นโยบายความเป็นส่วนตัวสำหรับเจ้าของทรัพย์สินดิจิทัล

Last Update: October 10, 2024

วันที่มีผลบังคับใช้: 10 ตุลาคม 2024

นโยบายความเป็นส่วนตัวของ Taboola สำหรับเจ้าของทรัพย์สินดิจิทัล (“นโยบายความเป็นส่วนตัวของผู้เผยแพร่”) นี้ใช้กับบริการโฆษณาดิจิทัลของ Taboola เช่น เมื่อ Taboola วางเนื้อหาของผู้โฆษณาบนทรัพย์สินของผู้เผยแพร่ รวมถึงแต่ไม่จำกัดเฉพาะผลิตภัณฑ์และบริการของผู้เผยแพร่ เช่น Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News และ Taboola Push ตามข้อตกลงระหว่าง Taboola และผู้เผยแพร่ (“ข้อตกลง”) และนโยบายความเป็นส่วนตัวของผู้เผยแพร่เหล่านี้จะถือว่าถูกบูรณาการเข้าไปในและเป็นส่วนสำคัญของข้อตกลงดังกล่าว นโยบายความเป็นส่วนตัวของผู้เผยแพร่เหล่านี้ระบุบทบาทและความรับผิดชอบของ Taboola และผู้เผยแพร่เกี่ยวกับข้อมูลส่วนบุคคล

หากมีความขัดแย้งระหว่างข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่และข้อตกลง ข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่จะมีผลบังคับใช้ เว้นแต่ข้อกำหนดที่ขัดแย้งในข้อตกลงจะอ้างถึงข้อกำหนดที่ขัดแย้งของข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่และระบุว่าให้มีผลเหนือกว่าข้อกำหนดที่ขัดแย้งนั้น.

คำที่กำหนดในส่วนนี้จะมีความหมายตามที่ระบุไว้ด้านล่าง และคำที่เกี่ยวข้องจะต้องตีความตามนั้น. คำที่มีตัวอักษรตัวใหญ่ซึ่งใช้แต่ไม่ได้กำหนดในข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่จะมีความหมายตามที่กำหนดในข้อตกลง.

      1. กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ” หมายถึง กฎหมายการคุ้มครองข้อมูลและความเป็นส่วนตัวที่ใช้บังคับทั้งหมดที่ใช้กับการประมวลผลซึ่งเป็นหัวข้อของข้อตกลงและข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่ ซึ่งอาจมีการแก้ไขหรือแทนที่จากเวลาเป็นเวลา.
      2. กฎหมายความเป็นส่วนตัวของแคลิฟอร์เนีย” หมายถึง พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแคลิฟอร์เนียปี 2018, Cal. ประมวลกฎหมายแพ่ง § 1798.100 และต่อมา (รวมถึง “CCPA”), ตามที่แก้ไข (รวมถึงโดยพระราชบัญญัติสิทธิความเป็นส่วนตัวของแคลิฟอร์เนีย) และกฎหมายรองและระเบียบการดำเนินการใด ๆ.
      3. ผู้ควบคุม” หมายถึง: (i) หน่วยงานที่กำหนดวัตถุประสงค์และวิธีการของการประมวลผลข้อมูลส่วนบุคคล และ (ii) บุคคลหรือหน่วยงานใด ๆ ที่อยู่ภายในขอบเขตของคำว่า “ผู้ควบคุม” หรือ “ธุรกิจ” (หรือคำที่มีความหมายใกล้เคียงกัน) ตามที่กำหนดไว้ในกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ.
      4. ข้อมูลส่วนบุคคล” หมายถึง: (i) บุคคลธรรมชาติที่สามารถระบุได้หรือระบุได้ (และสำหรับวัตถุประสงค์เหล่านี้ บุคคลธรรมชาติที่สามารถระบุได้คือบุคคลที่สามารถระบุได้โดยตรงหรือโดยอ้อม โดยเฉพาะอย่างยิ่งโดยอ้างอิงถึงตัวระบุ เช่น ชื่อ หมายเลขประจำตัว ข้อมูลตำแหน่ง ตัวระบุออนไลน์ หรือปัจจัยเฉพาะอื่น ๆ ที่เกี่ยวข้องกับตัวตนทางกายภาพ จิตวิทยา พันธุกรรม จิตใจ เศรษฐกิจ วัฒนธรรม หรือสังคมของบุคคลธรรมชาตินั้น) และ (ii) บุคคลใด ๆ ที่อยู่ภายในขอบเขตของคำว่า “ข้อมูลส่วนบุคคล”, “ผู้บริโภค” (หรือคำที่มีความหมายใกล้เคียงกัน) ตามที่กำหนดไว้ในกฎหมายการคุ้มครองข้อมูล.
      5. กฎหมายการคุ้มครองข้อมูลของ EU” หมายถึง: (i) กฎระเบียบทั่วไปว่าด้วยการคุ้มครองข้อมูลของ EU (กฎระเบียบ 2016/679) (“EU GDPR”); (ii) กฎระเบียบ e-Privacy ของ EU (กฎระเบียบ 2002/58/EC); และ (iii) กฎหมายการคุ้มครองข้อมูลระดับชาติใด ๆ ที่จัดทำขึ้นภายใต้หรืออิงตาม (i) หรือ (ii) ซึ่งอาจมีการแก้ไขหรือแทนที่จากเวลาเป็นเวลา.
      6. ข้อมูลส่วนบุคคล” หมายถึงข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลที่ระบุได้หรือระบุได้ (และคำดังกล่าวจะรวมถึงเมื่อกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับกำหนดให้มีการระบุเบราว์เซอร์หรืออุปกรณ์ที่ไม่ซ้ำกัน) ตามที่ระบุไว้ในภาคผนวก A, ส่วน B.
        1. ข้อมูลส่วนบุคคลที่มีการโต้ตอบ” หมายถึง ข้อมูลส่วนบุคคลที่เก็บรวบรวมจากผู้บริโภคในขณะหรือหลังจากการโต้ตอบโดยเจตนาของผู้บริโภคกับ Taboola, ผลิตภัณฑ์ของ Taboola, คุณสมบัติของ Taboola และโฆษณาที่ Taboola วางไว้.
        2. ข้อมูลส่วนบุคคลที่มีการโต้ตอบแบบพาสซีฟ” หมายถึง ข้อมูลส่วนบุคคลที่เก็บรวบรวมแบบพาสซีฟจากคุณสมบัติของผู้เผยแพร่ รวมถึงแต่ไม่จำกัดเพียงที่อยู่ IP, URL หน้าเว็บ และUser Agent Stringที่เก็บรวบรวมโดย Taboola ก่อนหรือไม่มีการโต้ตอบโดยเจตนาของผู้บริโภคกับ Taboola, ผลิตภัณฑ์ของ Taboola, คุณสมบัติของ Taboola และโฆษณาที่ Taboola วางไว้.
      7. กระบวนการ” หมายถึง การดำเนินการหรือชุดของการดำเนินการใด ๆ ที่ดำเนินการกับข้อมูลส่วนบุคคลหรือชุดของข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บรวบรวม การรับ การบันทึก การจัดระเบียบ การจัดโครงสร้าง การใช้ การส่ง การเข้าถึง การแบ่งปัน การเปิดเผย การโอน การจัดเก็บ การปรับเปลี่ยนหรือการเปลี่ยนแปลง การดึงข้อมูล การปรึกษา การเผยแพร่ หรือการทำให้พร้อมใช้งาน การจัดเรียงหรือการรวมกัน การรวมกลุ่ม การอนุมาน การอนุพันธ์ การวิเคราะห์ การจำกัด การลบ การทำลายหรือการกำจัด หรือการจัดการอื่น ๆ ของข้อมูลส่วนบุคคล รวมถึงวิธีที่คำดังกล่าวถูกกำหนดภายใต้กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ.
      8. ผู้ประมวลผล” หมายถึง หน่วยงานที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม และรวมถึงวิธีที่คำดังกล่าวและ/หรือคำว่า “ผู้ประมวลผลข้อมูล” (หรือคำที่มีความหมายใกล้เคียงกัน) ถูกกำหนดภายใต้กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ.
      9. การโอนที่จำกัด” หมายถึง: (i) เมื่อ EU GDPR ใช้บังคับ การโอนข้อมูลส่วนบุคคลจาก EEA ไปยังประเทศนอก EEA ที่ไม่ได้อยู่ภายใต้การกำหนดความเหมาะสมโดยคณะกรรมาธิการยุโรป (“การโอนที่จำกัดของ EU“); และ (ii) เมื่อ UK GDPR ใช้บังคับ การโอนข้อมูลส่วนบุคคลจากสหราชอาณาจักรไปยังประเทศอื่นใดที่ไม่ได้อยู่ภายใต้หรืออิงตามกฎระเบียบความเหมาะสมตามมาตรา 17A ของพระราชบัญญัติคุ้มครองข้อมูลของสหราชอาณาจักร 2018 (“การโอนที่จำกัดของสหราชอาณาจักร“).
      10. บริการ” หมายถึง บริการที่จัดทำโดย Taboola ภายใต้ข้อตกลงกับผู้เผยแพร่.
      11. “เหตุการณ์ด้านความปลอดภัย” หมายถึง การละเมิดความปลอดภัยที่นำไปสู่การทำลาย สูญหาย การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต.
      12. “Standard Contractual Clauses” หมายถึง: (i) เมื่อ EU GDPR ใช้บังคับ Standard Contractual Clausesที่แนบมากับการตัดสินใจของคณะกรรมาธิการยุโรปที่ใช้บังคับ 2021/914 วันที่ 4 มิถุนายน 2021 เกี่ยวกับStandard Contractual Clausesสำหรับการโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามตามระเบียบ (EU) 2016/679 ของรัฐสภายุโรปและของสภา (“EU SCCs”); และ (ii) เมื่อ UK GDPR ใช้บังคับ “เอกสารเพิ่มเติมการโอนข้อมูลระหว่างประเทศไปยังStandard Contractual Clausesของคณะกรรมาธิการยุโรป” ที่ออกโดยผู้บัญชาการข้อมูลภายใต้ s.119A(1) ของ DPA 2018 (“UK Addendum”).
      13. บุคคลที่สาม” หมายถึง ธุรกิจที่ทำหน้าที่เป็นผู้ควบคุมเกี่ยวกับข้อมูลส่วนบุคคล และไม่ใช่ธุรกิจที่ผู้มีข้อมูลซึ่งข้อมูลส่วนบุคคลของเขาถูกประมวลผลได้มีการโต้ตอบโดยเจตนา; คำนี้รวมถึงวิธีที่คำดังกล่าวถูกกำหนดภายใต้กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ.
      14. กฎหมายการคุ้มครองข้อมูลของสหราชอาณาจักร” หมายถึง: (i) พระราชบัญญัติคุ้มครองข้อมูลของสหราชอาณาจักร 2018, (ii) UK GDPR (ตามที่กำหนดใน s.3(10) ของพระราชบัญญัติคุ้มครองข้อมูลของสหราชอาณาจักร 2018) (“UK GDPR”), (iii) กฎระเบียบความเป็นส่วนตัวและการสื่อสารทางอิเล็กทรอนิกส์ของสหราชอาณาจักร (EC Directive) 2003), และ (iv) กฎหมายอื่น ๆ ของสหราชอาณาจักรที่ทำขึ้นภายใต้หรืออิงตาม (i), (ii) หรือ (iii) แต่ละฉบับอาจมีการแก้ไขหรือแทนที่จากเวลาเป็นเวลา.

สำหรับข้อมูลส่วนบุคคลที่ประมวลผลเกี่ยวกับบริการ แต่ละฝ่ายตกลงว่าจะประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวมได้เฉพาะเพื่อวัตถุประสงค์ที่อธิบายไว้ในภาคผนวก A, ส่วน B (“วัตถุประสงค์ที่อนุญาต“) และตามที่อนุญาตโดยข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่ ข้อตกลง และกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ ซึ่งแต่ละฉบับอาจมีการปรับปรุงจากเวลาเป็นเวลา. Taboola อาจประมวลผลข้อมูลส่วนบุคคลที่มีการโต้ตอบแบบพาสซีฟตามที่อนุญาตโดยนโยบายความเป็นส่วนตัวของ Taboola และอาจมีการปรับปรุงจากเวลาเป็นเวลา.

แต่ละฝ่ายจะประมวลผลข้อมูลส่วนบุคคลที่มีการโต้ตอบแบบพาสซีฟที่เก็บรวบรวมได้ในฐานะผู้ควบคุมหรือบุคคลที่สาม ตามที่เหมาะสม. แต่ละฝ่ายจะประมวลผลข้อมูลส่วนบุคคลที่มีการโต้ตอบที่เก็บรวบรวมได้ในฐานะผู้ควบคุมหรือธุรกิจ ตามที่เหมาะสม. การเปิดเผย (ไม่ว่าจะโดยตรงหรือผ่านฝ่ายที่ทำให้ข้อมูลพร้อมใช้งานแก่ฝ่ายอื่น) ของข้อมูลส่วนบุคคลจากฝ่ายหนึ่งไปยังอีกฝ่ายหนึ่งถือเป็นการเปิดเผยต่อบุคคลที่สาม.

      1. หากกฎหมายการคุ้มครองข้อมูลของสหรัฐอเมริกาหรือรัฐของสหรัฐอเมริกามีผลบังคับใช้กับข้อมูลส่วนบุคคล รวมถึงแต่ไม่จำกัดเพียงกฎหมายความเป็นส่วนตัวของแคลิฟอร์เนีย ในกรณีที่ Taboola ประมวลผลข้อมูลส่วนบุคคลที่มีการโต้ตอบแบบพาสซีฟในความสัมพันธ์กับบริการ Taboola จะทำหน้าที่เป็นบุคคลที่สามต่อผู้เผยแพร่สำหรับข้อมูลส่วนบุคคลที่มีการโต้ตอบแบบพาสซีฟดังกล่าว. Taboola จะประมวลผลข้อมูลส่วนบุคคลที่มีการโต้ตอบแบบพาสซีฟดังกล่าวเพื่อวัตถุประสงค์ที่อธิบายไว้ในภาคผนวก A, ส่วน B และตามที่อนุญาตโดยข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่ ข้อตกลง กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ และนโยบายความเป็นส่วนตัวของ Taboola ซึ่งแต่ละฉบับอาจมีการปรับปรุงจากเวลาเป็นเวลา. ข้อมูลส่วนบุคคลที่มีการโต้ตอบแบบพาสซีฟดังกล่าวจะถูกทำให้พร้อมใช้งานแก่ Taboola สำหรับวัตถุประสงค์ดังกล่าวเท่านั้น. Taboola จะให้การปกป้องความเป็นส่วนตัวในระดับเดียวกันตามที่กฎหมายการปกป้องข้อมูลของสหรัฐอเมริกากำหนดสำหรับธุรกิจ รวมถึงกฎหมายความเป็นส่วนตัวของแคลิฟอร์เนียหากมีผลบังคับใช้ ผู้เผยแพร่มีสิทธิ์ในการตรวจสอบว่า Taboola ใช้ข้อมูลส่วนบุคคลแบบ Passive-Interaction ในลักษณะที่สอดคล้องกับข้อผูกพันของผู้เผยแพร่ เมื่อแจ้งให้ Taboola ทราบ ผู้เผยแพ่มีสิทธิ์ในการดำเนินการขั้นตอนที่เหมาะสมและสมเหตุสมผลเพื่อหยุดและแก้ไขการใช้ข้อมูลส่วนบุคคลที่ไม่ได้รับอนุญาตซึ่งผู้เผยแพร่ให้กับ Taboola Taboola จะแจ้งให้ผู้เผยแพร่ทราบภายในระยะเวลาที่กฎหมายการปกป้องข้อมูลที่เกี่ยวข้องกำหนดหาก Taboola ตัดสินใจว่าไม่สามารถปฏิบัติตามข้อผูกพันตามกฎหมายการปกป้องข้อมูลที่เกี่ยวข้องได้อีกต่อไป ในกรณีที่ Taboola เก็บข้อมูลส่วนบุคคลแบบ Interaction ในการให้บริการ จะต้องทำในฐานะธุรกิจที่แยกต่างหาก

ฝ่ายต่างๆ ยอมรับว่าพวกเขาอาจประมวลผลข้อมูลส่วนบุคคลและกฎหมายการปกป้องข้อมูลที่เกี่ยวข้องอาจใช้บังคับต่อการประมวลผลข้อมูลส่วนบุคคลของแต่ละฝ่าย ในกรณีนี้แต่ละฝ่ายจะต้องปฏิบัติตามกฎหมายการปกป้องข้อมูลที่เกี่ยวข้องในเรื่องการประมวลผลข้อมูลส่วนบุคคลของตน ในกรณีนี้และขึ้นอยู่กับมาตรา 7 แต่ละฝ่ายจะต้องรับผิดชอบต่อการปฏิบัติตามกฎหมายการปกป้องข้อมูลที่เกี่ยวข้องของตนเอง รวมถึงข้อกำหนดที่เกี่ยวข้องในการ: (i) ให้ความโปร่งใสแก่ผู้ที่เกี่ยวข้อง (ii) มีความยินยอม หรือฐานทางกฎหมายอื่นสำหรับการประมวลผล และ (iii) จัดให้มีจุดติดต่อที่ผู้ที่เกี่ยวข้องสามารถใช้เพื่อใช้สิทธิในการปกป้องข้อมูลของตน ผู้เผยแพร่จะต้องแจ้ง Taboola โดยเร็วหากและในขอบเขตที่ได้รับคำขอสิทธิในการปกป้องข้อมูลใดๆ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของ Taboola ในฐานะผู้ควบคุม เพื่อให้ Taboola สามารถปฏิบัติตามคำขอดังกล่าวตามข้อผูกพันของตนภายใต้กฎหมายการปกป้องข้อมูลที่เกี่ยวข้อง

  1. ผู้เผยแพร่จะต้องส่งคำขอจากผู้ที่เกี่ยวข้องที่ได้รับเกี่ยวกับบริการของ Taboola ไปยัง พอร์ทัลการเข้าถึงข้อมูลของผู้ที่เกี่ยวข้องระดับโลกของ Taboola หรือ สหรัฐอเมริกา พอร์ทัลการเลือกไม่เข้าร่วมสิทธิของผู้บริโภค ตามที่เกี่ยวข้อง

หากฝ่ายใดฝ่ายหนึ่งได้รับการสอบถาม คำร้องเรียน หรือการติดต่อ (“การแจ้งเตือนจากบุคคลที่สาม“) จากบุคคล หน่วยงานกำกับดูแล หรือบุคคลที่สามอื่นเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของผู้ที่เกี่ยวข้องในความสัมพันธ์กับบริการ จะต้องแจ้งให้ฝ่ายอื่นทราบโดยเร็วและฝ่ายต่างๆ จะต้องร่วมมือกันอย่างจริงใจและตามความจำเป็นเพื่อจัดการกับข้อกำหนดของการแจ้งเตือนจากบุคคลที่สามดังกล่าว

ในกรณีที่ฝ่ายใดฝ่ายหนึ่งทำการโอนข้อมูลส่วนบุคคลที่ถูกจำกัดไปยังอีกฝ่ายหนึ่ง ข้อกำหนดในภาคผนวก C จะใช้บังคับ

ในกรณีที่ Taboola เก็บข้อมูลส่วนบุคคลจากทรัพย์สินของผู้เผยแพร่โดยใช้โค้ด Taboola พิกเซล และเทคโนโลยีการติดตามอื่นๆ ผู้เผยแพร่จะต้อง: (i) ให้ข้อมูลโปร่งใสที่จำเป็นทั้งหมดแก่ผู้ที่เกี่ยวข้องเกี่ยวกับการใช้โค้ด Taboola ของ Taboola เพื่อเก็บข้อมูลส่วนบุคคลจากทรัพย์สินของผู้เผยแพร่เพื่อวัตถุประสงค์ที่อนุญาต และ (ii) ได้รับ (และเมื่อใดก็ตามที่ Taboola ขอให้จัดให้มีหลักฐานที่เหมาะสม) ความยินยอมจากผู้ที่เกี่ยวข้องต่อการใช้โค้ด Taboola สำหรับวัตถุประสงค์ที่อนุญาต โดยแต่ละกรณีจะต้องเป็นไปตามข้อกำหนดของกฎหมายการปกป้องข้อมูลที่เกี่ยวข้อง ข้อผูกพันของผู้เผยแพร่ในเรื่องนี้รวมถึงการระบุ Taboola และการใช้โค้ด Taboola สำหรับวัตถุประสงค์ที่อนุญาตอย่างชัดเจนภายในข้อมูลโปร่งใสและการกระตุ้นความยินยอมที่ผู้เผยแพร่ให้กับผู้ที่เกี่ยวข้อง รวมถึงข้อมูลอื่นๆ ที่กฎหมายการปกป้องข้อมูลที่เกี่ยวข้องกำหนด เพื่อให้ Taboola สามารถให้บริการอย่างถูกกฎหมายผ่านทรัพย์สินดังกล่าวและประมวลผลข้อมูลส่วนบุคคลสำหรับวัตถุประสงค์ที่อนุญาต เมื่อมีการร้องขอเป็นลายลักษณ์อักษร Taboola จะต้องจัดให้ผู้เผยแพร่มีข้อมูลที่ผู้เผยแพ่อาจต้องการอย่างสมเหตุสมผลเกี่ยวกับโค้ด Taboola และการประมวลผลข้อมูลส่วนบุคคลของ Taboola ผ่านทรัพย์สินของผู้เผยแพร่เพื่อให้ผู้เผยแพร่สามารถมั่นใจได้ว่ากลไกการแจ้งเตือนและการยินยอมของตนจะเป็นไปตามกฎหมายการปกป้องข้อมูลที่เกี่ยวข้อง ผู้เผยแพร่ตกลงโดยเฉพาะว่า:

  1. ในส่วนของคุณสมบัติที่เป็นเว็บ ผู้เผยแพร่จะต้องอธิบายนโยบายความเป็นส่วนตัวเกี่ยวกับการใช้คุกกี้ ตัวระบุเฉพาะ และเทคโนโลยีที่ไม่ใช่คุกกี้โดยบุคคลที่สาม (เช่น Taboola) สำหรับการโฆษณาที่อิงตามความสนใจและการวิเคราะห์ (ทั้งในและนอกคุณสมบัติ) และจะต้องให้ลิงก์ไปยังหน้าออกจากอุตสาหกรรมของ NAI ที่ http://www.networkadvertising.org, หน้าออกจากอุตสาหกรรมของ DAA ที่ http://www.aboutads.info, หรือ (ในกรณีของสื่อที่เป็นเว็บและการเก็บข้อมูลในยุโรป) ลิงก์ไปยังลิงก์ออกจาก EDAA ที่ http://www.youronlinechoices.eu ในลักษณะที่ตรงตามข้อกำหนดของกฎหมายการปกป้องข้อมูลที่ใช้บังคับ; และ
  2. ในส่วนของคุณสมบัติที่เป็นแอปมือถือ นโยบายความเป็นส่วนตัวของผู้เผยแพร่จะต้องอธิบายการใช้ SDKs และการเก็บรวบรวมตัวระบุโฆษณาบนมือถือสำหรับการโฆษณาที่อิงตามความสนใจหรือการโฆษณาข้ามแอปและการวิเคราะห์ (ทั้งในและนอกคุณสมบัติ); และให้คำอธิบายเกี่ยวกับวิธีที่ผู้ใช้และผู้เยี่ยมชมสามารถเลือกไม่เข้าร่วมการเก็บข้อมูลมือถือสำหรับการโฆษณาข้ามแอปผ่านการตั้งค่าอุปกรณ์ได้อย่างไร
  3. สำหรับคุณสมบัติที่มุ่งหน้าไปยัง EU ผู้เผยแพร่จะต้องมั่นใจว่ามีการขอความยินยอมจากผู้เยี่ยมชมอย่างอิสระ เฉพาะเจาะจง มีข้อมูล และชัดเจนตามกฎหมายความเป็นส่วนตัวของ EU เกี่ยวกับการวางหรือเข้าถึงคุกกี้ Taboola หรือระบุเฉพาะอื่น ๆ บนอุปกรณ์ของผู้เยี่ยมชม ผู้เผยแพร่จะต้องให้รายละเอียดการติดต่อแก่ผู้เยี่ยมชม (ซึ่งอาจรวมถึงการทำให้รายละเอียดเหล่านั้นสามารถเข้าถึงได้ผ่านนโยบายความเป็นส่วนตัว) เพื่อให้พวกเขาสามารถติดต่อผู้เผยแพร่เพื่อใช้สิทธิในการปกป้องข้อมูลของตน (รวมถึงในความสัมพันธ์กับข้อมูลส่วนบุคคลที่ประมวลผลเกี่ยวกับบริการ) ข้อผูกพันข้างต้นจะใช้เมื่อคุณสมบัติของผู้เผยแพร่ดึงดูดผู้เยี่ยมชมในเขตอำนาจศาลที่ต้องการกลไกการยินยอมเกี่ยวกับบริการ

ในระหว่างระยะเวลา Taboola อาจให้คำแนะนำเกี่ยวกับนโยบายความเป็นส่วนตัวหรือภาษาการเปิดเผยแก่ผู้เผยแพร่ ผู้เผยแพร่รับทราบว่าไม่ควรพึ่งพาภาษาที่แนะนำดังกล่าวเป็นคำแนะนำทางกฎหมายหรือเป็นทางเลือกแทน และผู้เผยแพร่หรือบริษัทเองมีความรับผิดชอบแต่เพียงผู้เดียวต่อการเปิดเผยใด ๆ ใน นโยบายความเป็นส่วนตัวหรือบนเว็บไซต์ของตน

ผู้เผยแพร่จะไม่ให้หรือกำหนดค่าบริการเพื่อเก็บรวบรวมหรือเปิดเผยข้อมูลส่วนบุคคลประเภทพิเศษหรือข้อมูลส่วนบุคคลที่ละเอียดอ่อนหรือข้อมูลที่ละเอียดอ่อน (ตามที่กำหนดในกฎหมายการปกป้องข้อมูลที่ใช้บังคับ) ให้กับ Taboola เพื่อการประมวลผล นอกจากนี้ ผู้เผยแพร่จะต้องมั่นใจว่าลิงก์ URL ใด ๆ ที่ให้กับ Taboola จะไม่ประกอบด้วยข้อมูลชื่อเรื่องวิดีโอ Taboola ขอสงวนสิทธิ์ในการระงับบริการสำหรับการไม่ปฏิบัติตามของผู้เผยแพร่ตามย่อหน้านี้ เว้นแต่และจนกว่าการไม่ปฏิบัติตามดังกล่าวจะได้รับการแก้ไข

แต่ละฝ่ายจะต้องดำเนินการมาตรการด้านเทคนิคและการจัดการด้านความปลอดภัยที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลของผู้เยี่ยมชมจากเหตุการณ์ด้านความปลอดภัย มาตรการเหล่านี้จะรวมถึงมาตรการที่กำหนดไว้ในภาคผนวก B

หากฝ่ายใดฝ่ายหนึ่งประสบเหตุการณ์ด้านความปลอดภัยเกี่ยวกับข้อมูลส่วนบุคคลที่ประมวลผลและซึ่งเป็นหัวข้อของข้อตกลงและเงื่อนไขความเป็นส่วนตัวของผู้เผยแพร่ ฝ่ายนั้นจะต้อง: (i) รับผิดชอบในการปฏิบัติตาม (โดยค่าใช้จ่ายของตนเอง) ข้อกำหนดการรายงานที่ใช้บังคับต่อหน่วยงานปกป้องข้อมูลและ/หรือผู้ที่ได้รับผลกระทบ (ii) แจ้งฝ่ายอื่นโดยไม่ชักช้า โดยให้ข้อมูลเกี่ยวกับเหตุการณ์ด้านความปลอดภัยตามที่ฝ่ายอื่นอาจร้องขออย่างสมเหตุสมผลหรือที่จำเป็นสำหรับฝ่ายอื่นในการพิจารณาว่าอาจมีข้อกำหนดการรายงานภายใต้กฎหมายการปกป้องข้อมูลที่ใช้บังคับเกี่ยวกับเหตุการณ์ด้านความปลอดภัยหรือไม่ และ (iii) ดำเนินการทุกอย่างและมาตรการที่เหมาะสมโดยไม่ชักช้า เพื่อแก้ไขและ/หรือลดผลกระทบของเหตุการณ์ด้านความปลอดภัย

ในกรณีที่และตามขอบเขตที่กฎหมายการปกป้องข้อมูลที่ใช้บังคับซึ่งแต่ละฝ่ายอยู่ภายใต้กำหนดให้แต่ละฝ่ายดำเนินการประเมินผลกระทบการปกป้องข้อมูลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลสำหรับวัตถุประสงค์ที่อนุญาตและ/หรือปรึกษากับหน่วยงานปกป้องข้อมูลที่เกี่ยวข้องเมื่อจำเป็น แต่ละฝ่ายจะต้องให้ความร่วมมือและข้อมูลที่สมเหตุสมผลตามที่อีกฝ่ายร้องขอ ซึ่งจำเป็นเพื่อให้ฝ่ายอื่นสามารถทำการประเมินผลกระทบด้านการปกป้องข้อมูลและ/หรือปรึกษากับหน่วยงานที่เกี่ยวข้องด้านการปกป้องข้อมูลตามข้อผูกพันของฝ่ายนั้นภายใต้ส่วนนี้ได้

A. รายชื่อฝ่าย

แต่ละฝ่ายจะเป็น:

  • ผู้ควบคุมข้อมูล (และผู้ส่งออกข้อมูล) ของข้อมูลที่เก็บรวบรวมที่เปิดเผยหรือทำให้พร้อมใช้งานแก่ฝ่ายอื่น และ
  • ผู้ควบคุมข้อมูล (และผู้นำเข้าข้อมูล) ของข้อมูลที่เก็บรวบรวมที่ได้รับจากหรือที่มีการเข้าถึงโดยฝ่ายอื่น

รายละเอียดของแต่ละฝ่ายมีดังต่อไปนี้

ชื่อ: ดูรายละเอียดของผู้เผยแพร่ที่ระบุในข้อตกลง

ที่อยู่:} ดูรายละเอียดของผู้เผยแพร่ที่ระบุในข้อตกลง.

ชื่อผู้ติดต่อ ตำแหน่ง และรายละเอียดการติดต่อ:} ดูรายละเอียดของผู้เผยแพร่ที่ระบุในข้อตกลงหรือที่ตกลงกันเป็นลายลักษณ์อักษรระหว่างฝ่าย

กิจกรรมที่เกี่ยวข้องกับข้อมูลที่ถ่ายโอนภายใต้ข้อกำหนดเหล่านี้:} การรับบริการตามที่ระบุในข้อตกลง

ลายเซ็นและวันที่: ภาคผนวก A นี้จะถือว่าถูกดำเนินการเมื่อผู้เผยแพร่ยอมรับข้อกำหนดความเป็นส่วนตัวของผู้เผยแพ่นี้

บทบาท (ผู้ควบคุม/ผู้ประมวลผล): ผู้ควบคุม (เมื่อเป็นผู้ส่งออกข้อมูล) และผู้ควบคุม (เมื่อเป็นผู้นำเข้าข้อมูล)

 

ชื่อ: ดูรายละเอียดของ Taboola ที่ระบุในบทนำของข้อตกลง

ที่อยู่:} ดูรายละเอียดของ Taboola ที่ระบุในบทนำของข้อตกลง

ชื่อผู้ติดต่อ ตำแหน่ง และรายละเอียดการติดต่อ:} ทีมความเป็นส่วนตัวของ Taboola: privacy@taboola.com.

กิจกรรมที่เกี่ยวข้องกับข้อมูลที่ถ่ายโอนภายใต้ข้อกำหนดเหล่านี้:} การจัดหาบริการตามที่กำหนดในข้อตกลง

ลายเซ็นและวันที่: ภาคผนวก A นี้จะถือว่าถูกดำเนินการเมื่อ Taboola ยอมรับข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่เหล่านี้.

บทบาท (ผู้ควบคุม/ผู้ประมวลผล): ผู้ควบคุม (เมื่อเป็นผู้ส่งออกข้อมูล) และผู้ควบคุม (เมื่อเป็นผู้นำเข้าข้อมูล)

 

B. คำอธิบายของการประมวลผลและการโอน 

หมวดหมู่ของกลุ่มข้อมูลที่ข้อมูลส่วนบุคคลถูกประมวลผลและ/หรือโอน: ผู้ใช้

หมวดหมู่ของข้อมูลส่วนบุคคลที่ประมวลผลและ/หรือถ่ายโอน:

ข้อมูลอุปกรณ์: อุปกรณ์ของผู้ใช้, เบราว์เซอร์, และระบบปฏิบัติการ; ข้อมูลอุปกรณ์เคลื่อนที่ (หมายเลข ID ทั้งหมดจะถูกเข้ารหัส) รวมถึง IDFA และ AAID; ข้อมูลคุกกี้ที่อาจถูกอ่านหรือใช้งานโดย Taboola (หมายเลข ID คุกกี้/หมายเลข ID ผู้ใช้ทั้งหมดจะถูกเข้ารหัส); ที่อยู่ IP; อีเมลที่เข้ารหัส; เว็บไซต์ที่อ้างอิง; ภาษาของผู้ใช้; ประเทศ / ภูมิภาค / เมือง. หากแอปพลิเคชันมือถือเป็นส่วนหนึ่งของบริการ ข้อมูลเพิ่มเติมรวมถึงพิกัดละติจูด/ลองจิจูดที่ถูกตัดทอนและไม่แม่นยำ, ประเภทการเชื่อมต่อ, และขนาดหน้าจอ.

ข้อมูลเกี่ยวกับทรัพย์สินดิจิทัลที่ผู้ใช้เข้าชม: วิธีที่แพลตฟอร์มแสดงและผู้ใช้มีปฏิสัมพันธ์กับแพลตฟอร์มหรือไม่; พฤติกรรมเว็บหรือแอป.

ในกรณีที่ Header Bidding เป็นส่วนหนึ่งของบริการ ข้อกำหนดต่อไปนี้จะมีผลบังคับใช้:

  • ข้อมูล Bid Request / Bid Response: หมายเลข ID ที่ไม่ซ้ำของคำขอเสนอราคา, วัตถุ IMP ที่แสดงถึงการแสดงผลที่เสนอ, เว็บไซต์หรือแอปของผู้เผยแพร่ที่แสดง, แอป, อุปกรณ์, ประเภทการประมูล, เวลาสูงสุด, สกุลเงิน, หมวดหมู่ที่ถูกบล็อก, หมายเลข ID อุปกรณ์, หมายเลข ID ผู้ใช้ Taboola, พาร์ทเนอร์แท็กที่เรียก: URL.

เกี่ยวกับ Taboola Newsroom ข้อกำหนดต่อไปนี้จะมีผลบังคับใช้:

  • เหตุการณ์จากเว็บไซต์ของผู้เผยแพร่: ข้อมูลการแปลง
  • ข้อมูลเกี่ยวกับเบราว์เซอร์ของผู้ใช้ที่อ่านจากตัวแทนผู้ใช้: URL ของหน้าที่เข้าชม เว็บไซต์ที่อ้างอิง ระบบปฏิบัติการ ประเภทเบราว์เซอร์ และเวอร์ชันเบราว์เซอร์ ที่เกี่ยวข้องกับ Taboola User ID ที่อ่านจากคุกกี้ ที่อยู่ IP ที่เกี่ยวข้อง (ตัดทอนหลังจาก 30 วัน).

ข้อมูลที่ละเอียดอ่อนที่ถ่ายโอน (ถ้ามี) และข้อจำกัดหรือมาตรการป้องกันที่ใช้ซึ่งพิจารณาถึงลักษณะของข้อมูลและความเสี่ยงที่เกี่ยวข้องอย่างเต็มที่ เช่น การจำกัดวัตถุประสงค์อย่างเข้มงวด, ข้อจำกัดการเข้าถึง (รวมถึงการเข้าถึงเฉพาะสำหรับพนักงานที่ผ่านการฝึกอบรมเฉพาะทาง), การเก็บบันทึกการเข้าถึงข้อมูล, ข้อจำกัดสำหรับการถ่ายโอนต่อไปหรือมาตรการรักษาความปลอดภัยเพิ่มเติม: ไม่สามารถใช้ได้.

ความถี่ของการประมวลผลและ/หรือการถ่ายโอน (เช่น ข้อมูลถูกประมวลผลและ/หรือถ่ายโอนในลักษณะครั้งเดียวหรืออย่างต่อเนื่อง): ต่อเนื่องตลอดระยะเวลาของข้อตกลง.

ลักษณะของการประมวลผล: การประมวลผลข้อมูลส่วนบุคคลที่จำเป็นสำหรับการให้บริการตามที่ระบุในข้อตกลง.

วัตถุประสงค์ของการประมวลผลข้อมูล / การถ่ายโอนและการประมวลผลเพิ่มเติม: การให้บริการตามที่ระบุในข้อตกลง เพื่อหลีกเลี่ยงความสงสัย วัตถุประสงค์ที่อนุญาตประกอบด้วย: (i) การจัดเก็บและ/หรือการเข้าถึงข้อมูลบนอุปกรณ์; (ii) การเลือกโฆษณาพื้นฐาน; (iii) การสร้างโปรไฟล์โฆษณาที่ปรับให้เหมาะสม; (iv) การเลือกโฆษณาที่ปรับให้เหมาะสม; (v) การสร้างโปรไฟล์เนื้อหาที่ปรับให้เหมาะสม; (vi) การเลือกเนื้อหาที่ปรับให้เหมาะสม; (vii) การวัดประสิทธิภาพโฆษณา; (viii) การวัดประสิทธิภาพเนื้อหา; (ix) การพัฒนาและปรับปรุงผลิตภัณฑ์; (x) การรับประกันความปลอดภัย การป้องกันการฉ้อโกง และการแก้ไขข้อบกพร่อง; (xi) การส่งมอบโฆษณาหรือเนื้อหาในทางเทคนิค; (xii) การจับคู่และรวมแหล่งข้อมูลออฟไลน์; (xiii) การเชื่อมโยงอุปกรณ์ต่างๆ; (xiv) การรับและใช้ลักษณะของอุปกรณ์ที่ส่งโดยอัตโนมัติสำหรับการระบุ; (xv) การใช้ข้อมูลที่จำกัดเพื่อเลือกเนื้อหา และ (xvi) การบันทึกและสื่อสารการเลือกความเป็นส่วนตัว.

เกี่ยวกับ Taboola Newsroom จะมีการใช้ดังต่อไปนี้: (i) การติดตามเหตุการณ์การแปลงการสมัครสมาชิก.

เกี่ยวกับ Taboola Push จะมีวัตถุประสงค์เพิ่มเติมดังต่อไปนี้: (i) การส่งการแจ้งเตือนไปยังอุปกรณ์ของผู้ใช้.

ในกรณีที่ Header Bidding เป็นส่วนหนึ่งของบริการ จะมีวัตถุประสงค์เพิ่มเติมดังต่อไปนี้: (i) การกำหนดว่าจะเสนอราคาในตำแหน่งใดและให้คำแนะนำที่ปรับให้เหมาะสม.

ในกรณีที่ Home Page 4 You เป็นส่วนหนึ่งของบริการ จะมีวัตถุประสงค์เพิ่มเติมดังต่อไปนี้: (i) การทำให้เนื้อหาของผู้เผยแพร่เป็นอัตโนมัติและจัดระเบียบภายในหน้าแรกของทรัพย์สินดิจิทัลที่กำหนด.

ระยะเวลาที่ข้อมูลส่วนบุคคลจะถูกเก็บรักษา หรือหากไม่สามารถทำได้ เกณฑ์ที่ใช้ในการกำหนดระยะเวลานั้น:

  • Taboola: ข้อมูลดิบจะถูกเก็บรักษาไม่เกิน 13 เดือน.
  • ผู้โฆษณา: ตราบใดที่จำเป็นต้องได้รับบริการหรือเป็นไปตามที่ระบุในข้อตกลง.

สำหรับการถ่ายโอนให้กับ (ซับ) ผู้ประมวลผล ให้ระบุหัวข้อ, ลักษณะและระยะเวลาของการประมวลผล: ไม่สามารถใช้ได้

 

C. หน่วยงานกำกับดูแลที่มีอำนาจ

หน่วยงานกำกับดูแลที่มีอำนาจซึ่งใช้กับ EU GDPR: หน่วยงานกำกับดูแลที่มีอำนาจสำหรับแต่ละฝ่ายมีรายละเอียดดังต่อไปนี้:

  • Taboola: หน่วยงานกำกับดูแลที่มีอำนาจจะถูกกำหนดตามข้อ 13 ของ EU SCCs.
  • ผู้โฆษณา: หน่วยงานกำกับดูแลที่มีอำนาจจะถูกกำหนดตามข้อ 13 ของ EU SCCs.

หน่วยงานกำกับดูแลที่มีอำนาจซึ่งใช้กับ UK GDPR: สำนักงานผู้ตรวจการข้อมูล

คำอธิบายของมาตรการทางเทคนิคและการจัดการที่แต่ละฝ่ายดำเนินการ (รวมถึงการรับรองที่เกี่ยวข้อง) เพื่อให้แน่ใจว่ามีระดับความปลอดภัยที่เหมาะสม โดยคำนึงถึงลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการประมวลผล และความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลธรรมดา

มาตรการการทำให้เป็นนามแฝงและการเข้ารหัสข้อมูลส่วนบุคคล: Taboola เก็บข้อมูลที่เป็นนามแฝงเท่านั้น ซึ่งหมายความว่าเราไม่รู้ว่าคุณคือใครเพราะเราไม่รู้หรือประมวลผลชื่อ อีเมล หรือข้อมูลที่สามารถระบุตัวตนอื่น ๆ ของผู้ใช้ ข้อมูลผู้ใช้ที่เรารวบรวมรวมถึง แต่ไม่จำกัดเพียง ข้อมูลเกี่ยวกับอุปกรณ์และระบบปฏิบัติการของผู้ใช้ ที่อยู่ IP หน้าเว็บที่ผู้ใช้เข้าถึงภายในเว็บไซต์ของลูกค้า ลิงก์ที่นำผู้ใช้ไปยังเว็บไซต์ของลูกค้า วันที่และเวลาที่ผู้ใช้เข้าถึงเว็บไซต์ของลูกค้า และข้อมูลการท่องเว็บอื่น ๆ CookieID ถูกทำให้ไม่ระบุชื่อโดยใช้ Bcrypt และที่อยู่ IP ถูกตัดทอน

มาตรการเพื่อให้แน่ใจว่าความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความยืดหยุ่นของระบบและบริการการประมวลผลยังคงดำเนินต่อไป: Taboola ใช้ระดับความปลอดภัยทางอิเล็กทรอนิกส์หลายระดับ (เช่น ความปลอดภัยที่จุดสิ้นสุด ความปลอดภัยด้านเซิร์ฟเวอร์ การติดตามการตรวจจับ การทดสอบการเจาะระบบเป็นระยะ และการรวบรวมข้อมูลเชิงลึกเพื่อทบทวนเหตุการณ์หลังการตาย)

มาตรการเพื่อให้แน่ใจว่าสามารถกู้คืนความพร้อมใช้งานและการเข้าถึงข้อมูลส่วนบุคคลได้อย่างทันท่วงทีในกรณีที่เกิดเหตุการณ์ทางกายภาพหรือทางเทคนิค: Taboola มีศูนย์ข้อมูล 9 แห่งที่ดำเนินการอยู่ทั่วโลก ศูนย์ข้อมูลแต่ละแห่งถูกใช้เป็นการจำลองซึ่งกันและกัน ดังนั้นหากแห่งใดแห่งหนึ่งล่ม ข้อมูลสามารถถูกดึงออกจากศูนย์ข้อมูลอื่นได้

กระบวนการสำหรับการทดสอบ ประเมินผล และประเมินประสิทธิภาพของมาตรการทางเทคนิคและการจัดการอย่างสม่ำเสมอเพื่อให้แน่ใจในความปลอดภัยของการประมวลผล: Taboola มีขั้นตอนที่เข้มงวดสำหรับการทดสอบประสิทธิภาพของการควบคุม (ทั้งทางเทคนิคและการจัดการ) เรามีการบันทึกและการตรวจสอบระบบอยู่ในสถานที่ การทดสอบ DR รายเดือน (อย่างน้อย) การทดสอบการเจาะระบบรายไตรมาส ไฟร์วอลล์ที่ปกป้องเว็บ และ honeypots ที่กระจายอยู่ทั่วเครือข่ายเพื่อตรวจหากิจกรรมที่เป็นอันตราย นอกจากนี้ เรายังมีโปรแกรมรางวัลที่ช่วยให้เราสามารถตรวจสอบเครือข่ายของเราได้อย่างต่อเนื่อง

มาตรการสำหรับการระบุและการอนุญาตผู้ใช้: ผู้ใช้แต่ละคนใน Taboola จะต้องมีชื่อผู้ใช้และรหัสผ่านเฉพาะ การเข้าถึงเครือข่ายภายในของ Taboola ทุกครั้งจะต้องใช้ 2FA โดยใช้การตรวจสอบสิทธิ์ของ Google ผู้ใช้จะถูกสร้างขึ้นโดยแผนก IT เท่านั้น ในระหว่างกระบวนการเข้าร่วม และเฉพาะหลังจากได้รับรายละเอียดทั้งหมดและสัญญาที่ลงนามจากแผนก HR

มาตรการในการปกป้องข้อมูลระหว่างการส่งข้อมูล: Taboola รองรับการส่งข้อมูลใด ๆ ผ่านโปรโตคอลการส่งข้อมูลที่ปลอดภัย (HTTPS และ TLS v1.2 อย่างน้อย) นอกจากนี้ ระบบที่อาจมีข้อมูลส่วนบุคคล (PII) จะถูกป้องกันและข้อมูลจะถูกเก็บเป็นแฮชและไม่ระบุชื่อ

มาตรการในการปกป้องข้อมูลระหว่างการจัดเก็บ: ข้อมูลที่ถูกเก็บในฐานข้อมูลของเราจะถูกทำให้ไม่ระบุชื่อและแฮชโดยใช้ Bcrypt การเข้าถึงฐานข้อมูลจะถูกจำกัดและขึ้นอยู่กับหลักการ ‘ความจำเป็นทางธุรกิจในการรู้’

มาตรการในการรับประกันความปลอดภัยทางกายภาพของสถานที่ที่มีการประมวลผลข้อมูลส่วนบุคคล: ศูนย์ข้อมูลทั่วโลกของ Taboola (ในสหรัฐอเมริกา, ยุโรป, และเอเชีย) มีเซิร์ฟเวอร์ทั้งหมดอยู่ในตู้ล็อคที่ดูแลเฉพาะสำหรับการใช้งานของ Taboola ตู้เหล่านี้ได้รับการดูแลโดยบริษัทที่ได้รับการรับรอง SOC2 หรือ Taboola ได้ตรวจสอบมาตรการด้านความปลอดภัยของพวกเขา นอกจากนี้ การเข้าถึงเซิร์ฟเวอร์ใด ๆ ต้องมีการอนุญาตเป็นลายลักษณ์อักษรและมีการบันทึก สำนักงานของ Taboola ทุกแห่งยังถูกควบคุม และต้องการให้พนักงานใช้บัตรเข้าถึงเพื่อเข้า นอกจากนี้ มีพนักงานเพียงจำนวนจำกัดที่สามารถเข้าถึงเซิร์ฟเวอร์ของ Taboola และการเข้าถึงใด ๆ ยังต้องมีการอนุญาตเป็นลายลักษณ์อักษรและมีการบันทึก

มาตรการในการรับประกันการบันทึกเหตุการณ์: Taboola ใช้เครื่องมือการตรวจสอบและบันทึกจะถูกเก็บรวบรวมไปยังระบบ SIEM ของเรา ซึ่งจะแจ้งเตือนเราเกี่ยวกับเหตุการณ์ที่น่าสงสัยและยังถูกตรวจสอบโดยทีม NOC

มาตรการในการรับประกันการกำหนดค่าระบบ รวมถึงการกำหนดค่าเริ่มต้น: เซิร์ฟเวอร์จะถูกสแกนสำหรับการเปลี่ยนแปลงการกำหนดค่าและระดับแพตช์ การรายงานและ/หรือการแจ้งเตือนจะถูกตั้งค่าในทั้งสองและระดับแพตช์ที่เกี่ยวข้องจะได้รับการยืนยัน แพตช์ใหม่จะถูกแจกจ่ายโดยใช้ Puppet การตรวจสอบทางเทคนิคทั้งหมดจะถูกจัดการผ่านแอปพลิเคชัน R&D และได้รับผ่านกระบวนการตรวจสอบอย่างเป็นทางการ (QA) หลังจากการเขียนโค้ดและกระบวนการ CI/CD ได้ถูกนำไปใช้เช่นกัน

มาตรการสำหรับการบริหารจัดการและการกำกับดูแลด้าน IT และความปลอดภัยของ IT ภายใน: Taboola ได้รับการรับรอง ISO 27001:2013 และ 27701. Taboola มีนโยบายความปลอดภัยข้อมูลที่ระบุว่าคณะกรรมการบริหารและผู้บริหารของ Taboola มุ่งมั่นที่จะรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลทรัพย์สินทางกายภาพและอิเล็กทรอนิกส์ทั้งหมดในองค์กรของตน. Taboola จัดการฝึกอบรมด้านความปลอดภัยสำหรับพนักงานใหม่ทุกคน การฝึกอบรมการฟิชชิ่งสำหรับพนักงานทั่วโลก และการฝึกอบรมด้านความปลอดภัยเป็นประจำสำหรับพนักงานทุกคน รวมถึงการจัดเซสชันเฉพาะสำหรับกลุ่ม R&D.

มาตรการสำหรับการรับรอง/การประกันคุณภาพของกระบวนการและผลิตภัณฑ์: การตรวจสอบภายในรายไตรมาส / ครึ่งปี / รายปีในหลายกระบวนการและระบบเพื่อยืนยันว่า Taboola ปฏิบัติตามเป้าหมายและมาตรการด้านความปลอดภัยที่กำหนดไว้.

มาตรการสำหรับการรับรองการลดข้อมูล: Taboola ตั้งใจจำกัดข้อมูลที่เรารวบรวมตามหลักการลดข้อมูลทั่วโลกของ Taboola โดยการประมวลผลเฉพาะข้อมูลที่จำเป็นสำหรับวัตถุประสงค์ทางธุรกิจเฉพาะของเรา. นอกจากนี้ Taboola ไม่มีความสามารถหรือความจำเป็นทางธุรกิจในการ “ย้อนกลับวิศวกรรม” ข้อมูลใด ๆ ที่ใช้ในอัลกอริธึมของเราเพื่อให้บริการของเรา. โดยเฉพาะอย่างยิ่ง ข้อมูลที่ Taboola รวบรวมไม่เคยบ่งบอกถึงตัวตนของผู้ใช้ เนื่องจาก Taboola ไม่ได้รวบรวมหรือประมวลผลข้อมูลเช่น ชื่อผู้ใช้ หมายเลขโทรศัพท์ อีเมล หรือที่อยู่ทางกายภาพ. แทนที่จะเป็นเช่นนั้น Taboola รวบรวมเฉพาะตัวระบุที่ไม่ระบุชื่อ ซึ่งเพียงแค่ระบุลักษณะเกี่ยวกับอุปกรณ์ของผู้ใช้. นี่รวมถึงที่อยู่ IP (ซึ่งถูกตัดทอนเมื่อรวบรวมและสามารถระบุได้เพียงตำแหน่งรหัสไปรษณีย์ทั่วไปของอุปกรณ์ แต่ไม่เคยเป็นตำแหน่งทางภูมิศาสตร์ที่แม่นยำ) และในบางกรณีที่จำกัด ที่อยู่อีเมลที่ถูกแฮช (ซึ่งไม่สามารถย้อนกลับได้และไม่สามารถถอดรหัสเพื่อเปิดเผยที่อยู่อีเมลเดิมได้). นอกจากนี้ แม้เมื่อใช้ร่วมกัน ข้อมูลที่เรารวบรวมไม่สามารถผลิตชื่อ หมายเลขโทรศัพท์ อีเมล หรือที่อยู่ทางกายภาพของบุคคลได้ และวิศวกรของเราไม่ได้ทำงานในทางใดทางหนึ่งเพื่อบรรลุเป้าหมายนี้. นอกจากนี้ Taboola ยังทำและบันทึกการประเมินผลกระทบด้านความเป็นส่วนตัวเพื่อพยายามลดความเสี่ยงด้านความเป็นส่วนตัวของบริการ กระบวนการ และนโยบายของเรา.

มาตรการสำหรับการรับรองคุณภาพข้อมูล: ข้อมูลจะถูกรวบรวมโดยตรงจากผู้ใช้และผู้ใช้จะมีโอกาสแก้ไขข้อมูลใด ๆ ที่เกี่ยวข้องกับ CookieID ของตนผ่านทาง Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access

มาตรการสำหรับการรับรองการเก็บข้อมูลที่จำกัด: เราจะเก็บข้อมูลผู้ใช้ซึ่งถูกรวบรวมโดยตรงเพื่อวัตถุประสงค์ในการให้บริการโฆษณาเป็นระยะเวลาไม่เกินสิบสาม (13) เดือนนับจากการมีปฏิสัมพันธ์ครั้งสุดท้ายของผู้ใช้กับบริการของเรา (มักจะเป็นระยะเวลาที่สั้นกว่า) หลังจากนั้นเราจะทำการระบุข้อมูลโดยการลบตัวระบุเฉพาะหรือการรวมข้อมูล. กระบวนการนี้จะทำโดยอัตโนมัติ.

มาตรการสำหรับการรับรองความรับผิดชอบ: Taboola ทำการตรวจสอบความปลอดภัยหลายครั้งและการทดสอบการเจาะระบบ (แต่ไม่ใช่สำหรับทุกระบบ). Taboola ยังใช้ผู้ให้บริการคลาวด์ที่ได้รับการรับรอง ISO และปฏิบัติตามการรับรองที่เกี่ยวข้องกับคลาวด์อื่น ๆ เพื่อรักษามาตรการป้องกันทางกายภาพของเซิร์ฟเวอร์

มาตรการในการอนุญาตให้มีการพกพาข้อมูลและการรับประกันการลบข้อมูล: Taboola เกี่ยวกับการกำจัดสื่อเหมือนกันสำหรับสื่อทุกประเภทเนื่องจากอาจมีข้อมูลส่วนบุคคล (PII) สื่อใด ๆ ต้องถูกลบออกอย่างสมบูรณ์ก่อนที่จะนำกลับมาใช้ใหม่หรือกำจัด การกำจัดสื่อใด ๆ จะต้องมีการบันทึก พนักงานได้รับคำแนะนำไม่ให้พิมพ์เอกสารใด ๆ ที่อาจมีข้อมูลส่วนบุคคล

  1. ในกรณีที่ฝ่ายใดฝ่ายหนึ่งทำการโอนข้อมูลที่จำกัดไปยังอีกฝ่ายหนึ่ง ข้อกำหนดสัญญามาตรฐานจะต้องถูกรวมเข้ากับข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่เหล่านี้และใช้ตามที่ระบุไว้ดังนี้:

ก. ในกรณีที่การโอนข้อมูลที่จำกัดเป็นการโอนข้อมูลที่จำกัดของ EU EU SCCs จะใช้ระหว่างฝ่ายต่าง ๆ ตามที่ระบุไว้ดังนี้:

  1. (i) โมดูลหนึ่งจะใช้;
  2. (ii) ในข้อ 7 ข้อกำหนดการเชื่อมต่อแบบเลือกจะใช้;
  3. (iv) ในข้อ 11 ภาษาแบบเลือกจะไม่ใช้;
  4. (v) ในข้อ 17 ตัวเลือก 1 จะใช้ และ EU SCCs จะอยู่ภายใต้กฎหมายของไอร์แลนด์;
  5. (vi) ในข้อ 18(b) ข้อพิพาทจะต้องได้รับการแก้ไขก่อนศาลของไอร์แลนด์;
  6. (vii) ส่วน A, B และ C ของภาคผนวก I จะถือว่ามีการกรอกข้อมูลตามข้อมูลที่ระบุในส่วน A, B และ C ของภาคผนวก A ของข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่เหล่านี้; และ
  7. (vii) ภาคผนวก II จะถือว่ามีการกรอกข้อมูลตามมาตรการด้านความปลอดภัยที่ระบุในภาคผนวก B ของข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่เหล่านี้;

ข. ในกรณีที่การโอนข้อมูลที่จำกัดเป็นการโอนข้อมูลที่จำกัดของสหราชอาณาจักร UK Addendum จะใช้ระหว่างฝ่ายต่าง ๆ ตามที่ระบุไว้ดังนี้:

(i) EU SCCs ที่กรอกข้อมูลตามที่ระบุไว้ข้างต้นจะใช้ระหว่างฝ่ายต่าง ๆ และจะถูกปรับเปลี่ยนโดย UK Addendum (กรอกข้อมูลตามที่ระบุไว้ในข้อย่อย (ii) ด้านล่าง); และ

(ii) ตาราง 1 ถึง 3 ของ UK Addendum จะถือว่ามีการกรอกข้อมูลตามข้อมูลที่เกี่ยวข้องจาก EU SCCs ที่กรอกข้อมูลตามที่ระบุไว้ข้างต้น และตัวเลือก “ผู้ส่งออก” และ “ผู้นำเข้า” จะถือว่าถูกเลือกในตาราง 4 วันที่เริ่มต้นของ UK Addendum (ตามที่ระบุไว้ในตาราง 1) จะเป็นวันที่มีผลบังคับใช้ของข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่เหล่านี้.

2. การโอนข้อมูลที่ถูกจำกัดต่อไป: ทั้งสองฝ่ายจะไม่ทำการโอนข้อมูลที่ถูกจำกัดต่อไปจากข้อมูลที่พวกเขาได้รับจากอีกฝ่าย เว้นแต่จะได้ดำเนินการทุกอย่างที่จำเป็นเพื่อให้แน่ใจว่าการโอนข้อมูลที่ถูกจำกัดต่อไปนั้นเป็นไปตามกฎหมายการปกป้องข้อมูลที่ใช้บังคับและข้อกำหนดสัญญามาตรฐานที่ได้ตกลงกับอีกฝ่ายแล้ว