Умови конфіденційності для власників цифрової власності

Last Update: October 10, 2024

Дата набрання чинності: 10 жовтня 2024 року

Ці Умови конфіденційності Taboola для власників цифрової власності («Умови конфіденційності видавця») застосовуються до послуг цифрової реклами Taboola, таких як розміщення Taboola контенту рекламодавця на ресурсах видавця, включаючи, але не обмежуючись, продукти та послуги видавця, такі як Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News та Taboola Push, відповідно до угоди між Taboola та видавцем («Угода»), і ці Умови конфіденційності видавця вважаються включеними до будь-якої такої Угоди та її невід’ємною частиною. Ці Умови конфіденційності видавця визначають ролі та обов’язки Taboola та Видавця щодо Персональних даних.

У разі виникнення суперечності між Умовами конфіденційності видавця та Угодою, переважну силу матимуть Умови конфіденційності видавця, якщо суперечливе положення в Угоді прямо не містить посилання на суперечливе положення цих Умов конфіденційності видавця та не вказує, що воно замінює суперечливе положення.

Терміни, визначені в цьому розділі, мають значення, наведені нижче, а споріднені терміни тлумачаться відповідно. Терміни, що використовуються з великої літери, але не визначені в Умовах конфіденційності видавця, матимуть значення, визначені в Угоді.

      1. «Чинні закони про захист даних» означають будь-які та всі чинні федеральні, національні, державні або інші закони про конфіденційність та захист даних, що застосовуються до Обробки, що є предметом Угоди та цих Умов конфіденційності видавця, з урахуванням змін або заміни, які можуть бути внесені час від часу.
      2. «Закон Каліфорнії про конфіденційність» означає Закон Каліфорнії про конфіденційність споживачів 2018 року, Каліфорнія. Цивільний кодекс § 1798.100 та наступні (також «CCPA»), з поправками (включно з Законом Каліфорнії про права на конфіденційність), а також будь-які підзаконні акти та імплементаційні нормативні акти.
      3. «Контролер» означає: (i) організацію, яка визначає цілі та засоби Обробки Персональних даних, та (ii) будь-яку особу або організацію, що підпадає під дію терміна «Контролер» або «Підприємство» (або будь-якого суттєво аналогічного терміна), як це визначено у Застосовному законодавстві про захист даних.
      4. «Суб’єкт даних» означає: (i) ідентифіковану або таку, що може бути ідентифікована фізична особа (і для цих цілей ідентифікована фізична особа – це особа, яку можна ідентифікувати прямо чи опосередковано, зокрема, шляхом посилання на ідентифікатор, такий як ім’я, ідентифікаційний номер, дані про місцезнаходження, онлайн-ідентифікатор або на один чи декілька факторів, характерних для фізичної, фізіологічної, генетичної, психічної, економічної, культурної чи соціальної ідентичності цієї фізичної особи), та (ii) будь-яку особу, яка підпадає під дію терміна «суб’єкт даних», «споживач» (або будь-якого суттєво аналогічного терміна), як це визначено в Законах про захист даних.
      5. «Законодавство EU про захист даних» означає: (i) Загальний регламент EU про захист даних (Регламент 2016/679) («EU GDPR»); (ii) Директиву EU про електронну конфіденційність (Директива 2002/58/ЄС); та (iii) будь-які національні закони про захист даних, прийняті відповідно до пункту (i) або (ii), кожне з яких може бути час від часу змінено або замінено.
      6. «Персональні дані» означає будь-яку інформацію, що стосується ідентифікованої або ідентифікованої особи (і такий термін повинен включати, де це вимагається чинним законодавством про захист даних, унікальні ідентифікатори браузера або пристрою), як зазначено в Додатку А, Частині B.
        1. «Персональні дані взаємодії» означають будь-які Персональні дані, зібрані від споживачів під час або після навмисної взаємодії споживача з Taboola, продуктами Taboola, ресурсами Taboola та рекламою, яку розміщує Taboola .
        2. «Персональні дані пасивної взаємодії» означають будь-які Персональні дані, зібрані пасивно з Ресурсів видавця, включаючи, але не обмежуючись, IP-адресу, URL-адресу сторінки та User Agent String, зібрані Taboola, до або за відсутності навмисної взаємодії споживача з Taboola, продуктами Taboola, ресурсами Taboola та рекламою, яку розміщує Taboola .
      7. «Обробка» означає будь-яку операцію або сукупність операцій, що виконуються з Персональними даними або наборами Персональних даних, незалежно від того, чи виконуються вони автоматизованими засобами, такими як збір, отримання, запис, організація, структурування, використання, передача, доступ, обмін, розкриття, передача, зберігання, адаптація або зміна, пошук, консультація, поширення або інше надання доступу, узгодження або комбінування, агрегування, висновок, виведення, аналіз, обмеження, стирання, знищення або утилізація чи інше оброблення Персональних даних, включаючи визначення такого терміна згідно з чинним законодавством про захист даних.
      8. «Обробник» означає організацію, яка обробляє Персональні дані від імені Контролера, і включає визначення такого терміна та/або терміна «обробник даних» (або будь-якого суттєво аналогічного терміна) згідно з Чинним законодавством про захист даних.
      9. «Обмежена передача» означає: (i) якщо застосовується EU GDPR , передачу Персональних даних з ЄЕЗ до країни за межами ЄЕЗ, яка не підлягає визначенню адекватності Європейською Комісією («Обмежена передача EU»); та (ii) якщо застосовується UK GDPR , передачу Персональних даних зі Сполученого Королівства до будь-якої іншої країни, яка не підлягає або не ґрунтується на правилах адекватності відповідно до Розділу 17A Закону Великої Британії про захист даних 2018 року («Обмежена передача UK»).
      10. «Послуги» означає послуги, що надаються Taboola згідно з Угодою з Видавцем.
      11. «Інцидент безпеки» означає порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розголошення Персональних даних або доступу до них.
      12. «Standard Contractual Clauses» означають: (i) якщо застосовується EU GDPR , договірні положення, що додаються до Імплементаційного рішення Європейської Комісії 2021/914 від 4 червня 2021 року про Standard Contractual Clauses щодо передачі персональних даних третім країнам відповідно до Регламенту (EU) 2016/679 Європейського Парламенту та Ради («EU SCCs»); та (ii) якщо застосовується UK GDPR , «Доповнення про міжнародну передачу даних до Standard Contractual Clauses Комісії EU », видане Комісаром з питань інформації відповідно до ст. 119A(1) DPA 2018 («UK Addendum»).
      13. «Третя сторона» означає бізнес, який діє як Контролер щодо Персональних даних, і який не є бізнесом, з яким Суб’єкт даних, Персональні дані якого обробляються, навмисно взаємодіяв; цей термін включає визначення такого терміна згідно з Чинним законодавством про захист даних.
      14. «Закон UK про захист даних» означає: (i) Закон UK про захист даних 2018 року, (ii) UK GDPR (як визначено у ст. 3(10) Закону UK про захист даних 2018 року) («UK GDPR»), (iii) Правила UK про конфіденційність та електронні комунікації (Директива ЄС) 2003 року), та (iv) будь-які інші закони UK , прийняті відповідно до (i), (ii) або (iii), кожне з яких може бути змінено або замінено час від часу.

Щодо Персональних даних, що обробляються у зв’язку з Послугами, кожна сторона погоджується, що вона оброблятиме зібрані нею Персональні дані лише для цілей, описаних у Додатку А, Частині B («Дозволені цілі»), та відповідно до цих Умов конфіденційності видавця, Угоди та Застосовних законів про захист даних, які можуть час від часу оновлюватися. Taboola також може обробляти персональні дані пасивної взаємодії, як це дозволено Політикою конфіденційності Taboola та як це може періодично оновлюватися.

Кожна Сторона повинна Обробляти Персональні дані пасивної взаємодії, які вона збирає як Контролер або Третя сторона, залежно від обставин. Кожна сторона зобов’язана обробляти Персональні дані взаємодії, які вона збирає як Контролер або Бізнес, залежно від обставин. Розкриття (безпосередньо або через сторону, яка надає дані іншій стороні) Персональних даних від однієї сторони іншій вважається розкриттям третім сторонам.

      1. Якщо до Персональних даних застосовується Закон США або закон штату США про захист даних, включаючи, без обмежень, Закон Каліфорнії про конфіденційність, то в тій мірі, в якій Taboola обробляє Персональні дані пасивної взаємодії у зв’язку з Послугами, Taboola діє як Третя сторона по відношенню до Видавця щодо таких Персональних даних пасивної взаємодії. Taboola оброблятиме такі Персональні дані пасивної взаємодії для цілей, описаних у Додатку A, Частині B, та як це дозволено цими Умовами конфіденційності видавця, Угодою, Застосовним законодавством про захист даних та Політикою конфіденційності Taboola, які можуть періодично оновлюватися. Такі Персональні дані пасивної взаємодії надаються Taboola лише для таких цілей. Taboola забезпечить той самий рівень захисту конфіденційності, який вимагається від підприємств чинними законами США про захист даних, включаючи, якщо це застосовується, закони Каліфорнії про конфіденційність. Видавець має право забезпечити, щоб Taboola використовувала Персональні дані пасивної взаємодії у спосіб, що відповідає зобов’язанням Видавця. Після надання повідомлення Taboola, Видавець має право вжити розумних та належних заходів для припинення та усунення несанкціонованого використання Персональних даних, які він надає Taboola. Taboola повідомить Видавця у строки, передбачені Чинним законодавством про захист даних, якщо Taboola вирішить, що більше не може виконувати свої зобов’язання згідно з Чинним законодавством про захист даних. У тій мірі, в якій Taboola збирає Персональні дані взаємодії у зв’язку з Послугами, вона робить це як окремий Бізнес.

Сторони визнають, що вони можуть обробляти Персональні дані, і що до обробки Персональних даних кожною стороною можуть застосовуватися Чинні закони про захист даних. У такому разі кожна сторона повинна дотримуватися таких Застосовних законів про захист даних стосовно обробки Персональних даних. У такому разі та з урахуванням розділу 7, кожна сторона несе індивідуальну відповідальність за власне дотримання Застосовного законодавства про захист даних, включаючи будь-які застосовні вимоги щодо: (i) забезпечення прозорості для Суб’єктів даних, (ii) наявності згоди або іншої законної підстави для Обробки, та (iii) надання контактної точки, через яку Суб’єкти даних можуть здійснювати свої права на захист даних. Видавець повинен негайно повідомити Taboola, якщо та в тій мірі, в якій він отримає будь-який запит щодо прав захисту даних, що стосується обробки персональних даних Taboola як Контролера, щоб Taboola могла виконати запит відповідно до своїх зобов’язань згідно з Чинним законодавством про захист даних.

  1. Видавець повинен направляти будь-які запити суб’єктів даних, отримані щодо Послуг Taboola, на Глобальний портал запитів на доступ суб’єктів даних Taboola або США Портал відмови від прав споживачів, якщо це застосовується.

Якщо будь-яка зі Сторін отримає будь-який запит, скаргу або листування («Повідомлення третьої сторони») від фізичної особи, регулятора або іншої третьої сторони щодо обробки Персональних даних Суб’єкта даних у зв’язку з Послугами, вона повинна негайно повідомити іншу Сторону, і Сторони повинні співпрацювати добросовісно та в міру необхідності для виконання вимог такого Повідомлення третьої сторони.

У випадку, якщо будь-яка зі сторін здійснює Обмежену передачу Персональних даних іншій стороні, застосовуються положення Додатка C.

У тій мірі, в якій Taboola збирає Персональні дані з Ресурсів Видавця за допомогою коду Taboola , пікселів та інших технологій відстеження, Видавець зобов’язаний: (i) надавати Суб’єктам даних усі необхідні повідомлення про прозорість щодо використання Taboola коду Taboola для збору Персональних даних з Ресурсів Видавця для Дозволених цілей, та (ii) отримувати (і, на запит Taboola в будь-який час, надавати відповідні докази) згоду Суб’єкта даних на таке використання коду Taboola для Дозволених цілей, у кожному випадку відповідно до вимог Застосовного законодавства про захист даних. Зобов’язання Видавця у цьому відношенні включають чітку ідентифікацію Taboola та використання ним коду Taboola для Дозволених цілей у повідомленнях про прозорість та запитах на згоду, які Видавець надає Суб’єктам даних, а також будь-яку іншу інформацію, що вимагається Застосовним законодавством про захист даних, щоб Taboola могла законно надавати свої Послуги через такі Ресурси та обробляти Персональні дані для Дозволених цілей. На письмовий запит, Taboola надає Видавцю таку інформацію, яку Видавець може обґрунтовано вимагати, щодо коду Taboola та Обробки Персональних даних Taboola через Властивості Видавця для Видавця, щоб забезпечити відповідність його механізмів повідомлення та згоди Застосовним законам про захист даних. Видавець погоджується з наступним:

  1. Щодо веб-ресурсів, Політика конфіденційності Видавця повинна описувати використання файлів cookie, унікальних ідентифікаторів та технологій, що не використовують файли cookie, третіми сторонами (наприклад, Taboola) для реклами та аналітики на основі інтересів (на Ресурсах та за їх межами), а також повинна містити посилання на галузеву сторінку відмови NAI за адресою http://www.networkadvertising.org, галузеву сторінку відмови DAA за адресою http://www.aboutads.info або (щодо європейських веб-медіа та збору даних) посилання на посилання відмови EDAA за адресою http://www.youronlinechoices.eu, у спосіб, що відповідає вимогам Чинного законодавства про захист даних; та
  2. Щодо Ресурсів на основі мобільних додатків, Політика конфіденційності Видавця повинна описувати використання в його мобільних додатках SDK та збір ідентифікаторів мобільної реклами для реклами та аналітики на основі інтересів або міждодаткової реклами (на Ресурсах та за їх межами); а також містити опис того, як користувачі та Відвідувачі можуть відмовитися від збору мобільних даних для міждодаткової реклами через налаштування пристрою.
  3. Для своїх Ресурсів, орієнтованих на EU, Видавець повинен забезпечити отримання вільно наданої, конкретної, усвідомленої та однозначної згоди Відвідувачів відповідно до Закону EU про конфіденційність щодо розміщення або доступу до будь-яких файлів cookie Taboola чи будь-яких інших унікальних ідентифікаторів на пристрої(ях) Відвідувачів. Видавець надає своїм Відвідувачам контактну інформацію (що може включати надання цієї інформації через його Політику конфіденційності), щоб вони могли зв’язатися з Видавцем для здійснення своїх прав на захист даних (зокрема стосовно Персональних даних, що обробляються у зв’язку з Послугами). Вищезазначені зобов’язання застосовуються, коли Ресурси Видавця залучають Відвідувачів у юрисдикціях, що вимагають механізмів згоди щодо Послуг.

Протягом Терміну дії, Taboola може надавати Видавцю рекомендовану політику конфіденційності або формулювання розкриття інформації. Видавець визнає, що він не повинен покладатися на такі рекомендовані формулювання як на юридичну консультацію або як її заміну, і що Видавець або Компанія несуть повну відповідальність за будь-які розкриття інформації у своїй політиці конфіденційності або на своєму вебсайті.

Видавець не повинен надавати або налаштовувати Сервіси для збору або іншого розкриття Taboola будь-яких спеціальних категорій персональних даних або конфіденційної персональної інформації або конфіденційних даних (як визначено у Застосовному законодавстві про захист даних) Taboola для обробки. Крім того, Видавець повинен гарантувати, що будь-які URL-адреси сторінок, надані Taboola, не міститимуть інформацію про назву відео. Taboola залишає за собою право призупинити надання Послуг у разі невиконання Видавцем цього пункту, доки таке невиконання не буде виправлено.

Кожна Сторона повинна впровадити відповідні технічні та організаційні заходи безпеки для захисту Персональних даних Відвідувачів від Інциденту безпеки. Ці заходи повинні включати заходи, викладені в Додатку B.

Якщо будь-яка зі Сторін зазнає Інциденту безпеки стосовно Персональних даних, які вона Обробляє та які є предметом Угоди та цих Умов конфіденційності Видавця, ця Сторона повинна: ​​(i) нести відповідальність за виконання (за свій рахунок) будь-яких зобов’язань щодо звітності, що застосовуються до неї відповідно до Застосовного законодавства про захист даних, перед органами захисту даних та/або зацікавленими Суб’єктами даних, (ii) повідомити іншу Сторону без зайвої затримки, надаючи таку інформацію про Інцидент безпеки, яку може обґрунтовано запросити інша Сторона або яка іншим чином потрібна іншій Стороні для визначення того, чи може вона також мати зобов’язання щодо звітності відповідно до Застосовного законодавства про захист даних щодо Інциденту безпеки, та (iii) вжити всіх таких дій та заходів без зайвої затримки, які є доцільними для усунення та/або пом’якшення наслідків Інциденту безпеки.

Там, де та в тій мірі, в якій це вимагається Застосовним законодавством про захист даних, яке поширюється на кожну сторону, кожна сторона повинна проводити будь-яку оцінку впливу на захист даних стосовно Обробки Персональних даних для Дозволених цілей та/або проконсультуватися з відповідними органами захисту даних, за необхідності. Кожна сторона повинна надавати всю розумну співпрацю та інформацію, обґрунтовано запитувану іншою стороною, якщо це необхідно для того, щоб інша сторона могла провести оцінку впливу на захист даних та/або проконсультуватися з відповідними органами захисту даних відповідно до зобов’язань цієї іншої сторони згідно з цим розділом.

A. СПИСОК СТОРІН

Кожна сторона повинна бути:

  • контролер даних (та експортер даних) Зібраних даних, які він розкриває або надає іншій стороні, та
  • контролер даних (та імпортер даних) Зібраних даних, які він отримує від іншої сторони або до яких інша сторона надає доступ.

Детальна інформація про кожну сторону наведена нижче.

Ім’я: Див. дані Видавця, зазначені в Угоді.

Адреса: Див. дані видавця, зазначені в Угоді.

Ім’я, посада та контактні дані контактної особи: Див. дані Видавця, зазначені в Угоді або іншим чином узгоджені між сторонами в письмовій формі.

Дії, що стосуються даних, переданих відповідно до цих положень: Отримання Послуг, як зазначено в Договорі.

Підпис і дата: Цей Додаток А вважається підписаним після прийняття Видавцем цих Умов конфіденційності Видавця.

Роль (контролер/обробник): Контролер (якщо він є експортером даних) та Контролер (якщо він є імпортером даних)

 

Ім’я: Див. інформацію про Taboola, викладену у вступі до Угоди.

Адреса: Див. інформацію про Taboola, викладену у вступі до Угоди.

Ім’я, посада та контактні дані контактної особи: Команда з питань конфіденційності Taboola: taboola.com.

Дії, що стосуються даних, переданих відповідно до цих положень: Надання Послуг, як зазначено в Угоді.

Підпис і дата: Цей Додаток А вважається підписаним після прийняття компанією Taboola цих Умов конфіденційності видавця.

Роль (контролер/обробник): Контролер (якщо він є експортером даних) та Контролер (якщо він є імпортером даних)

 

B. ОПИС ОБРОБКИ ТА ПЕРЕДАЧІ 

Категорії суб’єктів даних, чиї персональні дані обробляються та/або передаються: Користувачі

Категорії персональних даних, що обробляються та/або передаються:

Дані пристрою: Пристрій, браузер та операційна система користувача; інформація про мобільний пристрій (усі мобільні ідентифікатори хешуються), включаючи IDFAs та AAIDs; дані файлів cookie, які може зчитувати або розгортати Taboola (усі ідентифікатори файлів cookie/ідентифікатори користувачів хешуються); IP-адреси; хешовані електронні адреси; веб-сайт, з якого посилається користувач; мова користувача; країна/регіон/місто. Якщо мобільні додатки є частиною Сервісів, додаткові елементи даних включають скорочені та неточні координати широти/довготи, тип з’єднання та розміри екрана.

Дані про цифровий ресурс, який відвідав користувач: як відображалася платформа та чи взаємодіяв користувач із платформою; поведінка в Інтернеті чи додатку.

Тією мірою, якою Header Bidding є частиною Послуг, застосовується наступне:

  • Дані Bid Request / Bid Response: Унікальний ідентифікатор запиту ставки, IMP object , що представляє запропонований показ, представлений сайт або додаток видавця, додаток, пристрій, тип аукціону, максимальний час, валюта, заблоковані категорії, ідентифікатор пристрою, ідентифікатор користувача Taboola , партнери з тегами виклику: URL-АДРЕСА.

Стосовно Taboola Newsroom застосовується наступне:

  • Події з веб-сайту видавця: Дані конверсій
  • Інформація про браузер користувача, зчитана з користувацького агента: URL-адреса відвіданої сторінки, веб-сайт, з якого посилається користувач, операційна система, тип браузера та версія браузера, пов’язаний хешований ідентифікатор користувача Taboola , зчитаний з файлу cookie, пов’язана IP-адреса (скорочується через 30 днів).

Передані конфіденційні дані (якщо застосовується) та застосовані обмеження або запобіжні заходи, які повністю враховують характер даних та пов’язані з ними ризики, такі як, наприклад, суворе обмеження цілей, обмеження доступу (включаючи доступ лише для персоналу, який пройшов спеціалізоване навчання), ведення обліку доступу до даних, обмеження на подальшу передачу або додаткові заходи безпеки: Не застосовується.

Частота обробки та/або передачі (наприклад, чи дані обробляються та/або передаються одноразово чи постійно): Безперервно протягом терміну дії Угоди.

Характер обробки: Обробка Персональних даних, необхідна для надання Послуг, як зазначено в Угоді.

Мета(и) обробки/передачі даних та подальшої обробки: Надання Послуг, як зазначено в Угоді. Щоб уникнути сумнівів, Дозволені цілі включають: (i) зберігання та/або доступ до інформації на пристрої; (ii) вибір базової реклами; (iii) створення персоналізованого профілю реклами; (iv) вибір персоналізованої реклами; (v) створення персоналізованого профілю контенту; (vi) вибір персоналізованого контенту; (vii) вимірювання ефективності реклами; (viii) вимірювання ефективності контенту; (ix) розробку та вдосконалення продуктів; (x) забезпечення безпеки, запобігання шахрайству та налагодження; (xi) технічну доставку реклами або контенту; (xii) зіставлення та об’єднання офлайн-джерел даних; (xiii) зв’язування різних пристроїв; (xiv) отримання та використання автоматично надісланих характеристик пристрою для ідентифікації; (xv) використання обмежених даних для вибору контенту та (xvi) збереження та повідомлення про вибір конфіденційності.

Стосовно Taboola Newsroom застосовується наступне: (i) відстеження подій конверсії підписки.

Щодо Taboola Push застосовується така додаткова мета: (i) надсилання сповіщень на пристрій користувача.

Тією мірою, якою Header Bidding є частиною Послуг, застосовується наступна додаткова мета: (i) визначення того, чи робити ставки на розміщення та надавати персоналізовані рекомендації.

Тією мірою, якою «Головна сторінка для вас» є частиною Сервісів, застосовується така додаткова мета: (i) автоматизація та курування контенту видавця на визначених головних сторінках цифрової власності.

Термін, протягом якого будуть зберігатися персональні дані, або, якщо це неможливо, критерії, що використовуються для визначення цього періоду:

  • Taboola: Необроблені дані зберігаються щонайбільше 13 місяців.
  • Рекламодавець: Стільки, скільки необхідно для отримання Послуг або як це передбачено Угодою.

Для передачі даних (суб)обробникам, також вкажіть предмет, характер та тривалість обробки: Не застосовується.

 

C. КОМПЕТЕНТНИЙ НАГЛЯДОВИЙ ОРГАН

Компетентний наглядовий орган, де застосовується EU GDPR : Компетентний наглядовий орган для кожної сторони описано нижче:

  • Taboola: Компетентний наглядовий орган визначається відповідно до пункту 13 EU SCCs.
  • Рекламодавець: Компетентний наглядовий орган визначається відповідно до пункту 13 EU SCCs.

Компетентний наглядовий орган, де застосовується UK GDPR : Офіс уповноваженого з питань інформації

Опис технічних та організаційних заходів, вжитих кожною стороною (включаючи будь-які відповідні сертифікації) для забезпечення належного рівня безпеки, враховуючи характер, обсяг, контекст та мету обробки, а також ризики для прав та свобод фізичних осіб.

Заходи псевдонімізації та шифрування персональних даних: Taboola збирає лише псевдонімізовані дані, а це означає, що ми не знаємо, хто ви, оскільки ми не знаємо та не обробляємо ім’я користувача, адресу електронної пошти чи інші ідентифікаційні дані. Інформація про користувача, яку ми збираємо, включає, але не обмежується, інформацією про пристрій та операційну систему Користувача, IP-адресу, веб-сторінки, які Користувачі відвідують на веб-сайтах наших Клієнтів, посилання, яке привело Користувача на веб-сайт Клієнта, дати та час доступу Користувача до веб-сайту Клієнтів та інші дані перегляду веб-сторінок. Ідентифікатор cookie анонімізується за допомогою Bcrypt , а IP-адреса скорочується.

Заходи для забезпечення постійної конфіденційності, цілісності, доступності та стійкості систем і послуг обробки: Taboola використовує кілька рівнів електронної безпеки (наприклад: безпека кінцевих точок, безпека на стороні сервера, відстеження виявлень, періодичні тести на проникнення та збір глибоких розвідувальних даних для аналізу подій після розтину).

Заходи щодо забезпечення можливості своєчасного відновлення доступності та доступності персональних даних у разі фізичного або технічного інциденту: Taboola підтримує 9 центрів обробки даних, що працюють по всьому світу. Кожен центр обробки даних використовується як реплікація інших, тому у разі збою одного з них дані можна витягти з іншого центру обробки даних.

Процеси регулярного тестування, оцінювання та оцінювання ефективності технічних та організаційних заходів з метою забезпечення безпеки обробки: Taboola дотримується суворих процедур для перевірки ефективності своїх засобів контролю (як технічних, так і організаційних). У нас є ведення журналу та моніторингу системи, щомісячне (принаймні) тестування DR, щоквартальне тестування на проникнення, брандмауери, що захищають веб, та приманки, розподілені по всій мережі, для виявлення будь-якої шкідливої ​​активності. Більше того, у нас діє програма винагород, яка допомагає нам постійно контролювати нашу мережу.

Заходи для ідентифікації та авторизації користувачів: Кожен користувач у Taboola пов’язаний з окремим ім’ям користувача та паролем. Кожен доступ до внутрішньої мережі Taboola здійснюється за допомогою 2FA з використанням автентифікації Google. Користувачі створюються лише ІТ-відділом під час процесу адаптації та лише після отримання всієї інформації та підписаного договору від відділу кадрів.

Заходи захисту даних під час передачі: Taboola підтримує будь-яку передачу даних через захищені протоколи передачі (HTTPS та TLS версії 1.2, як мінімум). Крім того, системи, які можуть містити персональну інформацію, захищені, а дані зберігаються хешованими та анонімізованими.

Заходи щодо захисту даних під час зберігання: Дані, що зберігаються в наших базах даних, анонімізуються та хешуються за допомогою Bcrypt. Доступ до бази даних мінімізований та базується на принципі «бізнес-необхідність».

Заходи щодо забезпечення фізичної безпеки місць, де обробляються персональні дані: Кожен із глобальних центрів обробки даних Taboola (у США, Європі та Азії) має всі свої сервери, розташовані в замкнених шафах, які обслуговуються виключно для використання Taboola. Ці шафи обслуговуються компаніями, які мають SOC2-certified або перевірили заходи безпеки Taboola . Крім того, будь-який доступ до серверів вимагає письмового, зареєстрованого дозволу. Усі офіси Taboola також контролюються, і для входу співробітники повинні використовувати картки доступу. Крім того, лише обмежена кількість співробітників має доступ до серверів Taboola, і будь-який доступ також вимагає письмового, зареєстрованого дозволу.

Заходи для забезпечення реєстрації подій: Taboola впроваджує інструменти моніторингу, а журнали збираються в нашу систему SIEM , яка сповіщає нас про будь-які підозрілі події, а також контролюються командою NOC .

Заходи для забезпечення конфігурації системи, включаючи конфігурацію за замовчуванням: Сервери скануються як на наявність відхилень конфігурації, так і на рівень патчів. Звітування та/або сповіщення налаштовано на обох, а відповідний рівень виправлень підтверджено. Нові патчі розповсюджуються за допомогою Puppet. Усі технічні огляди здійснюються через додаток для досліджень і розробок та проходять офіційний процес перевірки (QA) після впровадження CI/CD processes .

Заходи щодо внутрішнього управління та управління ІТ та ІТ-безпекою: Taboola сертифікована за ISO 27001:2013 та 27701. У Taboola діє Політика інформаційної безпеки, яка зазначає, що Рада директорів та керівництво Taboola прагнуть зберігати конфіденційність, цілісність та доступність усіх фізичних та електронних інформаційних активів у всій своїй організації. Taboola проводить тренінги з безпеки для всіх нових співробітників, тренінги з фішингу для всіх співробітників у всьому світі, регулярні тренінги з безпеки для всіх співробітників, а також спеціальні сесії для груп досліджень і розробок.

Заходи щодо сертифікації/забезпечення процесів та продукції: Щоквартальний / піврічний / щорічний внутрішній аудит кількох процесів і систем для підтвердження того, що Taboola дотримується визначених цілей і заходів безпеки.

Заходи для забезпечення мінімізації даних: Taboola навмисно обмежує обсяг даних, які ми збираємо, в рамках глобальних принципів мінімізації даних Taboola, обробляючи лише обмежену кількість даних, необхідних для наших конкретних бізнес-цілей. Крім того, Taboola не має можливості та жодної бізнес-потреби проводити «зворотне проектування» будь-яких точок даних, що використовуються в нашому алгоритмі, для надання наших послуг. Точніше, дані, які збирає Taboola, ніколи не вказують на особу користувача, оскільки Taboola не збирає та не обробляє таку інформацію, як ім’я користувача, номер телефону, електронна пошта чи фізична адреса. Натомість Taboola збирає лише псевдонімні ідентифікатори, які просто визначають характеристики пристрою користувача. Це включає IP-адреси (які скорочуються під час збору даних і можуть ідентифікувати лише загальне місцезнаходження поштового індексу пристрою, але ніколи точну геолокацію) та, в деяких обмежених випадках, хешовані адреси електронної пошти (які за своєю суттю є незворотними та не можуть бути розшифровані для виявлення оригінальної адреси електронної пошти). Більше того, навіть якщо використовувати дані, які ми збираємо, разом, ніколи не можна визначити ім’я, номер телефону, електронну пошту чи фізичну адресу особи, і наші інженери жодним чином не працюють для досягнення цієї мети. Крім того, Taboola проводить та реєструє оцінки впливу на конфіденційність, щоб мінімізувати ризики для конфіденційності наших послуг, процесів та політик.

Заходи щодо забезпечення якості даних: Дані збираються безпосередньо від користувача, і користувачеві надається можливість виправити будь-які дані , пов’язані з його ідентифікатором cookie, через портал запитів на доступ до даних Taboola : https://accessrequest.taboola.com/access

Заходи для забезпечення обмеженого зберігання даних: Ми зберігаємо Інформацію про Користувача, яка безпосередньо збирається з метою показу реклами, протягом максимум тринадцяти (13) місяців з моменту останньої взаємодії Користувача з нашими Сервісами (часто протягом коротшого періоду часу), після чого ми анонімізуємо дані, видаляючи унікальні ідентифікатори або агрегуючи дані. Цей процес виконується автоматично.

Заходи щодо забезпечення підзвітності: Taboola проводить численні аудити безпеки та тестування на проникнення (але не для всіх систем). Taboola також використовує хмарних провайдерів, сертифікованих за стандартами ISO та які відповідають іншим сертифікатам, що стосуються хмарних технологій, для підтримки фізичного захисту сервера.

Заходи для забезпечення переносимості даних та їх видалення: Taboola щодо утилізації носіїв інформації однакова для всіх видів носіїв, оскільки вони можуть містити особисту інформацію. Будь-які носії необхідно ретельно очистити перед повторним використанням або утилізацією. Будь-яка утилізація носіїв інформації документується. Працівникам наказано не друкувати жодних документів, які можуть містити особисту інформацію.

  1. У тій мірі, в якій одна сторона здійснює Обмежену передачу Зібраних даних іншій стороні, Standard Contractual Clauses повинні бути включені до цих Умов конфіденційності видавця та застосовуватися наступним чином:

a. якщо Обмежена передача є Обмеженою передачею EU , між сторонами застосовуватимуться EU SCCs наступним чином:

  1. (i) Застосовуватиметься Модуль один;
  2. (ii) у пункті 7 застосовуватиметься необов’язковий пункт про стикування;
  3. (iv) у пункті 11 необов’язкове формулювання не застосовуватиметься;
  4. (v) у пункті 17 застосовуватиметься Варіант 1, а EU SCCs регулюватимуться ірландським законодавством;
  5. (vi) у пункті 18(b) суперечки вирішуються в судах Ірландії;
  6. (vii) Частини A, B та C Додатка I вважаються заповненими з урахуванням інформації, викладеної в Частинах A, B та C Додатка A до цих Умов конфіденційності видавця; та
  7. (vii) Додаток II вважається виконаним із дотриманням заходів безпеки, викладених у Додатку B до цих Умов конфіденційності видавця;

b. якщо Обмежена передача є Обмеженою передачею у UK , UK Addendum застосовуватиметься між сторонами наступним чином:

(i) EU SCCs, заповнені, як зазначено вище, застосовуються між сторонами та змінюються UK Addendum (заповненим, як зазначено у підпункті (ii) нижче); та

(ii) таблиці 1–3 UK Addendum вважаються заповненими відповідною інформацією з EU SCCs, заповненою, як зазначено вище, а опції «Експортер» та «Імпортер» вважаються позначеними у таблиці 4. Датою початку дії UK Addendum (як зазначено в таблиці 1) є Дата набрання чинності цими Умовами конфіденційності видавця.

2. Подальші обмежені передачі: Жодна зі сторін не здійснюватиме подальшу Обмежену передачу Зібраних даних, отриманих від іншої сторони, якщо вона не виконала всіх необхідних дій та речей для забезпечення відповідності такої подальшої Обмеженої передачі Застосовному законодавству про захист даних та будь-яким Standard Contractual Clauses, узгодженим з іншою стороною.