Hirdetői Adatvédelmi Feltételek

Last Update: November 14, 2025

Hatálybalépés dátuma: 2023. augusztus 14.

Ezek a Taboola Hirdetői Adatvédelmi Feltételek („Hirdetői Adatvédelmi Feltételek”) a Taboola digitális hirdetési szolgáltatásaira vonatkoznak, például amikor a Taboola hirdetői tartalmat terjeszt a terjesztési platformján, Taboola Dinamikus Kreatív Optimalizálás (DCO) vagy GenAI Landing Page a Taboola és egy Hirdető közötti megállapodás („Megállapodás”) alapján, és ezek a Hirdetői Adatvédelmi Feltételek úgy tekintendők, hogy beépülnek, és szerves részét képezik bármely ilyen Megállapodásnak.  Ezek a Hirdetői Adatvédelmi Feltételek azonosítják a Taboola és a Hirdető szerepét és felelősségét a Személyes Adatokkal kapcsolatban.

Ha ellentmondás van a Hirdető Adatvédelmi Feltételei és a Megállapodás között, akkor a Hirdető Adatvédelmi Feltételei érvényesek az ellentmondás mértékéig, hacsak a Megállapodás ellentmondó rendelkezése kifejezetten nem hivatkozik a Hirdető Adatvédelmi Feltételei ellentmondó rendelkezésére, és nem határozza meg, hogy az érvényesül az ellentmondó rendelkezéssel szemben.

A jelen szakaszban meghatározott kifejezések az alábbi jelentéssel bírnak, és a rokon kifejezéseket ennek megfelelően kell értelmezni. A Hirdető Adatvédelmi Feltételeiben használt, de nem meghatározott nagybetűs kifejezések a Megállapodásban meghatározott jelentéssel bírnak.

      1. Alkalmazandó Adatvédelmi Törvények” minden olyan szövetségi, nemzeti, állami vagy egyéb adatvédelmi és adatvédelmi törvényt jelent, amely a Megállapodás és a Hirdető Feltételek tárgyát képező Feldolgozásra vonatkozik, és amelyeket időről időre módosíthatnak vagy felülírhatnak.
      2. Gyűjtött Adatok” azt a Személyes Adatot jelenti, amelyet mindkét fél a Data Subjects-től gyűjt a szervereiken vagy hálózataikon (beleértve minden passzívan gyűjtött vagy gépileg olvasható adatot, például a böngésző típusára és az eszközazonosítókra vonatkozó adatokat) a Szolgáltatások nyújtása vagy fogadása kapcsán.
      3. Adatkezelő” azt jelenti: (i) egy olyan entitás, amely meghatározza a Személyes Adatok Feldolgozásának céljait és eszközeit, és (ii) bármely olyan személy, aki az „adatkezelő” (vagy bármely lényegében analóg kifejezés) fogalmának hatálya alá tartozik, ahogyan azt az Alkalmazandó Adatvédelmi Törvények definiálják.
      4. Kaliforniai Adatvédelmi Törvény” a 2018-as Kaliforniai Fogyasztói Adatvédelmi Törvényt, Cal. Civil Code § 1798.100 et seq. (“CCPA“), módosítva (beleértve a Kaliforniai Adatvédelmi Jogi Törvényt), és minden alárendelt jogszabályt és végrehajtási rendeletet jelent.
      5. Adat Alany” jelentése: (i) egy azonosított vagy azonosítható természetes személy (és e célokból az azonosítható természetes személy az, aki közvetlenül vagy közvetve azonosítható, különösen egy azonosító, például név, azonosító szám, helyadatok, online azonosító vagy egy vagy több, a természetes személy fizikai, fiziológiai, genetikai, mentális, gazdasági, kulturális vagy társadalmi identitására jellemző tényező alapján), és (ii) bármely olyan személy, aki a “data subject”, “fogyasztó” (vagy bármely lényegében analóg kifejezés) kifejezés hatálya alá tartozik, ahogyan azt az Adatvédelmi Törvények definiálják.
      6. A “EU Adatvédelmi Törvény” jelentése: (i) az EU Általános Adatvédelmi Rendelete (Rendelet 2016/679) (“EU GDPR“); (ii) az EU e-Privacy Irányelv (Irányelv 2002/58/EK); és (iii) bármely nemzeti adatvédelmi törvény, amelyet (i) vagy (ii) alapján hoztak létre vagy fogadtak el, mindegyik időről időre módosítható vagy felülírható.
      7. A “Megengedett Célok” jelentése a 3. szakaszban megadottak szerint.
      8. A “Személyes Adatok” jelentése bármely információ, amely egy Adat Alanyra vonatkozik (beleértve, ahol az Alkalmazandó Adatvédelmi Törvény megköveteli, egyedi böngésző- vagy eszközazonosítókat), ahogyan az A melléklet B részében szerepel.
      9. A “Feldolgozás” jelentése bármely művelet vagy műveletek összessége, amelyet Személyes Adatokon vagy Személyes Adatok halmazain hajtanak végre, függetlenül attól, hogy automatizált eszközökkel történik-e, mint például gyűjtés, fogadás, rögzítés, szervezés, struktúrázás, használat, továbbítás, hozzáférés, megosztás, nyilvánosságra hozatal, átvitel, tárolás, alkalmazás vagy módosítás, visszakeresés, konzultáció, terjesztés vagy más módon történő rendelkezésre bocsátás, összehangolás vagy kombinálás, aggregálás, következtetés, származtatás, elemzés, korlátozás, törlés, megsemmisítés vagy ártalmatlanítás vagy más Személyes Adatok kezelése, beleértve, hogy az ilyen kifejezés hogyan van definiálva az Alkalmazandó Adatvédelmi Törvények alatt.
      10. A “Feldolgozó” jelentése: (i) egy olyan entitás, amely Személyes Adatokat dolgoz fel egy Adatkezelő nevében, és (ii) bármely olyan személy, aki a “feldolgozó” (vagy bármely lényegében analóg kifejezés) kifejezés hatálya alá tartozik, ahogyan azt az Alkalmazandó Adatvédelmi Törvények definiálják.
      11. A “Korlátozott Átadás” jelentése: (i) ahol az EU GDPR alkalmazandó, a Személyes Adatok átvitele az EGT-ből egy olyan országba, amely nem áll az Európai Bizottság által meghatározott megfelelőségi határozat hatálya alatt (“EU Korlátozott Átadás“); és (ii) ahol az Egyesült Királyság GDPR alkalmazandó, a Személyes Adatok átvitele az Egyesült Királyságból bármely más országba, amely nem áll a megfelelőségi szabályozások hatálya alatt vagy azok alapján, a 2018-as Egyesült Királyság Adatvédelmi Törvény 17A. szakasza szerint (“UK Korlátozott Átadás“).
      12. A “Eladás” és a “Elad” jelentése a Személyes Adatok pénzbeli vagy egyéb értékes ellenszolgáltatásért való cseréje, és magában foglalja, hogy az ilyen kifejezések hogyan vannak definiálva az Alkalmazandó Adatvédelmi Törvények alatt.
      13. A “Szolgáltatások” a Taboola által a Hirdetővel kötött Megállapodás keretében nyújtott szolgáltatásokat jelenti.
      14. A “Biztonsági Incidens” jelentése a biztonság megsértése, amely a Személyes Adatok véletlen vagy jogellenes megsemmisítéséhez, elvesztéséhez, megváltoztatásához, jogosulatlan nyilvánosságra hozatalához vagy hozzáféréséhez vezet.
      15. A “Standard Contractual Clauses” jelentése: (i) ahol az EU GDPR alkalmazandó, a 2021. június 4-i 2021/914-es végrehajtási határozathoz csatolt szerződéses klauzulák az Európai Bizottság által a Személyes Adatok harmadik országokba történő átvitelére vonatkozóan a 2016/679-es Rendelet alapján (“EU SCCs“); és (ii) ahol az Egyesült Királyság GDPR alkalmazandó, a “Nemzetközi Adatátviteli Kiegészítő az EU Bizottság SStandard Contractual Clauses” a Tájékoztatási Biztos által kiadott s.119A(1) alapján a 2018-as DPA szerint (“UK Addendum“).
      16. A “Harmadik Fél” jelentése egy olyan vállalkozás, amely Adatkezelőként jár el a Személyes Adatokkal kapcsolatban, és amely nem az a vállalkozás, amellyel az Adat Alany, akinek Személyes Adatait feldolgozzák, szándékosan kapcsolatba lépett; a kifejezés magában foglalja, hogy az ilyen kifejezés hogyan van definiálva az Alkalmazandó Adatvédelmi Törvények alatt.
      17. A “Egyesült Királyság Adatvédelmi Törvény” jelentése: (i) a 2018-as Egyesült Királyság Adatvédelmi Törvény, (ii) az Egyesült Királyság GDPR (ahogyan azt a 2018-as Egyesült Királyság Adatvédelmi Törvény 3. szakaszának 10. pontja definiálja) (“UK GDPR“), (iii) az Egyesült Királyság Adatvédelmi és Elektronikus Kommunikációs (EK Irányelv) Rendelete 2003), és (iv) bármely más Egyesült Királyság törvény, amelyet (i), (ii) vagy (iii) alapján hoztak létre vagy fogadtak el, mindegyik időről időre módosítható vagy felülírható.

Mindkét fél a másik féltől gyűjtött vagy kapott Adatokat az A melléklet B részében megadott célokra fogja feldolgozni (a “Megengedett Célok“).  A Hirdető egyetértene azzal, hogy a Taboola a Gyűjtött Adatokat a Taboola Adatvédelmi Szabályzatának megfelelően dolgozza fel (amely, a kétségek elkerülése érdekében, szintén Megengedett Cél lesz a Taboola számára).

Abban az esetben, ha a Gyűjtött Adatok megfelelnek a Személyes Adatokra vonatkozó Alkalmazandó Adatvédelmi Törvényeknek, mindkét fél a másik féltől gyűjtött vagy kapott Adatokat Adatkezelőként fogja feldolgozni (amely magában foglalhatja, ahol a Kaliforniai Adatvédelmi Törvény alkalmazandó, mint Harmadik Fél, ahol alkalmazható).  A gyűjtött adatok vagy személyes adatok átruházása (legyen az átruházás, vagy egy fél által a másik fél számára elérhetővé tett adatok) harmadik feleknek minősül.

      1. Ha az Egyesült Államok vagy az Egyesült Államok állami adatvédelmi törvényei vonatkoznak a gyűjtött adatokra, beleértve a kaliforniai adatvédelmi törvényt is, amennyiben a Realize Pixels (korábban “Taboola Pixels” néven ismert) a Szolgáltatásokkal összefüggésben személyes adatokat dolgoz fel egy látogatóról, a Taboola harmadik félként jár el a hirdető számára az ilyen személyes adatokkal kapcsolatban. A Taboola az ilyen személyes adatokat a megengedett célokra dolgozza fel. Az ilyen személyes adatok csak a megengedett célokra állnak rendelkezésre a Taboola számára.  A Taboola ugyanazt a szintű adatvédelmi védelmet biztosítja, mint amit a vonatkozó amerikai adatvédelmi törvények megkövetelnek a vállalkozásoktól, beleértve, ha alkalmazható, a kaliforniai adatvédelmi törvényeket. A Taboola tájékoztatni fogja a hirdetőt a vonatkozó adatvédelmi törvények által megkövetelt időkereten belül, ha a Taboola megállapítja, hogy már nem képes teljesíteni kötelezettségeit a vonatkozó adatvédelmi törvények alapján. A Taboolának történő értesítés után a hirdetőnek joga van ésszerű és megfelelő lépéseket tenni a személyes adatok jogosulatlan felhasználásának megállítására és orvoslására, amelyeket a Taboola számára elérhetővé tett.

A felek elismerik, hogy a gyűjtött adatok egy része vagy az összes gyűjtött adat minősülhet személyes adatnak, ezért a vonatkozó adatvédelmi törvények alkalmazhatók mindkét fél gyűjtött adatokkal kapcsolatos feldolgozására.  Ha ez a helyzet, és a 7. szakaszra figyelemmel, mindkét fél egyedileg felelős a vonatkozó adatvédelmi törvényeknek való megfeleléséért, beleértve a következő alkalmazandó követelményeket: (i) átláthatóság biztosítása az adat alanyok számára, (ii) hozzájárulás vagy más jogszerű alap a feldolgozáshoz, és (iii) elérhetőség biztosítása egy kapcsolattartó pontra, amelyen keresztül az adat alanyok gyakorolhatják adatvédelmi jogaikat.

Abban az esetben, ha bármelyik fél korlátozott átruházást végez a gyűjtött adatokra a másik fél számára, az Annex C rendelkezései alkalmazandók.

a. A Taboola a Realize Pixels-t használja a Szolgáltatások nyújtásához.  A 5. szakasz ellenére, amennyiben a Taboola gyűjtött adatokat gyűjt a hirdető digitális tulajdonaiból (például weboldalak, mobilalkalmazások vagy más módon) a Realize Pixels használatával, a hirdetőnek: (i) minden szükséges átláthatósági értesítést meg kell adnia az adat alanyoknak a Taboola Realize Pixels használatáról a gyűjtött adatok gyűjtésére a hirdető digitális tulajdonaiból a megengedett célokra, és (ii) meg kell szereznie (és a Taboola kérésére bármikor megfelelő bizonyítékot kell nyújtania) az adat alany hozzájárulását a Realize Pixels ilyen használatához a megengedett célokra, minden esetben a vonatkozó adatvédelmi törvények követelményeivel összhangban.  A hirdető kötelezettségei e tekintetben magukban foglalják a Taboola és a Realize Pixels megengedett célokra történő használatának kifejezett azonosítását az átláthatósági értesítésekben és a hozzájárulási kérésekben, amelyeket a hirdető az adat alanyoknak nyújt, valamint bármely egyéb információt, amelyet a vonatkozó adatvédelmi törvények megkövetelnek, hogy a Taboola jogszerűen nyújthassa Szolgáltatásait az ilyen digitális tulajdonokon keresztül, és feldolgozhassa a gyűjtött adatokat és személyes adatokat a megengedett célokra. A hirdetőnek, amennyiben megkapja a Taboola Gen AI céloldal szolgáltatását, átlátható értesítést kell biztosítania és felhasználói hozzájárulást kell szereznie.

b. Írásbeli kérés esetén a Taboola olyan információkat fog nyújtani a hirdetőnek, amelyek szükségesek a Realize Pixels és a Taboola gyűjtött adatok feldolgozásáról a hirdető digitális tulajdonain keresztül, hogy a hirdető biztosítani tudja, hogy értesítési és hozzájárulási mechanizmusai megfeleljenek a vonatkozó adatvédelmi törvényeknek.  A hirdető nem indíthat el semmilyen Realize Pixels-t, amíg a szükséges átláthatóságot nem biztosították, és a vonatkozó adatvédelmi törvények alapján szükséges hozzájárulásokat nem szerezték meg.

c. A hirdető továbbá tájékoztatást kell adnia az adat alanyoknak arról, hogyan gyakorolhatják adatvédelmi jogaikat a vonatkozó adatvédelmi törvények alapján, és biztosítania kell egy kapcsolattartó pontot az adat alanyok számára, hogy kapcsolatba léphessenek jogaik gyakorlása érdekében. A Hirdető haladéktalanul értesíti a Taboolát, ha és amennyiben bármilyen adatvédelmi jogi kérelmet kap a Taboola által gyűjtött adatok kezelése kapcsán, mint Adatkezelő, hogy a Taboola eleget tehessen a kérelemnek az Alkalmazandó Adatvédelmi Törvény szerinti kötelezettségeinek megfelelően.

Ha a Taboola a Hirdető kérésére Személyes Adatokat ad át a Hirdető hozzárendelési partnerének vagy a Hirdetőnek hozzárendelési célokra, a Hirdető kijelenti és szavatolja, hogy: (i) a hozzárendelési partnere a Hirdető nevében Adatfeldolgozó; (ii) hacsak nem gyűjtik függetlenül, a Hirdető és a hozzárendelési partner ezeket a Személyes Adatokat kizárólag hozzárendelési célokra használja; és (iii) a hozzárendelési partner és a Hirdető törli az összes átadott Személyes Adatot harminc (30) napon belül, miután utoljára azonosította a Látogatót, mint aki a Taboolától érkezett.

Mindkét fél megfelelő technikai és szervezési biztonsági intézkedéseket hajt végre a Gyűjtött Adatok és/vagy Személyes Adatok védelme érdekében a Biztonsági Eseményekkel szemben.  Ezek az intézkedések tartalmazzák a B. mellékletben meghatározott intézkedéseket.

Ha bármelyik Fél Biztonsági Eseményt szenved el a Gyűjtött Adatok és/vagy Személyes Adatok vonatkozásában, amelyet kezel, és amely a Megállapodás és ezek a Hirdetői Adatvédelmi Feltételek tárgyát képezi, az a Fél: (i) felelős a (saját költségén) bármely jelentési kötelezettség teljesítéséért, amely rá vonatkozik az Alkalmazandó Adatvédelmi Törvények szerint az adatvédelmi hatóságoknak és/vagy az érintett Adatalanyoknak, (ii) haladéktalanul értesíti a másik Felet, megadva a Biztonsági Eseménnyel kapcsolatos információkat, amelyeket a másik Fél ésszerűen kérhet, vagy amelyeket a másik Félnek szükséges tudnia ahhoz, hogy megállapítsa, hogy neki is lehetnek jelentési kötelezettségei az Alkalmazandó Adatvédelmi Törvények szerint a Biztonsági Eseménnyel kapcsolatban, és (iii) minden olyan intézkedést és lépést megtesz, haladéktalanul, amelyek megfelelőek a Biztonsági Esemény hatásainak orvoslására és/vagy mérséklésére.

Ahol és amennyiben az Alkalmazandó Adatvédelmi Törvények megkövetelik, amelyeknek mindkét fél alá van vetve, mindkét fél elvégzi a Gyűjtött Adatok és/vagy Személyes Adatok vonatkozásában a megengedett célok érdekében a szükséges adatvédelmi hatásvizsgálatot, és/vagy konzultál az alkalmazandó adatvédelmi hatóságokkal, ha szükséges.  Mindkét fél minden ésszerű együttműködést és információt biztosít, amelyet a másik fél ésszerűen kér, ha ez szükséges ahhoz, hogy a másik fél elvégezhesse az adatvédelmi hatásvizsgálatot és/vagy konzultálhasson az alkalmazandó adatvédelmi hatóságokkal a másik fél kötelezettségeinek megfelelően a 11. szakaszban.

 

A. FÉL ÉRTEKEZLET

Minden fél a következő lesz:

      • az összegyűjtött adatok adatkezelője (és adatexportálója), amelyeket nyilvánosságra hoz, vagy elérhetővé tesz a másik fél számára, és
      • az összegyűjtött adatok adatkezelője (és adatimportálója), amelyeket a másik féltől kap, vagy amelyekhez hozzáférést biztosítanak a másik fél által.

Minden fél részletei az alábbiakban találhatók.

Név: Lásd a Hirdető részleteit a Megállapodásban.

Cím: Lásd a Hirdető részleteit a Megállapodásban.

Kapcsolattartó neve, pozíciója és elérhetőségei: Lásd a Hirdető részleteit a Megállapodásban, vagy más módon írásban megállapodva a felek között.

A fent említett Klauzulák alapján átvitt adatokkal kapcsolatos tevékenységek: A Szolgáltatások átvétele, ahogyan azt a Megállapodásban meghatározták.

Aláírás és dátum: Ez az A melléklet akkor tekintendő érvényesnek, amikor a Hirdető elfogadja ezeket a Hirdetői Adatvédelmi Feltételeket.

Szerep (irányító/feldolgozó): Irányító (ha adatküldő) és Irányító (ha adatfogadó)

 

Név: Lásd a Taboola részleteit a Megállapodás bevezetésében.

Cím: Lásd a Taboola részleteit a Megállapodás bevezetésében.

Kapcsolattartó neve, pozíciója és elérhetőségei: A Taboola adatvédelmi csapata, privacy@taboola.com.

A fent említett Klauzulák alapján átvitt adatokkal kapcsolatos tevékenységek: A Szolgáltatások nyújtása, ahogyan azt a Megállapodásban meghatározták.

Aláírás és dátum: Ez az A melléklet akkor tekintendő érvényesnek, amikor a Taboola elfogadja ezeket a Hirdetői Adatvédelmi Feltételeket.

Szerep (irányító/feldolgozó): Irányító (ha adatküldő) és Irányító (ha adatfogadó)

 

B. A FELDOLGOZÁS ÉS ÁTADÁS LEÍRÁSA

Azoknak az adatkezelési alanyoknak a kategóriái, akiknek a személyes adatait feldolgozzák és/vagy átadják: Felhasználók

Azoknak a személyes adatoknak a kategóriái, amelyeket feldolgoznak és/vagy átadnak:

Eszközadatok: Működési rendszer, böngésző típusa, böngésző verziója, IP cím (30 napon belül lerövidítve), irányítószám (IP cím alapján), hashelt Taboola Felhasználói azonosító, hashelt e-mailek, kezdeti és további oldalmegtekintések a Hirdető weboldalán, felhasználói nem (érdeklődés alapján), elköteleződési jelek (idő a weboldalon, görgetési mélység, munkamenet mélysége), konverziós adatok.

A felhasználó által meglátogatott digitális tulajdonról szóló adatok: A meglátogatott oldal URL-je, a hivatkozó weboldal

  • A DCO szolgáltatások részeként a Taboola a következő adatokat is feldolgozza:

Eszközadatok: Taboola cookie ID vagy eszköz ID, a platformtól függően), Maszkolt IP cím, Taboola kattintási ID, Felhasználói ügynök karakterlánc, Ország, Felhasználói típus, beleértve az új/visszatérő felhasználói információkat (ha a hirdető megosztotta), Termék információ (a konkrét URL-hez kötve), beleértve az árat és a rendelkezésre állást az elemoldalakból

Eseményadatok: pénznem, termék ID-k, rendelési ID, kategória ID, kategória, keresési kifejezés, kosár részletei, érték és kampány ID-k.

Érzékeny adatok átvitele (ha alkalmazható) és alkalmazott korlátozások vagy védelmi intézkedések, amelyek teljes mértékben figyelembe veszik az adatok természetét és a felmerülő kockázatokat, például például szigorú célkorlátozás, hozzáférési korlátozások (beleértve a hozzáférést csak a szakmai képzésen részt vevő személyzet számára), a hozzáférés nyilvántartásának vezetése, további átvitelekre vonatkozó korlátozások vagy további biztonsági intézkedések: Nem alkalmazható.

A feldolgozás és/vagy átvitelek gyakorisága (pl. hogy az adatokat egyszeri vagy folyamatos alapon dolgozzák fel és/vagy továbbítják): Folyamatos a Megállapodás időtartama alatt.

A feldolgozás jellege: A Személyes Adatok feldolgozása, amely szükséges a Szolgáltatások nyújtásához, ahogy azt a Megállapodásban meghatározták.

Adatai feldolgozásának / átvitelének és további feldolgozásának célja(i): A Szolgáltatások nyújtása, ahogyan azt a Megállapodásban meghatározták. A kétségek elkerülése érdekében a Megengedett Célok közé tartozik: (i) információk tárolása és/vagy hozzáférés egy eszközön; (ii) alapvető hirdetések kiválasztása; (iii) személyre szabott hirdetési profil létrehozása; (iv) személyre szabott hirdetések kiválasztása; (v) személyre szabott tartalmi profil létrehozása; (vi) személyre szabott tartalom kiválasztása; (vii) hirdetés teljesítményének mérése; (viii) tartalom teljesítményének mérése; (ix) termékek fejlesztése és javítása; (x) biztonság biztosítása, csalás megelőzése és hibakeresés; (xi) hirdetések vagy tartalom technikai szállítása; (xii) offline adatforrások összekapcsolása és kombinálása; (xiii) különböző eszközök összekapcsolása; (xiv) automatikusan küldött eszközjellemzők fogadása és használata az azonosításhoz; (xv) korlátozott adatok használata a tartalom kiválasztásához, és (xvi) a közönség megértése statisztikákon keresztül.

A személyes adatok megőrzésének időtartama, vagy ha ez nem lehetséges, a megőrzési időtartam meghatározásához használt kritériumok:

      • Taboola: A nyers adatokat legfeljebb 13 hónapig tárolják.
      • Hirdető: Annyira, amennyire szükséges a Szolgáltatások igénybevételéhez, vagy ahogy azt a Megállapodásban meghatározták.

A (al)feldolgozókhoz történő átvitelek esetén a feldolgozás tárgyát, jellegét és időtartamát is meg kell határozni: Nem alkalmazható.

 

C. ILLETÉKES FELÜGYELETI HATÓSÁG

A megfelelő felügyeleti hatóság, ahol az EU GDPR alkalmazandó: A megfelelő felügyeleti hatóság mindkét fél számára az alábbiak szerint van leírva:

      • Taboola: A megfelelő felügyeleti hatóságot az EU SCCs 13. pontja szerint kell meghatározni.
      • Hirdető: A megfelelő felügyeleti hatóságot az EU SCCs 13. pontja szerint kell meghatározni.

A megfelelő felügyeleti hatóság, ahol az UK GDPR alkalmazandó: Az Információs Biztos Irodája

 

A technikai és szervezeti intézkedések leírása, amelyeket mindkét fél végrehajtott (beleértve a releváns tanúsítványokat is) a megfelelő szintű biztonság biztosítása érdekében, figyelembe véve a feldolgozás természetét, terjedelmét, kontextusát és célját, valamint a természetes személyek jogait és szabadságait fenyegető kockázatokat.

A személyes adatok álnéven történő kezelése és titkosítása: A Taboola csak álnévvel ellátott adatokat gyűjt, ami azt jelenti, hogy nem tudjuk, ki vagy, mert nem ismerjük vagy dolgozzuk fel a felhasználó nevét, e-mail címét vagy más azonosítható adatokat. A felhasználói információk, amelyeket gyűjtünk, tartalmazzák, de nem korlátozódnak, a felhasználó eszközére és operációs rendszerére, IP címére, a felhasználók által a vásárlóink weboldalain elérhető weboldalakra, a linkre, amely a felhasználót a vásárló weboldalára irányította, a dátumokat és időpontokat, amikor a felhasználó hozzáfér a vásárló weboldalához, és egyéb webböngészési adatokat. A CookieID-t Bcrypt segítségével anonimizálják, és az IP címet lerövidítik.

Az adatfeldolgozó rendszerek és szolgáltatások folyamatos titkosságának, integritásának, rendelkezésre állásának és ellenálló képességének biztosítására vonatkozó intézkedések: A Taboola több szintű elektronikus biztonságot alkalmaz (pl. végponti biztonság, szerveroldali biztonság, észlelési nyomkövetés, időszakos behatolási tesztek és mély intelligencia gyűjtés a poszt-mortem események áttekintésére).

Az intézkedések a személyes adatok rendelkezésre állásának és hozzáférhetőségének időben történő helyreállításának biztosítására vonatkoznak fizikai vagy technikai incidens esetén: A Taboola 9 adatközpontot üzemeltet világszerte. Minden adatközpontot úgy használnak, mint egy másik replikáját, így ha az egyik leáll, az adatok egy másik adatközpontból kinyerhetők.

A technikai és szervezeti intézkedések hatékonyságának rendszeres tesztelésére, értékelésére és kiértékelésére vonatkozó folyamatok: A Taboola szigorú folyamatokat tart fenn a kontrollok (mind technikai, mind szervezeti) hatékonyságának tesztelésére. Rendelkezünk rendszeres naplózással és megfigyeléssel, havi (legalább) DR teszteléssel, negyedéves behatolási tesztekkel, tűzfalakkal, amelyek védik a webet, és mézesbödönökkel, amelyek az egész hálózaton elhelyezkednek, hogy bármilyen rosszindulatú tevékenységet észleljünk. Továbbá, van egy jutalomprogramunk, amely segít folyamatosan figyelemmel kísérni a hálózatunkat.

Intézkedések a felhasználók azonosítására és jogosultságának ellenőrzésére: Minden Taboola felhasználóhoz egy dedikált felhasználónév és jelszó tartozik. A Taboola belső hálózatához való hozzáférés 2FA-val történik, a Google hitelesítést használva. A felhasználókat csak az IT osztály hozza létre, a belépési folyamat során, és csak miután megkapták az összes részletet és az aláírt szerződést a HR osztálytól.

Intézkedések az adatok védelmére átvitel közben: A Taboola támogatja az adatok átvitelét biztonságos átvitel protokollokon keresztül (HTTPS és TLS v1.2 legalább). Továbbá, azok a rendszerek, amelyek személyes azonosítható információkat (PII) tartalmazhatnak, védettek, és az adatokat hashelve és anonimizálva tárolják.

Intézkedések az adatok védelmére tárolás közben: Az adatokat, amelyeket az adatbázisainkban tárolunk, anonimizálják és Bcrypt-tel hash-elik. A DB-hez való hozzáférést minimalizálják, és az ‘üzleti szükséglet’ elvén alapul.

Intézkedések a személyes adatok feldolgozásának helyszíneinek fizikai biztonságának biztosítására: A Taboola globális adatközpontjai (az Egyesült Államokban, Európában és Ázsiában) mindegyike zárt szekrényekben tárolja a szervereit, amelyeket kizárólag a Taboola használatára tartanak fenn. Ezeket a szekrényeket olyan cégek karbantartják, amelyek vagy SOC2-tanúsítvánnyal rendelkeznek, vagy a Taboola felülvizsgálta a biztonsági intézkedéseiket. Továbbá, a szerverekhez való hozzáférés írásbeli, naplózott engedélyt igényel. Minden Taboola iroda is ellenőrzött, és megköveteli a munkavállalóktól, hogy belépőkártyát használjanak a belépéshez. Továbbá, csak korlátozott számú munkavállalónak van hozzáférése a Taboola szervereihez, és bármilyen hozzáférés írásbeli, naplózott engedélyt igényel.

Intézkedések az események naplózásának biztosítására: A Taboola figyelőeszközöket valósít meg, és a naplókat a SIEM rendszerünkbe gyűjtjük, amely figyelmeztet minket bármilyen gyanús eseményre, és a NOC csapat is figyelemmel kíséri.

Intézkedések a rendszer konfigurációjának biztosítására, beleértve az alapértelmezett konfigurációt: A szervereket a konfigurációs eltérés és a javítási szint ellenőrzésére vizsgálják. A jelentések és/vagy figyelmeztetések mindkét helyen be vannak állítva, és a releváns javítási szint megerősítve van. Az új javításokat Puppet segítségével terjesztik. Minden technikai felülvizsgálatot az R&D alkalmazáson keresztül kezelnek, és egy hivatalos felülvizsgálati (QA) folyamat során nyerik el, miután a kódolás és a CI/CD folyamatok is megvalósultak.

Intézkedések a belső IT és IT biztonsági irányítás és menedzsment számára: A Taboola ISO 27001:2013 és 27701 tanúsítvánnyal rendelkezik. A Taboolának van egy Információbiztonsági Politikája, amely kimondja, hogy a Taboola Igazgatósága és vezetősége elkötelezett a fizikai és elektronikus információs eszközök titkosságának, integritásának és elérhetőségének megőrzése mellett az egész szervezetükben. A Taboola biztonsági képzéseket tart minden új alkalmazott számára, phishing képzéseket tart minden alkalmazott számára világszerte, és rendszeres biztonsági képzéseket tart minden alkalmazott számára, valamint dedikált üléseket az R&D csoportok számára is.

Intézkedések a folyamatok és termékek tanúsítására/biztosítására: Negyedéves / féléves / éves belső audit több folyamat és rendszer esetében, hogy érvényesítse, hogy a Taboola megfelel a biztonsági céljainak és a meghatározott intézkedéseknek.

Intézkedések az adatok minimalizálásának biztosítására: A Taboola szándékosan korlátozza azokat az adatokat, amelyeket a Taboola globális adatminimalizálási elvei részeként gyűjt, csak a konkrét üzleti céljainkhoz szükséges korlátozott adatok feldolgozására. Továbbá, a Taboolának nincs lehetősége, és nincs üzleti szükséglete arra, hogy bármely adatpontot “visszafejtsen”, amelyet az algoritmusunkban használnak a szolgáltatásaink nyújtásához. Pontosabban, a Taboola által gyűjtött adatpontok soha nem utalnak egy felhasználó személyazonosságára – mivel a Taboola nem gyűjt vagy dolgoz fel olyan információkat, mint a felhasználó neve, telefonszáma, e-mail címe vagy lakcíme. Ehelyett a Taboola csak álneves azonosítókat gyűjt, amelyek csupán a felhasználó eszközének jellemzőit azonosítják. Ez magában foglalja az IP-címeket (amelyek gyűjtéskor lerövidülnek, és csak az eszköz általános irányítószám helyét tudják azonosítani, de soha nem egy pontos geolokációt), és bizonyos korlátozott esetekben a hash-elt e-mail címeket (amelyek lényegében visszafejthetetlenek, és nem lehet őket visszafejteni az eredeti e-mail cím felfedésére). Továbbá, még ha kollektíven használják is, az általunk gyűjtött adatok soha nem tudják előállítani egy egyén nevét, telefonszámát, e-mail címét vagy lakcímét, és mérnökeink semmilyen módon nem dolgoznak ezen cél elérésén. Ezenkívül a Taboola adatvédelmi hatásértékeléseket készít és rögzít, hogy minimalizálja szolgáltatásaink, folyamataik és politikáink adatvédelmi kockázatait.

Intézkedések az adatminőség biztosítására: Az adatokat közvetlenül a felhasználótól gyűjtik, és a felhasználónak lehetősége van arra, hogy javítsa a CookieID-jéhez kapcsolódó adatokat a Taboola Tárgyhozzáférési Kérelem Portálján: https://accessrequest.taboola.com/access

Intézkedések a korlátozott adatmegőrzés biztosítására: Megőrizzük a Felhasználói Információkat, amelyeket közvetlenül hirdetések szolgáltatása céljából gyűjtünk, legfeljebb tizenhárom (13) hónapig a Felhasználó utolsó interakciójától számítva Szolgáltatásainkkal (gyakran rövidebb ideig), ezt követően az adatokat anonimizáljuk az egyedi azonosítók eltávolításával vagy az adatok aggregálásával. Ez a folyamat automatikusan történik.

A felelősség biztosítására vonatkozó intézkedések: A Taboola több biztonsági auditot és behatolási tesztet végez (de nem minden rendszerre vonatkozóan). A Taboola ISO-tanúsítvánnyal rendelkező felhőszolgáltatókat is használ, amelyek megfelelnek más felhőre vonatkozó tanúsítványoknak a szerver fizikai védelmének fenntartása érdekében.

Az adathordozhatóság lehetővé tételére és az adatok törlésének biztosítására vonatkozó intézkedések: Bármely médiát teljesen törölni kell, mielőtt újra felhasználják vagy megsemmisítik. Bármely média megsemmisítése dokumentálva van. A munkavállalókat utasítják, hogy ne nyomtassanak ki olyan papírt, amely személyes információkat tartalmazhat.

  1. Amennyiben egy fél Korlátozott Átvitelt végez a Gyűjtött Adatok vonatkozásában a másik félnek, a Standard Contractual Clauses beépülnek ezekbe a Hirdetői Adatvédelmi Feltételekbe, és az alábbiak szerint alkalmazandók:
    1. ha a Korlátozott Átadás egy EU Korlátozott Átadás, az EU SCCs a felek között az alábbiak szerint alkalmazandók:
      1. Az Első Modul alkalmazandó;
      2. a 7. záradékban az opcionális dokkoló záradék alkalmazandó;
      3. a 11. záradékban az opcionális nyelv nem alkalmazandó;
      4. a 17. záradékban az 1. lehetőség alkalmazandó, és az EU SCCs ír törvények által szabályozottak;
      5. a 18(b) záradékban a vitákat Írország bíróságai előtt kell rendezni;
      6. Az I. melléklet A, B és C részei a Hirdetői Adatvédelmi Feltételek A, B és C részeiben megadott információkkal teljesítettnek tekintendők; és
      7. A II. melléklet a Hirdetői Adatvédelmi Feltételek B mellékletében meghatározott biztonsági intézkedésekkel teljesítettnek tekintendő;
    2. ha a Korlátozott Átadás egy Egyesült Királyságbeli Korlátozott Átadás, akkor az UK Addendum a felek között az alábbiak szerint alkalmazandó:
      1. az EU SCCs, a fentiek szerint kitöltve, a felek között alkalmazandók, és az UK Addendum módosítja őket (a (ii) alpontban leírtak szerint kitöltve); és
      2. az UK Addendum 1-3. táblázatai a vonatkozó információkkal kitöltöttnek tekintendők az EU SCCs, a fentiek szerint kitöltve, és az “Exporter” és “Importer” opciók a 4. táblázatban bejelöltnek tekintendők. Az UK Addendum kezdő dátuma (az 1. táblázatban megadottak szerint) a Hirdetői Adatvédelmi Feltételek Hatálybalépési Dátuma lesz.
  2. Előre Korlátozott Átadások:  Egyik fél sem végezhet előre Korlátozott Átadást a másik féltől kapott Gyűjtött Adatokra, hacsak nem tett meg minden szükséges intézkedést annak biztosítása érdekében, hogy az ilyen előre Korlátozott Átadás megfeleljen az Alkalmazandó Adatvédelmi Törvénynek és bármely Standard Contractual Clauses, amelyet a másik féllel megállapodott.