นโยบายความเป็นส่วนตัวของผู้เผยแพร่

Last Update: October 10, 2024

นโยบายความเป็นส่วนตัวของผู้เผยแพร่ของ TABOOLA

วันที่มีผลบังคับใช้: 10 ตุลาคม 2024

นโยบายความเป็นส่วนตัวของผู้เผยแพร่ของ Taboola (“นโยบายความเป็นส่วนตัวของผู้เผยแพร่”) ใช้กับบริการโฆษณาดิจิทัลของ Taboola เช่น เมื่อ Taboola วางเนื้อหาของผู้โฆษณาบนทรัพย์สินของผู้เผยแพร่ รวมถึงแต่ไม่จำกัดเฉพาะผลิตภัณฑ์และบริการของผู้เผยแพร่ เช่น Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News และ Taboola Push ตามข้อตกลงระหว่าง Taboola และผู้เผยแพร่ (“ข้อตกลง”) และนโยบายความเป็นส่วนตัวของผู้เผยแพร่เหล่านี้จะถือว่าถูกบูรณาการเข้าไปในและเป็นส่วนสำคัญของข้อตกลงดังกล่าว นโยบายความเป็นส่วนตัวของผู้เผยแพร่เหล่านี้ระบุบทบาทและความรับผิดชอบของ Taboola และผู้เผยแพร่เกี่ยวกับข้อมูลส่วนบุคคล

1. ลำดับความสำคัญ.

หากมีความขัดแย้งระหว่างข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่และข้อตกลง ข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่จะมีผลบังคับใช้ เว้นแต่ข้อกำหนดที่ขัดแย้งในข้อตกลงจะอ้างถึงข้อกำหนดที่ขัดแย้งของข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่และระบุว่าให้มีผลเหนือกว่าข้อกำหนดที่ขัดแย้งนั้น.

2. คำจำกัดความ.

คำที่กำหนดในส่วนนี้จะมีความหมายตามที่ระบุไว้ด้านล่าง และคำที่เกี่ยวข้องจะต้องตีความตามนั้น. คำที่มีตัวอักษรตัวใหญ่ซึ่งใช้แต่ไม่ได้กำหนดในข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่จะมีความหมายตามที่กำหนดในข้อตกลง.

1. 1. “กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ” หมายถึงกฎหมายการคุ้มครองข้อมูลและความเป็นส่วนตัวที่ใช้บังคับทั้งหมดที่ใช้กับการประมวลผลซึ่งเป็นหัวข้อของข้อตกลงและข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่ ซึ่งอาจมีการแก้ไขหรือแทนที่จากเวลาเป็นเวลา.
  2. “กฎหมายความเป็นส่วนตัวของแคลิฟอร์เนีย” หมายถึงพระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแคลิฟอร์เนียปี 2018, Cal. ประมวลกฎหมายแพ่ง § 1798.100 และต่อมา (รวมถึง “CCPA”), ตามที่แก้ไข (รวมถึงโดยพระราชบัญญัติสิทธิความเป็นส่วนตัวของแคลิฟอร์เนีย) และกฎหมายรองและระเบียบการดำเนินการใด ๆ.
  3. “ผู้ควบคุม” หมายถึง: (i) หน่วยงานที่กำหนดวัตถุประสงค์และวิธีการของการประมวลผลข้อมูลส่วนบุคคล และ (ii) บุคคลหรือหน่วยงานใด ๆ ที่อยู่ภายในขอบเขตของคำว่า “ผู้ควบคุม” หรือ “ธุรกิจ” (หรือคำที่มีความหมายใกล้เคียงกัน) ตามที่กำหนดไว้ภายใต้กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ.
  4. “ข้อมูลส่วนบุคคล” หมายถึง: (i) บุคคลธรรมชาติที่สามารถระบุได้หรือระบุได้ (และสำหรับวัตถุประสงค์เหล่านี้ บุคคลธรรมชาติที่สามารถระบุได้คือบุคคลที่สามารถระบุได้โดยตรงหรือโดยอ้อม โดยเฉพาะอย่างยิ่งโดยอ้างอิงถึงตัวระบุ เช่น ชื่อ หมายเลขประจำตัว ข้อมูลตำแหน่ง ตัวระบุออนไลน์ หรือปัจจัยเฉพาะอื่น ๆ ที่เกี่ยวข้องกับอัตลักษณ์ทางกายภาพ สรีรวิทยา พันธุกรรม จิตใจ เศรษฐกิจ วัฒนธรรม หรือสังคมของบุคคลธรรมชาตินั้น) และ (ii) บุคคลใด ๆ ที่อยู่ภายในขอบเขตของคำว่า “ข้อมูลส่วนบุคคล”, “ผู้บริโภค” (หรือคำที่มีความหมายใกล้เคียงกัน) ตามที่กำหนดไว้ภายใต้กฎหมายการคุ้มครองข้อมูล.
  5. “กฎหมายการคุ้มครองข้อมูลของสหภาพยุโรป” หมายถึง: (i) กฎระเบียบทั่วไปว่าด้วยการคุ้มครองข้อมูลของสหภาพยุโรป (กฎระเบียบ 2016/679) (“EU GDPR”); (ii) กฎระเบียบ e-Privacy ของสหภาพยุโรป (กฎระเบียบ 2002/58/EC); และ (iii) กฎหมายการคุ้มครองข้อมูลระดับชาติใด ๆ ที่จัดทำขึ้นภายใต้หรืออิงตาม (i) หรือ (ii) ซึ่งอาจมีการแก้ไขหรือแทนที่จากเวลาเป็นเวลา.
  6. “ข้อมูลส่วนบุคคล” หมายถึงข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลที่ระบุได้หรือระบุได้ (และคำดังกล่าวจะรวมถึงเมื่อกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับกำหนดให้มีการระบุเบราว์เซอร์หรืออุปกรณ์ที่ไม่ซ้ำกัน) ตามที่ระบุไว้ในภาคผนวก A, ส่วน B.
    1. “ข้อมูลส่วนบุคคลในการโต้ตอบ” หมายถึงข้อมูลส่วนบุคคลใด ๆ ที่เก็บรวบรวมจากผู้บริโภคในขณะหรือหลังจากการโต้ตอบโดยเจตนาของผู้บริโภคกับ Taboola, ผลิตภัณฑ์ของ Taboola, ทรัพย์สินของ Taboola และโฆษณาที่ Taboola วางไว้.
    2. “ข้อมูลส่วนบุคคลที่เก็บรวบรวมแบบพาสซีฟ” หมายถึง ข้อมูลส่วนบุคคลใด ๆ ที่เก็บรวบรวมแบบพาสซีฟจากคุณสมบัติของผู้เผยแพร่ รวมถึงแต่ไม่จำกัดเพียงที่อยู่ IP, URL หน้าเว็บ และสตริงตัวแทนผู้ใช้ที่เก็บรวบรวมโดย Taboola ก่อนหรือไม่มีการมีปฏิสัมพันธ์โดยเจตนาของผู้บริโภคกับ Taboola, ผลิตภัณฑ์ของ Taboola, คุณสมบัติของ Taboola และโฆษณาที่ Taboola วางไว้.
  7. “กระบวนการ” หมายถึง การดำเนินการใด ๆ หรือชุดของการดำเนินการที่ดำเนินการกับข้อมูลส่วนบุคคลหรือชุดของข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การเก็บรวบรวม การรับ การบันทึก การจัดระเบียบ การจัดโครงสร้าง การใช้ การส่ง การเข้าถึง การแบ่งปัน การเปิดเผย การโอน การจัดเก็บ การปรับเปลี่ยนหรือการเปลี่ยนแปลง การดึงข้อมูล การปรึกษา การเผยแพร่ หรือการทำให้พร้อมใช้งานในลักษณะอื่น การจัดเรียงหรือการรวมกัน การรวมกลุ่ม การอนุมาน การอนุพันธ์ การวิเคราะห์ การจำกัด การลบ การทำลายหรือการกำจัด หรือการจัดการข้อมูลส่วนบุคคลอื่น ๆ รวมถึงวิธีที่คำดังกล่าวถูกกำหนดภายใต้กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ.
  8. “ผู้ประมวลผล” หมายถึง หน่วยงานที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม และรวมถึงวิธีที่คำดังกล่าวและ/หรือคำว่า “ผู้ประมวลผลข้อมูล” (หรือคำที่มีความหมายใกล้เคียงกัน) ถูกกำหนดภายใต้กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ.
  9. “การโอนที่จำกัด” หมายถึง: (i) เมื่อ GDPR ของสหภาพยุโรปมีผลบังคับใช้ การโอนข้อมูลส่วนบุคคลจาก EEA ไปยังประเทศนอก EEA ที่ไม่ได้อยู่ภายใต้การพิจารณาความเหมาะสมโดยคณะกรรมาธิการยุโรป (“การโอนที่จำกัดของสหภาพยุโรป“); และ (ii) เมื่อ GDPR ของสหราชอาณาจักรมีผลบังคับใช้ การโอนข้อมูลส่วนบุคคลจากสหราชอาณาจักรไปยังประเทศอื่นใดที่ไม่ได้อยู่ภายใต้หรืออิงตามกฎระเบียบความเหมาะสมตามมาตรา 17A ของพระราชบัญญัติคุ้มครองข้อมูลของสหราชอาณาจักรปี 2018 (“การโอนที่จำกัดของสหราชอาณาจักร“).
  10. “บริการ” หมายถึง บริการที่จัดทำโดย Taboola ภายใต้ข้อตกลงกับผู้เผยแพร่.
  11. “เหตุการณ์ด้านความปลอดภัย” หมายถึง การละเมิดความปลอดภัยที่นำไปสู่อุบัติเหตุหรือการทำลาย การสูญหาย การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลส่วนบุคคล.
  12. “ข้อกำหนดสัญญามาตรฐาน” หมายถึง: (i) เมื่อ GDPR ของสหภาพยุโรปมีผลบังคับใช้ ข้อกำหนดสัญญาที่แนบมากับการตัดสินใจของคณะกรรมาธิการยุโรปที่ใช้บังคับ 2021/914 วันที่ 4 มิถุนายน 2021 เกี่ยวกับข้อกำหนดสัญญามาตรฐานสำหรับการโอนข้อมูลส่วนบุคคลไปยังประเทศที่สามตามระเบียบ (EU) 2016/679 ของรัฐสภายุโรปและของสภา (“EU SCCs”); และ (ii) เมื่อ GDPR ของสหราชอาณาจักรมีผลบังคับใช้ “เอกสารเพิ่มเติมการโอนข้อมูลระหว่างประเทศไปยังข้อกำหนดสัญญามาตรฐานของคณะกรรมาธิการสหภาพยุโรป” ที่ออกโดยผู้บัญชาการข้อมูลภายใต้ s.119A(1) ของ DPA 2018 (“UK Addendum”).
  13. “บุคคลที่สาม” หมายถึง ธุรกิจที่ทำหน้าที่เป็นผู้ควบคุมเกี่ยวกับข้อมูลส่วนบุคคล และไม่ใช่ธุรกิจที่ผู้มีข้อมูลซึ่งข้อมูลส่วนบุคคลของเขาถูกประมวลผลได้มีปฏิสัมพันธ์โดยเจตนา; คำนี้รวมถึงวิธีที่คำดังกล่าวถูกกำหนดภายใต้กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ.
  14. “กฎหมายการคุ้มครองข้อมูลของสหราชอาณาจักร” หมายถึง: (i) พระราชบัญญัติคุ้มครองข้อมูลของสหราชอาณาจักรปี 2018, (ii) GDPR ของสหราชอาณาจักร (ตามที่กำหนดใน s.3(10) ของพระราชบัญญัติคุ้มครองข้อมูลของสหราชอาณาจักรปี 2018) (“UK GDPR”), (iii) กฎระเบียบความเป็นส่วนตัวและการสื่อสารทางอิเล็กทรอนิกส์ของสหราชอาณาจักร (EC Directive) ปี 2003), และ (iv) กฎหมายอื่น ๆ ของสหราชอาณาจักรที่ออกภายใต้หรืออิงตาม (i), (ii) หรือ (iii) แต่ละฉบับอาจมีการแก้ไขหรือแทนที่จากเวลาเป็นเวลา.

3. ข้อจำกัดวัตถุประสงค์.

สำหรับข้อมูลส่วนบุคคลที่ประมวลผลเกี่ยวกับบริการ แต่ละฝ่ายตกลงว่าจะประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวมได้เฉพาะเพื่อวัตถุประสงค์ที่อธิบายไว้ในภาคผนวก A, ส่วน B (“วัตถุประสงค์ที่อนุญาต“) และตามที่อนุญาตโดยข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่ ข้อตกลง และกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ ซึ่งแต่ละฉบับอาจมีการปรับปรุงจากเวลาเป็นเวลา. Taboola อาจประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวมแบบพาสซีฟตามที่อนุญาตโดยนโยบายความเป็นส่วนตัวของ Taboola และอาจมีการปรับปรุงจากเวลาเป็นเวลา.

4. ความสัมพันธ์ของฝ่าย.

แต่ละฝ่ายจะประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวมแบบพาสซีฟในฐานะผู้ควบคุมหรือบุคคลที่สาม ตามที่เหมาะสม. แต่ละฝ่ายจะประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวมแบบมีปฏิสัมพันธ์ในฐานะผู้ควบคุมหรือธุรกิจ ตามที่เหมาะสม. การเปิดเผย (ไม่ว่าจะโดยตรงหรือผ่านฝ่ายที่ทำให้ข้อมูลพร้อมใช้งานแก่ฝ่ายอื่น) ของข้อมูลส่วนบุคคลจากฝ่ายหนึ่งไปยังอีกฝ่ายหนึ่งถือเป็นการเปิดเผยต่อบุคคลที่สาม.

1. 1. หากกฎหมายการคุ้มครองข้อมูลของสหรัฐอเมริกาหรือรัฐของสหรัฐอเมริกามีผลบังคับใช้กับข้อมูลส่วนบุคคล รวมถึงแต่ไม่จำกัดเพียงกฎหมายความเป็นส่วนตัวของแคลิฟอร์เนีย ในกรณีที่ Taboola ประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวมแบบพาสซีฟเกี่ยวกับบริการ Taboola จะทำหน้าที่เป็นบุคคลที่สามต่อผู้เผยแพร่สำหรับข้อมูลส่วนบุคคลที่เก็บรวบรวมแบบพาสซีฟดังกล่าว. Taboola จะประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวมแบบพาสซีฟเพื่อวัตถุประสงค์ที่อธิบายไว้ในภาคผนวก A, ส่วน B และตามที่อนุญาตโดยข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่ ข้อตกลง กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ และนโยบายความเป็นส่วนตัวของ Taboola ซึ่งแต่ละฉบับอาจมีการปรับปรุงจากเวลาเป็นเวลา. ข้อมูลส่วนบุคคลที่เก็บรวบรวมแบบพาสซีฟดังกล่าวจะถูกทำให้พร้อมใช้งานแก่ Taboola สำหรับวัตถุประสงค์ดังกล่าวเท่านั้น. Taboola จะให้การคุ้มครองความเป็นส่วนตัวในระดับเดียวกันตามที่ธุรกิจต้องการตามกฎหมายการคุ้มครองข้อมูลของสหรัฐอเมริกาที่ใช้บังคับ รวมถึงหากมีผลบังคับใช้ กฎหมายความเป็นส่วนตัวของแคลิฟอร์เนีย. ผู้เผยแพร่มีสิทธิ์ในการตรวจสอบให้แน่ใจว่า Taboola ใช้ข้อมูลส่วนบุคคลแบบ Passive-Interaction ในลักษณะที่สอดคล้องกับข้อผูกพันของผู้เผยแพร่ เมื่อแจ้งให้ Taboola ทราบ ผู้เผยแพ่มีสิทธิ์ในการดำเนินการขั้นตอนที่เหมาะสมและสมเหตุสมผลเพื่อหยุดและแก้ไขการใช้ข้อมูลส่วนบุคคลที่ไม่ได้รับอนุญาตซึ่งผู้เผยแพร่ทำให้ Taboola ใช้ Taboola จะแจ้งให้ผู้เผยแพร่ทราบภายในระยะเวลาที่กำหนดโดยกฎหมายการคุ้มครองข้อมูลที่เกี่ยวข้องหาก Taboola ตัดสินใจว่าไม่สามารถปฏิบัติตามข้อผูกพันตามกฎหมายการคุ้มครองข้อมูลที่เกี่ยวข้องได้อีกต่อไป ในกรณีที่ Taboola เก็บข้อมูลส่วนบุคคลแบบ Interaction ในการให้บริการ จะต้องทำเช่นนั้นในฐานะธุรกิจที่แยกต่างหาก

5. การบังคับใช้กฎหมายการคุ้มครองข้อมูล

ฝ่ายต่างๆ ยอมรับว่าพวกเขาอาจประมวลผลข้อมูลส่วนบุคคลและกฎหมายการคุ้มครองข้อมูลที่เกี่ยวข้องอาจใช้กับการประมวลผลข้อมูลส่วนบุคคลของแต่ละฝ่าย ในกรณีนี้แต่ละฝ่ายจะต้องปฏิบัติตามกฎหมายการคุ้มครองข้อมูลที่เกี่ยวข้องในเรื่องการประมวลผลข้อมูลส่วนบุคคล ในกรณีนี้และขึ้นอยู่กับมาตรา 7 แต่ละฝ่ายจะต้องรับผิดชอบต่อการปฏิบัติตามกฎหมายการคุ้มครองข้อมูลที่เกี่ยวข้องของตนเอง รวมถึงข้อกำหนดที่เกี่ยวข้องในการ: (i) ให้ความโปร่งใสแก่ผู้ที่เกี่ยวข้องกับข้อมูล (ii) มีความยินยอม หรือฐานทางกฎหมายอื่นสำหรับการประมวลผล และ (iii) จัดให้มีจุดติดต่อที่ผู้ที่เกี่ยวข้องกับข้อมูลสามารถใช้เพื่อใช้สิทธิในการคุ้มครองข้อมูลของตน ผู้เผยแพร่จะต้องแจ้งให้ Taboola ทราบโดยเร็วหากและในขอบเขตที่ได้รับคำขอสิทธิในการคุ้มครองข้อมูลใดๆ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของ Taboola ในฐานะผู้ควบคุม เพื่อให้ Taboola สามารถปฏิบัติตามคำขอดังกล่าวตามข้อผูกพันของตนภายใต้กฎหมายการคุ้มครองข้อมูลที่เกี่ยวข้อง

ผู้เผยแพร่จะต้องส่งคำขอจากผู้ที่เกี่ยวข้องที่ได้รับเกี่ยวกับบริการของ Taboola ไปยัง พอร์ทัลคำขอการเข้าถึงข้อมูลของผู้ที่เกี่ยวข้องทั่วโลกของ Taboola หรือ สหรัฐอเมริกา พอร์ทัลการเลือกไม่เข้าร่วมสิทธิของผู้บริโภค ตามที่เหมาะสม

6. ความร่วมมือ

หากฝ่ายใดฝ่ายหนึ่งได้รับการสอบถาม คำร้องเรียน หรือการติดต่อ (“การแจ้งเตือนจากบุคคลที่สาม“) จากบุคคล หน่วยงานกำกับดูแล หรือบุคคลที่สามอื่นเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของผู้ที่เกี่ยวข้องในความสัมพันธ์กับบริการ จะต้องแจ้งให้ฝ่ายอื่นทราบโดยเร็ว และฝ่ายต่างๆ จะต้องร่วมมือกันอย่างจริงใจและตามความจำเป็นเพื่อจัดการกับข้อกำหนดของการแจ้งเตือนจากบุคคลที่สามดังกล่าว

7. การโอนระหว่างประเทศ

ในกรณีที่ฝ่ายใดฝ่ายหนึ่งทำการโอนข้อมูลส่วนบุคคลที่ถูกจำกัดไปยังอีกฝ่ายหนึ่ง ข้อกำหนดในภาคผนวก C จะต้องใช้

8. ความโปร่งใสสำหรับผู้เยี่ยมชมในทรัพย์สินของผู้เผยแพร่

ในกรณีที่ Taboola เก็บข้อมูลส่วนบุคคลจากทรัพย์สินของผู้เผยแพร่โดยใช้โค้ดของ Taboola พิกเซล และเทคโนโลยีการติดตามอื่นๆ ผู้เผยแพร่จะต้อง: (i) ให้ข้อมูลโปร่งใสที่จำเป็นทั้งหมดแก่ผู้ที่เกี่ยวข้องเกี่ยวกับการใช้โค้ดของ Taboola ในการเก็บข้อมูลส่วนบุคคลจากทรัพย์สินของผู้เผยแพร่เพื่อวัตถุประสงค์ที่อนุญาต และ (ii) ได้รับ (และเมื่อมีการร้องขอโดย Taboola ในเวลาใดก็ได้ ให้จัดเตรียมหลักฐานที่เหมาะสม) ความยินยอมจากผู้ที่เกี่ยวข้องต่อการใช้โค้ดของ Taboola สำหรับวัตถุประสงค์ที่อนุญาต โดยในแต่ละกรณีจะต้องเป็นไปตามข้อกำหนดของกฎหมายการคุ้มครองข้อมูลที่เกี่ยวข้อง ข้อผูกพันของผู้เผยแพร่ในเรื่องนี้รวมถึงการระบุ Taboola และการใช้โค้ดของ Taboola สำหรับวัตถุประสงค์ที่อนุญาตอย่างชัดเจนภายในข้อมูลโปร่งใสและการกระตุ้นความยินยอมที่ผู้เผยแพร่ให้กับผู้ที่เกี่ยวข้อง รวมถึงข้อมูลอื่นๆ ที่กฎหมายการคุ้มครองข้อมูลที่เกี่ยวข้องกำหนด เพื่อให้ Taboola สามารถให้บริการอย่างถูกกฎหมายผ่านทรัพย์สินดังกล่าวและประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ที่อนุญาต เมื่อมีการร้องขอเป็นลายลักษณ์อักษร Taboola จะต้องจัดให้ผู้เผยแพร่มีข้อมูลดังกล่าวตามที่ผู้เผยแพร่ต้องการอย่างสมเหตุสมผลเกี่ยวกับโค้ดของ Taboola และการประมวลผลข้อมูลส่วนบุคคลของ Taboola ผ่านทรัพย์สินของผู้เผยแพร่ เพื่อให้ผู้เผยแพร่สามารถตรวจสอบให้แน่ใจว่ากลไกการแจ้งเตือนและการยินยอมของตนจะเป็นไปตามกฎหมายการคุ้มครองข้อมูลที่เกี่ยวข้อง ผู้เผยแพร่ตกลงโดยเฉพาะว่า:

เกี่ยวกับคุณสมบัติที่เป็นเว็บนโยบายความเป็นส่วนตัวของผู้เผยแพร่จะอธิบายการใช้คุกกี้ ตัวระบุเฉพาะ และเทคโนโลยีที่ไม่ใช่คุกกี้โดยบุคคลที่สาม (เช่น Taboola) สำหรับการโฆษณาที่อิงตามความสนใจและการวิเคราะห์ (ทั้งในและนอกคุณสมบัติ) และจะให้ลิงก์ไปยังหน้าออกจากอุตสาหกรรมของ NAI ที่ http://www.networkadvertising.org หน้าออกจากอุตสาหกรรมของ DAA ที่ http://www.aboutads.info หรือ (ในกรณีของสื่อที่เป็นเว็บในยุโรปและการเก็บข้อมูล) ลิงก์ไปยังลิงก์ออกจาก EDAA ที่ http://www.youronlinechoices.eu ในลักษณะที่ตรงตามข้อกำหนดของกฎหมายการปกป้องข้อมูลที่ใช้บังคับ; และ
เกี่ยวกับคุณสมบัติที่เป็นแอปมือถือ นโยบายความเป็นส่วนตัวของผู้เผยแพร่จะอธิบายการใช้ SDKs และการเก็บรวบรวมตัวระบุโฆษณาบนมือถือสำหรับการโฆษณาที่อิงตามความสนใจหรือการโฆษณาข้ามแอปและการวิเคราะห์ (ทั้งในและนอกคุณสมบัติ) และให้คำอธิบายเกี่ยวกับวิธีที่ผู้ใช้และผู้เยี่ยมชมสามารถเลือกไม่เข้าร่วมการเก็บข้อมูลมือถือสำหรับการโฆษณาข้ามแอปผ่านการตั้งค่าอุปกรณ์.
สำหรับคุณสมบัติที่มุ่งหน้าไปยังสหภาพยุโรป ผู้เผยแพร่จะต้องมั่นใจว่ามีการขอความยินยอมจากผู้เยี่ยมชมอย่างอิสระ เฉพาะเจาะจง มีข้อมูล และชัดเจนตามกฎหมายความเป็นส่วนตัวของสหภาพยุโรป เกี่ยวกับการวางหรือเข้าถึงคุกกี้ Taboola หรือระบุเฉพาะอื่นใดบนอุปกรณ์ของผู้เยี่ยมชม. ผู้เผยแพร่จะต้องให้รายละเอียดการติดต่อแก่ผู้เยี่ยมชม (ซึ่งอาจรวมถึงการทำให้รายละเอียดเหล่านั้นสามารถเข้าถึงได้ผ่านนโยบายความเป็นส่วนตัว) เพื่อให้พวกเขาสามารถติดต่อผู้เผยแพร่เพื่อใช้สิทธิในการปกป้องข้อมูลของตน (รวมถึงในความสัมพันธ์กับข้อมูลส่วนบุคคลที่ประมวลผลเกี่ยวกับบริการ). ข้อผูกพันข้างต้นใช้บังคับเมื่อคุณสมบัติของผู้เผยแพร่ดึงดูดผู้เยี่ยมชมในเขตอำนาจศาลที่ต้องการกลไกการยินยอมเกี่ยวกับบริการ.

9. ไม่ใช่คำแนะนำทางกฎหมาย.

ในระหว่างระยะเวลา Taboola อาจให้คำแนะนำเกี่ยวกับนโยบายความเป็นส่วนตัวหรือภาษาการเปิดเผยแก่ผู้เผยแพร่. ผู้เผยแพร่รับทราบว่าไม่ควรพึ่งพาภาษาที่แนะนำดังกล่าวเป็น หรือเป็นทางเลือกสำหรับคำแนะนำทางกฎหมาย และผู้เผยแพร่หรือบริษัทเองมีความรับผิดชอบแต่เพียงผู้เดียวสำหรับการเปิดเผยใด ๆ ใน นโยบายความเป็นส่วนตัวหรือบนเว็บไซต์ของตน.

10. ข้อมูลที่เก็บรวบรวม.

ผู้เผยแพร่จะไม่ให้หรือกำหนดค่าให้บริการเพื่อเก็บรวบรวมหรือเปิดเผยข้อมูลส่วนบุคคลประเภทพิเศษหรือข้อมูลส่วนบุคคลที่ละเอียดอ่อนหรือข้อมูลที่ละเอียดอ่อน (ตามที่กำหนดไว้ภายใต้กฎหมายการปกป้องข้อมูลที่ใช้บังคับ) ให้กับ Taboola สำหรับการประมวลผล. นอกจากนี้ ผู้เผยแพร่จะต้องมั่นใจว่าลิงก์ URL ใด ๆ ที่ให้กับ Taboola จะไม่รวมข้อมูลชื่อวิดีโอ. Taboola ขอสงวนสิทธิ์ในการระงับบริการสำหรับความล้มเหลวของผู้เผยแพร่ในการปฏิบัติตามย่อหน้านี้ เว้นแต่และจนกว่าความล้มเหลวดังกล่าวจะได้รับการแก้ไข.

11. ความปลอดภัย.

แต่ละฝ่ายจะต้องดำเนินการตามมาตรการด้านเทคนิคและการจัดการด้านความปลอดภัยที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลของผู้เยี่ยมชมจากเหตุการณ์ด้านความปลอดภัย. มาตรการเหล่านี้จะรวมถึงมาตรการที่กำหนดไว้ในภาคผนวก B.

12. เหตุการณ์ด้านความปลอดภัย.

หากฝ่ายใดฝ่ายหนึ่งประสบเหตุการณ์ด้านความปลอดภัยเกี่ยวกับข้อมูลส่วนบุคคลที่ประมวลผลและซึ่งเป็นหัวข้อของข้อตกลงและข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่ ฝ่ายนั้นจะต้อง: (i) รับผิดชอบในการปฏิบัติตาม (โดยมีค่าใช้จ่ายของตนเอง) ข้อกำหนดในการรายงานที่ใช้บังคับตามกฎหมายการปกป้องข้อมูลที่ใช้บังคับต่อหน่วยงานปกป้องข้อมูลและ/หรือผู้ที่ได้รับผลกระทบ (ii) แจ้งฝ่ายอื่นโดยไม่ชักช้า โดยให้ข้อมูลเกี่ยวกับเหตุการณ์ด้านความปลอดภัยตามที่ฝ่ายอื่นอาจร้องขออย่างสมเหตุสมผลหรือที่จำเป็นอื่น ๆ เพื่อให้ฝ่ายอื่นสามารถกำหนดได้ว่าตนอาจมีข้อกำหนดในการรายงานตามกฎหมายการปกป้องข้อมูลที่ใช้บังคับเกี่ยวกับเหตุการณ์ด้านความปลอดภัยหรือไม่ และ (iii) ดำเนินการและมาตรการทั้งหมดโดยไม่ชักช้า ซึ่งเหมาะสมเพื่อแก้ไขและ/หรือลดผลกระทบของเหตุการณ์ด้านความปลอดภัย.

13. การประเมินผลกระทบด้านการปกป้องข้อมูล.

เมื่อใดและในขอบเขตที่กฎหมายการปกป้องข้อมูลที่ใช้บังคับซึ่งแต่ละฝ่ายอยู่ภายใต้กำหนดให้แต่ละฝ่ายต้องดำเนินการประเมินผลกระทบด้านการปกป้องข้อมูลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลสำหรับวัตถุประสงค์ที่ได้รับอนุญาตและ/หรือปรึกษากับหน่วยงานปกป้องข้อมูลที่เกี่ยวข้องเมื่อจำเป็น. แต่ละฝ่ายจะต้องให้ความร่วมมือและข้อมูลที่สมเหตุสมผลตามที่ฝ่ายอื่นร้องขอ โดยที่สิ่งนี้จำเป็นเพื่อให้ฝ่ายอื่นสามารถดำเนินการประเมินผลกระทบด้านการปกป้องข้อมูลและ/หรือปรึกษากับหน่วยงานปกป้องข้อมูลที่เกี่ยวข้องตามข้อผูกพันของฝ่ายอื่นภายใต้ส่วนนี้.

ภาคผนวก A

คำอธิบายของการประมวลผล

A. รายชื่อฝ่าย

แต่ละฝ่ายจะเป็น:

ผู้ควบคุมข้อมูล (และผู้ส่งออกข้อมูล) ของข้อมูลที่เก็บรวบรวมที่เปิดเผยหรือทำให้พร้อมใช้งานแก่ฝ่ายอื่น และ
ผู้ควบคุมข้อมูล (และผู้นำเข้าข้อมูล) ของข้อมูลที่เก็บรวบรวมที่ได้รับจากหรือที่มีการเข้าถึงที่ทำให้พร้อมใช้งานโดยฝ่ายอื่น

รายละเอียดของแต่ละฝ่ายมีดังต่อไปนี้

ชื่อ: ดูรายละเอียดของผู้โฆษณาที่ระบุไว้ในข้อตกลง

ที่อยู่: ดูรายละเอียดของผู้โฆษณาที่ระบุไว้ในข้อตกลง

ชื่อผู้ติดต่อ ตำแหน่ง และรายละเอียดการติดต่อ: ดูรายละเอียดของผู้โฆษณาที่ระบุไว้ในข้อตกลงหรือที่ตกลงกันเป็นลายลักษณ์อักษรระหว่างฝ่าย

กิจกรรมที่เกี่ยวข้องกับข้อมูลที่ถ่ายโอนภายใต้ข้อกำหนดเหล่านี้: การรับบริการตามที่ระบุไว้ในข้อตกลง

ลายเซ็นและวันที่: ภาคผนวก A นี้จะถือว่าถูกดำเนินการเมื่อผู้โฆษณายอมรับข้อกำหนดความเป็นส่วนตัวของผู้โฆษณาเหล่านี้.

บทบาท (ผู้ควบคุม/ผู้ประมวลผล): ผู้ควบคุม (เมื่อเป็นผู้ส่งออกข้อมูล) และผู้ควบคุม (เมื่อเป็นผู้รับข้อมูล)

ชื่อ: ดูรายละเอียดของ Taboola ที่ระบุไว้ในบทนำของข้อตกลง.

ที่อยู่: ดูรายละเอียดของ Taboola ที่ระบุไว้ในบทนำของข้อตกลง.

ชื่อผู้ติดต่อ ตำแหน่ง และรายละเอียดการติดต่อ: ทีมความเป็นส่วนตัวของ Taboola, privacy@taboola.com.

กิจกรรมที่เกี่ยวข้องกับข้อมูลที่ถ่ายโอนภายใต้ข้อกำหนดเหล่านี้: การให้บริการตามที่ระบุไว้ในข้อตกลง.

ลายเซ็นและวันที่: ภาคผนวก A นี้จะถือว่าถูกดำเนินการเมื่อ Taboola ยอมรับข้อกำหนดความเป็นส่วนตัวของผู้โฆษณาเหล่านี้.

B. คำอธิบายของการประมวลผลและการโอน

หมวดหมู่ของผู้ที่เกี่ยวข้องกับข้อมูลที่ข้อมูลส่วนบุคคลถูกประมวลผลและ/หรือโอน: ผู้ใช้

หมวดหมู่ของข้อมูลส่วนบุคคลที่ถูกประมวลผลและ/หรือโอน:

ข้อมูลอุปกรณ์: ระบบปฏิบัติการ ประเภทเบราว์เซอร์ เวอร์ชันเบราว์เซอร์ ที่อยู่ IP (ตัดทอนภายใน 30 วัน) ของการเก็บรวบรวม รหัสไปรษณีย์ (ได้มาจากที่อยู่ IP) รหัสผู้ใช้ Taboola ที่ถูกแฮช อีเมลที่ถูกแฮช การเยี่ยมชมหน้าแรกและหน้าถัดไปในเว็บไซต์ของผู้โฆษณา เพศของผู้ใช้ (อนุมานจากความสนใจ) สัญญาณการมีส่วนร่วม (เวลาในเว็บไซต์ ความลึกของการเลื่อน ความลึกของเซสชัน) ข้อมูลการแปลง.

ข้อมูลเกี่ยวกับทรัพย์สินดิจิทัลที่ผู้ใช้เข้าชม: URL ของหน้าที่เข้าชม เว็บไซต์ที่อ้างอิง

ข้อมูลที่ละเอียดอ่อนที่ถ่ายโอน (ถ้ามี) และข้อจำกัดหรือมาตรการป้องกันที่ใช้ได้อย่างเต็มที่ซึ่งพิจารณาถึงลักษณะของข้อมูลและความเสี่ยงที่เกี่ยวข้อง เช่น การจำกัดวัตถุประสงค์อย่างเข้มงวด ข้อจำกัดการเข้าถึง (รวมถึงการเข้าถึงเฉพาะสำหรับพนักงานที่ผ่านการฝึกอบรมเฉพาะทาง) การเก็บบันทึกการเข้าถึงข้อมูล ข้อจำกัดสำหรับการถ่ายโอนต่อไปหรือมาตรการรักษาความปลอดภัยเพิ่มเติม: ไม่สามารถใช้ได้.

ความถี่ของการประมวลผลและ/หรือการถ่ายโอน (เช่น ข้อมูลถูกประมวลผลและ/หรือถ่ายโอนในลักษณะครั้งเดียวหรืออย่างต่อเนื่อง): ต่อเนื่องตลอดระยะเวลาของข้อตกลง.

ลักษณะของการประมวลผล: การประมวลผลข้อมูลส่วนบุคคลที่จำเป็นสำหรับการให้บริการตามที่ระบุในข้อตกลง.

วัตถุประสงค์ของการประมวลผลข้อมูล / การถ่ายโอนและการประมวลผลเพิ่มเติม: การให้บริการตามที่ระบุไว้ในข้อตกลง. เพื่อหลีกเลี่ยงความสงสัย วัตถุประสงค์ที่อนุญาตรวมถึง: (i) การจัดเก็บและ/หรือการเข้าถึงข้อมูลบนอุปกรณ์; (ii) การเลือกโฆษณาพื้นฐาน; (iii) การสร้างโปรไฟล์โฆษณาที่ปรับให้เหมาะสม; (iv) การเลือกโฆษณาที่ปรับให้เหมาะสม; (v) การสร้างโปรไฟล์เนื้อหาที่ปรับให้เหมาะสม; (vi) การเลือกเนื้อหาที่ปรับให้เหมาะสม; (vii) การวัดประสิทธิภาพโฆษณา; (viii) การวัดประสิทธิภาพเนื้อหา; (ix) การพัฒนาและปรับปรุงผลิตภัณฑ์; (x) การรับประกันความปลอดภัย การป้องกันการฉ้อโกง และการแก้ไขข้อบกพร่อง; (xi) การส่งมอบโฆษณาหรือเนื้อหาในทางเทคนิค; (xii) การจับคู่และรวมแหล่งข้อมูลออฟไลน์; (xiii) การเชื่อมโยงอุปกรณ์ต่างๆ; (xiv) การรับและใช้ลักษณะของอุปกรณ์ที่ส่งโดยอัตโนมัติสำหรับการระบุ; (xv) การใช้ข้อมูลที่จำกัดเพื่อเลือกเนื้อหา และ (xvi) การเข้าใจผู้ชมผ่านสถิติ.

ระยะเวลาที่ข้อมูลส่วนบุคคลจะถูกเก็บรักษา หรือหากไม่สามารถทำได้ เกณฑ์ที่ใช้ในการกำหนดระยะเวลานั้น:

Taboola: ข้อมูลดิบจะถูกเก็บรักษาไม่เกิน 13 เดือน.
ผู้โฆษณา: ตราบใดที่จำเป็นต้องได้รับบริการหรือเป็นไปตามที่ระบุในข้อตกลง.

สำหรับการถ่ายโอนให้กับ (ซับ) ผู้ประมวลผล ให้ระบุหัวข้อ เนื้อหา และระยะเวลาของการประมวลผล: ไม่สามารถใช้ได้.

C. หน่วยงานกำกับดูแลที่มีความสามารถ

หน่วยงานกำกับดูแลที่มีความสามารถซึ่ง GDPR ของสหภาพยุโรปใช้บังคับ: หน่วยงานกำกับดูแลที่มีความสามารถสำหรับแต่ละฝ่ายมีรายละเอียดดังต่อไปนี้:

Taboola: หน่วยงานกำกับดูแลที่มีความสามารถจะถูกกำหนดตามข้อ 13 ของ SCCs ของสหภาพยุโรป.
ผู้โฆษณา: หน่วยงานกำกับดูแลที่มีความสามารถจะถูกกำหนดตามข้อ 13 ของ SCCs ของสหภาพยุโรป.

หน่วยงานกำกับดูแลที่มีความสามารถซึ่ง GDPR ของสหราชอาณาจักรใช้บังคับ: สำนักงานผู้ตรวจการข้อมูล

ภาคผนวก B

มาตรการรักษาความปล

คำอธิบายเกี่ยวกับมาตรการทางเทคนิคและการจัดการที่แต่ละฝ่ายดำเนินการ (รวมถึงการรับรองที่เกี่ยวข้อง) เพื่อให้แน่ใจว่ามีระดับความปลอดภัยที่เหมาะสม โดยคำนึงถึงลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการประมวลผล และความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลธรรมดา

มาตรการในการทำให้ข้อมูลส่วนบุคคลเป็นนามแฝงและการเข้ารหัสข้อมูล: Taboola เก็บข้อมูลที่เป็นนามแฝงเท่านั้น ซึ่งหมายความว่าเราไม่รู้ว่าคุณคือใครเพราะเราไม่รู้หรือประมวลผลชื่อ อีเมล หรือข้อมูลที่สามารถระบุตัวตนอื่น ๆ ของผู้ใช้ ข้อมูลผู้ใช้ที่เรารวบรวมรวมถึง แต่ไม่จำกัดเพียง ข้อมูลเกี่ยวกับอุปกรณ์และระบบปฏิบัติการของผู้ใช้ ที่อยู่ IP หน้าเว็บที่ผู้ใช้เข้าถึงภายในเว็บไซต์ของลูกค้า ลิงก์ที่นำผู้ใช้ไปยังเว็บไซต์ของลูกค้า วันที่และเวลาที่ผู้ใช้เข้าถึงเว็บไซต์ของลูกค้า และข้อมูลการท่องเว็บอื่น ๆ CookieID ถูกทำให้ไม่ระบุชื่อโดยใช้ Bcrypt และที่อยู่ IP ถูกตัดทอน

มาตรการเพื่อให้แน่ใจว่าความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความยืดหยุ่นของระบบและบริการการประมวลผลยังคงดำเนินต่อไป: Taboola ใช้ระดับความปลอดภัยทางอิเล็กทรอนิกส์หลายระดับ (เช่น ความปลอดภัยที่จุดสิ้นสุด ความปลอดภัยด้านเซิร์ฟเวอร์ การติดตามการตรวจจับ การทดสอบการเจาะระบบเป็นระยะ และการรวบรวมข้อมูลเชิงลึกเพื่อทบทวนเหตุการณ์หลังการตาย)

มาตรการเพื่อให้แน่ใจว่าสามารถกู้คืนความพร้อมใช้งานและการเข้าถึงข้อมูลส่วนบุคคลได้อย่างทันท่วงทีในกรณีที่เกิดเหตุการณ์ทางกายภาพหรือทางเทคนิค: Taboola มีศูนย์ข้อมูล 9 แห่งที่ดำเนินงานทั่วโลก ศูนย์ข้อมูลแต่ละแห่งถูกใช้เป็นการจำลองซึ่งกันและกัน ดังนั้นหากแห่งใดแห่งหนึ่งล่ม ข้อมูลสามารถถูกดึงออกจากศูนย์ข้อมูลอื่นได้

กระบวนการในการทดสอบ ประเมิน และประเมินประสิทธิภาพของมาตรการทางเทคนิคและการจัดการอย่างสม่ำเสมอเพื่อให้แน่ใจว่ามีความปลอดภัยในการประมวลผล: Taboola มีขั้นตอนที่เข้มงวดในการทดสอบประสิทธิภาพของการควบคุม (ทั้งทางเทคนิคและการจัดการ) เรามีการบันทึกและตรวจสอบระบบอยู่ในสถานที่ การทดสอบ DR อย่างน้อยเดือนละครั้ง การทดสอบการเจาะระบบรายไตรมาส ไฟร์วอลล์ที่ปกป้องเว็บ และ honeypots ที่กระจายอยู่ทั่วเครือข่ายเพื่อตรวจหากิจกรรมที่เป็นอันตราย นอกจากนี้ เรายังมีโปรแกรมรางวัลที่ช่วยให้เราสามารถตรวจสอบเครือข่ายของเราได้อย่างต่อเนื่อง

มาตรการสำหรับการระบุและการอนุญาตผู้ใช้: ผู้ใช้แต่ละคนใน Taboola จะถูกเชื่อมโยงกับชื่อผู้ใช้และรหัสผ่านที่กำหนดเฉพาะ การเข้าถึงเครือข่ายภายในของ Taboola ทุกครั้งจะทำโดยใช้ 2FA โดยใช้การตรวจสอบสิทธิ์ของ Google ผู้ใช้จะถูกสร้างขึ้นโดยแผนก IT เท่านั้น ในระหว่างกระบวนการ onboarding และเฉพาะหลังจากได้รับรายละเอียดทั้งหมดและสัญญาที่ลงนามจากแผนก HR

มาตรการในการปกป้องข้อมูลระหว่างการส่งข้อมูล: Taboola รองรับการส่งข้อมูลใด ๆ ผ่านโปรโตคอลการส่งข้อมูลที่ปลอดภัย (HTTPS และ TLS v1.2 เป็นขั้นต่ำ) นอกจากนี้ ระบบที่อาจมีข้อมูลส่วนบุคคล (PII) จะถูกป้องกันและข้อมูลจะถูกเก็บเป็นรหัสและไม่ระบุชื่อ

มาตรการในการปกป้องข้อมูลระหว่างการจัดเก็บ: ข้อมูลที่ถูกเก็บในฐานข้อมูลของเราจะถูกทำให้ไม่ระบุชื่อและเข้ารหัสด้วย Bcrypt การเข้าถึงฐานข้อมูลจะถูกจำกัดและขึ้นอยู่กับหลักการ ‘ความจำเป็นทางธุรกิจในการรู้’

มาตรการในการรับประกันความปลอดภัยทางกายภาพของสถานที่ที่มีการประมวลผลข้อมูลส่วนบุคคล: ศูนย์ข้อมูลทั่วโลกของ Taboola (ในสหรัฐอเมริกา, ยุโรป, และเอเชีย) มีเซิร์ฟเวอร์ทั้งหมดอยู่ในตู้ล็อคที่ดูแลเฉพาะสำหรับการใช้งานของ Taboola ตู้เหล่านี้ได้รับการดูแลโดยบริษัทที่ได้รับการรับรอง SOC2 หรือ Taboola ได้ตรวจสอบมาตรการด้านความปลอดภัยของพวกเขา นอกจากนี้ การเข้าถึงเซิร์ฟเวอร์ใด ๆ ต้องมีการอนุญาตเป็นลายลักษณ์อักษรและบันทึกไว้ สำนักงานของ Taboola ทุกแห่งยังถูกควบคุม และต้องการให้พนักงานใช้บัตรเข้าถึงเพื่อเข้า นอกจากนี้ มีพนักงานเพียงจำนวนจำกัดที่สามารถเข้าถึงเซิร์ฟเวอร์ของ Taboola และการเข้าถึงใด ๆ ยังต้องมีการอนุญาตเป็นลายลักษณ์อักษรและบันทึกไว้

มาตรการในการรับประกันการบันทึกเหตุการณ์: Taboola ใช้เครื่องมือการตรวจสอบและบันทึกจะถูกเก็บรวบรวมไปยังระบบ SIEM ของเรา ซึ่งจะแจ้งเตือนเราเกี่ยวกับเหตุการณ์ที่น่าสงสัยและยังถูกตรวจสอบโดยทีม NOC

มาตรการในการรับประกันการกำหนดค่าระบบ รวมถึงการกำหนดค่าเริ่มต้น: เซิร์ฟเวอร์จะถูกสแกนทั้งการเปลี่ยนแปลงการกำหนดค่าและระดับแพตช์ การรายงานและ/หรือการแจ้งเตือนจะถูกตั้งค่าในทั้งสองและระดับแพตช์ที่เกี่ยวข้องจะได้รับการยืนยัน แพตช์ใหม่จะถูกแจกจ่ายโดยใช้ Puppet การตรวจสอบทางเทคนิคทั้งหมดจะถูกจัดการผ่านแอปพลิเคชัน R&D และได้รับผ่านกระบวนการตรวจสอบอย่างเป็นทางการ (QA) หลังจากที่มีการเขียนโค้ดและกระบวนการ CI/CD ถูกดำเนินการแล้วเช่นกัน

มาตรการสำหรับการบริหารจัดการ IT ภายในและความปลอดภัยของ IT: Taboola ได้รับการรับรอง ISO 27001:2013 และ 27701 Taboola มีนโยบายความปลอดภัยข้อมูลที่ระบุว่าคณะกรรมการบริหารและผู้บริหารของ Taboola มุ่งมั่นที่จะรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของทรัพย์สินข้อมูลทางกายภาพและอิเล็กทรอนิกส์ทั้งหมดในองค์กรของพวกเขา Taboola จัดการฝึกอบรมด้านความปลอดภัยสำหรับพนักงานใหม่ทุกคน การฝึกอบรมการฟิชชิ่งสำหรับพนักงานทุกคนทั่วโลก และการฝึกอบรมด้านความปลอดภัยเป็นประจำสำหรับพนักงานทุกคน รวมถึงการจัดเซสชันเฉพาะสำหรับกลุ่มวิจัยและพัฒนา

มาตรการสำหรับการรับรอง/การรับรองกระบวนการและผลิตภัณฑ์: การตรวจสอบภายในรายไตรมาส/ครึ่งปี/ประจำปีในหลายกระบวนการและระบบเพื่อยืนยันว่า Taboola ปฏิบัติตามเป้าหมายและมาตรการด้านความปลอดภัยที่กำหนดไว้

มาตรการสำหรับการรับรองการลดข้อมูล: Taboola ตั้งใจที่จะจำกัดข้อมูลที่เรารวบรวมเป็นส่วนหนึ่งของหลักการลดข้อมูลทั่วโลกของ Taboola โดยการประมวลผลเฉพาะข้อมูลที่จำเป็นสำหรับวัตถุประสงค์ทางธุรกิจเฉพาะของเรา นอกจากนี้ Taboola ไม่มีความสามารถหรือความจำเป็นทางธุรกิจในการ “วิศวกรรมย้อนกลับ” ข้อมูลใด ๆ ที่ใช้ในอัลกอริธึมของเราเพื่อให้บริการของเรา โดยเฉพาะอย่างยิ่ง ข้อมูลที่ Taboola รวบรวมไม่เคยบ่งบอกถึงตัวตนของผู้ใช้ เนื่องจาก Taboola ไม่ได้รวบรวมหรือประมวลผลข้อมูลเช่นชื่อผู้ใช้ หมายเลขโทรศัพท์ อีเมล หรือที่อยู่ทางกายภาพ แทนที่จะเป็นเช่นนั้น Taboola รวบรวมเฉพาะตัวระบุที่ไม่ระบุชื่อ ซึ่งเพียงแค่ระบุลักษณะเกี่ยวกับอุปกรณ์ของผู้ใช้ นี่รวมถึงที่อยู่ IP (ซึ่งถูกตัดทอนเมื่อรวบรวมและสามารถระบุได้เพียงตำแหน่งรหัสไปรษณีย์ทั่วไปของอุปกรณ์ แต่ไม่เคยเป็นตำแหน่งทางภูมิศาสตร์ที่แม่นยำ) และในบางกรณีที่จำกัด ที่อยู่อีเมลที่ถูกแฮช (ซึ่งไม่สามารถย้อนกลับได้และไม่สามารถถอดรหัสเพื่อเปิดเผยที่อยู่อีเมลเดิมได้) นอกจากนี้ แม้เมื่อใช้ร่วมกัน ข้อมูลที่เรารวบรวมไม่สามารถผลิตชื่อ หมายเลขโทรศัพท์ อีเมล หรือที่อยู่ทางกายภาพของบุคคลใด ๆ ได้ และวิศวกรของเราไม่ได้ทำงานในทางใดทางหนึ่งเพื่อบรรลุเป้าหมายนี้ นอกจากนี้ Taboola ยังทำและบันทึกการประเมินผลกระทบด้านความเป็นส่วนตัวเพื่อพยายามลดความเสี่ยงด้านความเป็นส่วนตัวของบริการ กระบวนการ และนโยบายของเรา

มาตรการสำหรับการรับรองคุณภาพข้อมูล: ข้อมูลจะถูกรวบรวมโดยตรงจากผู้ใช้และผู้ใช้จะได้รับโอกาสในการแก้ไขข้อมูลใด ๆ ที่เกี่ยวข้องกับ CookieID ของพวกเขาผ่านทาง Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access

มาตรการสำหรับการรับรองการเก็บข้อมูลที่จำกัด: เราจะเก็บข้อมูลผู้ใช้ซึ่งถูกรวบรวมโดยตรงเพื่อวัตถุประสงค์ในการให้บริการโฆษณาเป็นระยะเวลาไม่เกินสิบสาม (13) เดือนนับจากการมีปฏิสัมพันธ์ครั้งสุดท้ายของผู้ใช้กับบริการของเรา (มักจะเป็นระยะเวลาที่สั้นกว่า) หลังจากนั้นเราจะทำให้ข้อมูลไม่สามารถระบุได้โดยการลบตัวระบุเฉพาะหรือการรวมข้อมูล กระบวนการนี้จะทำโดยอัตโนมัติ

มาตรการสำหรับการรับรองความรับผิดชอบ: Taboola ทำการตรวจสอบความปลอดภัยหลายครั้งและการทดสอบการเจาะระบบ (แต่ไม่ใช่สำหรับทุกระบบ) Taboola ยังใช้ผู้ให้บริการคลาวด์ที่ได้รับการรับรอง ISO และปฏิบัติตามการรับรองที่เกี่ยวข้องกับคลาวด์อื่น ๆ เพื่อรักษามาตรการป้องกันทางกายภาพของเซิร์ฟเวอร์

มาตรการในการอนุญาตให้มีการพกพาข้อมูลและการรับประกันการลบข้อมูล: Taboola ที่เกี่ยวข้องกับการกำจัดสื่อเหมือนกันสำหรับสื่อทุกประเภทเนื่องจากอาจมีข้อมูลส่วนบุคคล (PII) สื่อใด ๆ ต้องถูกลบออกอย่างสมบูรณ์ก่อนที่จะนำกลับมาใช้ใหม่หรือกำจัด การกำจัดสื่อใด ๆ จะต้องมีการบันทึก พนักงานได้รับคำแนะนำไม่ให้พิมพ์เอกสารใด ๆ ที่อาจมีข้อมูลส่วนบุคคล

ANNEX C

การโอนที่จำกัด

ในกรณีที่ฝ่ายใดฝ่ายหนึ่งทำการโอนข้อมูลที่จำกัดไปยังอีกฝ่ายหนึ่ง ข้อกำหนดสัญญามาตรฐานจะถูกนำมารวมไว้ในข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่เหล่านี้และจะใช้ตามที่ระบุไว้ดังนี้:

ก. ในกรณีที่การโอนข้อมูลที่จำกัดเป็นการโอนข้อมูลที่จำกัดของสหภาพยุโรป ข้อกำหนด SCC ของสหภาพยุโรปจะใช้ระหว่างฝ่ายต่าง ๆ ดังนี้:

(i) โมดูลหนึ่งจะใช้;
(ii) ในข้อ 7 ข้อกำหนดการเชื่อมต่อแบบเลือกได้จะใช้;
(iv) ในข้อ 11 ข้อกำหนดภาษาที่เลือกจะไม่ใช้;
(v) ในข้อ 17 ตัวเลือก 1 จะใช้ และข้อกำหนด SCC ของสหภาพยุโรปจะอยู่ภายใต้กฎหมายของไอร์แลนด์;
(vi) ในข้อ 18(b) ข้อพิพาทจะต้องได้รับการแก้ไขก่อนศาลของไอร์แลนด์;
(vii) ส่วน A, B และ C ของภาคผนวก I จะถือว่ามีการกรอกข้อมูลตามที่ระบุในส่วน A, B และ C ของภาคผนวก A ในข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่เหล่านี้; และ
(vii) ภาคผนวก II จะถือว่ามีการกรอกข้อมูลตามมาตรการด้านความปลอดภัยที่ระบุในภาคผนวก B ในข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่เหล่านี้;

ข. ในกรณีที่การโอนข้อมูลที่จำกัดเป็นการโอนข้อมูลที่จำกัดของสหราชอาณาจักร ข้อกำหนดเพิ่มเติมของสหราชอาณาจักรจะใช้ระหว่างฝ่ายต่าง ๆ ดังนี้:

(i) ข้อกำหนด SCC ของสหภาพยุโรปที่กรอกข้อมูลตามที่ระบุข้างต้นจะใช้ระหว่างฝ่ายต่าง ๆ และจะถูกปรับเปลี่ยนโดยข้อกำหนดเพิ่มเติมของสหราชอาณาจักร (กรอกข้อมูลตามที่ระบุในข้อย่อย (ii) ด้านล่าง); และ

(ii) ตารางที่ 1 ถึง 3 ของข้อกำหนดเพิ่มเติมของสหราชอาณาจักรจะถือว่ามีการกรอกข้อมูลตามข้อมูลที่เกี่ยวข้องจากข้อกำหนด SCC ของสหภาพยุโรปที่กรอกข้อมูลตามที่ระบุข้างต้น และตัวเลือก “ผู้ส่งออก” และ “ผู้นำเข้า” จะถือว่าถูกเลือกในตารางที่ 4 วันที่เริ่มต้นของข้อกำหนดเพิ่มเติมของสหราชอาณาจักร (ตามที่ระบุในตารางที่ 1) จะเป็นวันที่มีผลบังคับใช้ของข้อกำหนดความเป็นส่วนตัวของผู้เผยแพร่เหล่านี้

2. การโอนข้อมูลที่จำกัดต่อ: ทั้งสองฝ่ายจะไม่ทำการโอนข้อมูลที่จำกัดต่อจากข้อมูลที่พวกเขาได้รับจากอีกฝ่ายหนึ่ง เว้นแต่จะได้ดำเนินการทุกอย่างที่จำเป็นเพื่อให้การโอนข้อมูลที่จำกัดต่อดังกล่าวเป็นไปตามกฎหมายการปกป้องข้อมูลที่ใช้บังคับและข้อกำหนดสัญญามาตรฐานที่พวกเขาได้ตกลงกับอีกฝ่ายหนึ่ง.