Podmínky ochrany soukromí pro vlastníky digitálních nemovitostí

Last Update: October 10, 2024

Datum účinnosti: 10. října 2024

Tyto Podmínky ochrany soukromí Taboola pro vlastníky digitálních nemovitostí („Podmínky ochrany soukromí vydavatele“) se vztahují na digitální reklamní služby Taboola, například když Taboola umisťuje obsah inzerentů na majetky vydavatele, včetně, ale nikoli výhradně, produktů a služeb vydavatele, jako jsou Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News a Taboola Push, na základě dohody mezi Taboola a vydavatelem („Dohoda“), a tyto Podmínky ochrany soukromí vydavatele budou považovány za součást jakékoli takové Dohody a tvoří její nedílnou součást. Tyto Podmínky ochrany soukromí vydavatele identifikují role a odpovědnosti Taboola a vydavatele ve vztahu k osobním údajům.

Pokud dojde ke konfliktu mezi Podmínkami ochrany soukromí vydavatele a Smlouvou, budou mít přednost Podmínky ochrany soukromí vydavatele, pokud se v Smlouvě výslovně neodkazuje na konfliktující ustanovení těchto Podmínek ochrany soukromí vydavatele a neuvádí, že má přednost před konfliktujícím ustanovením.

Termíny definované v této části budou mít významy uvedené níže a příbuzné termíny budou vykládány odpovídajícím způsobem. Velká písmena používaná, ale nedefinovaná v Podmínkách ochrany soukromí vydavatele, budou mít významy definované ve Smlouvě.

      1. Platné zákony o ochraně osobních údajů“ znamená jakékoli a všechny platné federální, národní, státní nebo jiné zákony o ochraně soukromí a osobních údajích, které se vztahují na zpracování, které je předmětem Smlouvy a těchto Podmínek ochrany soukromí vydavatele, jak mohou být čas od času měněny nebo nahrazovány.
      2. Kalifornský zákon o ochraně soukromí“ znamená Zákon o ochraně soukromí spotřebitelů v Kalifornii z roku 2018, Cal. Občanský zákoník § 1798.100 a násl. (také „CCPA“), ve znění (včetně Zákona o právech na ochranu soukromí v Kalifornii) a jakékoli podřadné legislativy a prováděcích předpisů.
      3. Správce“ znamená: (i) subjekt, který určuje účely a prostředky zpracování osobních údajů, a (ii) jakoukoli osobu nebo subjekt, který spadá do rozsahu termínu „Správce“ nebo „Podnik“ (nebo jakýkoli podstatně analogický termín) podle platných zákonů o ochraně osobních údajů.
      4. Subjekt údajů“ znamená: (i) identifikovanou nebo identifikovatelnou fyzickou osobu (a pro tyto účely je identifikovatelnou fyzickou osobou taková, která může být identifikována, přímo nebo nepřímo, zejména s odkazem na identifikátor, jako je jméno, identifikační číslo, údaje o poloze, online identifikátor nebo na jeden nebo více faktorů specifických pro fyzickou, fyziologickou, genetickou, duševní, ekonomickou, kulturní nebo sociální identitu této fyzické osoby), a (ii) jakoukoli osobu, která spadá do rozsahu termínu „subjekt údajů“, „spotřebitel“ (nebo jakýkoli podstatně analogický termín) podle definice platných zákonů o ochraně osobních údajů.
      5. Zákon o ochraně osobních údajů EU“ znamená: (i) Obecné nařízení o ochraně osobních údajů EU (Nařízení 2016/679) („EU GDPR“); (ii) Směrnice EU o soukromí v elektronických komunikacích (Směrnice 2002/58/ES); a (iii) jakékoli národní zákony o ochraně osobních údajů přijaté na základě (i) nebo (ii), každé jak může být čas od času měněno nebo nahrazováno.
      6. Osobní údaje“ znamená jakékoli informace, které se vztahují k identifikované nebo identifikovatelné osobě (a tento termín zahrnuje, pokud to vyžaduje platný zákon o ochraně osobních údajů, jedinečné identifikátory prohlížeče nebo zařízení), jak je uvedeno v Příloze A, Část B.
        1. Osobní údaje o interakci“ znamená jakékoli osobní údaje shromážděné od spotřebitelů v době nebo po záměrné interakci spotřebitele s Taboola, produkty Taboola, majetkem Taboola a reklamami, které Taboola umisťuje.
        2. Osobní údaje o pasivní interakci“ znamená jakékoli osobní údaje shromážděné pasivně z majetku vydavatele, včetně, ale nikoli omezeno na, IP adresu, URL stránky a User Agent String shromážděný Taboola, před nebo v nepřítomnosti záměrné interakce spotřebitele s Taboola, produkty Taboola, majetkem Taboola a reklamami, které Taboola umisťuje.
      7. Proces“ znamená jakoukoli operaci nebo soubor operací, které se provádějí na osobních údajích nebo na souborech osobních údajů, ať už automatizovanými prostředky či nikoli, jako je shromažďování, příjem, zaznamenávání, organizace, strukturování, použití, přenos, přístup, sdílení, zveřejnění, převod, uchovávání, úprava nebo změna, vyhledávání, konzultace, šíření nebo jiným způsobem zpřístupnění, sladění nebo kombinace, agregace, odvozování, analýza, omezení, vymazání, zničení nebo likvidace či jiná manipulace s osobními údaji, včetně toho, jak je tento termín definován podle platného právního předpisu o ochraně údajů.
      8. Zpracovatel“ znamená subjekt, který zpracovává osobní údaje jménem správce, a zahrnuje to, jak je tento termín a/nebo termín „zpracovatel údajů“ (nebo jakýkoli podstatně analogický termín) definován podle platného právního předpisu o ochraně údajů.
      9. Omezený převod“ znamená: (i) pokud se vztahuje EU GDPR, převod osobních údajů z EHP do země mimo EHP, která není předmětem rozhodnutí o přiměřenosti Evropskou komisí (“EU Omezený převod“); a (ii) pokud se vztahuje UK GDPR, převod osobních údajů z Velké Británie do jakékoli jiné země, která není předmětem nebo založena na předpisech o přiměřenosti podle oddílu 17A britského zákona o ochraně údajů z roku 2018 (“UK Omezený převod“).
      10. Služby“ znamená služby poskytované společností Taboola na základě smlouvy s vydavatelem.
      11. „Bezpečnostní incident“ znamená porušení bezpečnosti vedoucí k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému zveřejnění nebo přístupu k osobním údajům.
      12. „Standard Contractual Clauses“ znamená: (i) pokud se vztahuje EU GDPR, smluvní doložky připojené k prováděcímu rozhodnutí Evropské komise 2021/914 ze dne 4. června 2021 o standardních smluvních doložkách pro převod osobních údajů do třetích zemí podle nařízení (EU) 2016/679 Evropského parlamentu a Rady („EU SCCs“); a (ii) pokud se vztahuje UK GDPR, „Mezinárodní dodatek k standardním smluvním doložkám Evropské komise“ vydaný informačním komisařem podle § 119A(1) DPA 2018 („UK Dodatek“).
      13. Třetí strana“ znamená podnik, který jedná jako správce ve vztahu k osobním údajům, a který není podnikem, se kterým se subjekt údajů, jehož osobní údaje jsou zpracovávány, úmyslně spojil; termín zahrnuje to, jak je tento termín definován podle platného právního předpisu o ochraně údajů.
      14. Britský zákon o ochraně údajů“ znamená: (i) britský zákon o ochraně údajů z roku 2018, (ii) UK GDPR (jak je definováno v § 3(10) britského zákona o ochraně údajů z roku 2018) („UK GDPR“), (iii) britské předpisy o ochraně soukromí a elektronických komunikacích (směrnice EC) z roku 2003, a (iv) jakékoli jiné britské zákony vydané podle nebo na základě (i), (ii) nebo (iii), každý z nichž může být čas od času měněn nebo nahrazován.

Pro osobní údaje zpracovávané v souvislosti se službami se každá strana zavazuje, že bude zpracovávat osobní údaje, které shromažďuje, pouze pro účely popsané v příloze A, část B (“Povolené účely“) a jak je povoleno těmito podmínkami ochrany soukromí vydavatele, smlouvou a platnými právními předpisy o ochraně údajů, jak mohou být tyto aktualizovány čas od času. Taboola může také zpracovávat osobní údaje o pasivní interakci, jak je povoleno politikou ochrany soukromí Taboola, a jak může být aktualizována čas od času.

Každá strana bude zpracovávat osobní údaje o pasivní interakci, které shromažďuje, jako správce nebo třetí strana, podle potřeby. Každá strana bude zpracovávat osobní údaje o interakci, které shromažďuje, jako správce nebo podnik, podle potřeby. Zveřejnění (ať už přímo, nebo prostřednictvím strany, která zpřístupňuje údaje druhé straně) osobních údajů z jedné strany druhé straně jsou zveřejnění třetím stranám.

      1. Pokud se na osobní údaje vztahuje zákon o ochraně údajů USA nebo státu USA, včetně bez omezení kalifornského zákona o ochraně soukromí, do té míry, že Taboola zpracovává osobní údaje o pasivní interakci v souvislosti se službami, Taboola jedná jako třetí strana vůči vydavateli pro takové osobní údaje o pasivní interakci. Taboola bude zpracovávat takové osobní údaje o pasivní interakci pro účely popsané v příloze A, část B a jak je povoleno těmito podmínkami ochrany soukromí vydavatele, smlouvou, platným právním předpisem o ochraně údajů a politikou ochrany soukromí Taboola, jak mohou být tyto aktualizovány čas od času. Takové osobní údaje o pasivní interakci jsou zpřístupněny společnosti Taboola pouze pro tyto účely. Taboola poskytne stejnou úroveň ochrany soukromí, jakou vyžadují podniky podle platných zákonů o ochraně údajů USA, včetně, pokud je to relevantní, kalifornských zákonů o ochraně soukromí. Vydavatel má právo zajistit, aby Taboola používala osobní údaje o pasivní interakci způsobem, který je v souladu s povinnostmi vydavatele. Po oznámení společnosti Taboola má vydavatel právo podniknout rozumné a vhodné kroky k zastavení a nápravě neoprávněného použití osobních údajů, které poskytuje společnosti Taboola. Společnost Taboola informuje vydavatele v časovém období požadovaném platnými zákony o ochraně údajů, pokud společnost Taboola zjistí, že již není schopna splnit své povinnosti podle platných zákonů o ochraně údajů. Pokud společnost Taboola shromažďuje osobní údaje o interakcích v souvislosti s poskytovanými službami, činí tak jako samostatný podnik.

Strany uznávají, že mohou zpracovávat osobní údaje a že platné zákony o ochraně údajů se mohou vztahovat na zpracování osobních údajů každou stranou. Pokud je tomu tak, každá strana se musí řídit těmito platnými zákony o ochraně údajů ve vztahu k jejímu zpracování osobních údajů. Pokud je tomu tak, a s ohledem na oddíl 7, každá strana nese individuální odpovědnost za svou vlastní shodu s platnými zákony o ochraně údajů, včetně jakýchkoli platných požadavků na: (i) poskytnutí transparentnosti subjektům údajů, (ii) mít souhlas nebo jiný zákonný základ pro zpracování a (iii) poskytnout kontaktní místo, prostřednictvím kterého mohou subjekty údajů uplatnit svá práva na ochranu údajů. Vydavatel okamžitě informuje společnost Taboola, pokud a do jaké míry obdrží jakoukoli žádost o práva na ochranu údajů týkající se zpracování osobních údajů společností Taboola jako správce, aby společnost Taboola mohla splnit žádost v souladu se svými povinnostmi podle platného zákona o ochraně údajů.

  1. Vydavatel směřuje jakékoli žádosti subjektů údajů týkající se služeb společnosti Taboola na Portál pro žádosti o přístup k osobním údajům globálního subjektu údajů společnosti Taboola nebo USA. Portál pro opt-out spotřebitelských práv, podle potřeby.

Pokud některá strana obdrží jakýkoli dotaz, stížnost nebo korespondenci (“Oznámení třetí strany“) od jednotlivce, regulátora nebo jiné třetí strany týkající se zpracování osobních údajů subjektu údajů v souvislosti se službami, okamžitě informuje druhou stranu a strany budou spolupracovat v dobré víře a podle potřeby, aby splnily požadavky takového oznámení třetí strany.

V případě, že některá strana provede omezený převod osobních údajů na druhou stranu, použijí se ustanovení přílohy C.

Pokud společnost Taboola shromažďuje osobní údaje z vlastností vydavatele pomocí kódu Taboola, pixelů a jiné sledovací technologie, vydavatel: (i) poskytne všechny požadované transparentní oznámení subjektům údajů o použití kódu Taboola k shromažďování osobních údajů z vlastností vydavatele pro povolené účely, a (ii) získá (a na žádost kdykoli ze strany společnosti Taboola poskytne příslušné důkazy) souhlas subjektu údajů s takovým použitím kódu Taboola pro povolené účely, v každém případě v souladu s požadavky platných zákonů o ochraně údajů. Povinnosti vydavatele v tomto ohledu zahrnují identifikaci společnosti Taboola a její použití kódu Taboola pro povolené účely výslovně v rámci transparentních oznámení a výzev k souhlasu, které vydavatel poskytuje subjektům údajů, stejně jako jakékoli další informace požadované platnými zákony o ochraně údajů, aby společnost Taboola mohla poskytovat své služby zákonně prostřednictvím těchto vlastností a zpracovávat osobní údaje pro povolené účely. Na písemnou žádost poskytne společnost Taboola vydavateli takové informace, které může vydavatel rozumně požadovat o kódu Taboola a zpracování osobních údajů společností Taboola prostřednictvím vlastností vydavatele, aby zajistil, že jeho mechanismy oznámení a souhlasu budou v souladu s platnými zákony o ochraně údajů. Vydavatel konkrétně souhlasí, že:

  1. pokud jde o jeho webové vlastnosti, zásady ochrany soukromí vydavatele popisují použití cookies, jedinečných identifikátorů a technologií, které nejsou cookies, třetími stranami (tj. Taboola) pro reklamu a analýzu založenou na zájmech (na a mimo vlastnosti) a poskytují odkaz buď na stránku pro opt-out průmyslu NAI na http://www.networkadvertising.org, stránku pro opt-out průmyslu DAA na http://www.aboutads.info, nebo (pokud jde o evropská webová média a shromažďování údajů) odkaz na odkaz pro opt-out EDAA na http://www.youronlinechoices.eu, způsobem, který splňuje požadavky platného zákona o ochraně údajů; a
  2. Pokud jde o mobilní aplikace, Zásady ochrany soukromí vydavatele popisují použití SDK a shromažďování mobilních identifikátorů reklam pro reklamu založenou na zájmech nebo mezi aplikacemi a analytiku (na a mimo vlastnosti); a poskytují popis, jak se uživatelé a návštěvníci mohou odhlásit ze shromažďování mobilních dat pro reklamu mezi aplikacemi prostřednictvím nastavení zařízení.
  3. Pro své vlastnosti zaměřené na EU musí vydavatel zajistit, že získá svobodně daný, konkrétní, informovaný a jednoznačný souhlas návštěvníků v souladu s právem na ochranu soukromí EU, pokud jde o umístění nebo přístup k jakýmkoli cookies Taboola nebo jiným jedinečným identifikátorům na zařízeních návštěvníků. Vydavatel musí svým návštěvníkům poskytnout kontaktní údaje (které mohou zahrnovat zpřístupnění těchto údajů prostřednictvím svých Zásad ochrany soukromí), aby mohli kontaktovat vydavatele a uplatnit svá práva na ochranu údajů (včetně údajů o osobních údajích zpracovávaných v souvislosti se službami). Výše uvedené povinnosti se vztahují, pokud vlastnosti vydavatele přitahují návštěvníky v jurisdikcích vyžadujících mechanismy souhlasu ve vztahu k těmto službám.

Během trvání smlouvy může Taboola vydavateli poskytnout doporučený jazyk pro zásady ochrany soukromí nebo zveřejnění. Vydavatel uznává, že se na takový doporučený jazyk nebude spoléhat jako na právní radu a že vydavatel nebo společnost samotná nese výhradní odpovědnost za jakékoli zveřejnění ve svých zásadách ochrany soukromí nebo na svých webových stránkách.

Vydavatel nesmí poskytovat ani konfigurovat služby tak, aby shromažďovaly nebo jinak zveřejňovaly Taboola jakékoli zvláštní kategorie osobních údajů nebo citlivé osobní informace nebo citlivé údaje (jak je definováno podle platného práva na ochranu údajů) pro zpracování Taboola. Dále musí vydavatel zajistit, že jakékoli URL adresy stránek zpřístupněné Taboola nebudou obsahovat informace o názvech videí. Taboola si vyhrazuje právo pozastavit služby v případě, že vydavatel nedodrží tento odstavec, pokud a dokud nebude takové porušení napraveno.

Každá strana musí implementovat vhodná technická a organizační bezpečnostní opatření k ochraně osobních údajů návštěvníků před bezpečnostním incidentem. Tato opatření musí zahrnovat opatření uvedená v Příloze B.

Pokud některá strana utrpí bezpečnostní incident týkající se osobních údajů, které zpracovává a které je předmětem smlouvy a těchto podmínek ochrany soukromí vydavatele, tato strana: (i) ponese odpovědnost za splnění (na vlastní náklady) jakýchkoli oznamovacích povinností, které se na ni vztahují podle platných právních předpisů o ochraně údajů vůči orgánům pro ochranu údajů a/nebo dotčeným subjektům údajů, (ii) bez zbytečného odkladu oznámí druhé straně, přičemž poskytne informace o bezpečnostním incidentu, které může druhá strana rozumně požadovat, nebo které jsou jinak vyžadovány pro to, aby druhá strana mohla určit, zda má také oznamovací povinnosti podle platných právních předpisů o ochraně údajů ve vztahu k bezpečnostnímu incidentu, a (iii) přijme všechna taková opatření a kroky, bez zbytečného odkladu, které jsou vhodné k nápravě a/nebo zmírnění účinků bezpečnostního incidentu.

Pokud a do jaké míry to vyžadují platné právní předpisy o ochraně údajů, kterým každá strana podléhá, každá strana provede jakékoli hodnocení dopadu na ochranu údajů ve vztahu k jejímu zpracování osobních údajů pro povolené účely a/nebo se poradí s příslušnými orgány pro ochranu údajů, pokud je to nutné. Každá strana poskytne veškerou přiměřenou spolupráci a informace, které druhá strana rozumně požaduje, pokud je to nezbytné k tomu, aby druhá strana mohla dokončit hodnocení dopadu na ochranu údajů a/nebo se poradit s příslušnými orgány pro ochranu údajů v souladu s povinnostmi druhé strany podle této části.

A. SEZNAM STRAN

Každá strana bude:

  • správcem údajů (a vývozcem údajů) shromážděných údajů, které zveřejní nebo zpřístupní druhé straně, a
  • správcem údajů (a dovozcem údajů) shromážděných údajů, které obdrží od druhé strany nebo k nimž má přístup, který je zpřístupněn druhé straně.

Podrobnosti o každé straně jsou uvedeny níže.

Název: Viz detaily vydavatele uvedené ve Smlouvě.

Adresa: Viz detaily vydavatele uvedené ve Smlouvě.

Jméno kontaktní osoby, pozice a kontaktní údaje: Viz detaily vydavatele uvedené ve Smlouvě nebo jinak dohodnuté mezi stranami písemně.

Aktivity relevantní k údajům převedeným podle těchto ustanovení: Přijetí Služeb, jak je uvedeno ve Smlouvě.

Podpis a datum: Tato Příloha A bude považována za podepsanou po přijetí těchto Podmínek ochrany soukromí vydavatele.

Role (správce/zpracovatel): Správce (pokud je to vývozce dat) a Správce (pokud je to dovozce dat)

 

Jméno: Viz detaily Tabooly uvedené v úvodu Smlouvy.

Adresa: Viz detaily Tabooly uvedené v úvodu Smlouvy.

Jméno kontaktní osoby, pozice a kontaktní údaje: Ochranný tým Tabooly: privacy@taboola.com.

Aktivity relevantní k údajům převedeným podle těchto ustanovení: Poskytování Služeb, jak je uvedeno ve Smlouvě.

Podpis a datum: Tato Příloha A bude považována za podepsanou po přijetí těchto Podmínek ochrany soukromí Tabooly.

Role (správce/zpracovatel): Správce (pokud je to vývozce dat) a Správce (pokud je to dovozce dat)

 

B. POPIS ZPRACOVÁNÍ A PŘENOSU 

Kategorie subjektů údajů, jejichž osobní údaje jsou zpracovávány a/nebo převedeny: Uživatelé

Kategorie osobních údajů zpracovávaných a/nebo převedených:

Device Data: Zařízení uživatele, prohlížeč a operační systém; informace o mobilním zařízení (všechna mobilní ID jsou hashována) včetně IDFAs a AAIDs; data cookie, která mohou být čtena nebo nasazena Taboolou (všechna ID cookie/użytk ID jsou hashována); IP adresy; hashované e-maily; odkazující web; jazyk uživatele; země / region / město. Pokud jsou mobilní aplikace součástí služeb, další prvky dat zahrnují zkrácené a nepřesné lat/long, typ připojení a rozměry obrazovky.

Data o digitálním majetku navštíveném uživatelem<43>: jak platforma zobrazila a zda uživatel interagoval s platformou; chování na webu nebo v aplikaci.

Pokud je součástí služeb Header Bidding, platí následující:

  • Data o Bid Request / Bid Response: Jedinečné ID žádosti o nabídku, objekt IMP představující nabízenou impresi, web nebo aplikace vydavatele, aplikace, zařízení, typ aukce, maximální čas, měna, blokované kategorie, ID zařízení, ID uživatele Taboola, partneři volající značky: URL.

Pokud jde o Taboola Newsroom, platí následující:

  • Události z webu vydavatele: Data o konverzi
  • Informace o prohlížeči uživatele přečtené z uživatelského agenta: URL navštívené stránky, odkazující web, operační systém, typ prohlížeče a verze prohlížeče, asociované hashované ID uživatele Taboola přečtené z cookie, asociovaná IP adresa, (zkráceno po 30 dnech).

Citlivé údaje přenesené (pokud je to relevantní) a aplikovaná omezení nebo ochranná opatření, která plně zohledňují povahu údajů a s nimi spojená rizika, jako například přísné omezení účelu, omezení přístupu (včetně přístupu pouze pro zaměstnance, kteří absolvovali specializované školení), vedení záznamu o přístupu k údajům, omezení pro další přenosy nebo dodatečná bezpečnostní opatření: Není relevantní.

Frekvence zpracování a/nebo přenosů (např. zda jsou údaje zpracovávány a/nebo přenášeny jednorázově nebo kontinuálně): Kontinuálně po dobu trvání Smlouvy.

Povaha zpracování: Zpracování osobních údajů nezbytných pro poskytování služeb, jak je uvedeno ve Smlouvě.

Účel(y) zpracování údajů / přenosu a dalšího zpracování: Poskytování Služeb, jak je uvedeno ve Smlouvě. Aby nedošlo k pochybnostem, povolené účely zahrnují: (i) ukládání a/nebo přístup k informacím na zařízení; (ii) výběr základních reklam; (iii) vytváření personalizovaného profilu reklam; (iv) výběr personalizovaných reklam; (v) vytváření personalizovaného obsahu; (vi) výběr personalizovaného obsahu; (vii) měření výkonu reklam; (viii) měření výkonu obsahu; (ix) vývoj a zlepšování produktů; (x) zajištění bezpečnosti, prevence podvodů a odstraňování chyb; (xi) technické doručování reklam nebo obsahu; (xii) párování a kombinování offline datových zdrojů; (xiii) propojení různých zařízení; (xiv) přijímání a používání automaticky zasílaných charakteristik zařízení pro identifikaci; (xv) používání omezených dat k výběru obsahu a (xvi) ukládání a komunikace voleb ochrany soukromí.

Pokud jde o Taboola Newsroom, platí následující: (i) sledování událostí konverze předplatného.

Pokud jde o Taboola Push, platí následující dodatečný účel: (i) zasílání oznámení na zařízení uživatele.

Pokud je Header Bidding součástí služeb, platí následující dodatečný účel: (i) určení, zda se ucházet o umístění a poskytovat personalizovaná doporučení.

Pokud je Home Page 4 You součástí služeb, platí následující dodatečný účel: (i) automatizace a kurátorství obsahu vydavatelů v rámci určených digitálních domovských stránek.

Období, po které budou osobní údaje uchovávány, nebo, pokud to není možné, kritéria použitá k určení tohoto období:

  • Taboola: Surová data jsou uchovávána maximálně 13 měsíců.
  • Inzerent: Tak dlouho, jak je to nezbytné pro příjem služeb nebo jak je jinak uvedeno ve Smlouvě.

Pro přenosy k (sub-)zpracovatelům, také specifikujte předmět, povahu a dobu zpracování: Není relevantní.

 

C. KOMPETENTNÍ DOZOROVÝ ORGÁN

Příslušný dozorový orgán, kde se uplatňuje EU GDPR: Příslušný dozorový orgán pro každou stranu je popsán níže:

  • Taboola: Příslušný dozorový orgán bude určen v souladu s článkem 13 EU SCCs.
  • Inzerent: Příslušný dozorový orgán bude určen v souladu s článkem 13 EU SCCs.

Příslušný dozorový orgán, kde se uplatňuje UK GDPR: Úřad pro ochranu osobních údajů

Popis technických a organizačních opatření, která každá strana implementovala (včetně jakýchkoli relevantních certifikací), aby zajistila odpovídající úroveň bezpečnosti, přičemž se zohledňuje povaha, rozsah, kontext a účel zpracování a rizika pro práva a svobody fyzických osob.

Opatření pro pseudonymizaci a šifrování osobních údajů: Taboola shromažďuje pouze pseudonymizovaná data, což znamená, že nevíme, kdo jste, protože neznáme ani nezpracováváme jméno, e-mailovou adresu nebo jiné identifikovatelné údaje uživatele. Informace o uživateli, které shromažďujeme, zahrnují, ale nejsou omezeny na, informace o zařízení uživatele a operačním systému, IP adresu, webové stránky, které uživatelé navštívili na webových stránkách našich zákazníků, odkaz, který vedl uživatele na webovou stránku zákazníka, data a časy, kdy uživatel přistupuje na webové stránky zákazníka, a další údaje o procházení webu. CookieID je anonymizováno pomocí Bcrypt a IP adresa je zkrácena.

Opatření pro zajištění trvalé důvěrnosti, integrity, dostupnosti a odolnosti zpracovatelských systémů a služeb: Taboola používá více úrovní elektronické bezpečnosti (např. zabezpečení koncových bodů, zabezpečení na straně serveru, sledování detekcí, periodické penetrační testy a hluboké shromažďování informací pro přezkoumání událostí po události).

Opatření pro zajištění schopnosti obnovit dostupnost a přístup k osobním údajům včas v případě fyzického nebo technického incidentu: Taboola udržuje 9 datových center po celém světě. Každé datové centrum je používáno jako replikace jednoho druhého, takže pokud jedno selže, data mohou být extrahována z jiného datového centra.

Procesy pro pravidelné testování, hodnocení a vyhodnocování účinnosti technických a organizačních opatření za účelem zajištění bezpečnosti zpracování: Taboola udržuje přísné procesy pro testování účinnosti svých kontrol (jak technických, tak organizačních). Máme zavedené systémové protokolování a monitorování, měsíční (alespoň) testování DR, čtvrtletní penetrační testy, firewally chránící web a honeypoty rozložené po síti pro odhalení jakékoli škodlivé činnosti. Kromě toho máme zavedený program odměn, který nám pomáhá neustále monitorovat naši síť.

Opatření pro identifikaci a autorizaci uživatelů: Každý uživatel v Taboola je spojen s dedikovaným uživatelským jménem a heslem. Každý přístup do interní sítě Taboola je prováděn s 2FA pomocí Google autentizace. Uživatelé jsou vytvářeni pouze IT oddělením, během procesu onboardingu a pouze po obdržení všech podrobností a podepsané smlouvy od HR oddělení.

Opatření pro ochranu dat během přenosu: Taboola podporuje jakýkoli přenos dat prostřednictvím bezpečných přenosových protokolů (HTTPS a TLS v1.2 jako minimum). Kromě toho jsou systémy, které by mohly obsahovat PII, zabezpečeny a data jsou uchovávána hashována a anonymizována.

Opatření na ochranu dat během jejich ukládání: Data, která jsou uložena v našich databázích, jsou anonymizována a hashována pomocí Bcrypt. Přístup k databázi je minimalizován a založen na principu ‚business need to know‘.

Opatření pro zajištění fyzické bezpečnosti míst, kde jsou zpracovávány osobní údaje: Každé z globálních datových center Taboola (v USA, Evropě a Asii) má všechny své servery umístěny v uzamčených skříních, které jsou udržovány výhradně pro použití Taboola. Tyto skříně jsou udržovány společnostmi, které jsou buď certifikovány podle SOC2, nebo Taboola přezkoumala jejich bezpečnostní opatření. Dále je k serverům vyžadován písemný, zaznamenaný souhlas pro jakýkoli přístup. Všechny kanceláře Taboola jsou také kontrolovány a vyžadují, aby zaměstnanci používali přístupové karty pro vstup. Kromě toho má přístup k serverům Taboola pouze omezený počet zaměstnanců a jakýkoli přístup také vyžaduje písemný, zaznamenaný souhlas.

Opatření pro zajištění logování událostí: Taboola implementuje monitorovací nástroje a logy jsou shromažďovány do našeho SIEM systému, který nás upozorňuje na jakoukoli podezřelou událost a také je monitorován týmem NOC.

Opatření pro zajištění konfigurace systému, včetně výchozí konfigurace: Servery jsou skenovány na odchylky v konfiguraci a úrovni záplat. Reporting a/nebo upozornění jsou nastavena na obě a relevantní úroveň záplat je potvrzena. Nové záplaty jsou distribuovány pomocí Puppet. Všechny technické revize jsou řízeny prostřednictvím aplikace R&D a získávány prostřednictvím formálního procesu revize (QA) po implementaci kódování a CI/CD procesů.

Opatření pro interní IT a řízení a správu IT bezpečnosti: Taboola je certifikována podle ISO 27001:2013 a 27701. Taboola má zavedenou politiku informační bezpečnosti, která uvádí, že představenstvo a vedení Taboola se zavazují zachovat důvěrnost, integritu a dostupnost všech fyzických a elektronických informačních aktiv v celé organizaci. Taboola pořádá školení v oblasti bezpečnosti pro všechny nové zaměstnance, školení proti phishingu pro všechny zaměstnance globálně a pravidelná školení v oblasti bezpečnosti pro všechny zaměstnance a také věnuje sezení pro skupiny R&D.

Opatření pro certifikaci/zajištění procesů a produktů: Čtvrtletní / pololetní / roční interní audit více procesů a systémů k ověření, že Taboola dodržuje své bezpečnostní cíle a definovaná opatření.

Opatření pro zajištění minimalizace dat: Taboola záměrně omezuje data, která shromažďujeme, jako součást globálních principů minimalizace dat Taboola, které zpracovávají pouze omezená data potřebná pro naše specifické obchodní účely. Kromě toho Taboola nemá schopnost ani obchodní potřebu “reverzního inženýrství” jakýchkoli datových bodů použitých v našem algoritmu za účelem poskytování našich služeb. Konkrétně, datové body, které Taboola shromažďuje, nikdy neindikují identitu uživatele — protože Taboola neshromažďuje ani nezpracovává informace jako jméno uživatele, telefonní číslo, e-mail nebo fyzické adresy. Místo toho Taboola shromažďuje pouze pseudonymní identifikátory, které pouze identifikují charakteristiky zařízení uživatele. To zahrnuje IP adresy (které jsou zkráceny při shromažďování a mohou pouze identifikovat obecnou polohu poštovního směrovacího čísla zařízení, ale nikdy přesnou geolokaci) a v některých omezených případech hashované e-mailové adresy (které jsou inherentně nevratné a nelze je dešifrovat, aby se odhalila původní e-mailová adresa). Navíc, i když jsou použita kolektivně, data, která shromažďujeme, nikdy nemohou produkovat jméno, telefonní číslo, e-mail nebo fyzickou adresu jednotlivce, a naši inženýři nepracují žádným způsobem na dosažení tohoto cíle. Kromě toho Taboola provádí a zaznamenává hodnocení dopadu na ochranu soukromí ve snaze minimalizovat rizika související s ochranou soukromí našich služeb, procesů a politik.

Opatření pro zajištění kvality dat: Data jsou shromažďována přímo od uživatele a uživatel má možnost opravit jakákoli data spojená s jeho CookieID prostřednictvím Portálu žádosti o přístup k údajům Taboola: https://accessrequest.taboola.com/access

Opatření pro zajištění omezené doby uchovávání dat: Uchováváme informace o uživatelských údajích, které jsou přímo shromažďovány pro účely zobrazování reklam, maximálně po dobu třinácti (13) měsíců od poslední interakce uživatele s našimi službami (často na kratší dobu), po které anonymizujeme data odstraněním jedinečných identifikátorů nebo agregováním dat. Tento proces probíhá automaticky.

Opatření pro zajištění odpovědnosti: Taboola provádí více bezpečnostních auditů a penetrační testování (ale ne pro všechny systémy). Taboola také využívá cloudové poskytovatele, kteří jsou certifikováni podle ISO a kteří splňují další certifikace relevantní pro cloud pro udržení fyzických zabezpečení serveru.

Opatření pro umožnění přenositelnosti dat a zajištění vymazání: Taboola se týká likvidace médií stejně pro všechny druhy médií, protože by mohla obsahovat osobní identifikovatelné informace (PII). Jakékoli médium musí být před opětovným použitím nebo likvidací zcela vymazáno. Jakákoli likvidace médií je zdokumentována. Zaměstnanci jsou instruováni, aby netiskli žádné papíry, které by mohly obsahovat osobní informace.

  1. Pokud strana provede omezený přenos shromážděných údajů na druhou stranu, budou do těchto Podmínek ochrany soukromí vydavatele zahrnuty Standard Contractual Clauses a budou platit následovně:

a. pokud je omezený přenos omezeným přenosem EU, budou se mezi stranami uplatňovat Standard Contractual Clauses EU následovně:

  1. (i) Modul jedna se bude uplatňovat;
  2. (ii) v doložce 7 se bude uplatňovat volitelná dokovací doložka;
  3. (iv) v doložce 11 se volitelný jazyk nebude uplatňovat;
  4. (v) v doložce 17 se uplatní možnost 1 a Standard Contractual Clauses EU se budou řídit irským právem;
  5. (vi) v doložce 18(b) se spory vyřeší před soudy v Irsku;
  6. (vii) Části A, B a C přílohy I se považují za vyplněné informacemi uvedenými v částech A, B a C přílohy A k těmto Podmínkám ochrany soukromí vydavatele; a
  7. (vii) Příloha II se považuje za vyplněnou bezpečnostními opatřeními uvedenými v příloze B k těmto Podmínkám ochrany soukromí vydavatele;

b. pokud je omezený přenos omezeným přenosem UK, bude se mezi stranami uplatňovat dodatek UK následovně:

(i) Standard Contractual Clauses EU, vyplněné jak je uvedeno výše, se budou uplatňovat mezi stranami a budou upraveny dodatkem UK (vyplněným jak je uvedeno v poddoložce (ii) níže); a

(ii) tabulky 1 až 3 dodatku UK se považují za vyplněné relevantními informacemi ze standardních smluvních doložek EU, vyplněnými jak je uvedeno výše, a možnosti “Exportér” a “Importér” se považují za zaškrtnuté v tabulce 4. Datum zahájení dodatku UK (jak je uvedeno v tabulce 1) bude datem účinnosti těchto Podmínek ochrany soukromí vydavatele.

2. Další omezené přenosy: Žádná strana neprovádí další omezený přenos shromážděných údajů, které obdržela od druhé strany, pokud neprovedla všechny potřebné úkony a věci, aby zajistila, že takový další omezený přenos je v souladu s platným právem na ochranu údajů a jakýmikoli standardními smluvními doložkami, které dohodla s druhou stranou.