Data Beskyttelsestillæg for RTB og Programmatiske partnere
Last Update: May 29, 2024
Data Beskyttelsestillæg for RTB og Programmatiske partnere
Ikrafttrædelsesdato: 29. maj 2024
For at sikre, at Taboola har passende databeskyttelsesvilkår på plads med vores Programmatic og RTB-partnere (hver især en “Partner”) Taboola leverer dette databeskyttelsestillæg (”DPA”).
Denne DPA supplerer automatisk og udgør en del af den eksisterende kontraktlige forretningsaftale mellem Partner og Taboola vedrørende levering af RTB og programmatiske tjenester (“Underliggende aftale”).
Alle kapitaliserede udtryk, der bruges i denne DPA, men som ikke er defineret i denne DPA, har de betydninger, der er givet dem i den underliggende aftale. I tilfælde af konflikt mellem denne DPA og den underliggende aftale har denne DPA forrang i omfanget af den pågældende konflikt.
1. Definitioner
“Gældende databeskyttelseslove“Betyder alle gældende føderale, nationale, statslige eller andre love om privatliv og databeskyttelse, som kan blive ændret eller erstattet fra tid til anden, herunder, hvis det er relevant og uden begrænsning, CCPA (som defineret nedenfor) og europæiske databeskyttelseslove.
“CCPA” betyder Californiens forbrugerfortrolighedslov (Cal. Civ. Code §§ 1798.100 – 1798.199), som ændret ved Californiens lov om privatlivsrettigheder (Cal. Civ. Code §§ 1798.100 – 1798.199).
“Controller” betyder en enhed, der bestemmer formålene og midlerne til behandling af personoplysninger, og omfatter enhver enhed, der behandler personoplysninger som en “virksomhed” eller “tredjepart” i henhold til CCPA og CPRA.
“Databeskyttelsesramme” eller ”DPF” betyder EU-USA. databeskyttelsesramme og Storbritanniens udvidelse af EU-USA’s DPF som fastsat af USA. Department of Commerce.
“Europæisk databeskyttelseslovgivning” betyder EU’s databeskyttelseslovgivning og UK’s databeskyttelseslovgivning.
“EU’s databeskyttelseslove” betyder: (i) EU-forordning 2016/679 (“EU GDPR“); (ii) EU-direktiv 2002/58/EF; og (iii) de nationale love i hver EØS-medlemsstat, der er vedtaget i henhold til, i overensstemmelse med eller som implementerer (i) eller (ii), eller som på anden måde vedrører behandlingen af personoplysninger; i hvert tilfælde som ændret eller erstattet fra tid til anden.
“Personoplysninger” betyder alle oplysninger om en identificeret eller identificerbar fysisk person og omfatter alle oplysninger, der er defineret som “personoplysninger” eller “personlige oplysninger” som defineret i gældende databeskyttelseslove.
“Tilladt formål” betyder de realtidsbudformål, der vedrører køb og salg af onlineannoncer i overensstemmelse med den underliggende aftale, for hvilke Taboola videregiver eller på anden måde stiller delte data til rådighed for partneren til behandling, som angivet i bilag I.
“Begrænset overførsel” betyder: (i) hvor EU GDPR finder anvendelse, en overførsel af personoplysninger fra EØS til et land uden for EØS, som ikke er underlagt en tilstrækkelighedsbeslutning fra Europa-Kommissionen (“EU-begrænset overførsel“); og (ii) hvor UK GDPR finder anvendelse, en overførsel af personoplysninger fra Det Forenede Kongerige til ethvert andet land, som ikke er underlagt eller baseret på tilstrækkelighedsforskrifter i henhold til § 17A i Det Forenede Kongeriges databeskyttelseslov af 2018 (“UK-begrænset overførsel“).
“Sikringshændelse” betyder et brud på sikkerheden, der fører til utilsigtet eller ulovlig destruktion, tab, ændring, uautoriseret videregivelse af eller adgang til delte data.
“Sælg” og “del” skal have de betydninger, der er fastsat i CCPA og CPRA og deres gennemførelsesbestemmelser.
“Delte data” betyder de kategorier af personoplysninger, der er anført i bilag I til denne DPA.
“Standard Contractual Clauses” betyder: (i) hvor EU GDPR finder anvendelse, de kontraktlige bestemmelser, der er knyttet som bilag til Europa-Kommissionens gennemførelsesafgørelse 2021/914 af 4. juni 2021 om standard contractual clauses for overførsel af personoplysninger til tredjelande i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679 (”EU SCC’er”); og (ii) hvor UK GDPR finder anvendelse, “Tillæg til EU-Kommissionens Standard Contractual Clauses om international dataoverførsel”, der er udstedt af Informationskommissæren i henhold til § 119A(1) i DPA 2018 (“UK Addendum”).
“UK’s databeskyttelseslove” betyder: (i) EU GDPR, da den udgør en del af UK’s lovgivning i henhold til paragraf 3 i European Union (Withdrawal) Act 2018 (“UK GDPR“); (ii) Privacy and Electronic Communications (EC Directive) Regulations 2003; (iii) Data Protection Act 2018; og (iv) andre love i Storbritannien, der er vedtaget i henhold til, i overensstemmelse med eller som implementerer (i) eller (ii), eller som på anden måde vedrører behandling af personoplysninger; i hvert tilfælde som ændret eller erstattet fra tid til anden.
2. Videregivelse af data
Med forbehold af partnerens overholdelse af den underliggende aftale og denne DPA, vil Taboola videregive eller på anden måde stille de delte data til rådighed for partneren, så partneren kan behandle dem udelukkende til det tilladte formål.
3. Parternes forhold
Parterne anerkender, at Taboola er dataansvarlig for de delte data, som den videregiver til partneren, og at partneren vil behandle de delte data som dataansvarlig udelukkende til det tilladte formål.
4. Partnerens forpligtelser
Partneren garanterer, bekræfter og forpligter sig til, at:
(a) den vil til enhver tid kun behandle de delte data til det tilladte formål og i overensstemmelse med gældende databeskyttelseslove;
(b) den har ingen grund til at tro, at gældende databeskyttelseslove forhindrer den i at opfylde sine forpligtelser med hensyn til behandling af delte data til det tilladte formål;
(c) hvis partneren vurderer, at den ikke er i stand til at behandle delte data til det tilladte formål i overensstemmelse med gældende databeskyttelseslove, vil den straks underrette Taboola;
(d) den skal til enhver tid præsentere og opretholde en offentligt tilgængelig fortrolighedserklæring på sin hjemmeside, der er i overensstemmelse med kravene i gældende databeskyttelseslove, og som indeholder kontaktoplysninger, hvor registrerede kan rejse forespørgsler vedrørende databeskyttelse;
(e) den skal give registrerede mulighed for at udøve deres databeskyttelsesrettigheder i overensstemmelse med gældende databeskyttelseslove, herunder (uden begrænsning) deres ret til at gøre indsigelse mod behandling af deres delte data;
(f) med hensyn til enhver behandling af delte data, der er beskyttet i henhold til europæiske databeskyttelseslove, skal den:
(g) behandle delte data kun, hvis den har samtykke til at gøre det, i overensstemmelse med kravene i europæiske databeskyttelseslove; og
(h) den skal implementere passende tekniske og organisatoriske foranstaltninger, herunder som minimum de foranstaltninger, der er fastsat i bilag II, for at beskytte de delte data mod en sikkerhedshændelse.
5. Rimelige og passende foranstaltninger
Taboola kan træffe rimelige og passende foranstaltninger for at sikre, at partneren behandler de delte data i overensstemmelse med den underliggende aftale og denne DPA på en måde, der er i overensstemmelse med gældende databeskyttelseslove.
Hvis partneren ikke overholder den underliggende aftale, denne databehandleraftale eller gældende databeskyttelseslove, træffer Taboola rimelige og passende foranstaltninger for at stoppe og afhjælpe uautoriseret brug af delte data (herunder suspension eller ophør af videregivelse af delte data til partneren).
6. Overholdelse af gældende lov
Partneren skal overholde gældende databeskyttelseslove og skal yde samme niveau af privatlivsbeskyttelse for de delte data som krævet i henhold til gældende databeskyttelseslove.
7. Samarbejdsforpligtelse
Hvis en af parterne modtager korrespondance, forespørgsel eller klage fra en registreret, tilsynsmyndighed eller anden tredjepart (“Korrespondance“) vedrørende (a) videregivelse af de delte data til det tilladte formål, eller (b) den anden parts behandling af delte data, skal den straks informere den anden part om alle detaljer og parterne skal samarbejde rimeligt og i god tro for at besvare korrespondancen i overensstemmelse med eventuelle krav i henhold til gældende databeskyttelseslovgivning.
8. Begrænsede overførsler fra EU og UK
I det omfang, at enhver overførsel af delte data fra Taboola til partneren er en begrænset overførsel, skal Standard Contractual Clauses indarbejdes i denne databehandleraftale og gælde som følger:
(a) hvor den begrænsede overførsel er en begrænset overførsel fra EU, vil EU SCC’er finde anvendelse mellem Taboola (som dataeksportør) og partneren (som dataimportør) som følger:
(i) Modul et finder anvendelse;
(ii) i paragraf 7 finder den valgfrie dokningsklausul anvendelse;
(iii) I paragraf 11 finder det valgfrie sprog ikke anvendelse.
(iv) I paragraf 17 finder mulighed 1 anvendelse, og EU SCC’erne vil være underlagt irsk lov.
(v) I paragraf 18(b) skal tvister afgøres ved Irlands domstole.
(vi) I bilag I:
(A) Del A og B anses for at være udfyldt med de oplysninger, der er anført i bilag A til denne DPA.
(B) Del C anses for at være udfyldt i overensstemmelse med de kriterier, der er fastsat i paragraf 13(a) i EU SCC’erne.
(vii) Bilag II anses for at være udfyldt med de sikkerhedsforanstaltninger, der er anført i bilag B til denne DPA.
(b) Hvis den begrænsede overførsel er en begrænset overførsel i henhold til UK, finder UK-tillægget anvendelse mellem parterne som følger:
(i) EU SCC’erne, udfyldt som angivet ovenfor, finder anvendelse mellem parterne og ændres af UK-tillægget (udfyldt som angivet i underpunkt (ii) nedenfor).
(ii) tabellerne 1 til 3 i UK-tillægget anses for at være udfyldt med relevante oplysninger fra EU SCC’erne, udfyldt som angivet ovenfor, og indstillingerne “Eksportør” og “Importør” anses for at være markeret i tabel 4. Datoen for ikrafttrædelsen af UK Addendum (som angivet i tabel 1) er ikrafttrædelsesdatoen for denne DPA.
Partneren må ikke foretage en viderebefordring af begrænsede overførsler af delte data til tredjemand, medmindre den har foretaget alle de nødvendige handlinger for at sikre, at den begrænsede overførsel er i overensstemmelse med gældende databeskyttelseslovgivning og eventuelle Standard Contractual Clauses, som den har indgået med Taboola.
Uanset ovenstående er overførsler af delte data til partneren, der er foretaget i henhold til DPF, ikke en begrænset overførsel, hvis partneren har certificeret og overholder DPF. I så fald skal partneren straks underrette Taboola, hvis den ikke overholder sin DPF-certificering, eller hvis dens DPF-certificering bortfalder eller på anden måde bliver ugyldig, i hvilket tilfælde:
a) alle overførsler af delte data fra Taboola til partneren straks anses for at være en begrænset overførsel, og bestemmelserne om begrænsede overførsler ovenfor finder anvendelse; og
b) Taboola efter eget skøn kan vælge at suspendere eller bringe overførsler af delte data til partneren til ophør uden straf.
9. Skadesløsholdelse
Partner skal forsvare Taboola og dets direktører, ledere, medarbejdere, agenter og kunder (“Taboola-fritagelser”) fra og mod alle krav, påstande, retssager, procedurer og handlinger, der er anlagt af tredjemand i forbindelse med en påstand om, at partneren har overtrådt denne DPA eller gældende databeskyttelseslove, og skal holde Taboola-skadesløsholdelsesmodtagerne skadesløse for alle skader, tab, omkostninger og udgifter (herunder rimelige advokatsalærer), som Taboola-skadesløsholdelsesmodtagerne har lidt som følge af eller som følge af et sådant krav.
10. Diverse
Partneren er eneansvarlig for sin egen overholdelse af gældende databeskyttelseslovgivning i forbindelse med behandlingen af de delte data.
I tilfælde af ændringer i gældende databeskyttelseslove kan Taboola ændre og opdatere denne DPA, hvor og i det omfang det er nødvendigt for at overholde sådanne ændringer i gældende databeskyttelseslove.
Med virkning fra datoen for denne DPA’s ikrafttræden skal henvisninger til “Aftalen” i denne DPA eller den underliggende aftale forstås som den underliggende aftale suppleret med denne DPA.
BILAG I
Beskrivelse af datadeling
A. LISTE OVER PARTER
| Taboola - Data exporter(s) | |
|---|---|
| Name: | See Taboola’s details set out in the Underlying Agreement. |
| Address: | See Taboola’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | privacy@taboola.com |
| Activities relevant to the data transferred under these Clauses: | Disclosure of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
| Partner - Data importer: | |
|---|---|
| Name: | See Partner’s details set out in the Underlying Agreement. |
| Address: | See Partner’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | See Partner’s details set out in the Underlying Agreement. |
| Activities relevant to the data transferred under these Clauses: | Receipt and processing of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
B. BESKRIVELSE AF OVERFØRSEL
| Description of Transfer | |
|---|---|
| Categories of data subjects whose personal data is transferred | Visitors to digital properties (such as websites and mobile applications) owned by customers of Taboola and who have integrated Taboola’s advertising technologies on those properties. |
| Categories of personal data transferred | Pre-partnership Integration: Unique User IDs from RTB partners Cookie match / sync / table (either Taboola or Partner can host and the non-hosting party must share data points) Bid request includes: Unique ID of the bid request (provided by the exchange) IMP object representing the impression offered Publisher site or app represented App Device Auction Type Maximum Time Currency Blocked Categories Device ID Taboola User ID Calling Tag Partners: URL |
| Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures | Not applicable. |
| The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis) | Continuous for the duration of the Underlying Agreement. |
| Nature of the processing | Processing of Shared Data by Partner for the purposes of real-time bidding in order to buy and sell advertising inventory on digital properties of Taboola’s customers. |
| Purpose(s) of the data transfer and further processing | Partner processes Shared Data, for the following purposes: Serve personalized and behavioral recommendations. Determine whether to bid on a placement and serve personalized recommendations. |
| The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period | For the duration of the Underlying Agreement and as otherwise required by applicable law. |
| For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing | Not applicable. |
C. KOMPETENT TILLYDELSESMYNDIGHED
| Competent Supervisory Authority | |
|---|---|
| Competent supervisory authority where the EU GDPR applies | The competent supervisory authority shall be determined in accordance with Clause 13 of Module 1 of the EU Standard Contractual Clauses. |
| Competent supervisory authority where the UK GDPR applies | The Information Commissioner’s Office |
BILAG II
Sikkerhedsforanstaltninger
Beskrivelse af de tekniske og organisatoriske foranstaltninger, der er implementeret af hver part (herunder eventuelle relevante certificeringer) for at sikre et passende sikkerhedsniveau under hensyntagen til arten, omfanget, sammenhængen og formålet med behandlingen samt risiciene for fysiske personers rettigheder og frihedsrettigheder. Partneren erklærer og garanterer, at den har passende tekniske og organisatoriske foranstaltninger, der i det væsentlige svarer til Taboolas sikkerhedsforanstaltninger, der er angivet nedenfor.
Foranstaltninger til pseudonymisering og kryptering af personoplysninger: Taboola indsamler kun pseudonymiserede data, hvilket betyder, at vi ikke ved, hvem du er, fordi vi ikke kender eller behandler brugerens navn, e-mailadresse eller andre identificerbare data. De brugeroplysninger, vi indsamler, omfatter bl.a. oplysninger om en brugers enhed og styresystem, IP-adresse, de websider, som brugerne har adgang til på vores kunders websteder, det link, der førte en bruger til en kundes websted, datoer og klokkeslæt, hvor en bruger har adgang til en kundes websted, samt andre webbrowserdata. CookieID er anonymiseret ved hjælp af Bcrypt, og IP-adressen er afkortet.
Foranstaltninger til sikring af løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed af behandlingssystemer og -tjenester: Taboola bruger flere niveauer af elektronisk sikkerhed (f.eks. slutpunktssikkerhed, serverside-sikkerhed, sporing af registreringer, periodiske indtrængningstest og dyb efterretningsindsamling til gennemgang af hændelser efter døden).
Foranstaltninger til at sikre evnen til at gendanne tilgængeligheden og adgangen til personoplysninger i tide i tilfælde af en fysisk eller teknisk hændelse: Taboola har 9 datacentre i drift over hele verden. Hvert datacenter bruges som en replikation af hinanden, så hvis et datacenter går ned, kan dataene hentes fra et andet datacenter.
Processer til regelmæssig testning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger for at sikre behandlingen sikkerhed: Taboola opretholder strenge processer til testning af effektiviteten af sine kontroller (både tekniske og organisatoriske). Vi har systemlogning og overvågning på plads, månedlig (mindst) DR-test, kvartalsvise indtrængningstest, firewalls, der beskytter internettet, og honeypots spredt over netværket for at finde eventuel skadelig aktivitet. Desuden har vi et bounty-program på plads, som hjælper os med konstant at overvåge vores netværk.
Foranstaltninger til brugeridentifikation og godkendelse: Hver bruger i Taboola er tilknyttet et dedikeret brugernavn og en adgangskode. Enhver adgang til Taboolas interne netværk sker med 2FA ved hjælp af Google-godkendelse. Brugere oprettes kun af it-afdelingen under onboardingprocessen og kun efter at have modtaget alle detaljer og en underskrevet kontrakt fra HR-afdelingen.
Foranstaltninger til beskyttelse af data under overførsel: Taboola understøtter enhver dataoverførsel gennem sikre overførselsprotokoller (HTTPS og TLS v1.2 som minimum). Desuden sikres systemer, der kan indeholde PII, og data opbevares i hashed og anonymiseret form.
Foranstaltninger til beskyttelse af data under opbevaring: Data, der gemmes i vores databaser, anonymiseres og hashes ved hjælp af Bcrypt. Adgangen til databasen minimeres og er baseret på princippet om “forretningens behov for at vide”.
Foranstaltninger til sikring af den fysiske sikkerhed på steder, hvor personoplysninger behandles: Hvert af Taboolas globale datacentre (i USA, Europa og Asien) har alle sine servere placeret i låste skabe, der udelukkende vedligeholdes til Taboolas brug. Disse skabe vedligeholdes af virksomheder, der enten er SOC2-certificerede, eller som Taboola har gennemgået deres sikkerhedsforanstaltninger. Endvidere kræver enhver adgang til serverne skriftlig, logget tilladelse. Alle Taboola-kontorer er også kontrolleret, og kræver, at medarbejderne bruger adgangskort for at komme ind. Desuden har kun et begrænset antal medarbejdere adgang til Taboolas servere, og enhver adgang kræver også skriftlig, logget tilladelse.
Foranstaltninger til sikring af logføring af hændelser: Taboola implementerer overvågningsværktøjer, og logge indsamles til vores SIEM-system, som advarer os om enhver mistænkelig hændelse og også overvåges af NOC-teamet.
Foranstaltninger til sikring af systemkonfiguration, herunder standardkonfiguration: Servere scannes for både konfigurationsforskelle og programrettelser. Der er indstillet rapportering og/eller advarsler på begge, og relevant programretningsniveau bekræftes. Nye programrettelser distribueres ved hjælp af Puppet. Alle tekniske gennemgange styres via R&D-applikationen og opnås gennem en formel gennemgangsproces (QA), efter at kodning og CI/CD-processer er implementeret.
Foranstaltninger til intern IT og IT-sikkerhedsstyring og -ledelse: Taboola er ISO/IEC 27001:2013 og ISO/IEC 27701:2019 certificeret. Taboola har en informationssikkerhedspolitik, som fastslår, at bestyrelsen og ledelsen af Taboola er forpligtet til at bevare fortroligheden, integriteten og tilgængeligheden af alle fysiske og elektroniske informationsaktiver i hele organisationen. Taboola afholder sikkerhedstræning for alle nye medarbejdere, phishing-træning for alle medarbejdere globalt og regelmæssig sikkerhedstræning for alle medarbejdere samt dedikerede sessioner for forsknings- og udviklingsgrupper.
Foranstaltninger til certificering/sikring af processer og produkter: Kvartalsvis/halvårlig/årlig intern revision af flere processer og systemer for at validere, at Taboola overholder sine definerede sikkerhedsmål og -foranstaltninger.
Foranstaltninger til sikring af dataminimering: Taboola begrænser bevidst de data, vi indsamler, som en del af Taboolas globale principper for dataminimering om kun at behandle de begrænsede data, der er nødvendige for vores specifikke forretningsformål. Desuden har Taboola ikke mulighed for eller forretningsmæssig grund til at “reverse engineer” nogen af de datapunkter, der bruges i vores algoritme for at levere vores tjenester. Mere specifikt er de data, som Taboola indsamler, aldrig en indikation af en brugers identitet – da Taboola ikke indsamler eller behandler oplysninger som brugerens navn, telefonnummer, e-mail eller fysiske adresser. I stedet indsamler Taboola kun pseudonyme identifikatorer, som kun identificerer egenskaber ved en brugers enhed. Dette omfatter IP-adresser (som afkortes ved indsamling og kun kan identificere enhedens generelle postnummer, men aldrig en præcis geolokalisering) og i nogle begrænsede tilfælde, hash-e-mail-adresser (som i sagens natur er irreversible og ikke kan dekrypteres for at afsløre den oprindelige e-mail-adresse). Desuden kan de data, vi indsamler, selv når de bruges samlet, aldrig producere en persons navn, telefonnummer, e-mail eller fysisk adresse, og vores ingeniører arbejder på ingen måde for at opnå dette mål. Derudover foretager og registrerer Taboola konsekvensanalyser for at minimere privatlivsrisici for vores tjenester, processer og politikker.
Foranstaltninger til sikring af datakvalitet: Dataene indsamles direkte fra brugeren, og brugeren får mulighed for at rette eventuelle data, der er knyttet til deres CookieID, via Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access
Foranstaltninger til sikring af begrænset dataopbevaring: Vi opbevarer brugeroplysninger, som indsamles direkte med henblik på annoncering, i højst tretten (13) måneder fra brugerens sidste interaktion med vores tjenester (ofte i en kortere periode), hvorefter vi fjerner identifikatorer eller aggregerer dataene. Denne proces sker automatisk.
Foranstaltninger til sikring af ansvarlighed: Taboola foretager flere sikkerhedstjek og penetrationstest (men ikke for alle systemer). Taboola bruger også cloud-udbydere, der er ISO-certificerede og overholder andre skybaserede certificeringer for at opretholde en servers fysiske sikkerhedsforanstaltninger.
Foranstaltninger til at tillade dataoverførsel og sikre sletning: Taboola er relateret til bortskaffelse af medier, der gælder for alle typer medier, da de kan indeholde personoplysninger. Alle medier skal slettes fuldstændigt, før de genbruges eller bortskaffes. Bortskaffelse af medier er dokumenteret. Medarbejdere får besked på ikke at udskrive papir, der kan indeholde personoplysninger.