Dodatek o ochraně osobních údajů pro RTB a programatické partnery

Last Update: May 29, 2024

Datum účinnosti: 29. května 2024

Aby Taboola zajistila, že má s našimi programatickými a RTB partnery (každý dále jen „partner“) uzavřeny odpovídající podmínky ochrany osobních údajů, poskytuje Taboola tento Dodatek o ochraně osobních údajů („DPA“).

Tato Dohoda o zpracování dat automaticky doplňuje a tvoří součást stávajícího smluvního obchodního ujednání mezi Partnerem a Taboola týkajícího se poskytování RTB a programatických služeb („Základní smlouva“).

Všechny pojmy začínající velkými písmeny použité v této DPA, které však nejsou v této DPA definovány, mají význam, který jim je přiřazen v Základní smlouvě.  V případě jakéhokoli rozporu mezi touto Dohodou o zpracování dat (DPA) a Základní smlouvou má tato Dohoda o zpracování dat přednost v rozsahu daného rozporu.

Příslušné zákony na ochranu osobních údajů“ znamenají veškeré platné federální, národní, státní nebo jiné zákony na ochranu soukromí a osobních údajů, které mohou být čas od času novelizovány nebo nahrazeny, včetně, pokud je to relevantní a bez omezení, CCPA (jak je definováno níže) a evropských zákonů na ochranu osobních údajů.

CCPA“ znamená kalifornský zákon o ochraně soukromí spotřebitelů (Cal. Civ. §§ 1798.100 – 1798.199 zákoníku), ve znění kalifornského zákona o právech na ochranu soukromí (Cal. Civ. §§ 1798.100 – 1798.199 zákona).

Správce“ znamená subjekt, který určuje účely a prostředky zpracování osobních údajů, a zahrnuje jakýkoli subjekt, který zpracovává osobní údaje jako „podnik“ nebo „třetí strana“ podle CCPA a CPRA.

Rámec pro ochranu osobních údajů“ nebo „DPF“ znamená dohodu EU a USA Rámec ochrany osobních údajů a rozšíření UK na EU a USA DPF, jak je stanoveno v USA Ministerstvo obchodu.

Evropské zákony o ochraně osobních údajů“ znamenají zákony EU o ochraně osobních údajů a zákony UK o ochraně osobních údajů.

Zákony EU o ochraně osobních údajů“ znamenají: (i) nařízení EU 2016/679 („EU GDPR“); (ii) směrnici EU 2002/58/ES; a (iii) vnitrostátní právní předpisy každého členského státu EHP, které byly přijaty na základě bodu (i) nebo (ii) nebo které jej provádějí, nebo které se jinak vztahují ke zpracování osobních údajů; v každém případě ve znění pozdějších předpisů nebo nahrazovaných zákonů.

Osobní údaje“ znamenají jakékoli informace týkající se identifikované nebo identifikovatelné fyzické osoby a zahrnují jakékoli informace definované jako „osobní údaje“ nebo „osobní informace“ ve smyslu platných zákonů o ochraně osobních údajů.

Povolený účel“ znamená účely nabídek v reálném čase, týkající se nákupu a prodeje online reklamy v souladu se Základní smlouvou, pro které Taboola zveřejňuje nebo jinak zpřístupňuje Sdílená data Partnerovi ke zpracování, jak je uvedeno v Příloze I.

Omezený přenos“ znamená: (i) v případě, že se vztahuje EU GDPR , přenos osobních údajů z EHP do země mimo EHP, který nepodléhá určení odpovídající ochrany ze strany Evropské komise („omezený přenos EU“); a (ii) v případě, že se vztahuje UK GDPR , přenos osobních údajů ze Spojeného království do jakékoli jiné země, který nepodléhá ani se nezakládá na předpisech o odpovídající ochraně podle § 17A zákona Spojeného království o ochraně osobních údajů z roku 2018 („omezený přenos UK“).

Bezpečnostní incident“ znamená narušení bezpečnosti vedoucí k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému zveřejnění sdílených dat nebo přístupu k nim.

Prodat“ a „sdílet“ mají význam stanovený v zákonech CCPA a CPRA a jejich prováděcích předpisech.

Sdílené údaje“ znamenají kategorie osobních údajů uvedené v příloze I této dohody o zpracování osobních údajů.

Standard Contractual Clauses“ znamenají: (i) v případě použití EU GDPR smluvní doložky připojené k prováděcímu rozhodnutí Evropské komise 2021/914 ze dne 4. června 2021 o standard contractual clauses pro předávání osobních údajů do třetích zemí podle nařízení Evropského parlamentu a Rady (EU) 2016/679 („EU SCCs“); a (ii) v případě použití UK GDPR „Dodatek ke Standard Contractual Clauses Komise EU o mezinárodním předávání údajů“ vydaný komisařem pro informace podle § 119A(1) zákona o ochraně osobních údajů z roku 2018 („UK Addendum“).

Zákony UK o ochraně osobních údajů“ znamenají: (i) EU GDPR , jež tvoří součást práva UK na základě § 3 zákona o vystoupení z Evropské unie z roku 2018 („UK GDPR“); (ii) nařízení o ochraně soukromí a elektronických komunikacích (směrnice ES) z roku 2003; (iii) zákon o ochraně osobních údajů z roku 2018; a (iv) jakékoli další zákony ve UK přijaté na základě bodu (i) nebo (ii) nebo které provádějí bod (i) nebo (ii) nebo které se jinak vztahují ke zpracování osobních údajů; v každém případě ve znění pozdějších předpisů nebo nahrazovaných.

V souladu se Základní smlouvou a touto Dohodou o zpracování dat ze strany Partnera Taboola zveřejní nebo jinak zpřístupní Sdílená data Partnerovi za účelem zpracování výhradně pro Povolený účel.

Strany berou na vědomí, že Taboola je správcem sdílených údajů, které zpřístupňuje Partnerovi, a že Partner bude sdílené údaje zpracovávat jako správce výhradně pro Povolený účel.

Partner zaručuje, prohlašuje a zavazuje se, že:

(a) bude Sdílené údaje vždy Zpracovávat pouze pro Povolený účel a v souladu s Platnými zákony na ochranu osobních údajů;

(b) nemá důvod se domnívat, že jí platné zákony na ochranu osobních údajů brání v plnění jejích povinností týkajících se zpracování sdílených údajů pro povolený účel;

(c) pokud Partner zjistí, že není schopen Zpracovávat Sdílené údaje pro Povolený účel v souladu s Platnými zákony na ochranu osobních údajů, neprodleně o tom informuje Taboola;

(d) na svých webových stránkách vždy zveřejňuje a udržuje veřejně přístupné oznámení o ochraně osobních údajů, které splňuje požadavky platných zákonů o ochraně osobních údajů a které obsahuje kontaktní údaje, na jejichž základě mohou subjekty údajů vznést dotazy týkající se ochrany osobních údajů;

(e) umožní subjektům údajů uplatňovat svá práva na ochranu osobních údajů v souladu s platnými zákony na ochranu osobních údajů, včetně (bez omezení) jejich práva vznést námitku proti zpracování jejich sdílených údajů;

(f) v souvislosti se zpracováním sdílených údajů, které je chráněno evropskými zákony o ochraně osobních údajů:

(g) zpracovávat sdílené údaje pouze tehdy, pokud k tomu má souhlas, v souladu s požadavky evropských zákonů o ochraně osobních údajů; a

(h) zavede vhodná technická a organizační opatření, včetně minimálně opatření stanovených v příloze II, k ochraně sdílených údajů před bezpečnostním incidentem.

Taboola může podniknout přiměřené a vhodné kroky k zajištění toho, aby Partner zpracovával Sdílená data v souladu se Základní smlouvou a touto Dohodou o ochraně osobních údajů způsobem, který je v souladu s Platnými zákony na ochranu osobních údajů.

Pokud Partner nedodržuje Podkladovou smlouvu, tuto Dohodu o zpracování osobních údajů nebo Platné zákony na ochranu osobních údajů, Taboola podnikne přiměřené a vhodné kroky k zastavení a nápravě neoprávněného používání sdílených dat (včetně pozastavení nebo ukončení zveřejňování sdílených dat Partnerovi).

Partner bude dodržovat platné zákony na ochranu osobních údajů a poskytne sdíleným údajům stejnou úroveň ochrany soukromí, jaká je vyžadována platnými zákony na ochranu osobních údajů.

V případě, že kterákoli ze stran obdrží jakoukoli korespondenci, dotaz nebo stížnost od subjektu údajů, regulačního orgánu nebo jiné třetí strany („Korespondence“) týkající se (a) zveřejnění sdílených údajů pro povolený účel; nebo (b) zpracování sdílených údajů druhou stranou, neprodleně o tom druhou stranu informuje s uvedením všech podrobností o této skutečnosti a strany budou přiměřeně a v dobré víře spolupracovat, aby na korespondenci odpověděly v souladu s veškerými požadavky podle platných zákonů o ochraně osobních údajů.

V rozsahu, v jakém je jakýkoli přenos sdílených dat ze Taboola Partnerovi omezeným přenosem, budou Standard Contractual Clauses začleněny do této Dohody o zpracování osobních údajů a budou platit následovně:

(a) pokud se u Omezeného převodu jedná o Omezený převod v EU , budou se mezi Taboola (jako vývozcem dat) a Partnerem (jako dovozcem dat) uplatňovat EU SCCs takto:

(i) Bude platit modul jedna;

(ii) v článku 7 se použije volitelné ustanovení o dokování;

(iii) v článku 11 se nepoužije volitelné znění;

(iv) v článku 17 se použije možnost 1 a EU SCCs se budou řídit irským právem;

(v) v článku 18(b) budou spory řešeny před soudy Irska;

vi) v příloze I:

(A) Části A a B se považují za vyplněné informacemi uvedenými v příloze A této dohody o plánování zpracování dokumentů;

(B) Část C se považuje za vyplněnou v souladu s kritérii stanovenými v článku 13(a) EU SCCs; a

(vii) Příloha II se považuje za doplněnou bezpečnostními opatřeními stanovenými v příloze B této dohody o ochraně osobních údajů.

(b) pokud se u Omezeného převodu jedná o Omezený převod ve UK , bude se mezi stranami vztahovat UK Addendum takto:

(i) EU SCCs, vyplněné dle výše uvedeného, ​​se použijí mezi stranami a budou upraveny UK Addendum (vyplněným dle níže uvedeného pododstavce (ii)); a

ii) tabulky 1 až 3 UK Addendum se považují za vyplněné příslušnými informacemi ze EU SCCs, vyplněnými výše uvedeným způsobem, a možnosti „Vývozce“ a „Dovozce“ se v tabulce 4 považují za zaškrtnuté.  Datum zahájení platnosti UK Addendum (jak je uvedeno v tabulce 1) je datem účinnosti této dohody o zpracování dat.

Partner neprovede další Omezený přenos sdílených dat třetí straně, pokud neprovede všechny nezbytné kroky a kroky k zajištění souladu Omezeného přenosu s platnými zákony na ochranu osobních údajů a veškerými Standard Contractual Clauses, které uzavřel se Taboola.

Bez ohledu na výše uvedené, pokud Partner získal certifikát DPF a splňuje jej, nebudou přenosy Sdílených dat Partnerovi provedené v rámci DPF považovány za Omezený přenos.  V takovém případě Partner neprodleně upozorní Taboola , pokud nedodrží požadavky své certifikace DPF nebo pokud jeho certifikace DPF zanikne či bude jinak zneplatněna, v takovém případě:

(a) jakékoli převody sdílených dat ze Taboola Partnerovi budou okamžitě považovány za omezený převod a budou platit výše uvedená ustanovení o omezeném převodu; a

(b) Taboola se může dle vlastního uvážení rozhodnout pozastavit nebo ukončit přenosy sdílených dat Partnerovi bez sankce.

Partner bude bránit Taboola a její ředitele, vedoucí pracovníky, zaměstnance, zástupce a klienty („Osoby odškodněné společností Taboola“) před veškerými nároky, požadavky, žalobami, řízeními a žalobami podanými třetí stranou v souvislosti s tvrzením, že Partner porušil tuto Dohodu o ochraně osobních údajů nebo platné zákony o ochraně osobních údajů, a odškodní Osoby odškodněné Taboola za veškeré škody, ztráty, náklady a výdaje (včetně přiměřených poplatků za právní zastoupení), které Osobám odškodněným společností Taboola vzniknou v důsledku takového nároku.

Partner je výhradně odpovědný za dodržování platných zákonů o ochraně osobních údajů při zpracování sdílených údajů.

V případě jakýchkoli změn platných zákonů na ochranu osobních údajů může Taboola tuto dohodu o ochraně osobních údajů upravit a aktualizovat, pokud je to nezbytné k dosažení souladu s těmito změnami platných zákonů na ochranu osobních údajů.

S účinností od data účinnosti této DPA se odkazy na „Smlouvu“ v této DPA nebo v Základní smlouvě rozumí Základní smlouva ve znění doplněném touto DPA.

A. SEZNAM STRAN

[id tabulky=13 /]

[id tabulky=14 /]

B. POPIS PŘEVODU

[id tabulky=15 /]

C. PŘÍSLUŠNÝ DOZORČOVÝ ORGÁN

[id tabulky=16 /]

Popis technických a organizačních opatření zavedených každou stranou (včetně veškerých relevantních certifikací) k zajištění odpovídající úrovně zabezpečení s přihlédnutím k povaze, rozsahu, kontextu a účelu zpracování a rizikům pro práva a svobody fyzických osob. Partner prohlašuje a zaručuje, že má k dispozici vhodná technická a organizační opatření, která jsou v podstatě podobná níže uvedeným bezpečnostním opatřením společnosti Taboola.

Opatření pro pseudonymizaci a šifrování osobních údajů: Taboola shromažďuje pouze pseudonymizovaná data, což znamená, že nevíme, kdo jste, protože neznáme ani nezpracováváme jméno uživatele, jeho e-mailovou adresu ani jiné identifikovatelné údaje. Mezi shromažďované uživatelské informace patří mimo jiné informace o zařízení a operačním systému uživatele, IP adrese, webových stránkách, které uživatelé na webových stránkách našich zákazníků navštívili, odkazu, který uživatele na webové stránky zákazníka přivedl, datu a čase, kdy uživatel na webové stránky zákazníka přistupuje, a další údaje o prohlížení webu. CookieID je anonymizováno pomocí Bcrypt a IP adresa je zkrácena.

Opatření k zajištění trvalé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování: Taboola využívá několik úrovní elektronického zabezpečení (např. zabezpečení koncových bodů, zabezpečení na straně serveru, sledování detekcí, pravidelné penetrační testy a shromažďování hloubkových informací pro kontrolu událostí po porážce).

Opatření k zajištění možnosti včasného obnovení dostupnosti a přístupu k osobním údajům v případě fyzického nebo technického incidentu: Taboola provozuje 9 datových center po celém světě. Každé datové centrum slouží jako replikace ostatních datových center, takže pokud jedno z nich selže, data lze extrahovat z jiného datového centra.

Postupy pro pravidelné testování, posuzování a vyhodnocování účinnosti technických a organizačních opatření za účelem zajištění bezpečnosti zpracování: Taboola dodržuje přísné postupy pro testování účinnosti svých kontrol (jak technických, tak organizačních). Máme zavedené systémové protokolování a monitorování, měsíční (alespoň) DR testování, čtvrtletní penetrační testy, firewally chránící web a honeypoty rozmístěné po síti, abychom odhalili jakoukoli škodlivou aktivitu. Navíc máme zavedený odměnový program, který nám pomáhá neustále monitorovat naši síť.

Opatření pro identifikaci a autorizaci uživatele: Každý uživatel v Taboola je přiřazen k vyhrazenému uživatelskému jménu a heslu. Každý přístup do interní sítě Taboola se provádí pomocí 2FA s využitím ověřování Google. Uživatele vytváří pouze IT oddělení, během procesu nástupu a až po obdržení všech údajů a podepsané smlouvy od personálního oddělení.

Opatření na ochranu dat během přenosu: Taboola podporuje jakýkoli přenos dat prostřednictvím zabezpečených přenosových protokolů (minimálně HTTPS a TLS v1.2). Systémy, které mohou obsahovat osobní údaje, jsou navíc zabezpečené a data jsou uchovávána hašovaná a anonymizovaná.

Opatření na ochranu dat během ukládání: Data uložená v našich databázích jsou anonymizována a hašována pomocí Bcrypt. Přístup k databázi je minimalizován a založen na principu „business need to know“.

Opatření k zajištění fyzické bezpečnosti míst, kde jsou zpracovávány osobní údaje: Každé z globálních datových center společnosti Taboola (v USA, Evropě a Asii) má všechny své servery umístěné v uzamčených skříních, které jsou udržovány výhradně pro použití společností Taboola. Tyto skříně udržují společnosti, které mají buď SOC2-certified , nebo jejichž bezpečnostní opatření prověřila Taboola . Dále jakýkoli přístup k serverům vyžaduje písemné a zaznamenané povolení. Všechny kanceláře Taboola jsou také kontrolované a vyžadují, aby zaměstnanci pro vstup používali přístupové karty. Kromě toho má k serverům Taboola přístup pouze omezený počet zaměstnanců a jakýkoli přístup vyžaduje písemné a zaznamenané povolení.

Opatření pro zajištění protokolování událostí: Taboola implementuje monitorovací nástroje a protokoly se shromažďují do našeho systému SIEM , který nás upozorní na jakoukoli podezřelou událost a je také monitorován týmem NOC .

Opatření pro zajištění konfigurace systému, včetně výchozí konfigurace: Servery jsou skenovány jak z hlediska posunu konfigurace, tak i úrovně oprav. Hlášení a/nebo upozornění jsou nastaveny na obou a je potvrzena příslušná úroveň opravy. Nové záplaty jsou distribuovány pomocí Puppetu. Všechny technické kontroly jsou spravovány prostřednictvím aplikace pro výzkum a vývoj a získávány prostřednictvím formálního procesu kontroly (QA) po implementaci kódování a CI/CD processes .

Opatření pro interní správu a řízení IT a IT bezpečnosti: Taboola je certifikována dle norem ISO/IEC 27001:2013 a ISO/IEC 27701:2019. Taboola má zavedenou politiku informační bezpečnosti, která stanoví, že představenstvo a vedení společnosti Taboola se zavazují k zachování důvěrnosti, integrity a dostupnosti všech fyzických i elektronických informačních aktiv v celé své organizaci. Taboola pořádá bezpečnostní školení pro všechny nové zaměstnance, školení o phishingu pro všechny zaměstnance po celém světě, pravidelná bezpečnostní školení pro všechny zaměstnance a také specializovaná školení pro výzkumné a vývojové týmy.

Opatření pro certifikaci/zajištění procesů a produktů: Čtvrtletní / pololetní / roční interní audit více procesů a systémů za účelem ověření, zda Taboola dodržuje své definované bezpečnostní cíle a opatření.

Opatření k zajištění minimalizace dat: Taboola záměrně omezuje shromažďovaná data v rámci globálních zásad minimalizace dat společnosti Taboola, které spočívají v zpracování pouze omezeného množství dat potřebných pro naše specifické obchodní účely. Taboola navíc nemá možnost ani obchodní potřebu provádět „reverzní inženýrství“ jakýchkoli datových bodů používaných v našem algoritmu za účelem poskytování našich služeb. Konkrétněji řečeno, datové body, které Taboola shromažďuje, nikdy nesvědčí o identitě uživatele – Taboola totiž neshromažďuje ani nezpracovává informace, jako je jméno uživatele, telefonní číslo, e-mail ani fyzická adresa. Taboola místo toho shromažďuje pouze pseudonymní identifikátory, které pouze identifikují charakteristiky zařízení uživatele. To zahrnuje IP adresy (které jsou při shromažďování zkráceny a mohou identifikovat pouze obecnou polohu PSČ zařízení, ale nikdy přesnou geolokaci) a v některých omezených případech hašované e-mailové adresy (které jsou ze své podstaty nevratné a nelze je dešifrovat a odhalit tak původní e-mailovou adresu). Navíc, i když jsou data, která shromažďujeme, použita kolektivně, nikdy nemohou poskytnout jméno, telefonní číslo, e-mail ani fyzickou adresu jednotlivce a naši inženýři nijak nepracují na dosažení tohoto cíle. Taboola dále provádí a zaznamenává posouzení dopadu na soukromí ve snaze minimalizovat rizika pro soukromí spojená s našimi službami, procesy a zásadami.

Opatření pro zajištění kvality dat: Data jsou shromažďována přímo od uživatele a uživatel má možnost opravit jakékoli údaje taboola.com s jeho cookieID prostřednictvím portálu Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access

Opatření k zajištění omezeného uchovávání údajů: Informace o uživatelích, které jsou přímo shromažďovány za účelem zobrazování reklam, uchováváme po dobu maximálně třinácti (13) měsíců od poslední interakce uživatele s našimi službami (často po kratší dobu). Poté data anonymizujeme odstraněním jedinečných identifikátorů nebo agregací dat. Tento proces se provádí automaticky.

Opatření k zajištění odpovědnosti: Taboola provádí několik bezpečnostních auditů a penetračních testů (ale ne pro všechny systémy). Taboola také využívá cloudové poskytovatele s certifikací ISO a splňující další certifikace relevantní pro cloud, aby zajistila fyzickou ochranu serveru.

Opatření pro umožnění přenositelnosti údajů a zajištění jejich výmazu: Taboola týkající se likvidace médií platí pro všechny druhy médií, protože mohou obsahovat osobní údaje. Před opětovným použitím nebo likvidací musí být veškerá média důkladně otřena. Jakákoli likvidace médií je zdokumentována. Zaměstnanci jsou instruováni, aby netiskli žádné papíry, které by mohly obsahovat osobní údaje.