Додаток про захист даних для партнерів RTB та Programmatic

Last Update: May 29, 2024

Дата набрання чинності: 29 травня 2024 року

Щоб гарантувати, що Taboola має відповідні умови захисту даних з нашими партнерами з програмного забезпечення та RTB (кожен з яких є «Партнером»), Taboola надає цей Додаток про захист даних (далі — «DPA»).

Ця DPA автоматично доповнює та є частиною існуючої договірної ділової угоди між Партнером та Taboola щодо надання послуг RTB та програмних послуг («Базова угода»).

Усі терміни, що вживаються в цій DPA з великої літери, але не визначені в цій DPA, мають значення, надані їм в Основній угоді.  У разі будь-якої суперечності між цією DPA та Основною угодою, ця DPA має переважну силу в межах такої суперечності.

«Застосовні закони про захист даних» означають усі застосовні федеральні, національні, державні або інші закони про конфіденційність та захист даних, які можуть періодично змінюватися або замінюватися, включаючи, якщо це застосовно і без обмежень, CCPA (як визначено нижче) та європейські закони про захист даних.

«CCPA» означає Закон штату Каліфорнія про захист персональних даних споживачів (Cal. Громадянський. Кодекс §§ 1798.100 – 1798.199), із змінами, внесеними Законом про права на приватність штату Каліфорнія (Cal. Громадянський. Кодекс §§ 1798.100 – 1798.199).

«Контролер» означає суб’єкт, який визначає цілі та засоби обробки персональних даних, і включає будь-який суб’єкт, який обробляє персональні дані як «бізнес» або «третя сторона» відповідно до CCPA та CPRA.

«Рамка захисту даних» або «DPF» означає угоду між EU та США. Рамки захисту даних та розширення угоди між EU і США для UK DPF, як визначено США. Міністерство торгівлі.

«Європейські закони про захист даних» означають закони EU про захист даних та закони UK про захист даних.

«Закони EU про захист даних» означають: (i) Регламент EU 2016/679 («EU GDPR»); (ii) Директиву EU 2002/58/EU; та (iii) національні закони кожної держави-члена ЄЕЗ, прийняті на підставі, відповідно до або які впроваджують (i) або (ii), або які іншим чином стосуються обробки персональних даних; у кожному випадку, з поправками або замінами, що періодично вносяться.

«Особиста інформація» означає будь-яку інформацію, що стосується ідентифікованої або ідентифіковуваної фізичної особи, і включає будь-яку інформацію, визначену як «особисті дані» або «особиста інформація» відповідно до чинного законодавства про захист даних.

«Дозволена мета» означає цілі реального часу, пов’язані з купівлею та продажем онлайн-реклами відповідно до Базової угоди, для яких Taboola розкриває або іншим чином надає Партнеру спільні дані для обробки, як зазначено в Додатку I.

«Обмежена передача» означає: (i) у випадках, коли застосовується EU GDPR, передачу персональних даних з ЄЕЗ до країни за межами ЄЕЗ, яка не підлягає визначенню адекватності Європейською комісією («Обмежена передача EU»); та (ii) у разі застосування UK GDPR — передачу персональних даних із Великобританії до будь-якої іншої країни, яка не підпадає під дію або не базується на нормативних актах про адекватність відповідно до розділу 17A Закону Великобританії про захист даних 2018 року («Обмежена передача у Великобританії»).

«Інцидент безпеки» означає порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до спільних даних.

Терміни «продавати» та «ділитися» мають значення, визначені в CCPA / CPRA, а також у нормативних актах щодо їхнього застосування.

«Спільні дані» означають категорії персональних даних, перелічені в Додатку I до цієї Угоди про обробку даних.

«Standard Contractual Clauses» означають: (i) у випадках, коли застосовується EU GDPR, договірні умови, додані до Імплементаційного рішення Європейської комісії 2021/914 від 4 червня 2021 року щодо standard contractual clauses для передачі персональних даних до третіх країн відповідно до Регламенту (EU) 2016/679 Європейського Парламенту та Ради («EU SCCs»); та (ii) у випадках, коли застосовується UK GDPR, «Додаток про міжнародну передачу даних до Standard Contractual Clauses Європейської комісії», виданий Комісаром з питань інформації відповідно до розділу 119A(1) Закону про захист даних 2018 року («UK Addendum»).

«Закони Великобританії про захист даних» означають: (i) EU GDPR, який є частиною законодавства Великобританії на підставі розділу 3 Закону про вихід з Європейського Союзу 2018 року («UK GDPR»); (ii) Положення про конфіденційність та електронні комунікації (Директива EU) 2003 року; (iii) Закон про захист даних 2018 року; та (iv) будь-які інші закони UK, прийняті на підставі, відповідно до або що впроваджують (i) або (ii), або які іншим чином стосуються обробки персональних даних; у кожному випадку з поправками або замінами, що періодично вносяться.

За умови дотримання Партнером Основної угоди та цієї DPA, Taboola розкриє або іншим чином надасть Партнеру спільні дані, щоб Партнер міг обробляти їх виключно для дозволених цілей.

Сторони визнають, що Taboola є контролером Спільних даних, які вона розкриває Партнеру, і що Партнер буде обробляти Спільні дані як контролер виключно для Дозволеної мети.

Партнер гарантує, заявляє та зобов’язується, що:

(a) вона завжди буде обробляти спільні дані виключно для дозволених цілей та відповідно до чинного законодавства про захист даних;

(b) у нього немає підстав вважати, що чинне законодавство про захист даних перешкоджає йому виконувати свої зобов’язання щодо обробки спільних даних для дозволеної мети;

(c) якщо Партнер вирішить, що він не може обробляти спільні дані для дозволених цілей відповідно до чинного законодавства про захист даних, він негайно повідомить про це Taboola;

(d) вона повинна постійно розміщувати та підтримувати на своєму веб-сайті загальнодоступне повідомлення про конфіденційність, яке відповідає вимогам чинного законодавства про захист даних і містить контактну інформацію, за якою суб’єкти даних можуть звертатися із запитаннями щодо захисту даних;

(e) воно повинно надавати суб’єктам даних можливість реалізовувати свої права на захист даних відповідно до чинного законодавства про захист даних, включаючи (без обмежень) їх право заперечувати проти обробки їхніх спільних даних;

(f) щодо будь-якої обробки Спільних даних, які захищені європейськими законами про захист даних, вона повинна:

(g) обробляти спільні дані тільки за наявності згоди на це, відповідно до вимог європейського законодавства про захист даних; та

(h) він повинен вживати відповідних технічних та організаційних заходів, включаючи, як мінімум, заходи, викладені в Додатку II, для захисту Спільних даних від Інцидентів безпеки.

Taboola може вживати розумних та відповідних заходів для забезпечення того, щоб Партнер обробляв Спільні дані відповідно до Основної угоди та цієї DPA у спосіб, що відповідає чинному законодавству про захист даних.

Якщо Партнер не дотримується Основної угоди, цієї DPA або чинного законодавства про захист даних, Taboola вживає розумних і відповідних заходів для припинення та виправлення несанкціонованого використання Спільних даних (включаючи призупинення або припинення розкриття Спільних даних Партнеру).

Партнер повинен дотримуватися чинного законодавства про захист даних і забезпечувати такий самий рівень захисту конфіденційності спільних даних, як того вимагає чинне законодавство про захист даних.

У разі, якщо будь-яка зі сторін отримує будь-яку кореспонденцію, запит або скаргу від суб’єкта даних, регуляторного органу або іншої третьої сторони («Кореспонденція»), пов’язану з (а) розкриттям Спільних даних для Дозволеної мети; або (б) обробкою Спільних даних іншою стороною, вона повинна негайно повідомити про це іншу сторону, надавши повну інформацію про це, і сторони повинні співпрацювати розумно та добросовісно, щоб відповісти на Листування відповідно до будь-яких вимог, передбачених чинним законодавством про захист даних.

У разі, якщо будь-яка передача Спільних даних від Taboola до Партнера є Обмеженою передачею, Standard Contractual Clauses будуть включені до цієї DPA та застосовуватимуться наступним чином:

(a) якщо обмежений переказ є обмеженим переказом в EU, EU SCCs застосовуватимуться між Taboola (як експортером даних) та Партнером (як імпортером даних) наступним чином:

(i) Застосовуватиметься Модуль один;

(ii) у пункті 7 застосовуватиметься опціональна док-клаузула;

(iii) у пункті 11 факультативні формулювання не застосовуються;

(iv) у пункті 17 застосовуватиметься варіант 1, а EU SCCs регулюватимуться ірландським законодавством;

(v) у пункті 18(b) спори вирішуються в судах Ірландії;

(vi) у Додатку I:

(A) Частини A та B вважаються виконаними з урахуванням інформації, викладеної в Додатку A до цієї Угоди про обробку даних;

(B) Частина C вважається виконаною відповідно до критеріїв, викладених у пункті 13(a) EU SCCs; та

(vii) Додаток II вважається доповненим заходами безпеки, викладеними в Додатку B до цієї Угоди про обробку даних.

(b) якщо Обмежений переказ є Обмеженим переказом у Великобританії, UK Addendum застосовуватиметься між сторонами наступним чином:

(i) EU SCCs, заповнені як зазначено вище, застосовуються між сторонами і можуть бути змінені UK Addendum (заповненим як зазначено в підпункті (ii) нижче); та

(ii) таблиці 1–3 UK Addendum вважаються заповненими відповідною інформацією з EU SCCs, заповненими як зазначено вище, а опції «Експортер» та «Імпортер» вважаються відміченими в таблиці 4.  Дата початку дії UK Addendum (як зазначено в таблиці 1) є датою набрання чинності цією Угодою про обробку даних.

Партнер не буде здійснювати подальшу обмежену передачу спільних даних третім особам, якщо не виконає всі необхідні дії та заходи для забезпечення відповідності обмеженої передачі чинному законодавству про захист даних та будь-яким Standard Contractual Clauses, укладеним з Taboola.

Незважаючи на вищезазначене, якщо Партнер отримав сертифікат відповідно до DPF та дотримується його вимог, передача Спільних даних Партнеру, здійснена відповідно до DPF, не вважатиметься Обмеженою передачею.  У такому випадку Партнер негайно повідомить Taboola, якщо він не дотримується вимог сертифікації DPF або його сертифікація DPF втрачає чинність або іншим чином стає недійсною, у цьому випадку:

(a) будь-яка передача Спільних даних від Taboola до Партнера негайно вважатиметься Обмеженою передачею, і до неї застосовуватимуться вищезазначені положення щодо Обмеженої передачі; та

(b) Taboola може, на власний розсуд, призупинити або припинити передачу Спільних даних Партнеру без штрафних санкцій.

Партнер зобов’язується захищати Taboola та її директорів, посадових осіб, співробітників, агентів та клієнтів (далі — «Особи, що підлягають відшкодуванню збитків Taboola») від будь-яких претензій, вимог, позовів, процедур та дій, порушених третьою стороною у зв’язку із звинуваченням Партнера у порушенні цієї Угоди про захист даних або чинного законодавства про захист даних, а також відшкодовуватиме Особам, що підлягають відшкодуванню збитків від Taboola, усі збитки, втрати, витрати та видатки (включно з розумними гонорарами адвокатів), понесені Особами, що підлягають відшкодуванню збитків від Taboola, які виникли або стали наслідком таких претензій.

Партнер несе виключну відповідальність за дотримання чинного законодавства про захист даних під час обробки спільних даних.

У разі будь-яких змін до чинного законодавства про захист даних, Taboola може вносити поправки та оновлювати цю DPA, якщо це необхідно для дотримання таких змін у чинному законодавстві про захист даних.

З моменту набрання чинності цим DPA посилання на «Угоду» в цьому DPA або Базовій угоді означають Базову угоду, доповнену цим DPA.

A. ПЕРЕЛІК СТОРОН

[таблиця id=13 /]

[таблиця id=14 /]

Б. ОПИС ПЕРЕДАЧІ

[таблиця id=15 /]

C. КОМПЕТЕНТНИЙ НАГЛЯДОВИЙ ОРГАН

[таблиця id=16 /]

Опис технічних та організаційних заходів, вжитих кожною стороною (включно з відповідними сертифікатами) для забезпечення належного рівня безпеки з урахуванням характеру, обсягу, контексту та мети обробки, а також ризиків для прав і свобод фізичних осіб. Партнер заявляє та гарантує, що він має відповідні технічні та організаційні заходи, які в основному подібні до заходів безпеки Taboola, зазначених нижче.

Заходи щодо псевдонімізації та шифрування персональних даних: Taboola збирає тільки псевдонімізовані дані, що означає, що ми не знаємо, хто ви, оскільки ми не знаємо і не обробляємо ім’я користувача, адресу електронної пошти або інші дані, що дозволяють ідентифікувати особу. Інформація про користувачів, яку ми збираємо, включає, але не обмежується, інформацією про пристрій та операційну систему користувача, IP Address, веб-сторінки, які відвідують користувачі на веб-сайтах наших клієнтів, посилання, яке привело користувача на веб-сайт клієнта, дати та час відвідування користувачем веб-сайту клієнта та інші дані про перегляд веб-сторінок. CookieID анонімізується за допомогою Bcrypt, а IP Address обрізається.

Заходи для забезпечення постійної конфіденційності, цілісності, доступності та стійкості систем і послуг обробки даних: Taboola використовує кілька рівнів електронної безпеки (наприклад: безпека кінцевих точок, безпека на стороні сервера, відстеження виявлень, періодичні тести на проникнення та глибокий збір розвідувальної інформації для аналізу подій після інциденту).

Заходи для забезпечення можливості своєчасного відновлення доступності та доступу до персональних даних у разі фізичного або технічного інциденту: Taboola має 9 центрів обробки даних, що працюють по всьому світу. Кожен центр обробки даних використовується як реплікація один одного, тому якщо один з них вийде з ладу, дані можна буде витягти з іншого центру обробки даних.

Процеси регулярного тестування, оцінки та аналізу ефективності технічних і організаційних заходів для забезпечення безпеки обробки: Taboola дотримується суворих процедур для перевірки ефективності своїх засобів контролю (як технічних, так і організаційних). Ми використовуємо систему реєстрації та моніторингу, щомісячні (як мінімум) тестування DR, щоквартальні тести на проникнення, брандмауери, що захищають веб, та ханіпоти, розгорнуті по всій мережі для виявлення будь-якої зловмисної діяльності. Крім того, у нас діє програма винагород, яка допомагає нам постійно контролювати нашу мережу.

Заходи для ідентифікації та авторизації користувачів: Кожен користувач Taboola має власне ім’я користувача та пароль. Кожен доступ до внутрішньої мережі Taboola здійснюється за допомогою 2FA з використанням аутентифікації Google. Користувачі створюються виключно ІТ-відділом під час процесу адаптації нових співробітників і тільки після отримання всіх необхідних даних та підписаного контракту від відділу кадрів.

Заходи щодо захисту даних під час передачі: Taboola підтримує будь-яку передачу даних через безпечні протоколи передачі (як мінімум HTTPS і TLS v1.2). Крім того, системи, які можуть містити PII, захищені, а дані зберігаються у вигляді хеш-кодів та анонімні.

Заходи щодо захисту даних під час зберігання: Дані, що зберігаються в наших базах даних, анонімізуються та хешуються за допомогою Bcrypt. Доступ до бази даних мінімізовано та базується на принципі «необхідності знати для ведення бізнесу».

Заходи для забезпечення фізичної безпеки місць, де обробляються персональні дані: У кожному з глобальних центрів обробки даних Taboola (у США, Європі та Азії) усі сервери розміщені в зачинених шафах, які обслуговуються виключно для потреб Taboola. Ці сервери обслуговуються компаніями, які є SOC2-certified або пройшли перевірку заходів безпеки компанією Taboola. Крім того, будь-який доступ до серверів вимагає письмового дозволу, що реєструється. Всі офіси Taboola також контролюються, і для входу співробітники повинні використовувати картки доступу. Крім того, доступ до серверів Taboola мають лише обмежена кількість співробітників, а будь-який доступ також вимагає письмового дозволу, що реєструється.

Заходи для забезпечення реєстрації подій: Taboola використовує інструменти моніторингу, а журнали збираються в нашій системі SIEM, яка сповіщає нас про будь-які підозрілі події, а також контролюється командою NOC.

Заходи для забезпечення конфігурації системи, включаючи конфігурацію за замовчуванням: Сервери скануються на предмет відхилень у конфігурації та рівня патчів. Повідомлення та/або сповіщення встановлені на обох, а відповідний рівень виправлення підтверджено. Нові патчі розповсюджуються за допомогою Puppet. Усі технічні перевірки здійснюються за допомогою програми R&D і отримуються в результаті офіційного процесу перевірки (QA) після впровадження процесів кодування та CI/CD processes.

Заходи щодо внутрішнього управління та управління ІТ та ІТ-безпекою: Taboola має сертифікати ISO/IEC 27001:2013 та ISO/IEC 27701:2019. Taboola має політику інформаційної безпеки, яка передбачає, що рада директорів та керівництво Taboola зобов’язуються зберігати конфіденційність, цілісність та доступність усіх фізичних та електронних інформаційних активів у всій організації. Taboola проводить тренінги з безпеки для всіх нових співробітників, тренінги з фішингу для всіх співробітників по всьому світу, а також регулярні тренінги з безпеки для всіх співробітників і спеціальні сесії для груп з досліджень і розробок.

Заходи щодо сертифікації/забезпечення якості процесів та продукції: Щоквартальний / піврічний / щорічний внутрішній аудит численних процесів і систем для підтвердження того, що Taboola дотримується визначених цілей і заходів безпеки.

Заходи для забезпечення мінімізації даних: Taboola навмисно обмежує дані, які ми збираємо, відповідно до глобальних принципів мінімізації даних Taboola, що передбачають обробку лише обмежених даних, необхідних для наших конкретних бізнес-цілей. Крім того, Taboola не має можливості та жодної ділової потреби «здійснювати зворотне проектування» будь-яких даних, що використовуються в нашому алгоритмі для надання наших послуг. Більш конкретно, дані, які збирає Taboola, ніколи не вказують на особу користувача, оскільки Taboola не збирає та не обробляє таку інформацію, як ім’я користувача, номер телефону, електронна адреса або фізична адреса. Натомість Taboola збирає лише псевдонімні ідентифікатори, які лише визначають характеристики пристрою користувача. Сюди входять IP Address (які обрізаються під час збору і можуть ідентифікувати лише загальне місцезнаходження пристрою за поштовим індексом, але ніколи не точне географічне місцезнаходження) та, в деяких обмежених випадках, хешовані адреси електронної пошти (які за своєю суттю є незворотними і не можуть бути розшифровані для розкриття оригінальної адреси електронної пошти). Більше того, навіть при колективному використанні зібрані нами дані ніколи не можуть розкрити ім’я, номер телефону, електронну адресу або фізичну адресу особи, і наші інженери ніяким чином не працюють над досягненням цієї мети. Крім того, Taboola проводить та реєструє оцінки впливу на конфіденційність з метою мінімізації ризиків для конфіденційності наших послуг, процесів та політик.

Заходи для забезпечення якості даних: Дані збираються безпосередньо від користувача, і користувач має можливість виправити будь-які дані, пов’язані з його CookieID, через портал Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access

Заходи для забезпечення обмеженого зберігання даних: Ми зберігаємо інформацію про користувачів, яка збирається безпосередньо з метою показу реклами, протягом максимум тринадцяти (13) місяців з моменту останньої взаємодії користувача з нашими послугами (часто протягом більш короткого періоду часу), після чого ми деідентифікуємо дані, видаляючи унікальні ідентифікатори або агрегуючи дані. Цей процес відбувається автоматично.

Заходи для забезпечення підзвітності: Taboola проводить численні аудити безпеки та тестування на проникнення (але не для всіх систем). Taboola також використовує хмарних провайдерів, які мають сертифікат ISO та відповідають іншим сертифікатам, що стосуються хмарних технологій, для забезпечення фізичної безпеки серверів.

Заходи для забезпечення перенесення даних та їх видалення: Taboola стосується утилізації всіх видів носіїв інформації, оскільки вони можуть містити особисті дані. Будь-які носії інформації повинні бути повністю очищені перед повторним використанням або утилізацією. Будь-яка утилізація носіїв інформації документується. Співробітникам заборонено друкувати будь-які документи, що можуть містити особисту інформацію.