Условия конфиденциальности для владельцев цифровой собственности

Last Update: October 10, 2024

Дата вступления в силу: 10 октября 2024 г.

Настоящие Условия конфиденциальности Taboola для владельцев цифровой недвижимости («Условия конфиденциальности издателя») применяются к услугам цифровой рекламы Taboola, например, когда Taboola размещает контент рекламодателя на ресурсах издателя, включая, помимо прочего, продукты и услуги издателя, такие как Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News и Taboola Push, в соответствии с соглашением между Taboola и издателем («Соглашение»), и настоящие Условия конфиденциальности издателя считаются включенными в любое такое Соглашение и являются его неотъемлемой частью. Настоящие Условия конфиденциальности издателя определяют роли и обязанности Taboola и издателя в отношении персональных данных.

В случае противоречия между Условиями конфиденциальности издателя и настоящим Соглашением, преимущественную силу имеют Условия конфиденциальности издателя, если только противоречащее положение в Соглашении прямо не ссылается на противоречащее положение настоящих Условий конфиденциальности издателя и не указывает, что оно заменяет собой противоречащее положение.

Термины, определенные в данном разделе, имеют значения, указанные ниже, и родственные термины должны толковаться соответствующим образом. Термины, написанные с заглавной буквы и используемые, но не определенные в Условиях конфиденциальности издателя, имеют значения, определенные в Соглашении.

      1. «Применимые законы о защите данных» означают все применимые федеральные, национальные, государственные или иные законы о конфиденциальности и защите данных, которые применяются к обработке данных, являющейся предметом настоящего Соглашения и настоящих Условий конфиденциальности издателя, с учетом возможных изменений или замен, вносимых время от времени.
      2. «Закон Калифорнии о защите конфиденциальности» означает Закон Калифорнии о защите конфиденциальности потребителей от 2018 года, Калифорния. Гражданский кодекс § 1798.100 и далее (также именуемый «CCPA») с поправками (включая поправки, внесенные Законом Калифорнии о правах на неприкосновенность частной жизни), а также любые подзаконные акты и имплементирующие положения.
      3. «Контроллер» означает: (i) организацию, определяющую цели и средства обработки персональных данных, и (ii) любое физическое или юридическое лицо, подпадающее под определение «Контроллер» или «Предприятие» (или любой аналогичное определение), как оно определено в применимом законодательстве о защите данных.
      4. «Субъект данных» означает: (i) идентифицированное или поддающееся идентификации физическое лицо (и для этих целей поддающимся идентификации физическим лицом понимается лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или на один или несколько факторов, специфичных для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности этого физического лица), и (ii) любое лицо, подпадающее под определение терминов «субъект данных», «потребитель» (или любой аналогичного термина), как это определено в Законах о защите данных.
      5. «Закон EU о защите данных» означает: (i) Общий регламент EU по защите данных (Регламент 2016/679) («EU GDPR»); (ii) Директиву EU о защите конфиденциальности в электронных коммуникациях (Директива 2002/58/EC); и (iii) любые национальные законы о защите данных, принятые в соответствии с пунктами (i) или (ii), каждый из которых может быть изменен или заменен время от времени.
      6. «Персональные данные» означают любую информацию, относящуюся к идентифицированному или поддающемуся идентификации физическому лицу (и этот термин включает, если это требуется применимым законодательством о защите данных, уникальные идентификаторы браузера или устройства), как указано в Приложении А, Часть B.
        1. «Персональные данные взаимодействия» означают любые персональные данные, собранные у потребителей во время или после целенаправленного взаимодействия потребителя с Taboola, продуктами Taboola, ресурсами Taboola и рекламными объявлениями, размещаемыми Taboola .
        2. «Персональные данные, полученные в результате пассивного взаимодействия» означают любые персональные данные, собранные пассивно с ресурсов издателя, включая, помимо прочего, IP-адрес, URL-адрес страницы и User Agent String, собранные Taboola, до или при отсутствии преднамеренного взаимодействия потребителя с Taboola, продуктами Taboola, ресурсами Taboola и размещаемой Taboola рекламой.
      7. «Обработка» означает любую операцию или набор операций, которые выполняются с персональными данными или наборами персональных данных, независимо от того, осуществляется ли это автоматизированными средствами, такими как сбор, получение, запись, организация, структурирование, использование, передача, доступ, обмен, раскрытие, перенос, хранение, адаптация или изменение, извлечение, консультирование, распространение или иное предоставление доступа, выравнивание или объединение, агрегирование, вывод, получение, анализ, ограничение, удаление, уничтожение или уничтожение, или иная обработка персональных данных, включая то, как этот термин определяется в соответствии с применимым законодательством о защите данных.
      8. «Обработчик» означает организацию, которая обрабатывает персональные данные от имени контроллера, и включает в себя все определения этого термина и/или термина «обработчик данных» (или любого аналогичного термина) в соответствии с применимым законодательством о защите данных.
      9. «Ограниченная передача» означает: (i) в случаях, когда применяется EU GDPR персональных данных (GDPR), передачу персональных данных из ЕЭЗ в страну за пределами ЕЭЗ, на которую не распространяется решение Европейской комиссии о достаточности уровня защиты данных («Ограниченная передача данных EU»); и (ii) в случаях, когда применяется UK GDPR) , передачу персональных данных из Соединенного Королевства в любую другую страну, на которую не распространяются или на которую не распространяются положения о достаточности уровня защиты данных в соответствии с разделом 17A Закона Соединенного Королевства о защите данных 2018 года («Ограниченная передача данных UK»).
      10. «Услуги» означают услуги, предоставляемые компанией Taboola в соответствии с Соглашением с Издателем.
      11. «Инцидент безопасности» означает нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или несанкционированному доступу к персональным данным.
      12. «Standard Contractual Clauses» означают: (i) в случаях, когда применяется EU GDPR (GDPR), договорные положения, прилагаемые к Имплементационному решению Европейской комиссии 2021/914 от 4 июня 2021 г. о Standard Contractual Clauses для передачи персональных данных в третьи страны в соответствии с Регламентом (EU) 2016/679 Европейского парламента и Совета («EU SCCs»); и (ii) в случаях, когда применяется UK GDPR персональных данных (GDPR), «Дополнение к Standard Contractual Clauses EU комиссии о международной передаче данных», выпущенное Уполномоченным по вопросам информации в соответствии с п. 119A(1) Закона о защите данных 2018 года («UK Addendum»).
      13. «Третья сторона» означает компанию, которая выступает в качестве контролера персональных данных и которая не является компанией, с которой субъект данных, чьи персональные данные обрабатываются, сознательно взаимодействовал; этот термин включает в себя все определения, содержащиеся в применимом законодательстве о защите данных.
      14. «Закон UK о защите данных» означает: (i) Закон UK о защите данных 2018 года, (ii) UK GDPR данных (как определено в п. 3(10) Закона UK о защите данных 2018 года) («UK GDPRданных»), (iii) Регламент UK о конфиденциальности и электронных коммуникациях (Директива ЕС) 2003 года и (iv) любые другие законы UK , принятые в соответствии с (i), (ii) или (iii), каждый из которых может быть изменен или заменен время от времени.

В отношении персональных данных, обрабатываемых в связи с предоставлением Услуг, каждая сторона соглашается обрабатывать собранные ею персональные данные только для целей, описанных в Приложении А, Часть B («Разрешенные цели»), и в соответствии с настоящими Условиями конфиденциальности издателя, Соглашением и применимым законодательством о защите данных, которое может периодически обновляться. Taboola также может обрабатывать персональные данные, полученные в результате пассивного взаимодействия, в соответствии с Политикой конфиденциальности Taboola , которая может периодически обновляться.

Каждая из Сторон обязуется обрабатывать персональные данные, полученные в результате пассивного взаимодействия, в качестве Контролера или Третьей стороны, в зависимости от обстоятельств. Каждая из сторон обрабатывает персональные данные, полученные в ходе взаимодействия, в качестве контролера или предприятия, в зависимости от обстоятельств. Раскрытие персональных данных (напрямую или через предоставление данных другой стороной) одной стороной другой стороне считается раскрытием информации третьим сторонам.

      1. Если к персональным данным применяется законодательство США или штата США о защите данных, включая, помимо прочего, законодательство Калифорнии о конфиденциальности, в той мере, в которой Taboola обрабатывает персональные данные пассивного взаимодействия в связи с Услугами, Taboola выступает в качестве третьей стороны по отношению к издателю в отношении таких персональных данных пассивного взаимодействия. Taboola будет обрабатывать такие персональные данные, полученные в результате пассивного взаимодействия, для целей, описанных в Приложении A, Часть B, и в соответствии с настоящими Условиями конфиденциальности издателя, Соглашением, применимым законодательством о защите данных и Политикой конфиденциальности Taboola, которые могут периодически обновляться. Такие персональные данные, полученные в результате пассивного взаимодействия, предоставляются компании Taboola только для указанных целей. Taboola обеспечит тот же уровень защиты конфиденциальности, который требуется от предприятий в соответствии с применимыми законами США о защите данных, включая, если применимо, законы Калифорнии о конфиденциальности. Издатель имеет право гарантировать, что Taboola использует персональные данные, полученные в результате пассивного взаимодействия, в соответствии со своими обязательствами. После уведомления компании Taboola, Издатель имеет право предпринять разумные и надлежащие шаги для прекращения и устранения несанкционированного использования персональных данных, которые он предоставляет компании Taboola. Taboola уведомит издателя в сроки, установленные действующим законодательством о защите данных, если Taboola , что больше не в состоянии выполнять свои обязательства в соответствии с действующим законодательством о защите данных. В той мере, в которой Taboola собирает персональные данные о взаимодействии в связи с предоставлением Услуг, она делает это как отдельное предприятие.

Стороны признают, что они могут обрабатывать персональные данные и что к обработке персональных данных каждой из сторон могут применяться применимые законы о защите данных. В таких случаях каждая из сторон обязана соблюдать применимые законы о защите данных в отношении обработки персональных данных. В таких случаях, и с учетом положений раздела 7, каждая сторона несет индивидуальную ответственность за соблюдение применимых законов о защите данных, включая любые применимые требования: (i) обеспечивать прозрачность для субъектов данных, (ii) иметь согласие или иное законное основание для обработки, и (iii) предоставлять контактную информацию, через которую субъекты данных могут осуществлять свои права на защиту данных. Издатель обязан незамедлительно уведомить Taboola о получении любого запроса, касающегося защиты персональных данных Taboola в качестве контролера, чтобы Taboola могла выполнить этот запрос в соответствии со своими обязательствами согласно применимому законодательству о защите данных.

  1. Издатель обязан направлять все запросы субъектов данных, полученные в отношении услуг Taboola, на глобальный портал запросов на доступ к данным субъектов Taboola . НАС Портал отказа от участия в программе защиты прав потребителейв зависимости от ситуации.

Если какая-либо из Сторон получит запрос, жалобу или корреспонденцию («Уведомление третьей стороны») от физического лица, регулирующего органа или другой третьей стороны относительно обработки персональных данных субъекта данных в связи с предоставлением Услуг, она обязана незамедлительно уведомить другую Сторону, и Стороны обязуются добросовестно и в разумных пределах сотрудничать для выполнения требований такого Уведомления третьей стороны.

В случае, если одна из сторон осуществляет ограниченную передачу персональных данных другой стороне, применяются положения Приложения C.

В той мере, в которой Taboola собирает персональные данные с ресурсов издателя с использованием кода Taboola , пикселей и других технологий отслеживания, издатель обязан: (i) предоставлять субъектам данных все необходимые уведомления о прозрачности в отношении использования Taboola кода Taboola для сбора персональных данных с ресурсов издателя в разрешенных целях, и (ii) получать (и по запросу Taboola в любое время предоставлять соответствующие доказательства) согласие субъекта данных на такое использование кода Taboola в разрешенных целях, в каждом случае в соответствии с требованиями применимого законодательства о защите данных. В этом отношении издатель обязан указывать Taboola и использование ею кода Taboola для разрешенных целей в уведомлениях о прозрачности и запросах согласия, предоставляемых издателем субъектам данных, а также любую другую информацию, требуемую применимыми законами о защите данных, чтобы Taboola могла на законных основаниях предоставлять свои услуги через такие ресурсы и обрабатывать персональные данные для разрешенных целей. По письменному запросу Taboola обязуется предоставить Издателю такую ​​информацию, которая может обоснованно потребоваться Издателю относительно кода Taboola и обработки Taboola персональных данных через ресурсы Издателя, чтобы Издатель мог убедиться в том, что его механизмы уведомления и согласия соответствуют применимым законам о защите данных. Издатель особо подтверждает следующее:

  1. Что касается веб-ресурсов издателя, политика конфиденциальности издателя должна описывать использование файлов cookie, уникальных идентификаторов и технологий, не связанных с файлами cookie, третьими сторонами (например, Taboola) для целевой рекламы и аналитики (как на ресурсах, так и за их пределами), а также предоставлять ссылку на страницу отказа от участия в программе NAI по адресу http://www.networkadvertising.org, страницу отказа от участия в программе DAA по адресу http://www.aboutads.info или (в отношении европейских веб-медиа и сбора данных) ссылку на страницу отказа от участия в EDAA по адресу http://www.youronlinechoices.eu, таким образом, чтобы это соответствовало требованиям применимого законодательства о защите данных;
  2. Что касается мобильных приложений, Политика конфиденциальности издателя должна описывать использование SDK и сбор идентификаторов мобильной рекламы в мобильных приложениях для целевой или межприложенийной рекламы и аналитики (как на самих приложениях, так и за их пределами), а также предоставлять описание того, как пользователи и посетители могут отказаться от сбора мобильных данных для межприложенийной рекламы через настройки устройства.
  3. В отношении своих ресурсов, ориентированных на EU, Издатель должен обеспечить получение добровольного, конкретного, информированного и недвусмысленного согласия Посетителей в соответствии с законодательством EU о защите персональных данных в отношении размещения или доступа к любым файлам cookie Taboola или любым другим уникальным идентификаторам на устройствах Посетителей. Издатель обязан предоставить своим посетителям контактные данные (включая информацию, размещенную в Политике конфиденциальности), чтобы они могли связаться с Издателем для осуществления своих прав на защиту данных (в том числе в отношении персональных данных, обрабатываемых в связи с предоставлением Услуг). Вышеуказанные обязательства применяются в тех случаях, когда ресурсы издателя привлекают посетителей из юрисдикций, требующих механизмов получения согласия в отношении предоставляемых услуг.

В течение срока действия договора Taboola может предоставлять издателю рекомендуемую политику конфиденциальности или формулировки, касающиеся раскрытия информации. Издатель признает, что не будет полагаться на рекомендованные формулировки в качестве юридической консультации или ее замены, и что Издатель или Компания несут единоличную ответственность за любые раскрытия информации в своей политике конфиденциальности или на своем веб-сайте.

Издатель не должен предоставлять или настраивать Услуги таким образом, чтобы собирать или иным образом раскрывать Taboola какие-либо особые категории персональных данных или конфиденциальную личную информацию или конфиденциальные данные (как определено в применимом законодательстве о защите данных) для Taboola . Кроме того, издатель должен гарантировать, что любые URL-адреса страниц, предоставляемые Taboola, не будут содержать информацию о названии видео. Taboola оставляет за собой право приостановить предоставление Услуг в случае несоблюдения издателем положений настоящего пункта, если и до тех пор, пока такое нарушение не будет устранено.

Каждая из Сторон обязуется внедрить соответствующие технические и организационные меры безопасности для защиты персональных данных Посетителей от инцидентов безопасности. Эти меры должны включать меры, изложенные в Приложении B.

В случае возникновения у какой-либо из Сторон инцидента безопасности в отношении обрабатываемых ею персональных данных, являющихся предметом настоящего Соглашения и настоящих Условий конфиденциальности издателя, эта Сторона обязана: (i) нести ответственность за выполнение (за свой счет) любых обязательств по отчетности, предусмотренных действующим законодательством о защите данных, перед органами по защите данных и/или затронутыми субъектами данных; (ii) незамедлительно уведомить другую Сторону, предоставив такую ​​информацию об инциденте безопасности, которая может быть обоснованно запрошена другой Стороной или которая иным образом необходима другой Стороне для определения того, может ли она также нести обязательства по отчетности в соответствии с действующим законодательством о защите данных в отношении инцидента безопасности; и (iii) незамедлительно предпринять все необходимые действия и меры для устранения и/или смягчения последствий инцидента безопасности.

В тех случаях и в той мере, в какой это требуется применимым законодательством о защите данных, которому подчиняется каждая из сторон, каждая сторона обязана проводить оценку воздействия на защиту данных в отношении обработки персональных данных для разрешенных целей и/или консультироваться с соответствующими органами по защите данных, если это необходимо. Каждая из сторон обязана оказывать все разумные содействие и предоставлять всю необходимую информацию, запрашиваемую другой стороной, если это необходимо для проведения другой стороной оценки воздействия на защиту данных и/или консультаций с соответствующими органами по защите данных в соответствии с обязательствами этой другой стороны согласно настоящему разделу.

A. СПИСОК СТОРОН

Каждая из сторон должна быть:

  • контроллер данных (и экспортер данных), которые он раскрывает или предоставляет другой стороне, и
  • контролер данных (и импортер данных) собранных данных, которые он получает от другой стороны или к которым он предоставляет доступ.

Подробная информация о каждой из сторон приведена ниже.

Имя: Подробная информация об издателе указана в Соглашении.

Адрес: См. данные издателя, указанные в Соглашении..

Имя, должность и контактные данные контактного лица: См. данные издателя, указанные в Соглашении или иным образом согласованные сторонами в письменной форме.

Действия, имеющие отношение к данным, передаваемым в соответствии с настоящими пунктами: Получение Услуг в соответствии с условиями Соглашения.

Подпись и дата: Настоящее Приложение А считается подписанным после принятия Издателем настоящих Условий конфиденциальности.

Роль (контроллер/процессор): Контроллер (в роли экспортера данных) и Контроллер (в роли импортера данных)

 

Имя: Подробная информация о компании Taboola приведена во введении к Соглашению.

Адрес: Подробная информация о компании Taboola приведена во введении к Соглашению.

Имя, должность и контактные данные контактного лица: Taboola’s privacy team: privacy@taboola.com.

Действия, имеющие отношение к данным, передаваемым в соответствии с настоящими пунктами: Предоставление Услуг, как указано в Соглашении.

Подпись и дата: Настоящее Приложение А считается подписанным после принятия компанией Taboola настоящих Условий конфиденциальности издателя.

Роль (контроллер/процессор): Контроллер (в роли экспортера данных) и Контроллер (в роли импортера данных)

 

Б. ОПИСАНИЕ ПРОЦЕССА ОБРАБОТКИ И ПЕРЕДАЧИ 

Категории субъектов данных, персональные данные которых обрабатываются и/или передаются: Пользователи

Категории обрабатываемых и/или передаваемых персональных данных:

Данные устройства: Устройство пользователя, браузер и операционная система; информация о мобильном устройстве (все идентификаторы мобильных устройств хешируются), включая IDFAs и AAIDs; данные cookie, которые могут быть прочитаны или использованы Taboola (все идентификаторы cookie/идентификаторы пользователей хешируются); IP-адреса; хешированные адреса электронной почты; веб-сайт, с которого был осуществлен переход; язык пользователя; страна/регион/город. Если мобильные приложения являются частью Сервисов, дополнительные элементы данных включают усеченные и неточные координаты широты/долготы, тип подключения и размеры экрана.

Данные о цифровых ресурсах, которые посещал пользователь: как платформа отображала контент и взаимодействовал ли пользователь с платформой; поведение в интернете или в приложении.

В той мере, в которой Header Bidding является частью Услуг, применяются следующие правила:

  • Bid Request / Bid Response Data: Уникальный идентификатор запроса на ставку, IMP object , представляющий предлагаемый показ, сайт или приложение издателя, приложение, устройство, тип аукциона, максимальное время, валюта, заблокированные категории, идентификатор устройства, идентификатор пользователя Taboola , партнеры по тегам вызова: URL.

В отношении Taboola Newsroom действуют следующие правила:

  • Информация с сайта издателя: Данные о конверсии
  • Информация о браузере пользователя, считанная из пользовательского агента.: URL посещенной страницы, веб-сайт, с которого был осуществлен переход, операционная система, тип и версия браузера, связанный с ним хешированный идентификатор пользователя Taboola , считанный из cookie, связанный IP-адрес (усекается через 30 дней).

Передаваемые конфиденциальные данные (если применимо) и применяемые ограничения или меры защиты, в полной мере учитывающие характер данных и связанные с ними риски, такие как, например, строгое ограничение целей использования, ограничения доступа (включая доступ только для персонала, прошедшего специализированное обучение), ведение учета доступа к данным, ограничения на дальнейшую передачу или дополнительные меры безопасности: Непригодный.

Частота обработки и/или передачи данных (например, обрабатываются ли данные и/или передаются однократно или на постоянной основе): Действует непрерывно в течение всего срока действия Соглашения.

Характер обработки: Обработка персональных данных, необходимых для предоставления Услуг, как это указано в Соглашении.

Цель(и) обработки/передачи и дальнейшей обработки данных: Предоставление Услуг, как указано в Соглашении. Во избежание недоразумений, разрешенные цели включают: (i) хранение и/или доступ к информации на устройстве; (ii) выбор базовой рекламы; (iii) создание персонализированного рекламного профиля; (iv) выбор персонализированной рекламы; (v) создание персонализированного контентного профиля; (vi) выбор персонализированного контента; (vii) измерение эффективности рекламы; (viii) измерение эффективности контента; (ix) разработка и улучшение продуктов; (x) обеспечение безопасности, предотвращение мошенничества и отладка; (xi) техническая доставка рекламы или контента; (xii) сопоставление и объединение источников данных в автономном режиме; (xiii) связывание различных устройств; (xiv) получение и использование автоматически отправляемых характеристик устройства для идентификации; (xv) использование ограниченного объема данных для выбора контента; и (xvi) сохранение и передача выбора конфиденциальности..

В отношении Taboola Newsroom действуют следующие правила: (i) отслеживание событий конверсии подписки.

В отношении Taboola Push применяется следующее дополнительное назначение: (i) отправка уведомлений на устройство пользователя.

В той мере, в которой Header Bidding является частью Услуг, применяется следующее дополнительное назначение: (i) определение целесообразности участия в торгах за размещение и предоставление персонализированных рекомендаций.

В той мере, в которой Home Page 4 You является частью Услуг, применяется следующее дополнительное назначение: (i) автоматизация и подбор контента издателей на главных страницах указанных цифровых ресурсов.

Период, в течение которого будут храниться персональные данные, или, если это невозможно, критерии, используемые для определения этого периода:

  • Taboola: Исходные данные хранятся не более 13 месяцев.
  • Рекламодатель: В течение времени, необходимого для получения Услуг, или в течение срока, указанного в Соглашении.

При передаче данных (суб-)процессорам также следует указать предмет, характер и продолжительность обработки: Непригодный.

 

C. КОМПЕТЕНТНЫЙ НАДЗОРНЫЙ ОРГАН

Компетентный надзорный орган в странах, где применяется EU GDPR) : Компетентным надзорным органом для каждой из сторон является указанный ниже орган:

  • Taboola: Компетентный надзорный орган определяется в соответствии с пунктом 13 EU SCCs.
  • Рекламодатель: Компетентный надзорный орган определяется в соответствии с пунктом 13 EU SCCs.

Компетентный надзорный орган в странах, где применяется UK GDPR) : Управление уполномоченного по вопросам информации

Описание технических и организационных мер, принятых каждой из сторон (включая любые соответствующие сертификаты) для обеспечения надлежащего уровня безопасности с учетом характера, объема, контекста и цели обработки данных, а также рисков для прав и свобод физических лиц.

Меры псевдонимизации и шифрования персональных данных: Taboola собирает только псевдонимизированные данные, это означает, что мы не знаем, кто вы, поскольку не знаем и не обрабатываем имя пользователя, адрес электронной почты или другие идентифицирующие данные. Информация о пользователях, которую мы собираем, включает, помимо прочего, информацию об устройстве и операционной системе пользователя, IP-адрес, веб-страницы, к которым пользователи обращались на веб-сайтах наших клиентов, ссылку, которая привела пользователя на веб-сайт клиента, даты и время посещения пользователем веб-сайта клиента и другие данные о просмотре веб-страниц. Идентификатор файла cookie анонимизируется с помощью Bcrypt , а IP-адрес усекается.

Меры по обеспечению постоянной конфиденциальности, целостности, доступности и устойчивости систем и сервисов обработки данных: Taboola использует многоуровневую электронную защиту (например, защита конечных точек, защита на стороне сервера, отслеживание обнаруженных угроз, периодические тесты на проникновение и углубленный сбор разведывательной информации для анализа событий после их завершения).

Меры по обеспечению возможности своевременного восстановления доступности и доступа к персональным данным в случае физического или технического инцидента: Taboola управляет девятью центрами обработки данных, расположенными по всему миру. Каждый центр обработки данных используется как копия другого, поэтому в случае выхода из строя одного из них данные можно будет извлечь из другого центра обработки данных.

Процессы регулярного тестирования, оценки и анализа эффективности технических и организационных мер в целях обеспечения безопасности обработки данных: Taboola придерживается строгих процедур проверки эффективности своих систем контроля (как технических, так и организационных). У нас внедрена система логирования и мониторинга, ежемесячно (как минимум) проводится тестирование на аварийное восстановление, ежеквартально проводятся тесты на проникновение, установлены межсетевые экраны для защиты сети и размещены ловушки по всей сети для обнаружения любой вредоносной активности. Кроме того, у нас действует программа вознаграждений, которая помогает нам постоянно отслеживать состояние нашей сети.

Меры по идентификации и авторизации пользователей: Каждому пользователю в Taboola присваивается отдельное имя пользователя и пароль. Доступ ко внутренней сети Taboola осуществляется с использованием двухфакторной аутентификации (2FA) через Google. Создание учетных записей пользователей осуществляется исключительно ИТ-отделом в процессе адаптации новых сотрудников и только после получения всех необходимых данных и подписанного контракта от отдела кадров.

Меры по защите данных во время передачи: Taboola поддерживает передачу любых данных с использованием защищенных протоколов передачи (как минимум HTTPS и TLS v1.2). Кроме того, системы, которые могут содержать персональные данные, защищены, а данные хранятся в хешированном и анонимизированном виде.

Меры по защите данных во время хранения: Данные, хранящиеся в наших базах данных, анонимизируются и хешируются с использованием Bcrypt. Доступ к базе данных сведен к минимуму и осуществляется в соответствии с принципом «необходимости знать для бизнеса».

Меры по обеспечению физической безопасности мест обработки персональных данных: В каждом из глобальных центров обработки данных Taboola (в США, Европе и Азии) все серверы расположены в закрытых шкафах, предназначенных исключительно для использования компанией Taboola. Обслуживанием этих шкафов занимаются компании, имеющие SOC2-certified или прошедшие проверку безопасности в Taboola . Кроме того, для любого доступа к серверам требуется письменное разрешение, зафиксированное в журнале. Все офисы Taboola также находятся под контролем, и для входа сотрудникам необходимо использовать карты доступа. Кроме того, доступ к серверам Taboola имеет лишь ограниченное число сотрудников, и любой доступ требует письменного разрешения, зафиксированного в журнале.

Меры по обеспечению регистрации событий: Taboola внедряет инструменты мониторинга, а журналы собираются в нашу систему SIEM , которая оповещает нас о любых подозрительных событиях, и эта система также отслеживается командой NOC .

Меры по обеспечению правильной конфигурации системы, включая конфигурацию по умолчанию: Серверы сканируются на предмет расхождений в конфигурации и уровня установленных обновлений. На обоих устройствах настроены функции отчетности и/или оповещения, а также подтвержден соответствующий уровень исправлений. Новые патчи распространяются с помощью Puppet. Все технические обзоры проводятся через приложение для НИОКР и проходят формальный процесс проверки (контроля качества) после внедрения CI/CD processes .

Меры по внутреннему управлению и обеспечению информационной безопасности: Taboola сертифицирована по ISO 27001:2013 и 27701. В компании Taboola действует политика информационной безопасности, в которой говорится, что совет директоров и руководство Taboola обязуются обеспечивать конфиденциальность, целостность и доступность всех физических и электронных информационных активов в рамках всей организации. Taboola проводит тренинги по безопасности для всех новых сотрудников, тренинги по борьбе с фишингом для всех сотрудников по всему миру, а также регулярные тренинги по безопасности для всех сотрудников и организует специальные занятия для групп исследований и разработок.

Меры по сертификации/гарантии качества процессов и продукции: Ежеквартальный/полугодовой/ежегодный внутренний аудит множества процессов и систем для подтверждения того, что Taboola соответствует определенным целям и мерам безопасности.

Меры по обеспечению минимизации данных: В соответствии с глобальными принципами минимизации данных, Taboola намеренно ограничивает объем собираемых данных, обрабатывая только те данные, которые необходимы для конкретных бизнес-целей. Кроме того, Taboola не имеет возможности и не нуждается в «обратном проектировании» каких-либо данных, используемых в нашем алгоритме, для предоставления своих услуг. В частности, данные, которые собирает Taboola, никогда не указывают на личность пользователя — Taboola не собирает и не обрабатывает такую ​​информацию, как имя пользователя, номер телефона, адрес электронной почты или физический адрес. Вместо этого Taboola собирает только псевдонимные идентификаторы, которые лишь идентифицируют характеристики устройства пользователя. Сюда входят IP-адреса (которые усекаются при сборе и позволяют определить только приблизительное местоположение устройства по почтовому индексу, но никогда не точную геолокацию) и, в некоторых ограниченных случаях, хешированные адреса электронной почты (которые по своей природе необратимы и не могут быть расшифрованы для получения исходного адреса электронной почты). Более того, даже при совместном использовании собранные нами данные никогда не позволят получить имя, номер телефона, адрес электронной почты или физический адрес конкретного человека, и наши инженеры никоим образом не стремятся к достижению этой цели. Кроме того, Taboola проводит и документирует оценки воздействия на конфиденциальность, стремясь минимизировать риски для конфиденциальности, связанные с нашими услугами, процессами и политиками.

Меры по обеспечению качества данных: Данные собираются непосредственно от пользователя, и пользователю предоставляется возможность исправить любые данные, связанные с его CookieID, через портал запросов на доступ к персональным taboola.com Taboola : https://accessrequest.taboola.com/access

Меры по обеспечению ограниченного срока хранения данных: Мы храним информацию о пользователях, которая собирается непосредственно для целей показа рекламы, не более тринадцати (13) месяцев с момента последнего взаимодействия пользователя с нашими Сервисами (часто на более короткий период времени), после чего мы обезличиваем данные, удаляя уникальные идентификаторы или агрегируя данные. Этот процесс выполняется автоматически.

Меры по обеспечению подотчетности: Taboola проводит многочисленные проверки безопасности и тестирование на проникновение (но не для всех систем). Taboola также использует облачных провайдеров, сертифицированных по стандарту ISO и соответствующих другим требованиям, предъявляемым к облачным сервисам, для обеспечения физической защиты серверов.

Меры по обеспечению переносимости данных и гарантированию их удаления: В Taboola действуют одинаковые правила утилизации носителей информации для всех типов носителей, поскольку они могут содержать персональные данные. Любые носители информации необходимо полностью очистить перед повторным использованием или утилизацией. Любая утилизация носителей информации документируется. Сотрудникам дано указание не распечатывать никакие документы, которые могут содержать личную информацию.

  1. В той мере, в которой одна сторона осуществляет ограниченную передачу собранных данных другой стороне, Standard Contractual Clauses включаются в настоящие Условия конфиденциальности издателя и применяются следующим образом:

а. Если передача с ограничениями является передачей с ограничениями, подпадающей под действие EU , то между сторонами будут применяться следующие EU SCCs :

  1. (i) Будет применяться Модуль 1;
  2. (ii) в пункте 7 будет применяться факультативный пункт о стыковке;
  3. (iv) в пункте 11 факультативный текст не применяется;
  4. (v) в пункте 17 будет применяться Вариант 1, и EU SCCs будут регулироваться ирландским правом;
  5. (vi) в пункте 18(b) споры разрешаются в судах Ирландии;
  6. (vii) Части A, B и C Приложения I считаются дополненными информацией, изложенной в частях A, B и C Приложения A к настоящим Условиям конфиденциальности издателя; и
  7. (vii) Приложение II считается завершенным с учетом мер безопасности, изложенных в Приложении B к настоящим Условиям конфиденциальности издателя;

b. Если передача с ограничениями является передачей с ограничениями, осуществляемой в UK , то между сторонами будет применяться UK Addendum , в следующем порядке:

(i) EU SCCs, составленные, как указано выше, применяются между сторонами и изменяются UK Addendum (составленным, как указано в подпункте (ii) ниже); и

(ii) Таблицы 1–3 UK Addendum считаются заполненными соответствующей информацией из EU SCCs, заполненной, как указано выше, а варианты «Экспортер» и «Импортер» считаются отмеченными в таблице 4. Датой вступления в силу UK Addendum (указанной в таблице 1) является дата вступления в силу настоящих Условий конфиденциальности издателя.

2. Дальнейшие переводы с ограничениями: Ни одна из сторон не будет осуществлять дальнейшую ограниченную передачу собранных данных, полученных от другой стороны, если она не предпримет всех необходимых действий для обеспечения соответствия такой дальнейшей ограниченной передачи применимому законодательству о защите данных и любым Standard Contractual Clauses, согласованным с другой стороной.