Privatlivsbetingelser for ejere af digitale ejendomme

Last Update: October 10, 2024

Ikrafttrædelsesdato: 10. oktober 2024

Disse Taboola privatlivsvilkår for ejere af digitale ejendomme (“Udgiveres privatlivsvilkår”) gælder for Taboolas digitale annonceringstjenester, f.eks. når Taboola placerer annoncørindhold på udgivernes ejendomme, herunder, men ikke begrænset til, udgiverprodukter og -tjenester som Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News og Taboola Push, i henhold til en aftale mellem Taboola og en udgiver (“Aftale”), og disse udgivers privatlivsvilkår skal anses for at være inkorporeret i og udgøre en integreret del af enhver sådan aftale. Disse udgivers privatlivsvilkår identificerer Taboola og udgiverens roller og ansvar i forbindelse med personoplysninger.

Hvis der er en konflikt mellem udgivernes privatlivsvilkår og aftalen, er udgivernes privatlivsvilkår gældende, medmindre den modstridende bestemmelse i aftalen udtrykkeligt henviser til den modstridende bestemmelse i disse udgivernes privatlivsvilkår og specificerer, at den erstatter den modstridende bestemmelse.

Udtryk defineret i dette afsnit skal have den betydning, der er angivet nedenfor, og beslægtede udtryk skal fortolkes i overensstemmelse hermed. Udtryk med stort begyndelsesbogstav, der ikke er defineret i udgivernes privatlivsvilkår, skal have den betydning, der er defineret i aftalen.

      1. Gældende databeskyttelseslove” betyder alle gældende føderale, nationale, statslige eller andre love om privatlivs- og databeskyttelse, der gælder for Behandling, som er genstand for Aftalen og disse Udgiveres privatlivsvilkår, som måtte blive ændret eller erstattet fra tid til anden.
      2. Californiens lov om beskyttelse af personlige oplysninger” betyder Californiens lov om forbrugerbeskyttelse af 2018, Cal. Civil Code § 1798.100 ff. (også “CCPA“), som ændret (herunder ved California Privacy Rights Act), og enhver underordnet lovgivning og implementeringsforskrifter.
      3. Ansvarlig” betyder: (i) en enhed, der bestemmer formålene og midlerne til behandling af personoplysninger, og (ii) enhver person eller enhed, der falder ind under anvendelsesområdet for udtrykket “Ansvarlig” eller “Virksomhed” (eller ethvert væsentligt analogt udtryk) som defineret i gældende databeskyttelseslovgivning.
      4. Dataregistreret” betyder: (i) en identificeret eller identificerbar fysisk person (og i disse formål er en identificerbar fysisk person en person, der kan identificeres direkte eller indirekte, navnlig ved henvisning til en identifikator såsom et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller til en eller flere faktorer, der er specifikke for den pågældende fysiske persons fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet), og (ii) enhver person, der falder ind under begreberne “dataregistreret”, “forbruger” (eller ethvert væsentligt analogt udtryk) som defineret i databeskyttelseslovgivningen.
      5. EU databeskyttelseslovgivning” betyder: (i) EU generelle forordning om databeskyttelse (forordning 2016/679) (“EU GDPR“); (ii) EU e-databeskyttelsesdirektiv (direktiv 2002/58/EF); og (iii) enhver national databeskyttelseslovgivning udstedt i henhold til eller i henhold til (i) eller (ii), som hver især måtte blive ændret eller erstattet fra tid til anden.
      6. Personoplysninger” betyder enhver oplysning, der vedrører en identificeret eller identificerbar person (og et sådant udtryk skal, hvor det kræves i henhold til gældende databeskyttelseslovgivning, omfatte unikke browser- eller enhedsidentifikatorer), som angivet i bilag A, del B.
        1. Interaktionspersonoplysninger” betyder alle personoplysninger, der indsamles fra forbrugere på det tidspunkt, eller efter en forbrugers forsætlige interaktion med Taboola, Taboolas produkter, Taboolas ejendomme og annoncer, som Taboola placerer.
        2. Passivt interaktionsbaseret persondata” betyder alle persondata, der indsamles passivt fra udgiverens ejendomme, herunder, men ikke begrænset til, IP-adresse, side-URL og User Agent String indsamlet af Taboola, før eller uden en forbrugers forsætlige interaktion med Taboola, Taboolas produkter, Taboolas ejendomme og annoncer, som Taboola placerer.
      7. Behandling” betyder enhver handling eller række af handlinger, der udføres på personoplysninger eller på sæt af personoplysninger, uanset om det er automatiseret eller ej, såsom indsamling, modtagelse, registrering, organisering, strukturering, brug, transmission, adgang, deling, videregivelse, overførsel, opbevaring, tilpasning eller ændring, hentning, høring, formidling eller anden tilgængeliggørelse, justering eller kombination, aggregering, udledning, afledning, analyse, begrænsning, sletning, destruktion eller bortskaffelse eller anden håndtering af personoplysninger, herunder hvordan et sådant udtryk er defineret i henhold til gældende databeskyttelseslovgivning.
      8. Databehandler” betyder en enhed, der behandler personoplysninger på vegne af en dataansvarlig, og omfatter også, hvordan et sådant udtryk og/eller udtrykket “databehandler” (eller ethvert væsentligt analogt udtryk) er defineret i henhold til gældende databeskyttelseslovgivning.
      9. Begrænset overførsel” betyder: (i) hvor EU GDPR finder anvendelse, en overførsel af personoplysninger fra EØS til et land uden for EØS, som ikke er underlagt en tilstrækkelighedsvurdering af Europa-Kommissionen (en “begrænset overførsel i EU“), og (ii) hvor den UK GDPR finder anvendelse, en overførsel af personoplysninger fra Storbritannien til ethvert andet land, som ikke er underlagt eller baseret på tilstrækkelighedsbestemmelser i henhold til afsnit 17A i den britiske databeskyttelseslov fra 2018 (en “begrænset overførsel i UK“).
      10. Tjenester” betyder tjenester leveret af Taboola i henhold til aftalen med udgiveren.
      11. “Sikkerhedshændelse” betyder et brud på sikkerheden, der fører til utilsigtet eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.
      12. “Standard Contractual Clauses” betyder: (i) hvor EU GDPR finder anvendelse, de kontraktbestemmelser, der er knyttet som bilag til Europa-Kommissionens gennemførelsesafgørelse 2021/914 af 4. juni 2021 om Standard Contractual Clauses for overførsel af personoplysninger til tredjelande i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679 (“EU SCCs“), og (ii) hvor den UK GDPR finder anvendelse, “Tillægget om international dataoverførsel til EU -Kommissionens Standard Contractual Clauses”, der er udstedt af informationskommissæren i henhold til § 119A(1) i databeskyttelsesloven af ​​2018 (“UK Addendum“).
      13. Tredjepart” betyder en virksomhed, der fungerer som dataansvarlig med hensyn til personoplysninger, og som ikke er den virksomhed, som den registrerede, hvis personoplysninger behandles, bevidst har interageret med; udtrykket omfatter, hvordan et sådant udtryk er defineret i henhold til gældende databeskyttelseslovgivning.
      14. UK databeskyttelseslovgivning” betyder: (i) den UK databeskyttelseslov fra 2018, (ii) den UK GDPR (som defineret i afsnit 3(10) i den UK databeskyttelseslov fra 2018) (“UK GDPR“), (iii) de UK forskrifter om beskyttelse af personlige oplysninger og elektronisk kommunikation (EF-direktiv) fra 2003), og (iv) enhver anden UK lov udstedt i henhold til eller i henhold til (i), (ii) eller (iii), som hver især måtte blive ændret eller erstattet fra tid til anden.

For personoplysninger, der behandles i forbindelse med tjenesterne, accepterer hver part, at den behandler de personoplysninger, den indsamler, udelukkende til de formål, der er beskrevet i bilag A, del B (“Tilladte formål“), og som tilladt i henhold til disse udgivers privatlivsvilkår, aftalen og gældende databeskyttelseslove, som hver af disse kan opdateres fra tid til anden. Taboola kan også behandle passivt interaktionsbaserede personoplysninger som tilladt i henhold til Taboola privatlivspolitik, og som kan opdateres fra tid til anden.

Hver part skal behandle de passivt interagerende personoplysninger, som den indsamler som dataansvarlig eller tredjepart, alt efter hvad der er relevant. Hver part skal behandle de interaktionspersonoplysninger, som den indsamler som dataansvarlig eller virksomhed, alt efter hvad der er relevant. Videregivelser (uanset om det er direkte eller via en part, der stiller data til rådighed for den anden part) af personoplysninger fra den ene part til den anden er videregivelser til tredjeparter.

      1. Hvis amerikansk eller amerikansk stats databeskyttelseslov gælder for personoplysninger, herunder, men ikke begrænset til, californisk databeskyttelseslovgivning, fungerer Taboola, i det omfang Taboola behandler passivt interaktive personoplysninger i forbindelse med tjenesterne, som tredjepart til udgiveren for sådanne passivt interaktive personoplysninger. Taboola behandler sådanne passivt interaktive personoplysninger til de formål, der er beskrevet i bilag A, del B, og som tilladt i henhold til disse udgivernes privatlivsvilkår, aftalen, gældende databeskyttelseslovgivning og Taboolas privatlivspolitik, som hver især måtte blive opdateret fra tid til anden. Sådanne passivt interagerende personoplysninger stilles kun til rådighed for Taboola til sådanne formål. Taboola vil yde det samme niveau af privatlivsbeskyttelse, som kræves af virksomheder i henhold til gældende amerikanske databeskyttelseslove, herunder, hvis relevant, californisk privatlivslovgivning. Udgiveren har ret til at sikre, at Taboola bruger passivt interagerende personoplysninger i overensstemmelse med udgiverens forpligtelser. Efter at have givet Taboola meddelelse herom, har Udgiveren ret til at træffe rimelige og passende foranstaltninger for at stoppe og afhjælpe uautoriseret brug af personoplysninger, som Udgiveren stiller til rådighed for Taboola. Taboola vil informere Udgiveren inden for den tidsfrist, der kræves i henhold til gældende databeskyttelseslovgivning, hvis Taboola fastslår, at de ikke længere er i stand til at opfylde sine forpligtelser i henhold til gældende databeskyttelseslovgivning. I det omfang Taboola indsamler personoplysninger om interaktion i forbindelse med Tjenesterne, skal dette ske som en separat Virksomhed.

Parterne anerkender, at de kan behandle personoplysninger, og at gældende databeskyttelseslove kan gælde for hver parts behandling af personoplysningerne. I tilfælde af dette skal hver part overholde gældende databeskyttelseslovgivning i forbindelse med behandling af personoplysninger. Hvor dette er tilfældet, og med forbehold af afsnit 7, er hver part individuelt ansvarlig for sin egen overholdelse af gældende databeskyttelseslovgivning, herunder eventuelle gældende krav om at: (i) give de registrerede gennemsigtighed, (ii) have samtykke eller et andet lovligt grundlag for behandling, og (iii) stille et kontaktpunkt til rådighed, hvorigennem de registrerede kan udøve deres databeskyttelsesrettigheder. Udgiveren skal straks underrette Taboola, hvis og i det omfang den modtager anmodninger om databeskyttelsesrettigheder vedrørende Taboolas behandling af personoplysninger som dataansvarlig, således at Taboola kan opfylde anmodningen i overensstemmelse med sine forpligtelser i henhold til gældende databeskyttelseslovgivning.

  1. Udgiveren skal videresende alle anmodninger fra den registrerede vedrørende Taboolas tjenester til Taboolas globale portal for anmodninger om adgang til data eller OS Portal for framelding af forbrugerrettigheder, alt efter hvad der er relevant.

Hvis en af ​​parterne modtager en forespørgsel, klage eller korrespondance (en “Tredjepartsmeddelelse“) fra en person, tilsynsmyndighed eller anden tredjepart vedrørende behandlingen af ​​den registreredes personoplysninger i forbindelse med Tjenesterne, skal den omgående underrette den anden part, og parterne skal samarbejde i god tro og i det omfang, det er rimeligt nødvendigt for at opfylde kravene i en sådan Tredjepartsmeddelelse.

I tilfælde af at en af ​​parterne foretager en begrænset overførsel af personoplysninger til den anden part, finder bestemmelserne i bilag C anvendelse.

I det omfang Taboola indsamler personoplysninger fra udgivernes ejendomme ved hjælp af Taboola -kode, pixels og anden sporingsteknologi, skal udgiveren: (i) give alle nødvendige gennemsigtighedsmeddelelser til de registrerede om Taboolas brug af Taboola -kode til at indsamle personoplysninger fra udgivernes ejendomme til de tilladte formål, og (ii) indhente (og, på anmodning til enhver tid af Taboola, fremlægge passende dokumentation for) den registreredes samtykke til en sådan brug af Taboola -kode til de tilladte formål, i hvert tilfælde i overensstemmelse med kravene i gældende databeskyttelseslovgivning. Udgiverens forpligtelser i denne henseende omfatter identifikation af Taboola og dets brug af Taboola -kode til de tilladte formål, som udtrykkeligt er angivet i de gennemsigtighedsmeddelelser og samtykkeerklæringer, som udgiveren giver de registrerede, samt alle andre oplysninger, der kræves i henhold til gældende databeskyttelseslovgivning, således at Taboola kan levere sine tjenester lovligt gennem sådanne ejendomme og behandle personoplysninger til de tilladte formål. Efter skriftlig anmodning skal Taboola give Udgiveren de oplysninger, som Udgiveren med rimelighed kan kræve om Taboola kodeks og Taboolas behandling af personoplysninger via Udgiverens Ejendomme, for at Udgiveren kan sikre, at Udgiverens meddelelses- og samtykkemekanismer overholder gældende databeskyttelseslove. Udgiveren accepterer specifikt, at:

  1. Hvad angår sine webbaserede ejendomme, skal udgiverens privatlivspolitik beskrive brugen af ​​cookies, unikke identifikatorer og ikke-cookie-teknologier af tredjeparter (dvs. Taboola) til interessebaseret annoncering og analyse (på og uden for ejendommene) og skal indeholde et link til enten NAI’s branchefravalgsside på http://www.networkadvertising.org, DAA’s branchefravalgsside på http://www.aboutads.info eller (hvad angår europæiske webbaserede medier og dataindsamling) et link til EDAA fravalgslink på http://www.youronlinechoices.eu på en måde, der opfylder kravene i gældende databeskyttelseslovgivning; og
  2. Hvad angår mobilapp-baserede ejendomme, skal udgiverens privatlivspolitik beskrive brugen af ​​SDK’er på dens mobilapps og indsamling af mobilannonce-id’er til interessebaseret eller tværapp-annoncering og -analyse (på og uden for ejendommene); og indeholde en beskrivelse af, hvordan brugere og besøgende kan fravælge indsamling af mobildata til tværapp-annoncering via enhedsindstillinger.
  3. For sine EU-vendte ejendomme skal udgiveren sikre, at den indhenter de besøgendes frit givne, specifikke, informerede og utvetydige samtykke i overensstemmelse med EU privatlivslovgivning med hensyn til at placere eller få adgang til Taboola cookies eller andre unikke identifikatorer på de besøgendes enhed(er). Udgiveren skal give sine besøgende kontaktoplysninger (hvilket kan omfatte at gøre disse oplysninger tilgængelige via sin privatlivspolitik), så de kan kontakte Udgiveren for at udøve deres databeskyttelsesrettigheder (herunder i forbindelse med personoplysninger, der behandles i forbindelse med Tjenesterne). Ovenstående forpligtelser gælder, hvor Udgiverens Ejendomme tiltrækker Besøgende i jurisdiktioner, der kræver samtykkemekanismer med hensyn til Tjenesterne.

I løbet af perioden kan Taboola give udgiveren anbefalede privatlivspolitikker eller formuleringer af oplysninger. Udgiveren anerkender, at den ikke vil benytte sådan anbefalet sprogbrug som, eller som erstatning for, juridisk rådgivning, og at udgiveren eller virksomheden selv er eneansvarlig for eventuelle oplysninger i sin privatlivspolitik eller på sin hjemmeside.

Udgiveren må ikke levere eller konfigurere Tjenesterne til at indsamle eller på anden måde Taboola særlige kategorier af personoplysninger eller følsomme personoplysninger eller følsomme data (som defineret i gældende databeskyttelseslovgivning) til Taboola med henblik på behandling. Derudover skal udgiveren sikre, at eventuelle side-URL’er, der stilles til rådighed for Taboola, ikke indeholder oplysninger om videotitel. Taboola forbeholder sig retten til at suspendere Tjenesterne, hvis Udgiveren ikke overholder dette afsnit, medmindre og indtil en sådan mangel er afhjulpet.

Hver part skal implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte Besøgendes Personoplysninger mod en sikkerhedshændelse. Disse foranstaltninger skal omfatte de foranstaltninger, der er anført i bilag B.

Hvis en af ​​parterne oplever en sikkerhedshændelse vedrørende personoplysninger, som den behandler, og som er genstand for aftalen og disse udgivers privatlivsvilkår, skal den pågældende part: (i) være ansvarlig for (for egen regning) at opfylde eventuelle rapporteringsforpligtelser, der gælder for den i henhold til gældende databeskyttelseslovgivning, til databeskyttelsesmyndigheder og/eller berørte registrerede, (ii) underrette den anden part uden unødig forsinkelse og give sådanne oplysninger om sikkerhedshændelsen, som den anden part med rimelighed kan anmode om, eller som på anden måde kræves for, at den anden part kan afgøre, om den også har rapporteringsforpligtelser i henhold til gældende databeskyttelseslovgivning vedrørende sikkerhedshændelsen, og (iii) træffe alle sådanne handlinger og foranstaltninger uden unødig forsinkelse, som er passende for at afhjælpe og/eller afbøde virkningerne af sikkerhedshændelsen.

Hvor og i det omfang det kræves i henhold til gældende databeskyttelseslovgivning, som hver part er underlagt, skal hver part udføre enhver konsekvensanalyse af databeskyttelse i forbindelse med sin behandling af personoplysninger til de tilladte formål og/eller konsultere relevante databeskyttelsesmyndigheder, hvor det er nødvendigt. Hver part skal yde al rimelig samarbejdsvilje og yde al rimelig information, som den anden part med rimelighed anmoder om, hvor dette er nødvendigt for at sætte den anden part i stand til at gennemføre en konsekvensanalyse af databeskyttelse og/eller konsultere relevante databeskyttelsesmyndigheder i overensstemmelse med den anden parts forpligtelser i henhold til dette afsnit.

A. PARTILISTE

Hver part skal være:

  • en dataansvarlig (og dataeksportør) af indsamlede data, som den videregiver eller stiller til rådighed for den anden part, og
  • en dataansvarlig (og dataimportør) af indsamlede data, som den modtager fra, eller som den anden part giver adgang til.

Detaljerne for hver part er angivet nedenfor.

Navn: Se udgiverens oplysninger, der er angivet i aftalen.

Adresse: Se udgiverens oplysninger i aftalen.

Kontaktpersonens navn, stilling og kontaktoplysninger: Se udgiverens oplysninger, der er angivet i aftalen eller på anden måde skriftligt aftalt mellem parterne.

Aktiviteter relevante for de data, der overføres i henhold til disse klausuler: Modtagelsen af ​​Tjenesterne, som angivet i Aftalen.

Underskrift og dato: Dette bilag A anses for underskrevet, når udgiveren accepterer disse udgivers privatlivsvilkår.

Rolle (dataansvarlig/databehandler): Dataansvarlig (hvis det er en dataeksportør) og dataansvarlig (hvis det er en dataimportør)

 

Navn: Se Taboolas oplysninger i indledningen til aftalen.

Adresse: Se Taboolas oplysninger i indledningen til aftalen.

Kontaktpersonens navn, stilling og kontaktoplysninger: taboola.com privatlivsteam: privacy@taboola.com.

Aktiviteter relevante for de data, der overføres i henhold til disse klausuler: Levering af Tjenesterne, som angivet i Aftalen.

Underskrift og dato: Dette bilag A anses for underskrevet, når Taboolas accept af disse udgivers privatlivsvilkår.

Rolle (dataansvarlig/databehandler): Dataansvarlig (hvis det er en dataeksportør) og dataansvarlig (hvis det er en dataimportør)

 

B. BESKRIVELSE AF BEHANDLINGEN OG OVERFØRSELEN 

Kategorier af registrerede, hvis personoplysninger behandles og/eller overføres: Brugere

Kategorier af personoplysninger, der behandles og/eller overføres:

Enhedsdata: Brugerens enhed, browser og operativsystem; oplysninger om mobilenhed (alle mobil-ID’er er hashet) inklusive IDFAs og AAIDs; cookiedata, der kan læses eller implementeres af Taboola (alle cookie-ID’er/bruger-ID’er er hashet); IP-adresser; hashet e-mails; henvisende websted; brugerens sprog; land/region/by. Hvis mobilapps er en del af Tjenesterne, omfatter yderligere dataelementer afkortet og upræcis bredde-/længdegrad, forbindelsestype og skærmdimensioner.

Data om digitale ejendomme besøgt af brugeren: hvordan platformen blev vist, og om brugeren interagerede med platformen; web- eller app-adfærd.

I det omfang Header Bidding er en del af Tjenesterne, gælder følgende:

  • Bid Request / Bid Response Data: Unikt ID for budanmodningen, IMP object, der repræsenterer den tilbudte visning, udgiverwebsted eller -app repræsenteret, app, enhed, auktionstype, maksimal tid, valuta, blokerede kategorier, enheds-ID, Taboola bruger-ID, opkaldstag-partnere: URL.

Med hensyn til Taboola Newsroom gælder følgende:

  • Begivenheder fra forlagets hjemmeside: Konverteringsdata
  • Oplysninger om brugerens browser læst fra brugeragenten: URL’en på den besøgte side, det henvisende websted, operativsystem, browsertype og browserversion, tilhørende hashet Taboola -bruger-ID læst fra cookien, tilhørende IP-adresse (afkortet efter 30 dage).

Overførte følsomme data (hvis relevant) og anvendte restriktioner eller sikkerhedsforanstaltninger, der fuldt ud tager hensyn til dataenes art og de involverede risici, såsom streng formålsbegrænsning, adgangsbegrænsninger (herunder adgang kun for personale, der har gennemgået specialuddannelse), registrering af adgang til dataene, restriktioner for videreoverførsler eller yderligere sikkerhedsforanstaltninger: Ikke relevant.

Hyppigheden af ​​behandlingen og/eller overførslerne (f.eks. om dataene behandles og/eller overføres engangsbestemt eller løbende): Løbende i hele aftalens løbetid.

Behandlingens art: Behandling af personoplysninger, der er nødvendig for levering af tjenesterne, som angivet i aftalen.

Formål(er) med databehandlingen/overførslen og viderebehandlingen: Levering af Tjenesterne, som angivet i Aftalen. For at undgå tvivl omfatter de tilladte formål: (i) lagring og/eller adgang til oplysninger på en enhed; (ii) valg af grundlæggende annoncer; (iii) oprettelse af en personlig annonceprofil; (iv) valg af personligt tilpassede annoncer; (v) oprettelse af en personlig indholdsprofil; (vi) valg af personligt tilpasset indhold; (vii) måling af annoncers ydeevne; (viii) måling af indholds ydeevne; (ix) udvikling og forbedring af produkter; (x) sikring af sikkerhed, forebyggelse af svindel og fejlfinding; (xi) teknisk levering af annoncer eller indhold; (xii) matchning og kombination af offline datakilder; (xiii) sammenkædning af forskellige enheder; (xiv) modtagelse og brug af automatisk sendte enhedsegenskaber til identifikation; (xv) brug af begrænsede data til at vælge indhold, og (xvi) lagring og kommunikation af privatlivsvalg.

Med hensyn til Taboola Newsroom gælder følgende: (i) sporing af abonnementskonverteringshændelser.

Med hensyn til Taboola Push gælder følgende yderligere formål: (i) afsendelse af notifikationer til en brugers enhed.

I det omfang Header Bidding er en del af Tjenesterne, gælder følgende yderligere formål: (i) at afgøre, om der skal bydes på en placering, og om der skal gives personlige anbefalinger.

I det omfang Home Page 4 You er en del af Tjenesterne, gælder følgende yderligere formål: (i) automatisering og kuratering af udgiverindhold på udpegede hjemmesider for digitale ejendomme.

Den periode, hvori personoplysningerne vil blive opbevaret, eller, hvis det ikke er muligt, de kriterier, der anvendes til at bestemme denne periode:

  • Taboola: Rådata gemmes i højst 13 måneder.
  • Annoncør: Så længe det er nødvendigt for at modtage Tjenesterne, eller som ellers angivet i Aftalen.

For overførsler til (under-)databehandlere skal du også angive behandlingens genstand, art og varighed: Ikke relevant.

 

C. KOMPETENT TILSYNSMYNDIGHED

Kompetent tilsynsmyndighed, hvor EU GDPR finder anvendelse: Den kompetente tilsynsmyndighed for hver part er som beskrevet nedenfor:

  • Taboola: Den kompetente tilsynsmyndighed fastlægges i overensstemmelse med § 13 i EU SCCs.
  • Annoncør: Den kompetente tilsynsmyndighed fastlægges i overensstemmelse med § 13 i EU SCCs.

Kompetent tilsynsmyndighed, hvor den UK GDPR finder anvendelse: Informationskommissærens kontor

Beskrivelse af de tekniske og organisatoriske foranstaltninger, der er implementeret af hver part (herunder eventuelle relevante certificeringer) for at sikre et passende sikkerhedsniveau under hensyntagen til behandlingens art, omfang, kontekst og formål samt risiciene for fysiske personers rettigheder og frihedsrettigheder.

Foranstaltninger til pseudonymisering og kryptering af personoplysninger: Taboola indsamler kun pseudonymiserede data, hvilket betyder, at vi ikke ved, hvem du er, fordi vi ikke kender eller behandler brugerens navn, e-mailadresse eller andre identificerbare data. Brugeroplysninger, som vi indsamler, omfatter, men er ikke begrænset til, oplysninger om en brugers enhed og operativsystem, IP-adresse, de websider, som brugerne har tilgået på vores kunders websteder, linket, der førte en bruger til en kundes websted, datoer og tidspunkter, hvor en bruger tilgår en kundes websted, og andre webbrowsingdata. CookieID’et anonymiseres ved hjælp af Bcrypt , og IP-adressen afkortes.

Foranstaltninger til sikring af løbende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester: Taboola bruger flere niveauer af elektronisk sikkerhed (f.eks. endpoint-sikkerhed, server-side sikkerhed, detektionssporing, periodiske penetrationstests og dybdegående efterretningsindsamling for at gennemgå obduktionshændelser).

Foranstaltninger til at sikre muligheden for rettidig genoprettelse af tilgængeligheden af ​​og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse: Taboola har 9 datacentre i drift verden over. Hvert datacenter bruges som en replika af hinanden, så hvis et af dem går ned, kan dataene udtrækkes fra andre datacentre.

Processer til regelmæssig testning, vurdering og evaluering af effektiviteten af ​​tekniske og organisatoriske foranstaltninger for at sikre behandlingens sikkerhed: Taboola opretholder strenge processer for test af effektiviteten af ​​sine kontroller (både tekniske og organisatoriske). Vi har systemlogning og overvågning på plads, månedlig (mindst) DR-testning, kvartalsvise penetrationstests, firewalls, der beskytter internettet, og honeypots spredt ud over netværket for at finde ondsindet aktivitet. Derudover har vi et bounty-program, der hjælper os med konstant at overvåge vores netværk.

Foranstaltninger til brugeridentifikation og -autorisation: Hver bruger i Taboola er tilknyttet et dedikeret brugernavn og en adgangskode. Enhver adgang til Taboolas interne netværk sker med 2FA ved hjælp af Google-godkendelse. Brugere oprettes kun af IT-afdelingen under onboardingprocessen og først efter modtagelse af alle detaljer og underskrevet kontrakt fra HR-afdelingen.

Foranstaltninger til beskyttelse af data under overførsel: Taboola understøtter enhver dataoverførsel via sikre transmissionsprotokoller (som minimum HTTPS og TLS v1.2). Derudover er systemer, der kan indeholde personoplysninger, sikret, og data opbevares hash-behandlet og anonymiseret.

Foranstaltninger til beskyttelse af data under opbevaring: Data, der er gemt i vores databaser, anonymiseres og hashes ved hjælp af Bcrypt. Adgang til databasen er minimeret og baseret på princippet om ‘business need to know’.

Foranstaltninger til sikring af fysisk sikkerhed på steder, hvor personoplysninger behandles: Alle Taboolas globale datacentre (i USA, Europa og Asien) har alle deres servere placeret i aflåste skabe, der udelukkende vedligeholdes til Taboolas brug. Disse skabe vedligeholdes af virksomheder, der enten er SOC2-certified , eller som Taboola har gennemgået deres sikkerhedsforanstaltninger. Derudover kræver enhver adgang til serverne skriftlig, logget tilladelse. Alle Taboola kontorer er også kontrollerede, og kræver, at medarbejderne bruger adgangskort for at komme ind. Derudover har kun et begrænset antal medarbejdere adgang til Taboolas servere, og enhver adgang kræver også skriftlig, logget tilladelse.

Foranstaltninger til sikring af hændelseslogning: Taboola implementerer overvågningsværktøjer, og logs indsamles i vores SIEM system, som advarer os om enhver mistænkelig hændelse, og som også overvåges af NOC teamet.

Foranstaltninger til sikring af systemkonfiguration, herunder standardkonfiguration: Servere scannes for både konfigurationsafvigelser og patch-niveau. Rapportering og/eller alarmering er indstillet på begge, og det relevante patchniveau er bekræftet. Nye programrettelser distribueres ved hjælp af Puppet. Alle tekniske gennemgange håndteres via R&D-ansøgningen og indhentes gennem en formel gennemgangsproces (QA) efter kodning, og CI/CD processes er også implementeret.

Foranstaltninger til intern IT- og IT-sikkerhedsstyring og -styring: Taboola er ISO 27001:2013 og 27701 certificeret. Taboola har en informationssikkerhedspolitik på plads, der fastslår, at bestyrelsen og ledelsen i Taboola er forpligtet til at bevare fortroligheden, integriteten og tilgængeligheden af ​​alle fysiske og elektroniske informationsaktiver i hele organisationen. Taboola afholder sikkerhedstræning for alle nye medarbejdere, phishing-træning for alle medarbejdere globalt, regelmæssig sikkerhedstræning for alle medarbejdere og har også dedikerede sessioner til forsknings- og udviklingsgrupper.

Foranstaltninger til certificering/sikring af processer og produkter: Kvartalsvis/halvårlig/årlig intern revision af flere processer og systemer for at validere, at Taboola overholder sine definerede sikkerhedsmål og -foranstaltninger.

Foranstaltninger til sikring af dataminimering: Taboola begrænser bevidst de data, vi indsamler, som en del af Taboolas globale principper for dataminimering, hvor vi kun behandler de begrænsede data, der er nødvendige til vores specifikke forretningsformål. Derudover har Taboola ikke muligheden for, eller noget forretningsmæssigt behov for, at “reverse engineere” nogen af ​​de datapunkter, der bruges i vores algoritme, for at levere vores tjenester. Mere specifikt er de datapunkter, som Taboola indsamler, aldrig indikative for en brugers identitet – da Taboola ikke indsamler eller behandler oplysninger såsom brugerens navn, telefonnummer, e-mail eller fysiske adresser. I stedet indsamler Taboola kun pseudonyme identifikatorer, som blot identificerer karakteristika om en brugers enhed. Dette omfatter IP-adresser (som afkortes ved indsamling og kun kan identificere enhedens generelle postnummerplacering, men aldrig en præcis geoplacering) og, i nogle begrænsede tilfælde, hashede e-mailadresser (som i sagens natur er irreversible og ikke kan dekrypteres for at afsløre den oprindelige e-mailadresse). Desuden kan de data, vi indsamler, aldrig, selv når de bruges samlet, resultere i en persons navn, telefonnummer, e-mail eller fysiske adresse, og vores teknikere arbejder ikke på nogen måde for at nå dette mål. Derudover foretager og registrerer Taboola vurderinger af konsekvenserne for privatlivets fred i et forsøg på at minimere privatlivsrisiciene i forbindelse med vores tjenester, processer og politikker.

Foranstaltninger til sikring af datakvalitet: Dataene indsamles direkte fra brugeren, og brugeren får mulighed for at rette eventuelle data , der er knyttet til deres CookieID, via Taboola portal for anmodninger om adgang til data: https://accessrequest.taboola.com/access

Foranstaltninger til sikring af begrænset datalagring: Vi opbevarer brugeroplysninger, som indsamles direkte med henblik på at vise annoncer, i højst tretten (13) måneder fra brugerens sidste interaktion med vores tjenester (ofte i en kortere periode), hvorefter vi afidentificerer dataene ved at fjerne unikke identifikatorer eller aggregere dataene. Denne proces udføres automatisk.

Foranstaltninger til sikring af ansvarlighed: Taboola udfører flere sikkerhedsrevisioner og penetrationstest (men ikke for alle systemer). Taboola bruger også cloud-udbydere, der er ISO-certificerede og overholder andre cloud-relevante certificeringer, til at opretholde en servers fysiske sikkerhedsforanstaltninger.

Foranstaltninger til at muliggøre dataportabilitet og sikre sletning: Taboola vedrørende bortskaffelse af medier gælder for alle slags medier, da de kan indeholde personoplysninger. Alle medier skal tørres helt af, før de genbruges eller bortskaffes. Enhver bortskaffelse af medier dokumenteres. Medarbejdere er instrueret i ikke at udskrive papirer, der kan indeholde personlige oplysninger.

  1. I det omfang en part foretager en begrænset overførsel af indsamlede data til den anden part, skal Standard Contractual Clauses indarbejdes i disse udgivernes privatlivsvilkår og gælder som følger:

a. hvor den begrænsede overførsel er en begrænset EU overførsel, finder EU SCCs anvendelse mellem parterne som følger:

  1. (i) Modul et finder anvendelse;
  2. (ii) i klausul 7 finder den valgfri dockingklausul anvendelse;
  3. (iv) i paragraf 11 finder den valgfrie formulering ikke anvendelse;
  4. (v) i klausul 17 finder mulighed 1 anvendelse, og EU SCCs vil være underlagt irsk lov;
  5. (vi) i punkt 18(b) skal tvister afgøres ved domstolene i Irland;
  6. (vii) Del A, B og C i bilag I anses for at være udfyldt med de oplysninger, der er angivet i del A, B og C i bilag A til disse udgivers privatlivsvilkår; og
  7. (vii) Bilag II anses for at være gennemført med de sikkerhedsforanstaltninger, der er angivet i bilag B til disse udgivers privatlivsvilkår;

b. hvor den begrænsede overførsel er en begrænset overførsel i UK , finder det UK Addendum anvendelse mellem parterne som følger:

(i) EU SCCs, udfyldt som angivet ovenfor, gælder mellem parterne og ændres ved det UK Addendum (udfyldt som angivet i underpunkt (ii) nedenfor); og

(ii) tabel 1 til 3 i det UK Addendum anses for at være udfyldt med relevante oplysninger fra EU SCCs, udfyldt som angivet ovenfor, og mulighederne “Eksportør” og “Importør” anses for at være markeret i tabel 4. Startdatoen for det UK Addendum (som angivet i tabel 1) er ikrafttrædelsesdatoen for disse udgivers privatlivsvilkår.

2. Videre begrænsede overførsler: Ingen af ​​parterne må foretage en videre begrænset overførsel af indsamlede data, som de modtager fra den anden part, medmindre den anden part har udført alle de handlinger og ting, der er nødvendige for at sikre, at den videre begrænsede overførsel er i overensstemmelse med gældende databeskyttelseslovgivning og eventuelle Standard Contractual Clauses, som den anden part har aftalt med den anden part.