Điều khoản quyền riêng tư cho chủ sở hữu tài sản kỹ thuật số

Last Update: October 10, 2024

Ngày có hiệu lực: 10 tháng 10, 2024

Các Điều khoản quyền riêng tư của Taboola cho chủ sở hữu tài sản kỹ thuật số (“Điều khoản quyền riêng tư của Nhà xuất bản”) áp dụng cho các dịch vụ quảng cáo kỹ thuật số của Taboola, chẳng hạn như khi Taboola đặt nội dung của Nhà quảng cáo trên các tài sản của Nhà xuất bản, bao gồm nhưng không giới hạn ở các sản phẩm và dịch vụ của Nhà xuất bản như Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News và Taboola Push, theo thỏa thuận giữa Taboola và Nhà xuất bản (“Thỏa thuận”), và các Điều khoản quyền riêng tư của Nhà xuất bản này sẽ được coi là được tích hợp vào, và là một phần không thể tách rời của, bất kỳ Thỏa thuận nào như vậy. Các Điều khoản quyền riêng tư của Nhà xuất bản xác định vai trò và trách nhiệm của Taboola và Nhà xuất bản liên quan đến Dữ liệu Cá nhân.

Nếu có sự mâu thuẫn giữa Điều khoản Bảo mật của Nhà xuất bản và Thỏa thuận, Điều khoản Bảo mật của Nhà xuất bản sẽ chi phối trừ khi điều khoản mâu thuẫn trong Thỏa thuận rõ ràng tham chiếu đến điều khoản mâu thuẫn của các Điều khoản Bảo mật này và chỉ định rằng nó thay thế điều khoản mâu thuẫn.

Các thuật ngữ được định nghĩa trong phần này sẽ có các nghĩa được nêu dưới đây, và các thuật ngữ liên quan sẽ được hiểu tương ứng. Các thuật ngữ viết hoa được sử dụng nhưng không được định nghĩa trong Điều khoản Bảo mật của Nhà xuất bản sẽ có các nghĩa được định nghĩa trong Thỏa thuận.

      1. Luật Bảo vệ Dữ liệu Áp dụng” có nghĩa là bất kỳ và tất cả các luật bảo vệ dữ liệu và quyền riêng tư liên bang, quốc gia, tiểu bang hoặc khác áp dụng cho việc Xử lý là đối tượng của Thỏa thuận và các Điều khoản Bảo mật của Nhà xuất bản, có thể được sửa đổi hoặc thay thế theo thời gian.
      2. Luật Bảo mật California” có nghĩa là Đạo luật Bảo mật Người tiêu dùng California năm 2018, Cal. Bộ luật Dân sự § 1798.100 et seq. (còn gọi là “CCPA”), đã được sửa đổi (bao gồm cả Đạo luật Quyền Bảo mật California), và bất kỳ luật phụ thuộc và quy định thực hiện nào.
      3. Người kiểm soát” có nghĩa là: (i) một thực thể xác định mục đích và phương tiện của việc Xử lý Dữ liệu Cá nhân, và (ii) bất kỳ cá nhân hoặc thực thể nào nằm trong phạm vi của thuật ngữ “Người kiểm soát”, hoặc “Doanh nghiệp” (hoặc bất kỳ thuật ngữ tương tự nào) như được định nghĩa theo Luật Bảo vệ Dữ liệu Áp dụng.
      4. Chủ thể Dữ liệu” có nghĩa là: (i) một cá nhân tự nhiên đã được xác định hoặc có thể xác định (và, cho các mục đích này, một cá nhân tự nhiên có thể xác định là một người có thể được xác định, trực tiếp hoặc gián tiếp, đặc biệt là bằng cách tham chiếu đến một định danh như tên, số định danh, dữ liệu vị trí, định danh trực tuyến hoặc một hoặc nhiều yếu tố cụ thể cho danh tính thể chất, sinh lý, di truyền, tâm lý, kinh tế, văn hóa hoặc xã hội của cá nhân tự nhiên đó), và (ii) bất kỳ cá nhân nào nằm trong phạm vi của thuật ngữ “chủ thể dữ liệu”, “người tiêu dùng” (hoặc bất kỳ thuật ngữ tương tự nào) như được định nghĩa theo Luật Bảo vệ Dữ liệu.
      5. Luật Bảo vệ Dữ liệu EU” có nghĩa là: (i) Quy định Bảo vệ Dữ liệu Chung của EU (Quy định 2016/679) (“GDPR EU”); (ii) Chỉ thị e-Privacy của EU (Chỉ thị 2002/58/EC); và (iii) bất kỳ luật bảo vệ dữ liệu quốc gia nào được ban hành theo hoặc theo (i) hoặc (ii), mỗi luật có thể được sửa đổi hoặc thay thế theo thời gian.
      6. Dữ liệu Cá nhân” có nghĩa là bất kỳ thông tin nào liên quan đến một cá nhân đã được xác định hoặc có thể xác định (và thuật ngữ này sẽ bao gồm, khi được yêu cầu bởi Luật Bảo vệ Dữ liệu Áp dụng, các định danh trình duyệt hoặc thiết bị duy nhất), như được nêu trong Phụ lục A, Phần B.
        1. Dữ liệu Cá nhân Tương tác” có nghĩa là bất kỳ Dữ liệu Cá nhân nào được thu thập từ người tiêu dùng vào thời điểm, hoặc sau, khi người tiêu dùng tương tác có chủ ý với Taboola, các sản phẩm của Taboola, các tài sản của Taboola, và quảng cáo mà Taboola đặt.
        2. Dữ liệu Cá nhân Tương tác Thụ động” có nghĩa là bất kỳ Dữ liệu Cá nhân nào được thu thập thụ động từ Tài sản của Nhà xuất bản, bao gồm, nhưng không giới hạn, địa chỉ IP, URL trang, và chuỗi tác nhân người dùng được Taboola thu thập, trước hoặc không có sự tương tác có chủ ý của người tiêu dùng với Taboola, các sản phẩm của Taboola, các tài sản của Taboola, và quảng cáo mà Taboola đặt.
      7. Xử lý” có nghĩa là bất kỳ hoạt động hoặc tập hợp các hoạt động nào được thực hiện trên Dữ liệu Cá nhân hoặc trên các tập hợp Dữ liệu Cá nhân, bất kể có được thực hiện bằng phương tiện tự động hay không, chẳng hạn như thu thập, nhận, ghi, tổ chức, cấu trúc, sử dụng, truyền, truy cập, chia sẻ, tiết lộ, chuyển nhượng, lưu trữ, thích ứng hoặc thay đổi, truy xuất, tham khảo, phát tán hoặc làm cho có sẵn, căn chỉnh hoặc kết hợp, tổng hợp, suy luận, suy diễn, phân tích, hạn chế, xóa, tiêu hủy hoặc xử lý khác Dữ liệu Cá nhân, bao gồm cả cách mà thuật ngữ này được định nghĩa theo Luật Bảo vệ Dữ liệu Áp dụng.
      8. Processor” có nghĩa là một thực thể xử lý Dữ liệu Cá nhân thay mặt cho một Người kiểm soát, và bao gồm cách mà thuật ngữ này và/hoặc thuật ngữ “người xử lý dữ liệu” (hoặc bất kỳ thuật ngữ tương tự nào) được định nghĩa theo Luật Bảo vệ Dữ liệu Áp dụng.
      9. Restricted Transfer” có nghĩa là: (i) nơi mà GDPR EU áp dụng, một chuyển giao Dữ liệu Cá nhân từ EEA đến một quốc gia bên ngoài EEA không thuộc đối tượng xác định tính đầy đủ bởi Ủy ban Châu Âu (một “EU Restricted Transfer“); và (ii) nơi mà GDPR Vương quốc Anh áp dụng, một chuyển giao Dữ liệu Cá nhân từ Vương quốc Anh đến bất kỳ quốc gia nào khác không thuộc đối tượng hoặc không dựa trên quy định tính đầy đủ theo Điều 17A của Đạo luật Bảo vệ Dữ liệu Vương quốc Anh 2018 (một “UK Restricted Transfer“).
      10. Dịch vụ” có nghĩa là các dịch vụ được cung cấp bởi Taboola theo Thỏa thuận với Nhà xuất bản.
      11. “Sự cố bảo mật” có nghĩa là một vi phạm bảo mật dẫn đến việc phá hủy, mất mát, thay đổi, tiết lộ trái phép, hoặc truy cập vào Dữ liệu Cá nhân một cách tình cờ hoặc bất hợp pháp.
      12. “Các điều khoản hợp đồng tiêu chuẩn” có nghĩa là: (i) nơi mà GDPR EU áp dụng, các điều khoản hợp đồng được đính kèm vào Quyết định Thực hiện 2021/914 của Ủy ban Châu Âu ngày 4 tháng 6 năm 2021 về các điều khoản hợp đồng tiêu chuẩn cho việc chuyển giao dữ liệu cá nhân đến các quốc gia thứ ba theo Quy định (EU) 2016/679 của Nghị viện Châu Âu và Hội đồng (“EU SCCs”); và (ii) nơi mà GDPR Vương quốc Anh áp dụng, “Phụ lục Chuyển giao Dữ liệu Quốc tế cho các Điều khoản Hợp đồng Tiêu chuẩn của Ủy ban EU” được phát hành bởi Ủy viên Thông tin theo s.119A(1) của DPA 2018 (“UK Addendum”).
      13. Bên thứ ba” có nghĩa là một doanh nghiệp hoạt động như một Người kiểm soát liên quan đến Dữ liệu Cá nhân, và không phải là doanh nghiệp mà Chủ thể Dữ liệu có Dữ liệu Cá nhân được xử lý đã tương tác một cách có chủ ý; thuật ngữ này bao gồm cách mà thuật ngữ này được định nghĩa theo Luật Bảo vệ Dữ liệu Áp dụng.
      14. Luật Bảo vệ Dữ liệu Vương quốc Anh” có nghĩa là: (i) Đạo luật Bảo vệ Dữ liệu Vương quốc Anh 2018, (ii) GDPR Vương quốc Anh (như được định nghĩa trong s.3(10) của Đạo luật Bảo vệ Dữ liệu Vương quốc Anh 2018) (“UK GDPR”), (iii) Quy định về Quyền riêng tư và Truyền thông Điện tử Vương quốc Anh (Quy định EC) 2003), và (iv) bất kỳ luật nào khác của Vương quốc Anh được ban hành theo hoặc theo (i), (ii) hoặc (iii), mỗi luật có thể được sửa đổi hoặc thay thế theo thời gian.

Đối với Dữ liệu Cá nhân được xử lý liên quan đến các Dịch vụ, mỗi bên đồng ý rằng họ sẽ chỉ xử lý Dữ liệu Cá nhân mà họ thu thập cho các mục đích được mô tả trong Phụ lục A, Phần B (các “Mục đích được phép”) và theo quy định của các Điều khoản Bảo mật Nhà xuất bản, Thỏa thuận, và các Luật Bảo vệ Dữ liệu Áp dụng, như mỗi điều này có thể được cập nhật theo thời gian. Taboola cũng có thể xử lý Dữ liệu Cá nhân Tương tác Thụ động như được phép bởi Chính sách Bảo mật của Taboola, và như có thể được cập nhật theo thời gian.

Mỗi Bên sẽ xử lý Dữ liệu Cá nhân Tương tác Thụ động mà họ thu thập như một Người kiểm soát hoặc Bên thứ ba, tùy thuộc vào trường hợp. Mỗi bên sẽ xử lý Dữ liệu Cá nhân Tương tác mà họ thu thập như một Người kiểm soát hoặc Doanh nghiệp, tùy thuộc vào trường hợp. Việc tiết lộ (dù trực tiếp hay thông qua một bên làm cho dữ liệu có sẵn cho bên kia) Dữ liệu Cá nhân từ một bên sang bên kia là các tiết lộ cho Bên thứ ba.

      1. Nếu Luật Bảo vệ Dữ liệu của Hoa Kỳ hoặc tiểu bang Hoa Kỳ áp dụng cho Dữ liệu Cá nhân, bao gồm nhưng không giới hạn Luật Bảo mật California, trong phạm vi Taboola xử lý Dữ liệu Cá nhân Tương tác Thụ động liên quan đến các Dịch vụ, Taboola hoạt động như một Bên thứ ba đối với Nhà xuất bản cho Dữ liệu Cá nhân Tương tác Thụ động đó. Taboola sẽ xử lý Dữ liệu Cá nhân Tương tác Thụ động đó cho các mục đích được mô tả trong Phụ lục A, Phần B và theo quy định của các Điều khoản Bảo mật Nhà xuất bản, Thỏa thuận, Luật Bảo vệ Dữ liệu Áp dụng, và Chính sách Bảo mật của Taboola, như mỗi điều có thể được cập nhật theo thời gian. Dữ liệu Cá nhân Tương tác Thụ động đó chỉ được cung cấp cho Taboola cho các mục đích đó. Taboola sẽ cung cấp mức độ bảo vệ quyền riêng tư tương tự như yêu cầu đối với Doanh nghiệp theo các Luật Bảo vệ Dữ liệu của Hoa Kỳ áp dụng, bao gồm nếu áp dụng, Luật Bảo mật California. Nhà xuất bản có quyền đảm bảo rằng Taboola sử dụng Dữ liệu Cá nhân Tương tác Thụ động theo cách nhất quán với nghĩa vụ của Nhà xuất bản. Sau khi thông báo cho Taboola, Nhà xuất bản có quyền thực hiện các bước hợp lý và thích hợp để ngăn chặn và khắc phục việc sử dụng trái phép Dữ liệu Cá nhân mà họ cung cấp cho Taboola. Taboola sẽ thông báo cho Nhà xuất bản trong khoảng thời gian yêu cầu bởi các Luật Bảo vệ Dữ liệu áp dụng nếu Taboola xác định rằng họ không còn khả năng đáp ứng nghĩa vụ của mình theo các Luật Bảo vệ Dữ liệu áp dụng. Trong trường hợp Taboola thu thập Dữ liệu Cá nhân Tương tác liên quan đến Dịch vụ, họ sẽ làm như vậy như một Doanh nghiệp riêng biệt.

Các bên công nhận rằng họ có thể Xử lý Dữ liệu Cá nhân và rằng các Luật Bảo vệ Dữ liệu áp dụng có thể áp dụng cho việc Xử lý Dữ liệu Cá nhân của mỗi bên. Khi điều này xảy ra, mỗi bên sẽ tuân thủ các Luật Bảo vệ Dữ liệu áp dụng liên quan đến việc xử lý Dữ liệu Cá nhân của mình. Khi điều này xảy ra, và tùy thuộc vào điều khoản 7, mỗi bên sẽ chịu trách nhiệm cá nhân về việc tuân thủ các Luật Bảo vệ Dữ liệu áp dụng, bao gồm bất kỳ yêu cầu nào áp dụng để: (i) cung cấp sự minh bạch cho Các Chủ thể Dữ liệu, (ii) có sự đồng ý hoặc cơ sở hợp pháp khác cho việc Xử lý, và (iii) cung cấp một điểm liên lạc mà qua đó Các Chủ thể Dữ liệu có thể thực hiện quyền bảo vệ dữ liệu của họ. Nhà xuất bản sẽ nhanh chóng thông báo cho Taboola nếu và trong phạm vi mà họ nhận được bất kỳ yêu cầu quyền bảo vệ dữ liệu nào liên quan đến việc Xử lý Dữ liệu Cá nhân của Taboola với tư cách là một Người kiểm soát để Taboola có thể thực hiện yêu cầu đó theo nghĩa vụ của mình theo Luật Bảo vệ Dữ liệu áp dụng.

  1. Nhà xuất bản sẽ chuyển bất kỳ yêu cầu nào từ các chủ thể dữ liệu nhận được liên quan đến Dịch vụ của Taboola đến Cổng yêu cầu truy cập Dữ liệu Toàn cầu của Taboola hoặc Mỹ. Cổng Tùy chọn Quyền Người tiêu dùng, nếu có.

Nếu một trong hai Bên nhận được bất kỳ yêu cầu, khiếu nại hoặc thư từ (một “Thông báo của Bên thứ ba“) từ một cá nhân, cơ quan quản lý hoặc bên thứ ba khác liên quan đến việc xử lý Dữ liệu Cá nhân của Các Chủ thể Dữ liệu liên quan đến Dịch vụ, họ sẽ nhanh chóng thông báo cho Bên kia và các Bên sẽ hợp tác một cách thiện chí và hợp lý cần thiết để giải quyết các yêu cầu của Thông báo Bên thứ ba đó.

Trong trường hợp một trong hai bên thực hiện một Chuyển giao Bị hạn chế Dữ liệu Cá nhân cho bên kia, các điều khoản của Phụ lục C sẽ được áp dụng.

Trong trường hợp Taboola thu thập Dữ liệu Cá nhân từ Tài sản của Nhà xuất bản bằng cách sử dụng mã Taboola, pixel và công nghệ theo dõi khác, Nhà xuất bản sẽ: (i) cung cấp tất cả các thông báo minh bạch cần thiết cho Các Chủ thể Dữ liệu về việc Taboola sử dụng mã Taboola để thu thập Dữ liệu Cá nhân từ Tài sản của Nhà xuất bản cho các Mục đích Được phép, và (ii) thu thập (và, theo yêu cầu bất kỳ lúc nào của Taboola, cung cấp bằng chứng thích hợp về) sự đồng ý của Các Chủ thể Dữ liệu cho việc sử dụng mã Taboola cho các Mục đích Được phép, trong mỗi trường hợp theo các yêu cầu của các Luật Bảo vệ Dữ liệu áp dụng. Nghĩa vụ của Nhà xuất bản trong vấn đề này bao gồm việc xác định Taboola và việc sử dụng mã Taboola của nó cho các Mục đích Được phép một cách rõ ràng trong các thông báo minh bạch và các yêu cầu đồng ý mà Nhà xuất bản cung cấp cho Các Chủ thể Dữ liệu, cũng như bất kỳ thông tin nào khác được yêu cầu bởi các Luật Bảo vệ Dữ liệu áp dụng, để Taboola có thể cung cấp Dịch vụ của mình một cách hợp pháp thông qua các Tài sản đó và Xử lý Dữ liệu Cá nhân cho các Mục đích Được phép. Theo yêu cầu bằng văn bản, Taboola sẽ cung cấp cho Nhà xuất bản thông tin mà Nhà xuất bản có thể hợp lý yêu cầu về mã Taboola và việc Xử lý Dữ liệu Cá nhân của Taboola thông qua các Tài sản của Nhà xuất bản để Nhà xuất bản đảm bảo rằng các cơ chế thông báo và đồng ý của mình sẽ tuân thủ các Luật Bảo vệ Dữ liệu áp dụng. Nhà xuất bản đồng ý cụ thể rằng:

  1. đối với các Tài sản dựa trên web của mình, Chính sách Bảo mật của Nhà xuất bản sẽ mô tả việc sử dụng cookie, các định danh duy nhất và công nghệ không phải cookie của bên thứ ba (tức là Taboola) cho quảng cáo dựa trên sở thích và phân tích (trên và ngoài các Tài sản), và sẽ cung cấp một liên kết đến trang tùy chọn từ chối của ngành NAI tại http://www.networkadvertising.org, trang tùy chọn từ chối của ngành DAA tại http://www.aboutads.info, hoặc (đối với các phương tiện truyền thông và thu thập dữ liệu dựa trên web ở châu Âu) một liên kết đến liên kết từ chối EDAA tại http://www.youronlinechoices.eu, theo cách đáp ứng các yêu cầu của Luật Bảo vệ Dữ liệu áp dụng; và
  2. đối với các Tài sản dựa trên ứng dụng di động, Chính sách Bảo mật của Nhà xuất bản sẽ mô tả việc sử dụng trên các ứng dụng di động của mình các SDK và việc thu thập các định danh quảng cáo di động cho quảng cáo dựa trên sở thích hoặc quảng cáo chéo ứng dụng và phân tích (trên và ngoài các Tài sản); và cung cấp một mô tả về cách người dùng và Khách truy cập có thể từ chối việc thu thập dữ liệu di động cho quảng cáo chéo ứng dụng thông qua cài đặt thiết bị.
  3. đối với các Tài sản hướng tới EU, Nhà xuất bản sẽ đảm bảo rằng họ nhận được sự đồng ý tự nguyện, cụ thể, thông tin và rõ ràng của Người truy cập theo quy định của Luật Bảo mật EU, liên quan đến việc đặt hoặc truy cập bất kỳ cookie Taboola hoặc bất kỳ định danh duy nhất nào trên thiết bị của Người truy cập. Nhà xuất bản sẽ cung cấp cho Người truy cập thông tin liên lạc (có thể bao gồm việc làm cho những thông tin đó có sẵn thông qua Chính sách Bảo mật của mình) để họ có thể liên hệ với Nhà xuất bản để thực hiện quyền bảo vệ dữ liệu của họ (bao gồm cả liên quan đến Dữ liệu Cá nhân được xử lý liên quan đến các Dịch vụ). Các nghĩa vụ trên áp dụng khi các Tài sản của Nhà xuất bản thu hút Người truy cập ở các khu vực yêu cầu cơ chế đồng ý liên quan đến các Dịch vụ.

Trong Thời gian, Taboola có thể cung cấp ngôn ngữ chính sách bảo mật hoặc tiết lộ được khuyến nghị cho Nhà xuất bản. Nhà xuất bản thừa nhận rằng họ sẽ không dựa vào ngôn ngữ được khuyến nghị đó như một sự thay thế cho tư vấn pháp lý và rằng Nhà xuất bản hoặc Công ty tự mình hoàn toàn chịu trách nhiệm về bất kỳ tiết lộ nào trong chính sách bảo mật của mình hoặc trên trang web của mình.

Nhà xuất bản sẽ không cung cấp hoặc cấu hình các Dịch vụ để thu thập hoặc tiết lộ cho Taboola bất kỳ loại dữ liệu cá nhân đặc biệt hoặc thông tin cá nhân nhạy cảm hoặc dữ liệu nhạy cảm nào (như được định nghĩa theo Luật Bảo vệ Dữ liệu Áp dụng) cho Taboola để xử lý. Hơn nữa, Nhà xuất bản sẽ đảm bảo rằng bất kỳ URL trang nào được cung cấp cho Taboola sẽ không chứa thông tin tiêu đề video. Taboola có quyền tạm ngừng các Dịch vụ nếu Nhà xuất bản không tuân thủ đoạn này trừ khi và cho đến khi sự không tuân thủ đó được khắc phục.

Mỗi Bên sẽ thực hiện các biện pháp an ninh kỹ thuật và tổ chức thích hợp để bảo vệ Dữ liệu Cá nhân của Người truy cập khỏi một Sự cố An ninh. Các biện pháp này sẽ bao gồm các biện pháp được nêu trong Phụ lục B.

Nếu một trong hai Bên gặp phải một Sự cố An ninh liên quan đến Dữ liệu Cá nhân mà họ Xử lý và là đối tượng của Thỏa thuận và các Điều khoản Bảo mật của Nhà xuất bản này, Bên đó sẽ: (i) chịu trách nhiệm thực hiện (với chi phí của mình) bất kỳ nghĩa vụ báo cáo nào áp dụng cho nó theo các Luật Bảo vệ Dữ liệu Áp dụng đối với các cơ quan bảo vệ dữ liệu và/hoặc các Chủ thể Dữ liệu bị ảnh hưởng, (ii) thông báo cho Bên kia mà không chậm trễ, cung cấp thông tin về Sự cố An ninh mà Bên kia có thể hợp lý yêu cầu hoặc như được yêu cầu khác để Bên kia xác định xem họ có thể cũng có nghĩa vụ báo cáo theo các Luật Bảo vệ Dữ liệu Áp dụng liên quan đến Sự cố An ninh hay không, và (iii) thực hiện tất cả các hành động và biện pháp như vậy, mà không chậm trễ, là thích hợp để khắc phục và/hoặc giảm thiểu các tác động của Sự cố An ninh.

Khi và trong phạm vi yêu cầu bởi các Luật Bảo vệ Dữ liệu Áp dụng mà mỗi bên phải tuân thủ, mỗi bên sẽ thực hiện bất kỳ đánh giá tác động bảo vệ dữ liệu nào liên quan đến việc Xử lý Dữ liệu Cá nhân của mình cho các Mục đích Được phép và/hoặc tham khảo ý kiến với các cơ quan bảo vệ dữ liệu áp dụng, nếu cần thiết. Mỗi bên sẽ cung cấp tất cả sự hợp tác hợp lý và thông tin được yêu cầu hợp lý bởi bên kia, khi điều này là cần thiết để cho phép bên kia hoàn thành một đánh giá tác động bảo vệ dữ liệu và/hoặc tham khảo ý kiến với các cơ quan bảo vệ dữ liệu áp dụng theo nghĩa vụ của bên kia theo phần này.

A. DANH SÁCH CÁC BÊN

Mỗi bên sẽ là:

  • một người kiểm soát dữ liệu (và xuất khẩu dữ liệu) của Dữ liệu Được thu thập mà nó tiết lộ, hoặc cung cấp cho bên kia, và
  • một người kiểm soát dữ liệu (và nhập khẩu dữ liệu) của Dữ liệu Được thu thập mà nó nhận từ, hoặc mà quyền truy cập được cung cấp bởi, bên kia.

Chi tiết của mỗi bên được cung cấp dưới đây.

Tên: Xem chi tiết của Nhà quảng cáo được nêu trong Thỏa thuận.

Địa chỉ: Xem chi tiết của Nhà quảng cáo được nêu trong Thỏa thuận.

Tên, chức vụ và thông tin liên lạc của người liên hệ: Xem chi tiết của Nhà quảng cáo được nêu trong Thỏa thuận hoặc được các bên đồng ý bằng văn bản.

Các hoạt động liên quan đến dữ liệu được chuyển giao theo các Điều khoản này: Việc nhận các Dịch vụ, như được nêu trong Thỏa thuận.

Chữ ký và ngày:  Phụ lục A này sẽ được coi là đã được thực hiện khi Nhà quảng cáo chấp nhận các Điều khoản Bảo mật của Nhà quảng cáo.

Vai trò (người kiểm soát/người xử lý): Người kiểm soát (nơi là người xuất khẩu dữ liệu) và Người kiểm soát (nơi là người nhập khẩu dữ liệu)

 

Tên: Xem chi tiết của Taboola được nêu trong phần giới thiệu của Thỏa thuận.

Địa chỉ: Xem chi tiết của Taboola được nêu trong phần giới thiệu của Thỏa thuận.

Tên, chức vụ và thông tin liên lạc của người liên hệ: Đội ngũ bảo mật của Taboola, privacy@taboola.com.

Các hoạt động liên quan đến dữ liệu được chuyển giao theo các Điều khoản này: Việc cung cấp Dịch vụ, như được nêu trong Thỏa thuận.

Chữ ký và ngày tháng: Phụ lục A này sẽ được coi là đã được thực hiện khi Taboola chấp nhận các Điều khoản Bảo mật của Nhà quảng cáo.

Vai trò (người kiểm soát/người xử lý): Người kiểm soát (nơi là người xuất khẩu dữ liệu) và Người kiểm soát (nơi là người nhập khẩu dữ liệu)

 

B. MÔ TẢ VỀ QUÁ TRÌNH XỬ LÝ VÀ CHUYỂN GIAO 

Các loại đối tượng dữ liệu mà dữ liệu cá nhân của họ được xử lý và/hoặc chuyển giao: Người dùng

Các loại dữ liệu cá nhân được xử lý và/hoặc chuyển giao:

Dữ liệu thiết bị: Hệ điều hành, loại trình duyệt, phiên bản trình duyệt, địa chỉ IP (bị rút gọn trong vòng 30 ngày) của việc thu thập, mã bưu chính (được suy ra từ địa chỉ IP), ID người dùng Taboola đã băm, email đã băm, các lần truy cập trang ban đầu và tiếp theo trên trang web của Nhà quảng cáo, giới tính người dùng (suy ra từ sở thích), tín hiệu tương tác (thời gian trên trang, độ sâu cuộn, độ sâu phiên), dữ liệu chuyển đổi.

Dữ liệu về tài sản kỹ thuật số mà người dùng đã truy cập: URL của trang đã truy cập, trang web giới thiệu

Dữ liệu nhạy cảm được chuyển giao (nếu có) và các hạn chế hoặc biện pháp bảo vệ được áp dụng hoàn toàn xem xét đến bản chất của dữ liệu và các rủi ro liên quan, chẳng hạn như hạn chế mục đích nghiêm ngặt, hạn chế truy cập (bao gồm chỉ cho phép nhân viên đã tham gia đào tạo chuyên môn truy cập), giữ hồ sơ truy cập vào dữ liệu, hạn chế chuyển giao tiếp theo hoặc các biện pháp bảo mật bổ sung: Không áp dụng.

Tần suất xử lý và/hoặc chuyển giao (ví dụ: liệu dữ liệu có được xử lý và/hoặc chuyển giao một lần hay liên tục): Liên tục trong suốt thời gian của Thỏa thuận.

Bản chất của việc xử lý: Xử lý Dữ liệu Cá nhân cần thiết cho việc cung cấp Dịch vụ, như đã nêu trong Thỏa thuận.

Mục đích của việc xử lý / chuyển giao dữ liệu và xử lý tiếp theo: Việc cung cấp Dịch vụ, như đã nêu trong Thỏa thuận. Để tránh nghi ngờ, các Mục đích Được Phép bao gồm: (i) lưu trữ và/hoặc truy cập thông tin trên thiết bị; (ii) chọn quảng cáo cơ bản; (iii) tạo hồ sơ quảng cáo cá nhân hóa; (iv) chọn quảng cáo cá nhân hóa; (v) tạo hồ sơ nội dung cá nhân hóa; (vi) chọn nội dung cá nhân hóa; (vii) đo lường hiệu suất quảng cáo; (viii) đo lường hiệu suất nội dung; (ix) phát triển và cải thiện sản phẩm; (x) đảm bảo an ninh, ngăn chặn gian lận và gỡ lỗi; (xi) cung cấp quảng cáo hoặc nội dung về mặt kỹ thuật; (xii) kết hợp và kết nối các nguồn dữ liệu ngoại tuyến; (xiii) liên kết các thiết bị khác nhau; (xiv) nhận và sử dụng các đặc điểm thiết bị được gửi tự động để nhận diện; (xv) sử dụng dữ liệu hạn chế để chọn nội dung, và (xvi) hiểu khán giả thông qua thống kê.

Thời gian mà dữ liệu cá nhân sẽ được lưu giữ, hoặc, nếu điều đó không thể, tiêu chí được sử dụng để xác định thời gian đó:

  • Taboola: Dữ liệu thô được lưu trữ tối đa 13 tháng.
  • Nhà quảng cáo: Trong thời gian cần thiết để nhận Dịch vụ hoặc theo cách khác được chỉ định trong Thỏa thuận.

Đối với các chuyển giao đến (các) nhà xử lý phụ, cũng chỉ định chủ đề, bản chất và thời gian của việc xử lý: Không áp dụng.

 

C. CƠ QUAN GIÁM SÁT CÓ THẨM QUYỀN

Cơ quan giám sát có thẩm quyền nơi EU GDPR áp dụng: Cơ quan giám sát có thẩm quyền cho mỗi bên được mô tả như sau:

  • Taboola: Cơ quan giám sát có thẩm quyền sẽ được xác định theo Điều 13 của các Điều khoản tiêu chuẩn của EU.
  • Nhà quảng cáo: Cơ quan giám sát có thẩm quyền sẽ được xác định theo Điều 13 của các Điều khoản tiêu chuẩn của EU.

Cơ quan giám sát có thẩm quyền nơi GDPR của Vương quốc Anh áp dụng: Văn phòng Ủy viên Thông tin

Mô tả về các biện pháp kỹ thuật và tổ chức được thực hiện bởi mỗi bên (bao gồm bất kỳ chứng nhận liên quan nào) để đảm bảo mức độ an ninh thích hợp, xem xét đến bản chất, phạm vi, bối cảnh và mục đích của việc xử lý, và các rủi ro đối với quyền và tự do của các cá nhân.

Các biện pháp về việc giả danh và mã hóa dữ liệu cá nhân: Taboola chỉ thu thập dữ liệu đã được giả danh, có nghĩa là chúng tôi không biết bạn là ai vì chúng tôi không biết hoặc xử lý tên, địa chỉ email hoặc dữ liệu nhận dạng khác của người dùng. Thông tin người dùng mà chúng tôi thu thập bao gồm, nhưng không giới hạn ở, thông tin về thiết bị và hệ điều hành của người dùng, địa chỉ IP, các trang web mà người dùng truy cập trong các trang web của khách hàng của chúng tôi, liên kết dẫn đến trang web của khách hàng, ngày và giờ mà người dùng truy cập trang web của khách hàng và các dữ liệu duyệt web khác. CookieID được ẩn danh bằng cách sử dụng Bcrypt và địa chỉ IP được cắt ngắn.

Các biện pháp để đảm bảo tính bảo mật, toàn vẹn, khả năng sẵn có và khả năng phục hồi của các hệ thống và dịch vụ xử lý: Taboola sử dụng nhiều cấp độ bảo mật điện tử (ví dụ: bảo mật điểm cuối, bảo mật phía máy chủ, theo dõi phát hiện, kiểm tra xâm nhập định kỳ và thu thập thông tin sâu để xem xét các sự kiện sau khi xảy ra).

Các biện pháp để đảm bảo khả năng phục hồi tính sẵn có và truy cập vào dữ liệu cá nhân một cách kịp thời trong trường hợp xảy ra sự cố vật lý hoặc kỹ thuật: Taboola duy trì 9 trung tâm dữ liệu hoạt động trên toàn thế giới. Mỗi trung tâm dữ liệu được sử dụng như một bản sao của nhau, vì vậy nếu một trung tâm bị hỏng, dữ liệu có thể được trích xuất từ trung tâm dữ liệu khác.

Các quy trình để thường xuyên kiểm tra, đánh giá và đánh giá hiệu quả của các biện pháp kỹ thuật và tổ chức nhằm đảm bảo an ninh cho việc xử lý: Taboola duy trì các quy trình nghiêm ngặt để kiểm tra hiệu quả của các biện pháp kiểm soát của mình (cả kỹ thuật và tổ chức). Chúng tôi có hệ thống ghi lại và giám sát, kiểm tra DR hàng tháng (ít nhất), kiểm tra xâm nhập hàng quý, tường lửa bảo vệ web và honeypots phân tán trên mạng để phát hiện bất kỳ hoạt động độc hại nào. Hơn nữa, chúng tôi có chương trình thưởng giúp chúng tôi liên tục giám sát mạng của mình.

Các biện pháp để xác định và ủy quyền người dùng: Mỗi người dùng trong Taboola đều được liên kết với một tên người dùng và mật khẩu riêng biệt. Mỗi lần truy cập vào mạng nội bộ của Taboola đều được thực hiện với 2FA sử dụng xác thực của Google. Người dùng chỉ được tạo ra bởi bộ phận CNTT, trong quá trình tiếp nhận và chỉ sau khi nhận được tất cả thông tin và hợp đồng đã ký từ bộ phận nhân sự.

Các biện pháp bảo vệ dữ liệu trong quá trình truyền tải: Taboola hỗ trợ bất kỳ việc truyền tải dữ liệu nào thông qua các giao thức truyền tải an toàn (HTTPS và TLS v1.2 tối thiểu). Hơn nữa, các hệ thống có thể chứa PII được bảo mật và dữ liệu được giữ ở dạng băm và ẩn danh.

Các biện pháp bảo vệ dữ liệu trong quá trình lưu trữ: Dữ liệu được lưu trữ trong cơ sở dữ liệu của chúng tôi được ẩn danh và mã hóa bằng Bcrypt. Quyền truy cập vào cơ sở dữ liệu được tối thiểu hóa và dựa trên nguyên tắc ‘cần biết trong kinh doanh’.

Các biện pháp đảm bảo an ninh vật lý tại các địa điểm mà dữ liệu cá nhân được xử lý: Mỗi trung tâm dữ liệu toàn cầu của Taboola (tại Mỹ, Châu Âu và Châu Á) đều có tất cả các máy chủ được đặt trong tủ khóa được duy trì độc quyền cho việc sử dụng của Taboola. Các tủ này được duy trì bởi các công ty được chứng nhận SOC2 hoặc Taboola đã xem xét các biện pháp an ninh của họ. Hơn nữa, bất kỳ quyền truy cập nào vào các máy chủ đều yêu cầu sự cho phép bằng văn bản và được ghi lại. Tất cả các văn phòng của Taboola cũng được kiểm soát và yêu cầu nhân viên sử dụng thẻ truy cập để vào. Hơn nữa, chỉ một số lượng hạn chế nhân viên có quyền truy cập vào các máy chủ của Taboola và bất kỳ quyền truy cập nào cũng yêu cầu sự cho phép bằng văn bản và được ghi lại.

Các biện pháp đảm bảo ghi lại sự kiện: Taboola triển khai các công cụ giám sát và các bản ghi được thu thập vào hệ thống SIEM của chúng tôi, hệ thống này cảnh báo chúng tôi về bất kỳ sự kiện đáng ngờ nào và cũng được giám sát bởi đội NOC.

Các biện pháp đảm bảo cấu hình hệ thống, bao gồm cấu hình mặc định: Các máy chủ được quét để phát hiện sự thay đổi cấu hình và mức độ bản vá. Việc báo cáo và/hoặc cảnh báo được thiết lập trên cả hai và mức độ bản vá liên quan được xác nhận. Các bản vá mới được phân phối bằng cách sử dụng Puppet. Tất cả các đánh giá kỹ thuật được quản lý thông qua ứng dụng R&D và thu được thông qua một quy trình đánh giá chính thức (QA) sau khi mã hóa và các quy trình CI/CD được thực hiện.

Các biện pháp cho quản trị và quản lý IT nội bộ và an ninh IT: Taboola được chứng nhận ISO 27001:2013 và 27701. Taboola có một Chính sách An ninh Thông tin quy định rằng Hội đồng Quản trị và ban quản lý của Taboola cam kết bảo vệ tính bảo mật, toàn vẹn và khả năng truy cập của tất cả các tài sản thông tin vật lý và điện tử trong toàn tổ chức của họ. Taboola tổ chức các khóa đào tạo an ninh cho tất cả nhân viên mới, đào tạo chống lừa đảo cho tất cả nhân viên toàn cầu, và các khóa đào tạo an ninh định kỳ cho tất cả nhân viên và cũng dành các buổi cho các nhóm R&D.

Các biện pháp chứng nhận/đảm bảo quy trình và sản phẩm: Kiểm toán nội bộ hàng quý / nửa năm / hàng năm trên nhiều quy trình và hệ thống để xác nhận rằng Taboola đang tuân thủ các mục tiêu và biện pháp an ninh đã được xác định.

Các biện pháp đảm bảo giảm thiểu dữ liệu: Taboola cố ý giới hạn dữ liệu mà chúng tôi thu thập như một phần của nguyên tắc giảm thiểu dữ liệu toàn cầu của Taboola, chỉ xử lý dữ liệu hạn chế cần thiết cho các mục đích kinh doanh cụ thể của chúng tôi. Hơn nữa, Taboola không có khả năng, cũng như không có nhu cầu kinh doanh, để “kỹ thuật đảo ngược” bất kỳ điểm dữ liệu nào được sử dụng trong thuật toán của chúng tôi để cung cấp dịch vụ của mình. Cụ thể hơn, các điểm dữ liệu mà Taboola thu thập không bao giờ chỉ ra danh tính của người dùng — vì Taboola không thu thập hoặc xử lý thông tin như tên người dùng, số điện thoại, email hoặc địa chỉ vật lý. Thay vào đó, Taboola chỉ thu thập các định danh giả, chỉ xác định các đặc điểm về thiết bị của người dùng. Điều này bao gồm địa chỉ IP (được rút gọn khi thu thập và chỉ có thể xác định vị trí mã bưu chính chung của thiết bị, nhưng không bao giờ là vị trí địa lý chính xác) và, trong một số trường hợp hạn chế, địa chỉ email đã băm (vốn không thể đảo ngược và không thể giải mã để tiết lộ địa chỉ email gốc). Hơn nữa, ngay cả khi được sử dụng tập thể, dữ liệu mà chúng tôi thu thập không bao giờ có thể tạo ra tên, số điện thoại, email hoặc địa chỉ vật lý của một cá nhân, và các kỹ sư của chúng tôi không làm việc theo bất kỳ cách nào để đạt được mục tiêu này. Ngoài ra, Taboola thực hiện và ghi lại các đánh giá tác động đến quyền riêng tư nhằm giảm thiểu rủi ro quyền riêng tư của các dịch vụ, quy trình và chính sách của chúng tôi.

Các biện pháp đảm bảo chất lượng dữ liệu: Dữ liệu được thu thập trực tiếp từ người dùng và người dùng được tạo cơ hội để sửa bất kỳ dữ liệu nào liên quan đến CookieID của họ thông qua Cổng yêu cầu truy cập của Taboola: https://accessrequest.taboola.com/access

Các biện pháp đảm bảo giữ lại dữ liệu hạn chế: Chúng tôi giữ lại Thông tin Người dùng, được thu thập trực tiếp cho mục đích phục vụ quảng cáo, tối đa là mười ba (13) tháng kể từ lần tương tác cuối cùng của Người dùng với Dịch vụ của chúng tôi (thường trong thời gian ngắn hơn), sau thời gian đó chúng tôi sẽ xác định lại dữ liệu bằng cách loại bỏ các định danh duy nhất hoặc tổng hợp dữ liệu. Quá trình này được thực hiện tự động.

Các biện pháp đảm bảo trách nhiệm: Taboola thực hiện nhiều cuộc kiểm toán an ninh và kiểm tra xâm nhập (nhưng không phải cho tất cả các hệ thống). Taboola cũng sử dụng các nhà cung cấp đám mây được chứng nhận ISO và tuân thủ các chứng nhận liên quan đến đám mây khác để duy trì các biện pháp bảo vệ vật lý của máy chủ.

Các biện pháp cho phép di chuyển dữ liệu và đảm bảo xóa bỏ: Taboola liên quan đến việc xử lý phương tiện giống nhau cho tất cả các loại phương tiện vì nó có thể chứa thông tin cá nhân. Bất kỳ phương tiện nào phải được xóa hoàn toàn trước khi được tái sử dụng hoặc vứt bỏ. Bất kỳ việc vứt bỏ phương tiện nào đều được ghi chép lại. Nhân viên được hướng dẫn không in bất kỳ tài liệu nào có thể chứa thông tin cá nhân.

  1. Trong trường hợp một bên thực hiện việc Chuyển giao Dữ liệu Bị hạn chế cho bên kia, các Điều khoản Hợp đồng Chuẩn sẽ được đưa vào các Điều khoản Bảo mật của Nhà xuất bản này và áp dụng như sau:

a. trong trường hợp Chuyển giao Bị hạn chế là Chuyển giao Bị hạn chế của EU, các SCC của EU sẽ áp dụng giữa các bên như sau:

  1. (i) Mô-đun Một sẽ được áp dụng;
  2. (ii) trong Điều 7, Điều khoản ghép nối tùy chọn sẽ được áp dụng;
  3. (iv) trong Điều 11, ngôn ngữ tùy chọn sẽ không được áp dụng;
  4. (v) trong Điều 17, Lựa chọn 1 sẽ được áp dụng, và các SCC của EU sẽ được điều chỉnh bởi luật Ireland;
  5. (vi) trong Điều 18(b), các tranh chấp sẽ được giải quyết trước các tòa án của Ireland;
  6. (vii) Các Phần A, B và C của Phụ lục I sẽ được coi là hoàn thành với thông tin được nêu trong các Phần A, B và C của Phụ lục A của các Điều khoản Bảo mật của Nhà xuất bản này; và
  7. (vii) Phụ lục II sẽ được coi là hoàn thành với các biện pháp bảo mật được nêu trong Phụ lục B của các Điều khoản Bảo mật của Nhà xuất bản này;

b. trong trường hợp Chuyển giao Bị hạn chế là Chuyển giao Bị hạn chế của Vương quốc Anh, Phụ lục Vương quốc Anh sẽ áp dụng giữa các bên như sau:

(i) các SCC của EU, được hoàn thành như đã nêu ở trên sẽ áp dụng giữa các bên, và sẽ được sửa đổi bởi Phụ lục Vương quốc Anh (được hoàn thành như đã nêu trong tiểu điều (ii) dưới đây); và

(ii) các bảng 1 đến 3 của Phụ lục Vương quốc Anh sẽ được coi là hoàn thành với thông tin liên quan từ các SCC của EU, được hoàn thành như đã nêu ở trên, và các tùy chọn “Người xuất khẩu” và “Người nhập khẩu” sẽ được coi là đã được đánh dấu trong bảng 4. Ngày bắt đầu của Phụ lục Vương quốc Anh (như đã nêu trong bảng 1) sẽ là Ngày có hiệu lực của các Điều khoản Bảo mật của Nhà xuất bản này.

2. Chuyển giao Bị hạn chế Tiếp theo: Không bên nào sẽ thực hiện việc Chuyển giao Bị hạn chế Tiếp theo của Dữ liệu đã thu thập mà họ nhận được từ bên kia trừ khi họ đã thực hiện tất cả các hành động và việc cần thiết để đảm bảo rằng việc Chuyển giao Bị hạn chế Tiếp theo đó tuân thủ Luật Bảo vệ Dữ liệu Áp dụng và bất kỳ Điều khoản Hợp đồng Chuẩn nào mà họ đã đồng ý với bên kia.