Πρόσθετο Προστασίας Δεδομένων για RTB και Προγραμματικούς Συνεργάτες

Last Update: May 29, 2024

Ημερομηνία Έναρξης: 29 Μαΐου 2024

Για να διασφαλίσει ότι η Taboola έχει κατάλληλους όρους προστασίας δεδομένων με τους Προγραμματικούς και RTB Συνεργάτες μας (κάθε ένας «Συνεργάτης»), η Taboola παρέχει αυτό το Πρόσθετο Προστασίας Δεδομένων (το «DPA»).

Αυτό το DPA συμπληρώνει αυτόματα και αποτελεί μέρος της υφιστάμενης συμβατικής επιχειρηματικής συμφωνίας μεταξύ του Συνεργάτη και της Taboola που σχετίζεται με την παροχή υπηρεσιών RTB και προγραμματισμού («Υποκείμενη Συμφωνία»).

Όροι που χρησιμοποιούνται σε αυτό το DPA και είναι κεφαλαιοποιημένοι, αλλά δεν ορίζονται σε αυτό το DPA θα έχουν τις έννοιες που τους αποδίδονται στην Υποκείμενη Συμφωνία.  Σε περίπτωση οποιασδήποτε σύγκρουσης μεταξύ αυτού του DPA και της Υποκείμενης Συμφωνίας, αυτό το DPA θα υπερισχύει στο βαθμό της σύγκρουσης.

Εφαρμοστέοι Νόμοι Προστασίας Δεδομένων” σημαίνει οποιουσδήποτε και όλους τους εφαρμοστέους ομοσπονδιακούς, εθνικούς, κρατικούς ή άλλους νόμους περί ιδιωτικότητας και προστασίας δεδομένων όπως μπορεί να τροποποιούνται ή να αντικαθίστανται από καιρό σε καιρό, συμπεριλαμβανομένων, εάν είναι εφαρμοστέοι και χωρίς περιορισμό, του CCPA (όπως ορίζεται παρακάτω) και των Ευρωπαϊκών Νόμων Προστασίας Δεδομένων.

CCPA” σημαίνει τον Νόμο περί Ιδιωτικότητας Καταναλωτών της Καλιφόρνιας (Cal. Civ. Κώδικας §§ 1798.100 – 1798.199), όπως τροποποιήθηκε από τον Νόμο περί Δικαιωμάτων Ιδιωτικότητας της Καλιφόρνιας (Cal. Civ. Code §§ 1798.100 – 1798.199).

Ελεγκτής” σημαίνει μια οντότητα που καθορίζει τους σκοπούς και τα μέσα επεξεργασίας Προσωπικών Πληροφοριών, και περιλαμβάνει οποιαδήποτε οντότητα που επεξεργάζεται Προσωπικές Πληροφορίες ως “επιχείρηση” ή “τρίτο μέρος” σύμφωνα με τον CCPA και τον CPRA.

Πλαίσιο Ιδιωτικότητας Δεδομένων” ή “DPF” σημαίνει το Πλαίσιο Ιδιωτικότητας Δεδομένων EU-U.S. και την Επέκταση UK στο Πλαίσιο Ιδιωτικότητας Δεδομένων EU-U.S.. όπως καθορίζεται από τις Η.Π.Α. Υπουργείο Εμπορίου.

Ευρωπαϊκοί Νόμοι Προστασίας Δεδομένων” σημαίνει τους Νόμους Προστασίας Δεδομένων EU και τους Νόμους Προστασίας Δεδομένων UK.

Νόμοι Προστασίας Δεδομένων EU” σημαίνει: (i) Κανονισμός EU 2016/679 (ο “EU GDPR“); (ii) Οδηγία EU 2002/58/ΕΚ; και (iii) οι εθνικοί νόμοι κάθε κράτους μέλους του ΕΟΧ που εκδίδονται βάσει, σύμφωνα με, ή που εφαρμόζουν (i) ή (ii), ή που σχετίζονται με την επεξεργασία προσωπικών δεδομένων; σε κάθε περίπτωση, όπως τροποποιούνται ή αντικαθίστανται από καιρό σε καιρό.

Προσωπικές Πληροφορίες” σημαίνει οποιαδήποτε πληροφορία που σχετίζεται με ένα αναγνωρίσιμο ή αναγνωρίσιμο φυσικό πρόσωπο, και περιλαμβάνει οποιαδήποτε πληροφορία που ορίζεται ως “προσωπικά δεδομένα” ή “προσωπικές πληροφορίες” όπως ορίζεται σύμφωνα με τους Εφαρμοστέους Νόμους Προστασίας Δεδομένων.

Επιτρεπόμενος Σκοπός” σημαίνει τους σκοπούς δημοπρασίας σε πραγματικό χρόνο, που σχετίζονται με την αγορά και πώληση διαδικτυακών διαφημίσεων σύμφωνα με τη Βασική Συμφωνία, για τους οποίους η Taboola αποκαλύπτει ή με άλλο τρόπο καθιστά διαθέσιμα τα Κοινά Δεδομένα στον Συνεργάτη για επεξεργασία, όπως ορίζεται στο Παράρτημα I.

Περιορισμένη Μεταφορά” σημαίνει: (i) όπου ισχύει ο EU GDPR, μια μεταφορά προσωπικών δεδομένων από τον ΕΟΧ σε χώρα εκτός του ΕΟΧ που δεν υπόκειται σε απόφαση επάρκειας από την Ευρωπαϊκή Επιτροπή (μια “Περιορισμένη Μεταφορά EU“); και (ii) όπου ισχύει ο UK GDPR, μια μεταφορά προσωπικών δεδομένων από το Ηνωμένο Βασίλειο σε οποιαδήποτε άλλη χώρα που δεν υπόκειται ή δεν βασίζεται σε κανονισμούς επάρκειας σύμφωνα με την Ενότητα 17Α του Νόμου περί Προστασίας Δεδομένων του Ηνωμένου Βασιλείου 2018 (μια “Περιορισμένη Μεταφορά UK“).

«Συμβάν Ασφαλείας» σημαίνει μια παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, τροποποίηση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση σε Κοινά Δεδομένα.

«Πώληση» και «κοινοποίηση» θα έχουν τις έννοιες που καθορίζονται στον CCPA και CPRA και στους κανονισμούς εφαρμογής τους.

«Κοινά Δεδομένα» σημαίνει τις κατηγορίες Προσωπικών Πληροφοριών που αναφέρονται στο Παράρτημα I της παρούσας DPA.

«Standard Contractual Clauses» σημαίνει: (i) όπου ισχύει ο EU GDPR, τις συμβατικές ρήτρες που επισυνάπτονται στην Εκτελεστική Απόφαση 2021/914 της Ευρωπαϊκής Επιτροπής της 4ης Ιουνίου 2021 σχετικά με τις standard contractual clauses για τη μεταφορά προσωπικών δεδομένων σε τρίτες χώρες σύμφωνα με τον Κανονισμό (EU) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου («EU SCCs»); και (ii) όπου ισχύει ο UK GDPR, το “Διεθνές Πρόσθετο Μεταφοράς Δεδομένων στις Standard Contractual Clauses της Επιτροπής EU” που εκδόθηκε από τον Επίτροπο Πληροφοριών σύμφωνα με το άρθρο 119A(1) της DPA 2018 («UK Addendum»).

«Νόμοι Προστασίας Δεδομένων του Ηνωμένου Βασιλείου» σημαίνει: (i) τον EU GDPR καθώς αποτελεί μέρος του δικαίου του Ηνωμένου Βασιλείου δυνάμει του άρθρου 3 του Νόμου για την Έξοδο από την Ευρωπαϊκή Ένωση 2018 (ο “UK GDPR“); (ii) τους Κανονισμούς για την Ιδιωτικότητα και τις Ηλεκτρονικές Επικοινωνίες (Οδηγία EU) 2003; (iii) τον Νόμο για την Προστασία Δεδομένων 2018; και (iv) οποιονδήποτε άλλο νόμο στο Ηνωμένο Βασίλειο που εκδόθηκε σύμφωνα με, ή που εφαρμόζει (i) ή (ii), ή που σχετίζεται με την επεξεργασία προσωπικών δεδομένων; σε κάθε περίπτωση, όπως τροποποιείται ή αντικαθίσταται από καιρό σε καιρό.

Υπό την προϋπόθεση ότι ο Συνεργάτης συμμορφώνεται με τη Βασική Συμφωνία και την παρούσα DPA, η Taboola θα αποκαλύψει ή θα καταστήσει διαθέσιμα τα Κοινά Δεδομένα στον Συνεργάτη για να τα επεξεργαστεί αυστηρά για τον Επιτρεπόμενο Σκοπό.

Τα μέρη αναγνωρίζουν ότι η Taboola είναι υπεύθυνη για τα Κοινά Δεδομένα που αποκαλύπτει στον Συνεργάτη, και ότι ο Συνεργάτης θα επεξεργαστεί τα Κοινά Δεδομένα ως υπεύθυνος αυστηρά για τον Επιτρεπόμενο Σκοπό.

Ο Συνεργάτης εγγυάται, δηλώνει και αναλαμβάνει ότι:

(α) θα επεξεργάζεται τα Κοινά Δεδομένα μόνο για τον Επιτρεπόμενο Σκοπό και σύμφωνα με τους Εφαρμοστέους Νόμους Προστασίας Δεδομένων;

(β) δεν έχει κανένα λόγο να πιστεύει ότι οι Εφαρμοστέοι Νόμοι Προστασίας Δεδομένων τον εμποδίζουν να εκπληρώσει τις υποχρεώσεις του σχετικά με την Επεξεργασία των Κοινών Δεδομένων για τον Επιτρεπόμενο Σκοπό;

(γ) αν ο Συνεργάτης διαπιστώσει ότι δεν μπορεί να επεξεργαστεί τα Κοινά Δεδομένα για τον Επιτρεπόμενο Σκοπό σύμφωνα με τους Εφαρμοστέους Νόμους Προστασίας Δεδομένων, θα ενημερώσει άμεσα την Taboola;

(δ) θα διατηρεί και θα παρουσιάζει ανά πάσα στιγμή μια δημόσια προσβάσιμη ειδοποίηση απορρήτου στην ιστοσελίδα του που συμμορφώνεται με τις απαιτήσεις των Εφαρμοστέων Νόμων Προστασίας Δεδομένων, και που παρέχει στοιχεία επικοινωνίας όπου τα υποκείμενα των δεδομένων μπορούν να υποβάλουν ερωτήσεις σχετικά με την προστασία δεδομένων;

(ε) θα επιτρέπει στα υποκείμενα των δεδομένων να ασκούν τα δικαιώματα προστασίας δεδομένων τους σύμφωνα με τους Εφαρμοστέους Νόμους Προστασίας Δεδομένων, συμπεριλαμβανομένου (χωρίς περιορισμό) του δικαιώματός τους να αντιταχθούν στην επεξεργασία των Κοινών Δεδομένων τους;

(στ) όσον αφορά οποιαδήποτε επεξεργασία Κοινών Δεδομένων που προστατεύεται σύμφωνα με τους Ευρωπαϊκούς Νόμους Προστασίας Δεδομένων, θα:

(ζ) θα επεξεργάζεται τα Κοινά Δεδομένα μόνο εφόσον έχει τη συγκατάθεση να το πράξει, σύμφωνα με τις απαιτήσεις των Ευρωπαϊκών Νόμων Προστασίας Δεδομένων; και

(η) θα εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα, συμπεριλαμβανομένων, τουλάχιστον, των μέτρων που καθορίζονται στο Παράρτημα II για να προστατεύσει τα Κοινά Δεδομένα από και κατά ενός Συμβάντος Ασφαλείας.

Η Taboola μπορεί να λάβει εύλογα και κατάλληλα μέτρα για να διασφαλίσει ότι ο Συνεργάτης επεξεργάζεται τα Κοινά Δεδομένα σύμφωνα με τη Βασική Συμφωνία και αυτή τη DPA με τρόπο που να είναι συνεπής με τους Εφαρμοστέους Νόμους Προστασίας Δεδομένων.

Εάν ο Συνεργάτης δεν συμμορφώνεται με τη Βασική Συμφωνία, αυτή τη DPA ή τους Εφαρμοστέους Νόμους Προστασίας Δεδομένων, η Taboola θα λάβει εύλογα και κατάλληλα μέτρα για να σταματήσει και να αποκαταστήσει τη μη εξουσιοδοτημένη χρήση των Κοινών Δεδομένων (συμπεριλαμβανομένης της αναστολής ή της τερματισμού της αποκάλυψης των Κοινών Δεδομένων στον Συνεργάτη).

Ο Συνεργάτης θα συμμορφώνεται με τους Εφαρμοστέους Νόμους Προστασίας Δεδομένων και θα παρέχει το ίδιο επίπεδο προστασίας της ιδιωτικότητας στα Κοινά Δεδομένα όπως απαιτείται από τους Εφαρμοστέους Νόμους Προστασίας Δεδομένων.

Σε περίπτωση που οποιαδήποτε από τις δύο πλευρές λάβει οποιαδήποτε αλληλογραφία, ερώτηση ή καταγγελία από υποκείμενο δεδομένων, ρυθμιστική αρχή ή άλλο τρίτο μέρος (“Αλληλογραφία“) που σχετίζεται με (α) την αποκάλυψη των Κοινών Δεδομένων για τον Επιτρεπόμενο Σκοπό ή (β) την επεξεργασία των Κοινών Δεδομένων από την άλλη πλευρά, θα ενημερώσει άμεσα την άλλη πλευρά δίνοντας πλήρη λεπτομέρειες για το ίδιο, και οι πλευρές θα συνεργαστούν εύλογα και καλή πίστη προκειμένου να απαντήσουν στην Αλληλογραφία σύμφωνα με οποιεσδήποτε απαιτήσεις σύμφωνα με τον Εφαρμοστέο Νόμο Προστασίας Δεδομένων.

Στο βαθμό που οποιαδήποτε μεταφορά Κοινών Δεδομένων από την Taboola στον Συνεργάτη είναι μια Περιορισμένη Μεταφορά, οι Standard Contractual Clauses θα ενσωματωθούν σε αυτή τη DPA και θα ισχύουν ως εξής:

(α) όπου η Περιορισμένη Μεταφορά είναι μια Περιορισμένη Μεταφορά EU, οι EU SCCs θα ισχύουν μεταξύ της Taboola (ως εξαγωγέας δεδομένων) και του Συνεργάτη (ως εισαγωγέας δεδομένων) ως εξής:

(i) θα ισχύει το Μοντέλο Ένα;

(ii) στη Ρήτρα 7, θα ισχύει η προαιρετική ρήτρα σύνδεσης;

(iii) στη Ρήτρα 11, η προαιρετική γλώσσα δεν θα ισχύει;

(iv) στη Ρήτρα 17, θα ισχύει η Επιλογή 1 και οι EU SCCs θα διέπονται από το ιρλανδικό δίκαιο;

(v) στη Ρήτρα 18(β), οι διαφορές θα επιλύονται ενώπιον των δικαστηρίων της Ιρλανδίας;

(vi) στο Παράρτημα I:

(Α) Τα Μέρη A και B θα θεωρούνται συμπληρωμένα με τις πληροφορίες που αναφέρονται στο Παράρτημα A αυτής της DPA;

(B) Το Μέρος C θα θεωρείται συμπληρωμένο σύμφωνα με τα κριτήρια που αναφέρονται στη Ρήτρα 13(α) των EU SCCs; και

(vii) Το Παράρτημα II θα θεωρείται συμπληρωμένο με τα μέτρα ασφαλείας που αναφέρονται στο Παράρτημα B αυτής της DPA.

(β) όπου η Περιορισμένη Μεταφορά είναι μια Περιορισμένη Μεταφορά UK, η UK Addendum θα ισχύει μεταξύ των πλευρών ως εξής:

(i) οι EU SCCs, συμπληρωμένες όπως αναφέρεται παραπάνω, θα ισχύουν μεταξύ των πλευρών και θα τροποποιηθούν από την UK Addendum (συμπληρωμένη όπως αναφέρεται στην υπο-ρήτρα (ii) παρακάτω);

(ii) οι πίνακες 1 έως 3 του UK Addendum θα θεωρούνται συμπληρωμένοι με τις σχετικές πληροφορίες από τις EU SCCs, συμπληρωμένες όπως αναφέρεται παραπάνω, και οι επιλογές “Exporter” και “Importer” θα θεωρούνται επιλεγμένες στον πίνακα 4.  Η ημερομηνία έναρξης του UK Addendum (όπως αναφέρεται στον πίνακα 1) θα είναι η ημερομηνία έναρξης αυτού του DPA.

Ο Συνεργάτης δεν θα προχωρήσει σε περιορισμένη μεταφορά Κοινών Δεδομένων σε τρίτο μέρος εκτός αν έχει εκτελέσει όλες τις απαραίτητες ενέργειες για να διασφαλίσει ότι η περιορισμένη μεταφορά είναι σύμφωνη με την Εφαρμοστέα Νομοθεσία Προστασίας Δεδομένων και οποιεσδήποτε Standard Contractual Clauses έχει υπογράψει με την Taboola.

Παρά τα παραπάνω, εάν ο Συνεργάτης έχει πιστοποιηθεί σύμφωνα με το DPF και συμμορφώνεται με αυτό, οι μεταφορές Κοινών Δεδομένων προς τον Συνεργάτη που γίνονται σύμφωνα με το DPF δεν θα θεωρούνται περιορισμένη μεταφορά.  Σε αυτή την περίπτωση, ο Συνεργάτης θα ενημερώσει αμέσως την Taboola εάν αποτύχει να συμμορφωθεί με την πιστοποίηση DPF ή εάν η πιστοποίηση DPF λήξει ή αλλιώς ακυρωθεί, στην οποία περίπτωση:

(α) οποιεσδήποτε μεταφορές Κοινών Δεδομένων από την Taboola προς τον Συνεργάτη θα θεωρούνται αμέσως περιορισμένη μεταφορά και οι διατάξεις περιορισμένης μεταφοράς παραπάνω θα ισχύουν; και

(β) η Taboola μπορεί, κατά την απόλυτη διακριτική της ευχέρεια, να επιλέξει να αναστείλει ή να τερματίσει τις μεταφορές Κοινών Δεδομένων προς τον Συνεργάτη χωρίς ποινή.

Ο Συνεργάτης θα υπερασπιστεί την Taboola και τους διευθυντές, αξιωματούχους, υπαλλήλους, πράκτορες και πελάτες της (οι “Taboola Indemnitees“) από και κατά οποιωνδήποτε και όλων των αξιώσεων, απαιτήσεων, αγωγών, διαδικασιών και ενεργειών που προβάλλονται από τρίτο μέρος σχετικά με μια κατηγορία ότι ο Συνεργάτης παραβίασε αυτό το DPA ή τις Εφαρμοστέες Νομοθεσίες Προστασίας Δεδομένων και θα αποζημιώσει τους Taboola Indemnitees για όλες τις ζημίες, απώλειες, κόστη και έξοδα (συμπεριλαμβανομένων των εύλογων αμοιβών δικηγόρων) που προκύπτουν από ή σχετίζονται με αυτή την αξίωση.

Ο Συνεργάτης είναι αποκλειστικά υπεύθυνος για τη δική του συμμόρφωση με τις Εφαρμοστέες Νομοθεσίες Προστασίας Δεδομένων στην επεξεργασία των Κοινών Δεδομένων.

Σε περίπτωση οποιωνδήποτε αλλαγών στις Εφαρμοστέες Νομοθεσίες Προστασίας Δεδομένων, η Taboola μπορεί να τροποποιήσει και να ενημερώσει αυτό το DPA όπου και στο βαθμό που είναι απαραίτητο για να συμμορφωθεί με αυτές τις αλλαγές στις Εφαρμοστέες Νομοθεσίες Προστασίας Δεδομένων.

Με ισχύ από την ημερομηνία έναρξης αυτού του DPA, οι αναφορές στη “Συμφωνία” σε αυτό το DPA ή στη Βασική Συμφωνία θα σημαίνουν τη Βασική Συμφωνία όπως συμπληρώνεται από αυτό το DPA.

A. ΛΙΣΤΑ ΜΕΡΩΝ

[πίνακας id=13 /]

[πίνακας id=14 /]

Β. ΠΕΡΙΓΡΑΦΗ ΜΕΤΑΦΟΡΑΣ

[πίνακας id=15 /]

Γ. ΑΡΜΟΔΙΑ ΕΠΙΤΡΟΠΗ ΕΠΟΠΤΕΙΑΣ

[πίνακας id=16 /]

Περιγραφή των τεχνικών και οργανωτικών μέτρων που εφαρμόζονται από κάθε μέρος (συμπεριλαμβανομένων τυχόν σχετικών πιστοποιήσεων) για να διασφαλιστεί ένα κατάλληλο επίπεδο ασφάλειας, λαμβάνοντας υπόψη τη φύση, την έκταση, το πλαίσιο και τον σκοπό της επεξεργασίας, καθώς και τους κινδύνους για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Ο Συνεργάτης δηλώνει και εγγυάται ότι έχει κατάλληλα τεχνικά και οργανωτικά μέτρα ουσιαστικά παρόμοια με τα μέτρα ασφαλείας της Taboola που αναφέρονται παρακάτω.

Μέτρα ψευδωνυμοποίησης και κρυπτογράφησης προσωπικών δεδομένων: Η Taboola συλλέγει μόνο ψευδωνυμοποιημένα δεδομένα, που σημαίνει ότι δεν γνωρίζουμε ποιος είστε επειδή δεν γνωρίζουμε ή επεξεργαζόμαστε το όνομα, τη διεύθυνση email ή άλλα αναγνωρίσιμα δεδομένα του χρήστη. Οι πληροφορίες χρήστη που συλλέγουμε περιλαμβάνουν, αλλά δεν περιορίζονται σε, πληροφορίες σχετικά με τη συσκευή και το λειτουργικό σύστημα του χρήστη, τη διεύθυνση IP, τις ιστοσελίδες που επισκέπτονται οι χρήστες στους ιστότοπους των πελατών μας, τον σύνδεσμο που οδήγησε έναν χρήστη στον ιστότοπο ενός πελάτη, τις ημερομηνίες και τις ώρες που ένας χρήστης έχει πρόσβαση σε έναν ιστότοπο πελάτη και άλλα δεδομένα περιήγησης στο διαδίκτυο. Το CookieID είναι ανώνυμο χρησιμοποιώντας Bcrypt και η διεύθυνση IP είναι περικομμένη.

Μέτρα για τη διασφάλιση της συνεχιζόμενης εμπιστευτικότητας, ακεραιότητας, διαθεσιμότητας και ανθεκτικότητας των συστημάτων και υπηρεσιών επεξεργασίας: Η Taboola χρησιμοποιεί πολλαπλά επίπεδα ηλεκτρονικής ασφάλειας (π.χ.: ασφάλεια σημείου πρόσβασης, ασφάλεια πλευράς διακομιστή, παρακολούθηση ανιχνεύσεων, περιοδικές δοκιμές διείσδυσης και βαθιά συλλογή πληροφοριών για την ανασκόπηση μεταθανάτιων γεγονότων).

Μέτρα για την εξασφάλιση της ικανότητας αποκατάστασης της διαθεσιμότητας και πρόσβασης σε προσωπικά δεδομένα σε έγκαιρη βάση σε περίπτωση φυσικού ή τεχνικού περιστατικού: Η Taboola διατηρεί 9 κέντρα δεδομένων που λειτουργούν σε όλο τον κόσμο. Κάθε κέντρο δεδομένων χρησιμοποιείται ως αναπαραγωγή του άλλου, έτσι ώστε αν ένα πέσει, τα δεδομένα να μπορούν να εξαχθούν από το άλλο κέντρο δεδομένων.

Διαδικασίες για τακτική δοκιμή, αξιολόγηση και εκτίμηση της αποτελεσματικότητας τεχνικών και οργανωτικών μέτρων προκειμένου να διασφαλιστεί η ασφάλεια της επεξεργασίας: Η Taboola διατηρεί αυστηρές διαδικασίες για τη δοκιμή της αποτελεσματικότητας των ελέγχων της (τόσο τεχνικών όσο και οργανωτικών). Έχουμε καταγραφή και παρακολούθηση συστήματος σε εφαρμογή, μηνιαία (τουλάχιστον) δοκιμή DR, τριμηνιαίες δοκιμές διείσδυσης, τείχη προστασίας που προστατεύουν το διαδίκτυο και honeypots που είναι διασκορπισμένα σε όλο το δίκτυο για να εντοπίσουν οποιαδήποτε κακόβουλη δραστηριότητα. Επιπλέον, έχουμε πρόγραμμα επιβράβευσης που μας βοηθά να παρακολουθούμε συνεχώς το δίκτυό μας.

Μέτρα για την ταυτοποίηση και εξουσιοδότηση χρηστών: Κάθε χρήστης στην Taboola συνδέεται με ένα αποκλειστικό όνομα χρήστη και κωδικό πρόσβασης. Κάθε πρόσβαση στο εσωτερικό δίκτυο της Taboola γίνεται με 2FA χρησιμοποιώντας την πιστοποίηση Google. Οι χρήστες δημιουργούνται μόνο από το τμήμα IT, κατά τη διαδικασία ένταξης και μόνο μετά τη λήψη όλων των λεπτομερειών και υπογεγραμμένου συμβολαίου από το τμήμα HR.

Μέτρα για την προστασία των δεδομένων κατά τη διάρκεια της μετάδοσης: Η Taboola υποστηρίζει οποιαδήποτε μετάδοση δεδομένων μέσω ασφαλών πρωτοκόλλων μετάδοσης (HTTPS και TLS v1.2 τουλάχιστον). Επιπλέον, τα συστήματα που μπορεί να περιέχουν PII είναι ασφαλή και τα δεδομένα διατηρούνται κωδικοποιημένα και ανώνυμα.

Μέτρα για την προστασία των δεδομένων κατά την αποθήκευση: Τα δεδομένα που αποθηκεύονται στις βάσεις δεδομένων μας είναι ανώνυμα και κωδικοποιημένα χρησιμοποιώντας Bcrypt. Η πρόσβαση στη βάση δεδομένων ελαχιστοποιείται και βασίζεται σύμφωνα με την αρχή της ‘επιχειρηματικής ανάγκης να γνωρίζουν’.

Μέτρα για την εξασφάλιση φυσικής ασφάλειας των τοποθεσιών στις οποίες επεξεργάζονται προσωπικά δεδομένα: Κάθε ένα από τα παγκόσμια κέντρα δεδομένων της Taboola (στις ΗΠΑ, την Ευρώπη και την Ασία), έχει όλους τους διακομιστές του τοποθετημένους σε κλειδωμένα ντουλάπια που διατηρούνται αποκλειστικά για τη χρήση της Taboola. Αυτά τα ντουλάπια διατηρούνται από εταιρείες που είναι είτε πιστοποιημένες SOC2 είτε η Taboola έχει ελέγξει τα μέτρα ασφαλείας τους. Επιπλέον, οποιαδήποτε πρόσβαση στους διακομιστές απαιτεί γραπτή, καταγεγραμμένη άδεια. Όλα τα γραφεία της Taboola ελέγχονται επίσης και απαιτούν από τους υπαλλήλους να χρησιμοποιούν κάρτες πρόσβασης για να εισέλθουν. Επιπλέον, μόνο περιορισμένος αριθμός υπαλλήλων έχει πρόσβαση στους διακομιστές της Taboola και οποιαδήποτε πρόσβαση απαιτεί επίσης γραπτή, καταγεγραμμένη άδεια.

Μέτρα για την εξασφάλιση καταγραφής γεγονότων: Η Taboola εφαρμόζει εργαλεία παρακολούθησης και τα αρχεία καταγραφής συγκεντρώνονται στο σύστημα SIEM μας, το οποίο μας ειδοποιεί για οποιοδήποτε ύποπτο γεγονός και παρακολουθείται επίσης από την ομάδα NOC.

Μέτρα για την εξασφάλιση της διαμόρφωσης του συστήματος, συμπεριλαμβανομένης της προεπιλεγμένης διαμόρφωσης: Οι διακομιστές ελέγχονται για αποκλίσεις στη διαμόρφωση και επίπεδο ενημερώσεων. Η αναφορά και/ή η ειδοποίηση ρυθμίζονται και επιβεβαιώνεται το σχετικό επίπεδο ενημερώσεων. Νέες ενημερώσεις διανέμονται χρησιμοποιώντας το Puppet. Όλες οι τεχνικές ανασκοπήσεις διαχειρίζονται μέσω της εφαρμογής R&D και αποκτώνται μέσω μιας επίσημης διαδικασίας ανασκόπησης (QA) μετά την κωδικοποίηση και την εφαρμογή διαδικασιών CI/CD.

Μέτρα για την εσωτερική διακυβέρνηση και διαχείριση IT και ασφάλειας IT: Η Taboola είναι πιστοποιημένη κατά ISO/IEC 27001:2013 και ISO/IEC 27701:2019. Η Taboola διαθέτει Πολιτική Ασφάλειας Πληροφοριών που δηλώνει ότι το Διοικητικό Συμβούλιο και η διοίκηση της Taboola είναι δεσμευμένα να διατηρούν την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα όλων των φυσικών και ηλεκτρονικών περιουσιακών στοιχείων πληροφοριών σε όλη την οργάνωσή τους. Η Taboola διοργανώνει εκπαιδεύσεις ασφαλείας για όλους τους νέους υπαλλήλους, εκπαιδεύσεις κατά της απάτης για όλους τους υπαλλήλους παγκοσμίως και τακτικές εκπαιδεύσεις ασφαλείας για όλους τους υπαλλήλους και επίσης αφιερώνει συνεδρίες για τις ομάδες R&D.

Μέτρα για πιστοποίηση/διασφάλιση διαδικασιών και προϊόντων: Τριμηνιαίος / Ημιετήσιος / ετήσιος εσωτερικός έλεγχος σε πολλές διαδικασίες και συστήματα για να επιβεβαιωθεί ότι η Taboola συμμορφώνεται με τους στόχους και τα μέτρα ασφαλείας που έχουν καθοριστεί.

Μέτρα για την εξασφάλιση ελαχιστοποίησης δεδομένων: Η Taboola περιορίζει σκόπιμα τα δεδομένα που συλλέγουμε ως μέρος των παγκόσμιων αρχών ελαχιστοποίησης δεδομένων της Taboola, επεξεργαζόμενη μόνο τα περιορισμένα δεδομένα που χρειάζονται για τους συγκεκριμένους επιχειρηματικούς σκοπούς μας. Επιπλέον, η Taboola δεν έχει τη δυνατότητα, ούτε οποιαδήποτε επιχειρηματική ανάγκη, να “αναστρέψει” κανένα από τα σημεία δεδομένων που χρησιμοποιούνται στον αλγόριθμό μας προκειμένου να παρέχει τις υπηρεσίες μας. Πιο συγκεκριμένα, τα σημεία δεδομένων που συλλέγει η Taboola δεν υποδεικνύουν ποτέ την ταυτότητα ενός χρήστη — καθώς η Taboola δεν συλλέγει ή επεξεργάζεται πληροφορίες όπως το όνομα του χρήστη, τον αριθμό τηλεφώνου, το email ή τις φυσικές διευθύνσεις. Αντίθετα, η Taboola συλλέγει μόνο ψευδώνυμες ταυτοποιήσεις, οι οποίες απλώς προσδιορίζουν χαρακτηριστικά σχετικά με τη συσκευή ενός χρήστη. Αυτό περιλαμβάνει διευθύνσεις IP (οι οποίες είναι συντομευμένες κατά τη συλλογή και μπορούν να προσδιορίσουν μόνο τη γενική τοποθεσία ταχυδρομικού κώδικα της συσκευής, αλλά ποτέ μια ακριβή γεωγραφική τοποθεσία) και, σε ορισμένες περιορισμένες περιπτώσεις, κωδικοποιημένες διευθύνσεις email (οι οποίες είναι εγγενώς μη αναστρέψιμες και δεν μπορούν να αποκρυπτογραφηθούν για να αποκαλύψουν τη αρχική διεύθυνση email). Επιπλέον, ακόμη και όταν χρησιμοποιούνται συλλογικά, τα δεδομένα που συλλέγουμε δεν μπορούν ποτέ να παράγουν το όνομα, τον αριθμό τηλεφώνου, το email ή τη φυσική διεύθυνση ενός ατόμου, και οι μηχανικοί μας δεν εργάζονται με κανέναν τρόπο για να επιτύχουν αυτόν τον στόχο. Επιπλέον, η Taboola πραγματοποιεί και καταγράφει εκτιμήσεις επιπτώσεων στην ιδιωτικότητα προκειμένου να ελαχιστοποιήσει τους κινδύνους ιδιωτικότητας των υπηρεσιών, διαδικασιών και πολιτικών μας.

Μέτρα για την εξασφάλιση ποιότητας δεδομένων: Τα δεδομένα συλλέγονται απευθείας από τον χρήστη και ο χρήστης έχει την ευκαιρία να διορθώσει οποιαδήποτε δεδομένα σχετίζονται με το CookieID του μέσω της Πύλης Αίτησης Πρόσβασης Υποκειμένου της Taboola: https://accessrequest.taboola.com/access

Μέτρα για την εξασφάλιση περιορισμένης διατήρησης δεδομένων: Διατηρούμε τις πληροφορίες των χρηστών, οι οποίες συλλέγονται απευθείας για σκοπούς προβολής διαφημίσεων, για το πολύ δεκατρία (13) μήνες από την τελευταία αλληλεπίδραση του χρήστη με τις υπηρεσίες μας (συχνά για μικρότερο χρονικό διάστημα), μετά το οποίο απο-ταυτοποιούμε τα δεδομένα αφαιρώντας μοναδικούς ταυτοποιητές ή συγκεντρώνοντας τα δεδομένα. Αυτή η διαδικασία γίνεται αυτόματα.

Μέτρα για την εξασφάλιση λογοδοσίας: Η Taboola πραγματοποιεί πολλαπλούς ελέγχους ασφαλείας και δοκιμές διείσδυσης (αλλά όχι για όλα τα συστήματα). Η Taboola χρησιμοποιεί επίσης παρόχους cloud που είναι πιστοποιημένοι κατά ISO και συμμορφώνονται με άλλες σχετικές πιστοποιήσεις cloud για τη διατήρηση των φυσικών προστατευτικών μέτρων ενός διακομιστή.

Μέτρα για την επιτρεπόμενη φορητότητα δεδομένων και την εξασφάλιση διαγραφής: Η Taboola σχετίζεται με την απόρριψη μέσων, το ίδιο για όλα τα είδη μέσων καθώς μπορεί να περιέχει ΠΠΔ. Οποιοδήποτε μέσο πρέπει να διαγραφεί πλήρως πριν από την επαναχρησιμοποίηση ή την απόρριψη. Οποιαδήποτε απόρριψη μέσων καταγράφεται. Οι υπάλληλοι καθοδηγούνται να μην εκτυπώνουν κανένα έγγραφο που μπορεί να περιέχει προσωπικές πληροφορίες.