akan memproses Data Bersama sebagai pengawal semata-mata untuk Tujuan yang Dibenarkan.
4. Kewajipan Rakan Kongsi
Rakan kongsi menjamin, menyatakan dan berjanji bahawa:
(a) ia akan pada setiap masa memproses Data Berkongsi hanya untuk Tujuan yang Dibenarkan dan selaras dengan Undang-Undang Perlindungan Data yang Berkuatkuasa;
(b) ia tidak mempunyai sebab untuk mempercayai bahawa Undang-Undang Perlindungan Data Terpakai menghalangnya daripada memenuhi kewajibannya berhubung Pemprosesan Data Bersama untuk Tujuan yang Dibenarkan;
(c) jika Rakan kongsi menentukan ia tidak dapat Memproses Data Bersama untuk Tujuan yang Dibenarkan selaras dengan Undang-undang Perlindungan Data Terpakai, ia akan segera memaklumkan Taboola;
(d) ia hendaklah pada setiap masa memaparkan dan mengekalkan notis privasi yang boleh diakses oleh orang awam di laman webnya yang mematuhi keperluan Undang-Undang Perlindungan Data Terpakai, dan yang menyediakan butiran hubungan di mana subjek data boleh mengemukakan pertanyaan berkaitan perlindungan data;
(e) ia akan membolehkan subjek data melaksanakan hak perlindungan data mereka selaras dengan Undang-Undang Perlindungan Data Terpakai, termasuk (tanpa had) hak mereka untuk membantah pemprosesan Data Berkongsi mereka;
(f) berkenaan sebarang pemprosesan Data Berkongsi yang dilindungi di bawah Undang-Undang Perlindungan Data Eropah, ia hendaklah:
(g) memproses Data Bersama hanya apabila ia mempunyai kebenaran untuk berbuat demikian, selaras dengan keperluan Undang-Undang Perlindungan Data Eropah; dan
(h) ia hendaklah melaksanakan langkah teknikal dan organisasi yang sesuai termasuk, sekurang-kurangnya, langkah yang dinyatakan dalam Lampiran II untuk melindungi Data Bersama daripada dan terhadap Insiden Keselamatan.
5. Langkah-langkah yang munasabah dan sesuai
Taboola mungkin mengambil langkah-langkah yang munasabah dan sesuai untuk memastikan bahawa Rakan kongsi memproses Data Terkongsi selaras dengan Perjanjian Asas dan DPA ini serta Undang-Undang Perlindungan Data Terpakai.
Jika Rakan kongsi tidak mematuhi Perjanjian Asas, DPA ini atau Undang-Undang Perlindungan Data Terpakai, Taboola akan mengambil langkah yang munasabah dan sesuai untuk menghentikan dan membetulkan penggunaan Data Berkongsi tanpa kebenaran (termasuk menggantung atau menamatkan pendedahan Data Berkongsi kepada Rakan kongsi).
6. Pematuhan terhadap Undang-Undang Berkuatkuasa
Rakan kongsi hendaklah mematuhi Undang-Undang Perlindungan Data Terpakai, dan hendaklah menyediakan tahap perlindungan privasi yang sama ke atas Data Bersama seperti yang dikehendaki oleh Undang-Undang Perlindungan Data Terpakai.
7. Kewajipan kerjasama
Sekiranya mana-mana pihak menerima sebarang surat-menyurat, pertanyaan atau aduan daripada subjek data, pengawal selia atau pihak ketiga lain (“Surat-menyurat“) berkaitan dengan (a) pendedahan Data Berkongsi untuk Tujuan yang Dibenarkan; atau (b) pemprosesan Data Berkongsi oleh pihak lain, ia hendaklah segera memaklumkan pihak lain dengan memberikan butiran penuh mengenainya, dan pihak-pihak hendaklah bekerjasama secara munasabah dan dengan itikad baik untuk memberi maklum balas kepada Surat-menyurat tersebut selaras dengan sebarang keperluan di bawah Undang-Undang Perlindungan Data Terpakai.
8. Pemindahan Terhad dari EU dan UK
Sejauh mana sebarang pemindahan Data Berkongsi daripada Taboola kepada Rakan kongsi merupakan Pemindahan Terhad, Standard Contractual Clauses hendaklah dimasukkan ke dalam DPA ini dan terpakai seperti berikut:
(a) di mana Pemindahan Terhad adalah Pemindahan Terhad EU, SCC EU akan terpakai antara Taboola (sebagai pengeksport data) dan Rakan Kongsi (sebagai pengimport data) seperti berikut:
(i) Modul Satu akan terpakai;
(ii) dalam Klausa 7, Klausa doking pilihan akan terpakai;
(iii) dalam Klausa 11, bahasa pilihan tidak akan terpakai;
(iv) dalam Klausa 17, Pilihan 1 akan terpakai, dan EU SCCs akan tertakluk kepada undang-undang Ireland;
(v) dalam Klausa 18(b), pertikaian hendaklah diselesaikan di hadapan mahkamah Ireland;
(vi) dalam Lampiran I:
(A) Bahagian A dan B hendaklah dianggap lengkap dengan maklumat yang dinyatakan dalam Lampiran A kepada DPA ini;
(B) Bahagian C hendaklah dianggap telah diselesaikan selaras dengan kriteria yang dinyatakan dalam Klausa 13(a) EU SCCs; dan
(vii) Lampiran II hendaklah dianggap lengkap dengan langkah keselamatan yang dinyatakan dalam Lampiran B kepada DPA ini.
(b) di mana Pemindahan Terhad adalah Pemindahan Terhad UK, Lampiran UK akan terpakai antara pihak-pihak seperti berikut:
(i) EU SCCs, yang telah disiapkan seperti yang dinyatakan di atas, hendaklah terpakai antara pihak-pihak, dan hendaklah diubah suai oleh Lampiran UK (yang telah disiapkan seperti yang dinyatakan dalam subklausul (ii) di bawah); dan
(ii) Jadual 1 hingga 3 Lampiran UK hendaklah dianggap lengkap dengan maklumat berkaitan daripada EU SCCs, yang telah disiapkan seperti yang dinyatakan di atas, dan pilihan “Pengeksport” dan “Pengimport” hendaklah dianggap telah dipilih dalam Jadual 4. Tarikh permulaan Lampiran UK (sebagaimana dinyatakan dalam jadual 1) hendaklah tarikh berkuatkuasanya DPA ini.
Rakan kongsi tidak akan membuat Pemindahan Terhad lanjutan bagi Data Berkongsi kepada pihak ketiga melainkan ia telah melakukan semua tindakan dan perkara yang diperlukan untuk memastikan Pemindahan Terhad tersebut mematuhi Undang-Undang Perlindungan Data Terpakai dan sebarang Standard Contractual Clauses yang telah dilaksanakannya dengan Taboola.
Walau apa pun yang dinyatakan di atas, jika Rakan kongsi telah mengesahkan di bawah DPF dan mematuhinya, pemindahan Data Bersama kepada Rakan kongsi yang dibuat di bawah DPF tidak akan dianggap sebagai Pemindahan Terhad. Dalam keadaan sedemikian, Rakan Kongsi akan segera memaklumkan kepada Taboola jika ia gagal mematuhi pensijilan DPFnya atau pensijilan DPFnya luput atau sebaliknya dibatalkan, dalam keadaan tersebut:
(a) sebarang pemindahan Data Bersama daripada Taboola kepada Rakan kongsi hendaklah serta-merta dianggap sebagai Pemindahan Terhad dan peruntukan Pemindahan Terhad di atas hendaklah terpakai; dan
(b) Taboola boleh, mengikut budi bicara mutlaknya, memilih untuk menggantung atau menamatkan pemindahan Data Berkongsi kepada Rakan tanpa sebarang penalti.
9. Pampasan
Rakan kongsi hendaklah mempertahankan Taboola dan pengarah, pegawai, pekerja, ejen, dan pelanggannya (“Pihak yang Dilindungi Taboola“) daripada dan terhadap sebarang dan semua tuntutan, desakan, saman, proses dan tindakan yang dikemukakan oleh pihak ketiga berkaitan dakwaan bahawa Rakan kongsi telah melanggar DPA ini atau Undang-Undang Perlindungan Data Terpakai dan hendaklah memberi pampasan kepada Pihak yang Dilindungi Taboola bagi semua kerosakan, kerugian, kos dan perbelanjaan (termasuk yuran peguam yang munasabah) yang ditanggung oleh Pihak yang Dilindungi Taboola yang timbul daripada atau hasil daripada tuntutan tersebut.
10. Miscellaneous
Rakan kongsi bertanggungjawab sepenuhnya untuk mematuhi Undang-Undang Perlindungan Data Terpakai yang berkenaan dalam pemprosesannya terhadap Data Bersama.
Sekiranya terdapat sebarang perubahan pada Undang-Undang Perlindungan Data Terpakai, Taboola mungkin meminda dan mengemas kini DPA ini di mana dan setakat yang perlu untuk mematuhi perubahan tersebut dalam Undang-Undang Perlindungan Data Terpakai.
Bermula dari tarikh berkuatkuasanya DPA ini, rujukan kepada “Perjanjian” dalam DPA ini atau Perjanjian Asas hendaklah bermaksud Perjanjian Asas yang disempurnakan oleh DPA ini.
LAMPIRAN I
Keterangan Perkongsian Data
A. SENARAI PARTI
| Taboola - Data exporter(s) | |
|---|---|
| Name: | See Taboola’s details set out in the Underlying Agreement. |
| Address: | See Taboola’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | privacy@taboola.com |
| Activities relevant to the data transferred under these Clauses: | Disclosure of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
| Partner - Data importer: | |
|---|---|
| Name: | See Partner’s details set out in the Underlying Agreement. |
| Address: | See Partner’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | See Partner’s details set out in the Underlying Agreement. |
| Activities relevant to the data transferred under these Clauses: | Receipt and processing of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
B. DESKRIPSI PEMINDAHAN
| Description of Transfer | |
|---|---|
| Categories of data subjects whose personal data is transferred | Visitors to digital properties (such as websites and mobile applications) owned by customers of Taboola and who have integrated Taboola’s advertising technologies on those properties. |
| Categories of personal data transferred | Pre-partnership Integration: Unique User IDs from RTB partners Cookie match / sync / table (either Taboola or Partner can host and the non-hosting party must share data points) Bid request includes: Unique ID of the bid request (provided by the exchange) IMP object representing the impression offered Publisher site or app represented App Device Auction Type Maximum Time Currency Blocked Categories Device ID Taboola User ID Calling Tag Partners: URL |
| Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures | Not applicable. |
| The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis) | Continuous for the duration of the Underlying Agreement. |
| Nature of the processing | Processing of Shared Data by Partner for the purposes of real-time bidding in order to buy and sell advertising inventory on digital properties of Taboola’s customers. |
| Purpose(s) of the data transfer and further processing | Partner processes Shared Data, for the following purposes: Serve personalized and behavioral recommendations. Determine whether to bid on a placement and serve personalized recommendations. |
| The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period | For the duration of the Underlying Agreement and as otherwise required by applicable law. |
| For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing | Not applicable. |
C. PIHAK BERKUASA PENYELIAAN YANG KOMPETEN
| Competent Supervisory Authority | |
|---|---|
| Competent supervisory authority where the EU GDPR applies | The competent supervisory authority shall be determined in accordance with Clause 13 of Module 1 of the EU Standard Contractual Clauses. |
| Competent supervisory authority where the UK GDPR applies | The Information Commissioner’s Office |
LAMPIRAN II
Langkah-langkah keselamatan
Keterangan mengenai langkah teknikal dan organisasi yang dilaksanakan oleh setiap pihak (termasuk sebarang pensijilan berkaitan) untuk memastikan tahap keselamatan yang sesuai, dengan mengambil kira sifat, skop, konteks dan tujuan pemprosesan, serta risiko terhadap hak dan kebebasan individu semula jadi. Rakan kongsi mewakili dan menjamin bahawa ia mempunyai langkah teknikal dan organisasi yang sesuai yang secara substansial serupa dengan langkah keselamatan Taboola yang dinyatakan di bawah.
Langkah-langkah pseudonimisasi dan penyulitan data peribadi: Taboola hanya mengumpul data pseudonim, yang bermaksud kami tidak tahu siapa anda kerana kami tidak mengetahui atau memproses nama pengguna, alamat e-mel, atau data boleh dikenal pasti lain. Maklumat pengguna yang kami kumpulkan termasuk, tetapi tidak terhad kepada, maklumat tentang peranti dan sistem operasi pengguna, alamat IP, halaman web yang diakses oleh pengguna dalam laman web pelanggan kami, pautan yang membawa pengguna ke laman web pelanggan, tarikh dan masa pengguna mengakses laman web pelanggan serta data pelayaran web lain. CookieID dianonimkan menggunakan Bcrypt dan alamat IP dipendekkan.
Langkah-langkah untuk memastikan kerahsiaan, integriti, ketersediaan dan ketahanan berterusan sistem pemprosesan dan perkhidmatan: Taboola menggunakan pelbagai peringkat keselamatan elektronik (contohnya: keselamatan hujung titik, keselamatan sisi pelayan, penjejakan pengesanan, ujian penembusan berkala, dan pengumpulan risikan mendalam untuk mengkaji semula peristiwa pasca-kematian).
Langkah-langkah untuk memastikan keupayaan memulihkan ketersediaan dan akses kepada data peribadi dengan segera sekiranya berlaku insiden fizikal atau teknikal: Taboola mengekalkan 9 pusat data yang beroperasi di seluruh dunia. Setiap pusat data digunakan sebagai replikasi antara satu sama lain, jadi jika salah satu daripadanya gagal, data boleh diekstrak daripada pusat data lain.
Proses untuk menguji, menilai dan menilai keberkesanan langkah teknikal dan organisasi secara berkala bagi memastikan keselamatan pemprosesan: Taboola mengekalkan proses ketat untuk menguji keberkesanan kawalan (teknikal dan organisasi). Kami mempunyai log dan pemantauan sistem, ujian pemulihan bencana sekurang-kurangnya sebulan sekali, ujian penembusan suku tahunan, firewall yang melindungi laman web dan honeypot yang tersebar di seluruh rangkaian untuk mengesan sebarang aktiviti berniat jahat. Selain itu, kami mempunyai program ganjaran yang membantu kami memantau rangkaian kami secara berterusan.
Langkah-langkah untuk pengesahan dan kebenaran pengguna: Setiap pengguna di Taboola dikaitkan dengan nama pengguna dan kata laluan khusus. Setiap akses ke rangkaian dalaman Taboola dilakukan dengan 2FA menggunakan pengesahan Google. Pengguna hanya dicipta oleh jabatan IT semasa proses orientasi dan hanya selepas menerima semua butiran dan kontrak yang telah ditandatangani daripada jabatan HR.
Langkah-langkah untuk perlindungan data semasa penghantaran: Taboola menyokong sebarang penghantaran data melalui protokol penghantaran yang selamat (HTTPS dan TLS v1.2 sekurang-kurangnya). Selain itu, sistem yang mungkin mengandungi PII disekuriti dan data disimpan dalam bentuk has dan dianonimkan.
Langkah-langkah untuk perlindungan data semasa penyimpanan: Data yang disimpan dalam pangkalan data kami dianonimkan dan di-hash menggunakan Bcrypt. Akses kepada DB dihadkan dan berdasarkan prinsip ‘keperluan perniagaan untuk mengetahui’.
Langkah-langkah untuk memastikan keselamatan fizikal lokasi di mana data peribadi diproses: Setiap pusat data global Taboola (di AS, Eropah, dan Asia) mempunyai semua pelayarnya terletak dalam kabinet berkunci yang dikekalkan secara eksklusif untuk kegunaan Taboola. Kabinet-kabinet ini diselenggara oleh syarikat yang sama ada disahkan SOC2 atau Taboola telah menyemak langkah keselamatan mereka. Selain itu, sebarang akses ke pelayan memerlukan kebenaran bertulis yang direkodkan. Semua pejabat Taboola juga dikawal, dan menghendaki pekerja menggunakan kad akses untuk masuk. Selain itu, hanya sejumlah kecil pekerja sahaja yang mempunyai akses ke pelayan Taboola dan sebarang akses juga memerlukan kebenaran bertulis yang direkodkan.
Langkah-langkah untuk memastikan log acara: Taboola melaksanakan alat pemantauan dan log dikumpul ke sistem SIEM kami yang memberi amaran kepada kami tentang sebarang peristiwa mencurigakan serta dipantau oleh pasukan NOC.
Langkah-langkah untuk memastikan konfigurasi sistem, termasuk konfigurasi lalai: Pelayan diimbas untuk penyimpangan konfigurasi dan tahap tampalan. Pelaporan dan/atau pemberitahuan telah ditetapkan pada kedua-duanya dan tahap tampalan yang berkaitan telah disahkan. Patch baru diedarkan menggunakan Puppet. Semua ulasan teknikal diuruskan melalui aplikasi R&D dan diperoleh melalui proses semakan formal (QA) selepas proses pengkodan dan CI/CD dilaksanakan juga.
Langkah-langkah untuk tadbir urus dan pengurusan IT dalaman serta keselamatan IT: Taboola diperakui ISO/IEC 27001:2013 dan ISO/IEC 27701:2019. Taboola mempunyai Dasar Keselamatan Maklumat yang menyatakan bahawa Lembaga Pengarah dan pengurusan Taboola komited untuk memelihara kerahsiaan, integriti dan ketersediaan semua aset maklumat fizikal dan elektronik di seluruh organisasi mereka. Taboola mengadakan latihan keselamatan untuk semua pekerja baharu, latihan pancingan klik untuk semua pekerja di seluruh dunia, dan latihan keselamatan berkala untuk semua pekerja serta mengadakan sesi khusus untuk kumpulan R&D.
Langkah-langkah untuk pensijilan/pengesahan proses dan produk: Audit dalaman suku tahunan / separuh tahunan / tahunan ke atas pelbagai proses dan sistem untuk mengesahkan bahawa Taboola mematuhi matlamat dan langkah keselamatan yang ditetapkan.
Langkah-langkah untuk memastikan pengurangan data: Taboola secara sengaja mengehadkan data yang kami kumpulkan sebagai sebahagian daripada prinsip pengurangan data global Taboola, iaitu memproses hanya data terhad yang diperlukan untuk tujuan perniagaan khusus kami. Selain itu, Taboola tidak mempunyai keupayaan, mahupun keperluan perniagaan, untuk “merekabentuk semula” mana-mana titik data yang digunakan dalam algoritma kami bagi menyediakan perkhidmatan kami. Lebih khusus, titik data yang dikumpul oleh Taboola tidak pernah menunjukkan identiti pengguna — kerana Taboola tidak mengumpul atau memproses maklumat seperti nama pengguna, nombor telefon, e-mel, atau alamat fizikal. Sebaliknya, Taboola hanya mengumpul pengecam pseudonim, yang sekadar mengenal pasti ciri-ciri tentang peranti pengguna. Ini termasuk alamat IP (yang dipendekkan semasa pengumpulan dan hanya dapat mengenal pasti lokasi poskod am peranti, tetapi tidak pernah geolokasi tepat) dan, dalam beberapa kes terhad, alamat e-mel yang di-hash (yang secara semula jadi tidak dapat dipulihkan dan tidak dapat didekripsi untuk mendedahkan alamat e-mel asal). Selain itu, walaupun digunakan secara kolektif, data yang kami kumpulkan tidak akan pernah dapat mendedahkan nama individu, nombor telefon, emel, atau alamat fizikal, dan jurutera kami tidak melakukan apa-apa cara untuk mencapai tujuan ini. Selain itu, Taboola membuat dan merekod penilaian impak privasi dalam usaha meminimumkan risiko privasi perkhidmatan, proses, dan dasar kami.
Langkah-langkah untuk memastikan kualiti data: Data dikumpul terus daripada pengguna dan pengguna diberi peluang untuk membetulkan sebarang data yang berkaitan dengan CookieID mereka melalui Portal Permintaan Akses Subjek Taboola: https://accessrequest.taboola.com/access
Langkah-langkah untuk memastikan penyimpanan data terhad: Kami menyimpan maklumat pengguna yang dikumpul secara langsung untuk tujuan penyampaian iklan selama paling lama tiga belas (13) bulan dari interaksi terakhir pengguna dengan perkhidmatan kami (biasanya untuk tempoh yang lebih singkat), selepas itu kami menyahd Kenal data dengan membuang pengecam unik atau menggabungkan data tersebut. Proses ini dilakukan secara automatik.
Langkah-langkah untuk memastikan akauntabiliti: Taboola menjalankan beberapa audit keselamatan dan ujian penembusan (tetapi tidak untuk semua sistem). Taboola juga menggunakan penyedia awan yang disahkan ISO dan mematuhi pensijilan berkaitan awan yang lain untuk mengekalkan langkah keselamatan fizikal pelayan.
Langkah-langkah untuk membolehkan kebolehmindahan data dan memastikan pemadaman: Taboola berkaitan pelupusan media yang sama untuk semua jenis media kerana ia mungkin mengandungi PII. Sebarang media mesti dipadam sepenuhnya sebelum digunakan semula atau dibuang. Segala pelupusan media didokumenkan. Para pekerja diarahkan untuk tidak mencetak sebarang kertas yang mungkin mengandungi maklumat peribadi.