Mga Tuntunin sa Privacy ng Advertiser

Last Update: November 14, 2025

Petsa ng Bisa:  Agosto 14, 2023

Ang Mga Tuntunin sa Privacy ng Taboola Advertiser (“Mga Tuntunin sa Privacy ng Advertiser”) ay nalalapat sa mga serbisyo ng digital na advertising ng Taboola, tulad ng kapag namahagi ang Taboola ng nilalaman ng Advertiser sa pamamagitan ng platform ng pamamahagi nito, alinsunod sa isang kasunduan sa pagitan ng Taboola at isang Advertiser (“Kasunduan”), at ang Mga Tuntunin sa Privacy ng Advertiser na ito ay dapat ituring na isinama sa, at bumubuo ng isang mahalagang bahagi ng naturang Kasunduan.  Tinutukoy ng Mga Tuntunin sa Privacy ng Advertiser na ito ang mga tungkulin at responsibilidad ng Taboola at Advertiser kaugnay ng Personal na Data.

Kung magkakaroon ng salungatan sa pagitan ng Mga Tuntunin sa Privacy ng Advertiser at ng Kasunduan, ang Mga Tuntunin sa Privacy ng Advertiser ay mamamahala sa lawak ng salungat na iyon maliban kung ang sumasalungat na probisyon sa Kasunduan ay tahasang tumutukoy sa sumasalungat na probisyon ng Mga Tuntunin sa Privacy ng Advertiser na ito at tinukoy na nananaig ito sa sumasalungat na probisyon.

Ang mga terminong tinukoy sa seksyong ito ay dapat magkaroon ng mga kahulugang itinakda sa ibaba, at ang magkakaugnay na mga termino ay dapat bigyang-kahulugan nang naaayon. Ang mga terminong ginamit sa malaking titik na ginamit ngunit hindi tinukoy sa Mga Tuntunin sa Privacy ng Advertiser ay magkakaroon ng mga kahulugang tinukoy sa Kasunduan.

      1. Ang ibig sabihin ng “Mga Naaangkop na Batas sa Proteksyon ng Data” ay anuman at lahat ng pederal, pambansa, estado, o iba pang mga batas sa privacy at proteksyon ng data na nalalapat sa Pagproseso na paksa ng Kasunduan at ang Mga Tuntunin ng Advertiser na ito, na maaaring baguhin o palitan paminsan-minsan.
      2. Ang ibig sabihin ng “Nakolektang Data” ay ang Personal na Data na kinokolekta ng bawat partido mula sa Mga Paksa ng Data sa o sa pamamagitan ng kanilang mga server o network (kabilang ang lahat ng data na nakolekta o nababasa ng makina, gaya ng data batay sa uri ng browser at mga pagkakakilanlan ng device) na may kaugnayan sa probisyon o pagtanggap ng Mga Serbisyo.
      3. Ang ibig sabihin ng “Controller” ay: (i) isang entity na tumutukoy sa mga layunin at paraan ng Pagproseso ng Personal na Data, at (ii) sinumang tao na nasa saklaw ng terminong “controller” (o anumang kaparehong termino) gaya ng tinukoy sa ilalim ng Mga Naaangkop na Batas sa Proteksyon ng Data.
      4. Ang “Batas sa Pagkapribado ng California” ay nangangahulugang Batas sa Pagkapribado ng Konsyumer ng California ng 2018, Cal. Civil Code § 1798.100 et seq. (“CCPA”), gaya ng sinusugan (kabilang ang California Privacy Rights Act), at anumang subordinate na batas at mga regulasyon sa pagpapatupad.
      5. Ang ibig sabihin ng “Paksa ng Data” ay: (i) isang kinilala o makikilalang natural na tao (at, para sa mga layuning ito, ang isang natural na taong makikilala ay isa na maaaring makilala, direkta o hindi direkta, sa partikular sa pamamagitan ng pagtukoy sa isang identifier tulad ng isang pangalan, isang numero ng pagkakakilanlan, data ng lokasyon, isang online na identifier o sa isa o higit pang mga salik na partikular sa pisikal, pisyolohikal, pangkultura o hindi direktang tao, at pang-ekonomiyang pagkakakilanlan ng (na) tao na iyon nasa saklaw ng terminong “paksa ng data”, “consumer” (o anumang kaparehong termino) gaya ng tinukoy sa ilalim ng Mga Batas sa Proteksyon ng Data.
      6. Ang ibig sabihin ng “EU Data Protection Law” ay: (i) ang EU General Data Protection Regulation (Regulation 2016/679) (“EU GDPR”); (ii) ang EU e-Privacy Directive (Directive 2002/58/EC); at (iii) anumang pambansang batas sa proteksyon ng data na ginawa sa ilalim o alinsunod sa (i) o (ii), bawat isa ay maaaring susugan o palitan paminsan-minsan.
      7. Ang “Mga Pinahihintulutang Layunin” ay may kahulugang ibinigay sa seksyon 3.
      8. Ang ibig sabihin ng “Personal na Data” ay anumang impormasyong nauugnay sa isang Paksa ng Data (kabilang ang, kung saan kinakailangan ng Naaangkop na Batas sa Proteksyon ng Data, natatanging browser o mga pagkakakilanlan ng device), tulad ng itinakda sa Annex A, Part B.
      9. Ang ibig sabihin ng “Proseso” ay anumang operasyon o hanay ng mga operasyon na ginagawa sa Personal na Data o sa mga hanay ng Personal na Data, sa pamamagitan man ng automated na paraan o hindi, tulad ng pagkolekta, pagtanggap, pag-record, organisasyon, pag-istruktura, paggamit, paghahatid, pag-access, pagbabahagi, pagsisiwalat, paglilipat, pag-iimbak, pag-angkop o pagbabago, pagkuha, konsultasyon, pagpapakalat o kung hindi man ay ginagawang available, pagsasama-sama, pagkakahanay, pagsasama-sama, pagsasama-sama, pag-aayos, pagsasama-sama o pagsasama. paghihigpit, pagbura, pagsira o pagtatapon o iba pang pangangasiwa ng Personal na Data, kasama ang kung paano tinukoy ang naturang termino sa ilalim ng Naaangkop na Batas sa Proteksyon ng Data.
      10. Ang ibig sabihin ng “Processor” ay: (i) isang entity na Nagpoproseso ng Personal na Data sa ngalan ng isang Controller, at (ii) sinumang tao na nasa saklaw ng terminong “processor” (o anumang kaparehong termino) gaya ng tinukoy sa ilalim ng Mga Naaangkop na Batas sa Proteksyon ng Data.
      11. Ang ibig sabihin ng “Restricted Transfer” ay: (i) kung saan nalalapat ang EU GDPR, isang paglilipat ng Personal na Data mula sa EEA papunta sa isang bansa sa labas ng EEA na hindi napapailalim sa isang sapat na pagpapasiya ng European Commission (isang “EU Restricted Transfer“); at (ii) kung saan nalalapat ang UK GDPR, isang paglipat ng Personal na Data mula sa United Kingdom patungo sa anumang ibang bansa na hindi napapailalim o nakabatay sa sapat na mga regulasyon alinsunod sa Seksyon 17A ng United Kingdom Data Protection Act 2018 (isang “UK Restricted Transfer“).
      12. Ang ibig sabihin ng “Pagbebenta” at “Pagbebenta” ay pagpapalitan ng Personal na Data para sa pera o iba pang mahalagang pagsasaalang-alang, at kasama ang kung paano tinukoy ang mga naturang termino sa ilalim ng Naaangkop na Batas sa Proteksyon ng Data.
      13. Ang ibig sabihin ng “Mga Serbisyo” ay mga serbisyong ibinigay ng Taboola sa ilalim ng Kasunduan sa Advertiser.
      14. Ang “Insidente sa Seguridad” ay nangangahulugang isang paglabag sa seguridad na humahantong sa hindi sinasadya o labag sa batas na pagkasira, pagkawala, pagbabago, hindi awtorisadong pagbubunyag ng, o pag-access sa, Personal na Data.
      15. Ang ibig sabihin ng “Standard Contractual Clauses” ay: (i) kung saan nalalapat ang EU GDPR, ang mga contractual clause na idinagdag sa European Commission’s Implementing Decision 2021/914 ng 4 June 2021 sa mga standard contractual clause para sa paglilipat ng personal na data sa mga ikatlong bansa alinsunod sa Regulasyon (EU) 2016/679 ng European Council (“EuropeanParliament” at ng European Council; at (ii) kung saan nalalapat ang UK GDPR, ang “International Data Transfer Addendum sa EU Commission Standard Contractual Clauses” na ibinigay ng Information Commissioner sa ilalim ng s.119A(1) ng DPA 2018 (“UK Addendum”).
      16. Ang ibig sabihin ng “Third Party” ay isang negosyong gumaganap bilang Controller kaugnay ng Personal na Data, at hindi iyon ang negosyong sinadyang nakipag-ugnayan ang Subject ng Data na ang Personal na Data ay Pinoproseso; ang termino ay kasama kung paano tinukoy ang naturang termino sa ilalim ng Naaangkop na Batas sa Proteksyon ng Data.
      17. Ang ibig sabihin ng “UK Data Protection Law” ay: (i) ang UK Data Protection Act 2018, (ii) ang UK GDPR (tulad ng tinukoy sa s.3(10) ng UK Data Protection Act 2018) (“UK GDPR”), (iii) ang UK Privacy and Electronic Communications (EC Directive) Regulations 2003), at (iv) anumang iba pang mga batas sa UK na ginawa sa ilalim ng ( o) (iii) ayon sa bawat batas sa UK sinusugan o pinapalitan paminsan-minsan.

Dapat Iproseso ng bawat partido ang Nakolektang Data na kinokolekta o natatanggap nito mula sa kabilang partido para sa mga layuning itinakda sa Annex A, Part B (ang “Mga Pinahihintulutang Layunin”).  Sumasang-ayon ang Advertiser na Ipoproseso ng Taboola ang Nakolektang Data ayon sa pinahihintulutan ng Taboola Privacy Policy (na, para sa pag-iwas sa pagdududa, ay dapat ding isang Pinahihintulutang Layunin para sa Taboola).

Sa lawak na ang Nakolektang Data ay kwalipikado bilang, o naglalaman ng, Personal na Data sa ilalim ng Mga Naaangkop na Batas sa Proteksyon ng Data, ang bawat partido ay dapat Magproseso ng Nakolektang Data na kinokolekta o natatanggap nito mula sa kabilang partido bilang isang Controller (na maaaring kabilang ang, kung saan ang California Privacy Law ay nalalapat, bilang isang Third Party, kung saan naaangkop).  Ang mga pagsisiwalat (maging isang paglipat, o sa pamamagitan ng isang partido na ginagawang available ang data sa kabilang partido) ng Nakolektang Data o Personal na Data mula sa isang partido patungo sa isa pa ay mga pagsisiwalat sa Mga Third Party.

      1. Kung ang Batas sa Proteksyon ng Data ng estado ng US o US ay nalalapat sa Nakolektang Data, kasama nang walang limitasyon ang Batas sa Privacy ng California, hanggang sa ang Realize Pixels (dating pinangalanan bilang “Taboola Pixels”) ay ginagamit kaugnay ng Personal na Data ng Proseso ng Mga Serbisyo tungkol sa isang Bisita, gumaganap si Taboola bilang Third Party sa Advertiser para sa naturang Personal na Data. Iproseso ng Taboola ang naturang Personal na Data para sa Mga Pinahihintulutang Layunin. Ang nasabing Personal na Data ay ginawang available lamang sa Taboola para sa Mga Pinahihintulutang Layunin.  Magbibigay ang Taboola ng parehong antas ng proteksyon sa privacy gaya ng iniaatas sa Mga Negosyo sa pamamagitan ng naaangkop na Mga Batas sa Proteksyon ng Data ng US, kasama kung naaangkop, Mga Batas sa Privacy ng California. Ipapaalam ng Taboola ang Advertiser sa tagal ng panahon na kinakailangan ng Naaangkop na Batas sa Proteksyon ng Data kung matukoy ng Taboola na hindi na nito matutugunan ang mga obligasyon nito sa ilalim ng Mga Naaangkop na Batas sa Proteksyon ng Data. Sa pagbibigay ng abiso sa Taboola, may karapatan ang Advertiser na gumawa ng makatwiran at naaangkop na mga hakbang upang ihinto at ayusin ang hindi awtorisadong paggamit ng Personal na Data na ginagawa nitong available sa Taboola.

Kinikilala ng mga partido na ang ilan o lahat ng Nakolektang Data ay maaaring maging kwalipikado bilang, o kasama ang, Personal na Data at samakatuwid ay maaaring malapat ang Mga Naaangkop na Batas sa Proteksyon ng Data sa Pagproseso ng bawat partido ng Nakolektang Data.  Kung saan ito ang kaso, at napapailalim sa seksyon 7, ang bawat partido ay dapat na indibidwal na mananagot para sa sarili nitong pagsunod sa Mga Naaangkop na Batas sa Proteksyon ng Data, kabilang ang anumang naaangkop na mga kinakailangan upang: (i) magbigay ng transparency sa Mga Paksa ng Data, (ii) magkaroon ng pahintulot o ibang legal na batayan para sa Pagproseso, at (iii) gawing available ang isang contact point kung saan maaaring gamitin ng Mga Paksa ng Data ang kanilang mga karapatan sa proteksyon ng data.

Kung sakaling ang alinmang partido ay gumawa ng Restricted Transfer of Collected Data sa kabilang partido, ang mga probisyon ng Annex C ay dapat ilapat.

7. Transparency para sa mga Bisita sa Landing Page ng Advertiser.

Gumagamit si Taboola ng Realize Pixels para ibigay ang Mga Serbisyo.  Sa kabila ng seksyon 5, hanggang sa lawak na kinokolekta ni Taboola ang Nakolektang Data mula sa mga digital na property ng Advertiser (tulad ng mga website, mobile application o iba pa) gamit ang Realize Pixels, ang Advertiser ay dapat: (i) magbigay ng lahat ng kinakailangang mga abiso sa transparency sa Mga Paksa ng Data tungkol sa paggamit ni Taboola ng Realize Pixels para mangolekta ng Nakolektang Data mula sa Advertiser na mga digital na katangian para sa (at mga hiling ng Advertiser na digital) sa pamamagitan ng Taboola, magbigay ng naaangkop na katibayan ng) Pagpapahintulot ng Subject ng Data sa naturang paggamit ng Realize Pixels para sa Mga Pinahihintulutang Layunin, sa bawat kaso alinsunod sa mga kinakailangan ng Mga Naaangkop na Batas sa Proteksyon ng Data.  Kasama sa mga obligasyon ng Advertiser sa bagay na ito ang pagtukoy sa Taboola at ang paggamit nito ng Realize Pixels para sa Mga Pinahihintulutang Layunin na hayagang nasa loob ng mga abiso ng transparency at ang mga senyas ng pahintulot na ibinibigay ng Advertiser sa Mga Paksa ng Data, gayundin ang anumang iba pang impormasyong kinakailangan ng Mga Naaangkop na Batas sa Proteksyon ng Data, upang maibigay ng Taboola ang Mga Serbisyo nito nang ayon sa batas sa pamamagitan ng naturang mga digital na katangian at Mga Personal na Nakolektang Data.  Sa nakasulat na kahilingan, dapat bigyan ng Taboola ang Advertiser ng impormasyon na kinakailangan tungkol sa Realize Pixels at Pagproseso ng Taboola ng Nakolektang Data sa pamamagitan ng mga digital na katangian ng Advertiser para sa Advertiser upang matiyak na ang mga mekanismo ng paunawa at pahintulot nito ay susunod sa Mga Naaangkop na Batas sa Proteksyon ng Data.  Hindi papaganahin ng Advertiser ang anumang Realize Pixels maliban kung at hanggang sa maibigay ang anumang kinakailangang transparency at anumang kinakailangang pahintulot na kinakailangan sa ilalim ng Mga Naaangkop na Batas sa Proteksyon ng Data ay nakuha. Ang Advertiser ay dapat higit pang magbigay ng impormasyon sa Mga Paksa ng Data tungkol sa kung paano nila magagamit ang kanilang mga karapatan sa proteksyon ng data sa ilalim ng Mga Naaangkop na Batas sa Proteksyon ng Data, at magbibigay ng contact point para makipag-ugnayan ang Mga Paksa ng Data upang magamit ang kanilang mga karapatan. Aabisuhan kaagad ng Advertiser ang Taboola kung at hanggang sa tumanggap ito ng anumang kahilingan sa mga karapatan sa proteksyon ng data tungkol sa Pagproseso ng Nakolektang Data ng Taboola bilang isang Controller upang matupad ni Taboola ang kahilingan alinsunod sa mga obligasyon nito sa ilalim ng Naaangkop na Batas sa Proteksyon ng Data.

Kung ang Taboola, sa kahilingan ng Advertiser, ay nagpasa ng Personal na Data sa kasosyo ng attribution ng Advertiser o sa Advertiser para sa mga layunin ng pagpapatungkol, kinakatawan at ginagarantiyahan ng Advertiser na: (i) ang kasosyo nito sa pagpapatungkol ay isang Processor sa ngalan ng Advertiser; (ii) maliban kung independiyenteng nakolekta, gagamitin ng Advertiser at kasosyo sa pagpapatungkol ang naturang Personal na Data para lamang sa mga layunin ng pagpapatungkol; at (iii) tatanggalin ng kasosyo sa pagpapatungkol at Advertiser ang lahat ng naipasa na Personal na Data sa loob ng tatlumpung (30) araw ng huling pagkilala sa Bisita bilang nagmula sa Taboola.

Ang bawat partido ay dapat magpatupad ng naaangkop na teknikal at organisasyonal na mga hakbang sa seguridad upang protektahan ang Nakolektang Data at/o Personal na Data na Pinoproseso nito mula at laban sa isang Insidente sa Seguridad.  Ang mga hakbang na ito ay dapat isama ang mga hakbang na itinakda sa Annex B.

Kung ang alinmang Partido ay dumanas ng Insidente sa Seguridad kaugnay ng Nakolektang Data at/o Personal na Data na Pinoproseso nito at kung saan ay paksa ng Kasunduan at ang Mga Tuntunin sa Privacy ng Advertiser na ito, ang Partido na iyon ay: (i) mananagot para sa pagtupad (sa sarili nitong gastos) anumang mga obligasyon sa pag-uulat na nalalapat dito sa ilalim ng Mga Naaangkop na Batas sa Proteksyon ng Data sa mga awtoridad sa proteksyon ng data at/o mga apektadong Paksa ng Data, (ii) hindi nag-aalis ng impormasyon tungkol sa ibang Partido, (ii) Insidente na maaaring makatwirang hilingin ng kabilang Partido o kung hindi man ay kinakailangan para sa kabilang Partido upang matukoy kung maaari rin itong magkaroon ng mga obligasyon sa pag-uulat sa ilalim ng Mga Naaangkop na Batas sa Proteksyon ng Data kaugnay ng Insidente sa Seguridad, at (iii) gawin ang lahat ng naturang aksyon at hakbang, nang walang hindi nararapat na pagkaantala, ayon sa naaangkop na remediation at/o pagaanin ang mga epekto ng Insidente sa Seguridad

Kung saan at sa lawak na kinakailangan ng Mga Naaangkop na Batas sa Proteksyon ng Data kung saan napapailalim ang bawat partido, ang bawat partido ay dapat magsagawa ng anumang pagtatasa ng epekto sa proteksyon ng data patungkol sa Pagproseso nito ng Nakolektang Data at/o Personal na Data para sa Mga Pinahihintulutang Layunin at/o kumunsulta sa mga naaangkop na awtoridad sa proteksyon ng data, kung kinakailangan.  Ang bawat partido ay dapat magbigay ng lahat ng makatwirang kooperasyon at impormasyon na makatwirang hinihiling ng kabilang partido, kung saan ito ay kinakailangan upang makumpleto ng kabilang partido ang isang pagtatasa ng epekto sa proteksyon ng data at/o kumunsulta sa mga naaangkop na awtoridad sa proteksyon ng data alinsunod sa mga obligasyon ng kabilang partido sa ilalim ng seksyong 11 na ito.

 

A. LISTAHAN NG MGA PARTIDO

Ang bawat partido ay dapat na:

      • isang data controller (at data exporter) ng Nakolektang Data na inihahayag nito, o ginagawang available, sa kabilang partido, at
      • isang data controller (at data importer) ng Nakolektang Data na natatanggap nito mula sa, o kung saan ang access ay ginawang available ng, kabilang partido.

Ang mga detalye ng bawat partido ay ibinigay sa ibaba.

Pangalan: Tingnan ang mga detalye ng Advertiser na itinakda sa Kasunduan.

Address: Tingnan ang mga detalye ng Advertiser na itinakda sa Kasunduan.

Pangalan ng contact person, posisyon at mga detalye ng contact: Tingnan ang mga detalye ng Advertiser na itinakda sa Kasunduan o kung hindi man ay napagkasunduan sa pagitan ng mga partido nang nakasulat.

Mga aktibidad na nauugnay sa data na inilipat sa ilalim ng Mga Clause na ito: Ang pagtanggap ng Mga Serbisyo, gaya ng itinakda sa Kasunduan.

Lagda at petsa: Ang Annex A na ito ay dapat ituring na naisakatuparan sa pagtanggap ng Advertiser sa Mga Tuntunin sa Privacy ng Advertiser na ito.

Role (controller/processor): Controller (kung saan ito ay isang data exporter) at Controller (kung saan ito ay isang data importer)

 

Name: Tingnan ang mga detalye ng Taboola na itinakda sa panimula sa Kasunduan.

Address: Tingnan ang mga detalye ng Taboola na itinakda sa panimula sa Kasunduan.

Pangalan ng contact person, posisyon at mga detalye ng contact: Ang privacy team ng Taboola, privacy@taboola.com.

Mga aktibidad na nauugnay sa data na inilipat sa ilalim ng Mga Clause na ito: Ang probisyon ng Mga Serbisyo, gaya ng itinakda sa Kasunduan.

Lagda at petsa: Ang Annex A na ito ay dapat ituring na naisakatuparan sa pagtanggap ni Taboola sa Mga Tuntunin sa Privacy ng Advertiser na ito.

Role (controller/processor): Controller (kung saan ito ay isang data exporter) at Controller (kung saan ito ay isang data importer)

 

B. PAGLALARAWAN NG PAGPROSESO AT PAGLIPAT

Mga kategorya ng mga paksa ng data na ang personal na data ay pinoproseso at/o inilipat: Users

Mga kategorya ng personal na data na naproseso at/o inilipat:

Device Data: Operating system, uri ng browser, bersyon ng browser, IP address (naputol sa loob ng 30 araw) ng pagkolekta, zip code (nagmula sa IP address), na-hash na Taboola User ID, mga email na na-hash, inisyal at kasunod na mga pagbisita sa pahina sa website ng Advertiser, kasarian ng user (na hinuhulaan ng mga interes), signal ng pakikipag-ugnayan (oras sa site, lalim ng pag-scroll, lalim ng session), lalim ng data.

Data tungkol sa digital property na binisita ng user: Ang URL ng binisita na pahina, ang nagre-refer na website

Inilipat ang sensitibong data (kung naaangkop) at inilapat ang mga paghihigpit o pag-iingat na ganap na isinasaalang-alang ang likas na katangian ng data at ang mga panganib na kasangkot, tulad halimbawa ng mahigpit na limitasyon sa layunin, mga paghihigpit sa pag-access (kabilang ang pag-access lamang para sa mga kawani na sumunod sa espesyal na pagsasanay), pagpapanatili ng isang talaan ng pag-access sa data, mga paghihigpit para sa mga pasulong na paglipat o karagdagang mga hakbang sa seguridad: Hindi naaangkop.

Ang dalas ng pagpoproseso at/o paglilipat (hal. kung ang data ay pinoproseso at/o inilipat sa isang one-off o tuluy-tuloy na batayan): Tuloy-tuloy sa tagal ng Kasunduan.

Kalikasan ng pagproseso: Pagproseso ng Personal na Data na kinakailangan para sa probisyon ng Mga Serbisyo, tulad ng itinakda sa Kasunduan.

(Mga) Layunin ng pagproseso / paglilipat ng data at karagdagang pagproseso: Ang probisyon ng Mga Serbisyo, gaya ng itinakda sa Kasunduan. Para sa pag-iwas sa pagdududa, kasama sa Mga Pinahihintulutang Layunin ang: (i) pag-iimbak at/o pag-access ng impormasyon sa isang device; (ii) pagpili ng mga pangunahing patalastas; (iii) paglikha ng personalized na profile ng mga ad; (iv) pagpili ng mga personalized na ad; (v) paglikha ng personalized na profile ng nilalaman; (vi) pagpili ng personalized na nilalaman; (vii) pagsukat ng pagganap ng patalastas; (viii) pagsukat sa pagganap ng nilalaman; (ix) pagbuo at pagpapabuti ng mga produkto; (x) pagtiyak ng seguridad, pagpigil sa pandaraya, at pag-debug; (xi) teknikal na paghahatid ng mga ad o nilalaman; (xii) pagtutugma at pagsasama-sama ng offline na data source; (xiii) pag-uugnay ng iba’t ibang device; (xiv) pagtanggap at paggamit ng awtomatikong ipinadala na mga katangian ng device para sa pagkakakilanlan; (xv) paggamit ng limitadong data upang pumili ng nilalaman, at (xvi) uunawa sa mga madla sa pamamagitan ng mga istatistika.

Ang panahon kung saan pananatilihin ang personal na data, o, kung hindi iyon posible, ang pamantayang ginamit upang matukoy ang panahong iyon:

      • Taboola: Ang raw data ay iniimbak nang hindi hihigit sa 13 buwan.
      • Advertiser: Hangga’t kinakailangan upang matanggap ang Mga Serbisyo o kung hindi man ay tinukoy sa Kasunduan.

Para sa mga paglilipat sa (sub-) na mga processor, tukuyin din ang paksa, kalikasan at tagal ng pagproseso: Hindi naaangkop.

 

C. KOMPETENTANG AWTORIDAD SA SUPERBISORY

Mahusay na awtoridad sa pangangasiwa kung saan nalalapat ang EU GDPR: Ang karampatang awtoridad sa pangangasiwa para sa bawat partido ay inilarawan sa ibaba:

      • Taboola: Ang karampatang awtoridad sa pangangasiwa ay dapat matukoy alinsunod sa Clause 13 ng EU SCCs.
      • Advertiser: Ang karampatang awtoridad sa pangangasiwa ay dapat matukoy alinsunod sa Clause 13 ng EU SCCs.

Mahusay na awtoridad sa pangangasiwa kung saan nalalapat ang UK GDPR: Ang Opisina ng Komisyoner ng Impormasyon

 

Paglalarawan ng mga teknikal at organisasyonal na hakbang na ipinatupad ng bawat partido (kabilang ang anumang nauugnay na mga sertipikasyon) upang matiyak ang naaangkop na antas ng seguridad, na isinasaalang-alang ang kalikasan, saklaw, konteksto at layunin ng pagproseso, at ang mga panganib para sa mga karapatan at kalayaan ng mga natural na tao.

Mga sukat ng pseudonymisation at pag-encrypt ng personal na data: Kinokolekta lang ng Taboola ang pseudonymized na data, na nangangahulugang hindi namin alam kung sino ka dahil hindi namin alam o pinoproseso ang pangalan ng user, email address, o iba pang makikilalang data. Kasama sa Impormasyon ng User na aming kinokolekta, ngunit hindi limitado sa, Impormasyon tungkol sa device at operating system ng isang User, IP address, mga web page na na-access ng Mga User sa loob ng mga website ng aming Mga Customer, ang link na humantong sa isang User sa website ng Customer, ang mga petsa at oras na ina-access ng User ang website ng Customer at iba pang data sa pagba-browse sa web. Ang CookieID ay hindi nagpapakilala gamit ang Bcrypt at ang IP address ay pinutol.

Mga hakbang para sa pagtiyak ng patuloy na pagiging kumpidensyal, integridad, kakayahang magamit at katatagan ng mga sistema at serbisyo sa pagpoproseso: Gumagamit ang Taboola ng maraming antas ng electronic security (hal: endpoint security, server-side security, detection tracking, periodic penetration test, at deep intelligence gathering para suriin ang mga post-mortem event).

Mga hakbang para sa pagtiyak ng kakayahang ibalik ang kakayahang magamit at pag-access sa personal na data sa isang napapanahong paraan sa kaganapan ng isang pisikal o teknikal na insidente: Ang Taboola ay nagpapanatili ng 9 na data center na tumatakbo sa buong mundo. Ang bawat data center ay ginagamit bilang isang pagtitiklop ng isa’t isa kaya kung ang isa ay bumagsak ang data ay maaaring makuha mula sa ibang data center.

Mga proseso para sa regular na pagsubok, pagtatasa at pagsusuri sa pagiging epektibo ng mga teknikal at pang-organisasyong hakbang upang matiyak ang seguridad ng pagproseso: Ang Taboola ay nagpapanatili ng mahigpit na proseso para sa pagsubok sa mga epektibo ng mga kontrol nito (parehong teknikal at organisasyon). Mayroon kaming system logging at pagsubaybay sa lugar, buwanan (hindi bababa sa) DR testing, quarterly penetration test, Mga Firewall na nagpoprotekta sa web at mga honeypot na kumalat sa network upang mahanap ang anumang nakakahamak na aktibidad. Bukod dito, mayroon kaming bounty program na nakalagay na tumutulong sa aming patuloy na subaybayan ang aming network.

Mga hakbang para sa pagkakakilanlan at awtorisasyon ng user: Ang bawat user sa Taboola ay nauugnay sa isang nakalaang username at password. Ang bawat pag-access sa panloob na network ng Taboola ay ginagawa gamit ang 2FA gamit ang Google authentication. Ang mga gumagamit ay nilikha lamang ng departamento ng IT, sa panahon ng proseso ng onboarding at pagkatapos lamang matanggap ang lahat ng mga detalye at pinirmahang kontrata mula sa departamento ng HR.

Mga hakbang para sa proteksyon ng data sa panahon ng paghahatid: Sinusuportahan ng Taboola ang anumang paghahatid ng data sa pamamagitan ng mga secure na protocol ng paghahatid (HTTPS at TLS v1.2 sa pinakamababa). Higit pa rito, ang mga system na maaaring naglalaman ng PII ay sini-secure at ang data ay pinananatiling na-hash at hindi nagpapakilala.

Mga hakbang para sa proteksyon ng data sa panahon ng imbakan: Ang data na naka-imbak sa loob ng aming mga database ay hindi nagpapakilala at na-hash gamit ang Bcrypt. Ang pag-access sa DB ay pinaliit at batay sa prinsipyo ng ‘negosyo na kailangang malaman’.

Mga hakbang para sa pagtiyak ng pisikal na seguridad ng mga lokasyon kung saan pinoproseso ang personal na data: Ang bawat isa sa mga pandaigdigang data center ng Taboola (sa US, Europe, at Asia), ay mayroong lahat ng mga server nito na matatagpuan sa mga naka-lock na cabinet na pinananatili ng eksklusibo para sa paggamit ni Taboola. Ang mga cabinet na ito ay pinananatili ng mga kumpanyang alinman sa SOC2-certified o nirepaso ni Taboola ang kanilang mga hakbang sa seguridad. Dagdag pa, ang anumang pag-access sa mga server ay nangangailangan ng nakasulat, naka-log na pahintulot. Ang lahat ng mga opisina ng Taboola ay kinokontrol din, at hinihiling sa mga empleyado na gumamit ng mga access card upang makapasok. Higit pa rito, limitadong bilang lamang ng mga empleyado ang may access sa mga server ng Taboola at ang anumang pag-access ay nangangailangan din ng nakasulat at naka-log na pahintulot.

Mga hakbang para matiyak ang pag-log ng mga kaganapan: Ang Taboola ay nagpapatupad ng mga tool sa pagsubaybay at ang mga log ay natipon sa aming SIEM system na nag-aalerto sa amin sa anumang kahina-hinalang kaganapan at sinusubaybayan din ng NOC team.

Mga hakbang para matiyak ang configuration ng system, kabilang ang default na configuration: Ang mga server ay ini-scan para sa parehong configuration drift at patch level. Ang pag-uulat at/o pag-alerto ay nakatakda sa pareho at nakumpirma ang nauugnay na antas ng patch. Ang mga bagong patch ay ipinamamahagi gamit ang Puppet. Ang lahat ng mga teknikal na pagsusuri ay pinamamahalaan sa pamamagitan ng R&D application at nakuha sa pamamagitan ng isang pormal na proseso ng pagsusuri (QA) pagkatapos na ipatupad din ang mga proseso ng coding at CI/CD.

Mga hakbang para sa panloob na pamamahala at pamamahala sa seguridad ng IT at IT: Ang Taboola ay ISO 27001:2013 at 27701 na sertipikado. Ang Taboola ay mayroong Patakaran sa Seguridad ng Impormasyon na nakalagay na nagsasaad na ang Lupon ng mga Direktor at pamamahala ng Taboola ay nakatuon sa pangangalaga sa pagiging kompidensiyal, integridad at pagkakaroon ng lahat ng pisikal at elektronikong impormasyon na mga asset sa kanilang organisasyon. Ang Taboola ay nagtataglay ng mga pagsasanay sa seguridad para sa lahat ng bagong empleyado, mga pagsasanay sa phishing para sa lahat ng empleyado sa buong mundo, at mga regular na pagsasanay sa seguridad para sa lahat ng empleyado at naglalaan din ng mga sesyon para sa mga pangkat ng R&D.

Mga hakbang para sa sertipikasyon/pagtitiyak ng mga proseso at produkto: Quarterly / Semi-taon / taunang panloob na pag-audit sa maraming proseso at sistema upang patunayan na ang Taboola ay sumusunod sa mga layunin at hakbang sa seguridad na tinukoy.

Mga hakbang para matiyak ang pagliit ng data: Sinadyang nililimitahan ng Taboola ang data na kinokolekta namin bilang bahagi ng mga prinsipyo ng pagliit ng data sa pandaigdigang data ng Taboola sa pagproseso lamang ng limitadong data na kailangan para sa aming mga partikular na layunin ng negosyo. Higit pa rito, ang Taboola ay walang kakayahan, o anumang pangangailangan sa negosyo, na “reverse engineer” ang alinman sa mga punto ng data na ginamit sa aming algorithm upang maibigay ang aming mga serbisyo. Higit na partikular, ang mga punto ng data na kinokolekta ni Taboola ay hindi kailanman nagpapahiwatig ng pagkakakilanlan ng isang user — dahil ang Taboola ay hindi nangongolekta o nagpoproseso ng impormasyon tulad ng pangalan ng user, numero ng telepono, email, o mga pisikal na address. Sa halip, kumukolekta lang si Taboola ng mga pseudonymous na identifier, na tumutukoy lang sa mga katangian tungkol sa device ng isang user. Kabilang dito ang mga IP address (na pinutol sa pagkolekta at maaari lamang tukuyin ang pangkalahatang lokasyon ng zip code ng device, ngunit hindi kailanman isang tumpak na geolocation) at, sa ilang limitadong pagkakataon, na-hash ang mga email address (na likas na hindi maibabalik at hindi ma-decrypt upang ipakita ang orihinal na email address). Higit pa rito, kahit na ginamit nang sama-sama, ang data na kinokolekta namin ay hindi kailanman makakapagbigay ng pangalan, numero ng telepono, email, o pisikal na address ng isang indibidwal, at ang aming mga inhinyero ay hindi gumagana sa anumang paraan upang maisakatuparan ang layuning ito. Bukod pa rito, gumagawa at nagtatala ang Taboola ng mga pagtatasa ng epekto sa privacy sa pagsisikap na mabawasan ang mga panganib sa privacy ng aming mga serbisyo, proseso, at patakaran.

Mga hakbang para matiyak ang kalidad ng data: Direktang kinokolekta ang data mula sa user at binibigyan ang user ng pagkakataong itama ang anumang data na nauugnay sa kanilang CookieID sa pamamagitan ng Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access

Mga hakbang para sa pagtiyak ng limitadong pagpapanatili ng data: Pinapanatili namin ang Impormasyon ng User, na direktang kinokolekta para sa mga layunin ng paghahatid ng mga ad, nang hindi hihigit sa labintatlong (13) buwan mula sa huling pakikipag-ugnayan ng User sa aming Mga Serbisyo (kadalasan para sa mas maikling yugto ng panahon), pagkatapos nito ay inaalis namin ang pagkakakilanlan ng data sa pamamagitan ng pag-alis ng mga natatanging identifier o pagsasama-sama ng data. Awtomatikong ginagawa ang prosesong ito.

Mga hakbang para matiyak ang pananagutan: Gumagawa ang Taboola ng maraming pag-audit sa seguridad at pagsubok sa pagtagos (ngunit hindi para sa lahat ng system). Gumagamit din ang Taboola ng mga cloud provider na ISO-certified at sumusunod sa iba pang cloud-relevant certification para sa pagpapanatili ng mga pisikal na pananggalang ng server.

Mga hakbang para sa pagpapahintulot sa pagdadala ng data at pagtiyak ng pagbura: Ang bawal na nauugnay sa pagtatapon ng media ay pareho para sa lahat ng uri ng media dahil maaaring naglalaman ito ng PII. Ang anumang media ay dapat na ganap na punasan bago muling gamitin o itapon. Ang anumang pagtatapon ng media ay dokumentado. Ang mga empleyado ay inutusan na huwag mag-print ng anumang papel na maaaring naglalaman ng personal na impormasyon.

  1. Kung ang isang partido ay gagawa ng Restricted Transfer of Collected Data sa kabilang partido, ang mga Standard Contractual Clause ay isasama sa Mga Tuntunin sa Privacy ng Advertiser na ito at ilalapat ang mga sumusunod:
    1. kung saan ang Restricted Transfer ay isang EU Restricted Transfer, ang EU SCCs ay ilalapat sa pagitan ng mga partido tulad ng sumusunod:
      1. Malalapat ang Unang Module;
      2. sa Clause 7, ang opsyonal na Docking Clause ay ilalapat;
      3. sa Clause 11, hindi ilalapat ang opsyonal na wika;
      4. sa Clause 17, malalapat ang Opsyon 1, at ang EU SCCs ay pamamahalaan ng batas ng Ireland;
      5. sa Clause 18(b), ang mga hindi pagkakaunawaan ay dapat lutasin sa harap ng mga korte ng Ireland;
      6. Ang mga Bahagi A, B at C ng Annex I ay ituring na kumpleto sa impormasyong itinakda sa Mga Bahagi A, B at C ng Annex A sa Mga Tuntunin sa Privacy ng Advertiser na ito; at
      7. Ang Annex II ay dapat ituring na kumpleto sa mga hakbang sa seguridad na itinakda sa Annex B sa Mga Tuntunin sa Privacy ng Advertiser na ito;
    2. kung saan ang Restricted Transfer ay isang UK Restricted Transfer, ang UK Addendum ay ilalapat sa pagitan ng mga partido tulad ng sumusunod:
      1. ang mga EU SCC, na nakumpleto gaya ng itinakda sa itaas ay dapat ilapat sa pagitan ng mga partido, at dapat baguhin ng UK Addendum (nakumpleto gaya ng itinakda sa sub-clause (ii) sa ibaba); at
      2. Ang mga talahanayan 1 hanggang 3 ng UK Addendum ay dapat ituring na kumpleto na may kaugnay na impormasyon mula sa EU SCCs, na nakumpleto tulad ng itinakda sa itaas, at ang mga opsyon na “Exporter” at “Importer” ay dapat ituring na naka-check sa talahanayan 4. Ang petsa ng pagsisimula ng UK Addendum (tulad ng itinakda sa talahanayan 1) ay ang Petsa ng Pagkabisa ng Mga Tuntunin sa Privacy ng Advertiser na ito.
  2. Pasulong na Restricted Transfers:  Wala sa alinmang partido ang gagawa ng pasulong na Restricted Transfer of Collected Data na natatanggap nila mula sa kabilang partido maliban na lang kung nagawa na nito ang lahat ng ganoong aksyon at mga bagay na kinakailangan para matiyak na ang nasabing onward Restricted Transfer ay sumusunod sa Applicable Data Protection Law at anumang Standard Contractual Clause na napagkasunduan nito sa kabilang partido.