ข้อตกลงการปกป้องข้อมูลสำหรับพันธมิตร RTB และโปรแกรมmatic
Last Update: May 29, 2024
ข้อตกลงการปกป้องข้อมูลสำหรับพันธมิตร RTB และโปรแกรมmatic
วันที่มีผลบังคับใช้: 29 พฤษภาคม 2024
เพื่อให้แน่ใจว่า Taboola มีข้อกำหนดการปกป้องข้อมูลที่เหมาะสมกับพันธมิตรโปรแกรมmatic และ RTB ของเรา (แต่ละรายเรียกว่า “Partner”) Taboola จึงจัดทำข้อตกลงการปกป้องข้อมูลนี้ (เรียกว่า “DPA”).
DPA นี้จะเสริมและเป็นส่วนหนึ่งของข้อตกลงทางธุรกิจที่มีอยู่ระหว่าง Partner และ Taboola ที่เกี่ยวข้องกับการให้บริการ RTB และโปรแกรมmatic (เรียกว่า “Underlying Agreement”).
คำที่มีตัวอักษรตัวใหญ่ทั้งหมดที่ใช้ใน DPA นี้ แต่ไม่ได้กำหนดใน DPA นี้จะมีความหมายตามที่กำหนดใน Underlying Agreement. ในกรณีที่มีความขัดแย้งระหว่าง DPA นี้และ Underlying Agreement DPA นี้จะมีผลเหนือกว่าตามขอบเขตของความขัดแย้งนั้น.
1. คำจำกัดความ
“กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ” หมายถึง กฎหมายความเป็นส่วนตัวและการคุ้มครองข้อมูลที่ใช้บังคับทั้งหมด รวมถึงกฎหมายของรัฐบาลกลาง รัฐ หรืออื่น ๆ ที่อาจมีการแก้ไขหรือแทนที่เป็นครั้งคราว รวมถึง CCPA (ตามที่กำหนดไว้ด้านล่าง) และกฎหมายการคุ้มครองข้อมูลของยุโรป หากมีการใช้บังคับและไม่มีข้อจำกัด
“CCPA” หมายถึง พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแห่งแคลิฟอร์เนีย (Cal. Civ. Code §§ 1798.100 – 1798.199) ซึ่งได้รับการแก้ไขโดยพระราชบัญญัติสิทธิความเป็นส่วนตัวของแคลิฟอร์เนีย (Cal. Civ. Code §§ 1798.100 – 1798.199).
“ผู้ควบคุม” หมายถึง หน่วยงานที่กำหนดวัตถุประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคล และรวมถึงหน่วยงานใด ๆ ที่ประมวลผลข้อมูลส่วนบุคคลในฐานะ “ธุรกิจ” หรือ “บุคคลที่สาม” ตาม CCPA และ CPRA
“กรอบการคุ้มครองข้อมูลส่วนบุคคล” หรือ “DPF” หมายถึง กรอบการคุ้มครองข้อมูลส่วนบุคคลระหว่างสหภาพยุโรปและสหรัฐอเมริกา และการขยายของสหราชอาณาจักรไปยัง DPF ของสหภาพยุโรป-สหรัฐอเมริกา ตามที่กำหนดโดยกระทรวงพาณิชย์ของสหรัฐอเมริกา “กฎหมายการคุ้มครองข้อมูลของยุโรป” หมายถึง กฎหมายการคุ้มครองข้อมูลของสหภาพยุโรปและกฎหมายการคุ้มครองข้อมูลของสหราชอาณาจักร “กฎหมายการคุ้มครองข้อมูลของสหภาพยุโรป” หมายถึง: (i) ระเบียบของสหภาพยุโรป 2016/679 (“EU GDPR”); (ii) ระเบียบของสหภาพยุโรป 2002/58/EC; และ (iii) กฎหมายระดับชาติของแต่ละรัฐสมาชิก EEA ที่มีการออกภายใต้ ตาม หรือที่ดำเนินการ (i) หรือ (ii) หรือที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลในแต่ละกรณี ตามที่มีการแก้ไขหรือแทนที่เป็นครั้งคราว “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลธรรมชาติที่สามารถระบุได้หรือระบุได้ และรวมถึงข้อมูลใด ๆ ที่กำหนดว่าเป็น “ข้อมูลส่วนบุคคล” หรือ “ข้อมูลส่วนบุคคล” ตามที่กำหนดไว้ภายใต้กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ
“วัตถุประสงค์ที่อนุญาต” หมายถึง วัตถุประสงค์ในการเสนอราคาจริงที่เกี่ยวข้องกับการซื้อและขายโฆษณาออนไลน์ตามข้อตกลงพื้นฐาน ซึ่ง Taboola เปิดเผยหรือทำให้ข้อมูลที่แชร์พร้อมใช้งานแก่พันธมิตรเพื่อการประมวลผล ตามที่กำหนดไว้ในภาคผนวก I
“การโอนที่จำกัด” หมายถึง: (i) เมื่อ EU GDPR ใช้บังคับ การโอนข้อมูลส่วนบุคคลจาก EEA ไปยังประเทศนอก EEA ที่ไม่ได้อยู่ภายใต้การพิจารณาความเหมาะสมโดยคณะกรรมาธิการยุโรป (“การโอนที่จำกัดของ EU”); และ (ii) เมื่อ UK GDPR ใช้บังคับ การโอนข้อมูลส่วนบุคคลจากสหราชอาณาจักรไปยังประเทศอื่นใดที่ไม่ได้อยู่ภายใต้หรืออิงตามกฎระเบียบความเหมาะสมตามมาตรา 17A ของพระราชบัญญัติคุ้มครองข้อมูลของสหราชอาณาจักร 2018 (“การโอนที่จำกัดของสหราชอาณาจักร”).
“ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุตัวตนได้หรือสามารถระบุตัวตนได้ และรวมถึงข้อมูลใดๆ ที่นิยามว่าเป็น “ข้อมูลส่วนบุคคล” หรือ “ข้อมูลส่วนตัว” ตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง
“วัตถุประสงค์ที่ได้รับอนุญาต” หมายถึง วัตถุประสงค์การประมูลแบบเรียลไทม์ที่เกี่ยวข้องกับการซื้อและขายโฆษณาออนไลน์ตามข้อตกลงพื้นฐาน ซึ่ง Taboola เปิดเผยหรือจัดเตรียมข้อมูลที่ใช้ร่วมกันให้แก่พันธมิตรเพื่อการประมวลผล ตามที่ระบุไว้ในภาคผนวกที่ 1
การโอนข้อมูลที่ถูกจำกัด” หมายถึง: (i) ในกรณีที่ EU GDPR มีผลบังคับใช้ การโอนข้อมูลส่วนบุคคลจากเขตเศรษฐกิจยุโรป (EEA) ไปยังประเทศนอกเขตเศรษฐกิจยุโรปซึ่งไม่อยู่ภายใต้การพิจารณาความเหมาะสมโดยคณะกรรมาธิการยุโรป (“การโอนข้อมูลที่ถูกจำกัดของสหภาพยุโรป”) และ (ii) ในกรณีที่ UK GDPR มีผลบังคับใช้ การโอนข้อมูลส่วนบุคคลจาก UK ไปยังประเทศอื่นใดที่ไม่ขึ้นอยู่กับหรืออิงตามกฎระเบียบความเหมาะสมตามมาตรา 17A ของ DPA 2018 ของ UK (“การโอนข้อมูลที่ถูกจำกัดของ UK”)
“Security Incident” หมายถึงการละเมิดความปลอดภัยที่นำไปสู่การทำลาย สูญหาย เปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลที่แชร์
“Sell” และ “share” จะมีความหมายตามที่กำหนดใน CCPA และ CPRA และกฎระเบียบที่บังคับใช้ของพวกเขา
“Shared Data” หมายถึงประเภทของข้อมูลส่วนบุคคลที่ระบุในภาคผนวก I ของ DPA นี้
“Standard Contractual Clauses” หมายถึง: (i) เมื่อ EU GDPR ใช้บังคับ ข้อกำหนดสัญญาที่แนบมากับการตัดสินใจที่บังคับใช้ของคณะกรรมาธิการยุโรป 2021/914 ลงวันที่ 4 มิถุนายน 2021 เกี่ยวกับStandard Contractual Clausesสำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามตามระเบียบ (EU) 2016/679 ของรัฐสภายุโรปและสภา (“EU SCCs”); และ (ii) เมื่อ UK GDPR ใช้บังคับ “International Data Transfer Addendum to the EU Commission Standard Contractual Clauses” ที่ออกโดยผู้ตรวจการข้อมูลภายใต้ s.119A(1) ของ DPA 2018 (“UK Addendum”).
“UK Data Protection Laws” หมายถึง: (i) EU GDPR ที่เป็นส่วนหนึ่งของกฎหมายสหราชอาณาจักรตามมาตรา 3 ของพระราชบัญญัติการถอนตัวจากสหภาพยุโรป 2018 (“UK GDPR“); (ii) กฎระเบียบเกี่ยวกับความเป็นส่วนตัวและการสื่อสารทางอิเล็กทรอนิกส์ (EC Directive) ปี 2003; (iii) พระราชบัญญัติคุ้มครองข้อมูลปี 2018; และ (iv) กฎหมายอื่น ๆ ในสหราชอาณาจักรที่ออกภายใต้ ตาม หรือที่ดำเนินการ (i) หรือ (ii) หรือที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล; ในแต่ละกรณี ตามที่แก้ไขหรือแทนที่เป็นครั้งคราว
2. การเปิดเผยข้อมูล
ขึ้นอยู่กับการปฏิบัติตามของ Partner กับข้อตกลงพื้นฐานและ DPA นี้ Taboola จะเปิดเผยหรือทำให้ข้อมูลที่แชร์พร้อมใช้งานสำหรับ Partner เพื่อให้ Partner ประมวลผลอย่างเคร่งครัดเพื่อวัตถุประสงค์ที่อนุญาต
3. ความสัมพันธ์ของฝ่ายต่าง ๆ
ฝ่ายต่าง ๆ ยอมรับว่า Taboola เป็นผู้ควบคุมข้อมูลที่แชร์ที่เปิดเผยให้กับ Partner และ Partner จะประมวลผลข้อมูลที่แชร์ในฐานะผู้ควบคุมอย่างเคร่งครัดเพื่อวัตถุประสงค์ที่อนุญาต
4. ข้อผูกพันของ Partner
Partner รับประกัน แสดง และตกลงว่า:
(a) จะประมวลผลข้อมูลที่แชร์เฉพาะเพื่อวัตถุประสงค์ที่อนุญาตและตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้;
(b) ไม่มีเหตุผลที่จะเชื่อว่ากฎหมายคุ้มครองข้อมูลที่บังคับใช้จะขัดขวางไม่ให้มันปฏิบัติตามข้อผูกพันเกี่ยวกับการประมวลผลข้อมูลที่แชร์เพื่อวัตถุประสงค์ที่อนุญาต;
(c) หาก Partner ตัดสินใจว่าไม่สามารถประมวลผลข้อมูลที่แชร์เพื่อวัตถุประสงค์ที่อนุญาตตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้ จะต้องแจ้ง Taboola โดยเร็ว;
(d) จะต้องมีการนำเสนอและรักษาข้อความความเป็นส่วนตัวที่เข้าถึงได้สาธารณะบนเว็บไซต์ของตนที่สอดคล้องกับข้อกำหนดของกฎหมายคุ้มครองข้อมูลที่บังคับใช้ และให้รายละเอียดการติดต่อที่ผู้ที่เกี่ยวข้องสามารถสอบถามเกี่ยวกับการคุ้มครองข้อมูลได้;
(e) จะต้องทำให้ผู้ที่เกี่ยวข้องสามารถใช้สิทธิในการคุ้มครองข้อมูลตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้ รวมถึง (โดยไม่จำกัด) สิทธิในการคัดค้านการประมวลผลข้อมูลที่แชร์ของตน;
(f) ในการประมวลผลข้อมูลที่แชร์ที่ได้รับการคุ้มครองตามกฎหมายคุ้มครองข้อมูลของยุโรป จะต้อง:
(g) ประมวลผลข้อมูลที่แชร์เฉพาะเมื่อได้รับความยินยอมในการทำเช่นนั้น สอดคล้องกับข้อกำหนดของกฎหมายคุ้มครองข้อมูลของยุโรป; และ
(h) จะต้องดำเนินการมาตรการทางเทคนิคและการจัดการที่เหมาะสม รวมถึงมาตรการขั้นต่ำที่กำหนดในภาคผนวก II เพื่อปกป้องข้อมูลที่แชร์จากเหตุการณ์ด้านความปลอดภัย
5. ขั้นตอนที่เหมาะสมและสมเหตุสมผล
Taboola อาจดำเนินการขั้นตอนที่เหมาะสมและสมเหตุสมผลเพื่อให้แน่ใจว่าพันธมิตรประมวลผลข้อมูลที่แชร์ตามข้อตกลงพื้นฐานและ DPA นี้ในลักษณะที่สอดคล้องกับกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ
หากพันธมิตรไม่ปฏิบัติตามข้อตกลงพื้นฐาน, DPA นี้หรือกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ, Taboola จะดำเนินการขั้นตอนที่เหมาะสมและสมเหตุสมผลเพื่อหยุดและแก้ไขการใช้ข้อมูลที่แชร์โดยไม่ได้รับอนุญาต (รวมถึงการระงับหรือยุติการเปิดเผยข้อมูลที่แชร์ให้กับพันธมิตร)
6. การปฏิบัติตามกฎหมายที่ใช้บังคับ
พันธมิตรจะต้องปฏิบัติตามกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ และจะต้องให้การคุ้มครองความเป็นส่วนตัวในระดับเดียวกันกับข้อมูลที่แชร์ตามที่กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับกำหนด
7. หน้าที่ในการร่วมมือ
ในกรณีที่ฝ่ายใดฝ่ายหนึ่งได้รับการติดต่อ, สอบถามหรือร้องเรียนจากผู้มีข้อมูล, หน่วยงานกำกับดูแลหรือบุคคลที่สามอื่น ๆ (“การติดต่อ“) ที่เกี่ยวข้องกับ (ก) การเปิดเผยข้อมูลที่แชร์เพื่อวัตถุประสงค์ที่อนุญาต; หรือ (ข) การประมวลผลข้อมูลที่แชร์โดยฝ่ายอื่น, จะต้องแจ้งฝ่ายอื่นโดยทันทีโดยให้รายละเอียดทั้งหมดเกี่ยวกับเรื่องดังกล่าว และฝ่ายต่าง ๆ จะต้องร่วมมือกันอย่างสมเหตุสมผลและด้วยความสุจริตเพื่อที่จะตอบสนองต่อการติดต่อดังกล่าวตามข้อกำหนดใด ๆ ภายใต้กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ
8. การโอนที่จำกัดจาก EU และ UK
ในกรณีที่การโอนข้อมูลที่แชร์จาก Taboola ไปยังพันธมิตรเป็นการโอนที่จำกัด, Standard Contractual Clausesจะถูกนำมารวมไว้ใน DPA นี้และใช้บังคับดังนี้:
(ก) เมื่อการโอนที่จำกัดเป็นการโอนที่จำกัดของ EU, EU SCCs จะใช้บังคับระหว่าง Taboola (ในฐานะผู้ส่งข้อมูล) และพันธมิตร (ในฐานะผู้รับข้อมูล) ดังนี้:
(i) โมดูลหนึ่งจะใช้บังคับ;
(ii) ในข้อ 7, ข้อกำหนดการเชื่อมต่อที่เลือกจะใช้บังคับ;
(iii) ในข้อ 11, ภาษาที่เลือกจะไม่ใช้บังคับ;
(iv) ในข้อ 17, ตัวเลือก 1 จะใช้บังคับ และ EU SCCs จะอยู่ภายใต้กฎหมายของไอร์แลนด์;
(v) ในข้อ 18(b), ข้อพิพาทจะต้องได้รับการแก้ไขก่อนศาลของไอร์แลนด์;
(vi) ในภาคผนวก I:
(A) ส่วน A และ B จะถือว่ามีการกรอกข้อมูลตามข้อมูลที่ระบุในภาคผนวก A ของ DPA นี้;
(B) ส่วน C จะถือว่ามีการกรอกข้อมูลตามเกณฑ์ที่ระบุในข้อ 13(a) ของ EU SCCs; และ
(vii) ภาคผนวก II จะถือว่ามีการกรอกข้อมูลตามมาตรการรักษาความปลอดภัยที่ระบุในภาคผนวก B ของ DPA นี้.
(ข) เมื่อการโอนที่จำกัดเป็นการโอนที่จำกัดของ UK, UK Addendum จะใช้บังคับระหว่างฝ่ายต่าง ๆ ดังนี้:
(i) EU SCCs ที่กรอกข้อมูลตามที่ระบุข้างต้นจะใช้บังคับระหว่างฝ่ายต่าง ๆ และจะถูกปรับเปลี่ยนโดย UK Addendum (ที่กรอกข้อมูลตามที่ระบุในข้อย่อย (ii) ด้านล่าง);
(ii) ตารางที่ 1 ถึง 3 ของ UK Addendum จะถือว่ามีข้อมูลที่เกี่ยวข้องจาก EU SCCs ที่กรอกข้อมูลตามที่กล่าวไว้ข้างต้น และตัวเลือก “ผู้ส่งออก” และ “ผู้นำเข้า” จะถือว่าถูกเลือกในตารางที่ 4. วันที่เริ่มต้นของ UK Addendum (ตามที่ระบุในตารางที่ 1) จะเป็นวันที่มีผลบังคับใช้ของ DPA นี้.
Partner จะไม่ทำการถ่ายโอนข้อมูลที่จำกัดไปยังบุคคลที่สาม เว้นแต่จะได้ดำเนินการทุกอย่างที่จำเป็นเพื่อให้แน่ใจว่าการถ่ายโอนที่จำกัดนั้นเป็นไปตามกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับและStandard Contractual Clausesที่ได้ลงนามกับ Taboola.
แม้จะมีข้างต้น หาก Partner ได้รับการรับรองภายใต้และปฏิบัติตาม DPF การถ่ายโอนข้อมูลที่แชร์ไปยัง Partner ที่ทำภายใต้ DPF จะไม่ถือเป็นการถ่ายโอนที่จำกัด. ในกรณีเช่นนั้น Partner จะต้องแจ้ง Taboola ทันทีหากไม่ปฏิบัติตามการรับรอง DPF หรือการรับรอง DPF หมดอายุหรือถูกทำให้ไม่ถูกต้อง ในกรณีนี้:
(a) การถ่ายโอนข้อมูลที่แชร์จาก Taboola ไปยัง Partner จะถือเป็นการถ่ายโอนที่จำกัดทันทีและข้อกำหนดการถ่ายโอนที่จำกัดข้างต้นจะมีผลบังคับใช้; และ
(b) Taboola อาจใช้ดุลยพินิจอย่างเด็ดขาดในการเลือกที่จะระงับหรือยุติการถ่ายโอนข้อมูลที่แชร์ไปยัง Partner โดยไม่มีค่าปรับ.
9. การชดเชย
Partner จะต้องปกป้อง Taboola และกรรมการ เจ้าหน้าที่ พนักงาน ตัวแทน และลูกค้า (“Taboola Indemnitees“) จากและต่อข้อเรียกร้อง การเรียกร้อง คดี ความดำเนินการ และการกระทำใด ๆ ที่นำโดยบุคคลที่สามที่เกี่ยวข้องกับข้อกล่าวหาว่า Partner ละเมิด DPA นี้หรือกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ และจะชดเชยให้กับ Taboola Indemnitees สำหรับความเสียหายทั้งหมด การสูญเสีย ค่าใช้จ่าย และค่าใช้จ่าย (รวมถึงค่าทนายความที่สมเหตุสมผล) ที่เกิดขึ้นจากหรือเกิดจากข้อเรียกร้องดังกล่าว.
10. เบ็ดเตล็ด
Partner มีความรับผิดชอบแต่เพียงผู้เดียวต่อการปฏิบัติตามกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับในการประมวลผลข้อมูลที่แชร์.
ในกรณีที่มีการเปลี่ยนแปลงใด ๆ ต่อกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ Taboola อาจแก้ไขและปรับปรุง DPA นี้เมื่อและตามที่จำเป็นเพื่อให้สอดคล้องกับการเปลี่ยนแปลงดังกล่าวในกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ.
โดยมีผลตั้งแต่วันที่มีผลบังคับใช้ของ DPA นี้ การอ้างอิงถึง “ข้อตกลง” ใน DPA นี้หรือข้อตกลงพื้นฐานจะหมายถึงข้อตกลงพื้นฐานที่ได้รับการเสริมด้วย DPA นี้.
ภาคผนวก I
คำอธิบายการแบ่งปันข้อมูล
A. รายชื่อฝ่าย
| Taboola - Data exporter(s) | |
|---|---|
| Name: | See Taboola’s details set out in the Underlying Agreement. |
| Address: | See Taboola’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | privacy@taboola.com |
| Activities relevant to the data transferred under these Clauses: | Disclosure of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
| Partner - Data importer: | |
|---|---|
| Name: | See Partner’s details set out in the Underlying Agreement. |
| Address: | See Partner’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | See Partner’s details set out in the Underlying Agreement. |
| Activities relevant to the data transferred under these Clauses: | Receipt and processing of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
คำอธิบายการโอน
| Description of Transfer | |
|---|---|
| Categories of data subjects whose personal data is transferred | Visitors to digital properties (such as websites and mobile applications) owned by customers of Taboola and who have integrated Taboola’s advertising technologies on those properties. |
| Categories of personal data transferred | Pre-partnership Integration: Unique User IDs from RTB partners Cookie match / sync / table (either Taboola or Partner can host and the non-hosting party must share data points) Bid request includes: Unique ID of the bid request (provided by the exchange) IMP object representing the impression offered Publisher site or app represented App Device Auction Type Maximum Time Currency Blocked Categories Device ID Taboola User ID Calling Tag Partners: URL |
| Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures | Not applicable. |
| The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis) | Continuous for the duration of the Underlying Agreement. |
| Nature of the processing | Processing of Shared Data by Partner for the purposes of real-time bidding in order to buy and sell advertising inventory on digital properties of Taboola’s customers. |
| Purpose(s) of the data transfer and further processing | Partner processes Shared Data, for the following purposes: Serve personalized and behavioral recommendations. Determine whether to bid on a placement and serve personalized recommendations. |
| The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period | For the duration of the Underlying Agreement and as otherwise required by applicable law. |
| For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing | Not applicable. |
หน่วยงานกำกับดูแลที่มีอำนาจ
| Competent Supervisory Authority | |
|---|---|
| Competent supervisory authority where the EU GDPR applies | The competent supervisory authority shall be determined in accordance with Clause 13 of Module 1 of the EU Standard Contractual Clauses. |
| Competent supervisory authority where the UK GDPR applies | The Information Commissioner’s Office |
ภาคผนวก II
มาตรการด้านความปลอดภัย
คำอธิบายของมาตรการทางเทคนิคและการจัดการที่แต่ละฝ่ายดำเนินการ (รวมถึงการรับรองที่เกี่ยวข้อง) เพื่อให้แน่ใจว่ามีระดับความปลอดภัยที่เหมาะสม โดยคำนึงถึงลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการประมวลผล และความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลธรรมดา. Partner แสดงและรับประกันว่ามีมาตรการทางเทคนิคและการจัดการที่เหมาะสมซึ่งมีความคล้ายคลึงกันอย่างมีนัยสำคัญกับมาตรการด้านความปลอดภัยของ Taboola ที่ระบุไว้ด้านล่าง.
มาตรการในการทำให้ข้อมูลส่วนบุคคลเป็นนามแฝงและการเข้ารหัส: Taboola เก็บข้อมูลที่เป็นนามแฝงเท่านั้น ซึ่งหมายความว่าเราไม่รู้ว่าคุณคือใครเพราะเราไม่รู้หรือประมวลผลชื่อ อีเมล หรือข้อมูลที่สามารถระบุตัวตนอื่น ๆ ของผู้ใช้. ข้อมูลผู้ใช้ที่เรารวบรวมรวมถึง แต่ไม่จำกัดเพียง ข้อมูลเกี่ยวกับอุปกรณ์และระบบปฏิบัติการของผู้ใช้ ที่อยู่ IP หน้าเว็บที่ผู้ใช้เข้าถึงภายในเว็บไซต์ของลูกค้า ลิงก์ที่นำผู้ใช้ไปยังเว็บไซต์ของลูกค้า วันที่และเวลาที่ผู้ใช้เข้าถึงเว็บไซต์ของลูกค้า และข้อมูลการท่องเว็บอื่น ๆ. CookieID ถูกทำให้ไม่ระบุชื่อโดยใช้ Bcrypt และที่อยู่ IP ถูกตัดทอน.
มาตรการเพื่อให้มั่นใจในความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความยืดหยุ่นของระบบและบริการการประมวลผลอย่างต่อเนื่อง: Taboola ใช้ระดับความปลอดภัยทางอิเล็กทรอนิกส์หลายระดับ (เช่น ความปลอดภัยที่จุดสิ้นสุด ความปลอดภัยด้านเซิร์ฟเวอร์ การติดตามการตรวจจับ การทดสอบการเจาะระบบเป็นระยะ และการรวบรวมข้อมูลเชิงลึกเพื่อทบทวนเหตุการณ์หลังการตาย).
มาตรการเพื่อให้แน่ใจว่าสามารถกู้คืนความพร้อมใช้งานและการเข้าถึงข้อมูลส่วนบุคคลได้อย่างทันท่วงทีในกรณีที่เกิดเหตุการณ์ทางกายภาพหรือทางเทคนิค: Taboola มีศูนย์ข้อมูล 9 แห่งที่ดำเนินการอยู่ทั่วโลก. ศูนย์ข้อมูลแต่ละแห่งใช้เป็นการจำลองซึ่งกันและกัน ดังนั้นหากแห่งใดแห่งหนึ่งล่ม ข้อมูลสามารถดึงออกจากศูนย์ข้อมูลอื่นได้.
กระบวนการสำหรับการทดสอบ ประเมินผล และประเมินประสิทธิภาพของมาตรการทางเทคนิคและองค์กรอย่างสม่ำเสมอเพื่อให้แน่ใจในความปลอดภัยของการประมวลผล: Taboola มีขั้นตอนที่เข้มงวดในการทดสอบประสิทธิภาพของการควบคุม (ทั้งทางเทคนิคและองค์กร). เรามีการบันทึกและการตรวจสอบระบบอยู่ในสถานที่ การทดสอบ DR อย่างน้อยเดือนละครั้ง การทดสอบการเจาะระบบรายไตรมาส ไฟร์วอลล์ที่ปกป้องเว็บ และ honeypots ที่กระจายอยู่ทั่วเครือข่ายเพื่อตรวจหากิจกรรมที่เป็นอันตราย. นอกจากนี้ เรายังมีโปรแกรมรางวัลที่ช่วยให้เราสามารถตรวจสอบเครือข่ายของเราได้อย่างต่อเนื่อง.
มาตรการสำหรับการระบุและการอนุญาตผู้ใช้: ผู้ใช้แต่ละคนใน Taboola จะถูกเชื่อมโยงกับชื่อผู้ใช้และรหัสผ่านเฉพาะ. การเข้าถึงเครือข่ายภายในของ Taboola จะทำโดยใช้ 2FA โดยใช้การตรวจสอบสิทธิ์ของ Google. ผู้ใช้จะถูกสร้างขึ้นโดยแผนก IT เท่านั้น ในระหว่างกระบวนการเข้าร่วมงาน และเฉพาะหลังจากได้รับรายละเอียดทั้งหมดและสัญญาที่ลงนามจากแผนก HR.
มาตรการสำหรับการปกป้องข้อมูลระหว่างการส่งข้อมูล: Taboola รองรับการส่งข้อมูลใด ๆ ผ่านโปรโตคอลการส่งข้อมูลที่ปลอดภัย (HTTPS และ TLS v1.2 อย่างน้อย). นอกจากนี้ ระบบที่อาจมีข้อมูลส่วนบุคคลจะถูกป้องกันและข้อมูลจะถูกเก็บรักษาในรูปแบบที่ถูกแฮชและไม่ระบุชื่อ.
มาตรการสำหรับการปกป้องข้อมูลระหว่างการจัดเก็บ: ข้อมูลที่ถูกเก็บในฐานข้อมูลของเราจะถูกทำให้ไม่ระบุชื่อและแฮชโดยใช้ Bcrypt. การเข้าถึงฐานข้อมูลจะถูกจำกัดและขึ้นอยู่กับหลักการ ‘ธุรกิจที่จำเป็นต้องรู้’.
มาตรการเพื่อให้แน่ใจในความปลอดภัยทางกายภาพของสถานที่ที่มีการประมวลผลข้อมูลส่วนบุคคล: ศูนย์ข้อมูลทั่วโลกของ Taboola (ในสหรัฐอเมริกา ยุโรป และเอเชีย) แต่ละแห่งมีเซิร์ฟเวอร์ทั้งหมดตั้งอยู่ในตู้ล็อคที่ดูแลเฉพาะสำหรับการใช้งานของ Taboola. ตู้เหล่านี้ได้รับการดูแลโดยบริษัทที่ได้รับการรับรอง SOC2 หรือ Taboola ได้ตรวจสอบมาตรการด้านความปลอดภัยของพวกเขา. นอกจากนี้ การเข้าถึงเซิร์ฟเวอร์ใด ๆ ต้องมีการอนุญาตเป็นลายลักษณ์อักษรและบันทึกไว้ สำนักงานของ Taboola ทุกแห่งยังถูกควบคุม และต้องการให้พนักงานใช้บัตรเข้าถึงเพื่อเข้า นอกจากนี้ มีพนักงานเพียงจำนวนจำกัดที่สามารถเข้าถึงเซิร์ฟเวอร์ของ Taboola และการเข้าถึงใด ๆ ก็ต้องมีการอนุญาตเป็นลายลักษณ์อักษรและบันทึกไว้
มาตรการในการรับรองการบันทึกเหตุการณ์: Taboola ใช้เครื่องมือการตรวจสอบและบันทึกจะถูกเก็บรวบรวมไปยังระบบ SIEM ของเรา ซึ่งจะแจ้งเตือนเราถึงเหตุการณ์ที่น่าสงสัยและยังถูกตรวจสอบโดยทีม NOC
มาตรการในการรับรองการกำหนดค่าระบบ รวมถึงการกำหนดค่าเริ่มต้น: เซิร์ฟเวอร์จะถูกสแกนทั้งสำหรับการเบี่ยงเบนการกำหนดค่าและระดับแพตช์ การรายงานและ/หรือการแจ้งเตือนจะถูกตั้งค่าในทั้งสองและระดับแพตช์ที่เกี่ยวข้องจะได้รับการยืนยัน แพตช์ใหม่จะถูกแจกจ่ายโดยใช้ Puppet การตรวจสอบทางเทคนิคทั้งหมดจะถูกจัดการผ่านแอปพลิเคชัน R&D และได้รับผ่านกระบวนการตรวจสอบอย่างเป็นทางการ (QA) หลังจากการเขียนโค้ดและกระบวนการ CI/CD ได้ถูกนำไปใช้แล้วเช่นกัน
มาตรการสำหรับการกำกับดูแลและการจัดการ IT และความปลอดภัยของ IT ภายใน: Taboola ได้รับการรับรอง ISO/IEC 27001:2013 และ ISO/IEC 27701:2019 Taboola มีนโยบายความปลอดภัยข้อมูลที่ระบุว่าคณะกรรมการบริหารและการจัดการของ Taboola มุ่งมั่นที่จะรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของทรัพย์สินข้อมูลทางกายภาพและอิเล็กทรอนิกส์ทั้งหมดในองค์กรของตน Taboola จัดการฝึกอบรมด้านความปลอดภัยสำหรับพนักงานใหม่ทุกคน การฝึกอบรมการฟิชชิ่งสำหรับพนักงานทุกคนทั่วโลก และการฝึกอบรมด้านความปลอดภัยเป็นประจำสำหรับพนักงานทุกคน และยังมีการจัดเซสชันเฉพาะสำหรับกลุ่ม R&D
มาตรการสำหรับการรับรอง/การประกันของกระบวนการและผลิตภัณฑ์: การตรวจสอบภายในรายไตรมาส / ครึ่งปี / รายปีในหลายกระบวนการและระบบเพื่อยืนยันว่า Taboola ปฏิบัติตามเป้าหมายและมาตรการด้านความปลอดภัยที่กำหนดไว้
มาตรการในการรับรองการลดข้อมูล: Taboola ตั้งใจที่จะจำกัดข้อมูลที่เรารวบรวมเป็นส่วนหนึ่งของหลักการลดข้อมูลทั่วโลกของ Taboola โดยการประมวลผลข้อมูลที่จำเป็นเพียงเล็กน้อยสำหรับวัตถุประสงค์ทางธุรกิจเฉพาะของเรา นอกจากนี้ Taboola ไม่มีความสามารถหรือความจำเป็นทางธุรกิจในการ “ย้อนกลับวิศวกรรม” ข้อมูลใด ๆ ที่ใช้ในอัลกอริธึมของเราเพื่อให้บริการของเรา โดยเฉพาะอย่างยิ่ง ข้อมูลที่ Taboola รวบรวมไม่เคยบ่งบอกถึงตัวตนของผู้ใช้ เนื่องจาก Taboola ไม่ได้รวบรวมหรือประมวลผลข้อมูลเช่น ชื่อผู้ใช้ หมายเลขโทรศัพท์ อีเมล หรือที่อยู่ทางกายภาพ แทนที่จะเป็นเช่นนั้น Taboola จะเก็บเฉพาะตัวระบุที่ไม่ระบุชื่อ ซึ่งเพียงแค่ระบุลักษณะเกี่ยวกับอุปกรณ์ของผู้ใช้ ซึ่งรวมถึงที่อยู่ IP (ซึ่งถูกตัดทอนเมื่อเก็บรวบรวมและสามารถระบุได้เพียงแค่ตำแหน่งรหัสไปรษณีย์ทั่วไปของอุปกรณ์ แต่ไม่เคยเป็นตำแหน่งทางภูมิศาสตร์ที่แม่นยำ) และในบางกรณีที่จำกัด ที่อยู่ email ที่ถูกแฮช (ซึ่งไม่สามารถย้อนกลับได้และไม่สามารถถอดรหัสเพื่อเปิดเผยที่อยู่อีเมลเดิมได้) นอกจากนี้ แม้เมื่อใช้ร่วมกัน ข้อมูลที่เรารวบรวมไม่สามารถผลิตชื่อ หมายเลขโทรศัพท์ อีเมล หรือที่อยู่จริงของบุคคลได้ และวิศวกรของเราไม่ได้ทำงานในทางใดเพื่อบรรลุเป้าหมายนี้ นอกจากนี้ Taboola ยังทำและบันทึกการประเมินผลกระทบต่อความเป็นส่วนตัวเพื่อพยายามลดความเสี่ยงด้านความเป็นส่วนตัวของบริการ กระบวนการ และนโยบายของเรา
มาตรการเพื่อให้แน่ใจว่าคุณภาพข้อมูล: ข้อมูลจะถูกเก็บรวบรวมโดยตรงจากผู้ใช้และผู้ใช้จะมีโอกาสแก้ไขข้อมูลใด ๆ ที่เกี่ยวข้องกับ CookieID ของตนผ่านทาง Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access
มาตรการเพื่อให้แน่ใจว่าการเก็บข้อมูลมีขีดจำกัด: เราจะเก็บข้อมูลผู้ใช้ซึ่งถูกเก็บรวบรวมโดยตรงเพื่อวัตถุประสงค์ในการให้บริการโฆษณาเป็นระยะเวลาไม่เกินสิบสาม (13) เดือนนับจากการมีปฏิสัมพันธ์ครั้งล่าสุดของผู้ใช้กับบริการของเรา (มักจะเป็นระยะเวลาที่สั้นกว่า) หลังจากนั้นเราจะทำให้ข้อมูลไม่สามารถระบุได้โดยการลบตัวระบุเฉพาะหรือการรวมข้อมูล กระบวนการนี้จะทำโดยอัตโนมัติ
มาตรการเพื่อให้แน่ใจว่ามีความรับผิดชอบ: Taboola ทำการตรวจสอบความปลอดภัยหลายครั้งและการทดสอบการเจาะระบบ (แต่ไม่ใช่สำหรับทุกระบบ) Taboola ยังใช้ผู้ให้บริการคลาวด์ที่ได้รับการรับรอง ISO และที่ปฏิบัติตามการรับรองที่เกี่ยวข้องกับคลาวด์อื่น ๆ เพื่อรักษามาตรการป้องกันทางกายภาพของเซิร์ฟเวอร์
มาตรการเพื่ออนุญาตให้มีการพกพาข้อมูลและให้แน่ใจว่ามีการลบข้อมูล: Taboola เกี่ยวกับการกำจัดสื่อเหมือนกันสำหรับสื่อทุกประเภทเนื่องจากอาจมีข้อมูลส่วนบุคคล (PII) สื่อใด ๆ ต้องถูกลบออกอย่างสมบูรณ์ก่อนที่จะนำกลับมาใช้ใหม่หรือกำจัด การกำจัดสื่อใด ๆ จะถูกบันทึก พนักงานได้รับคำแนะนำไม่ให้พิมพ์เอกสารใด ๆ ที่อาจมีข้อมูลส่วนบุคคล