Điều khoản bảo mật cho chủ sở hữu tài sản kỹ thuật số

Last Update: October 10, 2024

Ngày có hiệu lực: Ngày 10 tháng 10 năm 2024

Các Điều khoản Bảo mật của Taboola dành cho Chủ sở hữu Tài sản Kỹ thuật số (“Điều khoản Bảo mật của Nhà xuất bản”) áp dụng cho các dịch vụ quảng cáo kỹ thuật số của Taboola, chẳng hạn như khi Taboola hiển thị nội dung của Nhà quảng cáo trên các tài sản của Nhà xuất bản, bao gồm nhưng không giới hạn ở các sản phẩm và dịch vụ của Nhà xuất bản như Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News và Taboola Push, theo thỏa thuận giữa Taboola và Nhà xuất bản (“Thỏa thuận”), và các Điều khoản Bảo mật cho Nhà xuất bản này được coi là một phần không thể tách rời của bất kỳ Thỏa thuận nào như vậy. Các Điều khoản Bảo mật của Nhà xuất bản này xác định vai trò và trách nhiệm của Taboola và Nhà xuất bản liên quan đến Dữ liệu Cá nhân.

Trong trường hợp có sự mâu thuẫn giữa Điều khoản Bảo mật của Nhà xuất bản và Thỏa thuận, Điều khoản Bảo mật của Nhà xuất bản sẽ được áp dụng trừ khi điều khoản mâu thuẫn trong Thỏa thuận có tham chiếu rõ ràng đến điều khoản mâu thuẫn trong Điều khoản Bảo mật của Nhà xuất bản và quy định rằng nó thay thế điều khoản mâu thuẫn đó.

Các thuật ngữ được định nghĩa trong phần này sẽ có ý nghĩa được nêu dưới đây, và các thuật ngữ có liên quan sẽ được hiểu theo cách tương tự. Các thuật ngữ viết hoa được sử dụng nhưng không được định nghĩa trong Điều khoản Bảo mật của Nhà xuất bản sẽ có ý nghĩa được định nghĩa trong Hợp đồng.

      1. Các quy định bảo vệ dữ liệu áp dụng” có nghĩa là tất cả các quy định liên bang, quốc gia, tiểu bang hoặc các quy định khác về quyền riêng tư và bảo vệ dữ liệu áp dụng đối với việc xử lý dữ liệu là đối tượng của Thỏa thuận và các Điều khoản Bảo mật của Nhà xuất bản này, có thể được sửa đổi hoặc thay thế theo thời gian.
      2. “Luật Bảo vệ Dữ liệu Cá nhân California” có nghĩa là Đạo luật Bảo vệ Dữ liệu Cá nhân Người tiêu dùng California năm 2018, Cal. Bộ luật Dân sự § 1798.100 và các điều khoản tiếp theo (còn gọi là “CCPA”), đã được sửa đổi (bao gồm cả theo Đạo luật Quyền riêng tư của California), cùng với các văn bản pháp luật cấp dưới và các quy định thi hành.
      3. Chủ thể kiểm soát” có nghĩa là: (i) một thực thể xác định mục đích và phương tiện xử lý Dữ liệu cá nhân, và (ii) bất kỳ cá nhân hoặc thực thể nào nằm trong phạm vi của thuật ngữ “Chủ thể kiểm soát” hoặc “Doanh nghiệp” (hoặc bất kỳ thuật ngữ tương đương nào) theo định nghĩa của các Luật bảo vệ dữ liệu áp dụng.
      4. Chủ thể dữ liệu” có nghĩa là: (i) một cá nhân được xác định hoặc có thể xác định được (và, cho mục đích này, một cá nhân có thể xác định được là người có thể được xác định, trực tiếp hoặc gián tiếp, đặc biệt là thông qua việc tham chiếu đến một thông tin nhận dạng như tên, số nhận dạng, dữ liệu vị trí, thông tin nhận dạng trực tuyến hoặc một hoặc nhiều yếu tố đặc trưng cho danh tính vật lý, sinh lý, di truyền, tinh thần, kinh tế, văn hóa hoặc xã hội của cá nhân đó), và (ii) bất kỳ cá nhân nào nằm trong phạm vi của thuật ngữ “chủ thể dữ liệu”, “người tiêu dùng” (hoặc bất kỳ thuật ngữ tương đương nào) được định nghĩa theo Luật Bảo vệ Dữ liệu.
      5. “Luật Bảo vệ Dữ liệu của Liên minh Châu Âu” có nghĩa là: (i) Quy định Chung về Bảo vệ Dữ liệu của Liên minh Châu Âu (Quy định 2016/679) (“EU GDPR”); (ii) Chỉ thị về Quyền riêng tư điện tử của EU (Chỉ thị 2002/58/EC); và (iii) bất kỳ luật bảo vệ dữ liệu quốc gia nào được ban hành theo hoặc dựa trên (i) hoặc (ii), mỗi luật có thể được sửa đổi hoặc thay thế theo thời gian.
      6. Dữ liệu cá nhân” là bất kỳ thông tin nào liên quan đến một cá nhân đã được xác định hoặc có thể xác định được (và thuật ngữ này bao gồm, theo quy định của Luật Bảo vệ Dữ liệu Áp dụng, các mã định danh duy nhất của trình duyệt hoặc thiết bị), như được quy định tại Phụ lục A, Phần B.
        1. “Dữ liệu cá nhân từ tương tác” là bất kỳ dữ liệu cá nhân nào được thu thập từ người tiêu dùng tại thời điểm hoặc sau khi người tiêu dùng có tương tác chủ động với Taboola, các sản phẩm của Taboola, các tài sản của Taboola và các quảng cáo mà Taboola đặt.
        2. Dữ liệu cá nhân thu thập một cách thụ động” có nghĩa là bất kỳ dữ liệu cá nhân nào được thu thập một cách thụ động từ các tài sản của Nhà xuất bản, bao gồm nhưng không giới hạn ở IP Address, URL trang web và User Agent String được Taboola thu thập trước hoặc trong trường hợp không có tương tác có chủ đích của người tiêu dùng với Taboola, sản phẩm của Taboola, tài sản của Taboola và quảng cáo mà Taboola đặt.
      7. Xử lý” có nghĩa là bất kỳ hoạt động hoặc tập hợp các hoạt động nào được thực hiện trên Dữ liệu cá nhân hoặc trên tập hợp Dữ liệu cá nhân, dù bằng phương tiện tự động hay không, bao gồm thu thập, nhận, ghi chép, tổ chức, cấu trúc, sử dụng, truyền tải, truy cập, chia sẻ, tiết lộ, chuyển giao, lưu trữ, điều chỉnh hoặc thay đổi, truy xuất, tra cứu, phổ biến hoặc cung cấp theo cách khác, đối chiếu hoặc kết hợp, tổng hợp, suy luận, suy ra, phân tích, hạn chế, xóa, hủy bỏ hoặc xử lý khác đối với Dữ liệu Cá nhân, bao gồm cả cách định nghĩa thuật ngữ này theo Luật Bảo vệ Dữ liệu Áp dụng.
      8. Bên xử lý dữ liệu” là thực thể xử lý Dữ liệu cá nhân thay mặt cho Bên kiểm soát dữ liệu, và bao gồm cách định nghĩa thuật ngữ này và/hoặc thuật ngữ “bên xử lý dữ liệu” (hoặc bất kỳ thuật ngữ tương đương nào) theo Luật bảo vệ dữ liệu áp dụng.
      9. Chuyển giao bị hạn chế” có nghĩa là: (i) trong trường hợp EU GDPR áp dụng, việc chuyển giao Dữ liệu Cá nhân từ Khu vực Kinh tế Châu Âu (EEA) sang một quốc gia ngoài EEA không được Ủy ban Châu Âu công nhận là đủ điều kiện (một “Chuyển giao bị hạn chế của EU”); và (ii) trong trường hợp áp dụng UK GDPR, việc chuyển giao Dữ liệu Cá nhân từ UK sang bất kỳ quốc gia nào khác không tuân thủ hoặc dựa trên các quy định về tính tương thích theo Điều 17A của Luật Bảo vệ Dữ liệu UK năm 2018 (một “Chuyển giao bị hạn chế của UK“).
      10. Dịch vụ” có nghĩa là các dịch vụ do Taboola cung cấp theo Thỏa thuận với Nhà xuất bản.
      11. “Sự cố an ninh” có nghĩa là vi phạm an ninh dẫn đến việc hủy bỏ, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập trái phép vào Dữ liệu cá nhân.
      12. “Standard Contractual Clauses” có nghĩa là: (i) trong trường hợp áp dụng EU GDPR, các điều khoản hợp đồng được đính kèm vào Quyết định thực thi 2021/914 của Ủy ban Châu Âu ngày 4 tháng 6 năm 2021 về các Standard Contractual Clauses cho việc chuyển dữ liệu cá nhân sang các quốc gia thứ ba theo Quy định (EU) 2016/679 của Nghị viện Châu Âu và Hội đồng Châu Âu (“EU SCCs”); và (ii) trong trường hợp áp dụng UK GDPR, “Phụ lục Chuyển giao Dữ liệu Quốc tế kèm theo Standard Contractual Clauses của EU” do Ủy viên Thông tin ban hành theo Điều 119A(1) của Luật Bảo vệ Dữ liệu 2018 (“UK Addendum”).
      13. Bên thứ ba” là doanh nghiệp hoạt động với tư cách là Bên kiểm soát đối với Dữ liệu cá nhân, và không phải là doanh nghiệp mà Chủ thể dữ liệu có Dữ liệu cá nhân được xử lý đã chủ động tương tác; thuật ngữ này bao gồm cách định nghĩa của thuật ngữ đó theo Luật bảo vệ dữ liệu áp dụng.
      14. “Luật Bảo vệ Dữ liệu của UK” có nghĩa là: (i) Luật Bảo vệ Dữ liệu của UK năm 2018, (ii) UK GDPR (như được định nghĩa tại Điều 3(10) của Luật Bảo vệ Dữ liệu của UK năm 2018) (“UK GDPR”), (iii) Quy định về Quyền riêng tư và Truyền thông Điện tử (Hướng dẫn của EU) năm 2003), và (iv) bất kỳ luật nào khác của Vương quốc Anh được ban hành theo hoặc dựa trên (i), (ii) hoặc (iii), mỗi luật có thể được sửa đổi hoặc thay thế theo thời gian.

Đối với Dữ liệu Cá nhân được xử lý liên quan đến Dịch vụ, mỗi bên đồng ý rằng sẽ chỉ xử lý Dữ liệu Cá nhân mà mình thu thập cho các mục đích được mô tả trong Phụ lục A, Phần B (các Mục đích Được Phép”) và theo quy định của các Điều khoản Bảo mật của Nhà xuất bản, Thỏa thuận và Các Luật Bảo vệ Dữ liệu Áp dụng, mỗi văn bản có thể được cập nhật định kỳ. Taboola có thể xử lý Dữ liệu cá nhân liên quan đến tương tác thụ động theo quy định của Chính sách Bảo mật của Taboola, và có thể được cập nhật định kỳ.

Mỗi Bên sẽ xử lý Dữ liệu cá nhân tương tác thụ động mà Bên đó thu thập với tư cách là Bên kiểm soát hoặc Bên thứ ba, tùy theo trường hợp. Mỗi bên sẽ xử lý Dữ liệu cá nhân liên quan đến tương tác mà mình thu thập với tư cách là Bên kiểm soát hoặc Doanh nghiệp, tùy theo trường hợp cụ thể. Việc tiết lộ Dữ liệu Cá nhân từ một bên cho bên kia (dù là trực tiếp hay thông qua một bên cung cấp dữ liệu cho bên kia) được coi là việc tiết lộ cho Bên Thứ Ba.

      1. Nếu Luật Bảo vệ Dữ liệu của Hoa Kỳ hoặc của một bang thuộc Hoa Kỳ áp dụng đối với Dữ liệu Cá nhân, bao gồm nhưng không giới hạn ở Luật Bảo mật của California, trong phạm vi Taboola xử lý Dữ liệu Cá nhân từ tương tác thụ động liên quan đến Dịch vụ, Taboola hoạt động với tư cách là Bên thứ ba đối với Nhà xuất bản đối với Dữ liệu Cá nhân từ tương tác thụ động đó. Taboola sẽ xử lý Dữ liệu Cá nhân về Tương tác Thụ động cho các mục đích được mô tả trong Phụ lục A, Phần B và theo quy định của Điều khoản Bảo mật cho Nhà xuất bản, Thỏa thuận, Luật Bảo vệ Dữ liệu Áp dụng và Chính sách Bảo mật của Taboola, mỗi văn bản có thể được cập nhật định kỳ. Dữ liệu cá nhân tương tác thụ động chỉ được cung cấp cho Taboola cho các mục đích đó. Taboola sẽ cung cấp mức độ bảo vệ quyền riêng tư tương đương với yêu cầu đối với các doanh nghiệp theo các luật bảo vệ dữ liệu của Hoa Kỳ, bao gồm cả các luật bảo vệ quyền riêng tư của California (nếu áp dụng). Nhà xuất bản có quyền đảm bảo rằng Taboola sử dụng Dữ liệu Cá nhân Tương tác Thụ động theo cách phù hợp với các nghĩa vụ của Nhà xuất bản. Sau khi thông báo cho Taboola, Nhà xuất bản có quyền thực hiện các biện pháp hợp lý và phù hợp để ngăn chặn và khắc phục việc sử dụng trái phép Dữ liệu cá nhân mà Nhà xuất bản cung cấp cho Taboola. Taboola sẽ thông báo cho Nhà xuất bản trong khoảng thời gian quy định theo các quy định bảo vệ dữ liệu áp dụng nếu Taboola xác định rằng mình không còn có thể tuân thủ các nghĩa vụ theo các quy định bảo vệ dữ liệu áp dụng. Trong phạm vi Taboola thu thập Dữ liệu Cá nhân về Hoạt động liên quan đến Dịch vụ, Taboola sẽ thực hiện việc này với tư cách là một đơn vị kinh doanh độc lập.

Các bên thừa nhận rằng họ có thể xử lý Dữ liệu cá nhân và rằng các quy định bảo vệ dữ liệu áp dụng có thể áp dụng đối với việc xử lý Dữ liệu cá nhân của từng bên. Trong trường hợp này, mỗi bên phải tuân thủ các Quy định Bảo vệ Dữ liệu Áp dụng liên quan đến việc xử lý Dữ liệu Cá nhân của mình. Trong trường hợp này và tuân thủ theo Điều 7, mỗi bên sẽ chịu trách nhiệm riêng biệt về việc tuân thủ các Quy định Bảo vệ Dữ liệu Áp dụng, bao gồm các yêu cầu áp dụng sau: (i) cung cấp sự minh bạch cho Chủ thể Dữ liệu, (ii) có sự đồng ý hoặc cơ sở pháp lý khác cho việc Xử lý Dữ liệu, và (iii) cung cấp một điểm liên hệ để Chủ thể Dữ liệu có thể thực hiện các quyền bảo vệ dữ liệu của mình. Nhà xuất bản phải thông báo ngay lập tức cho Taboola nếu và trong phạm vi nhận được bất kỳ yêu cầu nào liên quan đến quyền bảo vệ dữ liệu cá nhân liên quan đến việc xử lý dữ liệu cá nhân của Taboola với tư cách là Bên kiểm soát, để Taboola có thể thực hiện yêu cầu đó theo các nghĩa vụ của mình theo Luật Bảo vệ Dữ liệu Áp dụng.

  1. Nhà xuất bản sẽ chuyển các yêu cầu của chủ thể dữ liệu liên quan đến Dịch vụ của Taboola đến Cổng thông tin yêu cầu truy cập dữ liệu toàn cầu của Taboola hoặc Hoa Kỳ. Cổng thông tin Opt-out về quyền lợi người tiêu dùng, nếu có.

Nếu một trong hai Bên nhận được bất kỳ yêu cầu, khiếu nại hoặc văn bản (gọi là “Thông báo từ Bên thứ ba”) từ cá nhân, cơ quan quản lý hoặc bên thứ ba khác liên quan đến việc xử lý Dữ liệu cá nhân của Chủ thể dữ liệu trong phạm vi cung cấp Dịch vụ, Bên đó sẽ thông báo ngay lập tức cho Bên còn lại và các Bên sẽ hợp tác một cách thiện chí và theo mức độ cần thiết hợp lý để đáp ứng các yêu cầu của Thông báo từ Bên thứ ba đó.

Trong trường hợp một trong hai bên thực hiện việc chuyển giao dữ liệu cá nhân bị hạn chế cho bên kia, các quy định tại Phụ lục C sẽ được áp dụng.

Trong phạm vi Taboola thu thập Dữ liệu Cá nhân từ các Nền tảng của Nhà xuất bản bằng cách sử dụng mã Taboola, Pixels và các công nghệ theo dõi khác, Nhà xuất bản phải: (i) cung cấp tất cả các thông báo minh bạch cần thiết cho Chủ thể Dữ liệu về việc Taboola sử dụng mã Taboola để thu thập Dữ liệu Cá nhân từ các Nền tảng của Nhà xuất bản cho các Mục đích Được Phép, và (ii) thu thập (và, theo yêu cầu bất kỳ lúc nào của Taboola, cung cấp bằng chứng phù hợp về) sự đồng ý của Chủ thể dữ liệu đối với việc sử dụng mã Taboola cho các Mục đích Được Phép, trong mỗi trường hợp tuân thủ các yêu cầu của Luật Bảo vệ Dữ liệu Áp dụng. Nghĩa vụ của Nhà xuất bản trong vấn đề này bao gồm việc xác định Taboola và việc sử dụng mã Taboola cho các Mục đích Được Phép một cách rõ ràng trong các thông báo minh bạch và yêu cầu đồng ý mà Nhà xuất bản cung cấp cho Chủ thể Dữ liệu, cũng như bất kỳ thông tin nào khác được yêu cầu theo các Luật Bảo vệ Dữ liệu Áp dụng, để Taboola có thể cung cấp Dịch vụ của mình một cách hợp pháp thông qua các Tài sản đó và Xử lý Dữ liệu Cá nhân cho các Mục đích Được Phép. Trên cơ sở yêu cầu bằng văn bản, Taboola sẽ cung cấp cho Nhà xuất bản các thông tin mà Nhà xuất bản có thể yêu cầu một cách hợp lý về mã Taboola và việc xử lý Dữ liệu Cá nhân của Taboola thông qua các tài sản của Nhà xuất bản, nhằm giúp Nhà xuất bản đảm bảo rằng các cơ chế thông báo và đồng ý của mình tuân thủ các Luật Bảo vệ Dữ liệu Áp dụng. Nhà xuất bản đồng ý cụ thể rằng:

  1. Đối với các tính năng trực tuyến của mình, Chính sách Bảo mật của Nhà xuất bản sẽ mô tả việc sử dụng Cookie, các định danh duy nhất và công nghệ không sử dụng Cookie bởi các bên thứ ba (ví dụ: Taboola) cho quảng cáo dựa trên sở thích và phân tích (trên và ngoài các tính năng), và sẽ cung cấp liên kết đến trang Opt-out của ngành do NAI quản lý tại http://www.networkadvertising.org, trang Opt-out của DAA tại http://www.aboutads.info, hoặc (đối với các phương tiện truyền thông và thu thập dữ liệu trực tuyến tại EU) liên kết đến trang Opt-out của EDAA tại http://www.youronlinechoices.eu, theo cách đáp ứng các yêu cầu của Luật Bảo vệ Dữ liệu Áp dụng; và
  2. Đối với các ứng dụng di động, Chính sách Bảo mật của Nhà xuất bản phải mô tả việc sử dụng SDK trên các ứng dụng di động của mình và việc thu thập các định danh quảng cáo di động cho mục đích quảng cáo dựa trên sở thích hoặc quảng cáo xuyên ứng dụng và phân tích (trên và ngoài các ứng dụng); đồng thời cung cấp mô tả về cách người dùng và khách truy cập có thể Opt-out việc thu thập dữ liệu di động cho quảng cáo xuyên ứng dụng thông qua cài đặt thiết bị.
  3. Đối với các tài sản hướng đến EU, Nhà xuất bản phải đảm bảo rằng họ thu thập sự đồng ý tự nguyện, cụ thể, có thông tin và rõ ràng của Người truy cập theo quy định của Luật Bảo vệ Dữ liệu EU, liên quan đến việc đặt hoặc truy cập bất kỳ Cookie Taboola hoặc các định danh duy nhất khác trên thiết bị của Người truy cập. Nhà xuất bản sẽ cung cấp cho Người truy cập thông tin liên hệ (bao gồm việc cung cấp thông tin đó thông qua Chính sách Bảo mật của mình) để họ có thể liên hệ với Nhà xuất bản nhằm thực hiện các quyền bảo vệ dữ liệu của mình (bao gồm cả dữ liệu cá nhân được xử lý liên quan đến Dịch vụ). Các nghĩa vụ nêu trên áp dụng trong trường hợp các Tài sản của Nhà xuất bản thu hút Người truy cập tại các khu vực pháp lý yêu cầu cơ chế đồng ý liên quan đến Dịch vụ.

Trong thời gian Hợp đồng có hiệu lực, Taboola có thể cung cấp cho Nhà xuất bản các mẫu chính sách bảo mật hoặc ngôn ngữ công bố được đề xuất. Nhà xuất bản thừa nhận rằng không được dựa vào ngôn ngữ được đề xuất này như là, hoặc thay thế cho, lời khuyên pháp lý, và rằng Nhà xuất bản hoặc Công ty tự chịu trách nhiệm hoàn toàn về bất kỳ thông tin nào được công bố trong chính sách bảo mật hoặc trên trang web của mình.

Nhà xuất bản không được cung cấp hoặc cấu hình Dịch vụ để thu thập hoặc tiết lộ cho Taboola bất kỳ danh mục dữ liệu cá nhân đặc biệt, thông tin cá nhân nhạy cảm hoặc dữ liệu nhạy cảm (như được định nghĩa theo Luật Bảo vệ Dữ liệu Áp dụng) cho Taboola để xử lý. Ngoài ra, Nhà xuất bản phải đảm bảo rằng các URL trang web được cung cấp cho Taboola không chứa thông tin tiêu đề video. Taboola có quyền tạm ngừng Dịch vụ đối với Nhà xuất bản nếu Nhà xuất bản không tuân thủ quy định tại điều khoản này, trừ khi và cho đến khi vi phạm đó được khắc phục.

Mỗi Bên sẽ thực hiện các biện pháp bảo mật kỹ thuật và tổ chức phù hợp để bảo vệ Dữ liệu Cá nhân của Khách truy cập khỏi các sự cố bảo mật. Các biện pháp này bao gồm các biện pháp được quy định tại Phụ lục B.

Nếu một trong hai Bên gặp phải Sự cố An ninh liên quan đến Dữ liệu Cá nhân mà Bên đó Xử lý và là đối tượng của Hợp đồng và các Điều khoản Bảo mật của Nhà xuất bản này, Bên đó sẽ: (i) chịu trách nhiệm thực hiện (với chi phí của mình) các nghĩa vụ báo cáo áp dụng cho Bên đó theo các Luật Bảo vệ Dữ liệu Áp dụng đối với các cơ quan bảo vệ dữ liệu và/hoặc các Chủ thể Dữ liệu bị ảnh hưởng, (ii) thông báo cho Bên kia mà không chậm trễ không hợp lý, cung cấp thông tin về Sự cố An ninh Dữ liệu theo yêu cầu hợp lý của Bên kia hoặc theo yêu cầu khác để Bên kia xác định liệu Bên kia có thể cũng có nghĩa vụ báo cáo theo các Luật Bảo vệ Dữ liệu Áp dụng liên quan đến Sự cố An ninh Dữ liệu hay không, và (iii) thực hiện tất cả các hành động và biện pháp cần thiết, mà không chậm trễ không hợp lý, để khắc phục và/hoặc giảm thiểu tác động của Sự cố An ninh Dữ liệu.

Trong phạm vi và theo yêu cầu của các Luật Bảo vệ Dữ liệu Áp dụng mà mỗi bên phải tuân thủ, mỗi bên sẽ tiến hành đánh giá tác động bảo vệ dữ liệu đối với việc Xử lý Dữ liệu Cá nhân của mình cho các Mục đích Được Phép và/hoặc tham khảo ý kiến của các cơ quan quản lý bảo vệ dữ liệu có thẩm quyền, nếu cần thiết. Mỗi bên sẽ cung cấp toàn bộ sự hợp tác và thông tin hợp lý mà bên kia yêu cầu, trong trường hợp điều này là cần thiết để cho phép bên kia hoàn thành đánh giá tác động bảo vệ dữ liệu và/hoặc tham vấn với các cơ quan bảo vệ dữ liệu có thẩm quyền theo nghĩa vụ của bên kia theo quy định tại mục này.

A. DANH SÁCH CÁC BÊN

Mỗi bên sẽ:

  • một bên kiểm soát dữ liệu (và bên xuất khẩu dữ liệu) của Dữ liệu Được Thu Thập mà nó tiết lộ hoặc cung cấp cho bên kia, và
  • Một bên kiểm soát dữ liệu (và bên nhập khẩu dữ liệu) của Dữ liệu Được Thu Thập mà bên đó nhận được từ, hoặc được cung cấp quyền truy cập bởi, bên kia.

Chi tiết của từng bên được cung cấp dưới đây.

Tên: Xem chi tiết của Nhà xuất bản được quy định trong Hợp đồng.

Địa chỉ: Xem chi tiết của Nhà xuất bản được quy định trong Hợp đồng.

Tên, chức vụ và thông tin liên hệ của người liên hệ: Xem chi tiết của Nhà xuất bản được quy định trong Hợp đồng hoặc được các bên thỏa thuận bằng văn bản.

Các hoạt động liên quan đến dữ liệu được chuyển giao theo các Điều khoản này: Việc nhận các Dịch vụ, như được quy định trong Hợp đồng.

Chữ ký và ngày tháng: Phụ lục A này được coi là đã được ký kết khi Nhà xuất bản chấp nhận các Điều khoản Bảo mật của Nhà xuất bản này.

Vai trò (bộ điều khiển/bộ xử lý): Bộ điều khiển (khi nó là nhà xuất khẩu dữ liệu) và Bộ điều khiển (khi nó là nhà nhập khẩu dữ liệu)

 

Tên: Xem chi tiết về Taboola được nêu trong phần giới thiệu của Thỏa thuận.

Địa chỉ: Xem chi tiết về Taboola được nêu trong phần giới thiệu của Thỏa thuận.

Tên, chức vụ và thông tin liên hệ của người liên hệ: Đội ngũ bảo mật của Taboola: privacy@taboola.com.

Các hoạt động liên quan đến dữ liệu được chuyển giao theo các Điều khoản này: Việc cung cấp Dịch vụ, như được quy định trong Hợp đồng.

Chữ ký và ngày tháng: Phụ lục A này được coi là đã được ký kết khi Taboola chấp nhận các Điều khoản Bảo mật cho Nhà xuất bản này.

Vai trò (bộ điều khiển/bộ xử lý): Bộ điều khiển (khi nó là nhà xuất khẩu dữ liệu) và Bộ điều khiển (khi nó là nhà nhập khẩu dữ liệu)

 

B. MÔ TẢ QUÁ TRÌNH XỬ LÝ VÀ CHUYỂN GIAO 

Các nhóm đối tượng dữ liệu cá nhân được xử lý và/hoặc chuyển giao: Người dùng

Các loại dữ liệu cá nhân được xử lý và/hoặc chuyển giao:

Dữ liệu thiết bị: Thiết bị của người dùng, trình duyệt và hệ điều hành; thông tin thiết bị di động (tất cả ID thiết bị di động đều được mã hóa băm) bao gồm IDFAs và AAIDs; dữ liệu cookie có thể được đọc hoặc triển khai bởi Taboola (tất cả Cookie ID/ID người dùng đều được mã hóa băm); IP Address; email đã được mã hóa băm; trang web giới thiệu; ngôn ngữ của người dùng; quốc gia/khu vực/thành phố. Nếu ứng dụng di động là một phần của Dịch vụ, các yếu tố dữ liệu bổ sung bao gồm tọa độ vĩ độ/kinh độ bị cắt bớt và không chính xác, loại kết nối và kích thước màn hình.

Thông tin về tài sản kỹ thuật số mà người dùng đã truy cập: cách nền tảng hiển thị và liệu người dùng có tương tác với nền tảng hay không; hành vi trên web hoặc ứng dụng.

Trong phạm vi Header Bidding là một phần của Dịch vụ, các quy định sau đây áp dụng:

  • Dữ liệu Bid Request / Bid Response Đấu thầu: Mã định danh duy nhất của Bid Request, IMP object đại diện cho lượt hiển thị được đề xuất, Trang web hoặc ứng dụng của nhà xuất bản được đại diện, Ứng dụng, Thiết bị, Loại đấu giá, Thời gian tối đa, Tiền tệ, Danh mục bị chặn, Mã định danh thiết bị, Mã định danh người dùng Taboola, Đối tác thẻ gọi: URL.

Đối với Taboola Newsroom, các quy định sau đây áp dụng:

  • Sự kiện từ trang web của nhà xuất bản: Dữ liệu chuyển đổi
  • Thông tin về trình duyệt của người dùng được đọc từ chuỗi user agent: Địa chỉ URL của trang web đã truy cập, trang web giới thiệu, hệ điều hành, loại trình duyệt và phiên bản trình duyệt, ID người dùng Taboola đã được mã hóa liên quan được đọc từ Cookie, địa chỉ IP liên quan (được cắt ngắn sau 30 ngày).

Dữ liệu nhạy cảm được chuyển giao (nếu có) và các hạn chế hoặc biện pháp bảo vệ được áp dụng, đảm bảo xem xét đầy đủ bản chất của dữ liệu và các rủi ro liên quan, chẳng hạn như giới hạn mục đích sử dụng nghiêm ngặt, hạn chế truy cập (bao gồm chỉ cho phép nhân viên đã được đào tạo chuyên môn truy cập), ghi chép việc truy cập dữ liệu, hạn chế chuyển giao tiếp theo hoặc các biện pháp bảo mật bổ sung: Không áp dụng.

Tần suất xử lý và/hoặc chuyển giao dữ liệu (ví dụ: liệu dữ liệu được xử lý và/hoặc chuyển giao theo từng lần riêng lẻ hay liên tục): Liên tục trong suốt thời hạn của Hợp đồng.

Tính chất của quá trình xử lý: Xử lý Dữ liệu Cá nhân cần thiết để cung cấp Dịch vụ, như được quy định trong Hợp đồng.

Mục đích của việc xử lý / chuyển giao dữ liệu và xử lý tiếp theo: Việc cung cấp Dịch vụ, như được quy định trong Hợp đồng. Để tránh nhầm lẫn, các Mục đích Được Phép bao gồm: (i) lưu trữ và/hoặc truy cập thông tin trên thiết bị; (ii) chọn quảng cáo cơ bản; (iii) tạo hồ sơ quảng cáo cá nhân hóa; (iv) chọn quảng cáo cá nhân hóa; (v) tạo hồ sơ nội dung cá nhân hóa; (vi) chọn nội dung cá nhân hóa; (vii) đo lường hiệu suất quảng cáo; (viii) đo lường hiệu suất nội dung; (ix) phát triển và cải thiện sản phẩm; (x) đảm bảo an ninh, ngăn chặn gian lận và khắc phục sự cố; (xi) phân phối kỹ thuật quảng cáo hoặc nội dung; (xii) kết hợp và đối chiếu các nguồn dữ liệu ngoại tuyến; (xiii) kết nối các thiết bị khác nhau; (xiv) nhận và sử dụng các đặc điểm thiết bị được gửi tự động để xác định; (xv) sử dụng dữ liệu giới hạn để chọn nội dung, và (xvi) lưu trữ và truyền đạt các lựa chọn về quyền riêng tư.

Đối với Taboola Newsroom, các quy định sau đây áp dụng: (i) theo dõi các sự kiện chuyển đổi đăng ký.

Đối với Taboola Push, mục đích bổ sung sau đây áp dụng: (i) gửi thông báo đến thiết bị của người dùng.

Trong phạm vi mà Header Bidding là một phần của Dịch vụ, mục đích bổ sung sau đây sẽ được áp dụng: (i) xác định liệu có nên đặt giá thầu cho một vị trí quảng cáo và hiển thị các đề xuất cá nhân hóa hay không.

Trong phạm vi Trang chủ 4 You là một phần của Dịch vụ, mục đích bổ sung sau đây sẽ được áp dụng: (i) tự động hóa và biên tập nội dung của nhà xuất bản trên các trang chủ của tài sản kỹ thuật số được chỉ định.

Thời gian lưu trữ dữ liệu cá nhân, hoặc nếu không thể xác định thời gian cụ thể, các tiêu chí được sử dụng để xác định thời gian đó:

  • Taboola: Dữ liệu thô được lưu trữ trong tối đa 13 tháng.
  • Nhà quảng cáo: Trong thời gian cần thiết để nhận Dịch vụ hoặc theo quy định khác trong Hợp đồng.

Đối với việc chuyển giao cho các nhà cung cấp dịch vụ xử lý dữ liệu (bao gồm cả các nhà cung cấp dịch vụ xử lý dữ liệu cấp dưới), cũng cần nêu rõ nội dung, tính chất và thời gian xử lý dữ liệu: Không áp dụng.

 

C. CƠ QUAN QUẢN LÝ CÓ THẨM QUYỀN

Cơ quan giám sát có thẩm quyền nơi EU GDPR được áp dụng: Cơ quan giám sát có thẩm quyền đối với từng bên được mô tả như sau:

  • Taboola: Cơ quan giám sát có thẩm quyền sẽ được xác định theo Điều 13 của EU SCCs.
  • Nhà quảng cáo: Cơ quan giám sát có thẩm quyền sẽ được xác định theo Điều 13 của EU SCCs.

Cơ quan giám sát có thẩm quyền nơi UK GDPR được áp dụng: Cơ quan Giám sát Thông tin

Mô tả các biện pháp kỹ thuật và tổ chức được mỗi bên thực hiện (bao gồm các chứng nhận liên quan) để đảm bảo mức độ bảo mật phù hợp, xem xét tính chất, phạm vi, bối cảnh và mục đích của việc xử lý dữ liệu, cũng như các rủi ro đối với quyền và tự do của cá nhân.

Các biện pháp ẩn danh hóa và mã hóa dữ liệu cá nhân: Taboola chỉ thu thập dữ liệu đã được ẩn danh, có nghĩa là chúng tôi không biết bạn là ai vì chúng tôi không biết hoặc xử lý tên, địa chỉ email hoặc các dữ liệu nhận dạng khác của người dùng. Thông tin người dùng mà chúng tôi thu thập bao gồm, nhưng không giới hạn ở, thông tin về thiết bị và hệ điều hành của người dùng, IP Address, các trang web mà người dùng truy cập trên trang web của khách hàng, liên kết dẫn người dùng đến trang web của khách hàng, ngày và giờ người dùng truy cập trang web của khách hàng và các dữ liệu duyệt web khác. CookieID được ẩn danh bằng thuật toán Bcrypt và IP Address được cắt bớt.

Các biện pháp đảm bảo tính bảo mật, tính toàn vẹn, tính sẵn sàng và khả năng phục hồi của hệ thống và dịch vụ xử lý: Taboola áp dụng nhiều tầng bảo mật điện tử (ví dụ: bảo mật điểm cuối, bảo mật phía máy chủ, theo dõi phát hiện, kiểm tra xâm nhập định kỳ và thu thập thông tin tình báo sâu để phân tích các sự cố sau khi xảy ra).

Các biện pháp đảm bảo khả năng khôi phục tính sẵn sàng và truy cập vào dữ liệu cá nhân một cách kịp thời trong trường hợp xảy ra sự cố vật lý hoặc kỹ thuật: Taboola duy trì 9 trung tâm dữ liệu hoạt động trên toàn thế giới. Mỗi trung tâm dữ liệu được sử dụng như một bản sao của nhau, vì vậy nếu một trung tâm dữ liệu gặp sự cố, dữ liệu có thể được trích xuất từ các trung tâm dữ liệu khác.

Các quy trình để kiểm tra, đánh giá và đánh giá hiệu quả của các biện pháp kỹ thuật và tổ chức nhằm đảm bảo an ninh của quá trình xử lý: Taboola duy trì các quy trình nghiêm ngặt để kiểm tra hiệu quả của các biện pháp kiểm soát (cả kỹ thuật và tổ chức). Chúng tôi đã triển khai hệ thống ghi nhật ký và giám sát, thực hiện kiểm tra khả năng phục hồi thảm họa (DR) hàng tháng (ít nhất), kiểm tra xâm nhập hàng quý, tường lửa bảo vệ trang web và các bẫy mật ong được phân bố khắp mạng để phát hiện bất kỳ hoạt động độc hại nào. Hơn nữa, chúng tôi có chương trình thưởng đang được triển khai, giúp chúng tôi liên tục theo dõi mạng lưới của mình.

Các biện pháp xác thực và ủy quyền người dùng: Mỗi người dùng trên Taboola đều được liên kết với một tên người dùng và mật khẩu riêng biệt. Mọi truy cập vào mạng nội bộ của Taboola đều được thực hiện thông qua xác thực hai yếu tố (2FA) sử dụng xác thực của Google. Người dùng chỉ được tạo bởi bộ phận CNTT trong quá trình onboarding và chỉ sau khi nhận được tất cả thông tin chi tiết và hợp đồng đã ký từ bộ phận Nhân sự.

Các biện pháp bảo vệ dữ liệu trong quá trình truyền tải: Taboola hỗ trợ truyền tải dữ liệu qua các giao thức truyền tải an toàn (HTTPS và TLS v1.2 tối thiểu). Hơn nữa, các hệ thống có thể chứa thông tin cá nhân (PII) được bảo mật và dữ liệu được mã hóa băm và ẩn danh.

Các biện pháp bảo vệ dữ liệu trong quá trình lưu trữ: Dữ liệu được lưu trữ trong cơ sở dữ liệu của chúng tôi được ẩn danh và mã hóa bằng thuật toán Bcrypt. Quyền truy cập vào cơ sở dữ liệu được hạn chế tối đa và dựa trên nguyên tắc “chỉ cung cấp thông tin cần thiết cho công việc”.

Các biện pháp đảm bảo an ninh vật lý tại các địa điểm xử lý dữ liệu cá nhân: Mỗi trung tâm dữ liệu toàn cầu của Taboola (tại Mỹ, Châu Âu và Châu Á) đều có tất cả các máy chủ được đặt trong các tủ khóa riêng biệt, được duy trì và sử dụng độc quyền cho mục đích của Taboola. Các tủ đựng này được bảo trì bởi các công ty đã được chứng nhận SOC2-certified hoặc Taboola đã kiểm tra các biện pháp bảo mật của họ. Hơn nữa, việc truy cập vào các máy chủ yêu cầu phải có sự cho phép bằng văn bản và được ghi lại. Tất cả các văn phòng của Taboola đều được kiểm soát chặt chẽ và yêu cầu nhân viên phải sử dụng thẻ truy cập để vào. Hơn nữa, chỉ một số lượng hạn chế nhân viên có quyền truy cập vào máy chủ của Taboola và mọi quyền truy cập đều yêu cầu sự cho phép bằng văn bản và được ghi lại.

Các biện pháp đảm bảo ghi nhật ký sự kiện: Taboola triển khai các công cụ giám sát và nhật ký được thu thập vào hệ thống SIEM của chúng tôi, hệ thống này sẽ cảnh báo chúng tôi về bất kỳ sự kiện đáng ngờ nào và cũng được theo dõi bởi đội ngũ NOC.

Các biện pháp đảm bảo cấu hình hệ thống, bao gồm cấu hình mặc định: Các máy chủ được quét để kiểm tra cả sự thay đổi cấu hình và mức độ cập nhật bản vá. Việc báo cáo và/hoặc cảnh báo đã được thiết lập cho cả hai và mức bản vá tương ứng đã được xác nhận. Các bản vá mới được phân phối thông qua Puppet. Tất cả các đánh giá kỹ thuật đều được quản lý thông qua ứng dụng R&D và được thực hiện thông qua quy trình đánh giá chính thức (QA) sau khi các quy trình lập trình và CI/CD processes đã được triển khai.

Các biện pháp quản trị và quản lý công nghệ thông tin (IT) và an ninh mạng nội bộ: Taboola đã được chứng nhận theo tiêu chuẩn ISO 27001:2013 và ISO 27701. Taboola đã ban hành Chính sách An ninh Thông tin, trong đó nêu rõ rằng Hội đồng Quản trị và ban lãnh đạo của Taboola cam kết bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn sàng của tất cả các tài sản thông tin vật lý và điện tử trong toàn bộ tổ chức của mình. Taboola tổ chức các khóa đào tạo an ninh cho tất cả nhân viên mới, các khóa đào tạo về lừa đảo qua email (phishing) cho tất cả nhân viên trên toàn cầu, và các khóa đào tạo an ninh định kỳ cho tất cả nhân viên, đồng thời dành riêng các buổi đào tạo cho các nhóm nghiên cứu và phát triển (R&D).

Các biện pháp để chứng nhận/đảm bảo chất lượng quy trình và sản phẩm: Kiểm toán nội bộ định kỳ hàng quý / nửa năm / hàng năm đối với nhiều quy trình và hệ thống để xác minh rằng Taboola tuân thủ các mục tiêu và biện pháp bảo mật đã được xác định.

Các biện pháp đảm bảo nguyên tắc tối thiểu hóa dữ liệu: Taboola cố ý giới hạn lượng dữ liệu mà chúng tôi thu thập như một phần của nguyên tắc tối thiểu hóa dữ liệu toàn cầu của Taboola, chỉ xử lý lượng dữ liệu cần thiết cho các mục đích kinh doanh cụ thể của chúng tôi. Hơn nữa, Taboola không có khả năng cũng như không có nhu cầu kinh doanh nào để “phân tích ngược” bất kỳ điểm dữ liệu nào được sử dụng trong thuật toán của chúng tôi nhằm cung cấp dịch vụ của mình. Cụ thể hơn, các điểm dữ liệu mà Taboola thu thập không bao giờ tiết lộ danh tính của người dùng — vì Taboola không thu thập hoặc xử lý thông tin như tên, số điện thoại, địa chỉ email hoặc địa chỉ vật lý của người dùng. Thay vào đó, Taboola chỉ thu thập các định danh ẩn danh, chỉ dùng để xác định các đặc điểm của thiết bị người dùng. Điều này bao gồm IP Address (được cắt bớt khi thu thập và chỉ có thể xác định vị trí mã bưu chính chung của thiết bị, nhưng không bao giờ xác định được vị trí địa lý chính xác) và, trong một số trường hợp hạn chế, địa chỉ email đã được mã hóa (được mã hóa một cách không thể đảo ngược và không thể giải mã để tiết lộ địa chỉ email gốc). Hơn nữa, ngay cả khi được sử dụng chung, dữ liệu mà chúng tôi thu thập không bao giờ có thể xác định được tên, số điện thoại, địa chỉ email hoặc địa chỉ thực tế của một cá nhân, và các kỹ sư của chúng tôi không thực hiện bất kỳ công việc nào nhằm đạt được mục tiêu này. Ngoài ra, Taboola thực hiện và ghi chép các đánh giá tác động về quyền riêng tư nhằm mục đích giảm thiểu các rủi ro về quyền riêng tư liên quan đến dịch vụ, quy trình và chính sách của chúng tôi.

Các biện pháp đảm bảo chất lượng dữ liệu: Dữ liệu được thu thập trực tiếp từ người dùng và người dùng có thể chỉnh sửa bất kỳ dữ liệu nào liên quan đến CookieID của họ thông qua Cổng thông tin Yêu cầu Truy cập Dữ liệu của Taboola: https://accessrequest.taboola.com/access

Các biện pháp đảm bảo việc lưu trữ dữ liệu có giới hạn: Chúng tôi lưu trữ Thông tin Người dùng, được thu thập trực tiếp cho mục đích hiển thị quảng cáo, trong tối đa mười ba (13) tháng kể từ lần tương tác cuối cùng của Người dùng với Dịch vụ của chúng tôi (thường là trong khoảng thời gian ngắn hơn), sau đó chúng tôi sẽ ẩn danh dữ liệu bằng cách loại bỏ các thông tin nhận dạng duy nhất hoặc tổng hợp dữ liệu. Quy trình này được thực hiện tự động.

Các biện pháp đảm bảo trách nhiệm giải trình: Taboola thực hiện nhiều cuộc kiểm tra bảo mật và thử nghiệm xâm nhập (nhưng không phải cho tất cả các hệ thống). Taboola cũng sử dụng các nhà cung cấp dịch vụ đám mây được chứng nhận ISO và tuân thủ các chứng nhận liên quan đến đám mây khác để duy trì các biện pháp bảo vệ vật lý cho máy chủ.

Các biện pháp cho phép chuyển giao dữ liệu và đảm bảo xóa dữ liệu: Taboola liên quan đến việc xử lý phương tiện truyền thông, áp dụng cho tất cả các loại phương tiện truyền thông vì chúng có thể chứa thông tin cá nhân (PII). Tất cả các phương tiện lưu trữ phải được xóa sạch hoàn toàn trước khi tái sử dụng hoặc tiêu hủy. Mọi việc xử lý phương tiện truyền thông đều được ghi chép lại. Các nhân viên được yêu cầu không in bất kỳ tài liệu giấy nào có thể chứa thông tin cá nhân.

  1. Trong trường hợp một bên thực hiện việc Chuyển giao Dữ liệu Đã Thu thập có Điều kiện cho bên kia, các Standard Contractual Clauses sẽ được tích hợp vào các Điều khoản Bảo mật của Nhà xuất bản này và áp dụng như sau:

a. Trong trường hợp Chuyển nhượng Hạn chế là Chuyển nhượng Hạn chế của EU, EU SCCs sẽ được áp dụng giữa các bên như sau:

  1. (i) Module One sẽ được áp dụng;
  2. (ii) tại Điều 7, Điều khoản neo đậu tùy chọn sẽ được áp dụng;
  3. (iv) Trong Điều 11, quy định tùy chọn sẽ không áp dụng;
  4. (v) tại Điều 17, Phương án 1 sẽ được áp dụng, và EU SCCs sẽ tuân theo pháp luật Ireland;
  5. (vi) theo Khoản 18(b), các tranh chấp sẽ được giải quyết tại các tòa án của Ireland;
  6. (vii) Các Phần A, B và C của Phụ lục I được coi là đã hoàn thành với thông tin được nêu trong các Phần A, B và C của Phụ lục A của Điều khoản Bảo mật của Nhà xuất bản này; và
  7. (vii) Phụ lục II được coi là đã hoàn thành với các biện pháp bảo mật được quy định trong Phụ lục B của Điều khoản Bảo mật của Nhà xuất bản này;

b. Trong trường hợp Chuyển nhượng Hạn chế là Chuyển nhượng Hạn chế của Vương quốc Anh, UK Addendum sẽ được áp dụng giữa các bên như sau:

(i) Các Điều khoản Tiêu chuẩn của EU (EU SCCs), được hoàn thành theo quy định nêu trên, sẽ áp dụng giữa các bên và sẽ được điều chỉnh bởi UK Addendum (được hoàn thành theo quy định tại khoản (ii) dưới đây); và

(ii) Các bảng 1 đến 3 của UK Addendum được coi là đã hoàn thành với thông tin liên quan từ EU SCCs, được hoàn thành theo như đã nêu trên, và các tùy chọn “Nhà xuất khẩu” và “Nhà nhập khẩu” được coi là đã được chọn trong bảng 4. Ngày bắt đầu của UK Addendum (như được nêu trong Bảng 1) sẽ là Ngày có hiệu lực của các Điều khoản Bảo mật của Nhà xuất bản này.

2. Chuyển nhượng có điều kiện: Cả hai bên sẽ không thực hiện việc chuyển giao dữ liệu đã thu thập (Restricted Transfer) cho bên kia trừ khi đã thực hiện tất cả các hành động và biện pháp cần thiết để đảm bảo rằng việc chuyển giao dữ liệu đó tuân thủ Luật Bảo vệ Dữ liệu Áp dụng và Standard Contractual Clauses mà hai bên đã thỏa thuận.