ข้อกำหนดความเป็นส่วนตัวของผู้ลงโฆษณา

ข้อกำหนดและเงื่อนไขความเป็นส่วนตัวของผู้ลงโฆษณาของ TABUOLA

วันที่มีผลบังคับใช้:  14 สิงหาคม 2566

ข้อกำหนดความเป็นส่วนตัวสำหรับผู้ลงโฆษณา Taboola (“ข้อกำหนดความเป็นส่วนตัวสำหรับผู้ลงโฆษณา”) เหล่านี้ใช้กับบริการโฆษณาดิจิทัลของ Taboola เช่น เมื่อ Taboola เผยแพร่เนื้อหาของผู้ลงโฆษณาผ่านแพลตฟอร์มการเผยแพร่Taboola Dynamic Creative Optimization (DCO) หรือ GenAI Landing Pageตามข้อตกลงระหว่าง Taboola และผู้ลงโฆษณา (“ข้อตกลง”) และข้อกำหนดความเป็นส่วนตัวสำหรับผู้ลงโฆษณาเหล่านี้จะถือว่ารวมอยู่ในและเป็นส่วนสำคัญของข้อตกลงดังกล่าว  ข้อกำหนดความเป็นส่วนตัวสำหรับผู้ลงโฆษณาเหล่านี้ระบุถึงบทบาทและความรับผิดชอบของ Taboola และผู้ลงโฆษณาเกี่ยวกับข้อมูลส่วนบุคคล

1. ลำดับความสำคัญ

หากเกิดข้อขัดแย้งระหว่างข้อกำหนดความเป็นส่วนตัวของผู้ลงโฆษณาและข้อตกลงหลัก ข้อกำหนดความเป็นส่วนตัวของผู้ลงโฆษณาจะมีผลบังคับใช้ในส่วนที่ขัดแย้งกัน เว้นแต่ว่าข้อกำหนดที่ขัดแย้งในข้อตกลงหลักจะอ้างอิงถึงข้อกำหนดที่ขัดแย้งในข้อกำหนดความเป็นส่วนตัวของผู้ลงโฆษณาเหล่านี้โดยชัดแจ้ง และระบุว่าข้อกำหนดความเป็นส่วนตัวของผู้ลงโฆษณาจะมีผลเหนือกว่าข้อกำหนดที่ขัดแย้งนั้น

2. คำจำกัดความ

คำศัพท์ที่นิยามไว้ในส่วนนี้จะมีความหมายตามที่ระบุไว้ด้านล่าง และคำศัพท์ที่เกี่ยวข้องจะต้องตีความตามนั้น คำศัพท์ที่ขึ้นต้นด้วยตัวพิมพ์ใหญ่แต่ไม่ได้ให้ความหมายไว้ในข้อกำหนดความเป็นส่วนตัวของผู้ลงโฆษณา จะมีความหมายตามที่กำหนดไว้ในข้อตกลงนี้

3. 3. 1. “กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง” หมายถึง กฎหมายคุ้มครองความเป็นส่วนตัวและข้อมูลส่วนบุคคลของรัฐบาลกลาง ระดับชาติ ระดับรัฐ หรือระดับอื่นๆ ที่บังคับใช้กับการประมวลผลข้อมูลซึ่งเป็นหัวข้อของข้อตกลงและข้อกำหนดสำหรับผู้ลงโฆษณาเหล่านี้ ซึ่งอาจมีการแก้ไขหรือเปลี่ยนแปลงเพิ่มเติมได้เป็นครั้งคราว
      2. “ข้อมูลที่รวบรวม” หมายถึง ข้อมูลส่วนบุคคลที่แต่ละฝ่ายรวบรวมจากเจ้าของข้อมูลบนหรือผ่านเซิร์ฟเวอร์หรือเครือข่ายของตน (รวมถึงข้อมูลที่รวบรวมโดยอัตโนมัติหรือข้อมูลที่เครื่องอ่านได้ เช่น ข้อมูลที่อิงตามประเภทของเบราว์เซอร์และตัวระบุอุปกรณ์) ที่เกี่ยวข้องกับการให้บริการหรือการรับบริการ
      3. “ผู้ควบคุมข้อมูล” หมายถึง: (i) นิติบุคคลที่กำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคล และ (ii) บุคคลใดๆ ที่อยู่ในขอบเขตของคำว่า “ผู้ควบคุมข้อมูล” (หรือคำใดๆ ที่มีความหมายคล้ายคลึงกัน) ตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง
      4. “กฎหมายคุ้มครองความเป็นส่วนตัวของแคลิฟอร์เนีย” หมายถึง พระราชบัญญัติคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งแคลิฟอร์เนีย ปี 2018 (California Consumer Privacy Act of 2018) ประมวลกฎหมายแพ่ง มาตรา 1798.100 และมาตราต่อๆ ไป (“CCPA”) ตามที่แก้ไขเพิ่มเติม (รวมถึงโดยพระราชบัญญัติสิทธิความเป็นส่วนตัวของแคลิฟอร์เนีย) และกฎหมายรองและข้อบังคับที่เกี่ยวข้องทั้งหมด
      5. “เจ้าของข้อมูล” หมายถึง: (i) บุคคลธรรมดาที่ระบุตัวตนได้หรือสามารถระบุตัวตนได้ (และสำหรับวัตถุประสงค์เหล่านี้ บุคคลธรรมดาที่สามารถระบุตัวตนได้คือบุคคลที่สามารถระบุตัวตนได้โดยตรงหรือโดยอ้อม โดยเฉพาะอย่างยิ่งโดยการอ้างอิงถึงตัวระบุ เช่น ชื่อ หมายเลขประจำตัว ข้อมูลตำแหน่งที่ตั้ง ตัวระบุออนไลน์ หรือปัจจัยอย่างน้อยหนึ่งอย่างที่เฉพาะเจาะจงกับอัตลักษณ์ทางกายภาพ สรีรวิทยา พันธุกรรม จิตใจ เศรษฐกิจ วัฒนธรรม หรือสังคมของบุคคลธรรมดานั้น) และ (ii) บุคคลใดๆ ที่อยู่ในขอบเขตของคำว่า “เจ้าของข้อมูล” “ผู้บริโภค” (หรือคำใดๆ ที่มีความหมายคล้ายคลึงกันอย่างมาก) ตามที่กำหนดไว้ภายใต้กฎหมายคุ้มครองข้อมูล
      6. “กฎหมายคุ้มครองข้อมูล EU” หมายถึง: (i) ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป EU (ระเบียบ 2016/679) (“EU GDPR”); (ii) คำสั่งว่าด้วยความเป็นส่วนตัวทางอิเล็กทรอนิกส์ EU (คำสั่ง 2002/58/EC); และ (iii) กฎหมายคุ้มครองข้อมูลระดับชาติใดๆ ที่ตราขึ้นภายใต้หรือตาม (i) หรือ (ii) ซึ่งอาจมีการแก้ไขหรือแทนที่ได้เป็นครั้งคราว
      7. “วัตถุประสงค์ที่อนุญาต” มีความหมายตามที่ระบุไว้ในมาตรา 3
      8. “ข้อมูลส่วนบุคคล” หมายถึง ข้อมูลใดๆ ที่เกี่ยวข้องกับเจ้าของข้อมูล (รวมถึง ตัวระบุเฉพาะของเบราว์เซอร์หรืออุปกรณ์ ในกรณีที่กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องกำหนดไว้) ตามที่ระบุไว้ในภาคผนวก ก ส่วน ข
      9. “กระบวนการ” หมายถึง การดำเนินการใดๆ หรือชุดของการดำเนินการใดๆ ที่กระทำกับข้อมูลส่วนบุคคล หรือชุดของข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ก็ตาม เช่น การรวบรวม การรับ การบันทึก การจัดระเบียบ การจัดโครงสร้าง การใช้งาน การส่ง การเข้าถึง การแบ่งปัน การเปิดเผย การโอน การจัดเก็บ การปรับเปลี่ยนหรือแก้ไข การเรียกค้น การปรึกษา การเผยแพร่ หรือการทำให้พร้อมใช้งานในรูปแบบอื่น การจัดเรียงหรือการรวม การรวมกลุ่ม การอนุมาน การได้มา การวิเคราะห์ การจำกัด การลบ การทำลาย หรือการกำจัด หรือการจัดการข้อมูลส่วนบุคคลในรูปแบบอื่นๆ รวมถึงความหมายที่นิยามไว้ภายใต้กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง
      10. “ผู้ประมวลผล” หมายถึง: (i) นิติบุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุมข้อมูล และ (ii) บุคคลใดๆ ที่อยู่ในขอบเขตของคำว่า “ผู้ประมวลผล” (หรือคำใดๆ ที่มีความหมายคล้ายคลึงกัน) ตามที่กำหนดไว้ในกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง
      11. “การโอนข้อมูลที่ถูกจำกัด” หมายถึง: (i) ในกรณีที่ EU GDPR มีผลบังคับใช้ การโอนข้อมูลส่วนบุคคลจากเขตเศรษฐกิจยุโรป (EEA) ไปยังประเทศนอกเขตเศรษฐกิจยุโรปซึ่งไม่อยู่ภายใต้การพิจารณาความเหมาะสมโดยคณะกรรมาธิการยุโรป (“การโอนข้อมูลที่ถูกจำกัดของ EU”) และ (ii) ในกรณีที่ UK GDPR มีผลบังคับใช้ การโอนข้อมูลส่วนบุคคลจากสหราชอาณาจักรไปยังประเทศอื่นใดที่ไม่ขึ้นอยู่กับหรืออิงตามกฎระเบียบความเหมาะสมตามมาตรา 17A ของพระราชบัญญัติคุ้มครองข้อมูลของสหราชอาณาจักรปี 2018 (“การโอนข้อมูลที่ถูกจำกัด UK”)
      12. “การขาย” และ “จำหน่าย” หมายถึง การแลกเปลี่ยนข้อมูลส่วนบุคคลเพื่อแลกกับเงินหรือสิ่งตอบแทนที่มีมูลค่าอื่น ๆ และรวมถึงความหมายที่นิยามไว้ในกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องด้วย
      13. “บริการ”หมายถึง บริการที่ Taboola ให้บริการภายใต้ข้อตกลงกับผู้ลงโฆษณา
      14. “เหตุการณ์ด้านความปลอดภัย” หมายถึง การละเมิดความปลอดภัยที่นำไปสู่การทำลาย การสูญหาย การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตโดยไม่ตั้งใจหรือโดยผิดกฎหมาย
      15. “Standard Contractual Clauses” หมายถึง: (i) ในกรณีที่ EU GDPR มีผลบังคับใช้ ข้อกำหนดสัญญาที่แนบมากับมติการดำเนินการของคณะกรรมาธิการยุโรป 2021/914 ลงวันที่ 4 มิถุนายน 2021 ว่าด้วยข้อกำหนดสัญญามาตรฐานสำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามตามระเบียบ (EU) 2016/679 ของรัฐสภายุโรปและสภา (“EU SCCs”); และ (ii) ในกรณีที่ UK GDPR มีผลบังคับใช้ “ส่วนเพิ่มเติมการถ่ายโอนข้อมูลระหว่างประเทศสำหรับ Standard Contractual Clauses ของคณะกรรมาธิการ EU ” ที่ออกโดยคณะกรรมาธิการข้อมูลภายใต้มาตรา 119A(1) ของ DPA 2018 (“UK Addendum”)
      16. “บุคคลที่สาม” หมายถึง ธุรกิจที่ทำหน้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล และไม่ใช่ธุรกิจที่เจ้าของข้อมูลส่วนบุคคลของตนได้ติดต่อด้วยโดยเจตนา คำนี้รวมถึงความหมายที่นิยามไว้ภายใต้กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องด้วย
      17. “กฎหมายคุ้มครองข้อมูล UK” หมายถึง: (i) พระราชบัญญัติคุ้มครองข้อมูล UK พ.ศ. 2561 (ii) UK GDPR (ตามที่กำหนดไว้ในมาตรา 3(10) ของพระราชบัญญัติคุ้มครองข้อมูล UK พ.ศ. 2561) (“UK GDPR”) (iii) ข้อบังคับว่าด้วยความเป็นส่วนตัวและการสื่อสารทางอิเล็กทรอนิกส์ (EC Directive) UK พ.ศ. 2546 และ (iv) กฎหมายอื่นๆ UK ที่ตราขึ้นภายใต้หรือตาม (i), (ii) หรือ (iii) ซึ่งอาจมีการแก้ไขหรือแทนที่ได้เป็นครั้งคราว

3. ข้อจำกัดด้านวัตถุประสงค์

แต่ละฝ่ายจะต้องประมวลผลข้อมูลที่รวบรวมได้ซึ่งตนรวบรวมหรือได้รับจากอีกฝ่ายหนึ่งเพื่อวัตถุประสงค์ที่ระบุไว้ในภาคผนวก ก ส่วน ข (“วัตถุประสงค์ที่อนุญาต”)  ผู้ลงโฆษณายินยอมให้ Taboola ประมวลผลข้อมูลที่รวบรวมได้ตามที่ได้รับอนุญาตจากนโยบายความเป็นส่วนตัว Taboola (ซึ่งเพื่อความชัดเจน นโยบายนี้ถือเป็นวัตถุประสงค์ที่ได้รับอนุญาตสำหรับ Taboola เช่นกัน)

4. ความสัมพันธ์ของคู่กรณี

ในกรณีที่ข้อมูลที่รวบรวมได้นั้นเข้าข่ายเป็นข้อมูลส่วนบุคคล หรือมีข้อมูลส่วนบุคคลอยู่ภายใต้กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง แต่ละฝ่ายจะต้องประมวลผลข้อมูลที่รวบรวมได้หรือได้รับจากอีกฝ่ายในฐานะผู้ควบคุมข้อมูล (ซึ่งอาจรวมถึงในฐานะบุคคลที่สาม ในกรณีที่กฎหมายคุ้มครองความเป็นส่วนตัวของรัฐแคลิฟอร์เนียมีผลบังคับใช้)  การเปิดเผยข้อมูลที่รวบรวมไว้หรือข้อมูลส่วนบุคคล (ไม่ว่าจะโดยการโอนย้าย หรือผ่านการที่ฝ่ายหนึ่งเปิดเผยข้อมูลให้แก่ฝ่ายอื่น) จากฝ่ายหนึ่งไปยังอีกฝ่ายหนึ่ง ถือเป็นการเปิดเผยข้อมูลให้แก่บุคคลที่สาม

1. 1. 1. หากกฎหมายคุ้มครองข้อมูลของสหรัฐอเมริกาหรือรัฐใดรัฐหนึ่งของสหรัฐอเมริกา มีผลบังคับใช้กับข้อมูลที่รวบรวมได้ รวมถึงแต่ไม่จำกัดเพียงกฎหมายความเป็นส่วนตัวของรัฐแคลิฟอร์เนีย ในกรณีที่ Realize Pixels (เดิมชื่อ “Taboola Pixels”) ซึ่งใช้ในการเชื่อมต่อกับบริการต่างๆ ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับผู้เยี่ยมชม Taboola จะทำหน้าที่เป็นบุคคลที่สามสำหรับผู้โฆษณาสำหรับข้อมูลส่วนบุคคลดังกล่าว Taboola จะประมวลผลข้อมูลส่วนบุคคลดังกล่าวเพื่อวัตถุประสงค์ที่ได้รับอนุญาตเท่านั้น ข้อมูลส่วนบุคคลดังกล่าวจะถูกส่งต่อให้ Taboola เฉพาะเพื่อวัตถุประสงค์ที่ได้รับอนุญาตเท่านั้น  Taboola จะให้การคุ้มครองความเป็นส่วนตัวในระดับเดียวกับที่กฎหมายคุ้มครองข้อมูลของสหรัฐอเมริกากำหนดไว้สำหรับธุรกิจต่างๆ รวมถึงกฎหมายคุ้มครองความเป็นส่วนตัวของรัฐแคลิฟอร์เนียหากมีผลบังคับใช้ หาก Taboola พิจารณาแล้วว่าไม่สามารถปฏิบัติตามข้อผูกพันภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้องได้อีกต่อไป Taboola จะแจ้งให้ผู้ลงโฆษณาทราบภายในระยะเวลาที่กฎหมายกำหนด เมื่อแจ้งให้ Taboola ทราบแล้ว ผู้ลงโฆษณามีสิทธิ์ที่จะดำเนินการตามขั้นตอนที่เหมาะสมและสมเหตุสมผลเพื่อหยุดยั้งและแก้ไขการใช้ข้อมูลส่วนบุคคลที่ไม่ได้รับอนุญาตซึ่งผู้ลงโฆษณาได้มอบให้แก่ Taboola

5. การบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล

คู่สัญญาทั้งสองฝ่ายรับทราบว่า ข้อมูลที่รวบรวมได้ทั้งหมดหรือบางส่วนอาจเข้าข่ายเป็นข้อมูลส่วนบุคคล หรือรวมถึงข้อมูลส่วนบุคคล ดังนั้น กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องอาจมีผลบังคับใช้กับการประมวลผลข้อมูลที่รวบรวมได้ของแต่ละฝ่าย  ในกรณีดังกล่าว และอยู่ภายใต้มาตรา 7 แต่ละฝ่ายจะต้องรับผิดชอบเป็นการส่วนตัวในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง รวมถึงข้อกำหนดที่เกี่ยวข้องใดๆ ในการ: (i) ให้ความโปร่งใสแก่เจ้าของข้อมูล (ii) มีคำยินยอมหรือพื้นฐานทางกฎหมายอื่นสำหรับการประมวลผล และ (iii) จัดให้มีจุดติดต่อที่เจ้าของข้อมูลสามารถใช้สิทธิในการคุ้มครองข้อมูลของตนได้

6. การโอนเงินระหว่างประเทศ

ในกรณีที่ฝ่ายใดฝ่ายหนึ่งทำการโอนข้อมูลที่รวบรวมไว้แบบจำกัดไปยังอีกฝ่ายหนึ่ง บทบัญญัติในภาคผนวก C จะมีผลบังคับใช้

7. ความโปร่งใสสำหรับผู้เข้าชมบนหน้า Landing Page ของผู้ลงโฆษณา

a. Taboola ใช้ Realize Pixels ในการให้บริการต่างๆ  แม้จะมีข้อกำหนดในมาตรา 5 ก็ตาม ในกรณีที่ Taboola เก็บรวบรวมข้อมูลจากทรัพย์สินดิจิทัลของผู้ลงโฆษณา (เช่น เว็บไซต์ แอปพลิเคชันมือถือ หรืออื่นๆ) โดยใช้ Realize Pixels ผู้ลงโฆษณาจะต้อง: (i) แจ้งให้เจ้าของข้อมูลทราบถึงการใช้ Realize Pixels ของ Taboola เพื่อเก็บรวบรวมข้อมูลจากทรัพย์สินดิจิทัลของผู้ลงโฆษณาเพื่อวัตถุประสงค์ที่ได้รับอนุญาต และ (ii) ขอความยินยอมจากเจ้าของข้อมูล (และเมื่อ Taboola ร้องขอ ให้แสดงหลักฐานที่เหมาะสม) สำหรับการใช้ Realize Pixels เพื่อวัตถุประสงค์ที่ได้รับอนุญาต ในแต่ละกรณีให้เป็นไปตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง  ภาระผูกพันของผู้ลงโฆษณาในส่วนนี้ ได้แก่ การระบุถึง Taboola และการใช้ Realize Pixels เพื่อวัตถุประสงค์ที่ได้รับอนุญาตอย่างชัดเจนในประกาศความโปร่งใสและคำขอความยินยอมที่ผู้ลงโฆษณาส่งให้แก่เจ้าของข้อมูล ตลอดจนข้อมูลอื่นใดที่กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องกำหนด เพื่อให้ Taboola สามารถให้บริการได้อย่างถูกต้องตามกฎหมายผ่านทางแพลตฟอร์มดิจิทัลดังกล่าว และประมวลผลข้อมูลที่รวบรวมและข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่ได้รับอนุญาต ในกรณีที่ผู้ลงโฆษณาได้รับบริการ Gen AI Landing Page ของ Taboola Taboola จะต้องแจ้งให้ผู้ใช้ทราบอย่างโปร่งใสและขอความยินยอมจากผู้ใช้

b. เมื่อได้รับการร้องขอเป็นลายลักษณ์อักษร Taboola จะให้ข้อมูลที่จำเป็นเกี่ยวกับ Realize Pixels และการประมวลผลข้อมูลที่รวบรวมโดย Taboola ผ่านทางแพลตฟอร์มดิจิทัลของผู้ลงโฆษณาแก่ผู้ลงโฆษณา เพื่อให้ผู้ลงโฆษณามั่นใจได้ว่ากลไกการแจ้งและการให้ความยินยอมของตนจะเป็นไปตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง  ผู้ลงโฆษณาจะไม่ทำการติดตั้ง Realize Pixels ใดๆ เว้นแต่จะมีการให้ข้อมูลที่โปร่งใสอย่างที่จำเป็น และได้รับความยินยอมที่จำเป็นตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องแล้ว

c. นอกจากนี้ ผู้โฆษณาจะต้องให้ข้อมูลเพิ่มเติมแก่เจ้าของข้อมูลเกี่ยวกับการใช้สิทธิในการคุ้มครองข้อมูลภายใต้กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง และจัดให้มีช่องทางการติดต่อเพื่อให้เจ้าของข้อมูลสามารถติดต่อเพื่อใช้สิทธิของตนได้ ผู้ลงโฆษณาจะต้องแจ้งให้ Taboola ทราบโดยทันทีหากได้รับคำขอเกี่ยวกับสิทธิในการคุ้มครองข้อมูลใดๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลที่รวบรวมโดย Taboola ในฐานะผู้ควบคุมข้อมูล เพื่อให้ Taboola สามารถดำเนินการตามคำขอได้ตามภาระผูกพันภายใต้กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง

8. พันธมิตรด้านการระบุแหล่งที่มา

หาก Taboola ส่งต่อข้อมูลส่วนบุคคลตามคำขอของผู้ลงโฆษณาไปยังพันธมิตรการระบุแหล่งที่มาของผู้ลงโฆษณาหรือไปยังผู้ลงโฆษณาเพื่อวัตถุประสงค์ในการระบุแหล่งที่มา ผู้ลงโฆษณารับรองและยืนยันว่า: (i) พันธมิตรการระบุแหล่งที่มาของตนเป็นผู้ประมวลผลในนามของผู้ลงโฆษณา; (ii) เว้นแต่จะมีการเก็บรวบรวมโดยอิสระ ผู้ลงโฆษณาและพันธมิตรการระบุแหล่งที่มาจะใช้ข้อมูลส่วนบุคคลดังกล่าวเพื่อวัตถุประสงค์ในการระบุแหล่งที่มาเท่านั้น; และ (iii) พันธมิตรการระบุแหล่งที่มาและผู้ลงโฆษณาจะลบข้อมูลส่วนบุคคลที่ส่งต่อทั้งหมดภายในสามสิบ (30) วันนับจากวันที่ระบุผู้เข้าชมครั้งสุดท้ายว่ามาจาก Taboola

9. ความปลอดภัย.

แต่ละฝ่ายจะต้องนำมาตรการรักษาความปลอดภัยทางเทคนิคและองค์กรที่เหมาะสมมาใช้เพื่อปกป้องข้อมูลที่รวบรวมไว้และ/หรือข้อมูลส่วนบุคคลที่ตนประมวลผลจากเหตุการณ์ด้านความปลอดภัย  มาตรการเหล่านี้จะรวมถึงมาตรการที่ระบุไว้ในภาคผนวก บี

10. เหตุการณ์ด้านความปลอดภัย

หากฝ่ายใดฝ่ายหนึ่งประสบเหตุการณ์ด้านความปลอดภัยเกี่ยวกับข้อมูลที่รวบรวมและ/หรือข้อมูลส่วนบุคคลที่ตนประมวลผล ซึ่งเป็นไปตามข้อตกลงและข้อกำหนดความเป็นส่วนตัวของผู้โฆษณาเหล่านี้ ฝ่ายนั้นจะต้อง: (i) รับผิดชอบในการปฏิบัติตาม (ด้วยค่าใช้จ่ายของตนเอง) ภาระผูกพันในการรายงานใดๆ ที่บังคับใช้กับตนภายใต้กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องต่อหน่วยงานคุ้มครองข้อมูลและ/หรือเจ้าของข้อมูลที่ได้รับผลกระทบ (ii) แจ้งให้ฝ่ายอื่นทราบโดยไม่ชักช้า โดยให้ข้อมูลเกี่ยวกับเหตุการณ์ด้านความปลอดภัยตามที่ฝ่ายอื่นร้องขออย่างสมเหตุสมผล หรือตามที่ฝ่ายอื่นต้องการเพื่อพิจารณาว่าตนอาจมีภาระผูกพันในการรายงานภายใต้กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องเกี่ยวกับเหตุการณ์ด้านความปลอดภัยหรือไม่ และ (iii) ดำเนินการและมาตรการทั้งหมดโดยไม่ชักช้าตามความเหมาะสมเพื่อแก้ไขและ/หรือบรรเทาผลกระทบของเหตุการณ์ด้านความปลอดภัย

11. การประเมินผลกระทบด้านความเป็นส่วนตัว (DPIA) 

ในกรณีที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่บังคับใช้ซึ่งแต่ละฝ่ายต้องปฏิบัติตามกำหนดไว้ และในขอบเขตที่กฎหมายดังกล่าวระบุไว้ แต่ละฝ่ายจะต้องดำเนินการประเมินผลกระทบด้านการคุ้มครองข้อมูลเกี่ยวกับการประมวลผลข้อมูลที่รวบรวมได้และ/หรือข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่ได้รับอนุญาต และ/หรือปรึกษาหารือกับหน่วยงานคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง หากจำเป็น  แต่ละฝ่ายจะต้องให้ความร่วมมือและข้อมูลอย่างสมเหตุสมผลตามที่อีกฝ่ายร้องขอ หากจำเป็นเพื่อให้ฝ่ายอีกฝ่ายสามารถดำเนินการประเมินผลกระทบด้านการคุ้มครองข้อมูลและ/หรือปรึกษาหารือกับหน่วยงานคุ้มครองข้อมูลที่เกี่ยวข้องตามภาระผูกพันของอีกฝ่ายภายใต้มาตรา 11 นี้

 

ภาคผนวก ก

คำอธิบายเกี่ยวกับการประมวลผล

ก. รายชื่อคู่กรณี

แต่ละฝ่ายจะต้องมีคุณสมบัติดังนี้:

3. 3. • ผู้ควบคุมข้อมูล (และผู้ส่งออกข้อมูล) ของข้อมูลที่รวบรวมได้ซึ่งเปิดเผยหรือทำให้พร้อมใช้งานแก่ฝ่ายอื่น และ
      • ผู้ควบคุมข้อมูล (และผู้นำเข้าข้อมูล) ของข้อมูลที่รวบรวมได้ ซึ่งได้รับจาก หรือได้รับอนุญาตให้เข้าถึงได้จากอีกฝ่ายหนึ่ง

รายละเอียดของแต่ละฝ่ายมีดังต่อไปนี้

ชื่อ: โปรดดูรายละเอียดของผู้ลงโฆษณาที่ระบุไว้ในข้อตกลง

ที่อยู่: โปรดดูรายละเอียดของผู้ลงโฆษณาที่ระบุไว้ในข้อตกลง

ชื่อ ตำแหน่ง และรายละเอียดการติดต่อของผู้ติดต่อ: โปรดดูรายละเอียดของผู้ลงโฆษณาที่ระบุไว้ในข้อตกลง หรือที่ตกลงกันเป็นลายลักษณ์อักษรระหว่างทั้งสองฝ่าย

กิจกรรมที่เกี่ยวข้องกับการถ่ายโอนข้อมูลภายใต้ข้อตกลงเหล่านี้: การรับบริการตามที่ระบุไว้ในข้อตกลง

ลายเซ็นและวันที่: ภาคผนวก ก. นี้จะถือว่ามีผลสมบูรณ์เมื่อผู้ลงโฆษณายอมรับข้อกำหนดและเงื่อนไขความเป็นส่วนตัวของผู้ลงโฆษณาเหล่านี้แล้ว

บทบาท (ตัวควบคุม/ตัวประมวลผล): ตัวควบคุม (ในกรณีที่เป็นผู้ส่งออกข้อมูล) และตัวควบคุม (ในกรณีที่เป็นผู้นำเข้าข้อมูล)

 

ชื่อ: โปรดดูรายละเอียดของ Taboola ที่ระบุไว้ในบทนำของข้อตกลง

ที่อยู่: โปรดดูรายละเอียดของ Taboola ที่ระบุไว้ในบทนำของข้อตกลง

ชื่อ ตำแหน่ง และรายละเอียดการติดต่อของผู้ติดต่อ: ติดต่อทีมงานด้านความเป็นส่วนตัวของ Taboola ได้ที่ taboola.com

กิจกรรมที่เกี่ยวข้องกับการถ่ายโอนข้อมูลภายใต้ข้อตกลงเหล่านี้: การให้บริการตามที่ระบุไว้ในข้อตกลง

ลายเซ็นและวันที่: ภาคผนวก A นี้จะถือว่ามีผลสมบูรณ์เมื่อ Taboola ยอมรับข้อกำหนดความเป็นส่วนตัวของผู้ลงโฆษณาเหล่านี้แล้ว

บทบาท (ตัวควบคุม/ตัวประมวลผล): ตัวควบคุม (ในกรณีที่เป็นผู้ส่งออกข้อมูล) และตัวควบคุม (ในกรณีที่เป็นผู้นำเข้าข้อมูล)

 

ข. คำอธิบายเกี่ยวกับการประมวลผลและการโอนย้าย

ประเภทของเจ้าของข้อมูลส่วนบุคคลที่มีการประมวลผลและ/หรือถ่ายโอน: ผู้ใช้

ประเภทของข้อมูลส่วนบุคคลที่ได้รับการประมวลผลและ/หรือถ่ายโอน:

ข้อมูลอุปกรณ์: ระบบปฏิบัติการ, ประเภทเบราว์เซอร์, เวอร์ชันเบราว์เซอร์, ที่อยู่ IP (ถูกตัดทอนภายใน 30 วัน) ของวันที่เก็บรวบรวมข้อมูล, รหัสไปรษณีย์ (ได้มาจากที่อยู่ IP), รหัสผู้ใช้ Taboola ที่เข้ารหัส, อีเมลที่เข้ารหัส, การเข้าชมหน้าเว็บครั้งแรกและครั้งต่อๆ ไปบนเว็บไซต์ของผู้ลงโฆษณา, เพศของผู้ใช้ (อนุมานจากความสนใจ), สัญญาณการมีส่วนร่วม (เวลาที่ใช้บนเว็บไซต์, ความลึกของการเลื่อน, ความลึกของเซสชัน), ข้อมูลการแปลง

ข้อมูลเกี่ยวกับทรัพย์สินดิจิทัลที่ผู้ใช้เข้าชม: URL ของหน้าที่เข้าชม หรือเว็บไซต์ที่อ้างอิง

• ในขอบเขตที่ DCO เป็นส่วนหนึ่งของบริการ Taboola จะประมวลผลข้อมูลต่อไปนี้ด้วย:

ข้อมูลอุปกรณ์: ข้อมูลคุกกี้ Taboola หรือรหัสอุปกรณ์ (ขึ้นอยู่กับแพลตฟอร์ม), ที่อยู่ IP ที่ถูกปิดบัง, รหัสคลิก Taboola , สตริงตัวแทนผู้ใช้, ประเทศ, ประเภทผู้ใช้ รวมถึงข้อมูลผู้ใช้ใหม่/ผู้ใช้ที่กลับมาใช้ (หากผู้โฆษณาแชร์ไว้), ข้อมูลผลิตภัณฑ์ (เชื่อมโยงกับ URL เฉพาะ) รวมถึงราคาและความพร้อมใช้งานจากหน้าสินค้า

ข้อมูลกิจกรรม:สกุลเงิน, รหัสสินค้า, รหัสคำสั่งซื้อ, รหัสหมวดหมู่, หมวดหมู่, คำค้นหา, รายละเอียดตะกร้าสินค้า, มูลค่า และรหัสแคมเปญ

ข้อมูลที่มีความละเอียดอ่อนที่ถูกถ่ายโอน (ถ้ามี) และข้อจำกัดหรือมาตรการป้องกันที่ใช้ซึ่งคำนึงถึงลักษณะของข้อมูลและความเสี่ยงที่เกี่ยวข้องอย่างครบถ้วน เช่น การจำกัดวัตถุประสงค์อย่างเข้มงวด การจำกัดการเข้าถึง (รวมถึงการเข้าถึงเฉพาะสำหรับเจ้าหน้าที่ที่ได้รับการฝึกอบรมเฉพาะทาง) การบันทึกการเข้าถึงข้อมูล ข้อจำกัดในการถ่ายโอนต่อ หรือมาตรการรักษาความปลอดภัยเพิ่มเติม: ไม่เกี่ยวข้อง

ความถี่ในการประมวลผลและ/หรือการถ่ายโอนข้อมูล (เช่น ข้อมูลถูกประมวลผลและ/หรือถ่ายโอนแบบครั้งเดียวหรือแบบต่อเนื่อง): ต่อเนื่องตลอดระยะเวลาของข้อตกลง

ลักษณะของการประมวลผล: การประมวลผลข้อมูลส่วนบุคคลที่จำเป็นสำหรับการให้บริการตามที่ระบุไว้ในข้อตกลง

วัตถุประสงค์ของการประมวลผล/ถ่ายโอนข้อมูลและการประมวลผลเพิ่มเติม: การให้บริการตามที่ระบุไว้ในข้อตกลง เพื่อความชัดเจน วัตถุประสงค์ที่ได้รับอนุญาต ได้แก่: (i) การจัดเก็บและ/หรือการเข้าถึงข้อมูลบนอุปกรณ์; (ii) การเลือกโฆษณาพื้นฐาน; (iii) การสร้างโปรไฟล์โฆษณาแบบส่วนบุคคล; (iv) การเลือกโฆษณาแบบส่วนบุคคล; (v) การสร้างโปรไฟล์เนื้อหาแบบส่วนบุคคล; (vi) การเลือกเนื้อหาแบบส่วนบุคคล; (vii) การวัดประสิทธิภาพของโฆษณา; (viii) การวัดประสิทธิภาพของเนื้อหา; (ix) การพัฒนาและปรับปรุงผลิตภัณฑ์; (x) การรับรองความปลอดภัย การป้องกันการฉ้อโกง และการแก้ไขข้อผิดพลาด; (xi) การส่งมอบโฆษณาหรือเนื้อหาทางเทคนิค; (xii) การจับคู่และการรวมแหล่งข้อมูลออฟไลน์; (xiii) การเชื่อมโยงอุปกรณ์ต่างๆ; (xiv) การรับและใช้ลักษณะเฉพาะของอุปกรณ์ที่ส่งมาโดยอัตโนมัติเพื่อการระบุตัวตน; (xv) การใช้ข้อมูลที่จำกัดเพื่อเลือกเนื้อหา และ (xvi)การทำความเข้าใจกลุ่มเป้าหมายผ่านทางสถิติ

ระยะเวลาที่จะเก็บรักษาข้อมูลส่วนบุคคล หรือหากไม่สามารถระบุได้ ให้ระบุเกณฑ์ที่ใช้ในการกำหนดระยะเวลานั้น:

3. 3. • Taboola: ข้อมูลดิบจะถูกจัดเก็บไว้ไม่เกิน 13 เดือน
      • ผู้ลงโฆษณา: ตราบเท่าที่จำเป็นสำหรับการให้บริการ หรือตามที่ระบุไว้เป็นอย่างอื่นในข้อตกลง

สำหรับการโอนข้อมูลไปยังผู้ประมวลผล (ย่อย) โปรดระบุหัวข้อเรื่อง ลักษณะ และระยะเวลาในการประมวลผลด้วย: ไม่เกี่ยวข้อง

 

ค. หน่วยงานกำกับดูแลที่มีอำนาจ

หน่วยงานกำกับดูแลที่มีอำนาจในกรณีที่ EU GDPR มีผลบังคับใช้: หน่วยงานกำกับดูแลที่มีอำนาจสำหรับแต่ละฝ่ายมีรายละเอียดดังต่อไปนี้:

3. 3. • Taboola: หน่วยงานกำกับดูแลที่มีอำนาจหน้าที่จะต้องได้รับการกำหนดตามมาตรา 13 ของข้อตกลงมาตรฐานการ EU SCCs)
      • ผู้ลงโฆษณา: หน่วยงานกำกับดูแลที่มีอำนาจหน้าที่จะต้องได้รับการกำหนดตามมาตรา 13 ของข้อตกลงมาตรฐานการ EU SCCs)

หน่วยงานกำกับดูแลที่มีอำนาจหน้าที่ในกรณีที่ UK GDPR มีผลบังคับใช้: สำนักงานคณะกรรมการข้อมูลข่าวสาร

 

ภาคผนวก บี

มาตรการรักษาความปลอดภัย

คำอธิบายเกี่ยวกับมาตรการทางเทคนิคและองค์กรที่แต่ละฝ่ายนำมาใช้ (รวมถึงใบรับรองที่เกี่ยวข้อง) เพื่อให้มั่นใจถึงระดับความปลอดภัยที่เหมาะสม โดยคำนึงถึงลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการประมวลผล ตลอดจนความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลธรรมดา

มาตรการการปกปิดตัวตนและการเข้ารหัสข้อมูลส่วนบุคคล: Taboola เก็บรวบรวมเฉพาะข้อมูลที่ไม่ระบุตัวตน ซึ่งหมายความว่าเราไม่ทราบว่าคุณเป็นใคร เนื่องจากเราไม่ทราบหรือประมวลผลชื่อ ที่อยู่อีเมล หรือข้อมูลที่สามารถระบุตัวตนอื่นๆ ของผู้ใช้ ข้อมูลผู้ใช้ที่เราเก็บรวบรวมนั้นรวมถึงแต่ไม่จำกัดเพียง ข้อมูลเกี่ยวกับอุปกรณ์และระบบปฏิบัติการของผู้ใช้ ที่อยู่ IP หน้าเว็บที่ผู้ใช้เข้าชมภายในเว็บไซต์ของลูกค้า ลิงก์ที่นำผู้ใช้ไปยังเว็บไซต์ของลูกค้า วันและเวลาที่ผู้ใช้เข้าชมเว็บไซต์ของลูกค้า และข้อมูลการท่องเว็บอื่นๆ CookieID จะถูกปกปิดตัวตนโดยใช้ Bcrypt และที่อยู่ IP จะถูกตัดทอน

มาตรการเพื่อรับประกันการรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความยืดหยุ่นของระบบและบริการประมวลผลอย่างต่อเนื่อง: Taboola ใช้ระบบรักษาความปลอดภัยทางอิเล็กทรอนิกส์หลายระดับ (เช่น การรักษาความปลอดภัยที่อุปกรณ์ปลายทาง การรักษาความปลอดภัยฝั่งเซิร์ฟเวอร์ การติดตามการตรวจจับ การทดสอบการเจาะระบบเป็นระยะ และการรวบรวมข้อมูลเชิงลึกเพื่อตรวจสอบเหตุการณ์หลังเกิดเหตุ)

มาตรการเพื่อให้มั่นใจได้ว่าสามารถกู้คืนความพร้อมใช้งานและการเข้าถึงข้อมูลส่วนบุคคลได้อย่างทันท่วงทีในกรณีที่เกิดเหตุการณ์ทางกายภาพหรือทางเทคนิค: Taboola มีศูนย์ข้อมูล 9 แห่งที่เปิดให้บริการทั่วโลก ศูนย์ข้อมูลแต่ละแห่งถูกใช้เป็นสำเนาของกันและกัน ดังนั้นหากศูนย์ข้อมูลแห่งใดแห่งหนึ่งล่ม ข้อมูลก็สามารถดึงออกมาจากศูนย์ข้อมูลอื่นได้

กระบวนการสำหรับการทดสอบ ประเมิน และตรวจสอบประสิทธิภาพของมาตรการทางเทคนิคและองค์กรอย่างสม่ำเสมอ เพื่อให้มั่นใจในความปลอดภัยของการประมวลผล: Taboola มีกระบวนการที่เข้มงวดในการทดสอบประสิทธิภาพของการควบคุม (ทั้งด้านเทคนิคและด้านองค์กร) เรามีระบบบันทึกและตรวจสอบการทำงาน การทดสอบการกู้คืนระบบ (DR) ทุกเดือน (อย่างน้อย) การทดสอบการเจาะระบบทุกไตรมาส ไฟร์วอลล์ที่ปกป้องเว็บ และฮันนี่พอตที่กระจายอยู่ทั่วเครือข่ายเพื่อตรวจจับกิจกรรมที่เป็นอันตรายใดๆ นอกจากนี้ เรายังมีโปรแกรมให้รางวัลซึ่งช่วยให้เราสามารถตรวจสอบเครือข่ายของเราได้อย่างต่อเนื่อง

มาตรการสำหรับการระบุตัวตนและการอนุญาตผู้ใช้: ผู้ใช้ทุกคนใน Taboola จะมีชื่อผู้ใช้และรหัสผ่านเฉพาะของตนเอง การเข้าถึงเครือข่ายภายในของ Taboola ทุกครั้งจะใช้การยืนยันตัวตนแบบสองขั้นตอน (2FA) โดยใช้การตรวจสอบสิทธิ์ของ Google ฝ่ายไอทีจะสร้างบัญชีผู้ใช้ให้เท่านั้น ในระหว่างกระบวนการปฐมนิเทศ และหลังจากได้รับรายละเอียดครบถ้วนและสัญญาที่ลงนามแล้วจากฝ่ายทรัพยากรบุคคล

มาตรการในการปกป้องข้อมูลระหว่างการส่ง: Taboola รองรับการส่งข้อมูลทุกประเภทผ่านโปรโตคอลการส่งข้อมูลที่ปลอดภัย (อย่างน้อยที่สุดคือ HTTPS และ TLS v1.2) นอกจากนี้ ระบบที่อาจมีข้อมูลส่วนบุคคลจะได้รับการรักษาความปลอดภัย และข้อมูลจะถูกเข้ารหัสและทำให้เป็นนิรนาม

มาตรการในการปกป้องข้อมูลระหว่างการจัดเก็บ: ข้อมูลที่จัดเก็บอยู่ในฐานข้อมูลของเราจะถูกทำให้เป็นนิรนามและเข้ารหัสแบบแฮชโดยใช้ Bcrypt การเข้าถึงฐานข้อมูลถูกจำกัดให้น้อยที่สุดและยึดหลัก “ความจำเป็นทางธุรกิจที่จะต้องรู้” เป็นสำคัญ

มาตรการเพื่อรับรองความปลอดภัยทางกายภาพของสถานที่ที่มีการประมวลผลข้อมูลส่วนบุคคล: ศูนย์ข้อมูลทั่วโลกของ Taboola (ในสหรัฐอเมริกา ยุโรป และเอเชีย) แต่ละแห่งมีเซิร์ฟเวอร์ทั้งหมดตั้งอยู่ในตู้ล็อกที่จัดเตรียมไว้สำหรับการใช้งานของ Taboola โดยเฉพาะ ตู้เหล่านี้ได้รับการดูแลโดยบริษัทที่ได้ SOC2-certified หรือ Taboola ได้ตรวจสอบมาตรการรักษาความปลอดภัยของพวกเขาแล้ว นอกจากนี้ การเข้าถึงเซิร์ฟเวอร์ใดๆ จำเป็นต้องได้รับอนุญาตเป็นลายลักษณ์อักษรและบันทึกไว้ด้วย สำนักงานทุกแห่ง Taboola อยู่ภายใต้การควบคุม และพนักงานต้องใช้บัตรเข้าออกในการเข้าออก นอกจากนี้ พนักงานของ Taboola มีจำนวนจำกัดเท่านั้นที่สามารถเข้าถึงเซิร์ฟเวอร์ของ Taboola ได้ และการเข้าถึงแต่ละครั้งต้องได้รับอนุญาตเป็นลายลักษณ์อักษรและบันทึกไว้ด้วย

มาตรการสำหรับการบันทึกเหตุการณ์: Taboola ใช้เครื่องมือตรวจสอบและรวบรวมบันทึกต่างๆ เข้าสู่ระบบ SIEM ของเรา ซึ่งจะแจ้งเตือนเราเมื่อมีเหตุการณ์ที่น่าสงสัยเกิดขึ้น และทีม NOC ก็คอยตรวจสอบอยู่เช่นกัน

มาตรการในการตรวจสอบความถูกต้องของการกำหนดค่าระบบ รวมถึงการกำหนดค่าเริ่มต้น: เซิร์ฟเวอร์จะถูกสแกนเพื่อตรวจสอบทั้งการเปลี่ยนแปลงการตั้งค่าและระดับแพทช์ มีการตั้งค่าการรายงานและ/หรือการแจ้งเตือนไว้ทั้งสองฝั่ง และได้ยืนยันระดับแพทช์ที่เกี่ยวข้องแล้ว แพทช์ใหม่จะถูกเผยแพร่โดยใช้ Puppet การตรวจสอบทางเทคนิคทั้งหมดจะดำเนินการผ่านแอปพลิเคชัน R&D และได้รับผ่านกระบวนการตรวจสอบอย่างเป็นทางการ (QA) หลังจากที่ได้ดำเนินการเขียนโค้ดและ CI/CD processes แล้ว

มาตรการสำหรับการกำกับดูแลและการจัดการด้านไอทีและความปลอดภัยด้านไอทีภายในองค์กร: Taboola ได้รับการรับรองมาตรฐาน ISO 27001:2013 และ 27701 Taboola มีนโยบายด้านความปลอดภัยของข้อมูล ซึ่งระบุว่าคณะกรรมการบริหารและฝ่ายจัดการของ Taboola มุ่งมั่นที่จะรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลทั้งในรูปแบบกายภาพและอิเล็กทรอนิกส์ทั่วทั้งองค์กร Taboola จัดอบรมด้านความปลอดภัยสำหรับพนักงานใหม่ทุกคน อบรมเกี่ยวกับการป้องกันการหลอกลวงทางอีเมล (phishing) สำหรับพนักงานทุกคนทั่วโลก และจัดอบรมด้านความปลอดภัยเป็นประจำสำหรับพนักงานทุกคน รวมถึงจัดอบรมเฉพาะสำหรับกลุ่มวิจัยและพัฒนา (R&D) ด้วย

มาตรการสำหรับการรับรอง/การตรวจสอบกระบวนการและผลิตภัณฑ์: การตรวจสอบภายในรายไตรมาส/ครึ่งปี/รายปี ในหลายกระบวนการและระบบ เพื่อตรวจสอบว่า Taboola ปฏิบัติตามเป้าหมายและมาตรการด้านความปลอดภัยที่กำหนดไว้หรือไม่

มาตรการเพื่อลดปริมาณข้อมูลให้น้อยที่สุด: Taboola จงใจจำกัดปริมาณข้อมูลที่เราเก็บรวบรวม ซึ่งเป็นส่วนหนึ่งของหลักการลดปริมาณข้อมูลทั่วโลกของ Taboola โดยการประมวลผลเฉพาะข้อมูลที่จำเป็นสำหรับวัตถุประสงค์ทางธุรกิจเฉพาะของเราเท่านั้น นอกจากนี้ Taboola ไม่มีศักยภาพหรือความจำเป็นทางธุรกิจใดๆ ที่จะต้อง “วิเคราะห์ย้อนกลับ” ข้อมูลใดๆ ที่ใช้ในอัลกอริทึมของเราเพื่อให้บริการของเรา กล่าวโดยเฉพาะเจาะจงแล้ว ข้อมูลที่ Taboola รวบรวมนั้นไม่ได้บ่งชี้ถึงตัวตนของผู้ใช้แต่อย่างใด เนื่องจาก Taboola ไม่ได้รวบรวมหรือประมวลผลข้อมูล เช่น ชื่อ หมายเลขโทรศัพท์ อีเมล หรือที่อยู่ของผู้ใช้ แต่ Taboola จะเก็บรวบรวมเฉพาะตัวระบุที่ไม่ระบุตัวตน ซึ่งระบุเพียงลักษณะเฉพาะของอุปกรณ์ของผู้ใช้เท่านั้น ซึ่งรวมถึงที่อยู่ IP (ซึ่งจะถูกตัดทอนเมื่อมีการเก็บรวบรวม และสามารถระบุได้เพียงรหัสไปรษณีย์โดยทั่วไปของอุปกรณ์เท่านั้น แต่ไม่สามารถระบุตำแหน่งทางภูมิศาสตร์ที่แม่นยำได้) และในบางกรณีที่จำกัด ที่อยู่อีเมลที่ถูกเข้ารหัส (ซึ่งไม่สามารถย้อนกลับได้โดยธรรมชาติ และไม่สามารถถอดรหัสเพื่อเปิดเผยที่อยู่อีเมลต้นฉบับได้) ยิ่งไปกว่านั้น แม้จะนำข้อมูลทั้งหมดมาใช้ร่วมกัน ข้อมูลเหล่านั้นก็ไม่สามารถระบุชื่อ หมายเลขโทรศัพท์ อีเมล หรือที่อยู่ของบุคคลใดบุคคลหนึ่งได้ และวิศวกรของเราก็ไม่ได้ทำงานเพื่อบรรลุเป้าหมายนี้แต่อย่างใด นอกจากนี้ Taboola ยังจัดทำและบันทึกการประเมินผลกระทบด้านความเป็นส่วนตัว เพื่อลดความเสี่ยงด้านความเป็นส่วนตัวของบริการ กระบวนการ และนโยบายของเราให้เหลือน้อยที่สุด

มาตรการเพื่อรับรองคุณภาพข้อมูล: ข้อมูลจะถูกรวบรวมโดยตรงจากผู้ใช้ และผู้ใช้จะได้รับโอกาสในการแก้ไขข้อมูลใดๆ ที่เกี่ยวข้องกับ CookieID ของตนผ่านทางพอร์ทัลขอเข้าถึงข้อมูลส่วนบุคคล taboola.com Taboola : https://accessrequest.taboola.com/access

มาตรการเพื่อจำกัดระยะเวลาการเก็บรักษาข้อมูล: เราเก็บรักษาข้อมูลผู้ใช้ ซึ่งรวบรวมโดยตรงเพื่อวัตถุประสงค์ในการแสดงโฆษณา เป็นระยะเวลาไม่เกินสิบสาม (13) เดือน นับจากการโต้ตอบครั้งสุดท้ายของผู้ใช้กับบริการของเรา (บ่อยครั้งเป็นระยะเวลาที่สั้นกว่านั้น) หลังจากนั้นเราจะลบข้อมูลระบุตัวตนโดยการลบตัวระบุเฉพาะหรือรวมข้อมูลเข้าด้วยกัน กระบวนการนี้ดำเนินการโดยอัตโนมัติ

มาตรการเพื่อสร้างความรับผิดชอบ: Taboola ดำเนินการตรวจสอบความปลอดภัยและการทดสอบการเจาะระบบหลายครั้ง (แต่ไม่ใช่สำหรับทุกระบบ) นอกจากนี้ Taboola ยังใช้ผู้ให้บริการคลาวด์ที่ได้รับการรับรองมาตรฐาน ISO และปฏิบัติตามมาตรฐานการรับรองอื่นๆ ที่เกี่ยวข้องกับคลาวด์ เพื่อรักษาความปลอดภัยทางกายภาพของเซิร์ฟเวอร์

มาตรการเพื่ออำนวยความสะดวกในการโอนย้ายข้อมูลและรับประกันการลบข้อมูล: สื่อบันทึกข้อมูลทุกชนิดต้องถูกล้างข้อมูลให้หมดก่อนนำกลับมาใช้ใหม่หรือทิ้ง การทำลายสื่อทุกครั้งจะมีการบันทึกไว้ พนักงานได้รับคำสั่งห้ามพิมพ์เอกสารใดๆ ที่อาจมีข้อมูลส่วนบุคคล

ภาคผนวก C

การโอนย้ายที่จำกัด

1. ในกรณีที่ฝ่ายใดฝ่ายหนึ่งทำการโอนข้อมูลที่รวบรวมไว้แบบจำกัดไปยังอีกฝ่ายหนึ่ง Standard Contractual Clauses จะถูกรวมเข้าไว้ในข้อกำหนดความเป็นส่วนตัวของผู้ลงโฆษณาเหล่านี้และมีผลบังคับใช้ดังต่อไปนี้:
   1. ในกรณีที่การโอนที่ถูกจำกัดเป็นการโอนที่ถูกจำกัดตามข้อกำหนด EU ข้อกำหนดมาตรฐานการคุ้มครองข้อมูล EU SCCs) จะมีผลบังคับใช้ระหว่างคู่สัญญาดังต่อไปนี้:
      1. จะใช้โมดูลที่หนึ่ง
      2. ในข้อ 7 จะใช้ข้อกำหนดการเทียบท่าแบบเลือกได้
      3. ในข้อ 11 ภาษาที่เป็นทางเลือกจะไม่นำมาใช้
      4. ในข้อ 17 ตัวเลือกที่ 1 จะมีผลบังคับใช้ และข้อตกลงมาตรฐานการคุ้มครองผู้บริโภค EU SCCs) จะอยู่ภายใต้กฎหมายของไอร์แลนด์
      5. ในข้อ 18(ข) ข้อพิพาทจะต้องได้รับการแก้ไขโดยศาลของประเทศไอร์แลนด์
      6. ส่วน A, B และ C ของภาคผนวก I จะถือว่าเสร็จสมบูรณ์ด้วยข้อมูลที่ระบุไว้ในส่วน A, B และ C ของภาคผนวก A ของข้อกำหนดความเป็นส่วนตัวของผู้ลงโฆษณาเหล่านี้ และ
      7. ภาคผนวก II จะถือว่าเสร็จสมบูรณ์เมื่อมีการใช้มาตรการรักษาความปลอดภัยตามที่ระบุไว้ในภาคผนวก B ของข้อกำหนดความเป็นส่วนตัวของผู้ลงโฆษณาเหล่านี้
   2. ในกรณีที่การโอนที่ถูกจำกัดเป็นการโอนที่ถูกจำกัด UK UK Addendum จะมีผลบังคับใช้ระหว่างคู่สัญญาดังต่อไปนี้:
      1. ข้อตกลงมาตรฐาน EU SCCs) ที่กรอกข้อมูลครบถ้วนตามที่ระบุไว้ข้างต้น จะมีผลบังคับใช้ระหว่างคู่สัญญา และจะได้รับการแก้ไขเพิ่มเติมโดย UK Addendum ) (กรอกข้อมูลครบถ้วนตามที่ระบุไว้ในอนุมาตรา (ii) ด้านล่าง); และ
      2. ตารางที่ 1 ถึง 3 ของ UK Addendum จะถือว่าเสร็จสมบูรณ์แล้ว หากมีข้อมูลที่เกี่ยวข้องจากมาตรฐานการคุ้มครองผู้บริโภค EU SCCs) ที่กรอกข้อมูลครบถ้วนตามที่ระบุไว้ข้างต้น และตัวเลือก “ผู้ส่งออก” และ “ผู้นำเข้า” จะถือว่าถูกเลือกไว้ในตารางที่ 4 วันเริ่มต้นของ UK Addendum (ตามที่ระบุไว้ในตารางที่ 1) จะเป็นวันที่ข้อกำหนดความเป็นส่วนตัวของผู้ลงโฆษณาเหล่านี้มีผลบังคับใช้
2. การโอนเงินแบบจำกัดต่อไป:  ทั้งสองฝ่ายจะไม่ส่งต่อข้อมูลที่รวบรวมได้ซึ่งได้รับจากอีกฝ่ายหนึ่งไปยังบุคคลอื่นโดยจำกัดขอบเขต เว้นแต่จะดำเนินการทุกอย่างที่จำเป็นเพื่อให้แน่ใจว่าการส่งต่อข้อมูลดังกล่าวเป็นไปตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องและ Standard Contractual Clauses ใดๆ ที่ได้ตกลงกับอีกฝ่ายหนึ่งไว้