Điều khoản quyền riêng tư của nhà quảng cáo

Last Update: November 14, 2025

Ngày có hiệu lực:  Ngày 14 tháng 8 năm 2023

Các Điều khoản Quyền riêng tư của Nhà quảng cáo Taboola (“Điều khoản Quyền riêng tư của Nhà quảng cáo”) áp dụng cho các dịch vụ quảng cáo kỹ thuật số của Taboola, chẳng hạn như khi Taboola phân phối nội dung của Nhà quảng cáo thông qua nền tảng phân phối của mình, theo thỏa thuận giữa Taboola và một Nhà quảng cáo (“Thỏa thuận”), và các Điều khoản Quyền riêng tư của Nhà quảng cáo này sẽ được coi là được tích hợp vào, và là một phần không thể tách rời của, bất kỳ Thỏa thuận nào như vậy.  Các Điều khoản Quyền riêng tư của Nhà quảng cáo này xác định vai trò và trách nhiệm của Taboola và Nhà quảng cáo liên quan đến Dữ liệu Cá nhân.

Nếu có sự mâu thuẫn giữa Điều khoản Bảo mật của Nhà quảng cáo và Thỏa thuận, Điều khoản Bảo mật của Nhà quảng cáo sẽ chi phối trong phạm vi mâu thuẫn đó trừ khi điều khoản mâu thuẫn trong Thỏa thuận rõ ràng tham chiếu đến điều khoản mâu thuẫn của các Điều khoản Bảo mật của Nhà quảng cáo và chỉ định rằng nó chiếm ưu thế hơn điều khoản mâu thuẫn đó.

Các thuật ngữ được định nghĩa trong phần này sẽ có các nghĩa được nêu dưới đây, và các thuật ngữ liên quan sẽ được hiểu tương ứng. Các thuật ngữ viết hoa được sử dụng nhưng không được định nghĩa trong Điều khoản Bảo mật của Nhà quảng cáo sẽ có các nghĩa được định nghĩa trong Thỏa thuận.

      1. Luật Bảo vệ Dữ liệu Áp dụng” có nghĩa là bất kỳ và tất cả các luật bảo mật và bảo vệ dữ liệu liên bang, quốc gia, tiểu bang hoặc khác áp dụng cho Quy trình mà là đối tượng của Thỏa thuận và các Điều khoản Nhà quảng cáo này, có thể được sửa đổi hoặc thay thế theo thời gian.
      2. Dữ liệu Được thu thập” có nghĩa là Dữ liệu Cá nhân mà mỗi bên thu thập từ Các Chủ thể Dữ liệu trên hoặc thông qua các máy chủ hoặc mạng của họ (bao gồm tất cả dữ liệu được thu thập thụ động hoặc có thể đọc được bằng máy, chẳng hạn như dữ liệu dựa trên loại trình duyệt và định danh thiết bị) liên quan đến việc cung cấp hoặc nhận Dịch vụ.
      3. Người kiểm soát” có nghĩa là: (i) một thực thể xác định các mục đích và phương tiện của Quy trình Dữ liệu Cá nhân, và (ii) bất kỳ người nào nằm trong phạm vi của thuật ngữ “người kiểm soát” (hoặc bất kỳ thuật ngữ tương tự nào) như được định nghĩa theo Luật Bảo vệ Dữ liệu Áp dụng.
      4. Luật Bảo mật California” có nghĩa là Đạo luật Bảo mật Người tiêu dùng California năm 2018, Cal. Bộ luật Dân sự § 1798.100 et seq. (“CCPA”), đã được sửa đổi (bao gồm cả Đạo luật Quyền Bảo mật California), và bất kỳ luật cấp dưới và quy định thực hiện nào.
      5. Dữ liệu chủ thể” có nghĩa là: (i) một cá nhân tự nhiên đã được xác định hoặc có thể xác định (và, cho các mục đích này, một cá nhân tự nhiên có thể xác định là người có thể được xác định, trực tiếp hoặc gián tiếp, đặc biệt là bằng cách tham chiếu đến một định danh như tên, số nhận dạng, dữ liệu vị trí, một định danh trực tuyến hoặc một hoặc nhiều yếu tố cụ thể cho danh tính thể chất, sinh lý, di truyền, tâm lý, kinh tế, văn hóa hoặc xã hội của cá nhân tự nhiên đó), và (ii) bất kỳ người nào nằm trong phạm vi của thuật ngữ “chủ thể dữ liệu”, “người tiêu dùng” (hoặc bất kỳ thuật ngữ tương tự nào) như được định nghĩa theo Luật Bảo vệ Dữ liệu.
      6. Luật Bảo vệ Dữ liệu EU” có nghĩa là: (i) Quy định Bảo vệ Dữ liệu Chung của EU (Quy định 2016/679) (“EU GDPR”); (ii) Chỉ thị e-Privacy của EU (Chỉ thị 2002/58/EC); và (iii) bất kỳ luật bảo vệ dữ liệu quốc gia nào được ban hành theo hoặc theo (i) hoặc (ii), mỗi luật có thể được sửa đổi hoặc thay thế theo thời gian.
      7. Mục đích được phép” có nghĩa là được đưa ra trong phần 3.
      8. Dữ liệu cá nhân” có nghĩa là bất kỳ thông tin nào liên quan đến một Chủ thể Dữ liệu (bao gồm, khi được yêu cầu bởi Luật Bảo vệ Dữ liệu Áp dụng, các định danh trình duyệt hoặc thiết bị duy nhất), như được nêu trong Phụ lục A, Phần B.
      9. Quy trình” có nghĩa là bất kỳ hoạt động hoặc tập hợp các hoạt động nào được thực hiện trên Dữ liệu Cá nhân hoặc trên các tập hợp Dữ liệu Cá nhân, bất kể có phải bằng phương tiện tự động hay không, chẳng hạn như thu thập, nhận, ghi chép, tổ chức, cấu trúc, sử dụng, truyền tải, truy cập, chia sẻ, tiết lộ, chuyển nhượng, lưu trữ, thích ứng hoặc thay đổi, truy xuất, tham khảo, phát tán hoặc làm cho có sẵn, căn chỉnh hoặc kết hợp, tổng hợp, suy luận, suy diễn, phân tích, hạn chế, xóa, tiêu hủy hoặc xử lý khác Dữ liệu Cá nhân, bao gồm cả cách mà thuật ngữ này được định nghĩa theo Luật Bảo vệ Dữ liệu Áp dụng.
      10. Người xử lý” có nghĩa là: (i) một thực thể xử lý Dữ liệu Cá nhân thay mặt cho một Người kiểm soát, và (ii) bất kỳ người nào nằm trong phạm vi của thuật ngữ “người xử lý” (hoặc bất kỳ thuật ngữ tương tự nào) như được định nghĩa theo Luật Bảo vệ Dữ liệu Áp dụng.
      11. Chuyển nhượng bị hạn chế” có nghĩa là: (i) nơi GDPR của EU áp dụng, một chuyển nhượng Dữ liệu Cá nhân từ EEA đến một quốc gia bên ngoài EEA không thuộc phạm vi quyết định đủ điều kiện của Ủy ban Châu Âu (một “Chuyển nhượng bị hạn chế của EU“); và (ii) nơi GDPR của Vương quốc Anh áp dụng, một chuyển nhượng Dữ liệu Cá nhân từ Vương quốc Anh đến bất kỳ quốc gia nào khác không thuộc phạm vi hoặc dựa trên các quy định đủ điều kiện theo Điều 17A của Đạo luật Bảo vệ Dữ liệu Vương quốc Anh 2018 (một “Chuyển nhượng bị hạn chế của Vương quốc Anh“).
      12. Bán” và “Bán” có nghĩa là trao đổi Dữ liệu Cá nhân để nhận tiền hoặc các giá trị khác, và bao gồm cả cách mà các thuật ngữ này được định nghĩa theo Luật Bảo vệ Dữ liệu Áp dụng.
      13. Dịch vụ” có nghĩa là các dịch vụ được cung cấp bởi Taboola theo Thỏa thuận với Nhà quảng cáo.
      14. Các sự cố bảo mật” có nghĩa là một vi phạm bảo mật dẫn đến việc phá hủy, mất mát, thay đổi, tiết lộ trái phép, hoặc truy cập vào Dữ liệu Cá nhân.
      15. Các điều khoản hợp đồng tiêu chuẩn” có nghĩa là: (i) nơi GDPR của EU áp dụng, các điều khoản hợp đồng được đính kèm vào Quyết định Thực hiện 2021/914 của Ủy ban Châu Âu ngày 4 tháng 6 năm 2021 về các điều khoản hợp đồng tiêu chuẩn cho việc chuyển nhượng dữ liệu cá nhân đến các quốc gia thứ ba theo Quy định (EU) 2016/679 của Nghị viện Châu Âu và Hội đồng (“Các điều khoản SCC của EU”); và (ii) nơi GDPR của Vương quốc Anh áp dụng, “Phụ lục Chuyển nhượng Dữ liệu Quốc tế đến Các điều khoản hợp đồng tiêu chuẩn của Ủy ban EU” được phát hành bởi Ủy viên Thông tin theo s.119A(1) của Đạo luật DPA 2018 (“Phụ lục Vương quốc Anh”).
      16. Bên thứ ba” có nghĩa là một doanh nghiệp hoạt động như một Người kiểm soát liên quan đến Dữ liệu Cá nhân, và không phải là doanh nghiệp mà Chủ thể Dữ liệu có Dữ liệu Cá nhân được Xử lý đã tương tác một cách có chủ ý; thuật ngữ này bao gồm cả cách mà thuật ngữ này được định nghĩa theo Luật Bảo vệ Dữ liệu Áp dụng.
      17. Luật Bảo vệ Dữ liệu Vương quốc Anh” có nghĩa là: (i) Đạo luật Bảo vệ Dữ liệu Vương quốc Anh 2018, (ii) GDPR của Vương quốc Anh (như được định nghĩa trong s.3(10) của Đạo luật Bảo vệ Dữ liệu Vương quốc Anh 2018) (“GDPR Vương quốc Anh”), (iii) Quy định về Quyền riêng tư và Truyền thông Điện tử của Vương quốc Anh (Chỉ thị EC) 2003), và (iv) bất kỳ luật nào khác của Vương quốc Anh được ban hành theo hoặc theo (i), (ii) hoặc (iii), mỗi luật có thể được sửa đổi hoặc thay thế theo thời gian.

Mỗi bên sẽ Xử lý Dữ liệu Được thu thập mà nó thu thập hoặc nhận từ bên kia cho các mục đích được nêu trong Phụ lục A, Phần B (các “Mục đích được phép”).  Nhà quảng cáo đồng ý rằng Taboola sẽ Xử lý Dữ liệu Được thu thập như được phép bởi Chính sách Bảo mật của Taboola (mà, để tránh nhầm lẫn, cũng sẽ là một Mục đích được phép cho Taboola).

Trong phạm vi mà Dữ liệu Được thu thập đủ điều kiện là, hoặc chứa, Dữ liệu Cá nhân theo Luật Bảo vệ Dữ liệu Áp dụng, mỗi bên sẽ Xử lý Dữ liệu Được thu thập mà nó thu thập hoặc nhận từ bên kia như một Người kiểm soát (có thể bao gồm, khi Luật Bảo vệ Quyền riêng tư California áp dụng, như một Bên thứ ba, nếu có thể).  Các tiết lộ (dù là một chuyển nhượng, hay thông qua một bên làm cho dữ liệu có sẵn cho bên kia) của Dữ liệu Được thu thập hoặc Dữ liệu Cá nhân từ một bên sang bên kia là các tiết lộ cho Bên thứ ba.

      1. Nếu Luật Bảo vệ Dữ liệu của Hoa Kỳ hoặc tiểu bang Hoa Kỳ áp dụng cho Dữ liệu Được thu thập, bao gồm mà không giới hạn Luật Bảo vệ Quyền riêng tư California, trong phạm vi mà Realize Pixels (trước đây được gọi là “Taboola Pixels”) được sử dụng liên quan đến các Dịch vụ Xử lý Dữ liệu Cá nhân về một Khách truy cập, Taboola hoạt động như một Bên thứ ba đối với Nhà quảng cáo cho Dữ liệu Cá nhân đó. Taboola sẽ xử lý Dữ liệu Cá nhân như vậy cho các Mục đích Được phép. Dữ liệu Cá nhân như vậy chỉ được cung cấp cho Taboola cho các Mục đích Được phép.  Taboola sẽ cung cấp mức độ bảo vệ quyền riêng tư tương tự như yêu cầu đối với Doanh nghiệp theo các Luật Bảo vệ Dữ liệu Hoa Kỳ hiện hành, bao gồm nếu áp dụng, các Luật Bảo vệ Quyền riêng tư của California. Taboola sẽ thông báo cho Nhà quảng cáo trong khoảng thời gian yêu cầu bởi Luật Bảo vệ Dữ liệu hiện hành nếu Taboola xác định rằng không còn khả năng đáp ứng nghĩa vụ của mình theo các Luật Bảo vệ Dữ liệu hiện hành. Sau khi thông báo cho Taboola, Nhà quảng cáo có quyền thực hiện các bước hợp lý và thích hợp để ngăn chặn và khắc phục việc sử dụng trái phép Dữ liệu Cá nhân mà họ cung cấp cho Taboola.

Các bên công nhận rằng một phần hoặc tất cả Dữ liệu Được thu thập có thể đủ điều kiện là, hoặc bao gồm, Dữ liệu Cá nhân và do đó các Luật Bảo vệ Dữ liệu hiện hành có thể áp dụng cho việc Xử lý Dữ liệu Được thu thập của mỗi bên.  Khi điều này xảy ra, và tùy thuộc vào điều khoản 7, mỗi bên sẽ chịu trách nhiệm riêng về việc tuân thủ các Luật Bảo vệ Dữ liệu hiện hành, bao gồm bất kỳ yêu cầu nào áp dụng để: (i) cung cấp sự minh bạch cho Các Chủ thể Dữ liệu, (ii) có sự đồng ý hoặc cơ sở hợp pháp khác cho việc Xử lý, và (iii) cung cấp một điểm liên lạc qua đó Các Chủ thể Dữ liệu có thể thực hiện quyền bảo vệ dữ liệu của họ.

Trong trường hợp một trong hai bên thực hiện một Chuyển giao Bị hạn chế của Dữ liệu Được thu thập cho bên kia, các điều khoản của Phụ lục C sẽ được áp dụng.

Taboola sử dụng Pixel Realize để cung cấp Dịch vụ.  Bất chấp điều khoản 5, trong phạm vi Taboola thu thập Dữ liệu Được thu thập từ các tài sản kỹ thuật số của Nhà quảng cáo (chẳng hạn như trang web, ứng dụng di động hoặc khác) bằng cách sử dụng Pixel Realize, Nhà quảng cáo sẽ: (i) cung cấp tất cả các thông báo minh bạch cần thiết cho Các Chủ thể Dữ liệu về việc Taboola sử dụng Pixel Realize để thu thập Dữ liệu Được thu thập từ các tài sản kỹ thuật số của Nhà quảng cáo cho các Mục đích Được phép, và (ii) thu thập (và, theo yêu cầu bất kỳ lúc nào của Taboola, cung cấp bằng chứng thích hợp về) sự đồng ý của Các Chủ thể Dữ liệu cho việc sử dụng Pixel Realize như vậy cho các Mục đích Được phép, trong mỗi trường hợp theo yêu cầu của các Luật Bảo vệ Dữ liệu hiện hành.  Nghĩa vụ của Nhà quảng cáo trong vấn đề này bao gồm việc xác định Taboola và việc sử dụng Pixel Realize của nó cho các Mục đích Được phép một cách rõ ràng trong các thông báo minh bạch và các yêu cầu đồng ý mà Nhà quảng cáo cung cấp cho Các Chủ thể Dữ liệu, cũng như bất kỳ thông tin nào khác được yêu cầu bởi các Luật Bảo vệ Dữ liệu hiện hành, để Taboola có thể cung cấp Dịch vụ của mình một cách hợp pháp thông qua các tài sản kỹ thuật số như vậy và Xử lý Dữ liệu Được thu thập và Dữ liệu Cá nhân cho các Mục đích Được phép.  Theo yêu cầu bằng văn bản, Taboola sẽ cung cấp cho Nhà quảng cáo thông tin cần thiết về Pixel Realize và việc Xử lý Dữ liệu Được thu thập của Taboola thông qua các tài sản kỹ thuật số của Nhà quảng cáo để Nhà quảng cáo đảm bảo rằng các cơ chế thông báo và đồng ý của mình sẽ tuân thủ các Luật Bảo vệ Dữ liệu hiện hành.  Nhà quảng cáo sẽ không kích hoạt bất kỳ Pixel Realize nào trừ khi và cho đến khi bất kỳ sự minh bạch cần thiết nào đã được cung cấp và bất kỳ sự đồng ý cần thiết nào theo các Luật Bảo vệ Dữ liệu hiện hành đã được thu thập. Nhà quảng cáo sẽ cung cấp cho Các Chủ thể Dữ liệu thông tin về cách họ có thể thực hiện quyền bảo vệ dữ liệu của mình theo các Luật Bảo vệ Dữ liệu hiện hành, và cung cấp một điểm liên lạc cho Các Chủ thể Dữ liệu để liên hệ nhằm thực hiện quyền của họ. Nhà quảng cáo sẽ nhanh chóng thông báo cho Taboola nếu và trong phạm vi họ nhận được bất kỳ yêu cầu quyền bảo vệ dữ liệu nào liên quan đến việc Taboola Xử lý Dữ liệu Được thu thập với tư cách là Người kiểm soát để Taboola có thể thực hiện yêu cầu theo nghĩa vụ của mình theo Luật Bảo vệ Dữ liệu hiện hành.

Nếu Taboola, theo yêu cầu của Nhà quảng cáo, chuyển Dữ liệu Cá nhân cho đối tác ghi nhận của Nhà quảng cáo hoặc cho Nhà quảng cáo cho các mục đích ghi nhận, Nhà quảng cáo đại diện và đảm bảo rằng: (i) đối tác ghi nhận của họ là một Người xử lý thay mặt cho Nhà quảng cáo; (ii) trừ khi được thu thập độc lập, Nhà quảng cáo và đối tác ghi nhận sẽ chỉ sử dụng Dữ liệu Cá nhân như vậy cho các mục đích ghi nhận; và (iii) đối tác ghi nhận và Nhà quảng cáo sẽ xóa tất cả Dữ liệu Cá nhân đã chuyển trong vòng ba mươi (30) ngày kể từ khi xác định cuối cùng Khách truy cập là đến từ Taboola.

Mỗi bên sẽ thực hiện các biện pháp an ninh kỹ thuật và tổ chức phù hợp để bảo vệ Dữ liệu đã thu thập và/hoặc Dữ liệu cá nhân mà nó Xử lý khỏi và chống lại một Sự cố An ninh.  Các biện pháp này sẽ bao gồm các biện pháp được nêu trong Phụ lục B.

Nếu một trong hai Bên gặp phải một Sự cố An ninh liên quan đến Dữ liệu đã thu thập và/hoặc Dữ liệu cá nhân mà nó Xử lý và là đối tượng của Thỏa thuận và các Điều khoản Bảo mật của Nhà quảng cáo này, Bên đó sẽ: (i) chịu trách nhiệm thực hiện (với chi phí của mình) bất kỳ nghĩa vụ báo cáo nào áp dụng cho nó theo các Luật Bảo vệ Dữ liệu hiện hành đối với các cơ quan bảo vệ dữ liệu và/hoặc các Chủ thể Dữ liệu bị ảnh hưởng, (ii) thông báo cho Bên kia mà không chậm trễ, cung cấp thông tin về Sự cố An ninh mà Bên kia có thể hợp lý yêu cầu hoặc theo yêu cầu khác để Bên kia xác định xem nó có thể cũng có nghĩa vụ báo cáo theo các Luật Bảo vệ Dữ liệu hiện hành liên quan đến Sự cố An ninh hay không, và (iii) thực hiện tất cả các hành động và biện pháp, mà không chậm trễ, là phù hợp để khắc phục và/hoặc giảm thiểu các tác động của Sự cố An ninh.

Khi và trong phạm vi yêu cầu bởi các Luật Bảo vệ Dữ liệu hiện hành mà mỗi bên phải tuân thủ, mỗi bên sẽ thực hiện bất kỳ đánh giá tác động bảo vệ dữ liệu nào liên quan đến việc Xử lý Dữ liệu đã thu thập và/hoặc Dữ liệu cá nhân cho các Mục đích được phép và/hoặc tham khảo ý kiến với các cơ quan bảo vệ dữ liệu có thẩm quyền, nếu cần thiết.  Mỗi bên sẽ cung cấp tất cả sự hợp tác hợp lý và thông tin hợp lý được Bên kia yêu cầu, khi điều này là cần thiết để cho phép Bên kia hoàn thành một đánh giá tác động bảo vệ dữ liệu và/hoặc tham khảo ý kiến với các cơ quan bảo vệ dữ liệu có thẩm quyền theo nghĩa vụ của Bên kia theo điều khoản 11 này.

 

A. DANH SÁCH CÁC BÊN

Mỗi bên sẽ là:

      • một người kiểm soát dữ liệu (và người xuất khẩu dữ liệu) của Dữ liệu Được thu thập mà nó tiết lộ, hoặc cung cấp cho bên kia, và
      • một người kiểm soát dữ liệu (và người nhập khẩu dữ liệu) của Dữ liệu Được thu thập mà nó nhận từ, hoặc mà quyền truy cập được cung cấp bởi, bên kia.

Chi tiết của mỗi bên được cung cấp dưới đây.

Tên: Xem chi tiết của Nhà quảng cáo được nêu trong Thỏa thuận.

Địa chỉ: Xem chi tiết của Nhà quảng cáo được nêu trong Thỏa thuận.

Tên, chức vụ và thông tin liên lạc của người liên hệ: Xem chi tiết của Nhà quảng cáo được nêu trong Thỏa thuận hoặc được các bên đồng ý bằng văn bản.

Các hoạt động liên quan đến dữ liệu được chuyển giao theo các Điều khoản này: Việc nhận Dịch vụ, như được nêu trong Thỏa thuận.

Chữ ký và ngày: Phụ lục A này sẽ được coi là đã được thực hiện khi Nhà quảng cáo chấp nhận các Điều khoản Bảo mật của Nhà quảng cáo.

Vai trò (người kiểm soát/người xử lý): Người kiểm soát (khi là người xuất khẩu dữ liệu) và Người kiểm soát (khi là người nhập khẩu dữ liệu)

 

Tên: Xem chi tiết của Taboola được nêu trong phần giới thiệu của Thỏa thuận.

Địa chỉ: Xem chi tiết của Taboola được nêu trong phần giới thiệu của Thỏa thuận.

Tên, chức vụ và thông tin liên lạc của người liên hệ: Đội ngũ bảo mật của Taboola, privacy@taboola.com.

Các hoạt động liên quan đến dữ liệu được chuyển giao theo các Điều khoản này: Việc cung cấp Dịch vụ, như được nêu trong Thỏa thuận.

Chữ ký và ngày tháng: Phụ lục A này sẽ được coi là đã được thực hiện khi Taboola chấp nhận các Điều khoản Bảo mật của Nhà quảng cáo.

Vai trò (người kiểm soát/người xử lý): Người kiểm soát (khi là người xuất khẩu dữ liệu) và Người kiểm soát (khi là người nhập khẩu dữ liệu)

 

B. MÔ TẢ VỀ QUÁ TRÌNH XỬ LÝ VÀ CHUYỂN GIAO

Các loại đối tượng dữ liệu mà dữ liệu cá nhân của họ được xử lý và/hoặc chuyển giao: Người dùng

Các loại dữ liệu cá nhân được xử lý và/hoặc chuyển giao:

Thông tin thiết bị: Hệ điều hành, loại trình duyệt, phiên bản trình duyệt, địa chỉ IP (bị rút gọn trong vòng 30 ngày) của việc thu thập, mã bưu chính (được suy ra từ địa chỉ IP), ID người dùng Taboola đã băm, email đã băm, các lần truy cập trang ban đầu và tiếp theo trên trang web của Nhà quảng cáo, giới tính người dùng (suy ra từ sở thích), tín hiệu tương tác (thời gian trên trang, độ sâu cuộn, độ sâu phiên), dữ liệu chuyển đổi.

Dữ liệu về tài sản kỹ thuật số mà người dùng đã truy cập: URL của trang đã truy cập, trang web giới thiệu

Dữ liệu nhạy cảm được chuyển giao (nếu có) và các hạn chế hoặc biện pháp bảo vệ được áp dụng hoàn toàn xem xét đến bản chất của dữ liệu và các rủi ro liên quan, chẳng hạn như giới hạn mục đích nghiêm ngặt, hạn chế truy cập (bao gồm chỉ cho phép nhân viên đã tham gia đào tạo chuyên môn), giữ hồ sơ truy cập vào dữ liệu, hạn chế chuyển giao tiếp theo hoặc các biện pháp bảo mật bổ sung: Không áp dụng.

Tần suất xử lý và/hoặc chuyển giao (ví dụ: liệu dữ liệu có được xử lý và/hoặc chuyển giao một lần hay liên tục): Liên tục trong suốt thời gian của Thỏa thuận.

Bản chất của việc xử lý: Xử lý Dữ liệu Cá nhân cần thiết cho việc cung cấp Dịch vụ, như đã nêu trong Thỏa thuận.

Mục đích của việc xử lý / chuyển giao dữ liệu và xử lý tiếp theo: Việc cung cấp Dịch vụ, như đã nêu trong Thỏa thuận. Để tránh nghi ngờ, các Mục đích Được Phép bao gồm: (i) lưu trữ và/hoặc truy cập thông tin trên một thiết bị; (ii) chọn quảng cáo cơ bản; (iii) tạo hồ sơ quảng cáo cá nhân hóa; (iv) chọn quảng cáo cá nhân hóa; (v) tạo hồ sơ nội dung cá nhân hóa; (vi) chọn nội dung cá nhân hóa; (vii) đo lường hiệu suất quảng cáo; (viii) đo lường hiệu suất nội dung; (ix) phát triển và cải thiện sản phẩm; (x) đảm bảo an ninh, ngăn chặn gian lận và gỡ lỗi; (xi) cung cấp kỹ thuật quảng cáo hoặc nội dung; (xii) kết hợp và kết nối các nguồn dữ liệu ngoại tuyến; (xiii) liên kết các thiết bị khác nhau; (xiv) nhận và sử dụng các đặc điểm thiết bị tự động gửi để nhận diện; (xv) sử dụng dữ liệu hạn chế để chọn nội dung, và (xvi) uhiểu khán giả thông qua thống kê.

Thời gian mà dữ liệu cá nhân sẽ được lưu giữ, hoặc, nếu điều đó không thể, tiêu chí được sử dụng để xác định thời gian đó:

      • Taboola: Dữ liệu thô được lưu trữ tối đa 13 tháng.
      • Nhà quảng cáo: Trong thời gian cần thiết để nhận Dịch vụ hoặc theo cách khác được chỉ định trong Thỏa thuận.

Đối với các chuyển giao đến (các) nhà xử lý phụ, cũng chỉ định đối tượng, bản chất và thời gian của việc xử lý: Không áp dụng.

 

C. CƠ QUAN GIÁM SÁT CÓ THẨM QUYỀN

Cơ quan giám sát có thẩm quyền nơi EU GDPR áp dụng: Cơ quan giám sát có thẩm quyền cho mỗi bên được mô tả như sau:

      • Taboola: Cơ quan giám sát có thẩm quyền sẽ được xác định theo Điều 13 của các Điều khoản tiêu chuẩn EU.
      • Nhà quảng cáo: Cơ quan giám sát có thẩm quyền sẽ được xác định theo Điều 13 của các Điều khoản tiêu chuẩn EU.

Cơ quan giám sát có thẩm quyền nơi GDPR của Vương quốc Anh áp dụng: Văn phòng Ủy viên Thông tin

 

Mô tả các biện pháp kỹ thuật và tổ chức được thực hiện bởi mỗi bên (bao gồm bất kỳ chứng nhận liên quan nào) để đảm bảo mức độ an ninh thích hợp, xem xét tính chất, phạm vi, bối cảnh và mục đích của việc xử lý, và các rủi ro đối với quyền và tự do của các cá nhân.

Các biện pháp giả danh và mã hóa dữ liệu cá nhân: Taboola chỉ thu thập dữ liệu đã được giả danh, có nghĩa là chúng tôi không biết bạn là ai vì chúng tôi không biết hoặc xử lý tên, địa chỉ email hoặc dữ liệu nhận dạng khác của người dùng. Thông tin người dùng mà chúng tôi thu thập bao gồm, nhưng không giới hạn ở, thông tin về thiết bị và hệ điều hành của người dùng, địa chỉ IP, các trang web mà người dùng truy cập trong các trang web của Khách hàng của chúng tôi, liên kết dẫn đến trang web của Khách hàng, ngày và giờ mà người dùng truy cập trang web của Khách hàng và các dữ liệu duyệt web khác. CookieID được ẩn danh bằng cách sử dụng Bcrypt và địa chỉ IP được cắt ngắn.

Các biện pháp đảm bảo tính bảo mật, toàn vẹn, khả năng sẵn sàng và khả năng phục hồi liên tục của các hệ thống và dịch vụ xử lý: Taboola sử dụng nhiều cấp độ bảo mật điện tử (ví dụ: bảo mật điểm cuối, bảo mật phía máy chủ, theo dõi phát hiện, kiểm tra thâm nhập định kỳ và thu thập thông tin sâu để xem xét các sự kiện sau khi xảy ra).

Các biện pháp đảm bảo khả năng khôi phục tính sẵn sàng và truy cập vào dữ liệu cá nhân một cách kịp thời trong trường hợp xảy ra sự cố vật lý hoặc kỹ thuật: Taboola duy trì 9 trung tâm dữ liệu hoạt động trên toàn thế giới. Mỗi trung tâm dữ liệu được sử dụng như một bản sao của nhau, vì vậy nếu một trung tâm gặp sự cố, dữ liệu có thể được trích xuất từ trung tâm dữ liệu khác.

Các quy trình để thường xuyên kiểm tra, đánh giá và đánh giá hiệu quả của các biện pháp kỹ thuật và tổ chức nhằm đảm bảo an ninh cho việc xử lý: Taboola duy trì các quy trình nghiêm ngặt để kiểm tra hiệu quả của các biện pháp kiểm soát của mình (cả kỹ thuật và tổ chức). Chúng tôi có hệ thống ghi lại và giám sát, kiểm tra DR hàng tháng (ít nhất), kiểm tra thâm nhập hàng quý, tường lửa bảo vệ web và các bẫy mật ong trải rộng trên mạng để phát hiện bất kỳ hoạt động độc hại nào. Hơn nữa, chúng tôi có chương trình thưởng giúp chúng tôi liên tục giám sát mạng của mình.

Các biện pháp để xác định và ủy quyền người dùng: Mỗi người dùng trong Taboola đều có một tên người dùng và mật khẩu riêng biệt. Mọi truy cập vào mạng nội bộ của Taboola đều được thực hiện với xác thực 2FA bằng cách sử dụng Google. Người dùng chỉ được tạo ra bởi bộ phận CNTT, trong quá trình tiếp nhận và chỉ sau khi nhận được tất cả thông tin và hợp đồng đã ký từ bộ phận nhân sự.

Các biện pháp bảo vệ dữ liệu trong quá trình truyền tải: Taboola hỗ trợ mọi truyền tải dữ liệu thông qua các giao thức truyền tải an toàn (HTTPS và TLS v1.2 tối thiểu). Hơn nữa, các hệ thống có thể chứa thông tin cá nhân được bảo mật và dữ liệu được giữ ở dạng băm và ẩn danh.

Các biện pháp bảo vệ dữ liệu trong quá trình lưu trữ: Dữ liệu được lưu trữ trong cơ sở dữ liệu của chúng tôi được ẩn danh và băm bằng Bcrypt. Quyền truy cập vào cơ sở dữ liệu được tối thiểu hóa và dựa trên nguyên tắc ‘cần biết trong kinh doanh’.

Các biện pháp đảm bảo an ninh vật lý tại các địa điểm mà dữ liệu cá nhân được xử lý: Mỗi trung tâm dữ liệu toàn cầu của Taboola (tại Mỹ, Châu Âu và Châu Á) đều có tất cả các máy chủ của mình nằm trong các tủ khóa được duy trì độc quyền cho việc sử dụng của Taboola. Các tủ này được duy trì bởi các công ty được chứng nhận SOC2 hoặc Taboola đã xem xét các biện pháp an ninh của họ. Hơn nữa, mọi quyền truy cập vào các máy chủ đều yêu cầu có sự cho phép bằng văn bản và được ghi lại. Tất cả các văn phòng của Taboola cũng được kiểm soát và yêu cầu nhân viên sử dụng thẻ truy cập để vào. Hơn nữa, chỉ một số lượng hạn chế nhân viên có quyền truy cập vào các máy chủ của Taboola và mọi quyền truy cập cũng yêu cầu có sự cho phép bằng văn bản và được ghi lại.

Các biện pháp đảm bảo ghi lại sự kiện: Taboola triển khai các công cụ giám sát và các bản ghi được thu thập vào hệ thống SIEM của chúng tôi, hệ thống này cảnh báo chúng tôi về bất kỳ sự kiện đáng ngờ nào và cũng được giám sát bởi đội NOC.

Các biện pháp đảm bảo cấu hình hệ thống, bao gồm cấu hình mặc định: Các máy chủ được quét để phát hiện cả sự thay đổi cấu hình và mức độ vá lỗi. Việc báo cáo và/hoặc cảnh báo được thiết lập trên cả hai và mức độ vá lỗi liên quan được xác nhận. Các bản vá mới được phân phối bằng cách sử dụng Puppet. Tất cả các đánh giá kỹ thuật được quản lý thông qua ứng dụng R&D và thu được thông qua một quy trình đánh giá chính thức (QA) sau khi mã hóa và các quy trình CI/CD được thực hiện.

Các biện pháp cho quản trị và quản lý IT nội bộ và an ninh IT: Taboola được chứng nhận ISO 27001:2013 và 27701. Taboola có một Chính sách An ninh Thông tin quy định rằng Hội đồng Quản trị và ban quản lý của Taboola cam kết bảo vệ tính bảo mật, toàn vẹn và khả năng truy cập của tất cả các tài sản thông tin vật lý và điện tử trong toàn tổ chức của họ. Taboola tổ chức các khóa đào tạo an ninh cho tất cả nhân viên mới, đào tạo về lừa đảo cho tất cả nhân viên toàn cầu, và các khóa đào tạo an ninh định kỳ cho tất cả nhân viên cũng như dành các buổi cho các nhóm R&D.

Các biện pháp cho chứng nhận/đảm bảo các quy trình và sản phẩm: Kiểm toán nội bộ hàng quý / nửa năm / hàng năm trên nhiều quy trình và hệ thống để xác nhận rằng Taboola đang tuân thủ các mục tiêu và biện pháp an ninh đã được xác định.

Các biện pháp để đảm bảo giảm thiểu dữ liệu: Taboola cố ý giới hạn dữ liệu mà chúng tôi thu thập như một phần của các nguyên tắc giảm thiểu dữ liệu toàn cầu của Taboola, chỉ xử lý dữ liệu hạn chế cần thiết cho các mục đích kinh doanh cụ thể của chúng tôi. Hơn nữa, Taboola không có khả năng, cũng như không có nhu cầu kinh doanh, để “kỹ thuật đảo ngược” bất kỳ điểm dữ liệu nào được sử dụng trong thuật toán của chúng tôi để cung cấp dịch vụ của chúng tôi. Cụ thể hơn, các điểm dữ liệu mà Taboola thu thập không bao giờ chỉ ra danh tính của người dùng — vì Taboola không thu thập hoặc xử lý thông tin như tên người dùng, số điện thoại, email hoặc địa chỉ vật lý. Thay vào đó, Taboola chỉ thu thập các định danh giả, chỉ xác định các đặc điểm về thiết bị của người dùng. Điều này bao gồm địa chỉ IP (được rút gọn khi thu thập và chỉ có thể xác định vị trí mã zip chung của thiết bị, nhưng không bao giờ là vị trí địa lý chính xác) và, trong một số trường hợp hạn chế, địa chỉ email đã băm (mà về bản chất là không thể đảo ngược và không thể giải mã để tiết lộ địa chỉ email gốc). Hơn nữa, ngay cả khi được sử dụng tập thể, dữ liệu mà chúng tôi thu thập không bao giờ có thể tạo ra tên, số điện thoại, email hoặc địa chỉ vật lý của một cá nhân, và các kỹ sư của chúng tôi không làm việc theo bất kỳ cách nào để đạt được mục tiêu này. Ngoài ra, Taboola thực hiện và ghi lại các đánh giá tác động về quyền riêng tư nhằm giảm thiểu các rủi ro về quyền riêng tư của dịch vụ, quy trình và chính sách của chúng tôi.

Các biện pháp để đảm bảo chất lượng dữ liệu: Dữ liệu được thu thập trực tiếp từ người dùng và người dùng được tạo cơ hội để sửa bất kỳ dữ liệu nào liên quan đến CookieID của họ thông qua Cổng yêu cầu truy cập của Taboola: https://accessrequest.taboola.com/access

Các biện pháp để đảm bảo giữ lại dữ liệu hạn chế: Chúng tôi giữ Thông tin Người dùng, được thu thập trực tiếp cho mục đích phục vụ quảng cáo, tối đa là mười ba (13) tháng kể từ lần tương tác cuối cùng của Người dùng với Dịch vụ của chúng tôi (thường trong thời gian ngắn hơn), sau thời gian đó chúng tôi sẽ không xác định dữ liệu bằng cách loại bỏ các định danh duy nhất hoặc tổng hợp dữ liệu. Quá trình này được thực hiện tự động.

Các biện pháp đảm bảo trách nhiệm giải trình: Taboola thực hiện nhiều cuộc kiểm tra an ninh và thử nghiệm xâm nhập (nhưng không cho tất cả các hệ thống). Taboola cũng sử dụng các nhà cung cấp đám mây được chứng nhận ISO và tuân thủ các chứng nhận liên quan đến đám mây khác để duy trì các biện pháp bảo vệ vật lý của máy chủ.

Các biện pháp cho phép di chuyển dữ liệu và đảm bảo xóa bỏ: Taboola liên quan đến việc xử lý phương tiện giống nhau cho tất cả các loại phương tiện vì nó có thể chứa thông tin cá nhân. Bất kỳ phương tiện nào cũng phải được xóa hoàn toàn trước khi được tái sử dụng hoặc xử lý. Bất kỳ việc xử lý phương tiện nào cũng được ghi chép lại. Nhân viên được hướng dẫn không in bất kỳ tài liệu nào có thể chứa thông tin cá nhân.

  1. Trong phạm vi một bên thực hiện một Chuyển nhượng Bị hạn chế của Dữ liệu đã thu thập cho bên kia, các Điều khoản Hợp đồng Chuẩn sẽ được đưa vào các Điều khoản Bảo mật của Nhà quảng cáo này và áp dụng như sau:
    1. nơi Chuyển nhượng Bị hạn chế là một Chuyển nhượng Bị hạn chế của EU, các SCC của EU sẽ áp dụng giữa các bên như sau:
      1. Mô-đun Một sẽ áp dụng;
      2. trong Điều khoản 7, Điều khoản kết nối tùy chọn sẽ áp dụng;
      3. trong Điều khoản 11, ngôn ngữ tùy chọn sẽ không áp dụng;
      4. trong Điều khoản 17, Lựa chọn 1 sẽ áp dụng, và các SCC của EU sẽ được điều chỉnh bởi luật pháp Ireland;
      5. trong Điều khoản 18(b), các tranh chấp sẽ được giải quyết trước các tòa án của Ireland;
      6. Các Phần A, B và C của Phụ lục I sẽ được coi là hoàn thành với thông tin được nêu trong các Phần A, B và C của Phụ lục A của các Điều khoản Bảo mật của Nhà quảng cáo này; và
      7. Phụ lục II sẽ được coi là hoàn thành với các biện pháp an ninh được nêu trong Phụ lục B của các Điều khoản Bảo mật của Nhà quảng cáo này;
    2. nơi Chuyển nhượng Bị hạn chế là một Chuyển nhượng Bị hạn chế của Vương quốc Anh, Phụ lục Vương quốc Anh sẽ áp dụng giữa các bên như sau:
      1. các SCC của EU, được hoàn thành như đã nêu ở trên sẽ áp dụng giữa các bên, và sẽ được sửa đổi bởi Phụ lục Vương quốc Anh (được hoàn thành như đã nêu trong tiểu điều khoản (ii) dưới đây); và
      2. các bảng 1 đến 3 của Phụ lục Vương quốc Anh sẽ được coi là hoàn thành với thông tin liên quan từ các SCC của EU, được hoàn thành như đã nêu ở trên, và các tùy chọn “Người xuất khẩu” và “Người nhập khẩu” sẽ được coi là đã được đánh dấu trong bảng 4. Ngày bắt đầu của Phụ lục Vương quốc Anh (như đã nêu trong bảng 1) sẽ là Ngày có hiệu lực của các Điều khoản Bảo mật của Nhà quảng cáo.
  2. Chuyển nhượng hạn chế tiếp theo:  Không bên nào sẽ thực hiện chuyển nhượng hạn chế tiếp theo của Dữ liệu đã thu thập mà họ nhận được từ bên kia trừ khi họ đã thực hiện tất cả các hành động và việc cần thiết để đảm bảo rằng việc chuyển nhượng hạn chế tiếp theo đó tuân thủ Luật Bảo vệ Dữ liệu hiện hành và bất kỳ Điều khoản Hợp đồng Chuẩn nào mà họ đã đồng ý với bên kia.