Podmínky ochrany osobních údajů inzerentů

Last Update: November 14, 2025

Datum účinnosti:  14. srpna 2023

Tyto Podmínky ochrany osobních údajů inzerentů Taboola („Podmínky ochrany osobních údajů inzerentů“) se vztahují na digitální reklamní služby Taboola, například když Taboola distribuuje obsah inzerentů prostřednictvím své distribuční platformy, Taboola Dynamic Creative Optimization (DCO) nebo GenAI Landing Page na základě dohody mezi Taboola a inzerentem („Smlouva“), a tyto Podmínky ochrany osobních údajů inzerentů se považují za začleněné do jakékoli takové Smlouvy a tvoří její nedílnou součást.  Tyto Podmínky ochrany osobních údajů inzerentů určují role a povinnosti společnosti Taboola a inzerenta v souvislosti s osobními údaji.

V případě rozporu mezi Podmínkami ochrany osobních údajů inzerentů a Smlouvou budou mít v rozsahu tohoto rozporu přednost Podmínky ochrany osobních údajů inzerentů, pokud se protichůdné ustanovení ve Smlouvě výslovně neodkazuje na protichůdné ustanovení těchto Podmínek ochrany osobních údajů inzerentů a nestanoví, že má přednost před tímto protichůdným ustanovením.

Pojmy definované v tomto oddíle mají níže uvedený význam a příbuzné pojmy se vykládají odpovídajícím způsobem. Pojmy s velkým písmenem použité, ale nedefinované v Podmínkách ochrany osobních údajů inzerentů, mají význam definovaný ve Smlouvě.

      1. Příslušné zákony na ochranu osobních údajů“ znamenají veškeré federální, národní, státní nebo jiné zákony na ochranu soukromí a osobních údajů, které se vztahují na zpracování, jež je předmětem Smlouvy a těchto Podmínek inzerenta, ve znění pozdějších předpisů nebo nahrazovaných.
      2. Shromážděné údaje“ znamenají Osobní údaje, které každá strana shromažďuje od Subjektů údajů na svých serverech či sítích nebo jejich prostřednictvím (včetně všech pasivně shromažďovaných nebo strojově čitelných dat, jako jsou data založená na typu prohlížeče a identifikátorech zařízení) v souvislosti s poskytováním nebo přijímáním Služeb.
      3. Správce“ znamená: (i) subjekt, který určuje účely a prostředky zpracování osobních údajů, a (ii) jakoukoli osobu, která spadá pod pojem „správce“ (nebo jakýkoli v podstatě analogický pojem), jak je definován v platných zákonech o ochraně osobních údajů.
      4. Kalifornský zákon o ochraně soukromí“ znamená kalifornský zákon o ochraně soukromí spotřebitelů z roku 2018, Cal. Občanský zákoník § 1798.100 a násl. („CCPA“) ve znění pozdějších předpisů (včetně kalifornského zákona o právech na ochranu osobních údajů) a veškeré podzákonné předpisy a prováděcí předpisy.
      5. Subjekt údajů“ znamená: (i) identifikovanou nebo identifikovatelnou fyzickou osobu (a pro tyto účely se identifikovatelnou fyzickou osobou rozumí osoba, kterou lze identifikovat přímo či nepřímo, zejména odkazem na identifikátor, jako je jméno, identifikační číslo, údaje o poloze, online identifikátor nebo na jeden či více faktorů specifických pro fyzickou, fyziologickou, genetickou, duševní, ekonomickou, kulturní nebo sociální identitu této fyzické osoby), a (ii) jakoukoli osobu, která spadá pod pojem „subjekt údajů“, „spotřebitel“ (nebo jakýkoli v podstatě analogický pojem) ve smyslu zákonů o ochraně osobních údajů.
      6. Právní předpisy EU o ochraně osobních údajů“ znamenají: (i) obecné nařízení EU o ochraně osobních údajů (nařízení 2016/679) („ GDPREU “); (ii) směrnici EU o soukromí a elektronických komunikacích (směrnice 2002/58/ES); a (iii) veškeré vnitrostátní zákony na ochranu osobních údajů přijaté na základě bodu (i) nebo (ii), přičemž každý z nich může být čas od času novelizován nebo nahrazen.
      7. Povolené účely“ má význam uvedený v oddíle 3.
      8. Osobní údaje“ znamenají jakékoli informace týkající se Subjektu údajů (včetně jedinečných identifikátorů prohlížeče nebo zařízení, pokud to vyžadují platné právní předpisy o ochraně osobních údajů), jak je uvedeno v příloze A části B.
      9. Zpracování“ znamená jakoukoli operaci nebo soubor operací s Osobními údaji nebo se soubory Osobních údajů, které jsou prováděny s Osobními údaji nebo se soubory Osobních údajů, ať už automatizovanými prostředky či nikoli, jako je shromažďování, příjem, zaznamenávání, organizace, strukturování, používání, přenos, přístup, sdílení, zveřejňování, převod, ukládání, úprava nebo změna, vyhledávání, konzultace, šíření nebo jiné zpřístupňování, seřazování nebo kombinování, agregace, odvozování, analýza, omezení, výmaz, zničení nebo likvidace nebo jiné nakládání s Osobními údaji, včetně definice tohoto pojmu v platných právních předpisech o ochraně osobních údajů.
      10. Zpracovatel“ znamená: (i) subjekt, který zpracovává osobní údaje jménem správce, a (ii) jakoukoli osobu, která spadá pod pojem „zpracovatel“ (nebo jakýkoli v podstatě analogický pojem), jak je definován v platných zákonech o ochraně osobních údajů.
      11. Omezený přenos“ znamená: (i) v případě, že se vztahuje EU GDPR , přenos osobních údajů z EHP do země mimo EHP, který nepodléhá určení odpovídající ochrany ze strany Evropské komise („omezený přenos EU“); a (ii) v případě, že se vztahuje UK GDPR , přenos osobních údajů ze Spojeného království do jakékoli jiné země, který nepodléhá ani se nezakládá na předpisech o odpovídající ochraně podle § 17A zákona Spojeného království o ochraně osobních údajů z roku 2018 („omezený přenos UK“).
      12. Prodej“ a „Prodat“ znamená výměnu osobních údajů za peněžní nebo jinou hodnotnou úplatu a zahrnuje i definici těchto pojmů v platných zákonech o ochraně osobních údajů.
      13. Služby“ znamenají služby poskytované společností Taboola na základě Smlouvy s Inzerentem.
      14. Bezpečnostní incident“ znamená narušení bezpečnosti vedoucí k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému zveřejnění nebo přístupu k osobním údajům.
      15. Standard Contractual Clauses“ znamenají: (i) v případě použití EU GDPR smluvní doložky připojené k prováděcímu rozhodnutí Evropské komise 2021/914 ze dne 4. června 2021 o standard contractual clauses pro předávání osobních údajů do třetích zemí podle nařízení Evropského parlamentu a Rady (EU) 2016/679 („EU SCCs“); a (ii) v případě použití UK GDPR „Dodatek ke Standard Contractual Clauses Komise EU o mezinárodním předávání údajů“ vydaný komisařem pro informace podle § 119A(1) zákona o ochraně osobních údajů z roku 2018 („UK Addendum“).
      16. Třetí strana“ znamená podnik, který jedná jako správce osobních údajů a který není podnikem, se kterým subjekt údajů, jehož osobní údaje jsou zpracovávány, úmyslně interagoval; tento pojem zahrnuje i definici takového pojmu v platných právních předpisech o ochraně osobních údajů.
      17. Zákon UK o ochraně osobních údajů“ znamená: (i) zákon UK o ochraně osobních údajů z roku 2018, (ii) UK GDPR (jak je definováno v § 3(10) zákona UK o ochraně osobních údajů z roku 2018) („UK GDPR“), (iii) UK nařízení o ochraně soukromí a elektronických komunikacích (směrnice ES) z roku 2003) a (iv) jakékoli další zákony UK vydané na základě bodu (i), (ii) nebo (iii), přičemž každý z nich může být čas od času novelizován nebo nahrazen.

Každá strana bude zpracovávat shromážděné údaje, které shromažďuje nebo obdrží od druhé strany, pro účely uvedené v příloze A, části B („Povolené účely“).  Inzerent souhlasí s tím, že Taboola bude zpracovávat shromážděné údaje v souladu se Zásadami ochrany osobních údajů Taboola (což, pro vyloučení pochybností, bude rovněž považováno za Povolený účel pro Taboola).

V rozsahu, v jakém Shromážděné údaje splňují podmínky pro Osobní údaje nebo je obsahují podle Platných zákonů o ochraně osobních údajů, bude každá strana Zpracovávat Shromážděné údaje, které shromažďuje nebo obdrží od druhé strany, jako Správce (což může v případě použití kalifornského zákona o ochraně osobních údajů zahrnovat i jako Třetí stranu, pokud je to relevantní).  Zveřejnění (ať už jde o převod nebo prostřednictvím strany zpřístupňující údaje druhé straně) Shromážděných údajů nebo Osobních údajů od jedné strany druhé je zveřejněním třetím stranám.

      1. Pokud se na shromážděné údaje vztahují zákony USA nebo států USA o ochraně osobních údajů, včetně mimo jiné kalifornských zákonů o ochraně osobních údajů, pak v rozsahu, v jakém Realize Pixels (dříve nazývaná „Taboola Pixels“) používaná v souvislosti se Službami zpracovává osobní údaje o Návštěvníkovi, Taboola jedná vůči Inzerentovi jako třetí strana v souvislosti s těmito osobními údaji. Taboola bude tyto osobní údaje zpracovávat pro povolené účely. Tyto osobní údaje jsou Taboola zpřístupněny pouze pro povolené účely.  Taboola bude poskytovat stejnou úroveň ochrany soukromí, jakou od podniků vyžadují platné zákony USA o ochraně osobních údajů, včetně případných kalifornských zákonů o ochraně osobních údajů. Taboola bude inzerenta informovat ve lhůtě požadované platnými zákony o ochraně osobních údajů, pokud Taboola , že již není schopna plnit své povinnosti podle platných zákonů o ochraně osobních údajů. Po zaslání oznámení Taboola má Inzerent právo podniknout přiměřené a vhodné kroky k zastavení a nápravě neoprávněného používání Osobních údajů, které Taboola zpřístupňuje.

Strany berou na vědomí, že některé nebo všechny Shromážděné údaje mohou být kvalifikovány jako Osobní údaje nebo je mohou zahrnovat, a proto se na Zpracování Shromážděných údajů každou stranou mohou vztahovat Platné zákony o ochraně osobních údajů.  V takovém případě a s výhradou oddílu 7 je každá strana individuálně odpovědná za dodržování platných zákonů o ochraně osobních údajů, včetně veškerých platných požadavků na: (i) zajištění transparentnosti pro Subjekty údajů, (ii) získání souhlasu nebo jiného právního základu pro Zpracování a (iii) zpřístupnění kontaktního místa, jehož prostřednictvím mohou Subjekty údajů uplatnit svá práva na ochranu osobních údajů.

V případě, že kterákoli ze stran provede omezený přenos shromážděných údajů druhé straně, použijí se ustanovení přílohy C.

a. Taboola k poskytování Služeb používá Realize Pixels .  Bez ohledu na oddíl 5, v rozsahu, v jakém Taboola shromažďuje shromážděná data z digitálních prostředků inzerenta (jako jsou webové stránky, mobilní aplikace nebo jiné) pomocí Realize Pixels, je inzerent povinen: (i) poskytnout subjektům údajů veškerá požadovaná oznámení o transparentnosti týkající se používání služby Realize Pixels společností Taboola ke shromažďování shromážděných dat z digitálních prostředků inzerenta pro povolené účely a (ii) získat (a na žádost společnosti Taboola kdykoli poskytnout příslušné důkazy o) souhlasu subjektu údajů s takovým použitím služby Realize Pixels pro povolené účely, v každém případě v souladu s požadavky platných zákonů na ochranu osobních údajů.  Povinnosti Inzerenta v tomto ohledu zahrnují výslovnou identifikaci Taboola a jejího používání Realize Pixels pro povolené účely v oznámeních o transparentnosti a v žádostech o souhlas, které Inzerent poskytne Subjektem údajů, jakož i veškeré další informace vyžadované platnými zákony na ochranu osobních údajů, aby Taboola mohla zákonně poskytovat své Služby prostřednictvím těchto digitálních prostředků a Zpracovávat shromážděné údaje a osobní údaje pro povolené účely. V rozsahu, v jakém inzerent využívá službu Taboola Gen AI Landing Page, poskytne Taboola transparentní oznámení a získá souhlas uživatele.

b. Na písemnou žádost poskytne Taboola Inzerentovi nezbytné informace o Realize Pixels a zpracování shromážděných dat společností Taboola prostřednictvím digitálních vlastností Inzerenta, aby bylo zajištěno, že jeho mechanismy oznámení a souhlasu budou v souladu s platnými zákony na ochranu osobních údajů.  Inzerent nesmí spustit žádné Realize Pixels, dokud nebude zajištěna nezbytná transparentnost a nezískány veškeré potřebné souhlasy vyžadované platnými zákony na ochranu osobních údajů.

c. Inzerent dále poskytne Subjektem údajů informace o tom, jak mohou uplatnit svá práva na ochranu osobních údajů podle Platných zákonů o ochraně osobních údajů, a poskytne kontaktní místo, na které se Subjekty údajů mohou obrátit za účelem uplatnění svých práv. Inzerent neprodleně informuje Taboola, pokud a v rozsahu, v jakém obdrží jakoukoli žádost o ochranu osobních údajů týkající se zpracování shromážděných údajů společností Taboola jakožto správce, aby Taboola mohla žádost splnit v souladu se svými povinnostmi podle platných zákonů o ochraně osobních údajů.

Pokud Taboola na žádost Inzerenta předá Osobní údaje atribučnímu partnerovi Inzerenta nebo Inzerentovi pro účely atribuce, Inzerent prohlašuje a zaručuje, že: (i) jeho atribuční partner je Zpracovatelem jménem Inzerenta; (ii) pokud nebudou údaje shromážděny nezávisle jinak, Inzerent a atribuční partner použijí tyto Osobní údaje výhradně pro účely atribuce; ​​a (iii) atribuční partner a Inzerent smažou všechny předané Osobní údaje do třiceti (30) dnů od poslední identifikace Návštěvníka jako přicházejícího ze Taboola.

Každá strana zavede vhodná technická a organizační bezpečnostní opatření k ochraně Shromážděných údajů a/nebo Osobních údajů, které Zpracovává, před bezpečnostním incidentem.  Tato opatření zahrnují opatření stanovená v příloze B.

Pokud kterákoli ze stran utrpí bezpečnostní incident týkající se shromážděných údajů a/nebo osobních údajů, které zpracovává a které jsou předmětem Smlouvy a těchto Podmínek ochrany osobních údajů inzerentů, tato strana: (i) je odpovědná za splnění (na vlastní náklady) veškerých ohlašovacích povinností, které se na ni vztahují podle platných zákonů na ochranu osobních údajů, vůči orgánům na ochranu osobních údajů a/nebo dotčeným subjektům údajů, (ii) bez zbytečného odkladu informuje druhou stranu a poskytne jí takové informace o bezpečnostním incidentu, které si druhá strana může rozumně vyžádat nebo které jsou jinak nutné k určení, zda může mít také ohlašovací povinnosti podle platných zákonů na ochranu osobních údajů v souvislosti s bezpečnostním incidentem, a (iii) bez zbytečného odkladu podnikne veškerá taková opatření, která jsou vhodná k nápravě a/nebo zmírnění dopadů bezpečnostního incidentu.

V rozsahu vyžadovaném platnými zákony o ochraně osobních údajů, kterým každá strana podléhá, ​​provede každá strana posouzení vlivu na ochranu osobních údajů v souvislosti se zpracováním shromážděných údajů a/nebo osobních údajů pro povolené účely a/nebo v případě potřeby konzultuje s příslušnými orgány pro ochranu osobních údajů.  Každá strana poskytne veškerou přiměřenou součinnost a informace, které si druhá strana přiměřeně vyžádá, pokud je to nezbytné k tomu, aby druhá strana mohla provést posouzení vlivu na ochranu osobních údajů a/nebo konzultovat s příslušnými orgány pro ochranu osobních údajů v souladu s povinnostmi této druhé strany podle tohoto oddílu 11.

 

A. SEZNAM STRAN

Každá strana bude:

      • správce údajů (a vývozce údajů) shromážděných údajů, které zpřístupní nebo zpřístupní druhé straně, a
      • správce údajů (a dovozce údajů) Shromážděných údajů, které od druhé strany obdrží nebo ke kterým mu druhá strana zpřístupní přístup.

Podrobnosti o každé straně jsou uvedeny níže.

Jméno: Viz údaje o inzerentovi uvedené ve Smlouvě.

Adresa: Viz údaje o inzerentovi uvedené ve Smlouvě.

Jméno, pozice a kontaktní údaje kontaktní osoby: Viz údaje o inzerentovi uvedené ve Smlouvě nebo jinak písemně dohodnuté mezi stranami.

Činnosti související s údaji předávanými podle těchto ustanovení: Přijetí Služeb, jak je stanoveno ve Smlouvě.

Podpis a datum: Tato příloha A se považuje za uzavřenou okamžikem přijetí těchto Podmínek ochrany osobních údajů inzerentem.

Role (správce/zpracovatel): Správce (pokud je vývozcem údajů) a správce (pokud je dovozcem údajů)

 

Jméno: Viz podrobnosti o společnosti Taboola uvedené v úvodu dohody.

Adresa: Viz podrobnosti o společnosti Taboola uvedené v úvodu dohody.

Jméno, pozice a kontaktní údaje kontaktní osoby: Tým pro ochranu osobních údajů společnosti Taboola, taboola.com.

Činnosti související s údaji předávanými podle těchto ustanovení: Poskytování Služeb, jak je stanoveno ve Smlouvě.

Podpis a datum: Tato příloha A se považuje za uzavřenou okamžikem přijetí těchto Podmínek ochrany osobních údajů inzerentů společností Taboola.

Role (správce/zpracovatel): Správce (pokud je vývozcem údajů) a správce (pokud je dovozcem údajů)

 

B. POPIS ZPRACOVÁNÍ A PŘEDÁNÍ

Kategorie subjektů údajů, jejichž osobní údaje jsou zpracovávány a/nebo předávány: Uživatelé

Kategorie zpracovávaných a/nebo předávaných osobních údajů:

Údaje o zařízení: Operační systém, typ prohlížeče, verze prohlížeče, IP adresa (zkrácená do 30 dnů) shromažďovaných dat, PSČ (odvozené z IP adresy), hašované ID uživatele Taboola , hašované e-maily, první a následné návštěvy stránek na webových stránkách inzerenta, pohlaví uživatele (odvozené ze zájmů), signály zapojení (doba strávená na webu, hloubka rolování, hloubka relace), data o konverzích.

Údaje o digitálním majetku navštíveném uživatelem: URL adresa navštívené stránky, odkazující webová stránka

  • V rozsahu, v jakém je DCO součástí služeb, zpracovává Taboola také následující údaje:

Údaje o zařízení: ID souboru cookie Taboola nebo ID zařízení (v závislosti na platformě), maskovaná IP adresa, ID kliknutí Taboola , User agent string, země, typ uživatele včetně informací o novém/vracejícím se uživateli (pokud je inzerent sdílí), informace o produktu (vázané na konkrétní URL adresu), včetně ceny a dostupnosti ze stránek položek.

Data událostí: měna, ID produktů, ID objednávky, ID kategorie, kategorie, vyhledávací výraz, podrobnosti o košíku, hodnota a ID kampaní.

Přenesené citlivé údaje (pokud existují) a použitá omezení nebo ochranná opatření, která plně zohledňují povahu údajů a související rizika, jako například přísné omezení účelu, omezení přístupu (včetně přístupu pouze pro zaměstnance, kteří absolvovali specializované školení), vedení záznamů o přístupu k údajům, omezení pro další předávání nebo dodatečná bezpečnostní opatření: Nepoužije se.

Četnost zpracování a/nebo přenosů (např. zda jsou údaje zpracovávány a/nebo přenášeny jednorázově nebo průběžně): Nepřetržitě po dobu trvání Smlouvy.

Povaha zpracování: Zpracování osobních údajů nezbytných pro poskytování Služeb, jak je stanoveno ve Smlouvě.

Účel(y) zpracování/předání a dalšího zpracování údajů: Poskytování Služeb, jak je stanoveno ve Smlouvě. Aby se předešlo pochybnostem, mezi povolené účely patří: (i) ukládání a/nebo přístup k informacím v zařízení; (ii) výběr základních reklam; (iii) vytvoření personalizovaného reklamního profilu; (iv) výběr personalizovaných reklam; (v) vytvoření personalizovaného obsahového profilu; (vi) výběr personalizovaného obsahu; (vii) měření výkonu reklamy; (viii) měření výkonu obsahu; (ix) vývoj a vylepšování produktů; (x) zajištění bezpečnosti, prevence podvodů a ladění; (xi) technické poskytování reklam nebo obsahu; (xii) porovnávání a kombinování offline zdrojů dat; (xiii) propojování různých zařízení; (xiv) příjem a používání automaticky odesílaných charakteristik zařízení pro identifikaci; (xv) používání omezených dat k výběru obsahu a (xvi)porozumění publiku prostřednictvím statistik.

Doba, po kterou budou osobní údaje uchovávány, nebo pokud to není možné, kritéria použitá k určení této doby:

      • Taboola: Nezpracovaná data jsou uchovávána maximálně 13 měsíců.
      • Inzerent: Po dobu nezbytně nutnou k poskytování Služeb nebo po dobu uvedenou ve Smlouvě.

V případě předávání (sub)zpracovatelům uveďte také předmět, povahu a dobu trvání zpracování: Nepoužije se.

 

C. PŘÍSLUŠNÝ DOZORČOVÝ ORGÁN

Příslušný dozorový orgán, v případě kterého se uplatňuje EU GDPR : Příslušný dozorový orgán pro každou stranu je popsán níže:

      • Taboola: Příslušný orgán dohledu se určí v souladu s článkem 13 EU SCCs.
      • Inzerent: Příslušný orgán dohledu se určí v souladu s článkem 13 EU SCCs.

Příslušný dozorový orgán, v případě kterého se uplatňuje UK GDPR : Úřad komisaře pro informace

 

Popis technických a organizačních opatření zavedených každou stranou (včetně veškerých relevantních certifikací) k zajištění odpovídající úrovně zabezpečení s přihlédnutím k povaze, rozsahu, kontextu a účelu zpracování a rizikům pro práva a svobody fyzických osob.

Opatření k pseudonymizaci a šifrování osobních údajů: Taboola shromažďuje pouze pseudonymizovaná data, což znamená, že nevíme, kdo jste, protože neznáme ani nezpracováváme jméno uživatele, jeho e-mailovou adresu ani jiné identifikovatelné údaje. Informace o uživatelích, které shromažďujeme, zahrnují mimo jiné informace o zařízení a operačním systému uživatele, IP adresu, webové stránky, které uživatelé na webových stránkách našich zákazníků navštívili, odkaz, který uživatele na webové stránky zákazníka přivedl, data a časy, kdy uživatel přistupuje na webové stránky zákazníků, a další údaje o prohlížení webu. CookieID je anonymizováno pomocí Bcrypt a IP adresa je zkrácena.

Opatření k zajištění trvalé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování: Taboola využívá několik úrovní elektronického zabezpečení (např. zabezpečení koncových bodů, zabezpečení na straně serveru, sledování detekcí, pravidelné penetrační testy a shromažďování hloubkových informací pro kontrolu událostí po porážce).

Opatření k zajištění možnosti včasného obnovení dostupnosti a přístupu k osobním údajům v případě fyzického nebo technického incidentu: Taboola provozuje 9 datových center po celém světě. Každé datové centrum slouží jako replikace ostatních datových center, takže pokud jedno z nich selže, data lze extrahovat z jiného datového centra.

Postupy pro pravidelné testování, posuzování a vyhodnocování účinnosti technických a organizačních opatření za účelem zajištění bezpečnosti zpracování: Taboola udržuje přísné postupy pro testování účinnosti svých kontrol (jak technických, tak organizačních). Máme zavedené systémové protokolování a monitorování, měsíční (alespoň) DR testování, čtvrtletní penetrační testy, firewally chránící web a honeypoty rozmístěné po síti, abychom odhalili jakoukoli škodlivou aktivitu. Navíc máme zavedený odměnový program, který nám pomáhá neustále monitorovat naši síť.

Opatření pro identifikaci a autorizaci uživatelů: Každý uživatel v Taboola je přiřazen k vyhrazenému uživatelskému jménu a heslu. Každý přístup do interní sítě Taboola se provádí pomocí 2FA s využitím ověřování Google. Uživatele vytváří pouze IT oddělení, během procesu nástupu a až po obdržení všech údajů a podepsané smlouvy od personálního oddělení.

Opatření na ochranu dat během přenosu: Taboola podporuje jakýkoli přenos dat prostřednictvím zabezpečených přenosových protokolů (minimálně HTTPS a TLS v1.2). Systémy, které mohou obsahovat osobní údaje, jsou navíc zabezpečené a data jsou uchovávána hašovaná a anonymizovaná.

Opatření na ochranu dat během ukládání: Data uložená v našich databázích jsou anonymizována a hašována pomocí Bcrypt. Přístup k databázi je minimalizován a založen na principu „business need to know“.

Opatření k zajištění fyzické bezpečnosti míst, kde jsou zpracovávány osobní údaje: Každé z globálních datových center společnosti Taboola (v USA, Evropě a Asii) má všechny své servery umístěné v uzamčených skříních, které jsou udržovány výhradně pro použití společností Taboola. Tyto skříně udržují společnosti, které mají buď SOC2-certified , nebo jejichž bezpečnostní opatření prověřila Taboola . Dále jakýkoli přístup k serverům vyžaduje písemné a zaznamenané povolení. Všechny kanceláře Taboola jsou také kontrolované a vyžadují, aby zaměstnanci pro vstup používali přístupové karty. Kromě toho má k serverům Taboola přístup pouze omezený počet zaměstnanců a jakýkoli přístup vyžaduje písemné a zaznamenané povolení.

Opatření pro zajištění protokolování událostí: Taboola implementuje monitorovací nástroje a protokoly se shromažďují do našeho systému SIEM , který nás upozorní na jakoukoli podezřelou událost a je také monitorován týmem NOC .

Opatření pro zajištění konfigurace systému, včetně výchozí konfigurace: Servery jsou skenovány jak z hlediska posunu konfigurace, tak i úrovně oprav. Hlášení a/nebo upozornění jsou nastaveny na obou a je potvrzena příslušná úroveň opravy. Nové záplaty jsou distribuovány pomocí Puppetu. Všechny technické kontroly jsou spravovány prostřednictvím aplikace pro výzkum a vývoj a získávány prostřednictvím formálního procesu kontroly (QA) po implementaci kódování a CI/CD processes .

Opatření pro interní správu a řízení IT a IT bezpečnosti: Taboola je certifikována dle ISO 27001:2013 a 27701. Taboola má zavedenou politiku informační bezpečnosti, která stanoví, že představenstvo a vedení společnosti Taboola se zavazují k zachování důvěrnosti, integrity a dostupnosti všech fyzických i elektronických informačních aktiv v celé své organizaci. Taboola pořádá bezpečnostní školení pro všechny nové zaměstnance, školení o phishingu pro všechny zaměstnance po celém světě, pravidelná bezpečnostní školení pro všechny zaměstnance a také specializovaná školení pro výzkumné a vývojové týmy.

Opatření pro certifikaci/zajištění procesů a produktů: Čtvrtletní / pololetní / roční interní audit více procesů a systémů za účelem ověření, zda Taboola dodržuje své definované bezpečnostní cíle a opatření.

Opatření k zajištění minimalizace dat: Taboola záměrně omezuje shromažďovaná data v rámci globálních zásad minimalizace dat společnosti Taboola, které spočívají v zpracování pouze omezeného množství dat potřebných pro naše specifické obchodní účely. Taboola navíc nemá možnost ani obchodní potřebu provádět „reverzní inženýrství“ jakýchkoli datových bodů používaných v našem algoritmu za účelem poskytování našich služeb. Konkrétněji řečeno, datové body, které Taboola shromažďuje, nikdy nesvědčí o identitě uživatele – Taboola totiž neshromažďuje ani nezpracovává informace, jako je jméno uživatele, telefonní číslo, e-mail ani fyzická adresa. Taboola místo toho shromažďuje pouze pseudonymní identifikátory, které pouze identifikují charakteristiky zařízení uživatele. To zahrnuje IP adresy (které jsou při shromažďování zkráceny a mohou identifikovat pouze obecnou polohu PSČ zařízení, ale nikdy přesnou geolokaci) a v některých omezených případech hašované e-mailové adresy (které jsou ze své podstaty nevratné a nelze je dešifrovat a odhalit tak původní e-mailovou adresu). Navíc, i když jsou data, která shromažďujeme, použita kolektivně, nikdy nemohou poskytnout jméno, telefonní číslo, e-mail ani fyzickou adresu jednotlivce a naši inženýři nijak nepracují na dosažení tohoto cíle. Taboola dále provádí a zaznamenává posouzení dopadu na soukromí ve snaze minimalizovat rizika pro soukromí spojená s našimi službami, procesy a zásadami.

Opatření pro zajištění kvality dat: Data jsou shromažďována přímo od uživatele a uživatel má možnost opravit jakékoli údaje taboola.com s jeho CookieID prostřednictvím portálu Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access

Opatření k zajištění omezeného uchovávání údajů: Informace o uživatelích, které jsou přímo shromažďovány za účelem zobrazování reklam, uchováváme po dobu maximálně třinácti (13) měsíců od poslední interakce uživatele s našimi službami (často po kratší dobu). Poté data anonymizujeme odstraněním jedinečných identifikátorů nebo agregací dat. Tento proces se provádí automaticky.

Opatření k zajištění odpovědnosti: Taboola provádí několik bezpečnostních auditů a penetračních testů (ale ne pro všechny systémy). Taboola také využívá cloudové poskytovatele s certifikací ISO a splňující další certifikace relevantní pro cloud, aby zajistila fyzickou ochranu serveru.

Opatření pro umožnění přenositelnosti údajů a zajištění jejich výmazu: Před opětovným použitím nebo likvidací musí být veškerá média důkladně otřena. Jakákoli likvidace médií je zdokumentována. Zaměstnanci jsou instruováni, aby netiskli žádné papíry, které by mohly obsahovat osobní údaje.

  1. V rozsahu, v jakém jedna strana provede omezený přenos shromážděných údajů druhé straně, budou Standard Contractual Clauses začleněny do těchto Podmínek ochrany osobních údajů inzerentů a budou platit následovně:
    1. Pokud se u omezeného převodu jedná o omezený převod v EU , uplatní se mezi stranami EU SCCs takto:
      1. Bude platit modul jedna;
      2. v článku 7 se použije volitelné ustanovení o dokování;
      3. v článku 11 se nepoužije volitelné znění;
      4. v článku 17 se použije možnost 1 a EU SCCs se budou řídit irským právem;
      5. v článku 18 písm. b) budou spory řešeny před soudy Irska;
      6. Části A, B a C přílohy I se považují za vyplněné informacemi uvedenými v částech A, B a C přílohy A těchto Podmínek ochrany osobních údajů inzerentů; a
      7. Příloha II se považuje za splněnou s bezpečnostními opatřeními stanovenými v příloze B těchto Podmínek ochrany osobních údajů inzerentů;
    2. Pokud se u Omezeného převodu jedná o Omezený převod ve UK , bude se mezi stranami vztahovat UK Addendum takto:
      1. EU SCCs, vyplněné dle výše uvedeného, ​​se použijí mezi stranami a budou upraveny UK Addendum (vyplněným dle níže uvedeného pododstavce (ii)); a
      2. Tabulky 1 až 3 UK Addendum se považují za vyplněné příslušnými informacemi ze EU SCCs, vyplněnými výše uvedeným způsobem, a možnosti „Vývozce“ a „Dovozce“ se v tabulce 4 považují za zaškrtnuté. Datum zahájení UK Addendum (jak je uvedeno v tabulce 1) bude datem účinnosti těchto Podmínek ochrany osobních údajů inzerentů.
  2. Další omezené převody:  Žádná ze stran neprovede další omezený přenos shromážděných údajů, které obdrží od druhé strany, pokud neprovedla všechny nezbytné kroky a věci k zajištění toho, aby takový další omezený přenos byl v souladu s platnými zákony o ochraně osobních údajů a veškerými Standard Contractual Clauses, na kterých se s druhou stranou dohodla.