Privacyvoorwaarden voor eigenaren van digitale eigendommen

Last Update: October 10, 2024

Ingangsdatum: 10 oktober 2024

Deze privacyvoorwaarden van Taboola voor eigenaren van digitale eigendommen („Privacyvoorwaarden voor uitgevers”) zijn van toepassing op de digitale advertentiediensten van Taboola, zoals wanneer Taboola advertentie-inhoud van Adverteerders op de eigendommen van Uitgevers plaatst, inclusief, maar niet beperkt tot, producten en diensten van Uitgevers zoals Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News en Taboola Push, op grond van een overeenkomst tussen Taboola en een Uitgever („Overeenkomst”), en deze Privacyvoorwaarden voor uitgevers worden geacht te zijn opgenomen in, en vormen een integraal onderdeel van, een dergelijke Overeenkomst. In deze Privacyvoorwaarden voor uitgevers worden de rollen en verantwoordelijkheden van Taboola en de Uitgever met betrekking tot persoonsgegevens geïdentificeerd.

Als er een conflict is tussen de Privacyvoorwaarden voor uitgevers en de Overeenkomst, zijn de Privacyvoorwaarden voor uitgevers leidend, tenzij de strijdige bepaling in de Overeenkomst uitdrukkelijk verwijst naar de strijdige bepaling van deze Privacyvoorwaarden voor uitgevers en aangeeft dat deze de strijdige bepaling vervangt.

De in deze sectie gedefinieerde termen hebben de hieronder vermelde betekenissen, en verwante termen moeten dienovereenkomstig worden geïnterpreteerd. Hoofdletters die in de Privacyvoorwaarden voor uitgevers worden gebruikt maar niet zijn gedefinieerd, hebben de betekenissen die in de Overeenkomst zijn gedefinieerd.

      1. Toepasselijke wetgeving inzake gegevensbescherming” betekent alle van toepassing zijnde federale, nationale, staats- of andere privacy- en gegevensbeschermingswetten die van toepassing zijn op de verwerking die het onderwerp is van de overeenkomst en deze privacyvoorwaarden voor uitgevers, zoals deze van tijd tot tijd kunnen worden gewijzigd of ingetrokken.
      2. Californië Privacywet” betekent de California Consumer Privacy Act van 2018, Cal. Burgerlijk Wetboek § 1798.100 e.v. (ook „CCPA”), zoals gewijzigd (onder meer door de California Privacy Rights Act), en alle afgeleide wetgeving en uitvoeringsverordeningen.
      3. Controller” betekent: (i) een entiteit die de doeleinden en middelen van de verwerking van persoonsgegevens bepaalt, en (ii) elke persoon of entiteit die valt onder de reikwijdte van de term “Controller” of “Business” (of een in wezen analoge term) zoals gedefinieerd onder Toepasselijke wetgeving inzake gegevensbescherming.
      4. BetrokkeneBetekent: (i) een geïdentificeerde of identificeerbare natuurlijke persoon (en voor deze doeleinden is een identificeerbare natuurlijke persoon iemand die direct of indirect kan worden geïdentificeerd, met name door middel van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online-identificator of een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon), en (ii) elke persoon die valt onder de reikwijdte van de term “betrokkene”, “consument” (of een in wezen analoge term) zoals gedefinieerd onder de Wetgeving inzake gegevensbescherming.
      5. EU-wetgeving inzake gegevensbescherming” betekent: (i) de Algemene Verordening Gegevensbescherming van de EU (Verordening 2016/679) (“EU GDPR”); (ii) de EU-richtlijn inzake elektronische privacy (Richtlijn 2002/58/EG); en (iii) alle nationale wetten inzake gegevensbescherming die zijn vastgesteld op grond van of ingevolge (i) of (ii), telkens in de desbetreffende gewijzigde of vervangen versie.
      6. Persoonsgegevens” betekent alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare persoon (en deze term omvat, indien vereist door de Toepasselijke Wetgeving inzake Gegevensbescherming, unieke browser- of apparaat-ID’s), zoals uiteengezet in Bijlage A, Deel B.
        1. Interactie Persoonsgegevens” betekent alle Persoonsgegevens die van consumenten worden verzameld op het moment van, of na, een opzettelijke interactie van een consument met Taboola, de producten van Taboola, de eigendommen van Taboola en advertenties die Taboola plaatst.
        2. Passieve interactie Persoonsgegevens” betekent alle Persoonsgegevens die passief worden verzameld van Uitgever-eigendommen, inclusief, maar niet beperkt tot, IP-adres, pagina-URL en gebruikersagent-string die door Taboola worden verzameld, voorafgaand aan of bij afwezigheid van een opzettelijke interactie van een consument met Taboola, de producten van Taboola, de eigendommen van Taboola en advertenties die Taboola plaatst.
      7. Proces”betekent elke bewerking of reeks van bewerkingen die op persoonsgegevens of op verzamelingen van persoonsgegevens wordt/worden verricht, al dan niet met behulp van geautomatisede middelen, zoals het verzamelen, ontvangen, vastleggen, ordenen, structureren, gebruiken, verzenden, openbaarmaken, delen, verspreiden, overdragen, opslaan, aanpassen of wijzigen, opvragen, raadplegen, verspreiden of op andere wijze beschikbaar stellen, uitlijnen of combineren, samenvoegen, afleiden, afgeleiden, analyseren, beperken, wissen, vernietigen of verwijderen of andere verwerking van persoonsgegevens, inclusief de manier waarop deze term wordt gedefinieerd onder de Toepasselijke wetgeving inzake gegevensbescherming.
      8. Verwerker” betekent een entiteit die Persoonsgegevens Verwerkt namens een Verantwoordelijke, en is inclusief hoe een dergelijke term en/of de term “gegevensverwerker” (of een in wezen analoge term) wordt gedefinieerd onder Toepasselijk Gegevensbeschermingsrecht.
      9. Beperkte overdracht“Betekent: (i) indien de EU GDPR van toepassing is, een overdracht van persoonsgegevens van de EER naar een land buiten de EER dat niet onder de toepassingsregel van de Europese Commissie valt (een “Beperkte overdracht in de EU“); en (ii) indien de UK GDPR van toepassing is, een overdracht van persoonsgegevens van het Verenigd Koninkrijk naar een ander land dat niet onder de toepassingsregel valt of niet gebaseerd is op de toepassingsregel overeenkomstig artikel 17A van de Data Protection Act 2018 van het Verenigd Koninkrijk (een “Beperkte overdracht in het VK“).
      10. Diensten” betekent diensten die door Taboola worden aangeboden onder de Overeenkomst met de Uitgever.
      11. „Beveiligingsincident” betekent een inbreuk op de beveiliging die leidt tot de onbedoelde of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van of toegang tot persoonsgegevens.
      12. „Standaardcontractbepalingen” betekent: (i) indien de EU GDPR van toepassing is, de contractuele clausules die zijn gehecht aan het Uitvoeringsbesluit 2021/914 van de Europese Commissie van 4 juni 2021 inzake standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad („EU SCCs”); en (ii) indien de UK GDPR van toepassing is, het „Addendum inzake internationale gegevensoverdracht bij de standaardcontractbepalingen van de EU-Commissie” dat is uitgegeven door de Information Commissioner op grond van artikel 119A(1) van de DPA 2018 („UK Addendum”).
      13. Derde partij” betekent een bedrijf dat optreedt als verantwoordelijke met betrekking tot persoonsgegevens, en dat niet het bedrijf is waarmee de betrokkene, wiens persoonsgegevens worden verwerkt, opzettelijk heeft samengewerkt; de term omvat hoe deze term wordt gedefinieerd onder de toepasselijke wetgeving inzake gegevensbescherming.
      14. UK-wetgeving inzake gegevensbescherming” betekent: (i) de UK Data Protection Act 2018, (ii) de UK GDPR (zoals gedefinieerd in artikel 3(10) van de UK Data Protection Act 2018) („UK GDPR”), (iii) de UK Privacy and Electronic Communications (EC Directive) Regulations 2003), en (iv) alle andere Britse wetten die zijn vastgesteld op grond van of krachtens (i), (ii) of (iii), telkens in de desbetreffende gewijzigde of vervangen versie.

Voor Persoonsgegevens die worden verwerkt in verband met de Diensten, stemmen beide partijen ermee in dat zij de Persoonsgegevens die zij verzamelen alleen zullen verwerken voor de doeleinden die zijn beschreven in Bijlage A, Deel B (de “Toepasselijke doeleinden”) en zoals toegestaan door deze Privacyvoorwaarden voor Uitgevers, de Overeenkomst en Toepasselijke Wetgeving inzake Gegevensbescherming, aangezien elk van deze voorwaarden van tijd tot tijd kan worden bijgewerkt. Taboola kan de persoonsgegevens van passieve interactie ook verwerken zoals toegestaan door het privacybeleid van Taboola en zoals dit van tijd tot tijd kan worden bijgewerkt.

Elke partij verwerkt de persoonsgegevens van passieve interactie die zij verzamelt als een controller of derde partij, naargelang het geval. Elke partij verwerkt de persoonsgegevens van interactie die zij verzamelt als een controller of bedrijf, naargelang het geval. Openbaarmakingen (hetzij direct, hetzij via een partij die gegevens beschikbaar stelt aan de andere partij) van persoonsgegevens van de ene partij aan de andere zijn openbaarmakingen aan derden.

      1. Als de gegevensbeschermingswetgeving van de VS of een Amerikaanse staat van toepassing is op persoonsgegevens, inclusief maar niet beperkt tot de privacywetgeving van Californië, voor zover Taboola passieve interactiegegevens verwerkt in verband met de diensten, treedt Taboola op als derde partij voor de uitgever voor dergelijke passieve interactiegegevens. Taboola verwerkt dergelijke persoonsgegevens van passieve interactie voor de doeleinden die zijn beschreven in bijlage A, deel B en zoals toegestaan door deze privacyvoorwaarden voor uitgevers, de overeenkomst, de toepasselijke wetgeving inzake gegevensbescherming en het privacybeleid van Taboola, aangezien elk van deze van tijd tot tijd kan worden bijgewerkt. Dergelijke persoonsgegevens van passieve interactie worden alleen beschikbaar gesteld aan Taboola voor dergelijke doeleinden. Taboola biedt hetzelfde niveau van privacybescherming als vereist van bedrijven door de toepasselijke Amerikaanse wetgeving inzake gegevensbescherming, inclusief, indien van toepassing, de privacywetgeving van Californië. De uitgever heeft het recht om ervoor te zorgen dat Taboola passieve interactiegegevens op een manier gebruikt die in overeenstemming is met de verplichtingen van de uitgever. Na kennisgeving aan Taboola heeft de uitgever het recht om redelijke en passende stappen te ondernemen om ongeautoriseerd gebruik van persoonsgegevens die hij aan Taboola beschikbaar stelt, te stoppen en te verhelpen. Taboola zal de uitgever informeren binnen de door de toepasselijke wetgeving inzake gegevensbescherming vereiste termijn als Taboola vaststelt dat het niet langer in staat is om aan zijn verplichtingen onder de toepasselijke wetgeving inzake gegevensbescherming te voldoen. Voor zover Taboola interactiegegevens verzamelt in verband met de diensten, zal dit gebeuren als een afzonderlijk bedrijf.

De partijen erkennen dat zij persoonsgegevens mogen verwerken en dat de toepasselijke wetgeving inzake gegevensbescherming van toepassing kan zijn op de verwerking van de persoonsgegevens door elke partij. In dat geval moet elke partij voldoen aan de toepasselijke wetgeving inzake gegevensbescherming met betrekking tot haar verwerking van persoonsgegevens. In dat geval, en onder voorbehoud van artikel 7, is elke partij individueel verantwoordelijk voor haar eigen naleving van de toepasselijke wetgeving inzake gegevensbescherming, inclusief eventuele toepasselijke vereisten om: (i) transparantie te bieden aan de betrokkenen, (ii) toestemming of een andere rechtsgrond voor de verwerking te hebben, en (iii) een contactpunt beschikbaar te stellen via welke betrokkenen hun rechten op gegevensbescherming kunnen uitoefenen. De Uitgever zal Taboola onmiddellijk op de hoogte brengen indien en voor zover hij een verzoek tot gegevensbescherming ontvangt met betrekking tot de verwerking van persoonsgegevens door Taboola als verantwoordelijke, zodat Taboola het verzoek kan inwilligen in overeenstemming met zijn verplichtingen onder de Toepasselijke wetgeving inzake gegevensbescherming.

  1. De uitgever stuurt alle verzoeken van betrokkenen die worden ontvangen met betrekking tot de diensten van Taboola door naar Taboola’s wereldwijde portaal voor verzoeken van betrokken gegevensbetrokkenen of U.S. Portal voor afmelding van consumentenrechten, indien van toepassing.

Als een van de partijen een verzoek, klacht of correspondentie ontvangt („Kennisgeving aan derden”) van een individu, toezichthouder of andere derde partij met betrekking tot de verwerking van de Persoonsgegevens van de Betrokkene in verband met de Diensten, zal zij de andere Partij onmiddellijk informeren en zullen de Partijen te goeder trouw en in redelijkheid samenwerken om aan de vereisten van een dergelijke Kennisgeving van derden te voldoen.

Ingeval een van beide partijen een Beperkte Overdracht van Persoonsgegevens aan de andere partij verricht, zijn de bepalingen van Bijlage C van toepassing.

Voor zover Taboola Persoonsgegevens verzamelt van Uitgever-eigendommen met behulp van Taboola-code, pixels en andere trackingtechnologie, is de Uitgever verplicht: (i) alle vereiste transparantiemeldingen aan Betrokkenen te verstrekken over het gebruik van Taboola-code door Taboola om Persoonsgegevens te verzamelen van Uitgever-eigendommen voor de Toegestane Doeleinden, en (ii) toestemming van de Betrokkene te verkrijgen (en, op verzoek van Taboola op elk moment, passende bewijzen hiervan te verstrekken) voor het gebruik van Taboola-code voor de Toegestane Doeleinden, in elk geval in overeenstemming met de vereisten van de Toepasselijke Wetgeving inzake Gegevensbescherming. De verplichtingen van de Uitgever in dit verband omvatten het uitdrukkelijk identificeren van Taboola en het gebruik van Taboola-code door Taboola voor de Toegestane Doeleinden in de transparantiemeldingen en toestemmingsmeldingen die de Uitgever verstrekt aan Betrokkenen, evenals alle andere informatie die vereist is door de Toepasselijke Wetgeving inzake Gegevensbescherming, zodat Taboola zijn Diensten legaal kan aanbieden via dergelijke Eigendommen en Persoonsgegevens kan Verwerken voor de Toegestane Doeleinden. Op schriftelijk verzoek verstrekt Taboola de Uitgever de informatie die de Uitgever redelijkerwijs nodig heeft over de Taboola-code en de Verwerking van Persoonsgegevens door Taboola via de Uitgever-eigendommen, zodat de Uitgever kan waarborgen dat zijn kennisgevings- en toestemmingsmechanismen voldoen aan de Toepasselijke Wetgeving inzake Gegevensbescherming. De Uitgever gaat er uitdrukkelijk mee akkoord dat:

  1. Wat betreft de webgebaseerde eigendommen, beschrijft het privacybeleid van de uitgever het gebruik van cookies, unieke identificatiegegevens en niet-cookietechnologieën door derden (dwz Taboola) voor op interesse gebaseerde advertenties en analyses (op en buiten de eigendommen), en biedt een link naar de opt-outpagina voor de hele industrie van de NAI op http://www.networkadvertising.org, de opt-outpagina voor de hele industrie van de DAA op http://www.aboutads.info, of (met betrekking tot Europese webgebaseerde media en gegevensverzameling) een link naar de opt-outlink van de EDAA op http://www.youronlinechoices.eu, op een manier die voldoet aan de vereisten van de toepasselijke wetgeving inzake gegevensbescherming; en
  2. Wat betreft de eigendommen op basis van mobiele apps, beschrijft het privacybeleid van de uitgever het gebruik van SDK’s op zijn mobiele apps en het verzamelen van mobiele advertentie-identificatoren voor op interesse gebaseerde of cross-app advertenties en analyses (op en buiten de eigendommen); en biedt een beschrijving van hoe gebruikers en bezoekers zich kunnen afmelden voor het verzamelen van mobiele gegevens voor cross-app advertenties via de apparaatinstellingen.
  3. Voor zijn eigendommen die gericht zijn op de EU, zorgt de uitgever ervoor dat hij de vrijwillig gegeven, specifieke, geïnformeerde en ondubbelzinnige toestemming van de bezoekers verkrijgt in overeenstemming met de EU-privacywetgeving, met betrekking tot het plaatsen of openen van Taboola-cookies of andere unieke identificatiegegevens op het apparaat(en) van de bezoekers. De uitgever verstrekt zijn bezoekers contactgegevens (waaronder het beschikbaar stellen van deze gegevens via zijn privacybeleid) zodat zij contact kunnen opnemen met de uitgever om hun rechten op gegevensbescherming uit te oefenen (inclusief met betrekking tot persoonsgegevens die worden verwerkt in verband met de diensten). De bovenstaande verplichtingen zijn van toepassing wanneer de eigendommen van de uitgever bezoekers aantrekken in rechtsgebieden die toestemmingsmechanismen vereisen met betrekking tot de diensten.

Tijdens de looptijd kan Taboola aan de uitgever een aanbevolen privacybeleid of openbaarmakingstekst verstrekken. De uitgever erkent dat hij niet op dergelijke aanbevolen taal mag vertrouwen als, of als vervanging voor, juridisch advies en dat de uitgever of het bedrijf zelf volledig verantwoordelijk is voor alle openbaarmakingen in zijn privacybeleid of op zijn website.

De uitgever mag de diensten niet zo leveren of configureren dat er speciale categorieën persoonsgegevens of gevoelige persoonsgegevens of gevoelige gegevens (zoals gedefinieerd in de toepasselijke wetgeving inzake gegevensbescherming) worden verzameld of anderszins aan Taboola worden verstrekt voor verwerking. Bovendien moet de uitgever ervoor zorgen dat de URL’s van pagina’s die aan Taboola worden verstrekt, geen informatie over de titel van de video bevatten. Taboola behoudt zich het recht voor de diensten op te schorten als de uitgever niet voldoet aan deze paragraaf, tenzij en totdat deze tekortkoming is verholpen.

Elke partij implementeert passende technische en organisatorische beveiligingsmaatregelen om de persoonsgegevens van bezoekers te beschermen tegen een beveiligingsincident. Deze maatregelen omvatten de maatregelen die zijn uiteengezet in bijlage B.

Als een van de partijen een beveiligingsincident ondervindt met betrekking tot persoonsgegevens die zij verwerkt en die onder de overeenkomst en deze voorwaarden voor de privacy van uitgevers vallen, is die partij: (i) verantwoordelijk voor het nakomen (op eigen kosten) van eventuele rapportageverplichtingen die voor haar gelden op grond van de toepasselijke wetgeving inzake gegevensbescherming aan de autoriteiten voor gegevensbescherming en/of de betrokken betrokkenen, (ii) stelt de andere partij onverwijld in kennis en verstrekt de informatie over het beveiligingsincident die de andere partij redelijkerwijs kan verzoeken of die anderszins nodig is om te bepalen of zij ook rapportageverplichtingen heeft op grond van de toepasselijke wetgeving inzake gegevensbescherming met betrekking tot het beveiligingsincident, en (iii) neemt onverwijld alle passende maatregelen om de gevolgen van het beveiligingsincident te verhelpen en/of te beperken.

In de mate waarin dit is vereist door de toepasselijke wetgeving inzake gegevensbescherming waaraan elke partij is onderworpen, voert elke partij een effectbeoordeling gegevensbescherming uit met betrekking tot haar verwerking van persoonsgegevens voor de toegestane doeleinden en/of overlegt zij zo nodig met de toepasselijke autoriteiten voor gegevensbescherming. Elke partij verleent alle redelijke medewerking en verstrekt alle redelijkerwijs gevraagde informatie aan de andere partij, voor zover dit nodig is om de andere partij in staat te stellen een effectbeoordeling gegevensbescherming uit te voeren en/of in overleg te treden met de toepasselijke autoriteiten voor gegevensbescherming in overeenstemming met de verplichtingen van die andere partij uit hoofde van dit artikel.

A. LIJST VAN PARTIJEN

Elke partij is:

  • een gegevensbeheerder (en gegevensexporteur) van Verzamelde Gegevens die deze bekendmaakt bij of beschikbaar stelt aan de andere partij, en
  • een gegevensbeheerder (en gegevensimporteur) van Verzamelde Gegevens die deze ontvangt van of waartoe toegang wordt verleend door de andere partij.

De gegevens van elke partij worden hieronder verstrekt.

Naam: Zie de details van de Uitgever zoals uiteengezet in de Overeenkomst.

Adres: Zie de details van de uitgever zoals uiteengezet in de overeenkomst.

Naam, functie en contactgegevens van de contactpersoon: Zie de details van de Uitgever zoals uiteengezet in de Overeenkomst of anderszins schriftelijk overeengekomen tussen de partijen.

Activiteiten die relevant zijn voor de gegevens die onder deze Clausules worden overgedragen: De ontvangst van de Diensten, zoals uiteengezet in de Overeenkomst.

Handtekening en datum: Deze Bijlage A wordt geacht te zijn uitgevoerd na acceptatie van deze Privacyvoorwaarden voor Uitgevers door de Uitgever.

Rol (controller/processor): Controller (indien het een gegevensexporteur is) en Controller (indien het een gegevensimporteur is)

 

Naam: Zie de gegevens van Taboola die in de inleiding van de overeenkomst zijn vermeld.

Adres: Zie de gegevens van Taboola die in de inleiding van de overeenkomst zijn vermeld.

Naam, functie en contactgegevens van de contactpersoon: Privacyteam van Taboola: privacy@taboola.com.

Activiteiten die relevant zijn voor de gegevens die onder deze Clausules worden overgedragen: De verlening van de diensten, zoals uiteengezet in de overeenkomst.

Handtekening en datum: Deze Bijlage A wordt geacht te zijn uitgevoerd na acceptatie van deze Privacyvoorwaarden voor Uitgevers door Taboola.

Rol (controller/processor): Controller (indien het een gegevensexporteur is) en Controller (indien het een gegevensimporteur is)

 

B. BESCHRIJVING VAN DE VERWERKING EN OVERDRACHT 

Categorieën van betrokkenen van wie de persoonsgegevens worden verwerkt en/of overgedragen: Gebruikers

Categorieën van persoonsgegevens die worden verwerkt en/of overgedragen:

Apparaatgegevens: Apparaat, browser en besturingssysteem van de gebruiker; informatie over mobiele apparaten (alle mobiele ID’s zijn gehasht), inclusief IDFAs en AAIDs; cookiegegevens die door Taboola kunnen worden gelezen of geïmplementeerd (alle cookie-ID’s/gebruikers-ID’s zijn gehasht); IP-adressen; gehasht e-mailadressen; verwijzende website; taal van de gebruiker; land/regio/stad. Als mobiele apps deel uitmaken van de Diensten, omvatten de aanvullende gegevenselementen afgekorte en onnauwkeurige breedtegraad/lengtegraad, type verbinding en schermdimensies.

Gegevens over digitale eigendommen die door de gebruiker zijn bezocht: hoe het platform werd weergegeven en of de gebruiker met het platform heeft geïnteresseerd; gedrag op het web of in de app.

Voor zover Header Bidding deel uitmaakt van de Diensten, is het volgende van toepassing:

  • Bid Request/Response Data: Unieke ID van het biedverzoek, IMP-object dat de aangeboden impressie vertegenwoordigt, de vertegenwoordigde site of app van de uitgever, App, Apparaat, veilingtype, maximale tijd, valuta, geblokkeerde categorieën, apparaat-id, Taboola-gebruikers-id, oproepende tagpartners: URL.

Met betrekking tot de Taboola Newsroom geldt het volgende:

  • Evenementen van de website van de uitgever: Conversiedata
  • Informatie over de browser van de gebruiker die is uitgelezen van de user agent: De URL van de bezochte pagina, de verwijzende website, het besturingssysteem, het type browser en de browserversie, de bijbehorende gehashte Taboola-gebruikers-id die is uitgelezen van de cookie, het bijbehorende IP-adres (na 30 dagen afgekapt).

Overgedragen gevoelige gegevens (indien van toepassing) en toegepaste beperkingen of beveiligingsmaatregelen die volledig rekening houden met de aard van de gegevens en de betrokken risico’s, zoals bijvoorbeeld strikte doelstelling, toegangsbeperkingen (inclusief toegang alleen voor personeel dat gespecialiseerde training heeft gevolgd), bijhouden van toegang tot de gegevens, beperkingen voor verdere doorgifte of aanvullende beveiligingsmaatregelen: Niet van toepassing.

De frequentie van de verwerking en/of doorgifte (bijv. of de gegevens eenmalig of continu worden verwerkt en/of doorgegeven): Continu voor de duur van de Overeenkomst.

Natuur van de verwerking: Verwerking van persoonsgegevens die noodzakelijk zijn voor het leveren van de Diensten, zoals uiteengezet in de Overeenkomst.

Doel(en) van de gegevensverwerking/overdracht en verdere verwerking: De verlening van de diensten, zoals uiteengezet in de overeenkomst. Om misverstanden te voorkomen, omvatten de Toegestane Doeleinden: (i) het opslaan en/of openen van informatie op een apparaat; (ii) het selecteren van basisadvertenties; (iii) het maken van een gepersonaliseerd advertentieprofiel; (iv) het selecteren van gepersonaliseerde advertenties; (v) het maken van een gepersonaliseerd inhoudsprofiel; (vi) het selecteren van gepersonaliseerde inhoud; (vii) het meten van de prestaties van advertenties; (viii) het meten van de prestaties van inhoud; (ix) het ontwikkelen en verbeteren van producten; (x) het waarborgen van de beveiliging, het voorkomen van fraude en het opsporen van fouten; (xi) het technisch leveren van advertenties of inhoud; (xii) het matchen en combineren van offline gegevensbronnen; (xiii) het koppelen van verschillende apparaten; (xiv) het ontvangen en gebruiken van automatisch verzonden apparaatkenmerken voor identificatie; (xv) het gebruik van beperkte gegevens om inhoud te selecteren, en (xvi) het opslaan en communiceren van privacykeuzes.

Met betrekking tot Taboola Newsroom geldt het volgende: (i) het bijhouden van abonnementsconversigebeurtenissen.

Met betrekking tot Taboola Push geldt het volgende aanvullende doel: (i) het verzenden van meldingen naar het apparaat van een gebruiker.

Voor zover Header Bidding deel uitmaakt van de Diensten, is het volgende aanvullende doel van toepassing: (i) bepalen of er een bod wordt uitgebracht op een plaatsing en gepersonaliseerde aanbevelingen worden weergegeven.

Voor zover Home Page 4 You deel uitmaakt van de Diensten, is het volgende aanvullende doel van toepassing: (i) het automatiseren en cureren van uitgeversinhoud binnen aangewezen digitale eigendomshomepages.

De periode waarvoor de persoonsgegevens worden bewaard, of, indien dat niet mogelijk is, de criteria die worden gebruikt om die periode te bepalen:

  • Taboola: Ruwe gegevens worden maximaal 13 maanden bewaard.
  • Adverteerder: Zolang als nodig is om de diensten te ontvangen of zoals anderszins gespecificeerd in de overeenkomst.

Voor overdrachten aan (sub-)verwerkers, geef ook het onderwerp, de aard en de duur van de verwerking aan: Niet van toepassing.

 

C. COMPETENTE TOEZICHTHOUDEND ORGAAN

Bevoegde toezichthoudende autoriteit waar de EU GDPR van toepassing is: De bevoegde toezichthoudende autoriteit voor elke partij is als hieronder beschreven:

  • Taboola: De bevoegde toezichthoudende autoriteit wordt bepaald in overeenstemming met artikel 13 van de EU SCCs.
  • Adverteerder: De bevoegde toezichthoudende autoriteit wordt bepaald in overeenstemming met artikel 13 van de EU SCCs.

Bevoegde toezichthoudende autoriteit waar de UK GDPR van toepassing is: The Information Commissioner’s Office

Beschrijving van de technische en organisatorische maatregelen die door elke partij zijn geïmplementeerd (inclusief relevante certificeringen) om een passend beveiligingsniveau te waarborgen, rekening houdend met de aard, omvang, context en doeleinden van de verwerking, en de risico’s voor de rechten en vrijheden van natuurlijke personen.

Maatregelen voor pseudonimisering en encryptie van persoonsgegevens: Taboola verzamelt alleen gepseudonimiseerde gegevens, wat betekent dat we niet weten wie u bent, omdat we de naam, het e-mailadres of andere identificeerbare gegevens van de gebruiker niet kennen of verwerken. De gebruikersinformatie die we verzamelen, omvat onder andere informatie over het apparaat en het besturingssysteem van een gebruiker, het IP-adres, de webpagina’s die door gebruikers worden bezocht op de websites van onze klanten, de link die een gebruiker naar de website van een klant heeft geleid, de datums en tijden waarop een gebruiker een website van een klant bezoekt en andere webbrowsergegevens. De CookieID wordt geanonimiseerd met Bcrypt en het IP-adres wordt ingekort.

Maatregelen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen: Taboola maakt gebruik van meerdere niveaus van elektronische beveiliging (bijv. endpointbeveiliging, beveiliging aan de serverzijde, detectietracking, periodieke penetratietests en diepgaande inlichtingenverzameling om post-mortem gebeurtenissen te beoordelen).

Maatregelen om de mogelijkheid te waarborgen om de beschikbaarheid en toegang tot persoonsgegevens tijdig te herstellen in geval van een fysieke of technische storing: Taboola beheert 9 datacenters die wereldwijd actief zijn. Elk datacenter wordt gebruikt als een replicatie van de andere, zodat als een datacenter uitvalt, de gegevens uit een ander datacenter kunnen worden geëxtraheerd.

Processen voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen: Taboola onderhoudt strikte processen voor het testen van de effectiviteit van zijn controles (zowel technisch als organisatorisch). We hebben systeemlogboeken en -monitoring, maandelijks (ten minste) noodhersteltests, driemaandelijkse penetratietests, firewalls die het web beschermen en honeypots verspreid over het netwerk om eventuele kwaadwillige activiteiten te vinden. Bovendien hebben we een beloningsprogramma dat ons helpt om ons netwerk voortdurend te monitoren.

Maatregelen voor gebruikersidentificatie en -autorisatie: Elke gebruiker bij Taboola is gekoppeld aan een specifieke gebruikersnaam en wachtwoord. Elke toegang tot het interne netwerk van Taboola gebeurt met 2FA met Google-authenticatie. Gebruikers worden alleen door de IT-afdeling aangemaakt, tijdens het onboardingproces en alleen nadat alle details en het ondertekende contract van de HR-afdeling zijn ontvangen.

Maatregelen voor de bescherming van gegevens tijdens de transmissie: Taboola ondersteunt elke gegevensoverdracht via veilige transmissieprotocollen (HTTPS en TLS v1.2 op zijn minst). Bovendien worden systemen die PII kunnen bevatten beveiligd en worden gegevens gehasht en geanonimiseerd bewaard.

Maatregelen voor de bescherming van gegevens tijdens de opslag: Gegevens die in onze databases worden opgeslagen, worden geanonimiseerd en gehasht met Bcrypt. De toegang tot de database wordt tot een minimum beperkt en is gebaseerd op het principe van ‘business need to know’.

Maatregelen om de fysieke beveiliging van locaties waar persoonsgegevens worden verwerkt te waarborgen: Elk van de wereldwijde datacenters van Taboola (in de VS, Europa en Azië) heeft al zijn servers in afgesloten kasten die uitsluitend voor gebruik door Taboola worden onderhouden. Deze kasten worden onderhouden door bedrijven die SOC2-gecertificeerd zijn of waarvan Taboola de beveiligingsmaatregelen heeft beoordeeld. Verder is voor elke toegang tot de servers schriftelijke, vastgelegde toestemming vereist. Alle kantoren van Taboola worden ook gecontroleerd en vereisen dat werknemers toegangskaarten gebruiken om binnen te komen. Bovendien hebben slechts een beperkt aantal werknemers toegang tot de servers van Taboola en is voor elke toegang ook schriftelijke, vastgelegde toestemming vereist.

Maatregelen voor het waarborgen van gebeurtenisregistratie: Taboola implementeert monitoringtools en logboeken worden verzameld in ons SIEM-systeem, dat ons waarschuwt voor verdachte gebeurtenissen en ook wordt gecontroleerd door het NOC-team.

Maatregelen voor het waarborgen van systeemconfiguratie, inclusief de standaardconfiguratie: Servers worden gescand op zowel configuratieafwijkingen als patchniveaus. Er is rapportage en/of waarschuwing ingesteld voor beide en het relevante patchniveau is bevestigd. Nieuwe patches worden gedistribueerd met behulp van Puppet. Alle technische beoordelingen worden beheerd via de R&D-toepassing en verkregen via een formeel beoordelingsproces (QA) nadat de codering en CI/CD-processen ook zijn geïmplementeerd.

Maatregelen voor intern IT- en IT-beveiligingsbeheer en -beheer: Taboola is ISO 27001:2013 en 27701 gecertificeerd. Taboola heeft een informatiebeveiligingsbeleid dat stelt dat de Raad van Bestuur en het management van Taboola zich inzetten voor het behoud van de vertrouwelijkheid, integriteit en beschikbaarheid van alle fysieke en elektronische informatievoorzieningen in hun organisatie. Taboola organiseert beveiligingstrainingen voor alle nieuwe werknemers, phishingtrainingen voor alle werknemers wereldwijd en regelmatige beveiligingstrainingen voor alle werknemers. Daarnaast worden er speciale sessies georganiseerd voor de R&D-groepen.

Maatregelen voor certificering/borging van processen en producten: Driemaandelijkse/halfjaarlijkse/jaarlijkse interne audit van meerdere processen en systemen om te valideren dat Taboola voldoet aan de gedefinieerde beveiligingsdoelstellingen en -maatregelen.

Maatregelen ter waarborging van gegevensminimalisatie: Taboola beperkt doelbewust de gegevens die we verzamelen als onderdeel van de wereldwijde principes van gegevensminimalisatie van Taboola, waarbij alleen de beperkte gegevens worden verwerkt die nodig zijn voor onze specifieke zakelijke doeleinden. Bovendien heeft Taboola niet de mogelijkheid, noch de zakelijke behoefte, om een van de gegevenspunten die in ons algoritme worden gebruikt, te “reverse engineeren” om onze diensten te kunnen leveren. Meer specifiek zijn de gegevenspunten die Taboola verzamelt nooit indicatief voor de identiteit van een gebruiker, aangezien Taboola geen informatie zoals de naam, het telefoonnummer, de e-mailadres of de fysieke adressen van de gebruiker verzamelt of verwerkt. In plaats daarvan verzamelt Taboola alleen pseudonieme identificatiegegevens, die slechts kenmerken van het apparaat van een gebruiker identificeren. Dit omvat IP-adressen (die bij verzameling worden ingekort en alleen de algemene postcodelocatie van het apparaat kunnen identificeren, maar nooit een precieze geolocatie) en, in sommige beperkte gevallen, gehasheerde e-mailadressen (die inherent onomkeerbaar zijn en niet kunnen worden gedecodeerd om het oorspronkelijke e-mailadres te onthullen). Bovendien kunnen de gegevens die we verzamelen, zelfs wanneer ze gezamenlijk worden gebruikt, nooit de naam, het telefoonnummer, het e-mailadres of het fysieke adres van een individu opleveren, en onze ingenieurs werken op geen enkele manier aan het bereiken van dit doel. Daarnaast maakt en registreert Taboola privacy-impactbeoordelingen in een poging om de privacyrisico’s van onze diensten, processen en beleidslijnen te minimaliseren.

Maatregelen ter waarborging van de kwaliteit van de gegevens: De gegevens worden rechtstreeks bij de gebruiker verzameld en de gebruiker krijgt de mogelijkheid om gegevens die aan zijn CookieID zijn gekoppeld, te corrigeren via het Taboola-portaal voor verzoeken van betrokken gebruikers: https://accessrequest.taboola.com/access

Maatregelen ter waarborging van beperkte gegevensretentie: We bewaren gebruikersinformatie, die rechtstreeks wordt verzameld voor het weergeven van advertenties, gedurende ten hoogste dertien (13) maanden vanaf de laatste interactie van de gebruiker met onze diensten (vaak voor een kortere periode), waarna we de gegevens anonimiseren door unieke identificatiegegevens te verwijderen of de gegevens te aggregeren. Dit proces wordt automatisch uitgevoerd.

Maatregelen ter waarborging van verantwoordingsplicht: Taboola voert meerdere beveiligingsaudits en penetratietests uit (maar niet voor alle systemen). Taboola maakt ook gebruik van cloudproviders die ISO-gecertificeerd zijn en die voldoen aan andere cloud-gerelateerde certificeringen voor het handhaven van de fysieke beveiligingsmaatregelen van een server.

Maatregelen ter waarborging van gegevensportabiliteit en verwijdering: Taboola is gerelateerd aan de verwijdering van media, hetzelfde voor alle soorten media, aangezien deze PII kunnen bevatten. Alle media moeten volledig worden gewist voordat ze opnieuw worden gebruikt of worden verwijderd. De verwijdering van alle media wordt gedocumenteerd. Werknemers krijgen de instructie om geen papier af te drukken dat mogelijk persoonlijke informatie bevat.

  1. Voor zover een partij een beperkte overdracht van verzamelde gegevens aan de andere partij verricht, worden de standaardcontractbepalingen opgenomen in deze Publisher Privacy-voorwaarden en van toepassing als volgt:

a. wanneer de beperkte overdracht een beperkte overdracht binnen de EU is, zijn de EU SCC’s van toepassing tussen de partijen als volgt:

  1. (i)           Module One is van toepassing;
  2. (ii)           in artikel 7 is de optionele dockingclausule van toepassing;
  3. (iv)          in artikel 11 is de optionele taal niet van toepassing;
  4. (v)           in artikel 17 is Optie 1 van toepassing en de EU SCC’s worden beheerst door het Ierse recht;
  5. (vi)          In artikel 18(b) worden geschillen beslecht door de rechtbanken van Ierland;
  6. (vii)         Deel A, B en C van Bijlage I worden geacht te zijn ingevuld met de informatie die is vermeld in Deel A, B en C van Bijlage A bij deze Privacyvoorwaarden voor Uitgevers; en
  7. (vii)         Bijlage II wordt geacht te zijn ingevuld met de beveiligingsmaatregelen die zijn vermeld in Bijlage B bij deze Privacyvoorwaarden voor Uitgevers;

b. indien de Beperkte Overdracht een Beperkte Overdracht in het VK betreft, is het UK Addendum van toepassing tussen de partijen als volgt:

(i)           de EU SCC’s, ingevuld zoals hierboven vermeld, zijn van toepassing tussen de partijen en worden gewijzigd door het UK Addendum (ingevuld zoals vermeld in subclausule (ii) hieronder); en

(ii)         tabel 1 tot en met 3 van het UK Addendum worden geacht te zijn ingevuld met relevante informatie uit de EU SCC’s, ingevuld zoals hierboven vermeld, en de opties “Exporter” en “Importer” worden geacht te zijn aangevinkt in tabel 4. De begindatum van het UK Addendum (zoals vermeld in tabel 1) is de Effectieve Datum van deze Privacyvoorwaarden voor Uitgevers.

2. Verdere Beperkte Overdrachten: Geen van beide partijen zal een verdere Beperkte Overdracht van Verzamelde Gegevens die zij van de andere partij ontvangen, uitvoeren, tenzij zij alle handelingen heeft verricht die nodig zijn om ervoor te zorgen dat deze verdere Beperkte Overdracht voldoet aan de Toepasselijke Wetgeving inzake Gegevensbescherming en eventuele Standaard Contractuele Clausules die zij met de andere partij is overeengekomen.