Умови конфіденційності видавця

Last Update: October 10, 2024

Дата набрання чинності: 10 жовтня 2024

Ці Умови конфіденційності видавця Taboola (“Умови конфіденційності видавця”) застосовуються до цифрових рекламних послуг Taboola, таких як коли Taboola розміщує контент рекламодавця на власності видавця, включаючи, але не обмежуючись, продукти та послуги видавця, такі як Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News та Taboola Push, відповідно до угоди між Taboola та видавцем (“Угода”), і ці Умови конфіденційності видавця вважаються такими, що включені до, і становлять невід’ємну частину, будь-якої такої Угоди. Ці Умови конфіденційності видавця визначають ролі та обов’язки Taboola та видавця щодо персональних даних.

У разі конфлікту між Умовами конфіденційності видавця та Угодою, Умови конфіденційності видавця матимуть перевагу, якщо суперечлива умова в Угоді прямо посилається на суперечливу умову цих Умов конфіденційності видавця та вказує, що вона замінює суперечливу умову.

Терміни, визначені в цьому розділі, матимуть значення, викладене нижче, а споріднені терміни слід тлумачити відповідно. Терміни, що пишуться з великої літери, які використовуються, але не визначені в Умовах конфіденційності видавця, матимуть значення, визначене в Угоді.

      1. Застосовні закони про захист даних” означає будь-які та всі застосовні федеральні, національні, державні або інші закони про конфіденційність та захист даних, які застосовуються до обробки, що є предметом Угоди та цих Умов конфіденційності видавця, які можуть бути змінені або замінені з часом.
      2. Закон про конфіденційність Каліфорнії” означає Закон про конфіденційність споживачів Каліфорнії 2018 року, Cal. Цивільний кодекс § 1798.100 та наступні (також “CCPA”), зі змінами (включаючи Закон про права на конфіденційність Каліфорнії) та будь-яке підлегле законодавство та регуляторні акти.
      3. Контролер” означає: (i) суб’єкт, який визначає цілі та засоби обробки персональних даних, та (ii) будь-яка особа або суб’єкт, який підпадає під визначення терміна “Контролер” або “Бізнес” (або будь-який суттєво аналогічний термін), як визначено відповідно до застосовних законів про захист даних.
      4. Суб’єкт даних” означає: (i) ідентифікована або ідентифікована фізична особа (і, для цих цілей, ідентифікована фізична особа – це особа, яку можна ідентифікувати безпосередньо або опосередковано, зокрема, за допомогою ідентифікатора, такого як ім’я, ідентифікаційний номер, дані про місцезнаходження, онлайн-ідентифікатор або один або кілька факторів, специфічних для фізичної, фізіологічної, генетичної, психічної, економічної, культурної або соціальної ідентичності цієї фізичної особи), та (ii) будь-яка особа, яка підпадає під визначення терміна “суб’єкт даних”, “споживач” (або будь-який суттєво аналогічний термін), як визначено відповідно до законів про захист даних.
      5. Законодавство про захист даних ЄС” означає: (i) Загальний регламент захисту даних ЄС (Регламент 2016/679) (“GDPR ЄС”); (ii) Директива ЄС про електронну конфіденційність (Директива 2002/58/EC); та (iii) будь-які національні закони про захист даних, прийняті відповідно до (i) або (ii), кожен з яких може бути змінений або замінений з часом.
      6. Персональні дані” означає будь-яку інформацію, що стосується ідентифікованої або ідентифікованої особи (і цей термін включатиме, де це вимагається відповідно до застосовного законодавства про захист даних, унікальні ідентифікатори браузера або пристрою), як зазначено в Додатку A, Частина B.
        1. Персональні дані взаємодії” означає будь-які персональні дані, зібрані від споживачів під час або після навмисної взаємодії споживача з Taboola, продуктами Taboola, властивостями Taboola та рекламою, яку розміщує Taboola.
        2. «Пасивна взаємодія з особистими даними» означає будь-які особисті дані, які збираються пасивно з властивостей видавця, включаючи, але не обмежуючись, IP-адресою, URL-адресою сторінки та рядком агента користувача, зібраними Taboola, до або за відсутності навмисної взаємодії споживача з Taboola, продуктами Taboola, властивостями Taboola та рекламою, яку розміщує Taboola.
      7. «Процес» означає будь-яку операцію або набір операцій, які виконуються з особистими даними або наборами особистих даних, незалежно від того, здійснюються вони автоматизованими засобами чи ні, такі як збір, отримання, запис, організація, структуризація, використання, передача, доступ, обмін, розкриття, передача, зберігання, адаптація або зміна, вилучення, консультація, розповсюдження або інше надання, вирівнювання або поєднання, агрегація, виведення, похідні, аналіз, обмеження, знищення або утилізація або інша обробка особистих даних, включаючи те, як цей термін визначається відповідно до чинного законодавства про захист даних.
      8. «Процесор» означає суб’єкт, який обробляє особисті дані від імені контролера, і включає те, як цей термін і/або термін «обробник даних» (або будь-який суттєво аналогічний термін) визначається відповідно до чинного законодавства про захист даних.
      9. «Обмежена передача» означає: (i) де застосовується GDPR ЄС, передачу особистих даних з ЄЕП до країни за межами ЄЕП, яка не підлягає визначенню адекватності Європейською комісією (“Обмежена передача ЄС“); та (ii) де застосовується GDPR Великобританії, передачу особистих даних з Великобританії до будь-якої іншої країни, яка не підлягає або не базується на регламентах адекватності відповідно до розділу 17A Закону Великобританії про захист даних 2018 року (“Обмежена передача Великобританії“).
      10. «Послуги» означає послуги, що надаються Taboola відповідно до угоди з видавцем.
      11. «Інцидент безпеки» означає порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до особистих даних.
      12. «Стандартні контрактні положення» означає: (i) де застосовується GDPR ЄС, контрактні положення, що додаються до Виконавчого рішення Європейської комісії 2021/914 від 4 червня 2021 року про стандартні контрактні положення для передачі особистих даних до третіх країн відповідно до Регламенту (ЄС) 2016/679 Європейського парламенту та Ради («ЄС SCC»); та (ii) де застосовується GDPR Великобританії, «Міжнародний додаток до стандартних контрактних положень Європейської комісії» виданий Інформаційним комісаром відповідно до с.119A(1) Закону про захист даних 2018 року («Додаток Великобританії»).
      13. «Третя сторона» означає бізнес, який діє як контролер щодо особистих даних і який не є бізнесом, з яким особа, чиї особисті дані обробляються, навмисно взаємодіяла; термін включає те, як цей термін визначається відповідно до чинного законодавства про захист даних.
      14. «Законодавство Великобританії про захист даних» означає: (i) Закон Великобританії про захист даних 2018 року, (ii) GDPR Великобританії (як визначено в с.3(10) Закону Великобританії про захист даних 2018 року) («GDPR Великобританії»), (iii) Регламент Великобританії про конфіденційність та електронні комунікації (Директива ЄС) 2003 року), та (iv) будь-які інші закони Великобританії, прийняті відповідно до (i), (ii) або (iii), кожен з яких може бути змінений або замінений з часом.

Для особистих даних, оброблених у зв’язку з послугами, кожна сторона погоджується, що вона оброблятиме особисті дані, які вона збирає, лише для цілей, описаних у Додатку А, Частина Б (“Дозволені цілі“) та відповідно до цих умов конфіденційності видавця, угоди та чинного законодавства про захист даних, оскільки кожен з них може бути оновлений з часом. Taboola також може обробляти пасивні особисті дані, як це дозволено Політикою конфіденційності Taboola, і як це може бути оновлено з часом.

Кожна сторона повинна обробляти пасивні особисті дані, які вона збирає, як контролер або третю сторону, залежно від обставин. Кожна сторона повинна обробляти особисті дані взаємодії, які вона збирає, як контролер або бізнес, залежно від обставин. Розкриття (безпосередньо або через сторону, яка надає дані іншій стороні) особистих даних від однієї сторони до іншої є розкриттям третім сторонам.

      1. Якщо до особистих даних застосовується законодавство США або законодавство штату США, включаючи, без обмежень, Закон про конфіденційність Каліфорнії, в тій мірі, в якій Taboola обробляє пасивні особисті дані у зв’язку з послугами, Taboola діє як третя сторона для видавця щодо таких пасивних особистих даних. Taboola повинна обробляти такі пасивні особисті дані для цілей, описаних у Додатку А, Частина Б, і як це дозволено цими умовами конфіденційності видавця, угодою, чинним законодавством про захист даних та Політикою конфіденційності Taboola, оскільки кожен з них може бути оновлений з часом. Такі пасивні особисті дані надаються Taboola лише для таких цілей. Taboola надасть той же рівень захисту конфіденційності, якого вимагають від бізнесу відповідні закони про захист даних США, включаючи, якщо це застосовно, закони про конфіденційність Каліфорнії. Видавець має право забезпечити, щоб Taboola використовувала Пасивні Персональні Дані у спосіб, що відповідає зобов’язанням Видавця. Після повідомлення Taboola, Видавець має право вжити розумних і відповідних заходів для зупинки та усунення несанкціонованого використання Персональних Даних, які він надає Taboola. Taboola повідомить Видавця у терміни, передбачені Застосовними Законами про Захист Даних, якщо Taboola визначить, що більше не може виконувати свої зобов’язання відповідно до Застосовних Законів про Захист Даних. В тій мірі, в якій Taboola збирає Персональні Дані Взаємодії у зв’язку з Послугами, вона робитиме це як окремий Бізнес.

Сторони визнають, що вони можуть обробляти Персональні Дані і що Застосовні Закони про Захист Даних можуть застосовуватися до обробки Персональних Даних кожною стороною. Якщо це так, кожна сторона повинна дотримуватися таких Застосовних Законів про Захист Даних щодо своєї обробки Персональних Даних. Якщо це так, і за умови розділу 7, кожна сторона буде нести індивідуальну відповідальність за своє дотримання Застосовних Законів про Захист Даних, включаючи будь-які відповідні вимоги: (i) забезпечити прозорість для Суб’єктів Даних, (ii) мати згоду або іншу законну основу для обробки, і (iii) надати контактну точку, через яку Суб’єкти Даних можуть реалізувати свої права на захист даних. Видавець повинен негайно повідомити Taboola, якщо і в тій мірі, в якій він отримує будь-який запит про права на захист даних щодо обробки Персональних Даних Taboola як Контролера, щоб Taboola могла виконати запит відповідно до своїх зобов’язань відповідно до Застосовного Закону про Захист Даних.

  1. Видавець повинен направити будь-які запити суб’єктів даних, отримані щодо Послуг Taboola, до Глобального Порталу Запитів Суб’єктів Даних Taboola або США. Портал Відмови Прав Споживачів, якщо це застосовно.

Якщо будь-яка Сторона отримує будь-який запит, скаргу або кореспонденцію (“Повідомлення Третьої Сторони“) від особи, регулятора або іншої третьої сторони щодо обробки Персональних Даних Суб’єкта Даних у зв’язку з Послугами, вона повинна негайно повідомити іншу Сторону, і Сторони повинні співпрацювати добросовісно та в розумних межах для вирішення вимог такого Повідомлення Третьої Сторони.

У разі, якщо будь-яка сторона здійснює Обмежену Передачу Персональних Даних іншій стороні, положення Додатку C застосовуються.

В тій мірі, в якій Taboola збирає Персональні Дані з Властивостей Видавця, використовуючи код Taboola, пікселі та інші технології відстеження, Видавець повинен: (i) надати всі необхідні прозорі повідомлення Суб’єктам Даних про використання коду Taboola для збору Персональних Даних з Властивостей Видавця для Дозволених Мета, і (ii) отримати (і, на запит у будь-який час з боку Taboola, надати відповідні докази) згоду Суб’єкта Даних на таке використання коду Taboola для Дозволених Мета, у кожному випадку відповідно до вимог Застосовних Законів про Захист Даних. Зобов’язання Видавця в цьому відношенні включають ідентифікацію Taboola та її використання коду Taboola для Дозволених Мета явно в прозорих повідомленнях та запитах на згоду, які Видавець надає Суб’єктам Даних, а також будь-яку іншу інформацію, необхідну Застосовними Законами про Захист Даних, щоб Taboola могла надавати свої Послуги законно через такі Властивості та обробляти Персональні Дані для Дозволених Мета. На письмовий запит Taboola повинна надати Видавцеві таку інформацію, яку Видавець може розумно вимагати про код Taboola та обробку Taboola Персональних Даних через Властивості Видавця, щоб Видавець міг забезпечити, що його механізми повідомлення та згоди відповідатимуть Застосовним Законам про Захист Даних. Видавець спеціально погоджується, що:

  1. щодо його веб-ресурсів, Політика конфіденційності Видавця повинна описувати використання файлів cookie, унікальних ідентифікаторів та технологій, що не є файлами cookie, третіми сторонами (тобто Taboola) для реклами на основі інтересів та аналітики (на ресурсах і поза ними) і повинна надавати посилання на сторінку відмови індустрії NAI за адресою http://www.networkadvertising.org, сторінку відмови індустрії DAA за адресою http://www.aboutads.info або (щодо європейських веб-ресурсів та збору даних) посилання на посилання EDAA для відмови за адресою http://www.youronlinechoices.eu, у спосіб, що відповідає вимогам чинного законодавства про захист даних; і
  2. щодо мобільних додатків, Політика конфіденційності Видавця повинна описувати використання в його мобільних додатках SDK та збір мобільних ідентифікаторів реклами для реклами на основі інтересів або крос-додаткової реклами та аналітики (на ресурсах і поза ними); і надати опис того, як користувачі та Відвідувачі можуть відмовитися від збору мобільних даних для крос-додаткової реклами через налаштування пристрою.
  3. для своїх ресурсів, орієнтованих на ЄС, Видавець повинен забезпечити отримання вільно наданої, конкретної, обізнаної та недвозначної згоди Відвідувачів відповідно до законодавства ЄС про конфіденційність, щодо розміщення або доступу до будь-яких файлів cookie Taboola або будь-яких інших унікальних ідентифікаторів на пристроях Відвідувачів. Видавець повинен надати своїм Відвідувачам контактні дані (які можуть включати надання цих даних через свою Політику конфіденційності), щоб вони могли зв’язатися з Видавцем для реалізації своїх прав на захист даних (включаючи у зв’язку з Персональними даними, обробленими у зв’язку з Послугами). Вищезазначені зобов’язання застосовуються, коли Видавець залучає Відвідувачів у юрисдикціях, що вимагають механізмів згоди щодо Послуг.

Протягом терміну дії угоди Taboola може надати рекомендовану мову політики конфіденційності або розкриття Видавцю. Видавець визнає, що не повинен покладатися на таку рекомендовану мову як на юридичну консультацію або як на заміну юридичній консультації, і що Видавець або Компанія самі несуть відповідальність за будь-які розкриття у своїй політиці конфіденційності або на своєму веб-сайті.

Видавець не повинен надавати або налаштовувати Послуги для збору або іншим чином розкриття Taboola будь-яких спеціальних категорій персональних даних або чутливої особистої інформації або чутливих даних (як визначено відповідно до чинного законодавства про захист даних) Taboola для обробки. Крім того, Видавець повинен забезпечити, щоб будь-які URL-адреси сторінок, надані Taboola, не містили інформації про назви відео. Taboola залишає за собою право призупинити Послуги у разі невиконання Видавцем цього пункту, поки така невиконання не буде виправлено.

Кожна Сторона повинна впровадити відповідні технічні та організаційні заходи безпеки для захисту Персональних даних Відвідувачів від інцидентів безпеки. Ці заходи повинні включати заходи, викладені в Додатку B.

Якщо будь-яка Сторона зазнає інциденту безпеки щодо Персональних даних, які вона обробляє і які є предметом Угоди та цих Умов конфіденційності Видавця, ця Сторона повинна: (i) бути відповідальною за виконання (за свій рахунок) будь-яких зобов’язань щодо звітності, які застосовуються до неї відповідно до чинного законодавства про захист даних, до органів захисту даних та/або постраждалих суб’єктів даних, (ii) повідомити іншу Сторону без невиправданої затримки, надаючи таку інформацію про інцидент безпеки, яка може бути розумно запитана іншою Стороною або яка інакше потрібна для іншої Сторони, щоб визначити, чи може вона також мати зобов’язання щодо звітності відповідно до чинного законодавства про захист даних щодо інциденту безпеки, і (iii) вжити всіх таких дій і заходів, без невиправданої затримки, які є доцільними для виправлення та/або пом’якшення наслідків інциденту безпеки.

Де і в тій мірі, в якій це вимагається чинним законодавством про захист даних, до якого підпорядкована кожна сторона, кожна сторона повинна провести будь-яку оцінку впливу на захист даних щодо своєї обробки Персональних даних для дозволених цілей та/або проконсультуватися з відповідними органами захисту даних, якщо це необхідно. Кожна сторона повинна надати всю розумну співпрацю та інформацію, розумно запитувану іншою стороною, де це необхідно для того, щоб інша сторона могла завершити оцінку впливу на захист даних та/або проконсультуватися з відповідними органами захисту даних відповідно до зобов’язань іншої сторони відповідно до цього розділу.

A. СПИСОК СТОРІН

Кожна сторона повинна бути:

  • контролером даних (та експортером даних) зібраних даних, які вона розкриває або надає іншій стороні, і
  • контролером даних (та імпортером даних) зібраних даних, які вона отримує від, або до яких доступ надається іншою стороною.

Деталі кожної сторони наведені нижче.

Назва: Дивіться деталі рекламодавця, викладені в Угоді.

Адреса: Дивіться деталі рекламодавця, викладені в Угоді.

Ім’я контактної особи, посада та контактні дані: Дивіться деталі рекламодавця, викладені в Угоді, або інші узгоджені між сторонами в письмовій формі.

Діяльність, що стосується даних, переданих відповідно до цих положень: Отримання послуг, як зазначено в Угоді.

Підпис та дата: Цей Додаток A вважається виконаним після прийняття Рекламодавцем цих Умов конфіденційності Рекламодавця.

Роль (контролер/обробник): Контролер (коли це експортер даних) та Контролер (коли це імпортер даних)

 

Ім’я: Дивіться деталі Taboola, викладені у вступі до Угоди.

Адреса: Дивіться деталі Taboola, викладені у вступі до Угоди.

Ім’я контактної особи, посада та контактні дані: Команда конфіденційності Taboola, privacy@taboola.com.

Діяльність, що стосується даних, переданих відповідно до цих положень: Надання Послуг, як зазначено в Угоді.

Підпис та дата: Цей Додаток A вважається виконаним після прийняття Taboola цих Умов конфіденційності Рекламодавця.

Роль (контролер/обробник): Контролер (коли це експортер даних) та Контролер (коли це імпортер даних)

 

B. ОПИС ОБРОБКИ І ПЕРЕДАЧІ 

Категорії суб’єктів даних, чиї персональні дані обробляються та/або передаються: Користувачі

Категорії персональних даних, що обробляються та/або передаються:

Дані пристрою: Операційна система, тип браузера, версія браузера, IP-адреса (обрізана протягом 30 днів) збору, поштовий індекс (виведений з IP-адреси), захешований ідентифікатор користувача Taboola, захешовані електронні адреси, початкові та подальші відвідування сторінок на веб-сайті Рекламодавця, стать користувача (виведена за інтересами), сигнали залучення (час на сайті, глибина прокрутки, глибина сесії), дані про конверсію.

Дані про цифрову власність, відвідану користувачем: URL-адреса відвіданої сторінки, сайт, з якого було перенаправлено

Чутливі дані, що передаються (якщо застосовно), та застосовані обмеження або заходи безпеки, які повністю враховують природу даних та пов’язані ризики, такі як, наприклад, суворе обмеження цілей, обмеження доступу (включаючи доступ лише для персоналу, який пройшов спеціалізоване навчання), ведення обліку доступу до даних, обмеження на подальші передачі або додаткові заходи безпеки: Не застосовується.

Частота обробки та/або передач (наприклад, чи обробляються та/або передаються дані одноразово чи на постійній основі): Безперервно протягом терміну дії Угоди.

Природа обробки: Обробка персональних даних, необхідна для надання послуг, як зазначено в Угоді.

Мета(и) обробки/передачі даних та подальшої обробки: Надання Послуг, як зазначено в Угоді. Щоб уникнути сумнівів, Дозволені цілі включають: (i) зберігання та/або доступ до інформації на пристрої; (ii) вибір основних реклам; (iii) створення персоналізованого профілю реклами; (iv) вибір персоналізованих реклам; (v) створення персоналізованого профілю контенту; (vi) вибір персоналізованого контенту; (vii) вимірювання ефективності реклами; (viii) вимірювання ефективності контенту; (ix) розробка та вдосконалення продуктів; (x) забезпечення безпеки, запобігання шахрайству та налагодження; (xi) технічна доставка реклами або контенту; (xii) узгодження та поєднання офлайн-джерел даних; (xiii) зв’язування різних пристроїв; (xiv) отримання та використання автоматично надісланих характеристик пристрою для ідентифікації; (xv) використання обмежених даних для вибору контенту, та (xvi) розуміння аудиторій через статистику.

Термін, протягом якого персональні дані будуть зберігатися, або, якщо це неможливо, критерії, що використовуються для визначення цього терміну:

  • Taboola: Сирі дані зберігаються не більше 13 місяців.
  • Рекламодавець: Протягом часу, необхідного для отримання послуг, або як інакше зазначено в Угоді.

Для передачі до (суб-) обробників також вкажіть предмет, природу та тривалість обробки: Не застосовується.

 

К. КОМПЕТЕНТНИЙ НАГЛЯДОВИЙ ОРГАН

Компетентний наглядовий орган, до якого застосовується GDPR ЄС: Компетентний наглядовий орган для кожної сторони описано нижче:

  • Taboola: Компетентний наглядовий орган визначається відповідно до пункту 13 Угоди SCC ЄС.
  • Рекламодавець: Компетентний наглядовий орган визначається відповідно до пункту 13 Угоди SCC ЄС.

Компетентний наглядовий орган, до якого застосовується GDPR Великобританії: Офіс інформаційного комісара

Опис технічних та організаційних заходів, реалізованих кожною стороною (включаючи будь-які відповідні сертифікації), щоб забезпечити відповідний рівень безпеки, враховуючи природу, обсяг, контекст і мету обробки, а також ризики для прав і свобод фізичних осіб.

Заходи з псевдонімізації та шифрування персональних даних: Taboola збирає лише псевдонімізовані дані, що означає, що ми не знаємо, хто ви, оскільки ми не знаємо або не обробляємо ім’я користувача, електронну адресу або інші ідентифікаційні дані. Інформація про користувача, яку ми збираємо, включає, але не обмежується, інформацією про пристрій та операційну систему користувача, IP-адресу, веб-сторінки, які відвідують користувачі на веб-сайтах наших клієнтів, посилання, яке привело користувача на веб-сайт клієнта, дати та часи, коли користувач отримує доступ до веб-сайту клієнта, та інші дані веб-серфінгу. CookieID анонімізується за допомогою Bcrypt, а IP-адреса скорочується.

Заходи для забезпечення постійної конфіденційності, цілісності, доступності та стійкості систем обробки та послуг: Taboola використовує кілька рівнів електронної безпеки (наприклад, безпека кінцевих точок, безпека на стороні сервера, відстеження виявлень, періодичні тестування на проникнення та глибоке збори інформації для перегляду подій після смерті).

Заходи для забезпечення можливості відновлення доступності та доступу до персональних даних у своєчасний спосіб у разі фізичного або технічного інциденту: Taboola підтримує 9 дата-центрів, що працюють по всьому світу. Кожен дата-центр використовується як репліка один одного, тому, якщо один виходить з ладу, дані можна витягти з іншого дата-центру.

Процеси для регулярного тестування, оцінки та оцінювання ефективності технічних та організаційних заходів для забезпечення безпеки обробки: Taboola підтримує суворі процеси для тестування ефективності своїх контролів (як технічних, так і організаційних). У нас є система ведення журналів та моніторингу, щомісячне (принаймні) тестування DR, щоквартальні тести на проникнення, брандмауери, що захищають веб, та honeypots, розкидані по мережі для виявлення будь-якої шкідливої діяльності. Більше того, у нас є програма винагород, яка допомагає нам постійно моніторити нашу мережу.

Заходи для ідентифікації та авторизації користувачів: Кожен користувач у Taboola асоціюється з виділеним ім’ям користувача та паролем. Кожен доступ до внутрішньої мережі Taboola здійснюється з 2FA за допомогою Google аутентифікації. Користувачі створюються лише IT-відділом під час процесу введення в експлуатацію і лише після отримання всіх деталей та підписаного контракту від HR-відділу.

Заходи для захисту даних під час передачі: Taboola підтримує будь-яку передачу даних через безпечні протоколи передачі (HTTPS та TLS v1.2 як мінімум). Більше того, системи, які можуть містити PII, захищені, а дані зберігаються в зашифрованому та анонімізованому вигляді.

Заходи для захисту даних під час зберігання: Дані, які зберігаються в наших базах даних, анонімізовані та зашифровані за допомогою Bcrypt. Доступ до бази даних мінімізується і базується на принципі «необхідності знати» для бізнесу.

Заходи для забезпечення фізичної безпеки місць, де обробляються персональні дані: Кожен з глобальних дата-центрів Taboola (в США, Європі та Азії) має всі свої сервери, розташовані в замкнених шафах, які обслуговуються виключно для використання Taboola. Ці шафи обслуговуються компаніями, які або сертифіковані SOC2, або Taboola перевірила їхні заходи безпеки. Крім того, будь-який доступ до серверів вимагає письмового, зареєстрованого дозволу. Всі офіси Taboola також контролюються і вимагають, щоб співробітники використовували картки доступу для входу. Більше того, лише обмежена кількість співробітників має доступ до серверів Taboola, і будь-який доступ також вимагає письмового, зареєстрованого дозволу.

Заходи для забезпечення ведення журналів подій: Taboola впроваджує інструменти моніторингу, а журнали збираються в нашу систему SIEM, яка сповіщає нас про будь-яку підозрілу подію і також контролюється командою NOC.

Заходи для забезпечення конфігурації системи, включаючи конфігурацію за замовчуванням: Сервери скануються на предмет відхилення конфігурації та рівня патчів. Звітування та/або сповіщення налаштовані на обидва, і відповідний рівень патчів підтверджується. Нові патчі розповсюджуються за допомогою Puppet. Всі технічні огляди управляються через додаток R&D і отримуються через формальний процес огляду (QA) після кодування та впровадження процесів CI/CD.

Заходи для внутрішнього IT та управління безпекою IT: Taboola сертифікована за стандартами ISO 27001:2013 та 27701. Taboola має політику інформаційної безпеки, яка стверджує, що рада директорів та керівництво Taboola зобов’язані зберігати конфіденційність, цілісність та доступність усіх фізичних та електронних інформаційних активів у своїй організації. Taboola проводить навчання з безпеки для всіх нових співробітників, навчання з фішингу для всіх співробітників по всьому світу, а також регулярні навчання з безпеки для всіх співробітників і спеціальні сесії для груп НДР.

Заходи для сертифікації/гарантії процесів і продуктів: Щоквартальний / піврічний / річний внутрішній аудит кількох процесів і систем для перевірки того, що Taboola дотримується своїх цілей безпеки та визначених заходів.

Заходи для забезпечення мінімізації даних: Taboola навмисно обмежує дані, які ми збираємо, відповідно до глобальних принципів мінімізації даних Taboola, обробляючи лише обмежені дані, необхідні для наших конкретних бізнес-цілей. Більше того, Taboola не має можливості, а також жодної бізнес-потреби, «зворотно інженерувати» будь-які з даних, що використовуються в нашому алгоритмі, щоб надавати наші послуги. Більш конкретно, дані, які збирає Taboola, ніколи не вказують на особу користувача — оскільки Taboola не збирає та не обробляє інформацію, таку як ім’я користувача, номер телефону, електронну пошту або фізичні адреси. Замість цього Taboola збирає лише псевдонімні ідентифікатори, які просто ідентифікують характеристики пристрою користувача. До них відносяться IP-адреси (які скорочуються під час збору і можуть лише вказувати на загальне місцезнаходження поштового індексу пристрою, але ніколи не на точне геолокаційне місцезнаходження) і, у деяких обмежених випадках, зашифровані електронні адреси (які є в принципі незворотними і не можуть бути розшифровані для розкриття оригінальної електронної адреси). Більше того, навіть коли дані використовуються колективно, дані, які ми збираємо, ніколи не можуть привести до імені, номера телефону, електронної пошти або фізичної адреси особи, і наші інженери не працюють жодним чином для досягнення цієї мети. Крім того, Taboola проводить та фіксує оцінки впливу на конфіденційність, щоб зменшити ризики конфіденційності наших послуг, процесів і політик.

Заходи для забезпечення якості даних: Дані збираються безпосередньо від користувача, і користувач має можливість виправити будь-які дані, пов’язані з його CookieID, через Портал запиту доступу до суб’єкта Taboola: https://accessrequest.taboola.com/access

Заходи для забезпечення обмеженого зберігання даних: Ми зберігаємо інформацію про користувача, яка безпосередньо збирається для цілей показу реклами, не більше ніж тринадцять (13) місяців з моменту останньої взаємодії користувача з нашими послугами (часто на коротший період часу), після чого ми деідентифікуємо дані, видаляючи унікальні ідентифікатори або агрегуючи дані. Цей процес виконується автоматично.

Заходи для забезпечення відповідальності: Taboola проводить кілька аудитів безпеки та тестування на проникнення (але не для всіх систем). Taboola також використовує хмарних постачальників, які сертифіковані ISO і які відповідають іншим сертифікаціям, що стосуються хмари, для підтримки фізичних засобів захисту сервера.

Заходи для забезпечення портативності даних та гарантування їх видалення: Taboola, що стосується утилізації медіа, однакові для всіх видів медіа, оскільки вони можуть містити особисту інформацію. Будь-яке медіа повинно бути повністю очищене перед повторним використанням або утилізацією. Будь-яка утилізація медіа документується. Співробітникам надано вказівки не друкувати жодних документів, які можуть містити особисту інформацію.

  1. У тій мірі, в якій одна сторона здійснює обмежену передачу зібраних даних іншій стороні, стандартні контрактні положення будуть включені до цих умов конфіденційності видавця та застосовуватимуться наступним чином:

a. якщо обмежена передача є обмеженою передачею ЄС, то стандартні контрактні положення ЄС застосовуватимуться між сторонами наступним чином:

  1. (i) Модуль один буде застосовуватися;
  2. (ii) у пункті 7 буде застосовуватися необов’язковий пункт про приєднання;
  3. (iv) у пункті 11 необов’язкова мова не буде застосовуватися;
  4. (v) у пункті 17 буде застосовуватися варіант 1, а стандартні контрактні положення ЄС регулюватимуться ірландським законодавством;
  5. (vi) у пункті 18(b) спори вирішуватимуться в судах Ірландії;
  6. (vii) Частини A, B та C Додатку I вважатимуться завершеними з інформацією, викладеною в Частинах A, B та C Додатку A до цих умов конфіденційності видавця; і
  7. (vii) Додаток II вважатиметься завершеним з заходами безпеки, викладеними в Додатку B до цих умов конфіденційності видавця;

b. якщо обмежена передача є обмеженою передачею Великої Британії, то додаток Великої Британії буде застосовуватися між сторонами наступним чином:

(i) стандартні контрактні положення ЄС, заповнені, як зазначено вище, будуть застосовуватися між сторонами і будуть змінені додатком Великої Британії (заповненим, як зазначено в підпункті (ii) нижче); і

(ii) таблиці 1 до 3 додатка Великої Британії вважатимуться заповненими відповідною інформацією з стандартних контрактних положень ЄС, заповненими, як зазначено вище, і варіанти “Експортер” та “Імпортер” вважатимуться відміченими в таблиці 4. Дата початку додатка Великої Британії (як зазначено в таблиці 1) буде датою набрання чинності цих умов конфіденційності видавця.

2. Подальші обмежені передачі: Жодна зі сторін не здійснить подальшу обмежену передачу зібраних даних, які вона отримала від іншої сторони, якщо не вжила всіх необхідних заходів для забезпечення того, щоб така подальша обмежена передача відповідала чинному законодавству про захист даних та будь-яким стандартним контрактним умовам, з якими вона погодилася з іншою стороною.