Дополнение о защите данных для RTB и программных партнеров
Last Update: May 29, 2024
Дополнение о защите данных для RTB и программных партнеров
Дата вступления в силу: 29 мая 2024 года
Чтобы обеспечить наличие соответствующих условий защиты данных у Taboola с нашими программными и RTB партнерами (каждый из которых является «Партнер»), Taboola предоставляет это Дополнение о защите данных (далее «DPA»).
Это DPA автоматически дополняет и является частью существующего контрактного бизнес-соглашения между Партнером и Taboola, касающегося предоставления услуг RTB и программных услуг («Основное соглашение»).
Все термины с заглавной буквы, используемые в этом DPA, но не определенные в этом DPA, будут иметь значения, указанные в Основном соглашении. В случае любого конфликта между этим DPA и Основным соглашением, это DPA будет иметь преимущество в той мере, в какой возникает этот конфликт.
1. Определения
“Применимые законы о защите данных” означают любые и все применимые федеральные, национальные, государственные или другие законы о конфиденциальности и защите данных, которые могут быть изменены или заменены время от времени, включая, если применимо и без ограничения, CCPA (как определено ниже) и законы о защите данных Европейского Союза.
“CCPA” означает Закон Калифорнии о конфиденциальности потребителей (Cal. Гражданский кодекс §§ 1798.100 – 1798.199), с изменениями, внесенными Законом о правах на конфиденциальность Калифорнии (Cal. Гражданский кодекс §§ 1798.100 – 1798.199). Гражданский кодекс §§ 1798.100 – 1798.199), с изменениями, внесенными Законом о правах на конфиденциальность Калифорнии (Cal. “Контроллер” означает организацию, которая определяет цели и средства обработки Личной информации, и включает любую организацию, которая обрабатывает Личную информацию как “бизнес” или “третья сторона” в соответствии с CCPA и CPRA.
“Рамки конфиденциальности данных” или “DPF” означает Рамки конфиденциальности данных ЕС-США и Расширение Великобритании к ЕС-США.
DPF, как указано Министерством торговли США. “Законы о защите данных Европейского Союза” означают законы о защите данных EU и законы о защите данных Великобритании. “Законы о защите данных ЕС” означают: (i) Регламент ЕС 2016/679 (“EU GDPR”); (ii) Директива ЕС 2002/58/EC; и (iii) национальные законы каждого государства-члена ЕЭП, принятые в соответствии с (i) или (ii), или которые иначе относятся к обработке персональных данных; в каждом случае, с изменениями или заменами время от времени. “Личная информация” означает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу, и включает любую информацию, определяемую как “персональные данные” или “личная информация” в соответствии с Применимыми законами о защите данных.
«Европейские законы о защите данных» означают законы EU о защите данных и законы Великобритании о защите данных.
Законы EU о защите данных» означают: (i) Регламент EU 2016/679 («EU GDPR»); (ii) Директиву EU 2002/58/EC; и (iii) национальные законы каждого государства-члена ЕЭЗ, принятые в соответствии с (i) или (ii) или реализующие их, или которые иным образом относятся к обработке персональных данных; в каждом случае с поправками или заменами, вносимыми время от времени.
«Личная информация» означает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу, и включает в себя любую информацию, определяемую как «персональные данные» или «личная информация» в соответствии с применимыми законами о защите данных.
«Допустимая цель» означает цели реального времени торгов, связанные с покупкой и продажей онлайн-рекламы в соответствии с Основным соглашением, для которых Taboola раскрывает или иным образом предоставляет Общие данные Партнеру для обработки, как указано в Приложении I.
«Ограниченная передача» означает: (i) когда применяется EU GDPR, передача персональных данных из ЕЭП в страну за пределами ЕЭП, которая не подлежит оценке адекватности Европейской комиссией (“Ограниченная передача EU“); и (ii) когда применяется UK GDPR, передача персональных данных из Соединенного Королевства в любую другую страну, которая не подлежит или не основана на правилах адекватности в соответствии с Разделом 17A Закона о защите данных Соединенного Королевства 2018 года (“Ограниченная передача Великобритании“).
«Инцидент безопасности» означает нарушение безопасности, приводящее к случайному или незаконному уничтожению, утрате, изменению, несанкционированному раскрытию или доступу к Общим данным.
«Продавать» и «делиться» будут иметь значения, установленные в CCPA и CPRA и их регулирующих актах.
«Общие данные» означают категории Личной информации, перечисленные в Приложении I к этому DPA.
«Standard Contractual Clauses» означают: (i) когда применяется EU GDPR, договорные положения, приложенные к Исполнительному решению Европейской комиссии 2021/914 от 4 июня 2021 года о standard contractual clauses для передачи персональных данных в третьи страны в соответствии с Регламентом (EU) 2016/679 Европейского парламента и Совета (“EU SCCs”); и (ii) когда применяется UK GDPR, “Международное дополнение к Standard Contractual Clauses Комиссии EU” выданное Информационным комиссаром в соответствии с с.119A(1) DPA 2018 года (“UK Addendum“).
«Законы о защите данных Великобритании» означают: (i) EU GDPR, как он является частью законодательства Великобритании в силу раздела 3 Закона о выходе из Европейского Союза (Withdrawal) 2018 года (“UK GDPR“); (ii) Правила о конфиденциальности и электронных коммуникациях (Директива EU) 2003 года; (iii) Закон о защите данных 2018 года; и (iv) любые другие законы в Великобритании, принятые в соответствии с (i) или (ii), или которые иным образом относятся к обработке персональных данных; в каждом случае, с поправками или заменами время от времени.
2. Раскрытие данных
При условии соблюдения Партнером Основного соглашения и этого DPA, Taboola раскроет или иным образом предоставит Общие данные Партнеру для обработки строго в целях Допустимой цели.
3. Отношения сторон
Стороны признают, что Taboola является контроллером Общих данных, которые она раскрывает Партнеру, и что Партнер будет обрабатывать Общие данные как контроллер строго в целях Допустимой цели.
4. Обязанности Партнера
Партнер гарантирует, представляет и обязуется, что:
(a) он всегда будет обрабатывать Общие данные только для Допустимой цели и в соответствии с Применимыми законами о защите данных;
(b) у него нет оснований полагать, что Применимые законы о защите данных препятствуют ему в выполнении своих обязательств в отношении обработки Общих данных для Допустимой цели;
(c) если Партнер определит, что он не может обрабатывать Общие данные для Допустимой цели в соответствии с Применимыми законами о защите данных, он незамедлительно уведомит Taboola;
(d) он всегда будет представлять и поддерживать общедоступное уведомление о конфиденциальности на своем веб-сайте, которое соответствует требованиям Применимых законов о защите данных, и которое предоставляет контактные данные, по которым субъекты данных могут задавать вопросы, касающиеся защиты данных;
(e) он обеспечит возможность субъектам данных осуществлять свои права на защиту данных в соответствии с Применимыми законами о защите данных, включая (без ограничения) их право возражать против обработки их Общих данных;
(f) в отношении любой обработки Общих данных, защищенной в соответствии с Европейскими законами о защите данных, он:
(g) будет обрабатывать Общие данные только в том случае, если у него есть согласие на это, в соответствии с требованиями Европейских законов о защите данных;
(h) он должен реализовать соответствующие технические и организационные меры, включая, по крайней мере, меры, изложенные в Приложении II, для защиты Общих Данных от и против Инцидента безопасности.
5. Разумные и соответствующие шаги
Taboola может предпринять разумные и соответствующие шаги, чтобы гарантировать, что Партнер обрабатывает Общие Данные в соответствии с Основным Соглашением и этим DPA таким образом, который соответствует Применимым Законам о Защите Данных.
Если Партнер не соблюдает Основное Соглашение, этот DPA или Применимые Законы о Защите Данных, Taboola предпримет разумные и соответствующие шаги, чтобы остановить и устранить несанкционированное использование Общих Данных (включая приостановку или прекращение раскрытия Общих Данных Партнеру).
6. Соблюдение Применимого Закона
Партнер должен соблюдать Применимые Законы о Защите Данных и должен предоставлять такой же уровень защиты конфиденциальности Общим Данных, как это требуется Применимыми Законами о Защите Данных.
7. Обязанность сотрудничества
В случае, если любая из сторон получит какую-либо корреспонденцию, запрос или жалобу от субъекта данных, регулятора или другой третьей стороны (“Корреспонденция“) в связи с (a) раскрытием Общих Данных для Разрешенной Цели; или (b) обработкой Общих Данных другой стороной, она должна незамедлительно уведомить другую сторону, предоставив полные детали, и стороны должны разумно и добросовестно сотрудничать, чтобы ответить на Корреспонденцию в соответствии с любыми требованиями по Применимым Законам о Защите Данных.
8. Ограниченные Передачи из EU и Великобритании
В той мере, в какой любая передача Общих Данных от Taboola к Партнеру является Ограниченной Передачей, Standard Contractual Clauses будут включены в этот DPA и применяться следующим образом:
(a) если Ограниченная Передача является Ограниченной Передачей из EU, то EU SCCs будут применяться между Taboola (в качестве экспортера данных) и Партнером (в качестве импортера данных) следующим образом:
(i) Модуль Один будет применяться;
(ii) в Пункте 7 будет применяться дополнительный пункт;
(iii) в Пункте 11 дополнительный язык не будет применяться;
(iv) в Пункте 17 будет применяться Вариант 1, и EU SCCs будут регулироваться ирландским правом;
(v) в Пункте 18(b) споры будут разрешаться в судах Ирландии;
(vi) в Приложении I:
(A) Части A и B будут считаться заполненными с информацией, изложенной в Приложении A к этому DPA;
(B) Часть C будет считаться заполненной в соответствии с критериями, изложенными в Пункте 13(a) EU SCCs; и
(vii) Приложение II будет считаться заполненным с мерами безопасности, изложенными в Приложении B к этому DPA.
(b) где Ограниченная Передача является Ограниченной Передачей в Великобритании, Приложение Великобритании будет применяться между сторонами следующим образом:
(i) EU SCCs, заполненные, как указано выше, будут применяться между сторонами и будут изменены Приложением Великобритании (заполненным, как указано в подпункте (ii) ниже); и
(ii) таблицы 1-3 Приложения Великобритании будут считаться заполненными соответствующей информацией из EU SCCs, заполненными, как указано выше, и опции “Экспортер” и “Импортер” будут считаться отмеченными в таблице 4. Дата начала действия Приложения Великобритании (как указано в таблице 1) будет датой вступления в силу этого DPA.
Партнер не будет осуществлять последующую Ограниченную Передачу Общих Данных третьей стороне, если он не выполнит все необходимые действия и мероприятия, чтобы гарантировать, что Ограниченная Передача соответствует Применимому законодательству о защите данных и любым Standard Contractual Clauses, которые он подписал с Taboola.
Несмотря на вышеизложенное, если Партнер сертифицирован в соответствии с DPF и соблюдает его, передачи Общих Данных Партнеру, осуществленные в рамках DPF, не будут считаться Ограниченной Передачей. В таком случае Партнер немедленно уведомит Taboola, если он не сможет выполнить свою сертификацию DPF или если его сертификация DPF истечет или будет иным образом аннулирована, в этом случае:
(a) любые передачи Общих Данных от Taboola к Партнеру немедленно будут считаться Ограниченной Передачей, и вышеуказанные положения об Ограниченной Передаче будут применяться; и
(b) Taboola может, по своему абсолютному усмотрению, решить приостановить или прекратить передачи Общих Данных Партнеру без штрафа.
9. Возмещение убытков
Партнер должен защищать Taboola и ее директоров, должностных лиц, сотрудников, агентов и клиентов (“Taboola Indemnitees“) от любых и всех требований, запросов, исков, производств и действий, предъявленных третьей стороной, касающихся обвинения в том, что Партнер нарушил этот DPA или Применимые законы о защите данных, и должен возместить Taboola Indemnitees все убытки, потери, расходы и затраты (включая разумные гонорары адвокатов), понесенные Taboola Indemnitees в результате такого иска.
10. Разное
Партнер несет полную ответственность за свое собственное соблюдение Применимых законов о защите данных при обработке Общих Данных.
В случае любых изменений в Применимых законах о защите данных Taboola может изменить и обновить этот DPA в той мере, в какой это необходимо для соблюдения таких изменений в Применимых законах о защите данных.
С момента вступления в силу этого DPA ссылки на “Соглашение” в этом DPA или Основном Соглашении будут означать Основное Соглашение, дополненное этим DPA.
ПРИЛОЖЕНИЕ I
Описание обмена данными
A. СПИСОК СТОРОН
| Taboola - Data exporter(s) | |
|---|---|
| Name: | See Taboola’s details set out in the Underlying Agreement. |
| Address: | See Taboola’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | privacy@taboola.com |
| Activities relevant to the data transferred under these Clauses: | Disclosure of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
| Partner - Data importer: | |
|---|---|
| Name: | See Partner’s details set out in the Underlying Agreement. |
| Address: | See Partner’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | See Partner’s details set out in the Underlying Agreement. |
| Activities relevant to the data transferred under these Clauses: | Receipt and processing of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
ОПИСАНИЕ ПЕРЕВОДА
| Description of Transfer | |
|---|---|
| Categories of data subjects whose personal data is transferred | Visitors to digital properties (such as websites and mobile applications) owned by customers of Taboola and who have integrated Taboola’s advertising technologies on those properties. |
| Categories of personal data transferred | Pre-partnership Integration: Unique User IDs from RTB partners Cookie match / sync / table (either Taboola or Partner can host and the non-hosting party must share data points) Bid request includes: Unique ID of the bid request (provided by the exchange) IMP object representing the impression offered Publisher site or app represented App Device Auction Type Maximum Time Currency Blocked Categories Device ID Taboola User ID Calling Tag Partners: URL |
| Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures | Not applicable. |
| The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis) | Continuous for the duration of the Underlying Agreement. |
| Nature of the processing | Processing of Shared Data by Partner for the purposes of real-time bidding in order to buy and sell advertising inventory on digital properties of Taboola’s customers. |
| Purpose(s) of the data transfer and further processing | Partner processes Shared Data, for the following purposes: Serve personalized and behavioral recommendations. Determine whether to bid on a placement and serve personalized recommendations. |
| The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period | For the duration of the Underlying Agreement and as otherwise required by applicable law. |
| For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing | Not applicable. |
КOMPETENTНЫЙ НАДЗОРНЫЙ ОРГАН
| Competent Supervisory Authority | |
|---|---|
| Competent supervisory authority where the EU GDPR applies | The competent supervisory authority shall be determined in accordance with Clause 13 of Module 1 of the EU Standard Contractual Clauses. |
| Competent supervisory authority where the UK GDPR applies | The Information Commissioner’s Office |
ПРИЛОЖЕНИЕ II
Меры безопасности
Описание технических и организационных мер, реализованных каждой стороной (включая любые соответствующие сертификаты), для обеспечения соответствующего уровня безопасности, принимая во внимание природу, объем, контекст и цель обработки, а также риски для прав и свобод физических лиц. Партнер заявляет и гарантирует, что у него есть соответствующие технические и организационные меры, существенно аналогичные мерам безопасности Taboola, обозначенным ниже.
Меры псевдонимизации и шифрования персональных данных: Taboola собирает только псевдонимизированные данные, что означает, что мы не знаем, кто вы, потому что мы не знаем и не обрабатываем имя пользователя, адрес электронной почты или другие идентифицируемые данные. Информация о пользователе, которую мы собираем, включает, но не ограничивается, информацией о устройстве и операционной системе пользователя, IP-адресом, веб-страницами, доступными пользователями на сайтах наших клиентов, ссылкой, которая привела пользователя на сайт клиента, датами и временем, когда пользователь получает доступ к сайту клиента, и другими данными веб-серфинга. CookieID анонимизируется с использованием Bcrypt, а IP-адрес обрезается.
Меры для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости систем и услуг обработки: Taboola использует несколько уровней электронной безопасности (например, безопасность конечных точек, безопасность на стороне сервера, отслеживание обнаружений, периодические тесты на проникновение и глубокую разведку для анализа посмертных событий).
Меры по обеспечению возможности восстановления доступности и доступа к персональным данным в своевременном порядке в случае физического или технического инцидента: Taboola управляет 9 дата-центрами, работающими по всему миру. Каждый дата-центр используется как реплика друг друга, поэтому, если один выходит из строя, данные могут быть извлечены из другого дата-центра.
Процессы регулярного тестирования, оценки и оценки эффективности технических и организационных мер для обеспечения безопасности обработки: Taboola поддерживает строгие процессы тестирования эффективности своих контролей (как технических, так и организационных). У нас есть система ведения журналов и мониторинга, ежемесячное (по крайней мере) тестирование DR, квартальные тесты на проникновение, межсетевые экраны, защищающие веб, и ловушки, разбросанные по сети для обнаружения любой злонамеренной активности. Более того, у нас есть программа вознаграждений, которая помогает нам постоянно контролировать нашу сеть.
Меры по идентификации и авторизации пользователей: Каждый пользователь в Taboola ассоциирован с уникальным именем пользователя и паролем. Каждый доступ к внутренней сети Taboola осуществляется с использованием 2FA с помощью Google аутентификации. Пользователи создаются только IT-отделом в процессе адаптации и только после получения всех деталей и подписанного контракта от HR-отдела.
Меры по защите данных во время передачи: Taboola поддерживает любую передачу данных через безопасные протоколы передачи (HTTPS и TLS v1.2 как минимум). Более того, системы, которые могут содержать PII, защищены, а данные хранятся в зашифрованном и анонимизированном виде.
Меры по защите данных во время хранения: Данные, которые хранятся в наших базах данных, анонимизированы и зашифрованы с использованием Bcrypt. Доступ к БД минимизирован и основан на принципе «необходимости в бизнесе».
Меры по обеспечению физической безопасности мест, где обрабатываются персональные данные: Каждый из глобальных дата-центров Taboola (в США, Европе и Азии) имеет все свои серверы, расположенные в запираемых шкафах, которые обслуживаются исключительно для использования Taboola. Эти шкафы обслуживаются компаниями, которые либо сертифицированы по стандарту SOC2, либо Taboola проверила их меры безопасности. Кроме того, любой доступ к серверам требует письменного, зарегистрированного разрешения. Все офисы Taboola также контролируются, и сотрудники должны использовать карты доступа для входа. Кроме того, только ограниченное количество сотрудников имеет доступ к серверам Taboola, и любой доступ также требует письменного, зарегистрированного разрешения.
Меры по обеспечению ведения журналов событий: Taboola реализует инструменты мониторинга, и журналы собираются в нашу систему SIEM, которая уведомляет нас о любых подозрительных событиях и также контролируется командой NOC.
Меры по обеспечению конфигурации системы, включая конфигурацию по умолчанию: Серверы сканируются как на отклонения в конфигурации, так и на уровень патчей. Отчеты и/или уведомления установлены на обоих, и соответствующий уровень патчей подтвержден. Новые патчи распределяются с помощью Puppet. Все технические обзоры управляются через приложение R&D и получаются через формальный процесс обзора (QA) после того, как кодирование и процессы CI/CD также реализованы.
Меры по внутреннему управлению ИТ и ИТ-безопасностью: Taboola сертифицирована по стандартам ISO/IEC 27001:2013 и ISO/IEC 27701:2019. Taboola имеет Политику информационной безопасности, в которой говорится, что Совет директоров и руководство Taboola обязуются сохранять конфиденциальность, целостность и доступность всех физических и электронных информационных активов в своей организации. Taboola проводит тренинги по безопасности для всех новых сотрудников, тренинги по фишингу для всех сотрудников по всему миру и регулярные тренинги по безопасности для всех сотрудников, а также специальные сессии для групп R&D.
Меры по сертификации/гарантии процессов и продуктов: Квартальные / полугодовые / годовые внутренние аудиты по нескольким процессам и системам для проверки того, что Taboola соответствует своим целям и мерам безопасности.
Меры по обеспечению минимизации данных: Taboola намеренно ограничивает данные, которые мы собираем, как часть глобальных принципов минимизации данных Taboola, обрабатывая только ограниченные данные, необходимые для наших конкретных бизнес-целей. Кроме того, у Taboola нет возможности и никакой бизнес-необходимости “обратного проектирования” любых из точек данных, используемых в нашем алгоритме, чтобы предоставлять наши услуги. Более конкретно, точки данных, которые собирает Taboola, никогда не указывают на личность пользователя — так как Taboola не собирает и не обрабатывает информацию, такую как имя пользователя, номер телефона, электронную почту или физические адреса. Вместо этого Taboola собирает только псевдонимные идентификаторы, которые просто определяют характеристики устройства пользователя. Сюда входят IP-адреса (которые обрезаются при сборе и могут лишь определить общее местоположение по почтовому индексу устройства, но никогда точное геолокационное местоположение) и, в некоторых ограниченных случаях, хэшированные адреса электронной почты (которые по своей сути необратимы и не могут быть расшифрованы для раскрытия оригинального адреса электронной почты). Более того, даже когда данные используются коллективно, данные, которые мы собираем, никогда не могут привести к имени, номеру телефона, электронной почте или физическому адресу отдельного человека, и наши инженеры не работают ни в каком направлении для достижения этой цели. Кроме того, Taboola проводит и фиксирует оценки воздействия на конфиденциальность в попытке минимизировать риски конфиденциальности наших услуг, процессов и политик.
Меры по обеспечению качества данных: Данные собираются непосредственно от пользователя, и пользователю предоставляется возможность исправить любые данные, связанные с их CookieID, через Портал Запроса Доступа Taboola: https://accessrequest.taboola.com/access
Меры по обеспечению ограниченного хранения данных: Мы храним информацию о пользователе, которая собирается непосредственно для целей показа рекламы, не более тринадцати (13) месяцев с момента последнего взаимодействия пользователя с нашими услугами (часто на более короткий срок), после чего мы деидентифицируем данные, удаляя уникальные идентификаторы или агрегируя данные. Этот процесс выполняется автоматически.
Меры по обеспечению ответственности: Taboola проводит несколько аудитов безопасности и тестирования на проникновение (но не для всех систем). Taboola также использует облачных провайдеров, которые сертифицированы по ISO и соответствуют другим облачным сертификатам, необходимым для поддержания физических мер безопасности сервера.
Меры по обеспечению переносимости данных и гарантии их удаления: Taboola, касающаяся утилизации медиа, одинакова для всех видов медиа, так как они могут содержать ЛИЧНУЮ ИНФОРМАЦИЮ. Любые медиа должны быть полностью стерты перед повторным использованием или утилизацией. Любая утилизация медиа документируется. Сотрудникам предписано не печатать никакие документы, которые могут содержать личную информацию.