Warunki dotyczące prywatności dla właścicieli nieruchomości cyfrowych

Last Update: October 10, 2024

Data wejścia w życie: 10 października 2024 r.

Niniejsze Warunki prywatności Taboola dla właścicieli zasobów cyfrowych („Warunki prywatności wydawcy”) mają zastosowanie do usług reklamowych Taboola w mediach cyfrowych, np. gdy Taboola umieszcza treści reklamodawcy w zasobach wydawcy, w tym między innymi w produktach i usługach wydawcy, takich jak Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News i Taboola Push, zgodnie z umową między Taboola a wydawcą („Umowa”), a niniejsze Warunki prywatności wydawcy uznaje się za włączone do takiej Umowy i stanowiące jej integralną część. Niniejsze Warunki prywatności wydawcy określają role i obowiązki Taboola oraz wydawcy w odniesieniu do danych osobowych.

W przypadku sprzeczności między Warunkami prywatności wydawcy a Umową, pierwszeństwo mają Warunki prywatności wydawcy, chyba że sprzeczny przepis Umowy wyraźnie odnosi się do sprzecznego przepisu niniejszych Warunków prywatności wydawcy i określa, że zastępuje on sprzeczny przepis.

Terminy zdefiniowane w niniejszej sekcji mają znaczenie określone poniżej, a terminy pokrewne należy interpretować odpowiednio. Terminy pisane wielką literą, które zostały użyte, ale nie zostały zdefiniowane w Warunkach prywatności wydawcy, mają znaczenie określone w Umowie.

      1. Obowiązujące przepisy dotyczące ochrony danych” oznaczają wszelkie obowiązujące federalne, krajowe, stanowe lub inne przepisy dotyczące prywatności i ochrony danych, które mają zastosowanie do przetwarzania danych będącego przedmiotem Umowy i niniejszych Warunków prywatności wydawcy, z uwzględnieniem ewentualnych zmian lub zastąpień.
      2. Kalifornijskie prawo dotyczące prywatności” oznacza kalifornijską ustawę o ochronie prywatności konsumentów z 2018 r., Cal. Kodeks cywilny § 1798.100 i nast. (zwany również „CCPA”), z późniejszymi zmianami (w tym zmianami wprowadzonymi przez kalifornijską ustawę o ochronie prywatności) oraz wszelkie przepisy podrzędne i rozporządzenia wykonawcze.
      3. „Administrator” oznacza: (i) podmiot, który określa cele i sposoby przetwarzania danych osobowych oraz (ii) każdą osobę lub podmiot, które wchodzą w zakres pojęcia „administrator” lub „przedsiębiorstwo” (lub innego zasadniczo analogicznego pojęcia) zgodnie z definicją zawartą w obowiązujących przepisach o ochronie danych.
      4. Osoba, której dane dotyczą” oznacza: (i) zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną (a dla tych celów osoba fizyczna możliwa do zidentyfikowania to osoba, którą można zidentyfikować bezpośrednio lub pośrednio, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikator internetowy lub jeden lub więcej czynników specyficznych dla tożsamości fizycznej, fizjologicznej, genetycznej, psychicznej, ekonomicznej, kulturowej lub społecznej tej osoby fizycznej), oraz (ii) każdą osobę, która wchodzi w zakres pojęcia „osoba, której dane dotyczą”, „konsument” (lub dowolnego zasadniczo analogicznego terminu) zgodnie z definicją zawartą w przepisach dotyczących ochrony danych.
      5. „Prawo UE dotyczące ochrony danych” oznacza: (i) ogólne rozporządzenie UE o ochronie danych (rozporządzenie 2016/679) („EU GDPR”); (ii) dyrektywę EU o prywatności i łączności elektronicznej (dyrektywa 2002/58/WE); oraz (iii) wszelkie krajowe przepisy dotyczące ochrony danych przyjęte na podstawie lub zgodnie z (i) lub (ii), z uwzględnieniem wszelkich zmian lub zastąpień, które mogą być wprowadzane od czasu do czasu.
      6. Dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (a termin ten obejmuje, w przypadku gdy wymaga tego obowiązujące prawo o ochronie danych, unikalne identyfikatory przeglądarki lub urządzenia), zgodnie z załącznikiem A, część B.
        1. „Dane osobowe dotyczące interakcji” oznaczają wszelkie dane osobowe zebrane od konsumentów w momencie lub po celowej interakcji konsumenta z Taboola, produktami Taboola, własnością Taboola oraz reklamami umieszczanymi przez Taboola.
        2. „Dane osobowe uzyskane w wyniku pasywnej interakcji” oznaczają wszelkie dane osobowe zebrane w sposób pasywny z zasobów wydawcy, w tym między innymi IP Address, adres URL strony oraz User Agent String zebrane przez Taboola przed lub w przypadku braku celowej interakcji konsumenta z Taboola, produktami Taboola, zasobami Taboola oraz reklamami umieszczanymi przez Taboola.
      7. „Przetwarzanie” oznacza każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych, niezależnie od tego, czy odbywa się to w sposób zautomatyzowany, czy nie, takie jak gromadzenie, odbiór, rejestrowanie, organizowanie, porządkowanie, wykorzystywanie, przekazywanie, udostępnianie, ujawnianie, przenoszenie, przechowywanie, dostosowywanie lub modyfikowanie, pobieranie, konsultowanie, rozpowszechnianie lub udostępnianie w inny sposób, porównywanie lub łączenie, agregowanie, wnioskowanie, wyprowadzanie, analiza, ograniczanie, usuwanie, niszczenie lub usuwanie lub inne przetwarzanie danych osobowych, w tym sposób, w jaki termin ten jest zdefiniowany w obowiązujących przepisach o ochronie danych.
      8. „Podmiot przetwarzający dane” oznacza podmiot, który przetwarza dane osobowe w imieniu administratora danych i obejmuje definicję tego terminu i/lub terminu „podmiot przetwarzający dane” (lub innego terminu o zasadniczo analogicznym znaczeniu) zgodnie z obowiązującymi przepisami o ochronie danych.
      9. Ograniczony transfer” oznacza: (i) w przypadku gdy ma zastosowanie EU GDPR, transfer danych osobowych z EOG do kraju spoza EOG, który nie podlega ocenie adekwatności przez Komisję Europejską („ograniczony transfer w UE”); oraz (ii) w przypadku gdy zastosowanie ma UK GDPR, przekazywanie danych osobowych z Wielkiej Brytanii do dowolnego innego kraju, który nie podlega przepisom dotyczącym adekwatności zgodnie z sekcją 17A brytyjskiej ustawy o ochronie danych z 2018 r. lub nie opiera się na takich przepisach („ograniczone przekazywanie danych w Wielkiej Brytanii”).
      10. „Usługi” oznaczają usługi świadczone przez Taboola na podstawie Umowy z Wydawcą.
      11. „Incydent bezpieczeństwa” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych.
      12. „Standard Contractual Clauses” oznaczają: (i) w przypadku gdy zastosowanie ma unijne rozporządzenie EU GDPR, klauzule umowne załączone do decyzji wykonawczej Komisji Europejskiej 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 („EU SCCs”); oraz (ii) w przypadku gdy zastosowanie ma UK GDPR, „Dodatek dotyczący międzynarodowego przekazywania danych do Standard Contractual Clauses Komisji Europejskiej” wydany przez komisarza ds. informacji na podstawie art. 119A ust. 1 ustawy o ochronie danych z 2018 r. („UK Addendum”).
      13. „Strona trzecia” oznacza podmiot, który pełni funkcję administratora danych osobowych i nie jest podmiotem, z którym osoba, której dane osobowe są przetwarzane, celowo nawiązała kontakt; termin ten obejmuje również definicję tego terminu zawartą w obowiązujących przepisach o ochronie danych.
      14. UK GDPR” oznacza: (i) brytyjską ustawę o ochronie danych z 2018 r., (ii) UK GDPR (zdefiniowane w sekcji 3(10) brytyjskiej ustawy o ochronie danych z 2018 r.) („UK GDPR”), (iii) brytyjskie rozporządzenie w sprawie prywatności i łączności elektronicznej (dyrektywa WE) z 2003 r. oraz (iv) wszelkie inne brytyjskie przepisy prawne wydane na podstawie lub zgodnie z (i), (ii) lub (iii), z uwzględnieniem wszelkich zmian lub zastąpień, które mogą być wprowadzane od czasu do czasu.

W odniesieniu do danych osobowych przetwarzanych w związku z Usługami każda ze stron zgadza się, że będzie przetwarzać zebrane dane osobowe wyłącznie w celach opisanych w załączniku A, część B („Dozwolone cele”) oraz zgodnie z niniejszymi Warunkami prywatności wydawcy, Umową i obowiązującymi przepisami o ochronie danych, które mogą być od czasu do czasu aktualizowane. Taboola może również przetwarzać dane osobowe dotyczące interakcji pasywnych zgodnie z polityką prywatności Taboola, która może być od czasu do czasu aktualizowana.

Każda ze Stron przetwarza dane osobowe dotyczące interakcji pasywnych, które gromadzi jako administrator lub strona trzecia, stosownie do przypadku. Każda ze stron przetwarza dane osobowe dotyczące interakcji, które gromadzi jako administrator lub podmiot gospodarczy, stosownie do przypadku. Ujawnianie danych osobowych przez jedną stronę drugiej stronie (bezpośrednio lub za pośrednictwem strony udostępniającej dane drugiej stronie) stanowi ujawnienie danych osobowych stronom trzecim.

      1. Jeśli do danych osobowych mają zastosowanie amerykańskie lub stanowe przepisy dotyczące ochrony danych, w tym między innymi kalifornijskie przepisy dotyczące prywatności, w zakresie, w jakim Taboola przetwarza dane osobowe dotyczące interakcji pasywnych w związku z Usługami, Taboola działa jako strona trzecia wobec Wydawcy w odniesieniu do takich danych osobowych dotyczących interakcji pasywnych. Taboola będzie przetwarzać takie dane osobowe dotyczące interakcji pasywnych do celów opisanych w załączniku A, część B oraz zgodnie z niniejszymi Warunkami prywatności wydawcy, Umową, obowiązującymi przepisami o ochronie danych oraz Polityką prywatności Taboola, które mogą być od czasu do czasu aktualizowane. Takie dane osobowe dotyczące interakcji pasywnych są udostępniane firmie Taboola wyłącznie w tych celach. Taboola zapewni taki sam poziom ochrony prywatności, jaki wymagają od przedsiębiorstw obowiązujące amerykańskie przepisy dotyczące ochrony danych, w tym, jeśli mają zastosowanie, przepisy dotyczące prywatności obowiązujące w stanie Kalifornia. Wydawca ma prawo zapewnić, że Taboola wykorzystuje dane osobowe dotyczące interakcji pasywnych w sposób zgodny z obowiązkami wydawcy. Po powiadomieniu Taboola wydawca ma prawo podjąć uzasadnione i odpowiednie kroki w celu powstrzymania i naprawienia nieuprawnionego wykorzystania danych osobowych, które udostępnia Taboola. Taboola poinformuje Wydawcę w terminie wymaganym przez obowiązujące przepisy dotyczące ochrony danych, jeśli Taboola stwierdzi, że nie jest już w stanie wywiązać się ze swoich zobowiązań wynikających z obowiązujących przepisów dotyczących ochrony danych. W zakresie, w jakim Taboola gromadzi dane osobowe dotyczące interakcji w związku ze świadczeniem Usług, będzie to robić jako odrębna działalność.

Strony uznają, że mogą przetwarzać dane osobowe i że do przetwarzania danych osobowych przez każdą ze stron mogą mieć zastosowanie obowiązujące przepisy dotyczące ochrony danych. W takim przypadku każda ze stron zobowiązuje się do przestrzegania obowiązujących przepisów dotyczących ochrony danych osobowych w zakresie przetwarzania danych osobowych. W takim przypadku, z zastrzeżeniem postanowień sekcji 7, każda ze stron ponosi indywidualną odpowiedzialność za przestrzeganie obowiązujących przepisów o ochronie danych, w tym wszelkich obowiązujących wymogów dotyczących: (i) zapewnienia przejrzystości osobom, których dane dotyczą, (ii) uzyskania zgody lub innej podstawy prawnej do przetwarzania danych oraz (iii) udostępnienia punktu kontaktowego, za pośrednictwem którego osoby, których dane dotyczą, mogą wykonywać swoje prawa do ochrony danych. Wydawca niezwłocznie powiadomi Taboola, jeśli i w zakresie, w jakim otrzyma jakiekolwiek żądanie dotyczące praw do ochrony danych w związku z przetwarzaniem danych osobowych przez Taboola jako administratora, tak aby Taboola mogła spełnić to żądanie zgodnie ze swoimi obowiązkami wynikającymi z obowiązujących przepisów o ochronie danych.

  1. Wydawca powinien kierować wszelkie wnioski osób, których dane dotyczą, dotyczące usług Taboola do globalnego portalu Taboola ds. wniosków o dostęp do danych lub do portalu w Stanach Zjednoczonych. Portal Opt-out dla konsumentów, jeśli ma zastosowanie.

Jeśli którakolwiek ze Stron otrzyma zapytanie, skargę lub korespondencję („Powiadomienie strony trzeciej”) od osoby fizycznej, organu regulacyjnego lub innej strony trzeciej dotyczące przetwarzania danych osobowych osoby, której dane dotyczą, w związku z Usługami, niezwłocznie poinformuje o tym drugą Stronę, a Strony będą współpracować w dobrej wierze i w zakresie niezbędnym do spełnienia wymagań określonych w takim Powiadomieniu strony trzeciej.

W przypadku, gdy jedna ze stron dokona ograniczonego przekazania danych osobowych drugiej stronie, zastosowanie mają postanowienia załącznika C.

W zakresie, w jakim Taboola gromadzi Dane osobowe z Witryn wydawcy przy użyciu kodu Taboola, pikseli i innych technologii śledzenia, Wydawca zobowiązuje się: (i) przekazać osobom, których dane dotyczą, wszystkie wymagane informacje dotyczące wykorzystania przez Taboola kodu Taboola do gromadzenia Danych osobowych z Witryn wydawcy w Celach dozwolonych oraz (ii) uzyskać (i na żądanie Taboola w dowolnym momencie przedstawić odpowiednie dowody) zgody osób, których dane dotyczą, na takie wykorzystanie kodu Taboola do dozwolonych celów, w każdym przypadku zgodnie z wymogami obowiązujących przepisów o ochronie danych. Obowiązki wydawcy w tym zakresie obejmują wyraźne wskazanie Taboola i wykorzystania przez nią kodu Taboola do dozwolonych celów w informacjach dotyczących przejrzystości i monitach o zgodę, które wydawca przekazuje osobom, których dane dotyczą, a także wszelkie inne informacje wymagane przez obowiązujące przepisy o ochronie danych, tak aby Taboola mogła legalnie świadczyć swoje usługi za pośrednictwem takich nieruchomości i przetwarzać dane osobowe do dozwolonych celów. Na pisemny wniosek Taboola przekaże Wydawcy informacje, których Wydawca może w uzasadniony sposób wymagać, dotyczące kodu Taboola i przetwarzania danych osobowych przez Taboola za pośrednictwem Własności Wydawcy, aby Wydawca mógł zapewnić zgodność swoich mechanizmów powiadamiania i uzyskiwania zgody z obowiązującymi przepisami o ochronie danych. Wydawca wyraźnie zgadza się, że:

  1. w odniesieniu do swoich zasobów internetowych, polityka prywatności wydawcy powinna opisywać wykorzystanie plików Cookie, unikalnych identyfikatorów i technologii innych niż pliki Cookie przez strony trzecie (np. Taboola) do celów reklamy opartej na zainteresowaniach i analiz (w ramach zasobów i poza nimi) oraz zawierać link do strony branżowej NAI dotyczącej Opt-out, dostępnej pod adresem http://www.networkadvertising.org, stronę branżową DAA dotyczącą Opt-out pod adresem http://www.aboutads.info lub (w odniesieniu do europejskich mediów internetowych i gromadzenia danych) link do strony EDAA dotyczącej Opt-out pod adresem http://www.youronlinechoices.eu, w sposób zgodny z wymogami obowiązujących przepisów o ochronie danych; oraz
  2. w odniesieniu do Witryn opartych na aplikacjach mobilnych, Polityka prywatności Wydawcy powinna opisywać wykorzystanie w jego aplikacjach mobilnych zestawów SDK oraz gromadzenie identyfikatorów reklam mobilnych do celów reklamy opartej na zainteresowaniach lub reklamy międzyaplikacyjnej oraz analiz (w Witrynach i poza nimi); a także zawierać opis sposobu, w jaki użytkownicy i Odwiedzający mogą zrezygnować z gromadzenia danych mobilnych do celów reklamy międzyaplikacyjnej poprzez ustawienia urządzenia.
  3. W odniesieniu do swoich Witryn skierowanych do użytkowników z UE Wydawca zapewni uzyskanie dobrowolnej, konkretnej, świadomej i jednoznacznej zgody Odwiedzających zgodnie z unijnymi przepisami dotyczącymi ochrony prywatności w zakresie umieszczania lub uzyskiwania dostępu do Cookie’ów Taboola lub innych unikalnych identyfikatorów na urządzeniach Odwiedzających. Wydawca udostępni odwiedzającym swoje dane kontaktowe (w tym poprzez swoją Politykę prywatności), aby mogli oni skontaktować się z Wydawcą w celu skorzystania z przysługujących im praw do ochrony danych (w tym w odniesieniu do danych osobowych przetwarzanych w związku z Usługami). Powyższe obowiązki mają zastosowanie w przypadku, gdy Witryny wydawcy przyciągają odwiedzających w jurysdykcjach wymagających mechanizmów zgody w odniesieniu do Usług.

W trakcie trwania Umowy Taboola może przedstawić Wydawcy zalecaną politykę prywatności lub treść oświadczenia. Wydawca potwierdza, że nie będzie polegać na takich zalecanych sformułowaniach jako poradach prawnych lub ich substytutach oraz że Wydawca lub Firma ponoszą wyłączną odpowiedzialność za wszelkie ujawnienia zawarte w swojej polityce prywatności lub na swojej stronie internetowej.

Wydawca nie będzie dostarczał ani konfigurował Usług w celu gromadzenia lub ujawniania Taboola jakichkolwiek szczególnych kategorii danych osobowych lub wrażliwych informacji osobowych lub danych wrażliwych (zgodnie z definicją zawartą w obowiązujących przepisach o ochronie danych) w celu przetwarzania przez Taboola. Ponadto Wydawca zapewni, że żadne adresy URL stron udostępnionych Taboola nie będą zawierały informacji o tytułach filmów. Taboola zastrzega sobie prawo do zawieszenia Usług w przypadku nieprzestrzegania przez Wydawcę postanowień niniejszego paragrafu, chyba że i do momentu usunięcia takiego uchybienia.

Każda ze Stron wdroży odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu ochrony danych osobowych odwiedzających przed incydentami związanymi z bezpieczeństwem. Środki te obejmują środki określone w załączniku B.

Jeśli którakolwiek ze Stron doświadczy incydentu związanego z bezpieczeństwem w odniesieniu do danych osobowych, które przetwarza i które są przedmiotem Umowy oraz niniejszych Warunków prywatności wydawcy, Strona ta: (i) będzie odpowiedzialna za wypełnienie (na własny koszt) wszelkich obowiązków sprawozdawczych, które mają do niej zastosowanie zgodnie z obowiązującymi przepisami o ochronie danych, wobec organów ochrony danych i/lub osób, których dane dotyczą, (ii) powiadomić drugą Stronę bez zbędnej zwłoki, przekazując informacje o incydencie bezpieczeństwa, o które może w uzasadniony sposób poprosić druga Strona lub które są w inny sposób wymagane, aby druga Strona mogła ustalić, czy również ma obowiązki sprawozdawcze wynikające z obowiązujących przepisów o ochronie danych w odniesieniu do incydentu bezpieczeństwa, oraz (iii) podjąć bez zbędnej zwłoki wszelkie działania i środki, które są odpowiednie do naprawienia i/lub złagodzenia skutków incydentu bezpieczeństwa.

W miejscach i w zakresie wymaganym przez obowiązujące przepisy dotyczące ochrony danych, którym podlega każda ze stron, każda ze stron przeprowadzi ocenę skutków dla ochrony danych w odniesieniu do przetwarzania danych osobowych w dozwolonych celach i/lub skonsultuje się z odpowiednimi organami ochrony danych, jeśli będzie to konieczne. Każda ze stron zapewni wszelką uzasadnioną współpracę i informacje, o które w uzasadniony sposób zwróci się druga strona, jeżeli jest to konieczne, aby umożliwić drugiej stronie przeprowadzenie oceny skutków dla ochrony danych i/lub konsultacji z właściwymi organami ochrony danych zgodnie z obowiązkami tej drugiej strony wynikającymi z niniejszej sekcji.

A. LISTA STRON

Każda ze stron będzie:

  • administratorem danych (i eksporterem danych) zebranych danych, które ujawnia lub udostępnia drugiej stronie, oraz
  • administratorem danych (i importerem danych) zebranych danych, które otrzymuje od drugiej strony lub do których dostęp jest udostępniany przez drugą stronę.

Szczegóły dotyczące każdej ze stron podano poniżej.

Nazwa: Zobacz dane wydawcy zawarte w Umowie.

Adres: Zobacz dane wydawcy zawarte w Umowie.

Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: Zobacz dane wydawcy określone w Umowie lub w inny sposób uzgodnione między stronami na piśmie.

Działania związane z danymi przekazywanymi na podstawie niniejszych klauzul: Otrzymanie Usług zgodnie z postanowieniami Umowy.

Podpis i data: Niniejszy załącznik A uznaje się za wykonany z chwilą zaakceptowania niniejszych Warunków prywatności wydawcy przez wydawcę.

Rola (kontroler/podmiot przetwarzający): Administrator (w przypadku eksportera danych) i administrator (w przypadku importera danych)

 

Nazwa: Zobacz szczegóły dotyczące Taboola przedstawione we wstępie do Umowy.

Adres: Zobacz szczegóły dotyczące Taboola przedstawione we wstępie do Umowy.

Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: Taboola’s privacy team: privacy@taboola.com.

Działania związane z danymi przekazywanymi na podstawie niniejszych klauzul: Świadczenie Usług zgodnie z postanowieniami Umowy.

Podpis i data: Niniejszy załącznik A uznaje się za wykonany po zaakceptowaniu przez Taboola niniejszych Warunków prywatności wydawcy.

Rola (kontroler/podmiot przetwarzający): Administrator (w przypadku eksportera danych) i administrator (w przypadku importera danych)

 

B. OPIS PRZETWARZANIA I PRZEKAZYWANIA DANYCH 

Kategorie osób, których dane osobowe są przetwarzane i/lub przekazywane: Użytkownicy

Kategorie przetwarzanych i/lub przekazywanych danych osobowych:

Dane urządzenia: Urządzenie użytkownika, przeglądarka i system operacyjny; informacje o urządzeniu mobilnym (wszystkie identyfikatory mobilne są szyfrowane), w tym identyfikatory IDFAs i AAIDs; dane plików cookie, które mogą być odczytywane lub wdrażane przez Taboola (wszystkie identyfikatory plików cookie/identyfikatory użytkowników są szyfrowane); adresy IP; szyfrowane adresy e-mail; strona internetowa, z której nastąpiło przekierowanie; język użytkownika; kraj/region/miasto. Jeśli aplikacje mobilne są częścią Usług, dodatkowe elementy danych obejmują skrócone i niedokładne współrzędne szerokości i długości geograficznej, typ połączenia oraz wymiary ekranu.

Dane dotyczące zasobów cyfrowych odwiedzanych przez użytkownika: sposób wyświetlania platformy i interakcja użytkownika z platformą; zachowanie w sieci lub aplikacji.

W zakresie, w jakim Header Bidding stanowi część Usług, obowiązują następujące zasady:

  • Dane dotyczące Bid Request/Bid Response: Unikalny identyfikator Bid Request, IMP object reprezentujący oferowaną wyświetlenie, witryna lub aplikacja wydawcy, aplikacja, urządzenie, typ aukcji, maksymalny czas, waluta, zablokowane kategorie, identyfikator urządzenia, identyfikator użytkownika Taboola, partnerzy tagów wywołujących: ADRES URL.

W odniesieniu do serwisu Taboola Newsroom obowiązują następujące zasady:

  • Wydarzenia z witryny internetowej wydawcy: Dane dotyczące konwersji
  • Informacje o przeglądarce użytkownika odczytane z agenta użytkownika: Adres URL odwiedzanej strony, strona odsyłająca, system operacyjny, typ przeglądarki i wersja przeglądarki, powiązany skrócony identyfikator użytkownika Taboola odczytany z pliku Cookie, powiązany adres IP (skracany po 30 dniach).

Przekazywane dane wrażliwe (jeśli dotyczy) oraz stosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi ryzyko, takie jak na przykład ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp wyłącznie dla personelu, który przeszedł specjalistyczne szkolenie), prowadzenie rejestru dostępu do danych, ograniczenia dotyczące dalszego przekazywania danych lub dodatkowe środki bezpieczeństwa: Nie dotyczy.

Częstotliwość przetwarzania i/lub przekazywania danych (np. czy dane są przetwarzane i/lub przekazywane jednorazowo, czy w sposób ciągły): Przez cały okres obowiązywania Umowy.

Charakter przetwarzania: Przetwarzanie danych osobowych niezbędnych do świadczenia Usług, zgodnie z postanowieniami Umowy.

Cel(e) przetwarzania/przekazywania danych i dalszego przetwarzania: Świadczenie Usług zgodnie z postanowieniami Umowy. Aby uniknąć wątpliwości, do celów dozwolonych należą: (i) przechowywanie i/lub uzyskiwanie dostępu do informacji na urządzeniu; (ii) wybieranie podstawowych reklam; (iii) tworzenie spersonalizowanego profilu reklamowego; (iv) wybieranie spersonalizowanych reklam; (v) tworzenie spersonalizowanego profilu treści; (vi) wybieranie spersonalizowanych treści; (vii) mierzenie skuteczności reklam; (viii) mierzenie skuteczności treści; (ix) opracowywanie i ulepszanie produktów; (x) zapewnienie bezpieczeństwa, zapobieganie oszustwom i debugowanie; (xi) techniczne dostarczanie reklam lub treści; (xii) dopasowywanie i łączenie źródeł danych offline; (xiii) łączenie różnych urządzeń; (xiv) odbieranie i wykorzystywanie automatycznie wysyłanych charakterystyk urządzeń do identyfikacji; (xv) wykorzystywanie ograniczonych danych do wyboru treści oraz (xvi) zapisywanie i przekazywanie wyborów dotyczących prywatności.

W odniesieniu do Taboola Newsroom obowiązują następujące zasady: (i) śledzenie zdarzeń związanych z konwersją subskrypcji.

W odniesieniu do Taboola Push obowiązuje następujący dodatkowy cel: (i) wysyłanie powiadomień na urządzenie użytkownika.

W zakresie, w jakim Header Bidding stanowi część Usług, zastosowanie ma następujący dodatkowy cel: (i) podejmowanie decyzji o składaniu ofert na umieszczenie reklam i wyświetlanie spersonalizowanych rekomendacji.

W zakresie, w jakim strona główna 4 You stanowi część Usług, zastosowanie ma następujący dodatkowy cel: (i) automatyzacja i selekcjonowanie treści wydawców w ramach wyznaczonych stron głównych nieruchomości cyfrowych.

Okres przechowywania danych osobowych lub, jeśli nie jest to możliwe, kryteria stosowane do określenia tego okresu:

  • Taboola: Surowe dane są przechowywane maksymalnie przez 13 miesięcy.
  • Reklamodawca: Tak długo, jak jest to konieczne do korzystania z Usług lub zgodnie z innymi postanowieniami Umowy.

W przypadku przekazywania danych do podmiotów przetwarzających lub podwykonawców przetwarzających dane należy również określić przedmiot, charakter i czas trwania przetwarzania: Nie dotyczy.

 

C. WŁAŚCIWY ORGAN NADZORU

Właściwy organ nadzorczy, w przypadku którego ma zastosowanie EU GDPR: Właściwy organ nadzorczy dla każdej ze stron jest opisany poniżej:

  • Taboola: Właściwy organ nadzorczy zostanie określony zgodnie z klauzulą 13 EU SCCs.
  • Reklamodawca: Właściwy organ nadzorczy zostanie określony zgodnie z klauzulą 13 EU SCCs.

Właściwy organ nadzorczy, w przypadku którego ma zastosowanie UK GDPR: Biuro Komisarza ds. Informacji

Opis środków technicznych i organizacyjnych wdrożonych przez każdą ze stron (w tym wszelkich odpowiednich certyfikatów) w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyka dla praw i wolności osób fizycznych.

Środki pseudonimizacji i szyfrowania danych osobowych: Taboola gromadzi wyłącznie dane pseudonimizowane, co oznacza, że nie wiemy, kim jesteś, ponieważ nie znamy ani nie przetwarzamy imienia i nazwiska użytkownika, adresu e-mail ani innych danych umożliwiających identyfikację. Informacje o użytkownikach, które gromadzimy, obejmują między innymi informacje o urządzeniu i systemie operacyjnym użytkownika, IP Address, stronach internetowych odwiedzanych przez użytkowników w ramach witryn internetowych naszych klientów, linku, który doprowadził użytkownika do witryny internetowej klienta, datach i godzinach odwiedzin użytkownika w witrynie internetowej klienta oraz innych danych dotyczących przeglądania stron internetowych. Identyfikator CookieID jest anonimizowany przy użyciu algorytmu Bcrypt, a IP Address jest skracany.

Środki zapewniające stałą poufność, integralność, dostępność i odporność systemów i usług przetwarzania danych: Taboola stosuje wielopoziomowe zabezpieczenia elektroniczne (np. zabezpieczenia punktów końcowych, zabezpieczenia po stronie serwera, śledzenie wykrytych zagrożeń, okresowe testy penetracyjne oraz dogłębne gromadzenie informacji w celu analizy zdarzeń po ich wystąpieniu).

Środki zapewniające możliwość przywrócenia dostępności i dostępu do danych osobowych w odpowiednim czasie w przypadku incydentu fizycznego lub technicznego: Taboola posiada 9 centrów danych działających na całym świecie. Każde centrum danych służy jako replika innego centrum danych, więc jeśli jedno z nich ulegnie awarii, dane można pobrać z innego centrum danych.

Procesy regularnego testowania, oceny i weryfikacji skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania: Taboola stosuje rygorystyczne procesy testowania skuteczności swoich środków kontroli (zarówno technicznych, jak i organizacyjnych). Posiadamy system rejestrowania i monitorowania, co najmniej comiesięczne testy DR, kwartalne testy penetracyjne, zapory sieciowe chroniące sieć oraz honeypoty rozmieszczone w całej sieci w celu wykrywania wszelkich złośliwych działań. Ponadto posiadamy program nagród, który pomaga nam stale monitorować naszą sieć.

Środki identyfikacji i autoryzacji użytkowników: Każdy użytkownik serwisu Taboola posiada przypisane imię użytkownika i hasło. Każdy dostęp do wewnętrznej sieci Taboola odbywa się za pomocą uwierzytelniania dwuskładnikowego (2FA) z wykorzystaniem uwierzytelniania Google. Użytkownicy są tworzeni wyłącznie przez dział IT podczas procesu wdrażania nowych pracowników i tylko po otrzymaniu wszystkich szczegółowych informacji oraz podpisanej umowy od działu kadr.

Środki ochrony danych podczas transmisji: Taboola obsługuje wszelkie transmisje danych za pośrednictwem bezpiecznych protokołów transmisji (co najmniej HTTPS i TLS v1.2). Ponadto systemy, które mogą zawierać dane osobowe, są zabezpieczone, a dane są przechowywane w postaci zaszyfrowanej i anonimowej.

Środki ochrony danych podczas przechowywania: Dane przechowywane w naszych bazach danych są anonimizowane i haszowane przy użyciu algorytmu Bcrypt. Dostęp do bazy danych jest ograniczony do minimum i oparty na zasadzie „wiedzy niezbędnej do wykonywania obowiązków służbowych”.

Środki zapewniające bezpieczeństwo fizyczne miejsc, w których przetwarzane są dane osobowe: Wszystkie serwery w każdym z globalnych centrów danych Taboola (w Stanach Zjednoczonych, Europie i Azji) znajdują się w zamkniętych szafach, które są utrzymywane wyłącznie na potrzeby Taboola. Szafki te są utrzymywane przez firmy SOC2-certified lub takie, których środki bezpieczeństwa zostały sprawdzone przez Taboola. Ponadto każdy dostęp do serwerów wymaga pisemnej, rejestrowanej zgody. Wszystkie biura Taboola są również kontrolowane i wymagają od pracowników używania kart dostępu, aby wejść do środka. Ponadto tylko ograniczona liczba pracowników ma dostęp do serwerów Taboola, a każdy dostęp wymaga pisemnego, rejestrowanego zezwolenia.

Środki zapewniające rejestrowanie zdarzeń: Taboola wdraża narzędzia monitorujące, a logi są gromadzone w naszym systemie SIEM, który ostrzega nas o wszelkich podejrzanych zdarzeniach i jest również monitorowany przez zespół NOC.

Środki zapewniające konfigurację systemu, w tym konfigurację domyślną: Serwery są skanowane pod kątem zarówno zmian konfiguracji, jak i poziomu poprawek. Raportowanie i/lub alertowanie są ustawione na obu urządzeniach, a odpowiedni poziom poprawki jest potwierdzony. Nowe poprawki są dystrybuowane za pomocą Puppet. Wszystkie przeglądy techniczne są zarządzane za pośrednictwem aplikacji badawczo-rozwojowej i uzyskiwane w ramach formalnego procesu przeglądu (QA) po wdrożeniu kodowania i CI/CD processes.

Środki dotyczące wewnętrznego zarządzania i nadzoru nad bezpieczeństwem IT: Taboola posiada certyfikaty ISO 27001:2013 i 27701. Taboola posiada politykę bezpieczeństwa informacji, która stanowi, że zarząd i kierownictwo Taboola zobowiązują się do zachowania poufności, integralności i dostępności wszystkich fizycznych i elektronicznych zasobów informacyjnych w całej organizacji. Taboola organizuje szkolenia z zakresu bezpieczeństwa dla wszystkich nowych pracowników, szkolenia dotyczące phishingu dla wszystkich pracowników na całym świecie oraz regularne szkolenia z zakresu bezpieczeństwa dla wszystkich pracowników, a także sesje dedykowane dla grup badawczo-rozwojowych.

Środki certyfikacji/zapewnienia jakości procesów i produktów: Kwartalny / półroczny / roczny audyt wewnętrzny wielu procesów i systemów w celu sprawdzenia, czy firma Taboola przestrzega określonych celów i środków bezpieczeństwa.

Środki zapewniające minimalizację danych: Taboola celowo ogranicza zakres gromadzonych danych zgodnie z globalnymi zasadami minimalizacji danych, zgodnie z którymi przetwarzane są wyłącznie dane niezbędne do realizacji określonych celów biznesowych. Ponadto Taboola nie ma możliwości ani potrzeby biznesowej, aby „odwracać proces inżynierii” jakichkolwiek punktów danych wykorzystywanych w naszym algorytmie w celu świadczenia naszych usług. Mówiąc dokładniej, dane zbierane przez Taboola nigdy nie wskazują tożsamości użytkownika, ponieważ Taboola nie zbiera ani nie przetwarza informacji takich jak imię i nazwisko użytkownika, numer telefonu, adres e-mail lub adresy fizyczne. Zamiast tego Taboola gromadzi wyłącznie pseudonimowe identyfikatory, które służą jedynie do identyfikacji cech charakterystycznych urządzenia użytkownika. Obejmuje to IP Address (które są skracane podczas gromadzenia i pozwalają jedynie zidentyfikować ogólną lokalizację urządzenia na podstawie kodu pocztowego, ale nigdy nie pozwalają na dokładną geolokalizację) oraz, w niektórych ograniczonych przypadkach, zaszyfrowane adresy e-mail (które są z natury nieodwracalne i nie można ich odszyfrować w celu ujawnienia oryginalnego adresu e-mail). Ponadto, nawet w przypadku zbiorczego wykorzystania, gromadzone przez nas dane nigdy nie pozwalają na ustalenie imienia i nazwiska, numeru telefonu, adresu e-mail ani adresu zamieszkania danej osoby, a nasi inżynierowie nie podejmują żadnych działań w tym kierunku. Ponadto Taboola przeprowadza i rejestruje oceny wpływu na prywatność w celu zminimalizowania ryzyka związanego z prywatnością naszych usług, procesów i zasad.

Środki zapewniające jakość danych: Dane są zbierane bezpośrednio od użytkownika, który ma możliwość poprawienia wszelkich danych powiązanych z jego identyfikatorem CookieID za pośrednictwem portalu Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access.

Środki zapewniające ograniczone przechowywanie danych: Przechowujemy informacje o użytkownikach, które są gromadzone bezpośrednio w celu wyświetlania reklam, przez maksymalnie trzynaście (13) miesięcy od ostatniej interakcji użytkownika z naszymi usługami (często przez krótszy okres), po upływie którego to czasu anonimizujemy dane poprzez usunięcie unikalnych identyfikatorów lub agregację danych. Proces ten odbywa się automatycznie.

Środki zapewniające odpowiedzialność: Taboola przeprowadza wiele audytów bezpieczeństwa i testów penetracyjnych (ale nie dla wszystkich systemów). Taboola korzysta również z usług dostawców usług w chmurze, którzy posiadają certyfikaty ISO i spełniają inne wymagania certyfikacyjne dotyczące chmury w zakresie utrzymania fizycznych zabezpieczeń serwerów.

Środki umożliwiające przenoszenie danych i zapewniające ich usunięcie: Taboola odnosi się do usuwania mediów w taki sam sposób dla wszystkich rodzajów mediów, ponieważ mogą one zawierać dane osobowe. Wszelkie nośniki danych muszą zostać całkowicie wyczyszczone przed ponownym użyciem lub utylizacją. Każda utylizacja nośników jest dokumentowana. Pracownicy mają zakaz drukowania jakichkolwiek dokumentów, które mogą zawierać dane osobowe.

  1. W zakresie, w jakim jedna ze stron dokonuje ograniczonego przekazania zebranych danych drugiej stronie, Standard Contractual Clauses zostaną włączone do niniejszych Warunków prywatności wydawcy i będą miały zastosowanie w następujący sposób:

a. w przypadku gdy transfer ograniczony jest transferem ograniczonym w UE, między stronami będą miały zastosowanie EU SCCs w następujący sposób:

  1. (i) Zastosowanie ma moduł pierwszy;
  2. (ii) w klauzuli 7 zastosowanie będzie miała opcjonalna klauzula dokowania;
  3. (iv) w klauzuli 11 opcjonalne sformułowanie nie ma zastosowania;
  4. (v) w klauzuli 17 zastosowanie będzie miała opcja 1, a EU SCCs będą podlegały prawu irlandzkiemu;
  5. (vi) w punkcie 18(b) spory będą rozstrzygane przed sądami irlandzkimi;
  6. (vii) Części A, B i C załącznika I uznaje się za wypełnione informacjami zawartymi w częściach A, B i C załącznika A do niniejszych Warunków prywatności wydawcy; oraz
  7. (vii) Załącznik II uznaje się za uzupełniony o środki bezpieczeństwa określone w załączniku B do niniejszych Warunków prywatności wydawcy;

b. w przypadku gdy transfer ograniczony jest transferem ograniczonym w UK, między stronami zastosowanie ma następujący UK Addendum:

(i) między stronami obowiązują standardowe klauzule umowne EU SCCs, wypełnione zgodnie z powyższymi wytycznymi, które zostaną zmodyfikowane przez UK Addendum (wypełniony zgodnie z poniższą podklauzulą (ii)); oraz

(ii) tabele 1–3 UK Addendum uznaje się za wypełnione odpowiednimi informacjami pochodzącymi z EU SCCs, wypełnionymi zgodnie z powyższym opisem, a opcje „Eksporter” i „Importer” uznaje się za zaznaczone w tabeli 4. Data rozpoczęcia obowiązywania UK Addendum (określona w tabeli 1) jest datą wejścia w życie niniejszych Warunków prywatności wydawcy.

2. Dalsze transfery z ograniczeniami: Żadna ze stron nie dokona dalszego ograniczonego przekazania zebranych danych, które otrzymała od drugiej strony, chyba że wykonała wszystkie czynności i działania niezbędne do zapewnienia, że takie dalsze ograniczone przekazanie jest zgodne z obowiązującymi przepisami o ochronie danych oraz wszelkimi Standard Contractual Clauses uzgodnionymi z drugą stroną.