ข้อกำหนดความเป็นส่วนตัวของผู้โฆษณา

เงื่อนไขความเป็นส่วนตัวของผู้ลงโฆษณาของ TABOOLA

วันที่มีผลบังคับใช้:  สิงหาคม 14, 2023

ข้อกำหนดความเป็นส่วนตัวของผู้โฆษณา Taboola (“ข้อกำหนดความเป็น ส่วนตัวของผู้โฆษ ณา”) ใช้กับบริการโฆษณาดิจิทัลของ Taboola เช่นเมื่อ Taboola กระจายเนื้อหาของผู้โฆษณาผ่านแพลตฟอร์มการแจกจ่ายตามข้อตกลงระหว่าง Taboola และผู้โฆษณา (“ข้อตกลง”) และข้อกำหนดความเป็นส่วนตัวของผู้โฆษณาเหล่านี้จะถือว่ารวมอยู่ใน ข้อ ตกลงดังกล่าวและเป็นส่วนสำคัญของข้อตกลงดังกล่าว  ข้อกำหนดความเป็นส่วนตัวของผู้โฆษณาเหล่านี้ระบุบทบาทและความรับผิดชอบของ Taboola และผู้ลงโฆษณาที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

1. ลำดับความสำคัญ

หากมีความขัดแย้งระหว่างข้อกำหนดความเป็นส่วนตัวของผู้โฆษณาและข้อตกลง เงื่อนไขความเป็นส่วนตัวของผู้โฆษณาจะควบคุมตามขอบเขตของความขัดแย้งนั้น เว้นแต่ข้อกำหนดที่ขัดแย้งกันในข้อตกลงอ้างอิงถึงข้อกำหนดที่ขัดแย้งกันของข้อกำหนดความเป็นส่วนตัวของผู้โฆษณาเหล่านี้อย่างชัดแจ้งและระบุว่าข้อกำหนดที่ขัดแย้งกันนั้น

2. คำจำกัดความ

คำที่กำหนดไว้ในส่วนนี้จะมีความหมายที่ระบุไว้ด้านล่าง และคำศัพท์ที่เกี่ยวข้องจะถูกตีความตามนั้น คำศัพท์ที่มีตัวพิมพ์ใหญ่ที่ใช้แต่ไม่ได้กำหนดไว้ในข้อกำหนดความเป็นส่วนตัวของผู้ลงโฆษณาจะมีความหมายที่กำหนดไว้ในข้อตกลง

3. 3. 1. “กฎหมายคุ้มครองข้อมูลที่เกี่ยว ข้อง” หมายถึง กฎหมายคุ้มครองความเป็นส่วนตัวและการคุ้มครองข้อมูลของรัฐบาลกลาง ประเทศ รัฐ หรือกฎหมายอื่น ๆ ทั้งหมดที่มีผลบังคับใช้กับการประมวลผลซึ่งเป็นหัวข้อตกลงและข้อกำหนดของผู้โฆษณาเหล่านี้ ซึ่งอาจมีการแก้ไขหรือถูกแทนที่เป็นครั้งคราว
      2. “ข้อมูลที่รว บรวม” หมายถึง ข้อมูลส่วนบุคคลที่แต่ละฝ่ายเก็บรวบรวมจากเจ้าของข้อมูลบนหรือผ่านเซิร์ฟเวอร์หรือเครือข่าย (รวมถึงข้อมูลที่รวบรวมอย่างพาสซีฟหรืออ่านได้ด้วยเครื่องทั้งหมด เช่น ข้อมูลตามประเภทเบราว์เซอร์และตัวระบุอุปกรณ์) ที่เกี่ยวข้องกับการจัดหาหรือรับบริการ
      3. “ผู้ ควบคุ ม” หมายถึง: (i) หน่วยงานที่กำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคล และ (ii) บุคคลใด ๆ ที่อยู่ในขอบเขตของคำว่า “ผู้ควบคุม” (หรือคำที่คล้ายคลึงกันอย่างมีนัยสำคัญ) ตามที่กำหนดไว้ภายใต้กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง
      4. “กฎหมายความเป็นส่วนตัวของแคลิฟอร์ เนีย” หมายถึงพระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแคลิฟอร์เนียปี 2018 ประมวลกฎหมายแพ่ง § 1798.100 และต่อไป(“CCPA”) ตามที่แก้ไข (รวมถึงพระราชบัญญัติสิทธิความเป็นส่วนตัวของแคลิฟอร์เนีย) และกฎหมายย่อยและข้อบังคับการบังคับใช้ใด ๆ
      5. “เจ้าของ ข้อมูล” หมายถึง: (i) บุคคลธรรมดาที่ระบุหรือระบุตัวตนได้ (และเพื่อวัตถุ ประสงค์เหล่านี้ บุคคลธรรมดาที่สามารถระบุได้คือบุคคลที่สามารถระบุได้โดยตรงหรือทางอ้อม โดยเฉพาะโดยการอ้างอิงถึงตัวระบุ เช่น ชื่อ หมายเลขประจำตัว ข้อมูลตำแหน่ง ตัวระบุออนไลน์ หรือปัจจัยหนึ่งอย่างขึ้นไปที่เกี่ยวข้องกับร่างกาย สรีรวิทยา พันธุกรรม จิตใจ เศรษฐกิจ วัฒนธรรม หรือสังคมของบุคคลธรรมชาติ) และ (ii) บุคคลใดก็ตามที่อยู่ในขอบเขตของคำว่า “เจ้าของข้อมูล”, “ผู้บริโภค” (หรือใด ๆคำที่คล้ายคลึงกันอย่างมีนัยสำคัญ) ตามที่กำหนดไว้ภายใต้กฎหมายคุ้มครองข้อมูล
      6. “กฎหมายคุ้มครองข้อมูลของสหภาพยุ โรป” หมายถึง: (i) ข้อบังคับการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (ระเบียบ 2016/679) (“EU GDPR”); (ii) คำสั่งเกี่ยวกับความเป็นส่วนตัวทางอิเล็กทรอนิกส์ของสหภาพยุโรป (Directive 2002/58/EC) และ (iii) กฎหมายคุ้มครองข้อมูลระดับชาติที่จัดทำภายใต้หรือตาม (i) หรือ (ii) ซึ่งอาจมีการแก้ไขหรือถูกแทนที่เป็นครั้งคราว
      7. “วัตถุประสงค์ที่ได้รับ อนุญาต” มีความหมายที่ระบุไว้ในส่วนที่ 3
      8. “ข้อมูลส่วนบุค คล” หมายถึงข้อมูลใด ๆ ที่เกี่ยวข้องกับเจ้าของข้อมูล (รวมถึงในกรณีที่กฎหมายคุ้มครองข้อมูลที่บังคับใช้กำหนดเบราว์เซอร์หรือตัวระบุอุปกรณ์ที่ไม่ซ้ำกัน) ตามที่ระบุไว้ในภาคผนวก A ส่วนที่ B
      9. “กระบวน การ” หมายถึง การดำเนินการหรือชุดของการดำเนินการใด ๆ ที่ดำเนินการกับข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะเป็นการรวบรวม รับ บันทึก การจัดสรุป การใช้งาน การส่งต่อ การแชร์ การเปิดเผย การถ่ายโอน การจัดเก็บ การปรับแต่ง หรือการดึงข้อมูล ให้คำปรึกษา เผยแพร่ หรือทำให้ การจัดเรียงหรือรวม สรุป การสรุป การวิเคราะห์ จำกัด การลบ การทำลาย หรือกำจัด หรือการจัดการข้อมูลส่วนบุคคลอื่น ๆ รวมถึงคำดังกล่าวถูกกำหนดอย่างไรภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้
      10. “ผู้ประม วล ผล” หมายถึง: (i) หน่วยงานที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุมและ (ii) บุคคลใด ๆ ที่อยู่ในขอบเขตของคำว่า “ผู้ประมวลผล” (หรือคำที่คล้ายคลึงกันอย่างมีนัยสำคัญ) ตามที่กำหนดไว้ภายใต้กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง
      11. “การถ่าย โอนแบบจำกัด “หมายถึง: (i) เมื่อใช้ GDPR ของสหภาพยุโรป การถ่ายโอนข้อมูลส่วนบุคคลจาก EEA ไปยังประเทศนอกประเทศ EEA ซึ่งไม่อยู่ภายใต้การพิจารณาอย่างเพียงพอโดยคณะกรรมาธิการยุโรป (” EU Restricted Transfer “) และ (ii) ในกรณีที่ GDPR ของสหราชอาณาจักรใช้ การถ่ายโอนข้อมูลส่วนบุคคลจากสหราชอาณาจักรไปยังประเทศอื่นที่ไม่ขึ้นอยู่กับหรือตามกฎระเบียบด้านความเพียงพอตามมาตรา 17A ของสหราชอาณาจักร พระราชบัญญัติคุ้มครอง 2018 (“ถูกจำกัดในสหราชการโอ น “)
      12. “ขาย” และ “ขาย” หมายถึงการแลกเปลี่ยนข้อมูลส่วนบุคคลเพื่อการพิจารณาทางการเงินหรือค่าอื่น ๆ และรวมถึงวิธีการกำหนดเงื่อนไขดังกล่าวภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้
      13. “บริการ” หมายถึงบริการ ที่จัดทำโดย Taboola ภายใต้ข้อตกลงกับผู้โฆษณา
      14. “เหตุ การณ์ ด้านความปลอดภัย” หมายถึง การละเมิดความปลอดภัยที่นำไปสู่การทำลาย สูญหาย การเปลี่ยนแปลง การเปิดเผยข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต หรือเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต
      15. “ข้อ สัญญามาตร ฐาน” หมายถึง: (i) ในกรณีที่ใช้ GDPR ของสหภาพยุโรป ข้อสัญญาที่ผนวกกับการตัดสินใจดำเนินการของคณะกรรมาธิการยุโรปเมื่อวันที่ 4 มิถุนายน 2021 เกี่ยวกับข้อสัญญามาตรฐานสำหรับการถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามตามระเบียบ (EU) 2016/679 ของรัฐสภายุโรปและสภา (“EU SCCs”) และ (ii) เมื่อใช้ GDPR ของสหราชอาณาจักร ข้อสัญญามาตรฐานค่าคอมมิชชั่น” ที่ออกโดยข้อมูลกรรมาธิการภายใต้ St.119a (1) ของ DPA 2018 (“UK Ad dendum”)
      16. “บุคคล ที่สาม” หมายถึงธุรกิจที่ทำหน้าที่เป็นผู้ควบคุมเกี่ยวกับข้อมูลส่วนบุคคล และนั่นไม่ใช่ธุรกิจที่เจ้าของข้อมูลส่วนบุคคลที่ประมวลผลนั้นเจตนามีปฏิสัมพันธ์กับ คำนี้รวมถึงวิธีการกำหนดคำดังกล่าวภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้
      17. “กฎหมายคุ้มครองข้อมูลของสหร าชอาณาจักร” หมายถึง: (i) พระราชบัญญัติคุ้มครองข้อมูลของสหราชอาณาจักร 2018, (ii) GDPR ของสหราชอาณาจักร (ตามที่กำหนดไว้ใน s.3 (10) ของพระราชบัญญัติคุ้มครองข้อมูลของสหราชอาณาจักร 2018) (“UK GDPR”), (iii) กฎระเบียบด้านความเป็นส่วนตัวและการสื่อสารอิเล็กทรอนิกส์ (EC Directive) 2003) และ (iv) กฎหมายอื่น ๆ ของสหราชอาณาจักรที่จัดทำภายใต้หรือตาม (i), (ii) หรือ (iii) แก้ไขหรือถูกแทนที่เป็นครั้งคราว

3. ข้อ จำกัด วัตถุประสงค์

แต่ละฝ่ายจะต้องประมวลผลข้อมูลที่รวบรวมหรือได้รับจากอีกฝ่ายหนึ่งเพื่อวัตถุประสงค์ที่ระบุไว้ในภาคผนวก A ส่วนที่ B (“วัตถุ ประสงค์ที่ได้รับอนุญา ต”)  ผู้ลงโฆษณาตกลงว่า Taboola จะประมวลผลข้อมูลที่รวบรวมตามที่ได้รับอนุญาตจากนโยบายความเป็นส่วนตัวของ Taboola (ซึ่งเพื่อหลีกเลี่ยงข้อสงสัยจะเป็นวัตถุประสงค์ที่ได้รับอนุญาตสำหรับ Taboola ด้วย)

4. ความสัมพันธ์ของคู่สัญญา

ในขอบเขตที่ข้อมูลที่รวบรวมมีคุณสมบัติเป็นหรือมีข้อมูลส่วนบุคคลภายใต้กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง แต่ละฝ่ายจะต้องประมวลผลข้อมูลที่รวบรวมหรือได้รับจากอีกฝ่ายในฐานะผู้ควบคุม (ซึ่งอาจรวมถึงในกรณีที่กฎหมายความเป็นส่วนตัวของแคลิฟอร์เนียมีผลบังคับใช้ ในฐานะบุคคลที่สาม ในกรณีที่มีผลบังคับใช้)  การเปิดเผยข้อมูลที่รวบรวมหรือข้อมูลส่วนบุคคลจากฝ่ายหนึ่งไปยังอีกฝ่ายหนึ่งเป็นการเปิดเผยข้อมูลแก่บุคคลที่สาม (ไม่ว่าจะเป็นการถ่ายโอนหรือผ่านทางฝ่ายใดฝ่ายหนึ่งที่ทำให้ข้อมูลมีให้แก่บุคคลอื่น)

1. 1. 1. หากกฎหมายคุ้มครองข้อมูลของสหรัฐอเมริกาหรือรัฐสหรัฐอเมริกามีผลบังคับใช้กับข้อมูลที่รวบรวม รวมถึงกฎหมายความเป็นส่วนตัวของแคลิฟอร์เนียโดยไม่ จำกัด ในขอบเขตที่ Realize Pixels (ชื่อเดิมว่า “Taboola Pixels”) ที่ใช้ที่เกี่ยวข้องกับบริการประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับผู้เข้าชม Taboola ทำหน้าที่เป็นบุคคลที่สามของผู้โฆษณาสำหรับข้อมูลส่วนบุคคลดังกล่าว Taboola จะประมวลผลข้อมูลส่วนบุคคลดังกล่าวเพื่อวัตถุประสงค์ที่ได้รับอนุญาต ข้อมูลส่วนบุคคลดังกล่าวจะเปิดเผยให้กับ Taboola เพื่อวัตถุประสงค์ที่ได้รับอนุญาตเท่านั้น  Taboola จะให้การปกป้องความเป็นส่วนตัวในระดับเดียวกับที่ธุรกิจกำหนดโดยกฎหมายคุ้มครองข้อมูลของสหรัฐอเมริกาที่บังคับใช้ รวมถึงกฎหมายความเป็นส่วนตัวของแคลิฟอร์เนียถ้ามี Taboola จะแจ้งให้ผู้ลงโฆษณาแจ้งในช่วงเวลาที่กำหนดโดยกฎหมายคุ้มครองข้อมูลที่บังคับใช้ หากTaboola พิจารณาว่าไม่สามารถปฏิบัติตามภาระผูกพันภายใต้กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องได้อีกต่อไป เมื่อแจ้งให้ทาบูล่า ผู้ลงโฆษณามีสิทธิที่จะดำเนินการตามขั้นตอนที่เหมาะสมและเหมาะสมเพื่อหยุดและแก้ไขการใช้ข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาตที่ทาบูลา มีให้

5. การประยุกต์ใช้กฎหมายคุ้มครองข้อมูล

คู่สัญญารับทราบว่าข้อมูลที่เก็บรวบรวมบางส่วนหรือทั้งหมดอาจมีคุณสมบัติหรือรวมถึงข้อมูลส่วนบุคคล ดังนั้นกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องอาจมีผลบังคับใช้กับการประมวลผลข้อมูลที่เก็บรวบรวมของแต่ละฝ่าย  ในกรณีนี้และภายใต้มาตรา 7 ฝ่ายแต่ละฝ่ายจะต้องรับผิดชอบเป็นรายบุคคลในการปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง รวมถึงข้อกำหนดที่เกี่ยวข้องสำหรับ: (i) ให้ความโปร่งใสแก่เจ้าของข้อมูล (ii) ได้รับความยินยอมหรือพื้นฐานทางกฎหมายอื่น ๆ สำหรับการประมวลผล และ (iii) ให้จุดติดต่อซึ่งเจ้าของข้อมูลสามารถใช้สิทธิ์ในการคุ้มครองข้อมูลของตนได้

6. การโอนระหว่างประเทศ

ในกรณีที่ฝ่ายใดฝ่ายหนึ่งทำการถ่ายโอนข้อมูลที่เก็บรวบรวมไปยังอีกฝ่ายหนึ่ง บทบัญญัติของภาคผนวก C จะมีผลบังคับใช้

7. ความโปร่งใสสำหรับผู้เข้าชมในหน้า Landing Page ของผู้โฆษณา

Taboola ใช้ Realize Pixels เพื่อจัดหาบริการ  อย่างไรก็ตามมาตรา 5 ในขอบเขตที่ Taboola รวบรวมข้อมูลที่รวบรวมจากคุณสมบัติดิจิทัลของผู้โฆษณา (เช่น เว็บไซต์ แอปพลิเคชันมือถือ หรืออื่น ๆ) โดยใช้ Realize Pixels ผู้ลงโฆษณาจะ: (i) ให้ประกาศความโปร่งใสที่จำเป็นทั้งหมดแก่เจ้าของข้อมูลเกี่ยวกับการใช้ Realize Pixels ของ Taboola เพื่อรวบรวมข้อมูลที่เก็บรวบรวมจากคุณสมบัติดิจิทัลของผู้โฆษณาเพื่อวัตถุประสงค์ที่ได้รับอนุญาต และ (ii) รับ (และหากร้องขอโดย Taboola ให้หลักฐานที่เหมาะสม) เจ้าของข้อมูลยินยอมให้ใช้ Realize Pixel ดังกล่าวเพื่อวัตถุประสงค์ที่ได้รับอนุญาต ในแต่ละกรณีตามข้อกำหนดของกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง  ภาระผูกพันของผู้โฆษณาในเรื่องนี้ ได้แก่ การระบุ Taboola และการใช้ Realize Pixels เพื่อวัตถุประสงค์ที่ได้รับอนุญาตอย่างชัดเจนภายในประกาศความโปร่งใส และแจ้งความยินยอมที่ผู้โฆษณาให้แก่เจ้าของข้อมูล รวมถึงข้อมูลอื่น ๆ ที่กำหนดโดยกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง เพื่อให้Taboola สามารถให้บริการอย่างถูกกฎหมายผ่านคุณสมบัติดิจิทัลดังกล่าวและประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่ได้รับอนุญาต  เมื่อมีการร้องขอเป็นลายลักษณ์อักษร Taboola จะให้ข้อมูลที่จำเป็นแก่ผู้ลงโฆษณาตามที่จำเป็นเกี่ยวกับการดำเนินการตามพิกเซล และการประมวลผลข้อมูลที่เก็บรวบรวมของ Taboola ผ่านคุณสมบัติดิจิทัลของผู้โฆษณาเพื่อให้แน่ใจว่ากลไกการแจ้งเตือนและยินยอมของตนจะสอดคล้องกับกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง  ผู้ลงโฆษณาจะไม่ปลดพิกเซล Realizes ใด ๆ เว้นแต่และจนกว่าจะมีการให้โปร่งใสที่จำเป็นและได้รับความยินยอมที่จำเป็นตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้ ผู้ลงโฆษณาจะให้ข้อมูลแก่เจ้าของข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่พวกเขาสามารถใช้สิทธิ์ในการคุ้มครองข้อมูลภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้ และจัดหาจุดติดต่อให้เจ้าของข้อมูลติดต่อเพื่อใช้สิทธิของตน ผู้ลงโฆษณาจะแจ้งให้ทราบ Taboola ทันทีหากและในขอบเขตที่ได้รับการร้องขอสิทธิ์ในการคุ้มครองข้อมูลใด ๆ เกี่ยวกับการประมวลผลข้อมูลที่เก็บรวบรวมของ Taboola ในฐานะผู้ควบคุม เพื่อให้ Taboola สามารถปฏิบัติตามข้อผูกพันของตนภายใต้กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้อง

8. พันธมิตรที่ระบุแหล่งที่มา

หาก Taboola ตามคำขอของผู้โฆษณา ส่งข้อมูลส่วนบุคคลไปยังพันธมิตรที่ระบุแหล่งที่มาของผู้ลงโฆษณาหรือไปยังผู้ลงโฆษณาเพื่อวัตถุประสงค์ในการระบุแหล่งที่มา ผู้ลงโฆษณาจะรับรองและรับประกันว่า: (i) พันธมิตรที่ระบุแหล่งที่มาของตนเป็นผู้ประมวลผลในนามของผู้โฆษณา (ii) เว้นแต่จะรวบรวมเป็นอย่างอื่นอย่างอิสระ ผู้ลงโฆษณาและพันธมิตรที่ระบุไว้จะใช้ข้อมูลส่วนบุคคลดังกล่าวเพื่อวัตถุประสงค์ในการระบุแหล่งที่มาเท่านั้น และ (iii) พันธมิตรส่วนบุคคลและผู้โฆษณาจะลบข้อมูลส่วนบุคคลที่ผ่านมา ข้อมูลภายในสามสิบ (30) วันหลังจากระบุผู้เข้าชมครั้งสุดท้ายว่ามาจาก Taboola

9. ความปลอดภัย

แต่ละฝ่ายจะต้องใช้มาตรการด้านความปลอดภัยทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลที่รวบรวมและ/หรือข้อมูลส่วนบุคคลที่ประมวลผลจากและต่อต้านเหตุการณ์ด้านความปลอดภัย  มาตรการเหล่านี้จะต้องรวมถึงมาตรการที่ระบุไว้ในภาคผนวก B

10. เหตุการณ์ด้านความปลอดภัย

หากฝ่ายใดฝ่ายหนึ่งประสบเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับข้อมูลที่รวบรวมและ/หรือข้อมูลส่วนบุคคลที่ประมวลผลและเป็นเรื่องของข้อตกลงและเงื่อนไขความเป็นส่วนตัวของผู้โฆษณานี้ ฝ่ายนั้นจะรับผิดชอบในการปฏิบัติตาม (ด้วยค่าใช้จ่ายของตนเอง) ตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องกับหน่วยงานคุ้มครองข้อมูลและ/หรือเจ้าของข้อมูลที่ได้รับผลกระทบ (ii) แจ้งอีกฝ่ายโดยไม่มีความล่าช้าโดยให้ข้อมูลเกี่ยวกับเหตุการณ์ความปลอดภัยตามสมเหตุสมผล คำร้องขอจากฝ่ายอื่นหรือตามที่เป็นอยู่มิฉะนั้นจะต้องให้ฝ่ายอื่นพิจารณาว่าอาจมีภาระผูกพันในการรายงานภายใต้กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องกับเหตุการณ์ด้านความปลอดภัยหรือไม่ และ (iii) ดำเนินการและมาตรการดังกล่าวทั้งหมดโดยไม่ต้องล่าช้าตามความเหมาะสมเพื่อแก้ไขและ/หรือบรรเทาผลกระทบจากเหตุการณ์ด้านความปลอดภัย

11. DPIAs 

ในกรณีและในขอบเขตที่กฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องซึ่งแต่ละฝ่ายอยู่ภายใต้บังคับใช้ แต่ละฝ่ายจะต้องดำเนินการประเมินผลกระทบด้านการคุ้มครองข้อมูลที่เกี่ยวข้องกับการประมวลผลข้อมูลที่เก็บรวบรวมและ/หรือข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่ได้รับอนุญาต และ/หรือปรึกษากับหน่วยงานคุ้มครองข้อมูลที่เกี่ยวข้อง หากจำเป็น  แต่ละฝ่ายจะต้องให้ความร่วมมือและข้อมูลที่สมเหตุสมผลทั้งหมดที่ฝ่ายอื่นร้องขออย่างสมเหตุสมผล ในกรณีที่จำเป็นเพื่อให้อีกฝ่ายหนึ่งสามารถประเมินผลกระทบด้านการคุ้มครองข้อมูลให้เสร็จสมบูรณ์และ/หรือปรึกษากับหน่วยงานคุ้มครองข้อมูลที่เกี่ยวข้องตามข้อผูกพันของฝ่ายอื่นภายใต้มาตรา 11 นี้

 

ภาคผนวก A

คำอธิบายของการประมวลผล

A. รายชื่อปาร์ตี้

แต่ละฝ่ายจะต้องเป็น:

3. 3. • ผู้ควบคุมข้อมูล (และผู้ส่งออกข้อมูล) ของข้อมูลที่รวบรวมซึ่งเปิดเผยหรือเปิดเผยให้แก่อีกฝ่ายหนึ่ง และ
      • ผู้ควบคุมข้อมูล (และผู้นำเข้าข้อมูล) ของข้อมูลที่รวบรวมซึ่งได้รับจากหรือที่บุคคลอื่นสามารถเข้าถึงได้

รายละเอียดของแต่ละฝ่ายมีให้ไว้ด้านล่าง

ชื่อ: ดูรายละเอียดของผู้โฆษณาที่ระบุไว้ในข้อตกลง

ที่อยู่: ดูรายละเอียดของผู้โฆษณาที่ระบุไว้ในข้อตกลง

ชื่อ ตำแหน่ง และรายละเอียดการติดต่อของบุคคลที่ติดต่อ: ดูรายละเอียดของผู้โฆษณาที่ระบุไว้ในข้อตกลงหรือตกลงกันอย่างอื่นระหว่างคู่สัญญาเป็นลายลักษณ์อักษร

กิจกรรมที่เกี่ยวข้องกับข้อมูลที่ถ่ายโอนภายใต้ข้อเหล่านี้ การรับบริการตามที่ระบุไว้ในข้อตกลง

ลายเซ็นและวันที่: ภาคผนวก A นี้จะถือว่าดำเนินการเมื่อผู้ลงโฆษณายอมรับข้อกำหนดความเป็นส่วนตัวของผู้โฆษณาเหล่านี้

บทบาท (ตัวควบคุม/โปรเซสเซอร์): ผู้ควบคุม (ในกรณีที่เป็นผู้ส่งออกข้อมูล) และผู้ควบคุม (ในกรณีที่เป็นผู้นำเข้าข้อมูล)

 

ชื่อ: ดูรายละเอียดของ Taboola ที่ระบุไว้ในบทนำของข้อตกลง

ที่อยู่: ดูรายละเอียดของ Taboola ที่ระบุไว้ในบทนำของข้อตกลง

ชื่อ ตำแหน่ง และรายละเอียดการติดต่อของบุคคลที่ติดต่อ: ทีมความเป็นส่วนตัวของ Taboola privacy@taboola.com

กิจกรรมที่เกี่ยวข้องกับข้อมูลที่ถ่ายโอนภายใต้ข้อเหล่านี้ การให้บริการตามที่ระบุไว้ในข้อตกลง

ลายเซ็นและวันที่: ภาคผนวก A นี้จะถือว่าดำเนินการเมื่อTaboola ยอมรับข้อกำหนดความเป็นส่วนตัวของผู้โฆษณาเหล่านี้

บทบาท (ตัวควบคุม/โปรเซสเซอร์): ผู้ควบคุม (ในกรณีที่เป็นผู้ส่งออกข้อมูล) และผู้ควบคุม (ในกรณีที่เป็นผู้นำเข้าข้อมูล)

 

ข. คำอธิบายของการประมวลผลและการโอน

ประเภทของเจ้าของข้อมูลที่ประมวลผลและ/หรือถ่ายโอนข้อมูลส่วนบุคคล ผู้ใช้

ประเภทของข้อมูลส่วนบุคคลที่ประมวลผลและ/หรือถ่ายโอน:

ข้อมูลอุปกรณ์: ระบบปฏิบัติการ ประเภทเบราว์เซอร์ เวอร์ชันเบราว์เซอร์ ที่อยู่ IP (ตัดภายใน 30 วัน) ของการรวบรวม รหัสไปรษณีย์ (มาจากที่อยู่ IP), รหัสผู้ใช้ Taboola ที่แฮช, อีเมลที่แฮช, การเข้าชมหน้าแรกและต่อมาบนเว็บไซต์ของผู้โฆษณา, เพศของผู้ใช้ (อนุมานตามความสนใจ) สัญญาณการมีส่วนร่วม (เวลาบนเว็บไซต์, ความลึกของการเล่น, ความลึกของเซสชัน), ข้อมูลการแปลง

ข้อมูลเกี่ยวกับอสังหาริมทรัพย์ดิจิทัลที่ผู้ใช้เยี่ยมชม: URL ของหน้าเว็บที่เข้าชมเว็บไซต์อ้างอิง

การถ่ายโอนข้อมูลที่ละเอียดอ่อน (ถ้ามี) และใช้ข้อ จำกัด หรือมาตรการป้องกันที่คำนึงถึงลักษณะของข้อมูลและความเสี่ยงที่เกี่ยวข้องอย่างเต็มที่ เช่น ข้อจำกัดวัตถุประสงค์ที่เข้มงวด ข้อ จำกัด การเข้าถึง (รวมถึงการเข้าถึงเฉพาะสำหรับพนักงานที่ปฏิบัติตามการฝึกอบรมเฉพาะทางเท่านั้น) การเก็บบันทึกการเข้าถึงข้อมูล ข้อ จำกัด สำหรับการถ่ายโอนต่อไป หรือมาตรการรักษาความปลอดภัยเพิ่มเติม ไม่สามารถใช้ได้

ความถี่ของการประมวลผลและ/หรือการถ่ายโอน (เช่น ข้อมูลจะถูกประมวลผลและ/หรือถ่ายโอนเป็นครั้งเดียวหรือต่อเนื่อง): ต่อเนื่องตลอดระยะเวลาของข้อตกลง

ลักษณะของการประมวลผล: การประมวลผลข้อมูลส่วนบุคคลที่จำเป็นสำหรับการให้บริการตามที่ระบุไว้ในข้อตกลง

วัตถุประสงค์ของการประมวลผลข้อมูล/ถ่ายโอนและการประมวลผลต่อไป: การให้บริการตามที่ระบุไว้ในข้อตกลง เพื่อหลีกเลี่ยงข้อสงสัย วัตถุประสงค์ที่ได้รับอนุญาต ได้แก่: (i) จัดเก็บและ/หรือเข้าถึงข้อมูลบนอุปกรณ์ (ii) การเลือกโฆษณาพื้นฐาน (iii) การสร้างโปรไฟล์โฆษณาส่วนบุคคล (v) การสร้างโปรไฟล์เนื้อหาส่วนบุคคล (vi) การเลือกเนื้อหาส่วนบุคคล (vii) วัดประสิทธิภาพโฆษณา (viii) การวัดประสิทธิภาพของเนื้อหา (ix) การพัฒนาและปรับปรุงผลิตภัณฑ์ (x) รับประกันความปลอดภัย ป้องกันการฉ้อโกง การจับคู่; (xi) การส่งโฆษณาหรือเนื้อหาในทางเทคนิค (xii) การจับคู่และการรวมแบบออฟไลน์แหล่งข้อมูล; (xiii) การเชื่อมโยงอุปกรณ์ต่างๆ; (xiv) รับและใช้ลักษณะอุปกรณ์ที่ส่งโดยอัตโนมัติเพื่อระบุตัวตน (xv) การใช้ข้อมูลที่ จำกัด เพื่อเลือกเนื้อหา และ (xvi) การเข้าถึงผู้ชมที่คงอยู่ผ่านสถ ิติ

ระยะเวลาที่ข้อมูลส่วนบุคคลจะถูกเก็บไว้ หรือหากเป็นไปไม่ได้เกณฑ์ที่ใช้ในการกำหนดระยะเวลาดังกล่าว:

3. 3. • คำสั่งซื้อ: ข้อมูลดิบจะถูกเก็บไว้เป็นเวลาสูงสุด 13 เดือน
      • ผู้ลงโฆษณา: ตราบใดที่จำเป็นในการรับบริการหรือตามที่ระบุไว้เป็นอย่างอื่นในข้อตกลง

สำหรับการถ่ายโอนไปยังโปรเซสเซอร์ (ย่อย) ให้ระบุหัวข้อลักษณะและระยะเวลาของการประมวลผล: ไม่สามารถใช้ได้

 

ค. หน่วยงานกำกับดูแลที่มีอำนาจ

หน่วยงานกำกับดูแลที่มีอำนาจที่ใช้ GDPR ของสหภาพยุโรป: หน่วยงานกำกับดูแลที่มีอำนาจสำหรับแต่ละฝ่ายมีดังที่อธิบายไว้ด้านล่าง:

3. 3. • คำสั่งซื้อ: หน่วยงานกำกับดูแลที่มีอำนาจจะถูกกำหนดตามข้อ 13 ของ SCCs ของสหภาพยุโรป
      • ผู้ลงโฆษณา: หน่วยงานกำกับดูแลที่มีอำนาจจะถูกกำหนดตามข้อ 13 ของ SCCs ของสหภาพยุโรป

หน่วยงานกำกับดูแลที่มีอำนาจที่ GDPR ของสหราชอาณาจักรใช้: สำนักงานคณะกรรมการสารสนเทศ

 

ภาคผนวก B

มาตรการรักษาความปลอดภัย

คำอธิบายมาตรการทางเทคนิคและองค์กรที่ดำเนินการโดยแต่ละฝ่าย (รวมถึงการรับรองที่เกี่ยวข้อง) เพื่อให้มั่นใจในระดับความปลอดภัยที่เหมาะสม โดยคำนึงถึงลักษณะขอบเขตบริบทและวัตถุประสงค์ของการประมวลผลและความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลธรรมดา

มาตรการของการนามแฝงและการเข้ารหัสข้อมูลส่วนบุคคล: Taboola รวบรวมเฉพาะข้อมูลนามแฝงซึ่งหมายความว่าเราไม่ทราบว่าคุณเป็นใคร เนื่องจากเราไม่ทราบหรือประมวลผลชื่อผู้ใช้ ที่อยู่อีเมล หรือข้อมูลที่ระบุตัวตนอื่น ๆ ข้อมูลผู้ใช้ที่เราเก็บรวบรวมถึง แต่ไม่จำกัดเพียง ข้อมูลเกี่ยวกับอุปกรณ์และระบบปฏิบัติการของผู้ใช้ ที่อยู่ IP หน้าเว็บที่ผู้ใช้เข้าถึงภายในเว็บไซต์ของลูกค้าของเรา ลิงก์ที่นำผู้ใช้ไปยังเว็บไซต์ของลูกค้า วันที่และเวลาที่ผู้ใช้เข้าถึงเว็บไซต์ของลูกค้า และข้อมูลการท่องเว็บอื่น ๆ CookieID จะไม่ระบุตัวตนโดยใช้ Bcrypt และที่อยู่ IP จะถูกตัดทอน

มาตรการเพื่อรับรองความลับ ความซื่อสัตย์ ความพร้อมใช้งาน และความยืดหยุ่นของระบบประมวลผลและบริการอย่างต่อเนื่อง Taboola ใช้ความปลอดภัยทางอิเล็กทรอนิกส์หลายระดับ (เช่น การรักษาความปลอดภัยปลายทาง การรักษาความปลอดภัยด้านเซิร์ฟเวอร์ การติดตามการตรวจจับ การทดสอบการเจาะเป็นระยะ และการรวบรวมข่าวกรองเชิงลึกเพื่อทบทวนเหตุการณ์หลังการตาย)

มาตรการเพื่อให้แน่ใจว่ามีความสามารถในการกู้คืนความพร้อมใช้งานและการเข้าถึงข้อมูลส่วนบุคคลในเวลาที่เหมาะสมในกรณีที่เกิดเหตุการณ์ทางกายภาพหรือทางเทคนิค: Taboola ดูแลศูนย์ข้อมูล 9 แห่งที่ดำเนินงานทั่วโลก ศูนย์ข้อมูลทุกแห่งใช้เป็นการจำลองซึ่งกันและกัน ดังนั้นหากมีศูนย์ล้มลงข้อมูลสามารถแยกออกจากศูนย์ข้อมูลอื่นได้

กระบวนการทดสอบประเมินและประเมินประสิทธิภาพของมาตรการทางเทคนิคและองค์กรอย่างสม่ำเสมอเพื่อให้มั่นใจในความปลอดภัยของการประมวลผล: Taboola รักษากระบวนการที่เข้มงวดสำหรับการทดสอบประสิทธิภาพของการควบคุม (ทั้งทางเทคนิคและองค์กร) เรามีการบันทึกและตรวจสอบระบบ การทดสอบ DR รายเดือน (อย่างน้อย) การทดสอบการเจาะแบบรายไตรมาส ไฟร์วอลล์ที่ปกป้องเว็บ และ honeypots กระจายไปทั่วเครือข่ายเพื่อค้นหากิจกรรมที่เป็นอันตรายใด ๆ นอกจากนี้เรายังมีโปรแกรมรางวัลซึ่งช่วยให้เราตรวจสอบเครือข่ายของเราอย่างต่อเนื่อง

มาตรการสำหรับการระบุตัวตนและการอนุญาตผู้ใช้: ผู้ใช้ทุกคนใน Taboola เชื่อมโยงกับชื่อผู้ใช้และรหัสผ่านเฉพาะ การเข้าถึงเครือข่ายภายในของ Taboola ทุกครั้งจะทำด้วย 2FA โดยใช้การรับรองความถูกต้องของ Google ผู้ใช้จะถูกสร้างขึ้นโดยแผนกไอทีเท่านั้นในระหว่างกระบวนการเปิดตัวและหลังจากได้รับรายละเอียดทั้งหมดและเซ็นสัญญาจากแผนกทรัพยากรบุคคลเท่านั้น

มาตรการสำหรับการปกป้องข้อมูลในระหว่างการส่ง: Taboola รองรับการส่งข้อมูลใด ๆ ผ่านโปรโตคอลการส่งข้อมูลที่ปลอดภัย (HTTPS และ TLS v1.2 อย่างน้อย) นอกจากนี้ ระบบที่อาจมี PII จะได้รับการรักษาความปลอดภัยและข้อมูลจะถูกเก็บแฮชและไม่เปิดเผยตัวตน

มาตรการสำหรับการปกป้องข้อมูลระหว่างการจัดเก็บ: ข้อมูลที่เก็บไว้ในฐานข้อมูลของเราจะไม่ระบุตัวตนและแฮชโดยใช้ Bcrypt การเข้าถึง DB นั้นลดลงและขึ้นอยู่กับหลักการ ‘ธุรกิจจำเป็นต้องรู้’

มาตรการเพื่อรับประกันความปลอดภัยทางกายภาพของสถานที่ที่ประมวลผลข้อมูลส่วนบุคคล ศูนย์ข้อมูลทั่วโลกของ Taboola แต่ละแห่ง (ในสหรัฐอเมริกา ยุโรป และเอเชีย) มีเซิร์ฟเวอร์ทั้งหมดอยู่ในตู้ล็อคซึ่งได้รับการบำรุงรักษาเฉพาะสำหรับการใช้งานของ Taboola ตู้เหล่านี้ได้รับการดูแลโดย บริษัท ที่ได้รับการรับรอง SOC2 หรือ Taboola ได้ตรวจสอบมาตรการรักษาความปลอดภัย นอกจากนี้การเข้าถึงเซิร์ฟเวอร์ใด ๆ ต้องได้รับอนุญาตเป็นลายลักษณ์อักษรที่บันทึกไว้ สำนักงานของ Taboola ทั้งหมดยังได้รับการควบคุมและกำหนดให้พนักงานใช้บัตรเข้าเพื่อเข้า นอกจากนี้ พนักงานจำนวนจำกัดเท่านั้นที่สามารถเข้าถึงเซิร์ฟเวอร์ของ Taboola และการเข้าถึงใด ๆ ก็ต้องได้รับอนุญาตเป็นลายลักษณ์อักษรที่ลงชื่อเข้าใช้

มาตรการในการรับรองการบันทึกเหตุการณ์: Taboola ใช้เครื่องมือตรวจสอบและบันทึกจะถูกรวบรวมไปยังระบบ SIEM ของเราซึ่งจะแจ้งให้เราทราบเกี่ยวกับเหตุการณ์ที่น่าสงสัยและยังได้รับการตรวจสอบโดยทีม NOC

มาตรการสำหรับการสร้างความมั่นใจในการกำหนดค่าระบบ รวมถึงการกำหนดค่าเริ่มต้น: เซิร์ฟเวอร์จะถูกสแกนเพื่อดูทั้งการดริฟต์การกำหนดค่าและระดับแพทช์ การรายงานและ/หรือการแจ้งเตือนจะถูกตั้งค่าทั้งสองและระดับแพตช์ที่เกี่ยวข้องได้รับการยืนยัน แพทช์ใหม่ถูกแจกจ่ายโดยใช้ Puppet การตรวจสอบทางเทคนิคทั้งหมดได้รับการจัดการผ่านแอปพลิเคชัน R&D และได้รับจากกระบวนการตรวจสอบอย่างเป็นทางการ (QA) หลังจากดำเนินการเข้ารหัสและกระบวนการ CI/CD เช่นกัน

มาตรการสำหรับการกำกับดูแลและการจัดการความปลอดภัยด้านไอทีและไอทีภายใน: ทาบูลา ได้รับการรับรองมาตรฐาน ISO 27001:2013 และ 27701 Taboola มีนโยบายความปลอดภัยของข้อมูลซึ่งระบุว่าคณะกรรมการและฝ่ายบริหารของ Taboola มุ่งมั่นที่จะรักษาความลับ ความซื่อสัตย์ และความพร้อมใช้งานของสินทรัพย์ข้อมูลทางกายภาพและอิเล็กทรอนิกส์ทั้งหมดทั่วทั้งองค์กร Taboola จัดฝึกอบรมด้านความปลอดภัยสำหรับพนักงานใหม่ทั้งหมด การฝึกอบรมฟิชชิ่งสำหรับพนักงานทุกคนทั่วโลก และการฝึกอบรมด้านความปลอดภัยเป็นประจำสำหรับพนักงานทุกคนและยังอุทิศเซสชันสำหรับกลุ่ม R&D

มาตรการสำหรับการรับรอง/รับประกันกระบวนการและผลิตภัณฑ์: การตรวจสอบภายในรายไตรมาส/ครึ่งปี/รายปีในกระบวนการและระบบต่างๆ เพื่อตรวจสอบว่าTaboola ปฏิบัติตามเป้าหมายและมาตรการด้านความปลอดภัยที่กำหนดไว้

มาตรการเพื่อให้แน่ใจว่าข้อมูลจะลดลง: Taboola จงใจจำกัดข้อมูลที่เราเก็บรวบรวมเป็นส่วนหนึ่งของหลักการลดข้อมูลทั่วโลกของ Taboola ในการประมวลผลเฉพาะข้อมูลที่ จำกัด ที่จำเป็นสำหรับวัตถุประสงค์ทางธุรกิจเฉพาะของเรา นอกจากนี้ Taboola ยังไม่มีความสามารถหรือความต้องการทางธุรกิจใด ๆ ที่จะจะ “วิศวกรย้อนกลับ” จุดข้อมูลใด ๆ ที่ใช้ในอัลกอริทึมของเราเพื่อให้บริการของเรา โดยเฉพาะอย่างยิ่งจุดข้อมูลที่ Taboola รวบรวมไม่ได้บ่งบอกถึงตัวตนของผู้ใช้ เนื่องจากTaboola ไม่ได้รวบรวมหรือประมวลผลข้อมูล เช่น ชื่อผู้ใช้ หมายเลขโทรศัพท์ อีเมล หรือที่อยู่ทางกายภาพ แทน Taboola จะรวบรวมเฉพาะตัวระบุนามแฝงเท่านั้น ซึ่งเพียงระบุลักษณะเกี่ยวกับอุปกรณ์ของผู้ใช้เท่านั้น ซึ่งรวมถึงที่อยู่ IP (ซึ่งจะตัดทอนเมื่อรวบรวมและสามารถระบุตำแหน่งรหัสไปรษณีย์ทั่วไปของอุปกรณ์เท่านั้น แต่ไม่เคยระบุตำแหน่งทางภูมิศาสตร์ที่แม่นยำ) และในบางกรณีที่อยู่อีเมลแบบแฮช (ซึ่งไม่สามารถย้อนกลับได้โดยธรรมชาติและไม่สามารถถอดรหัสเพื่อเปิดเผยที่อยู่อีเมลดั้งเดิม) ยิ่งไปกว่านั้น แม้จะใช้ร่วมกัน ข้อมูลที่เราเก็บรวบรวมจะไม่สามารถสร้างชื่อ หมายเลขโทรศัพท์ อีเมล หรือที่อยู่ทางกายภาพของบุคคลได้ และวิศวกรของเราไม่ทำงานเพื่อบรรลุเป้าหมายนี้ นอกจากนี้ Taboola ยังจัดทำและบันทึกการประเมินผลกระทบด้านความเป็นส่วนตัวเพื่อลดความเสี่ยงด้านความเป็นส่วนตัวของบริการ กระบวนการ และนโยบายของเรา

มาตรการเพื่อรับประกันคุณภาพข้อมูล: ข้อมูลจะถูกเก็บรวบรวมโดยตรงจากผู้ใช้และผู้ใช้จะได้รับโอกาสในการแก้ไขข้อมูลที่เกี่ยวข้องกับ CookieID ของพวกเขาผ่านพอร์ทัลคำขอการเข้าถึงหัวข้อ Taboola: https://accessrequest.taboola.com/access

มาตรการเพื่อให้แน่ใจว่ามีการเก็บรักษาข้อมูลที่ จำกัด: เราเก็บรักษาข้อมูลผู้ใช้ซึ่งเก็บรวบรวมโดยตรงเพื่อวัตถุประสงค์ในการแสดงโฆษณา เป็นเวลาไม่เกินสิบสาม (13) เดือนนับจากปฏิสัมพันธ์ครั้งสุดท้ายของผู้ใช้กับบริการของเรา (มักเป็นระยะเวลาที่สั้นกว่า) หลังจากนั้นเราจะยกเลิกการระบุข้อมูลโดยการลบตัวระบุที่ไม่ซ้ำกันหรือรวบรวมข้อมูล กระบวนการนี้จะทำโดยอัตโนมัติ

มาตรการเพื่อรับรองความรับผิดชอบ: Taboola ทำการตรวจสอบความปลอดภัยหลายครั้งและการทดสอบการเจาะซึม (แต่ไม่ใช่สำหรับทุกระบบ) Taboola ยังใช้ผู้ให้บริการระบบคลาวด์ที่ได้รับการรับรอง ISO และสอดคล้องกับการรับรองอื่น ๆ ที่เกี่ยวข้องกับคลาวด์สำหรับการรักษาความปลอดภัยทางกายภาพของเซิร์ฟเวอร์

มาตรการในการอนุญาตให้พกพาข้อมูลและรับประกันการลบ: Taboola เกี่ยวข้องกับการกำจัดสื่อ เหมือนกันสำหรับสื่อทุกประเภท เนื่องจากอาจมี PII ต้องเช็ดสื่อใด ๆ ก่อนที่จะนำกลับมาใช้ใหม่หรือกำจัดทิ้ง การกำจัดสื่อใด ๆ จะถูกจัดทำเป็นเอกสาร พนักงานได้รับคำแนะนำไม่ให้พิมพ์กระดาษใด ๆ ที่อาจมีข้อมูลส่วนบุคคล

ANNEX C

การโอนเงินที่จำกัด

1. ในขอบเขตที่ฝ่ายใดฝ่ายหนึ่งทำการโอนข้อมูลที่เก็บรวบรวมไปยังอีกฝ่ายหนึ่ง ข้อสัญญามาตรฐานจะถูกรวมไว้ในข้อกำหนดความเป็นส่วนตัวของผู้โฆษณาเหล่านี้และนำไปใช้ดังนี้
   1. ในกรณีที่การโอนแบบจำกัดเป็นการโอนแบบจำกัดของสหภาพยุโรป SCC ของสหภาพยุโรปจะใช้ระหว่างคู่สัญญาดังนี้:
      1. โมดูลที่หนึ่งจะใช้
      2. ในข้อ 7 จะมีบทบัญญัติการเชื่อมโยงที่เป็นทางเลือก
      3. ในข้อ 11 ภาษาทางเลือกจะไม่บังคับใช้
      4. ในข้อ 17 ตัวเลือกที่ 1 จะมีผลบังคับใช้ และ SCCs ของสหภาพยุโรปจะอยู่ภายใต้กฎหมายไอริช
      5. ในข้อ 18 (b) ข้อพิพาทจะได้รับการแก้ไขต่อหน้าศาลของไอร์แลนด์
      6. ส่วนที่ A, B และ C ของภาคผนวก I จะถือว่าสมบูรณ์ด้วยข้อมูลที่ระบุไว้ในส่วนที่ A, B และ C ของภาคผนวก A ของข้อกำหนดความเป็นส่วนตัวของผู้โฆษณาเหล่านี้ และ
      7. ภาคผนวก II ถือว่าเสร็จสมบูรณ์ด้วยมาตรการรักษาความปลอดภัยที่ระบุไว้ในภาคผนวก B ของข้อกำหนดความเป็นส่วนตัวของผู้โฆษณาเหล่านี้
   2. ในกรณีที่การโอนแบบจำกัดเป็นการโอนแบบจำกัดของสหราชอาณาจักร ภาคผนวกของสหราชอาณาจักรจะมีผลบังคับใช้ระหว่างคู่สัญญาดังนี้
      1. SCCs ของสหภาพยุโรปที่เสร็จสมบูรณ์ตามที่ระบุไว้ข้างต้นจะมีผลบังคับใช้ระหว่างคู่สัญญา และจะได้รับการแก้ไขโดยภาคผนวกของสหราชอาณาจักร (กรอกข้อมูลตามที่ระบุไว้ในข้อย่อย (ii) ด้านล่าง) และ
      2. ตารางที่ 1 ถึง 3 ของภาคผนวกของสหราชอาณาจักรจะถือว่าเสร็จสมบูรณ์ด้วยข้อมูลที่เกี่ยวข้องจาก SCC ของสหภาพยุโรป ซึ่งเสร็จสมบูรณ์ตามที่ระบุไว้ข้างต้น และตัวเลือก “ผู้ส่งออก” และ “ผู้นำเข้า” ถือว่าถูกตรวจสอบในตารางที่ 4 วันที่เริ่มต้นของภาคผนวกของสหราชอาณาจักร (ตามที่ระบุไว้ในตารางที่ 1) จะเป็นวันที่มีผลบังคับใช้ของข้อกำหนดความเป็นส่วนตัวของผู้โฆษณาเหล่านี้
2. การโอนแบบจำกัดต่อไป:  ฝ่ายใดฝ่ายหนึ่งจะไม่ทำการโอนข้อมูลที่เก็บรวบรวมแบบจำกัดต่อไป ซึ่งพวกเขาได้รับจากอีกฝ่ายเว้นแต่จะดำเนินการและสิ่งที่จำเป็นทั้งหมดเพื่อให้แน่ใจว่าการถ่ายโอนแบบจำกัดต่อต่อไปนั้นเป็นไปตามกฎหมายคุ้มครองข้อมูลที่เกี่ยวข้องและข้อสัญญามาตรฐานที่ตกลงกันกับอีกฝ่ายหนึ่ง