Annoncørers privatlivsbetingelser

Last Update: November 14, 2025

Ikrafttrædelsesdato:  14. august 2023

Disse Taboola-betingelser for annoncørers privatliv (“Betingelser for annoncørers privatliv“) gælder for Taboolas digitale annoncetjenester, f.eks. når Taboola distribuerer annoncørens indhold via sin distributionsplatform, Taboola Dynamic Creative Optimization (DCO) eller GenAI Landing Page i henhold til en aftale mellem Taboola og en annoncør (“Aftale“), og disse betingelser for annoncørers privatliv anses for at være indarbejdet i og udgør en integreret del af en sådan aftale.  Disse betingelser for annoncørers privatliv identificerer Taboola og annoncørens roller og ansvar med hensyn til personoplysninger.

Hvis der er konflikt mellem annoncørens privatlivsbetingelser og aftalen, vil annoncørens privatlivsbetingelser være gældende i omfanget af den konflikt, medmindre den modstridende bestemmelse i aftalen udtrykkeligt refererer til den modstridende bestemmelse i disse annoncørers privatlivsbetingelser og angiver, at den har forrang over den modstridende bestemmelse.

Udtryk defineret i dette afsnit har de nedenfor anførte betydninger, og beslægtede udtryk skal fortolkes i overensstemmelse hermed. Store bogstaver, der bruges, men ikke defineret i annoncørens privatlivsbetingelser, har de betydninger, der er defineret i aftalen.

      1. Gældende databeskyttelseslove” betyder alle føderale, nationale, statslige eller andre love om privatliv og databeskyttelse, der gælder for behandling, som er genstand for aftalen og disse annoncørens vilkår, som kan blive ændret eller erstattet fra tid til anden.
      2. Indsamlede data” betyder de personoplysninger, som hver part indsamler fra registrerede på eller via deres servere eller netværk (herunder alle passivt indsamlede eller maskinlæsbare data, såsom data baseret på browsertype og enhedsidentifikatorer) i forbindelse med levering eller modtagelse af tjenesterne.
      3. Controller” betyder: (i) en enhed, der bestemmer formålene og midlerne til behandling af personoplysninger, og (ii) enhver person, der falder ind under begrebet “controller” (eller et i alt væsentligt tilsvarende udtryk) som defineret i gældende databeskyttelseslove.
      4. California Privacy Law” betyder Californiens forbrugerfortrolighedslov af 2018, Cal. Civil Code § 1798.100 ff. („CCPA“), som ændret (herunder ved California Privacy Rights Act) og enhver underordnet lovgivning og gennemførelsesbestemmelser.
      5. Registreret personbetyder: (i) en identificeret eller identificerbar fysisk person (og i denne sammenhæng er en identificerbar fysisk person en person, der direkte eller indirekte kan identificeres, især ved henvisning til en identifikator såsom navn, identifikationsnummer, lokaliseringsdata, en online-identifikator eller en eller flere faktorer, der er specifikke for den fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet for den pågældende fysiske person), og (ii) enhver person, der falder ind under begrebet “registreret person”, “forbruger” (eller et lignende udtryk) som defineret i databeskyttelseslovgivningen.
      6. EU’s databeskyttelseslovgivning” betyder: (i) EU’s generelle forordning om databeskyttelse (forordning 2016/679) (“EU GDPR“); (ii) EU’s direktiv om e-databeskyttelse (direktiv 2002/58/EF); og (iii) eventuelle nationale databeskyttelseslove, der er vedtaget i henhold til eller i overensstemmelse med (i) eller (ii), som til enhver tid kan blive ændret eller erstattet.
      7. Tilladte formål” har den betydning, der er angivet i afsnit 3.
      8. Personoplysninger“betyder alle oplysninger vedrørende en registreret (herunder, hvor det kræves af gældende databeskyttelseslovgivning, unikke browser- eller enhedsidentifikatorer), som angivet i bilag A, del B.
      9. Proces” betyder enhver operation eller række af operationer, der udføres på personoplysninger eller på sæt af personoplysninger, uanset om det sker ved hjælp af automatiserede midler eller ej, såsom indsamling, modtagelse, registrering, organisering, strukturering, brug, transmission, adgang, deling, videregivelse, overførsel, opbevaring, tilpasning eller ændring, hentning, konsultation, formidling eller på anden måde gjort tilgængelig, tilpasning eller kombination, aggregering, inferens, afledning, analyse, begrænsning, sletning, destruktion eller bortskaffelse eller anden håndtering af personoplysninger, herunder hvordan dette udtryk er defineret i henhold til gældende databeskyttelseslovgivning.
      10. Processor” betyder: (i) en enhed, der behandler personoplysninger på vegne af en dataansvarlig, og (ii) enhver person, der falder ind under definitionen af udtrykket “processor” (eller et i alt væsentligt tilsvarende udtryk) som defineret i gældende databeskyttelseslove.
      11. Begrænset overførsel” betyder: (i) hvor EU GDPR gælder, en overførsel af personoplysninger fra EØS til et land uden for EØS, som ikke er underlagt en tilstrækkelighedsbeslutning fra Europa-Kommissionen (“EU-begrænset overførsel“); og (ii) hvor UK GDPR gælder, en overførsel af personoplysninger fra Det Forenede Kongerige til et hvilket som helst andet land, som ikke er underlagt eller baseret på tilstrækkelighedsforskrifter i henhold til § 17A i Det Forenede Kongeriges databeskyttelseslov af 2018 (“UK-begrænset overførsel“).
      12. Salg” og “Salg” betyder at udveksle personoplysninger mod betaling eller anden værdifuld modydelse og omfatter, hvordan sådanne vilkår er defineret i gældende databeskyttelseslovgivning.
      13. Tjenester” betyder tjenester leveret af Taboola i henhold til aftalen med annoncøren.
      14. Sikringshændelse” betyder et brud på sikkerheden, der fører til utilsigtet eller ulovlig destruktion, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.
      15. Standard Contractual Clauses” betyder: (i) hvor EU GDPR finder anvendelse, de kontraktlige bestemmelser, der er knyttet som bilag til Europa-Kommissionens gennemførelsesafgørelse 2021/914 af 4. juni 2021 om standard contractual clauses for overførsel af personoplysninger til tredjelande i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679 (EU SCCs”); og (ii) hvor UK GDPR finder anvendelse, “Tillæg til international dataoverførsel til EU-Kommissionens Standard Contractual Clauses”, der er udstedt af Informationskommissæren i henhold til s.119A(1) i DPA 2018 (“UK Addendum”).
      16. Tredjepart” betyder en virksomhed, der fungerer som en dataansvarlig med hensyn til personoplysninger, og som ikke er den virksomhed, som den registrerede, hvis personoplysninger behandles, bevidst har interageret med; udtrykket omfatter, hvordan et sådant udtryk er defineret i henhold til gældende databeskyttelseslovgivning.
      17. UK-lovgivning om databeskyttelse” betyder: (i) den britiske lov om databeskyttelse fra 2018, (ii) den britiske GDPR (som defineret i s.3(10) i den britiske lov om databeskyttelse fra 2018) (“UK GDPR”), (iii) UK’s regler om privatliv og elektronisk kommunikation (EF-direktiv) fra 2003 og (iv) andre britiske love, der er vedtaget i henhold til eller i overensstemmelse med (i), (ii) eller (iii), som til enhver tid kan blive ændret eller erstattet.

Hver part skal behandle indsamlede data, som den indsamler eller modtager fra den anden part til de formål, der er angivet i bilag A, del B (“Tilladte formål”).  An annoncør accepterer, at Taboola vil behandle de indsamlede data, som det er tilladt i Taboola’s privatlivspolitik (som, for at undgå tvivl, også skal være et tilladt formål for Taboola).

I det omfang de indsamlede data kvalificeres som eller indeholder personoplysninger i henhold til gældende databeskyttelseslove, skal hver part behandle indsamlede data, som den indsamler eller modtager fra den anden part, som en dataansvarlig (hvilket kan omfatte, hvor Californiens privatlivslov finder anvendelse, som en tredjepart, hvor det er relevant).  Videregivelse (uanset om det er en overførsel eller via en part, der stiller data til rådighed for den anden part) af indsamlede data eller personoplysninger fra den ene part til den anden er videregivelse til tredjeparter.

      1. Hvis US eller en amerikansk stats databeskyttelseslov finder anvendelse på indsamlede data, herunder uden begrænsning Californiens privatlivslov, i det omfang Realize Pixels (tidligere navngivet som “Taboola Pixels”) anvendes i forbindelse med tjenesterne, behandler personoplysninger om en besøgende, fungerer Taboola som tredjepart for annoncøren for sådanne personoplysninger. Taboola skal behandle sådanne personoplysninger til de tilladte formål. Sådanne personoplysninger stilles kun til rådighed for Taboola til de tilladte formål.  Taboola vil yde samme niveau af databeskyttelse, som virksomheder kræver i henhold til gældende amerikanske databeskyttelseslove, herunder om nødvendigt Californiens privatlivslove. Taboola vil informere annoncøren inden for den tidsfrist, der kræves i henhold til gældende databeskyttelseslovgivning, hvis Taboola konstaterer, at de ikke længere kan opfylde deres forpligtelser i henhold til gældende databeskyttelseslove. Når annoncøren har givet besked til Taboola, har annoncøren ret til at tage rimelige og passende skridt til at stoppe og afhjælpe uautoriseret brug af personoplysninger, som annoncøren stiller til rådighed for Taboola.

Parterne anerkender, at nogle af eller alle de indsamlede data kan kvalificere sig som eller indeholde personoplysninger, og at gældende databeskyttelseslove derfor kan finde anvendelse på hver parts behandling af indsamlede data.  Hvis dette er tilfældet, og med forbehold af afsnit 7, er hver part individuelt ansvarlig for deres egen overholdelse af gældende databeskyttelseslove, herunder eventuelle krav om: (i) at give gennemsigtighed til registrerede, (ii) at have samtykke eller et andet lovligt grundlag for behandling og (iii) at stille et kontaktpunkt til rådighed, hvorigennem registrerede kan udøve deres databeskyttelsesrettigheder.

Hvis en af parterne foretager en begrænset overførsel af indsamlede data til den anden part, finder bestemmelserne i bilag C anvendelse.

7. Gennemsigtighed for besøgende på annoncørens landing page.

a. Taboola bruger Realize Pixels til at levere tjenesterne.  Uanset afsnit 5 skal annoncøren, i det omfang Taboola indsamler indsamlede data fra annoncørens digitale ejendomme (såsom websteder, mobilapplikationer eller på anden måde) ved hjælp af Realize Pixels, (i) give alle krævede gennemsigtighedsadvarsler til registrerede om Taboolas brug af Realize Pixels til at indsamle indsamlede data fra annoncørens digitale ejendomme til de tilladte formål og (ii) indhente (og efter anmodning til enhver tid fra Taboola give passende dokumentation for) den registreredes samtykke til sådan brug af Realize Pixels til de tilladte formål, i hvert tilfælde i overensstemmelse med kravene i gældende databeskyttelseslove.  Annoncørens forpligtelser i denne henseende omfatter at identificere Taboola og dets brug af Realize Pixels til de tilladte formål udtrykkeligt i de gennemsigtighedsadvarsler og samtykkepromp, som annoncøren giver til de registrerede, samt alle andre oplysninger, der kræves i henhold til gældende databeskyttelseslove, så Taboola lovligt kan levere sine tjenester gennem sådanne digitale ejendomme og behandle indsamlede data og personoplysninger til de tilladte formål. I det omfang annoncøren modtager Taboolas GenAI-landingssideservice, skal Taboola give en gennemsigtig meddelelse og indhente brugerens samtykke.

b. Efter skriftlig anmodning skal Taboola give annoncøren de nødvendige oplysninger om Realize Pixels og Taboolas behandling af indsamlede data gennem annoncørens digitale ejendomme, så annoncøren kan sikre, at dens meddelelses- og samtykkemekanismer er i overensstemmelse med gældende databeskyttelseslove.  Annoncøren må ikke aktivere nogen Realize Pixels, medmindre og indtil enhver nødvendig gennemsigtighed er blevet leveret, og alle nødvendige samtykker, der kræves i henhold til gældende databeskyttelseslove, er blevet indhentet.

c. Annoncøren skal endvidere give de registrerede oplysninger om, hvordan de kan udøve deres databeskyttelsesrettigheder i henhold til gældende databeskyttelseslove og give et kontaktpunkt, som de registrerede kan kontakte for at udøve deres rettigheder. Annoncøren skal straks underrette Taboola, hvis og i det omfang den modtager en anmodning om databeskyttelsesrettigheder vedrørende Taboolas behandling af indsamlede data som dataansvarlig, således at Taboola kan imødekomme anmodningen i overensstemmelse med sine forpligtelser i henhold til gældende databeskyttelseslovgivning.

Hvis Taboola efter annoncørens anmodning videregiver personoplysninger til annoncørens attributionspartner eller til annoncøren til attribution, erklærer og garanterer annoncøren, at: (i) dens attributionspartner er en databehandler på annoncørens vegne; (ii) medmindre andet er indsamlet uafhængigt, vil annoncøren og attributionpartneren kun bruge sådanne personoplysninger til attribution; og (iii) attributionpartneren og annoncøren vil slette alle videregivne personoplysninger inden for tredive (30) dage efter sidste identifikation af den besøgende som værende fra Taboola.

Hver part skal implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte de indsamlede data og/eller personoplysninger, som den behandler, fra og mod en sikkerhedshændelse.  Disse foranstaltninger skal omfatte de foranstaltninger, der er anført i bilag B.

Hvis en af parterne lider et sikkerhedshændelse med hensyn til indsamlede data og/eller personoplysninger, som den behandler, og som er genstand for aftalen og disse annoncørvilkår for beskyttelse af personlige oplysninger, skal den pågældende part: (i) være ansvarlig for (for egen regning) at opfylde eventuelle indberetningspligter, der gælder for den i henhold til gældende databeskyttelseslove, til databeskyttelsesmyndigheder og/eller berørte registrerede, (ii) underrette den anden part uden unødig forsinkelse og give sådanne oplysninger om sikkerhedshændelsen, som den anden part med rimelighed kan anmode om, eller som på anden måde er påkrævet for, at den anden part kan afgøre, om den også kan have indberetningspligt i henhold til gældende databeskyttelseslove med hensyn til sikkerhedshændelsen, og (iii) uden unødig forsinkelse træffe alle sådanne foranstaltninger, der er passende for at afhjælpe og/eller mindske virkningerne af sikkerhedshændelsen.

I det omfang og i det omfang det kræves i henhold til de gældende databeskyttelseslove, som hver part er underlagt, skal hver part foretage en konsekvensanalyse vedrørende databeskyttelse med hensyn til dens behandling af indsamlede data og/eller personoplysninger til de tilladte formål og/eller konsultere de relevante databeskyttelsesmyndigheder, hvor det er nødvendigt.  Hver part skal yde al rimelig samarbejdsvilje og give alle rimelige oplysninger, som den anden part anmoder om, når dette er nødvendigt for at gøre det muligt for den anden part at gennemføre en konsekvensanalyse vedrørende databeskyttelse og/eller konsultere de relevante databeskyttelsesmyndigheder i overensstemmelse med den anden parts forpligtelser i henhold til dette afsnit 11.

 

A. LISTE OVER PARTER

Hver part skal være:

      • en dataansvarlig (og dataeksportør) for indsamlede data, som den videregiver eller stiller til rådighed for den anden part, og
      • en dataansvarlig (og dataimportør) af indsamlede data, som den modtager fra eller får adgang til fra den anden part.

Oplysningerne om hver part er angivet nedenfor.

Navn: Se annoncørens oplysninger i aftalen.

Adresse: Se annoncørens oplysninger i aftalen.

Navn, stilling og kontaktoplysninger for kontaktperson: Se annoncørens oplysninger i aftalen eller som ellers er aftalt skriftligt mellem parterne.

Aktiviteter, der er relevante for de data, der overføres i henhold til disse klausuler: Modtagelse af tjenesterne som beskrevet i aftalen.

Underskrift og dato: Dette bilag A anses for at være udfyldt, når annoncøren accepterer disse annoncørers privatlivsbetingelser.

Rolle (dataansvarlig/databehandler): Dataansvarlig (hvis det er en dataeksportør) og dataansvarlig (hvis det er en dataimportør)

 

Navn: Se Taboolas oplysninger, der er angivet i introduktionen til aftalen.

Adresse: Se Taboolas oplysninger, der er angivet i introduktionen til aftalen.

Navn, stilling og kontaktoplysninger for kontaktperson: Taboolas privatlivsteam, privacy@taboola.com.

Aktiviteter, der er relevante for de data, der overføres i henhold til disse klausuler: Leveringen af tjenesterne, som angivet i aftalen.

Underskrift og dato: Dette bilag A anses for at være udfyldt, når Taboola har accepteret disse annoncørers privatlivsbetingelser.

Rolle (dataansvarlig/databehandler): Dataansvarlig (hvis det er en dataeksportør) og dataansvarlig (hvis det er en dataimportør)

 

B. BESKRIVELSE AF DATAFORARBEJDNING OG -OVERFØRSEL

Kategorier af registrerede, hvis personoplysninger behandles og/eller overføres: Brugere

Kategorier af personoplysninger, der behandles og/eller overføres:

Enhedsdata: Operativsystem, browsertype, browserversion, IP-adresse (afkortet inden for 30 dage) efter indsamling, postnummer (afledt af IP-adresse), hashed Taboola-bruger-id, hashed e-mails, første og efterfølgende sidebesøg på annoncørens websted, brugerkøn (afledt af interesser), engagement-signaler (tid på webstedet, rulle dybde, sessionsdybde), konverteringsdata.

Data om digital ejendom besøgt af brugeren: URL’en på den besøgte side, den henvisende hjemmeside

  • I det omfang DCO er en del af tjenesterne, behandler Taboola også følgende data:

Enhedsdata: Taboola Cookie ID eller enheds-id, afhængigt af platformen), maskeret IP-adresse, Taboola-klik-id, brugeragentstreng, land, brugertype, herunder oplysninger om nye/tilbagevendende brugere (hvis delt af annoncør), produktoplysninger (knyttet til den specifikke webadresse), herunder pris og tilgængelighed fra vare sider

Hændelsesdata: valuta, produkt-id’er, ordrenummer, kategori-id, kategori, søgeord, kurvoplysninger, værdi og kampagne-id’er.

Følsomme data, der overføres (hvis relevant), og anvendte restriktioner eller sikkerhedsforanstaltninger, der fuldt ud tager hensyn til datanaturens og de involverede risikors art, såsom f.eks. streng formålsbegrænsning, adgangsbegrænsninger (herunder kun adgang for personale, der har fulgt specialiseret uddannelse), registrering af adgang til dataene, restriktioner for videre overførsler eller yderligere sikkerhedsforanstaltninger: Ikke relevant.

Hyppigheden af behandlingen og/eller overførslerne (f.eks. om dataene behandles og/eller overføres engang eller løbende): Løbende i hele aftalens løbetid.

Arten af behandlingen: Behandling af personoplysninger, der er nødvendige for levering af tjenesterne, som angivet i aftalen.

Formål med databehandlingen/overførslen og yderligere behandling: Leveringen af tjenesterne, som angivet i aftalen. For at undgå tvivl omfatter de tilladte formål: (i) lagring og/eller adgang til oplysninger på en enhed; (ii) valg af grundlæggende reklamer; (iii) oprettelse af en personlig annonceprofil; (iv) valg af personaliserede annoncer; (v) oprettelse af en profil for personligt tilpasset indhold; (vi) valg af personligt tilpasset indhold; (vii) måling af reklameydelse; (viii) måling af indholdsydelse; (ix) udvikling og forbedring af produkter; (x) sikring af sikkerhed, forebyggelse af svig og fejlfinding; (xi) teknisk levering af annoncer eller indhold; (xii) matchning og kombination af offline datakilder; (xiii) sammenkædning af forskellige enheder; (xiv) modtagelse og brug af automatisk sendte enhedsfunktioner til identifikation; (xv) brug af begrænsede data til valg af indhold og (xvi) uForstå publikum gennem statistikker.

Den periode, hvor personoplysningerne vil blive opbevaret, eller, hvis det ikke er muligt, kriterierne for fastlæggelse af denne periode:

      • Taboola: Rådata gemmes i højst 13 måneder.
      • Annoncør: Så længe det er nødvendigt for at modtage tjenesterne eller som på anden måde angivet i aftalen.

For overførsler til (under-) databehandlere, angives også emne, art og varighed af behandlingen: Ikke relevant.

 

C. KOMPETENT TILLYDELSESMYNDIGHED

Kompetent tilsynsmyndighed, hvor EU GDPR finder anvendelse: Den kompetente tilsynsmyndighed for hver part er beskrevet nedenfor:

      • Taboola: Den kompetente tilsynsmyndighed fastlægges i overensstemmelse med paragraf 13 i EU SCCs.
      • Annoncør: Den kompetente tilsynsmyndighed fastlægges i overensstemmelse med paragraf 13 i EU SCCs.

Kompetent tilsynsmyndighed, hvor UK GDPR finder anvendelse: Te Information Commissioner’s Office

 

Beskrivelse af de tekniske og organisatoriske foranstaltninger, der er implementeret af hver part (herunder eventuelle relevante certificeringer) for at sikre et passende sikkerhedsniveau under hensyntagen til arten, omfanget, sammenhængen og formålet med behandlingen samt risiciene for fysiske personers rettigheder og frihedsrettigheder.

Foranstaltninger til pseudonymisering og kryptering af personoplysninger: Taboola indsamler kun pseudonymiserede data, hvilket betyder, at vi ikke ved, hvem du er, fordi vi ikke kender eller behandler brugerens navn, e-mailadresse eller andre identificerbare data. De brugeroplysninger, vi indsamler, omfatter bl.a. oplysninger om en brugers enhed og styresystem, IP-adresse, de websider, som brugerne har adgang til på vores kunders websteder, linket, der førte en bruger til en kundes websted, datoer og klokkeslæt, hvor en bruger har adgang til en kundes websted, og andre webbrowserdata. Cookie-id’et anonymiseres ved hjælp af Bcrypt, og IP-adressen afkortes.

Foranstaltninger til sikring af fortrolighed, integritet, tilgængelighed og modstandsdygtighed i behandlingssystemer og -tjenester: Taboola bruger flere niveauer af elektronisk sikkerhed (f.eks. slutpunktssikkerhed, serverside-sikkerhed, sporing af registreringer, periodiske indtrængningstest og dyb efterretningsindsamling til gennemgang af hændelser efter døden).

Foranstaltninger til sikring af evnen til at gendanne tilgængeligheden og adgangen til personoplysninger i tide i tilfælde af en fysisk eller teknisk hændelse: Taboola har 9 datacentre i drift over hele verden. Alle datacentre bruges som replikaer af hinanden, så hvis et datacenter går ned, kan dataene hentes fra et andet datacenter.

Processer til regelmæssig testning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger for at sikre sikkerheden ved behandlingen: Taboola opretholder strenge processer til testning af effektiviteten af sine kontroller (både tekniske og organisatoriske). Vi har systemlogning og overvågning på plads, månedlig (mindst) DR-test, kvartalsvise indtrængningstest, firewalls, der beskytter internettet, og honeypots spredt over netværket for at finde eventuel skadelig aktivitet. Desuden har vi et belønningsprogram, som hjælper os med konstant at overvåge vores netværk.

Foranstaltninger til brugeridentifikation og godkendelse: Hver bruger i Taboola er tilknyttet et dedikeret brugernavn og en adgangskode. Enhver adgang til Taboolas interne netværk sker med 2FA ved hjælp af Google-godkendelse. Brugere oprettes kun af it-afdelingen under onboardingprocessen og kun efter at have modtaget alle detaljer og en underskrevet kontrakt fra HR-afdelingen.

Foranstaltninger til beskyttelse af data under overførsel: Taboola understøtter enhver dataoverførsel gennem sikre overførselsprotokoller (HTTPS og TLS v1.2 som minimum). Desuden sikres systemer, der kan indeholde PII, og data opbevares i hashed og anonymiseret form.

Foranstaltninger til beskyttelse af data under lagring: Data, der gemmes i vores databaser, anonymiseres og hashes ved hjælp af Bcrypt. Adgangen til databasen minimeres og er baseret på princippet om “forretningens behov for at vide”.

Foranstaltninger til sikring af den fysiske sikkerhed på de steder, hvor personoplysninger behandles: Hvert af Taboolas globale datacentre (i USA, Europa og Asien) har alle sine servere placeret i låste skabe, der udelukkende vedligeholdes til Taboolas brug. Disse skabe vedligeholdes af virksomheder, der enten er SOC2-certificerede, eller som Taboola har gennemgået deres sikkerhedsforanstaltninger. Endvidere kræver enhver adgang til serverne skriftlig, logget tilladelse. Alle Taboola-kontorer er også kontrolleret, og kræver, at medarbejderne bruger adgangskort for at komme ind. Desuden har kun et begrænset antal medarbejdere adgang til Taboola’s servere, og enhver adgang kræver også skriftlig, logget tilladelse.

Foranstaltninger til sikring af logning af hændelser: Taboola implementerer overvågningsværktøjer, og logge indsamles til vores SIEM-system, som advarer os om enhver mistænkelig hændelse og også overvåges af NOC-teamet.

Foranstaltninger til sikring af systemkonfiguration, herunder standardkonfiguration: Servere scannes for både konfigurationsforskelle og programrettelser. Der er indstillet rapportering og/eller advarsler på begge, og relevant programretningsniveau bekræftes. Nye programrettelser distribueres ved hjælp af Puppet. Alle tekniske gennemgange styres via R&D-applikationen og opnås gennem en formel gennemgangsproces (QA), efter at kodning og CI/CD-processer er implementeret.

Foranstaltninger til intern IT og IT-sikkerhedsstyring og -ledelse: Taboola er ISO 27001:2013 og 27701 certificeret. Taboola har en informationssikkerhedspolitik, som fastslår, at bestyrelsen og ledelsen af Taboola er forpligtet til at bevare fortroligheden, integriteten og tilgængeligheden af alle fysiske og elektroniske informationsaktiver i hele organisationen. Taboola afholder sikkerhedstræning for alle nye medarbejdere, phishing-træning for alle medarbejdere globalt og regelmæssig sikkerhedstræning for alle medarbejdere samt dedikerede sessioner for forsknings- og udviklingsgrupper.

Foranstaltninger til certificering/sikring af processer og produkter: Kvartalsvis/halvårlig/årlig intern revision af flere processer og systemer for at validere, at Taboola overholder sine definerede sikkerhedsmål og -foranstaltninger.

Foranstaltninger til sikring af dataminimering: Taboola begrænser bevidst de data, vi indsamler, som en del af Taboolas globale principper for dataminimering om kun at behandle de begrænsede data, der er nødvendige for vores specifikke forretningsformål. Desuden har Taboola ikke mulighed for eller forretningsmæssig grund til at “reverse engineer” nogen af de datapunkter, der bruges i vores algoritme for at levere vores tjenester. Mere specifikt er de data, som Taboola indsamler, aldrig en indikation af en brugers identitet – da Taboola ikke indsamler eller behandler oplysninger som brugerens navn, telefonnummer, e-mail eller fysiske adresser. I stedet indsamler Taboola kun pseudonyme identifikatorer, som kun identificerer egenskaber ved en brugers enhed. Dette omfatter IP-adresser (som afkortes ved indsamling og kun kan identificere enhedens generelle postnummer, men aldrig en præcis geolokalisering) og i nogle begrænsede tilfælde, hash-e-mail-adresser (som i sagens natur er irreversible og ikke kan dekrypteres for at afsløre den oprindelige e-mail-adresse). Desuden kan de data, vi indsamler, selv når de bruges samlet, aldrig producere en persons navn, telefonnummer, e-mail eller fysisk adresse, og vores ingeniører arbejder på ingen måde for at opnå dette mål. Derudover foretager og registrerer Taboola konsekvensanalyser for at minimere privatlivsrisici for vores tjenester, processer og politikker.

Foranstaltninger til sikring af datakvalitet: Dataene indsamles direkte fra brugeren, og brugeren får mulighed for at rette eventuelle data, der er knyttet til deres CookieID, via Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access

Foranstaltninger til sikring af begrænset datalagring: Vi opbevarer brugeroplysninger, som indsamles direkte med henblik på at vise annoncer, i højst tretten (13) måneder fra brugerens sidste interaktion med vores tjenester (ofte i en kortere periode), hvorefter vi fjerner identifikationen af dataene ved at fjerne unikke identifikatorer eller aggregere dataene. Denne proces sker automatisk.

Foranstaltninger til sikring af ansvarlighed: Taboola foretager flere sikkerhedstjek og penetrationstest (men ikke for alle systemer). Taboola bruger også cloud-udbydere, der er ISO-certificerede, og som overholder andre skybaserede certificeringer for at opretholde en servers fysiske sikkerhedsforanstaltninger.

Foranstaltninger til at muliggøre dataportabilitet og sikre sletning: Alle medier skal slettes fuldstændigt, før de genbruges eller bortskaffes. Bortskaffelse af medier er dokumenteret. Medarbejdere får besked på ikke at udskrive papir, der kan indeholde personoplysninger.

  1. I det omfang en part foretager en begrænset overførsel af indsamlede data til den anden part, skal Standard Contractual Clausesne indarbejdes i disse annoncørvilkår for beskyttelse af personlige oplysninger og anvendes som følger:
    1. hvor den Begrænsede Overførsel er en EU Begrænset Overførsel, vil EU SCCs gælde mellem parterne som følger:
      1. Modul 1 vil gælde;
      2. i Afsnit 7 vil den valgfrie tilknytningsklausul gælde;
      3. i Afsnit 11 vil det valgfrie sprog ikke gælde;
      4. i Afsnit 17 vil Option 1 gælde, og EU SCCs vil være underlagt irsk lov;
      5. i Afsnit 18(b) skal tvister løses ved domstolene i Irland;
      6. Del A, B og C i Bilag I anses for at være udfyldt med de oplysninger, der er anført i Del A, B og C i Bilag A til disse Annoncør-privatlivspolitikker; og
      7. Bilag II anses for at være udfyldt med de sikkerhedsforanstaltninger, der er anført i Bilag B til disse Annoncør-privatlivspolitikker;
    2. hvor den Begrænsede Overførsel er en UK Begrænset Overførsel, vil UK Addendum være gældende mellem parterne som følger:
      1. EU SCCs, udfyldt som angivet ovenfor, vil gælde mellem parterne og vil blive ændret af UK Addendum (udfyldt som angivet i underpunkt (ii) nedenfor); og
      2. Tabel 1 til 3 i UK Addendum anses for at være udfyldt med relevante oplysninger fra EU SCCs, udfyldt som angivet ovenfor, og indstillingerne “Eksportør” og “Importør” anses for at være markeret i tabel 4. Startdatoen for UK Addendum (som angivet i tabel 1) er ikrafttrædelsesdatoen for disse annoncørvilkår for beskyttelse af personlige oplysninger.
  2. Begrænsede videregivelser:  Ingen af parterne må foretage en videregivelse af indsamlede data, som de modtager fra den anden part, medmindre de har foretaget alle nødvendige handlinger for at sikre, at en sådan videregivelse er i overensstemmelse med gældende databeskyttelseslovgivning og eventuelle Standard Contractual Clauses, som de har aftalt med den anden part.