Konfidencialitātes noteikumi digitālā īpašuma īpašniekiem

Last Update: October 10, 2024

Spēkā stāšanās datums: 2024. gada 10. oktobris

Šie Taboola privātuma noteikumi digitālo īpašumu īpašniekiem (“Izdevēja privātuma noteikumi”) attiecas uz Taboola digitālās reklāmas pakalpojumiem, piemēram, kad Taboola izvieto Reklāmdevēja saturu Izdevēja īpašumos, tostarp, bet ne tikai, tādos Izdevēja produktos un pakalpojumos kā Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News un Taboola Push, saskaņā ar līgumu starp Taboola un Izdevēju (“Līgums”), un šie Izdevēja privātuma noteikumi tiek uzskatīti par iekļautiem jebkurā šādā Līgumā un ir tā neatņemama daļa. Šie Izdevēja privātuma noteikumi nosaka Taboola un Izdevēja lomas un pienākumus attiecībā uz Personas datiem.

Ja starp Izdevēja privātuma noteikumiem un Līgumu rodas pretrunas, noteicošie ir Izdevēja privātuma noteikumi, ja vien pretrunīgajā Līguma noteikumā nav skaidras atsauces uz pretrunīgo šo Izdevēja privātuma noteikumu noteikumu un nav norādīts, ka tas aizstāj pretrunīgo noteikumu.

Šajā iedaļā definētajiem terminiem ir turpmāk norādītās nozīmes, un radniecīgos terminus attiecīgi interpretē. Ar lielajām burtnīcām rakstītiem terminiem, kas tiek lietoti, bet nav definēti Izdevēja privātuma noteikumos, ir Līgumā definētā nozīme.

      1. Piemērojamie datu aizsardzības likumi” ir visi piemērojamie federālie, valsts, štata vai citi privātuma un datu aizsardzības likumi, kas attiecas uz Apstrādi, uz kuru attiecas Līgums un šie Izdevēja privātuma noteikumi, kas laiku pa laikam var tikt grozīti vai aizstāti.
      2. Kalifornijas privātuma likums” ir 2018. gada Kalifornijas Patērētāju privātuma likums, Cal. Civilkodeksa 1798.100. un turpmākie panti (arī “CCPA“) ar grozījumiem (tostarp Kalifornijas Privātuma tiesību likums), kā arī visi pakārtotie tiesību akti un īstenošanas noteikumi.
      3. Pārzinis” ir: (i) vienība, kas nosaka Personas datu apstrādes mērķus un līdzekļus, un (ii) jebkura persona vai vienība, uz kuru attiecas termins “Pārzinis” vai “Uzņēmums” (vai jebkurš būtiski līdzīgs termins), kā tas definēts saskaņā ar piemērojamiem datu aizsardzības tiesību aktiem.
      4. Datu subjekts” ir: (i) identificēta vai identificējama fiziska persona (un šajos nolūkos identificējama fiziska persona ir persona, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, vārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem faktoriem, kas raksturīgi šīs fiziskās personas fiziskajai, fizioloģiskajai, ģenētiskajai, garīgajai, ekonomiskajai, kultūras vai sociālajai identitātei), un (ii) jebkura persona, uz kuru attiecas termins “datu subjekts”, “patērētājs” (vai jebkurš būtiski līdzīgs termins), kā noteikts datu aizsardzības likumos.
      5. ES datu aizsardzības tiesību akti” ir: (i) ES Vispārīgā datu aizsardzības regula (Regula 2016/679) (“ES VDAR”); (ii) ES E-privātuma direktīva (Direktīva 2002/58/EK); un (iii) visi valsts datu aizsardzības tiesību akti, kas pieņemti saskaņā ar (i) vai (ii) punktu vai atbilstoši tiem, un katrs no tiem var tikt grozīts vai aizstāts.
      6. Personas dati” ir jebkāda informācija, kas attiecas uz identificētu vai identificējamu personu (un, ja to prasa piemērojamie datu aizsardzības tiesību akti, šis termins ietver unikālus pārlūkprogrammas vai ierīces identifikatorus), kā noteikts A pielikuma B daļā.
        1. Personas dati par mijiedarbību” ir jebkuri Personas dati, kas tiek vākti no patērētājiem laikā vai pēc patērētāja apzinātas mijiedarbības ar Taboola, Taboola produktiem, Taboola īpašībām un Taboola izvietotajām reklāmām.
        2. Pasīvās mijiedarbības Personas dati” ir jebkuri Personas dati, kas pasīvi savākti no Izdevēja īpašībām, tostarp, bet ne tikai, IP adrese, lapas URL un lietotāja aģenta virkne, ko Taboola savāc pirms patērētāja apzinātas mijiedarbības ar Taboola, Taboola produktiem, Taboola īpašībām un Taboola izvietotajām reklāmām vai bez tās.
      7. Apstrāde” ir jebkura darbība vai darbību kopums, kas tiek veikts ar Personas datiem vai Personas datu kopām, izmantojot vai neizmantojot automatizētus līdzekļus, piemēram, vākšana, saņemšana, reģistrēšana, organizēšana, strukturēšana, izmantošana, nosūtīšana, piekļuve, koplietošana, izpaušana, pārsūtīšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izplatīšana vai citāda darīšana pieejamiem, saskaņošana vai kombinēšana, apkopošana, secināšana, atvasināšana, analīze, ierobežošana, dzēšana, iznīcināšana vai iznīcināšana vai cita rīcība ar Personas datiem, ieskaitot to, kā šis termins ir definēts saskaņā ar piemērojamiem datu aizsardzības tiesību aktiem.
      8. Apstrādātājs” ir vienība, kas apstrādā Personas datus Pārziņa vārdā, un tas ietver to, kā šāds termins un/vai termins “datu apstrādātājs” (vai jebkurš pēc būtības līdzīgs termins) ir definēts saskaņā ar piemērojamiem datu aizsardzības tiesību aktiem.
      9. Ierobežots pārskaitījums” ir: (i) ja piemēro ES VDAR, Personas datu nosūtīšana no EEZ uz valsti ārpus EEZ, uz kuru neattiecas Eiropas Komisijas lēmums par aizsardzības līmeņa pietiekamību (“ES ierobežota nosūtīšana“); un (ii) ja piemēro Apvienotās Karalistes VDAR, Personas datu nosūtīšana no Apvienotās Karalistes uz jebkuru citu valsti, uz kuru neattiecas vai kuras pamatā nav atbilstības noteikumi saskaņā ar Apvienotās Karalistes 2018. gada Datu aizsardzības likuma 17.A pantu (“Apvienotās Karalistes ierobežota nosūtīšana“).
      10. Pakalpojumi” ir pakalpojumi, ko Taboola sniedz saskaņā ar Līgumu ar Izdevēju.
      11. “Drošības incidents”ir drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga Personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.
      12. “Standarta līguma klauzulas” ir: i) ja piemēro ES VDAR, līguma klauzulas, kas pievienotas Eiropas Komisijas 2021. gada 4. jūnija Īstenošanas lēmumam 2021/914 par standarta līguma klauzulām personas datu nosūtīšanai uz trešām valstīm saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (“ES VDAR“); un ii) ja piemēro Apvienotās Karalistes VDAR, “ES Komisijas standarta līguma klauzulu starptautiskās datu pārsūtīšanas papildinājums”, ko Informācijas komisārs izdevis saskaņā ar Regulas (ES) 2016/679 3. pantu.119A panta 1. punktu (“Apvienotās Karalistes papildinājums“).
      13. Trešā persona” ir uzņēmums, kas darbojas kā Personas datu pārzinis attiecībā uz Personas datiem un kas nav uzņēmums, ar kuru datu subjekts, kura Personas dati tiek apstrādāti, ir apzināti sadarbojies; šis termins ietver to, kā šāds termins ir definēts saskaņā ar piemērojamiem datu aizsardzības tiesību aktiem.
      14. Apvienotās Karalistes datu aizsardzības likums” ir: (i) Apvienotās Karalistes 2018. gada Datu aizsardzības likums, (ii) Apvienotās Karalistes VDAR (kā noteikts Apvienotās Karalistes 2018. gada Datu aizsardzības likuma 3. panta 10. punktā) (“Apvienotās Karalistes VDAR“), (iii) Apvienotās Karalistes 2003. gada Privātuma un elektronisko komunikāciju (EK direktīva) noteikumi un (iv) jebkuri citi Apvienotās Karalistes tiesību akti, kas pieņemti saskaņā ar (i), (ii) vai (iii) punktu vai atbilstoši tiem, un katrs no tiem laiku pa laikam var tikt grozīts vai aizvietots.

Attiecībā uz Personas datiem, kas tiek apstrādāti saistībā ar Pakalpojumiem, katra puse piekrīt, ka tā apstrādās savāktos Personas datus tikai A pielikuma B daļā aprakstītajiem mērķiem (“Atļautie mērķi“) un kā to atļauj šie Izdevēja privātuma noteikumi, Līgums un piemērojamie datu aizsardzības tiesību akti, kas laiku pa laikam var tikt atjaunināti. Taboola var arī apstrādāt Pasīvās mijiedarbības personas datus, kā to atļauj Taboola konfidencialitātes politika, kas laiku pa laikam var tikt atjaunināta.

Katra Puse apstrādā pasīvās mijiedarbības personas datus, ko tā vāc kā pārzinis vai Trešā persona, atkarībā no apstākļiem. Katra puse apstrādā mijiedarbības Personas datus, ko tā vāc kā pārzinis vai uzņēmums, atkarībā no apstākļiem. Personas datu izpaušana (tieši vai ar puses starpniecību, kas dara datus pieejamus otrai pusei) no vienas puses otrai pusei ir izpaušana Trešajām pusēm.

      1. Ja uz Personas datiem attiecas ASV vai ASV štata datu aizsardzības likums, tostarp, bet ne tikai, Kalifornijas privātuma likums, tādā mērā, kādā Taboola apstrādā Pasīvās mijiedarbības Personas datus saistībā ar Pakalpojumiem, Taboola attiecībā uz šādiem Pasīvās mijiedarbības Personas datiem rīkojas kā Trešā persona attiecībā uz Izdevēju. Taboola šādus Pasīvās mijiedarbības personas datus apstrādā A pielikuma B daļā aprakstītajiem mērķiem un saskaņā ar šiem Izdevēja privātuma noteikumiem, Līgumu, Piemērojamiem datu aizsardzības tiesību aktiem un Taboola privātuma politiku, kas laiku pa laikam var tikt atjaunināta. Šādi pasīvās mijiedarbības Personas dati ir pieejami Taboola tikai šādiem nolūkiem. Taboola nodrošinās tādu pašu privātuma aizsardzības līmeni, kādu no Uzņēmumiem prasa piemērojamie ASV datu aizsardzības likumi, tostarp, ja piemērojami, Kalifornijas privātuma likumi. Izdevējam ir tiesības nodrošināt, lai Taboola izmantotu Pasīvās mijiedarbības Personas datus atbilstoši Izdevēja saistībām. Pēc paziņojuma Taboola sniegšanas Izdevējam ir tiesības veikt saprātīgus un atbilstošus pasākumus, lai apturētu un novērstu Taboola pieejamo Personas datu nesankcionētu izmantošanu. Taboola informēs Izdevēju Piemērojamo datu aizsardzības likumu noteiktajā termiņā, ja Taboola konstatēs, ka tā vairs nespēj pildīt savus pienākumus saskaņā ar Piemērojamajiem datu aizsardzības likumiem. Ciktāl Taboola vāc Personas datus par mijiedarbību saistībā ar Pakalpojumiem, tā to dara kā atsevišķs Uzņēmums.

Puses atzīst, ka tās var apstrādāt Personas datus un ka uz katras puses veikto Personas datu apstrādi var attiekties piemērojamie datu aizsardzības tiesību akti. Šādā gadījumā katra puse ievēro šādus piemērojamos datu aizsardzības tiesību aktus attiecībā uz personas datu apstrādi. Šādā gadījumā un saskaņā ar 7. iedaļu katra puse ir individuāli atbildīga par savu atbilstību piemērojamiem datu aizsardzības tiesību aktiem, tostarp visām piemērojamām prasībām: i) nodrošināt pārredzamību datu subjektiem, ii) saņemt piekrišanu vai citu likumīgu pamatu apstrādei un iii) nodrošināt kontaktpunktu, kurā datu subjekti var izmantot savas datu aizsardzības tiesības. Izdevējs nekavējoties informē Taboola, ja un ciktāl tas saņem jebkādu datu aizsardzības tiesību pieprasījumu attiecībā uz Taboola kā Pārziņa veikto Personas datu apstrādi, lai Taboola varētu izpildīt pieprasījumu saskaņā ar saviem pienākumiem saskaņā ar Piemērojamiem datu aizsardzības tiesību aktiem.

  1. Jebkurus datu subjektu pieprasījumus, kas saņemti saistībā ar Taboola Pakalpojumiem, Izdevējai jānovirza uz Taboola Globālo datu subjektu piekļuves pieprasījumu portālu vai ASV. Patērētāju tiesību atteikšanās portāls, ja piemērojams.

Ja kāda no Pusēm saņem jebkādu pieprasījumu, sūdzību vai saraksti (“Trešās puses paziņojums“) no privātpersonas, regulatora vai citas trešās puses par Datu subjekta personas datu apstrādi saistībā ar Pakalpojumiem, tā nekavējoties informē otru Pusi, un Puses sadarbojas labā ticībā un saprātīgi sadarbojas, lai izpildītu šādas Trešās puses paziņojumā minētās prasības.

Gadījumā, ja kāda no pusēm veic ierobežotu personas datu nosūtīšanu otrai pusei, piemēro C pielikuma noteikumus.

Ciktāl Taboola vāc Personas datus no Izdevēja īpašumiem, izmantojot Taboola kodu, pikseļus un citas izsekošanas tehnoloģijas, Izdevējs: (i) sniedz visus nepieciešamos pārredzamības paziņojumus Datu subjektiem par Taboola Taboola koda izmantošanu, lai ievāktu Personas datus no Izdevēja īpašumiem Atļautajiem mērķiem, un (ii) iegūst (un pēc Taboola pieprasījuma jebkurā laikā iesniedz atbilstošus pierādījumus) Datu subjekta piekrišanu šādai Taboola koda izmantošanai Atļautajiem mērķiem, katrā gadījumā saskaņā ar piemērojamo datu aizsardzības tiesību aktu prasībām. Šajā sakarā Izdevēja pienākumos ietilpst Taboola un Taboola koda izmantošana Atļautajiem mērķiem, skaidri norādot Taboola un Taboola kodu pārredzamības paziņojumos un piekrišanas uzaicinājumos, ko Izdevējs sniedz Datu subjektiem, kā arī sniedzot citu informāciju, ko pieprasa Piemērojamie datu aizsardzības tiesību akti, lai Taboola varētu likumīgi sniegt savus Pakalpojumus, izmantojot šādus Īpašumus, un apstrādāt Personas datus Atļautajiem mērķiem. Pēc rakstiska pieprasījuma Taboola sniedz Izdevējam tādu informāciju, kādu Izdevējs var pamatoti pieprasīt par Taboola kodu un Taboola veikto Personas datu apstrādi, izmantojot Izdevēja Īpašumus, lai Izdevējs varētu nodrošināt, ka tā paziņošanas un piekrišanas mehānismi atbilst Piemērojamiem datu aizsardzības tiesību aktiem. Izdevējs īpaši piekrīt, ka:

  1. attiecībā uz tīmekļa vietnes Īpašumiem Izdevēja privātuma politikā ir aprakstīts, kā trešās personas (t. i., Taboola) izmanto sīkfailus, unikālos identifikatorus un tehnoloģijas, kas nav sīkfailu tehnoloģijas, interešu reklāmai un analīzei (Īpašumos un ārpus tiem), un ir nodrošināta saite uz NAI nozares atteikšanās lapu http://www.networkadvertising.org, DAA nozares atteikšanās lapu http://www.aboutads.info vai (attiecībā uz Eiropas tīmekļa medijiem un datu vākšanu) saite uz EDAA atteikšanās saiti http://www.youronlinechoices.eu tādā veidā, kas atbilst piemērojamo datu aizsardzības tiesību aktu prasībām; un
  2. attiecībā uz mobilajās lietotnēs balstītiem Īpašumiem – Izdevēja privātuma politikā ir jāapraksta SDK izmantošana mobilajās lietotnēs un mobilo reklāmu identifikatoru vākšana uz interesēm balstītai reklāmai vai reklāmai starp lietotnēm un analīzei (Īpašumos un ārpus tiem); un jāsniedz apraksts par to, kā lietotāji un Apmeklētāji var atteikties no mobilo datu vākšanas reklāmai starp lietotnēm, izmantojot ierīces iestatījumus.
  3. attiecībā uz saviem ES saskarē esošajiem Īpašumiem Izdevējs nodrošina, ka tas saņem Apmeklētāju brīvi sniegtu, konkrētu, informētu un nepārprotamu piekrišanu saskaņā ar ES Privātuma likumu attiecībā uz Taboola sīkfailu vai citu unikālu identifikatoru ievietošanu Apmeklētāju ierīcē(-ēs) vai piekļuvi tiem. Izdevējs sniedz saviem Apmeklētājiem kontaktinformāciju (kas var ietvert šīs informācijas pieejamību, izmantojot savu Privātuma politiku), lai viņi varētu sazināties ar Izdevēju, lai izmantotu savas datu aizsardzības tiesības (tostarp saistībā ar Personas datiem, kas apstrādāti saistībā ar Pakalpojumiem). Iepriekš minētie pienākumi attiecas uz gadījumiem, kad Izdevēja Īpašumi piesaista Apmeklētājus jurisdikcijās, kurās ir nepieciešami piekrišanas mehānismi attiecībā uz Pakalpojumiem.

Termiņa laikā Taboola var sniegt Izdevējam ieteicamo konfidencialitātes politiku vai informācijas izpaušanas formulējumu. Izdevējs atzīst, ka tas nedrīkst paļauties uz šādu ieteikto valodu kā uz juridisku konsultāciju vai tās aizstājēju un ka par jebkādu konfidencialitātes politikā vai tīmekļa vietnē sniegto informāciju ir atbildīgs tikai pats Izdevējs vai Sabiedrība.

Izdevējs nenodrošina vai nekonfigurē Pakalpojumus, lai apkopotu vai kā citādi atklātu Taboola apstrādei Taboola īpašas kategorijas personas datus vai sensitīvu personas informāciju, vai sensitīvus datus (kā noteikts saskaņā ar Piemērojamiem datu aizsardzības tiesību aktiem). Turklāt Izdevējs nodrošina, ka nevienas Taboola pieejamās lapas URL adresēs nav iekļauta video nosaukuma informācija. Taboola patur tiesības apturēt Pakalpojumu sniegšanu, ja Izdevējs neievēro šā punkta noteikumus, ja vien un līdz brīdim, kad šie pārkāpumi netiek novērsti.

Katra Puse īsteno atbilstošus tehniskos un organizatoriskos drošības pasākumus, lai aizsargātu Apmeklētāju personas datus no drošības incidentiem. Šie pasākumi ietver B pielikumā izklāstītos pasākumus.

Ja kāda no Pusēm cieš no drošības incidenta saistībā ar tās Apstrādātajiem Personas datiem, uz kuriem attiecas Līgums un šie Izdevēja privātuma noteikumi, šī Puse: (i) ir atbildīga par to, lai tiktu izpildīti (uz sava rēķina) visi ziņošanas pienākumi, kas uz to attiecas saskaņā ar Piemērojamiem datu aizsardzības tiesību aktiem datu aizsardzības iestādēm un/vai skartajiem datu subjektiem, (ii) bez nepamatotas kavēšanās informē otru Pusi, sniedzot tādu informāciju par drošības incidentu, kādu otra Puse var pamatoti pieprasīt vai kāda cita veida informāciju, kas otrai Pusei ir nepieciešama, lai noteiktu, vai tai saskaņā ar piemērojamiem datu aizsardzības tiesību aktiem arī var būt ziņošanas pienākumi saistībā ar drošības incidentu, un (iii) bez nepamatotas kavēšanās veic visas darbības un pasākumus, kas ir piemēroti, lai novērstu un/vai mazinātu drošības incidenta sekas.

Ja un ciktāl to pieprasa piemērojamie datu aizsardzības tiesību akti, kas attiecas uz katru pusi, katra puse veic jebkādu ietekmes uz datu aizsardzību novērtējumu attiecībā uz tās veikto personas datu apstrādi atļautajiem mērķiem un/vai vajadzības gadījumā apspriežas ar piemērojamām datu aizsardzības iestādēm. Katra puse sniedz visu pamatotu sadarbību un informāciju, ko pamatoti pieprasa otra puse, ja tas ir nepieciešams, lai otra puse varētu veikt ietekmes uz datu aizsardzību novērtējumu un/vai apspriesties ar piemērojamām datu aizsardzības iestādēm saskaņā ar šīs otras puses pienākumiem, kas noteikti šajā iedaļā.

A. PUŠU SARAKSTS

Katrai pusei ir:

  • datu pārzinis (un datu eksportētājs) par savāktajiem datiem, ko tas atklāj vai dara pieejamus otrai pusei, un
  • datu pārzinis (un datu ievācējs) par savāktajiem datiem, ko tas saņem no otras puses vai kam piekļuvi nodrošina otra puse.

Sīkāka informācija par katru pusi ir sniegta turpmāk.

Vārds un uzvārds: Skatīt Līgumā sniegto Reklāmdevēja informāciju.

Adrese: Skatīt Līgumā sniegto Reklāmdevēja informāciju.

Kontaktpersonas vārds, uzvārds, amats un kontaktinformācija: Skatiet Līgumā norādīto Reklāmdevēja informāciju vai citādi, par ko puses rakstiski vienojušās.

Darbības, kas attiecas uz datiem, kuri nosūtīti saskaņā ar šīm klauzulām: Pakalpojumu saņemšana, kā noteikts Līgumā.

Paraksts un datums: Šis A pielikums tiek uzskatīts par izpildītu, kad Reklāmdevējs piekrīt šiem Reklāmdevēja privātuma noteikumiem.

Loma (kontrolieris/procesors): kontrolieris (ja tas ir datu eksportētājs) un kontrolieris (ja tas ir datu importētājs).

 

Vārds un uzvārds: Skatīt Taboola informāciju, kas sniegta Līguma ievadā.

Adrese: Skatīt Taboola informāciju, kas sniegta Līguma ievadā.

Kontaktpersonas vārds, uzvārds, amats un kontaktinformācija: Taboola privātuma komanda, privacy@taboola.com.

Darbības, kas attiecas uz datiem, kuri nosūtīti saskaņā ar šīm klauzulām: Pakalpojumu sniegšana, kā noteikts Līgumā.

Paraksts un datums: Šis A pielikums tiek uzskatīts par izpildītu, kad Taboola piekrīt šiem Reklāmdevēja privātuma noteikumiem.

Loma (kontrolieris/procesors): kontrolieris (ja tas ir datu eksportētājs) un kontrolieris (ja tas ir datu importētājs).

 

B. APSTRĀDES UN PĀRSŪTĪŠANAS APRAKSTS 

Datu subjektu kategorijas, kuru personas dati tiek apstrādāti un/vai nosūtīti: Lietotāji

Apstrādāto un/vai nosūtīto personas datu kategorijas:

Ierīces dati: Operētājsistēma, pārlūkprogrammas tips, pārlūkprogrammas versija, IP adrese (saīsināta 30 dienu laikā), pasta indekss (atvasināts no IP adreses), Taboola lietotāja ID, e-pasta vēstules, Reklāmdevēja vietnes sākotnējie un turpmākie lapu apmeklējumi, lietotāja dzimums (pēc interesēm), iesaistīšanās signāli (laiks vietnē, ritināšanas ilgums, sesijas ilgums), konversijas dati.

Dati par lietotāja apmeklēto digitālo īpašumu: Apmeklētās lapas URL, atsauces vietne.

nosūtītie sensitīvie dati (ja piemērojams) un piemērotie ierobežojumi vai aizsardzības pasākumi, kas pilnībā ņem vērā datu raksturu un ar tiem saistītos riskus, piemēram, stingrs mērķa ierobežojums, piekļuves ierobežojumi (tostarp piekļuve tikai tiem darbiniekiem, kas izgājuši specializētu apmācību), datu piekļuves uzskaite, tālākas nosūtīšanas ierobežojumi vai papildu drošības pasākumi: Nav piemērojams.

datu apstrādes un/vai pārsūtīšanas biežums (piemēram, vai dati tiek apstrādāti un/vai pārsūtīti vienreiz vai pastāvīgi): Nepārtraukti uz Līguma darbības laiku.

Apstrādes veids: Personas datu apstrāde, kas nepieciešama Pakalpojumu sniegšanai, kā noteikts Līgumā.

Datu apstrādes/pārsūtīšanas mērķis(-i) un turpmākā apstrāde: Pakalpojumu sniegšana, kā noteikts Līgumā. Lai izvairītos no šaubām, atļautie mērķi ietver: (i) informācijas glabāšanu un/vai piekļuvi informācijai ierīcē; (ii) pamata reklāmu atlasi; (iii) personalizētu reklāmu profila izveidi; (iv) personalizētu reklāmu atlasi; (v) personalizēta satura profila izveidi; (vi) personalizēta satura atlasi; (vii) reklāmu veiktspējas mērīšanu; (viii) satura veiktspējas mērīšanu; (ix) produktu attīstību un uzlabošanu; (x) drošības nodrošināšana, krāpšanas novēršana un atkļūdošana; (xi) tehniska reklāmu vai satura piegāde; (xii) bezsaistes datu avotu saskaņošana un apvienošana; (xiii) dažādu ierīču sasaistīšana; (xiv) automātiski nosūtītu ierīces raksturlielumu saņemšana un izmantošana identifikācijai; (xv) ierobežotu datu izmantošana satura atlasei un (xvi) auditorijas izpratne, izmantojot statistiku.

Personas datu glabāšanas periods vai, ja tas nav iespējams, kritēriji, kas izmantoti, lai noteiktu šo periodu:

  • Taboola: Neapstrādātos datus glabā ne ilgāk kā 13 mēnešus.
  • Reklāmdevējs: Tik ilgi, cik nepieciešams Pakalpojumu saņemšanai vai kā noteikts Līgumā.

Attiecībā uz pārsūtīšanu (apakš)apstrādātājiem norādiet arī apstrādes priekšmetu, veidu un ilgumu: Nav piemērojams.

 

C. KOMPETENTĀ UZRAUDZĪBAS IESTĀDE

Kompetentā uzraudzības iestāde, ja piemēro ES VDAR: Katras puses kompetentā uzraudzības iestāde ir aprakstīta turpmāk:

  • Taboola: Kompetento uzraudzības iestādi nosaka saskaņā ar ES VKI 13. klauzulu.
  • Reklāmdevējs: Kompetento uzraudzības iestādi nosaka saskaņā ar ES VKI 13. klauzulu.

Kompetentā uzraudzības iestāde, ja piemēro Apvienotās Karalistes VDAR: Informācijas komisāra birojs

Katras puses īstenoto tehnisko un organizatorisko pasākumu apraksts (tostarp visi attiecīgie sertifikāti), lai nodrošinātu pienācīgu drošības līmeni, ņemot vērā apstrādes raksturu, apjomu, kontekstu un nolūku, kā arī riskus fizisku personu tiesībām un brīvībām.

Personas datu pseidonimizācijas un šifrēšanas pasākumi: Taboola apkopo tikai pseidonimizētus datus, kas nozīmē, ka mēs nezinām, kas jūs esat, jo nezinām un neapstrādājam lietotāja vārdu, e-pasta adresi vai citus identificējamus datus. Lietotāja informācija, ko mēs apkopojam, cita starpā ietver informāciju par Lietotāja ierīci un operētājsistēmu, IP adresi, tīmekļa lapām, kurām Lietotāji piekļūst mūsu Klientu vietnēs, saiti, kas novedusi Lietotāju uz Klienta vietni, datumiem un laikiem, kad Lietotājs piekļūst Klientu vietnei, un citus tīmekļa pārlūkošanas datus. CookieID tiek anonimizēts, izmantojot Bcrypt, un IP adrese tiek saīsināta.

Pasākumi apstrādes sistēmu un pakalpojumu pastāvīgas konfidencialitātes, integritātes, pieejamības un elastības nodrošināšanai: Taboola izmanto vairākus elektroniskās drošības līmeņus (piemēram, galapunktu drošību, servera puses drošību, atklāšanas izsekošanu, periodiskus iekļūšanas testus un padziļinātu izlūkdatu vākšanu, lai pārskatītu pēcnāves notikumus).

Pasākumi, lai nodrošinātu spēju savlaicīgi atjaunot personas datu pieejamību un piekļuvi tiem fiziska vai tehniska incidenta gadījumā: Taboola uztur 9 datu centrus visā pasaulē. Katrs datu centrs tiek izmantots kā savstarpēja replikācija, tāpēc, ja viens datu centrs sabrūk, datus var iegūt no cita datu centra.

Procesi, lai regulāri pārbaudītu, novērtētu un izvērtētu tehnisko un organizatorisko pasākumu efektivitāti, lai nodrošinātu apstrādes drošību: Taboola uztur stingrus procesus, lai pārbaudītu savu kontroles mehānismu (gan tehnisko, gan organizatorisko) efektivitāti. Mums ir ieviesta sistēmas reģistrēšana un uzraudzība, ikmēneša (vismaz) DR testēšana, reizi ceturksnī tiek veikti iekļūšanas testi, ugunsmūri, kas aizsargā tīmekli, un tīklā ir izkaisīti medus punkti, lai atrastu jebkādas ļaunprātīgas darbības. Turklāt mums ir izveidota balvu programma, kas palīdz mums pastāvīgi uzraudzīt mūsu tīklu.

Lietotāju identifikācijas un autorizācijas pasākumi: Katram Taboola lietotājam ir piešķirts īpašs lietotājvārds un parole. Katra piekļuve Taboola iekšējam tīklam tiek veikta ar 2FA, izmantojot Google autentifikāciju. Lietotājus izveido tikai IT departaments, uzsākšanas procesa laikā un tikai pēc tam, kad no personāla departamenta saņemta visa informācija un parakstīts līgums.

Datu aizsardzības pasākumi datu nosūtīšanas laikā: Taboola atbalsta jebkuru datu pārraidi, izmantojot drošus pārraides protokolus (vismaz HTTPS un TLS v1.2). Turklāt sistēmas, kurās varētu būt PII, ir aizsargātas, un dati tiek glabāti kodēti un anonimizēti.

Datu aizsardzības pasākumi glabāšanas laikā: Mūsu datubāzēs saglabātie dati tiek anonimizēti un šifrēti, izmantojot Bcrypt. Piekļuve datubāzei ir ierobežota līdz minimumam, un tās pamatā ir princips “biznesa vajadzība zināt”.

Pasākumi, lai nodrošinātu fizisko drošību vietās, kurās tiek apstrādāti personas dati: Visos Taboola globālajos datu centros (ASV, Eiropā un Āzijā) visi Taboola serveri atrodas slēgtos skapjos, kas tiek uzturēti tikai Taboola vajadzībām. Šos skapjus uztur uzņēmumi, kas ir vai nu sertificēti SOC2, vai arī Taboola ir pārbaudījusi to drošības pasākumus. Turklāt jebkurai piekļuvei serveriem ir nepieciešama rakstiska, reģistrēta atļauja. Visi Taboola biroji ir arī kontrolēti, un, lai tajos iekļūtu, darbiniekiem ir jāizmanto piekļuves kartes. Turklāt tikai ierobežotam darbinieku skaitam ir piekļuve Taboola serveriem, un jebkurai piekļuvei ir nepieciešama rakstiska, reģistrēta atļauja.

Pasākumi notikumu reģistrēšanas nodrošināšanai: Taboola ievieš uzraudzības rīkus, un žurnāli tiek apkopoti mūsu SIEM sistēmā, kas mūs brīdina par jebkuru aizdomīgu notikumu, un tos uzrauga arī NOC komanda.

Sistēmas konfigurācijas nodrošināšanas pasākumi, tostarp noklusējuma konfigurācija: Serveri tiek skenēti gan konfigurācijas novirzes, gan ielāpu līmeņa pārbaudei. Abiem ir iestatīti ziņojumi un/vai brīdinājumi, un ir apstiprināts attiecīgais ielāpu līmenis. Jauni ielāpi tiek izplatīti, izmantojot Puppet. Visas tehniskās pārskatīšanas tiek pārvaldītas ar pētniecības un izstrādes lietojumprogrammas starpniecību un iegūtas formālā pārskatīšanas procesā (QA) pēc kodēšanas un CI/CD procesu ieviešanas.

Iekšējās IT un IT drošības pārvaldības un vadības pasākumi: Taboola ir ISO 27001:2013 un 27701 sertificēta. Taboola ir izstrādājusi Informācijas drošības politiku, kas nosaka, ka Taboola valde un vadība ir apņēmusies saglabāt visu organizācijas fizisko un elektronisko informācijas aktīvu konfidencialitāti, integritāti un pieejamību. Taboola rīko drošības apmācības visiem jaunajiem darbiniekiem, apmācības par pikšķerēšanu visiem darbiniekiem visā pasaulē un regulāras drošības apmācības visiem darbiniekiem, kā arī īpašas nodarbības pētniecības un izstrādes grupām.

Procesu un produktu sertificēšanas/nodrošināšanas pasākumi: Ceturkšņa / pusgada / gada iekšējais audits vairākos procesos un sistēmās, lai apstiprinātu, ka Taboola ievēro noteiktos drošības mērķus un pasākumus.

Pasākumi datu minimizēšanas nodrošināšanai: Taboola apzināti ierobežo mūsu vāktos datus saskaņā ar Taboola globālajiem datu minimizēšanas principiem, kas paredz apstrādāt tikai ierobežotu datu apjomu, kas nepieciešams mūsu konkrētiem uzņēmējdarbības mērķiem. Turklāt Taboola nav ne iespēju, ne arī biznesa vajadzības “apgrieztā inženierija” kādu no mūsu algoritmā izmantotajiem datu punktiem, lai sniegtu mūsu pakalpojumus. Konkrētāk, Taboola savāktie datu punkti nekad nenorāda uz lietotāja identitāti, jo Taboola nevāc un neapstrādā tādu informāciju kā lietotāja vārds, tālruņa numurs, e-pasta vai fiziskā adrese. Tā vietā Taboola apkopo tikai pseidonīmus identifikatorus, kas tikai identificē lietotāja ierīces īpašības. Tas ietver IP adreses (kuras pēc vākšanas tiek saīsinātas un var identificēt tikai ierīces vispārējo pasta indeksu, bet nekad precīzu ģeogrāfisko atrašanās vietu) un dažos ierobežotos gadījumos – šifrētas e-pasta adreses (kuras pēc būtības ir neatgriezeniskas un nevar atšifrēt, lai atklātu sākotnējo e-pasta adresi). Turklāt pat tad, ja tos izmanto kopīgi, no mūsu apkopotajiem datiem nekad nevar uzzināt personas vārdu, tālruņa numuru, e-pasta adresi vai fizisko adresi, un mūsu inženieri nekādā veidā nestrādā, lai sasniegtu šo mērķi. Turklāt Taboola veic un reģistrē privātuma ietekmes novērtējumus, lai samazinātu mūsu pakalpojumu, procesu un politikas privātuma riskus.

Pasākumi datu kvalitātes nodrošināšanai: Dati tiek vākti tieši no lietotāja, un lietotājam tiek dota iespēja labot visus datus, kas saistīti ar viņa CookieID, izmantojot Taboola subjekta piekļuves pieprasījumu portālu: https://accessrequest.taboola.com/access.

Pasākumi, lai nodrošinātu ierobežotu datu saglabāšanu: Mēs saglabājam Lietotāja informāciju, kas tiek vākti tieši reklāmu apkalpošanas nolūkos, ne ilgāk kā trīspadsmit (13) mēnešus no Lietotāja pēdējās mijiedarbības ar mūsu Pakalpojumiem (bieži vien īsāku laiku), pēc kura mēs deidentificējam datus, dzēšot unikālos identifikatorus vai apkopojot datus. Šis process tiek veikts automātiski.

Atbildības nodrošināšanas pasākumi: Taboola veic vairākus drošības auditus un iekļūšanas testus (bet ne visām sistēmām). Taboola izmanto arī mākoņpakalpojumu sniedzējus, kas ir ISO sertificēti un atbilst citiem ar mākoņpakalpojumiem saistītiem sertifikātiem, lai uzturētu servera fizisko aizsardzību.

Pasākumi datu pārnesamības un dzēšanas nodrošināšanai: Taboola, kas saistīta ar mediju iznīcināšanu, ir vienāda visiem mediju veidiem, jo tie var saturēt PII. Pirms atkārtotas izmantošanas vai iznīcināšanas visi datu nesēji ir pilnībā jāiztīra. Jebkura multivides iznīcināšana tiek dokumentēta. Darbinieki ir instruēti nedrukāt nekādus papīrus, kas varētu saturēt personisku informāciju.

  1. Ciktāl viena puse veic ierobežotu savākto datu pārsūtīšanu otrai pusei, Standarta līguma klauzulas tiek iekļautas šajos Izdevēja privātuma noteikumos un tiek piemērotas šādi:

a. ja Ierobežota nodošana ir ES Ierobežota nodošana, ES SCC starp pusēm piemēro šādi:

  1. (i) Piemēro pirmo moduli;
  2. (ii) 7. klauzulas 7. punktā tiks piemērota fakultatīvā dokeru klauzula;
  3. (iv) 11. klauzulā fakultatīvo formulējumu nepiemēro;
  4. (v) 17. klauzulā tiks piemērots 1. variants, un ES SCC piemēros Īrijas tiesību aktus;
  5. (vi) 18. punkta b) apakšpunktā strīdus izšķir Īrijas tiesas;
  6. (vii) I pielikuma A, B un C daļa tiek uzskatīta par aizpildītu ar informāciju, kas norādīta šo izdevēja privātuma noteikumu A pielikuma A, B un C daļā; un
  7. (vii) II pielikums tiek uzskatīts par papildinātu ar drošības pasākumiem, kas izklāstīti šo Izdevēja privātuma noteikumu B pielikumā;

b. ja Ierobežotais pārvedums ir Apvienotajā Karalistē veikts Ierobežots pārvedums, Apvienotās Karalistes Pielikums starp pusēm tiks piemērots šādi:

(i) starp Pusēm piemēro ES SCC, kas aizpildīti, kā izklāstīts iepriekš, un tos groza ar Apvienotās Karalistes papildinājumu (aizpildītu, kā izklāstīts turpmāk ii) apakšpunktā); un

(ii) Apvienotās Karalistes papildinājuma 1.-3. tabulu uzskata par aizpildītu ar attiecīgo informāciju no ES SCC, kas aizpildīta, kā izklāstīts iepriekš, un 4. tabulā uzskata, ka ir atzīmētas iespējas “Eksportētājs” un “Importētājs”. Apvienotās Karalistes papildinājuma sākuma datums (kā norādīts 1. tabulā) ir šo Izdevēja privātuma noteikumu spēkā stāšanās datums.

2. Turpmākie ierobežotie pārskaitījumi: Neviena no pusēm neveic no otras puses saņemto savākto datu tālāku ierobežotu pārsūtīšanu, ja vien tā nav veikusi visas darbības un darbības, kas nepieciešamas, lai nodrošinātu, ka šāda tālāka ierobežota pārsūtīšana atbilst piemērojamiem datu aizsardzības tiesību aktiem un jebkurām standarta līguma klauzulām, par kurām tā ir vienojusies ar otru pusi.