Reklāmdevēju konfidencialitātes noteikumi

Last Update: November 14, 2025

Spēkā stāšanās datums:  2023. gada 14. augusts

Šie Taboola reklāmdevēju konfidencialitātes noteikumi (“Reklāmdevēju konfidencialitātes noteikumi“) attiecas uz Taboola digitālās reklāmas pakalpojumiem, piemēram, ja Taboola izplata Reklāmdevēja saturu, izmantojot savu izplatīšanas platformu, saskaņā ar līgumu starp Taboola un Reklāmdevēju (“Nolīguma“), un šie Reklāmdevēja konfidencialitātes noteikumi tiek uzskatīti par iekļautiem jebkurā šādā Līgumā un ir tā neatņemama sastāvdaļa.  Šie Reklāmdevēju konfidencialitātes noteikumi nosaka Taboola un Reklāmdevēja lomas un pienākumus attiecībā uz Personas datiem.

Ja rodas pretrunas starp Reklāmdevēja konfidencialitātes noteikumiem un Līgumu, šīs pretrunas apmērā noteicošie ir Reklāmdevēju konfidencialitātes noteikumi, ja vien pretrunīgais Līguma noteikums nepārprotami neatsaucas uz šo Reklāmdevēju konfidencialitātes noteikumu pretrunīgu noteikumu un norāda, ka tas ir noteicošs pār šo pretrunīgo noteikumu.

Šajā sadaļā definētajiem terminiem ir turpmāk norādītā nozīme, un attiecīgie termini ir attiecīgi jāinterpretē. Reklāmdevēja konfidencialitātes noteikumos lietotajiem, bet nedefinētajiem terminiem ar lielajiem burtiem ir Līgumā noteiktā nozīme.

      1. Piemērojamie datu aizsardzības likumi” ir visi federālie, valsts, štata vai citi privātuma un datu aizsardzības likumi, kas attiecas uz Apstrādi, uz kuru attiecas Līgums un šie Reklāmdevēja noteikumi, kas laiku pa laikam var tikt grozīti vai aizstāti.
      2. Apkopotie dati” ir Personas dati, ko katra puse apkopo no Datu subjektiem savos serveros vai tīklos vai caur tiem (ieskaitot visus pasīvi savāktos vai mašīnlasāmos datus, piemēram, datus, kas balstīti uz pārlūkprogrammas veidu un ierīces identifikatoriem) saistībā ar Pakalpojumu sniegšanu vai saņemšanu.
      3. Kontrolieris” ir: (i) juridiska persona, kas nosaka personas datu apstrādes mērķus un līdzekļus, un (ii) jebkura persona, uz kuru attiecas termins “pārzinis” (vai jebkurš būtībā analogs termins), kā definēts piemērojamajos datu aizsardzības tiesību aktos.
      4. Kalifornijas privātuma likums” nozīmē 2018. gada Kalifornijas patērētāju privātuma likumu, Kalifornijā. Civilkodeksa § 1798.100 et seq. (“CCPA“), ar grozījumiem (tostarp ar Kalifornijas Privātuma tiesību likumu) un visiem pakārtotajiem tiesību aktiem un īstenošanas noteikumiem.
      5. Datu subjekts” ir: i) identificēta vai identificējama fiziska persona (un šajos nolūkos identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, vārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem faktoriem, kas raksturīgi fiziskajam, fizioloģiskajam, ģenētiskajam, šīs fiziskās personas garīgā, ekonomiskā, kultūras vai sociālā identitāte) un (ii) jebkura persona, uz kuru attiecas termins “datu subjekts”, “patērētājs” (vai jebkurš būtībā līdzīgs termins), kā definēts Datu aizsardzības likumos.
      6. ES datu aizsardzības tiesību akti” ir: i) ES Vispārīgā datu aizsardzības regula (Regula 2016/679) (“ES VDAR”); ii) ES E-privātuma direktīva (Direktīva 2002/58/EK); un (iii) jebkuri nacionālie datu aizsardzības tiesību akti, kas pieņemti saskaņā ar (i) vai (ii) vai saskaņā ar tiem, un katrs no tiem var tikt grozīts vai aizstāts.
      7. Atļautie nolūki” ir 3. iedaļā dotā nozīme.
      8. Personas dati” ir jebkura informācija, kas attiecas uz datu subjektu (tostarp, ja to pieprasa piemērojamie datu aizsardzības tiesību akti, unikāli pārlūkprogrammas vai ierīces identifikatori), kā noteikts A pielikuma B daļā.
      9. Process” ir jebkura darbība vai darbību kopums, ko veic ar personas datiem vai personas datu kopām, izmantojot vai neizmantojot automatizētus līdzekļus, piemēram, vākšana, saņemšana, reģistrēšana, organizēšana, strukturēšana, izmantošana, pārsūtīšana, piekļuve, kopīgošana, izpaušana, pārsūtīšana, glabāšana, pielāgošana vai pārveidošana, izgūšana, aplūkošana, izplatīšana vai citāda pieejamība, saskaņošana vai kombinēšana, apkopošana, izsecināšana, atvasināšana, analīze, Personas datu ierobežošana, dzēšana, iznīcināšana vai iznīcināšana vai cita veida apstrāde, ieskaitot to, kā šāds termins ir definēts Piemērojamajos datu aizsardzības tiesību aktos.
      10. Procesors” ir: (i) juridiska persona, kas apstrādā personas datus pārziņa vārdā, un (ii) jebkura persona, uz kuru attiecas termins “apstrādātājs” (vai jebkurš būtībā analogs termins), kā definēts piemērojamajos datu aizsardzības tiesību aktos.
      11. Ierobežota pārsūtīšana” nozīmē: (i) ja tiek piemērota ES VDAR, personas datu pārsūtīšana no EEZ uz valsti ārpus EEZ, uz kuru neattiecas Eiropas Komisijas atbilstības noteikšana (“ES ierobežota pārsūtīšana“); un (ii) ja tiek piemērota Apvienotās Karalistes VDAR, personas datu pārsūtīšana no Apvienotās Karalistes uz jebkuru citu valsti, uz kuru neattiecas vai uz kuru neattiecas atbilstības noteikumi saskaņā ar Apvienotās Karalistes 2018. gada Datu aizsardzības likuma 17.A sadaļu (a “Lielbritānijas ierobežots pārskaitījums“).
      12. Izpārdošana” un “Pārdot” nozīmē personas datu apmaiņu par naudas vai citu vērtīgu atlīdzību, un tie ietver to, kā šādi termini ir definēti piemērojamajos datu aizsardzības tiesību aktos.
      13. Pakalpojumi” ir pakalpojumi, ko Taboola sniedz saskaņā ar Līgumu ar Reklāmdevēju.
      14. Drošības incidents” ir drošības pārkāpums, kas izraisa nejaušu vai nelikumīgu Personas datu iznīcināšanu, nozaudēšanu, pārveidošanu, neatļautu izpaušanu vai piekļuvi tiem.
      15. Līguma standartklauzulas” ir: i) ja piemēro ES VDAR, līguma klauzulas, kas pievienotas Eiropas Komisijas Īstenošanas lēmumam 2021/914 (2021. gada 4. jūnijs) par līguma standartklauzulām personas datu nosūtīšanai uz trešām valstīm saskaņā ar Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (“ES SCC”); un ii) ja tiek piemērota Apvienotās Karalistes VDAR – “Starptautisko datu pārsūtīšanas pielikums ES Komisijas līguma standartklauzulām”, ko izdevis Informācijas komisārs saskaņā ar 2018. gada DPA 119A panta 1. punktu (“Apvienotās Karalistes pielikums”).
      16. Trešā puse” ir uzņēmums, kas darbojas kā pārzinis attiecībā uz personas datiem un kas nav uzņēmums, ar kuru datu subjekts, kura personas dati tiek apstrādāti, ir apzināti mijiedarbojies; termins ietver to, kā šāds termins ir definēts saskaņā ar Piemērojamajiem datu aizsardzības tiesību aktiem.
      17. Apvienotās Karalistes datu aizsardzības likums” ir: (i) Apvienotās Karalistes 2018. gada Datu aizsardzības likums, (ii) Apvienotās Karalistes VDAR (kā definēts 2018. gada Apvienotās Karalistes Datu aizsardzības likuma 3. panta 10. punktā) (“Apvienotās Karalistes VDAR“), (iii) Apvienotās Karalistes 2003. gada Privātuma un elektronisko sakaru (EK direktīvas) noteikumi un (iv) jebkuri citi Apvienotās Karalistes tiesību akti, kas pieņemti saskaņā ar (i), (ii) vai (iii) vai (iii) vai saskaņā ar tiem, katrs no tiem var tikt grozīts vai aizstāts.

Katra puse apstrādā savāktos datus, ko tā vāc vai saņem no otras puses A pielikuma B daļā (“Atļautie nolūki”).  Reklāmdevējs piekrīt, ka Taboola apstrādās savāktos datus saskaņā ar Taboola konfidencialitātes politiku (kas, lai izvairītos no šaubām, ir arī Taboola atļautais mērķis).

Ciktāl savāktie dati ir kvalificējami kā personas dati vai satur tos saskaņā ar piemērojamajiem datu aizsardzības tiesību aktiem, katra puse apstrādā savāktos datus, ko tā apkopo vai saņem no otras puses kā pārzinis (kas var ietvert, ja piemērojams Kalifornijas privātuma likums, kā trešā puse, ja piemērojams).  Savākto datu vai Personas datu izpaušana (pārsūtīšana vai ar tās puses starpniecību, kas dara datus pieejamus otrai pusei) no vienas puses otrai pusei ir izpaušana trešajām personām.

      1. Ja ASV vai ASV štata Datu aizsardzības likums attiecas uz Savāktajiem datiem, tostarp, bet ne tikai, Kalifornijas Privātuma likumu, ciktāl Realize Pixels (agrāk saukti par “Taboola Pixels”), kas tiek izmantoti saistībā ar Pakalpojumiem, apstrādā Apmeklētāja Personas datus, Taboola darbojas kā Reklāmdevēja Trešā puse attiecībā uz šādiem Personas datiem. Taboola apstrādā šādus personas datus atļautajiem nolūkiem. Šādi personas dati ir pieejami Taboola tikai atļautajiem mērķiem.  Taboola nodrošinās tādu pašu privātuma aizsardzības līmeni, kāds uzņēmumiem tiek prasīts saskaņā ar piemērojamajiem ASV datu aizsardzības likumiem, tostarp, ja piemērojams, Kalifornijas privātuma likumiem. Taboola informēs Reklāmdevēju Piemērojamajos datu aizsardzības tiesību aktos noteiktajā termiņā, ja Taboola konstatēs, ka vairs nespēj pildīt savus pienākumus saskaņā ar Piemērojamajiem datu aizsardzības tiesību aktiem. Sniedzot paziņojumu Taboola, Reklāmdevējam ir tiesības veikt saprātīgus un atbilstošus pasākumus, lai apturētu un labotu neatļautu Personas datu izmantošanu, ko tas dara pieejamus Taboola.

Puses atzīst, ka daži vai visi Apkopotie dati var tikt kvalificēti kā Personas dati vai ietvert tos, un tādēļ katras puses Savākto datu apstrādei var tikt piemēroti piemērojamie datu aizsardzības likumi.  Šādā gadījumā un saskaņā ar 7. sadaļu katra puse ir individuāli atbildīga par savu atbilstību piemērojamajiem datu aizsardzības likumiem, tostarp visām piemērojamajām prasībām, lai: (i) nodrošinātu pārredzamību datu subjektiem, (ii) saņemtu piekrišanu vai citu likumīgu pamatu apstrādei un (iii) darītu pieejamu kontaktpunktu, ar kura starpniecību datu subjekti var īstenot savas datu aizsardzības tiesības.

Gadījumā, ja kāda no pusēm veic ierobežotu savākto datu pārsūtīšanu otrai pusei, piemēro C pielikuma noteikumus.

Taboola izmanto Realizēt pikseļus, lai sniegtu Pakalpojumus.  Neatkarīgi no 5. sadaļas, ciktāl Taboola apkopo savāktos datus no reklāmdevēja digitālajiem īpašumiem (piemēram, tīmekļa vietnēm, mobilajām lietotnēm vai citādi), izmantojot Realize Pixels, Reklāmdevējs: (i) sniedz visus nepieciešamos pārredzamības paziņojumus Datu subjektiem par to, kā Taboola izmanto Realize Pixels, lai vāktu savāktos datus no Reklāmdevēja digitālajiem īpašumiem atļautajiem mērķiem, un (ii) iegūst (un pēc Taboola pieprasījuma jebkurā laikā sniegt atbilstošus pierādījumus par) Datu subjekta piekrišanu šādai Realize Pixels izmantošanai Atļautajiem mērķiem, katrā gadījumā saskaņā ar Piemērojamo datu aizsardzības likumu prasībām.  Reklāmdevēja pienākumi šajā sakarā ietver Taboola identificēšanu un Realizēt pikseļu izmantošanu Atļautajiem mērķiem, kas skaidri norādīti pārredzamības paziņojumos un piekrišanas uzvednēs, ko Reklāmdevējs sniedz Datu subjektiem, kā arī jebkuru citu informāciju, ko pieprasa Piemērojamie datu aizsardzības likumi, lai Taboola varētu likumīgi sniegt savus Pakalpojumus, izmantojot šādus digitālos īpašumus, un apstrādāt savāktos datus un personas datus atļautajiem mērķiem.  Pēc rakstiska pieprasījuma Taboola sniedz Reklāmdevējam nepieciešamo informāciju par Realizēt pikseļus un Taboola savākto datu apstrādi, izmantojot Reklāmdevēja digitālos īpašumus, lai nodrošinātu, ka tā paziņošanas un piekrišanas mehānismi atbilst Piemērojamajiem datu aizsardzības likumiem.  Reklāmdevējs nedrīkst atlaist nevienu Realize Pixel, ja vien nav nodrošināta nepieciešamā pārredzamība un nav saņemta jebkāda nepieciešamā piekrišana, kas nepieciešama saskaņā ar piemērojamajiem datu aizsardzības tiesību aktiem. Reklāmdevējs arī sniedz Datu subjektiem informāciju par to, kā viņi var izmantot savas datu aizsardzības tiesības saskaņā ar Piemērojamajiem datu aizsardzības tiesību aktiem, un nodrošina Datu subjektiem kontaktpunktu, ar kuru sazināties, lai īstenotu savas tiesības. Reklāmdevējs nekavējoties informē Taboola, ja un ciktāl tas saņem jebkādu datu aizsardzības tiesību pieprasījumu attiecībā uz Taboola savākto datu apstrādi kā pārzinis, lai Taboola varētu izpildīt pieprasījumu saskaņā ar saviem pienākumiem saskaņā ar Piemērojamajiem datu aizsardzības tiesību aktiem.

Ja Taboola pēc Reklāmdevēja pieprasījuma nodod Personas datus Reklāmdevēja attiecinājuma partnerim vai Reklāmdevējam attiecinājuma nolūkos, Reklāmdevējs apliecina un garantē, ka: (i) tā attiecinājuma partneris ir Apstrādātājs Reklāmdevēja vārdā; (ii) ja vien neatkarīgi netiek vākts citādi, Reklāmdevējs un attiecinājuma partneris izmantos šādus Personas datus tikai attiecinājuma nolūkos; un (iii) attiecinājuma partneris un Reklāmdevējs izdzēsīs visus nodotos Personas datus trīsdesmit (30) dienu laikā pēc tam, kad pēdējo reizi identificējis Apmeklētāju kā nākošu no Taboola.

Katra puse īsteno atbilstošus tehniskos un organizatoriskos drošības pasākumus, lai aizsargātu savāktos datus un/vai personas datus, ko tā apstrādā, no un pret drošības incidentu.  Šie pasākumi ietver B pielikumā izklāstītos pasākumus.

Ja kāda no Pusēm cieš no Drošības incidenta attiecībā uz Savāktajiem datiem un/vai Personas datiem, kurus tā apstrādā un uz kuriem attiecas Līgums un šie Reklāmdevēju konfidencialitātes noteikumi, šī Puse: (i) ir atbildīga par visu ziņošanas pienākumu izpildi (par saviem līdzekļiem), kas uz to attiecas saskaņā ar Piemērojamajiem datu aizsardzības tiesību aktiem datu aizsardzības iestādēm un/vai ietekmētajiem Datu subjektiem; (ii) bez liekas kavēšanās paziņo otrai Pusei, sniedzot tādu informāciju par Drošības incidentu, ko var pamatoti pieprasīt otra Puse vai kas citādi ir nepieciešams, lai otra Puse noteiktu, vai tai var būt arī ziņošanas pienākumi saskaņā ar Piemērojamajiem datu aizsardzības tiesību aktiem attiecībā uz Drošības incidentu, un (iii) veikt visas šādas darbības un pasākumus, bez liekas kavēšanās, ja tas ir nepieciešams, lai novērstu un/vai mazinātu drošības incidenta sekas

Ja un ciktāl to pieprasa Piemērojamie datu aizsardzības tiesību akti, kas attiecas uz katru pusi, katra puse veic jebkādu datu aizsardzības ietekmes novērtējumu attiecībā uz savākto datu un/vai personas datu apstrādi atļautajiem mērķiem un/vai vajadzības gadījumā konsultējas ar attiecīgajām datu aizsardzības iestādēm.  Katra puse nodrošina visu saprātīgo sadarbību un informāciju, ko pamatoti pieprasa otra puse, ja tas ir nepieciešams, lai otra puse varētu pabeigt datu aizsardzības ietekmes novērtējumu un/vai konsultēties ar attiecīgajām datu aizsardzības iestādēm saskaņā ar šīs otras puses pienākumiem saskaņā ar šo 11. iedaļu.

 

A. PUŠU SARAKSTS

Katra puse ir:

      • datu pārzinis (un datu nosūtītājs) par savāktajiem datiem, ko tas atklāj vai dara pieejamus otrai pusei, un
      • Datu pārzinis (un datu saņēmējs) par savāktajiem datiem, ko tas saņem no otras puses vai kuriem piekļuve ir pieejama.

Sīkāka informācija par katru pusi ir sniegta zemāk.

Vārds: Skatiet Reklāmdevēja informāciju, kas norādīta Līgumā.

Adrese: Skatiet Reklāmdevēja informāciju, kas norādīta Līgumā.

Kontaktpersonas vārds, uzvārds, amats un kontaktinformācija: Skatiet Reklāmdevēja informāciju, kas norādīta Līgumā vai citādi rakstiski vienojušās starp pusēm.

Darbības, kas attiecas uz datiem, kas nosūtīti saskaņā ar šiem punktiem: Pakalpojumu saņemšana, kā noteikts Līgumā.

Paraksts un datums: Šis A pielikums tiek uzskatīts par izpildītu, kad Reklāmdevējs piekrīt šiem Reklāmdevēja konfidencialitātes noteikumiem.

Loma (pārzinis/apstrādātājs): Pārzinis (ja tas ir datu nosūtītājs) un pārzinis (ja tas ir datu saņēmējs)

 

Vārds: Skatīt Taboola sīkāku informāciju, kas izklāstīta nolīguma ievadā.

Adrese: Skatīt Taboola sīkāku informāciju, kas izklāstīta nolīguma ievadā.

Kontaktpersonas vārds, uzvārds, amats un kontaktinformācija: Taboola privātuma komanda, privacy@taboola.com.

Darbības, kas attiecas uz datiem, kas nosūtīti saskaņā ar šiem punktiem: Pakalpojumu sniegšana, kā noteikts Līgumā.

Paraksts un datums: Šis A pielikums tiek uzskatīts par izpildītu pēc tam, kad Taboola piekrīt šiem Reklāmdevēju konfidencialitātes noteikumiem.

Loma (pārzinis/apstrādātājs): Pārzinis (ja tas ir datu nosūtītājs) un pārzinis (ja tas ir datu saņēmējs)

 

B. APSTRĀDES UN PĀRVIETOŠANAS APRAKSTS

Datu subjektu kategorijas, kuru personas dati tiek apstrādāti un/vai nosūtīti: Lietotājiem

Apstrādāto un/vai pārsūtīto personas datu kategorijas:

Ierīces dati: Operētājsistēma, pārlūkprogrammas tips, pārlūkprogrammas versija, IP adrese (saīsināta 30 dienu laikā) pēc vākšanas, pasta indekss (atvasināts no IP adreses), jauktais Taboola lietotāja ID, jauktie e-pasta ziņojumi, sākotnējie un turpmākie lapu apmeklējumi Reklāmdevēja tīmekļa vietnē, lietotāja dzimums (secināts pēc interesēm), iesaistes signāli (laiks vietnē, ritināšanas dziļums, sesijas dziļums), reklāmguvumu dati.

Dati par lietotāja apmeklēto digitālo īpašumu: Apmeklētās lapas URL, atsauces vietne

Pārsūtītie sensitīvie dati (attiecīgā gadījumā) un piemērotie ierobežojumi vai aizsardzības pasākumi, kuros pilnībā ņemts vērā datu raksturs un ar to saistītie riski, piemēram, stingrs nolūka ierobežojums, piekļuves ierobežojumi (tostarp piekļuve tikai darbiniekiem, kas apguvuši specializētu apmācību), piekļuves datiem uzskaite, ierobežojumi tālākai nosūtīšanai vai papildu drošības pasākumi: Nav piemērojams.

Apstrādes un/vai nosūtīšanas biežums (piemēram, vai dati tiek apstrādāti un/vai pārsūtīti vienreizēji vai nepārtraukti): Nepārtraukts Līguma darbības laikā.

Apstrādes veids: Pakalpojumu sniegšanai nepieciešamo Personas datu apstrāde, kā noteikts Līgumā.

Datu apstrādes/pārsūtīšanas un turpmākās apstrādes mērķis(-i): Pakalpojumu sniegšana, kā noteikts Līgumā. Lai izvairītos no šaubām, atļautie nolūki ietver: (i) informācijas glabāšanu un/vai piekļuvi ierīcei; (ii) izvēloties pamata reklāmas; (iii) personalizēta reklāmu profila izveide; (iv) personalizētu reklāmu atlase; (v) personalizēta satura profila izveide; (vi) personalizēta satura atlasīšana; vii) reklāmas veiktspējas mērīšana; (viii) satura veiktspējas mērīšana; ix) produktu izstrāde un uzlabošana; (x) drošības nodrošināšana, krāpšanas novēršana un atkļūdošana; (xi) tehniski piegādāt reklāmas vai saturu; xii) bezsaistes datu avotu saskaņošana un apvienošana; xiii) dažādu ierīču savienošana; xiv) automātiski nosūtītu ierīces raksturlielumu saņemšana un izmantošana identifikācijai; (xv) ierobežotu datu izmantošana, lai atlasītu saturu, un (xvi) uAuditorija ar statistikas palīdzību.

Laikposms, kurā personas dati tiks glabāti, vai, ja tas nav iespējams, kritēriji, kas izmantoti, lai noteiktu šo laikposmu:

      • Tabuola: Neapstrādātie dati tiek glabāti ne ilgāk kā 13 mēnešus.
      • Reklāmdevējs: Tik ilgi, cik nepieciešams Pakalpojumu saņemšanai vai kā citādi norādīts Līgumā.

Attiecībā uz nosūtīšanu (apakš)apstrādātājiem norādiet arī apstrādes priekšmetu, veidu un ilgumu: Nav piemērojams.

 

C. KOMPETENTĀ UZRAUDZĪBAS IESTĀDE

Kompetentā uzraudzības iestāde, kurā piemēro ES VDAR: Katras puses kompetentā uzraudzības iestāde ir aprakstīta šādi:

      • Tabuola: Kompetento uzraudzības iestādi nosaka saskaņā ar ES SCC 13. klauzulu.
      • Reklāmdevējs: Kompetento uzraudzības iestādi nosaka saskaņā ar ES SCC 13. klauzulu.

Kompetentā uzraudzības iestāde, kurā piemēro Apvienotās Karalistes VDAR: Informācijas komisāra birojs

 

Apraksts par tehniskajiem un organizatoriskajiem pasākumiem, ko katra puse īstenojusi (tostarp visi attiecīgie sertifikāti), lai nodrošinātu pienācīgu drošības līmeni, ņemot vērā apstrādes būtību, apjomu, kontekstu un nolūku, kā arī riskus fizisku personu tiesībām un brīvībām.

Personas datu pseidonimizācijas un šifrēšanas pasākumi: Taboola vāc tikai pseidonimizētus datus, kas nozīmē, ka mēs nezinām, kas jūs esat, jo mēs nezinām un neapstrādājam lietotāja vārdu, e-pasta adresi vai citus identificējamus datus. Lietotāja informācija, ko mēs apkopojam, ietver, bet neaprobežojas ar informāciju par Lietotāja ierīci un operētājsistēmu, IP adresi, tīmekļa lapām, kurām Lietotāji piekļūst mūsu Klientu tīmekļa vietnēs, saiti, kas novirzīja Lietotāju uz Klienta tīmekļa vietni, datumus un laikus, kad Lietotājs piekļūst Klienta tīmekļa vietnei, un citus tīmekļa pārlūkošanas datus. Sīkdatnes ID tiek anonimizēts, izmantojot Bcrypt, un IP adrese tiek saīsināta.

Pasākumi, lai nodrošinātu apstrādes sistēmu un pakalpojumu pastāvīgu konfidencialitāti, integritāti, pieejamību un noturību: Taboola izmanto vairākus elektroniskās drošības līmeņus (piemēram, galapunktu drošību, servera puses drošību, atklāšanas izsekošanu, periodiskus iekļūšanas testus un dziļu informācijas vākšanu, lai pārskatītu pēcnāves notikumus).

Pasākumi, lai nodrošinātu spēju fiziska vai tehniska incidenta gadījumā savlaicīgi atjaunot personas datu pieejamību un piekļuvi tiem: Taboola uztur 9 datu centrus, kas darbojas visā pasaulē. Katrs datu centrs tiek izmantots kā viens otra replikācija, tāpēc, ja viens nokrīt, datus var iegūt no cita datu centra.

Tehnisko un organizatorisko pasākumu efektivitātes regulāras pārbaudes, novērtēšanas un novērtēšanas procesi, lai nodrošinātu apstrādes drošību: Taboola uztur stingrus procesus, lai pārbaudītu savu kontroles efektivitāti (gan tehnisko, gan organizatorisko). Mums ir sistēmas reģistrēšana un uzraudzība, ikmēneša (vismaz) DR testēšana, ceturkšņa iekļūšanas testi, ugunsmūri, kas aizsargā tīmekli un medus podi, kas izplatās visā tīklā, lai atrastu jebkādas ļaunprātīgas darbības. Turklāt mums ir ieviesta balvu programma, kas palīdz mums pastāvīgi uzraudzīt mūsu tīklu.

Lietotāju identifikācijas un autorizācijas pasākumi: Katrs Taboola lietotājs ir saistīts ar īpašu lietotājvārdu un paroli. Katra piekļuve Taboola iekšējam tīklam tiek veikta ar 2FA, izmantojot Google autentifikāciju. Lietotājus izveido tikai IT nodaļa, pievienošanas procesa laikā un tikai pēc tam, kad ir saņemta visa informācija un parakstīts līgums no personāla nodaļas.

Pasākumi datu aizsardzībai pārsūtīšanas laikā: Taboola atbalsta jebkuru datu pārraidi, izmantojot drošus pārraides protokolus (vismaz HTTPS un TLS v1.2). Turklāt sistēmas, kas var saturēt PII, ir aizsargātas, un dati tiek turēti jaukti un anonimizēti.

Pasākumi datu aizsardzībai glabāšanas laikā: Dati, kas tiek glabāti mūsu datu bāzēs, tiek anonimizēti un jaukti, izmantojot Bcrypt. Piekļuve DB ir samazināta līdz minimumam un balstīta saskaņā ar principu “Business need to know”.

Pasākumi fiziskās drošības nodrošināšanai vietās, kurās tiek apstrādāti personas dati: Katrā no Taboola globālajiem datu centriem (ASV, Eiropā un Āzijā) visi serveri atrodas slēgtos skapjos, kas tiek uzturēti tikai Taboola lietošanai. Šos skapjus uztur uzņēmumi, kas ir vai nu SOC2 sertificēti, vai arī Taboola ir pārskatījis savus drošības pasākumus. Turklāt jebkurai piekļuvei serveriem ir nepieciešama rakstiska, reģistrēta atļauja. Visi Taboola biroji arī tiek kontrolēti, un darbiniekiem ir jāizmanto piekļuves kartes, lai iekļūtu. Turklāt tikai ierobežotam darbinieku skaitam ir piekļuve Taboola serveriem, un jebkurai piekļuvei ir nepieciešama arī rakstiska, reģistrēta atļauja.

Pasākumi notikumu reģistrēšanas nodrošināšanai: Taboola ievieš uzraudzības rīkus un žurnālus apkopo mūsu SIEM sistēmā, kas brīdina mūs par jebkuru aizdomīgu notikumu, kā arī uzrauga NOC komanda.

Pasākumi sistēmas konfigurācijas nodrošināšanai, ieskaitot noklusējuma konfigurāciju: Serveri tiek skenēti gan konfigurācijas novirzei, gan ielāpa līmenim. Ziņošana un/vai brīdinājums tiek iestatīts abos un attiecīgais ielāpa līmenis tiek apstiprināts. Jauni ielāpi tiek izplatīti, izmantojot Puppet. Visi tehniskie pārskati tiek pārvaldīti, izmantojot pētniecības un attīstības lietojumprogrammu, un iegūti, izmantojot oficiālu pārskatīšanas procesu (QA) pēc kodēšanas un CI/CD procesu ieviešanas.

Iekšējās IT un IT drošības pārvaldības un pārvaldības pasākumi: Taboola ir sertificēts ISO 27001: 2013 un 27701. Taboola ir ieviesusi informācijas drošības politiku, kas nosaka, ka Taboola direktoru padome un vadība ir apņēmusies saglabāt visu fizisko un elektronisko informācijas aktīvu konfidencialitāti, integritāti un pieejamību visā savā organizācijā. Taboola rīko drošības apmācības visiem jaunajiem darbiniekiem, pikšķerēšanas apmācības visiem darbiniekiem visā pasaulē un regulāras drošības apmācības visiem darbiniekiem, kā arī veltītas sesijas pētniecības un attīstības grupām.

Procesu un produktu sertifikācijas/nodrošināšanas pasākumi: Ceturkšņa / pusgada / gada iekšējais audits par vairākiem procesiem un sistēmām, lai apstiprinātu, ka Taboola atbilst definētajiem drošības mērķiem un pasākumiem.

Pasākumi datu minimizēšanas nodrošināšanai: Taboola apzināti ierobežo datus, kurus mēs apkopojam saskaņā ar Taboola globālajiem datu minimizācijas principiem, apstrādājot tikai ierobežotos datus, kas nepieciešami mūsu konkrētajiem uzņēmējdarbības mērķiem. Turklāt Taboola nav ne iespēju, ne biznesa vajadzību “reverso inženieriju” nevienu no mūsu algoritmā izmantotajiem datu punktiem, lai sniegtu mūsu pakalpojumus. Konkrētāk, Taboola apkopotie datu punkti nekad nenorāda uz lietotāja identitāti, jo Taboola nevāc un neapstrādā informāciju, piemēram, lietotāja vārdu, tālruņa numuru, e-pastu vai fiziskās adreses. Tā vietā Taboola vāc tikai pseidonīmus identifikatorus, kas tikai identificē lietotāja ierīces īpašības. Tas ietver IP adreses (kas tiek saīsinātas pēc apkopošanas un var identificēt tikai ierīces vispārējo pasta indeksa atrašanās vietu, bet nekad precīzu ģeogrāfisko atrašanās vietu) un dažos ierobežotos gadījumos jauktās e-pasta adreses (kas pēc būtības ir neatgriezeniskas un nevar tikt atšifrētas, lai atklātu sākotnējo e-pasta adresi). Turklāt, pat ja tie tiek izmantoti kolektīvi, mūsu apkopotie dati nekad nevar iegūt personas vārdu, tālruņa numuru, e-pastu vai fizisko adresi, un mūsu inženieri nekādā veidā nestrādā, lai sasniegtu šo mērķi. Turklāt Taboola veic un reģistrē privātuma ietekmes novērtējumus, cenšoties samazināt mūsu pakalpojumu, procesu un politiku privātuma riskus.

Pasākumi datu kvalitātes nodrošināšanai: Dati tiek vākti tieši no lietotāja, un lietotājam tiek dota iespēja labot visus datus, kas saistīti ar viņu CookieID, izmantojot Taboola subjekta piekļuves pieprasījumu portālu: https://accessrequest.taboola.com/access

Pasākumi ierobežotas datu saglabāšanas nodrošināšanai: Mēs glabājam Lietotāja informāciju, kas tiek tieši apkopota reklāmu rādīšanas nolūkos, ne ilgāk kā trīspadsmit (13) mēnešus no Lietotāja pēdējās mijiedarbības ar mūsu Pakalpojumiem (bieži vien īsāku laika periodu), pēc kura mēs deidentificējam datus, noņemot unikālos identifikatorus vai apkopojot datus. Šis process tiek veikts automātiski.

Pārskatatbildības nodrošināšanas pasākumi: Taboola veic vairākus drošības auditus un iekļūšanas testēšanu (bet ne visām sistēmām). Taboola izmanto arī mākoņpakalpojumu sniedzējus, kas ir ISO sertificēti un atbilst citiem ar mākoņiem saistītiem sertifikātiem, lai uzturētu servera fiziskās drošības pasākumus.

Pasākumi datu pārnesamības nodrošināšanai un dzēšanas nodrošināšanai: Taboola saistīts ar mediju iznīcināšanu vienādi visiem medijiem, jo tas var saturēt PII. Jebkurš datu nesējs ir pilnībā jānoslauka pirms atkārtotas izmantošanas vai iznīcināšanas. Jebkura mediju iznīcināšana ir dokumentēta. Darbiniekiem tiek uzdots nedrukāt papīru, kas varētu saturēt personisku informāciju.

  1. Ja kāda puse veic ierobežotu apkopoto datu pārsūtīšanu otrai pusei, līguma standartklauzulas tiek iekļautas šajos reklāmdevēju konfidencialitātes noteikumos un tiek piemērotas šādi:
    1. ja ierobežota nosūtīšana ir ES ierobežota nosūtīšana, ES SCC starp pusēm tiks piemērotas šādi:
      1. Tiks piemērots pirmais modulis;
      2. 7. klauzulā piemēro fakultatīvo dokstacijas klauzulu;
      3. 11. punktā fakultatīvā valoda netiek piemērota;
      4. 17. klauzulā tiks piemērots 1. variants, un ES SCC reglamentēs Īrijas tiesību akti;
      5. 18. punkta b) apakšpunktā strīdus izšķir Īrijas tiesās;
      6. Uzskata, ka I pielikuma A, B un C daļā ir iekļauta informācija, kas norādīta šo Reklāmdevēju konfidencialitātes noteikumu A pielikuma A, B un C daļā; un
      7. II pielikums tiek uzskatīts par pabeigtu ar šo reklāmdevēju konfidencialitātes noteikumu B pielikumā noteiktajiem drošības pasākumiem;
    2. ja ierobežotā pārsūtīšana ir Apvienotās Karalistes ierobežota pārsūtīšana, Apvienotās Karalistes pielikums starp pusēm tiks piemērots šādi:
      1. ES SCC, kas aizpildītas, kā izklāstīts iepriekš, piemēro starp pusēm, un tās groza ar Apvienotās Karalistes pielikumu (papildināts, kā izklāstīts ii) apakšpunktā); un
      2. Apvienotās Karalistes pielikuma 1.–3. tabulu uzskata par aizpildītu ar attiecīgo informāciju no ES SCC, kas aizpildīta, kā norādīts iepriekš, un opcijas “Eksportētājs” un “Importētājs” uzskata par atzīmētām 4. tabulā. Apvienotās Karalistes pielikuma spēkā stāšanās datums (kā norādīts 1. tabulā) ir šo reklāmdevēju konfidencialitātes noteikumu spēkā stāšanās datums.
  2. Tālāk ierobežoti pārskaitījumi:  Neviena no pusēm neveiks savākto datu tālāku ierobežotu pārsūtīšanu, ko tā saņem no otras puses, ja vien tā nav veikusi visas nepieciešamās darbības un lietas, lai nodrošinātu, ka šāda tālāka ierobežota pārsūtīšana atbilst piemērojamajiem datu aizsardzības tiesību aktiem un visām līguma standartklauzulām, par kurām tā ir vienojusies ar otru pusi.