Warunki Prywatności Reklamodawcy

Last Update: November 14, 2025

Data wejścia w życie:  14 sierpnia 2023

Niniejsze Warunki Prywatności Reklamodawcy Taboola („War unki Prywatności Reklamodaw cy”) mają zastosowanie do usług reklamy cyfrowej Taboola, takich jak w przypadku, gdy Taboola rozpowszechnia treści reklamodawcy za pośrednictwem swojej platformy dystrybucyjnej, zgodnie z umową między Taboola a Reklamodawcą („U mowa”), a niniejsze Warunki prywatności reklamodawcy są uważane za włączone i stanowią integralną część takiej Umowy.  Niniejsze Warunki Prywatności Reklamodawcy określają role i obowiązki Taboola i Reklamodawcy w odniesieniu do Danych Osobowych.

W przypadku konfliktu między Warunkami prywatności reklamodawcy a Umową, Warunki prywatności reklamodawcy będą obowiązywać w zakresie tego konfliktu, chyba że sprzeczne postanowienie Umowy wyraźnie odnosi się do sprzecznych postanowień niniejszych Warunków prywatności reklamodawcy i określa, że przeważa nad tym sprzecznym postanowieniem.

Terminy zdefiniowane w niniejszej sekcji mają znaczenie określone poniżej, a terminy pokrewne będą odpowiednio interpretowane. Terminy pisane wielką literą, ale nie zdefiniowane w Warunkach prywatności reklamodawcy, mają znaczenie określone w Umowie.

      1. „Obowiąz ujące przepisy o ochronie danych” oznaczają wszelkie federalne, krajowe, stanowe lub inne przepisy dotyczące prywatności i ochrony danych, które mają zastosowanie do Przetwarzania, które jest przedmiotem Umowy i niniejszych Warunków Reklamodawcy, które mogą być okresowo zmieniane lub zastępowane.
      2. „Ze brane dane” oznaczają Dane osobowe, które każda ze stron gromadzi od Osób, których dane dotyczą, na lub za pośrednictwem swoich serwerów lub sieci (w tym wszystkie dane zbierane pasywnie lub nadające się do odczytu maszynowego, takie jak dane oparte na typie przeglądarki i identyfikatorach urządzenia) w związku ze świadczeniem lub otrzymywaniem Usług.
      3. Administr ator” oznacza: (i) podmiot, który określa cele i sposoby przetwarzania Danych Osobowych oraz (ii) każdą osobę, która mieści się w zakresie terminu „administrator” (lub dowolnego zasadniczo analogicznego terminu) zgodnie z obowiązującymi przepisami o ochronie danych osobowych.
      4. California Privacy Law” oznacza California Consumer Privacy Act z 2018 r., Cal. Kodeks cywilny § 1798.100 i nast. („CCPA”), z późniejszymi zmianami (w tym przez California Privacy Rights Act) oraz wszelkie podległe ustawodawstwo i przepisy wykonawcze.
      5. „Osoba, której dane dotyczą” oznacza: i) zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną (a do tych celów możliwa do zidentyfikowania osoba fizyczna to osoba, którą można zidentyfikować bezpośrednio lub pośrednio, w szczególności poprzez odniesienie do identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden lub więcej czynników specyficznych dla fizycznej, fizjologicznej, genetycznej, psychicznej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby fizycznej) oraz (ii) każda osoba wchodząca w zakres pojęcia „osoba, której dane dotyczą”, „konsument” (lub jakikolwiek zasadniczo analogiczny termin) w rozumieniu przepisów o ochronie danych.
      6. „Ust awa UE o ochronie danych” oznacza: (i) ogólne rozporządzenie UE o ochronie danych (rozporządzenie 2016/679) („UE RODO”); (ii) dyrektywę UE w sprawie e-prywatności (dyrektywa 2002/58/WE); oraz (iii) wszelkie krajowe przepisy o ochronie danych ustanowione zgodnie z (i) lub (ii), każde z nich może być okresowo zmieniane lub zastępowane.
      7. Dozwolone cele” ma znaczenie podane w sekcji 3.
      8. Dane osobowe” oznaczają wszelkie informacje dotyczące osoby, której dane dotyczą (w tym, jeżeli wymaga tego obowiązujące prawo o ochronie danych, unikalne identyfikatory przeglądarki lub urządzenia), określone w załączniku A część B.
      9. „Przetwarzanie” oznacza każdą operację lub zestaw operacji wykonywanych na Danych Osobowych lub zbiorach Danych Osobowych, niezależnie od tego, czy są one zautomatyzowane, takie jak gromadzenie, odbiór, rejestrowanie, organizacja, strukturyzacja, wykorzystanie, przekazywanie, dostęp, udostępnianie, ujawnianie, przekazywanie, przechowywanie, dostosowanie, rozpowszechnianie lub w inny sposób udostępnianie, dostosowanie lub łączenie, agregacja, wnioskowanie, wyprowadzanie, analiza, ograniczenie, usuwanie, zniszczenie lub usuwanie lub inne przetwar zanie Danych Osobowych, w tym w jaki sposób termin ten jest zdefiniowany w obowiązującym prawie o ochronie danych.
      10. „Podmiot przetwar zający” oznacza: (i) podmiot przetwarzający dane osobowe w imieniu Administratora oraz (ii) każdą osobę, która mieści się w zakresie terminu „podmiot przetwarzający” (lub dowolny zasadniczo analogiczny termin) zgodnie z obowiązującymi przepisami o ochronie danych.
      11. „Ograniczony transfer” oznacza: (i) w przypadku gdy ma zastosowanie RODO UE, przekazanie Danych Osobowych z EOG do kraju spoza EOG, które nie podlega ustaleniu adekwatności przez Komisję Europejską („ograniczony transfer UE”); oraz (ii) w przypadku gdy ma zastosowanie RODO w Wielkiej Brytanii, przekazywanie danych osobowych z Wielkiej Brytanii do innego kraju, który nie podlega lub nie jest oparty na przepisach dotyczących adekwatności zgodnie z sekcją 17A Zjednoczonego Królestwa Ustawa o ochronie 2018 („UK Restricted) Przenie sienie „).
      12. Sprzedaż” i „Sprzed aż” oznaczają wymianę Danych Osobowych za wynagrodzenie pieniężne lub inne cenne wynagrodzenie i obejmują sposób, w jaki takie warunki są zdefiniowane zgodnie z obowiązującymi przepisami o ochronie danych.
      13. Usługi” oznaczają usługi świadczone przez Taboola na podstawie Umowy z Reklamodawcą.
      14. „In cydent bezpieczeństwa” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia Danych Osobowych lub dostępu do nich.
      15. Standardowe klauzule umo wne” oznaczają: (i) w przypadku gdy ma zastosowanie RODO UE, klauzule umowne załączone do decyzji wykonawczej Komisji Europejskiej 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 („UE SCC”); oraz (ii) w przypadku zastosowania RODO w Wielkiej Brytanii, „Międzynarodowy dodatek do UE do UE Standardowe klauzule umowne Komisji” wydane przez Informację Komisarz w ramach S.119a (1) DPA 2018 („UK Add endum”).
      16. „Strona trz ecia” oznacza firmę, która działa jako Administrator w odniesieniu do Danych Osobowych i nie jest to firma, z którą osoba, której dane osobowe są przetwarzane, umyślnie wchodziła w interakcje; termin ten obejmuje sposób, w jaki termin ten jest zdefiniowany w obowiązującym prawie o ochronie danych.
      17. „bry tyjskie prawo o ochronie danych” oznacza: (i) brytyjską ustawę o ochronie danych osobowych z 2018 r., (ii) RODO w Wielkiej Brytanii (zgodnie z definicją w pkt 3 ust. 10 brytyjskiej ustawy o ochronie danych 2018) („UK GDPR”), (iii) rozporządzenie UK Privacy and Electronic Communications (Dyrektywa WE) 2003) oraz (iv) wszelkie inne prawa brytyjskie ustanowione na podstawie (i), (ii) lub (iii), każde z nich zmieniane lub zastępowane od czasu do czasu.

Każda ze Stron przetwarza Zebrane Dane, które zbiera lub otrzymuje od drugiej strony, w celach określonych w załączniku A część B („Doz wolone cele”).  Reklamodawca zgadza się, że Taboola będzie Przetwarzać Zebrane Dane zgodnie z Polityką prywatności Taboola (która dla uniknięcia wątpliwości będzie również Dozwolonym Celem Taboola).

W zakresie, w jakim Zebrane Dane kwalifikują się lub zawierają Dane Osobowe zgodnie z obowiązującymi przepisami o ochronie danych, każda ze stron przetwarza zebrane dane, które gromadzi lub otrzymuje od drugiej strony jako Administrator (co może obejmować, w przypadku gdy obowiązuje kalifornijskie prawo prywatności, jako stronę trzecią, w stosownych przypadkach).  Ujawnienie (niezależnie od tego, czy chodzi o przekazanie, czy za pośrednictwem strony udostępniającej dane drugiej stronie) Gromadzonych Danych lub Danych Osobowych od jednej strony drugiej strony są ujawnieniami stronom trzecim.

      1. Jeśli do gromadzonych danych stosuje się ustawa o ochronie danych w USA lub Stanach Zjednoczonych, w tym między innymi California Privacy Law, w zakresie, w jakim Realize Pixels (dawniej nazywane „Taboola Pixels”) wykorzystywane w związku z Usługami Przetwarzają Dane Osobowe Użytkownika, Taboola działa jako Strona Trzecia dla Reklamodawcy takich Danych Osobowych. Taboola przetwarza takie Dane Osobowe w dozwolonych celach. Takie Dane Osobowe są udostępniane Taboola wyłącznie w Dozwolonych Celach.  Taboola zapewni taki sam poziom ochrony prywatności, jaki jest wymagany przez Firmy przez obowiązujące amerykańskie przepisy o ochronie danych, w tym w stosownych przypadkach, kalifornijskie przepisy dotyczące prywatności. Taboola poinformuje Ogłoszeniodawcę w terminie wymaganym przez Obowiązujące Prawo Ochrony Danych, jeśli Taboola uzna, że nie jest już w stanie wypełniać swoich zobowiązań wynikających z obowiązujących przepisów o ochronie danych. Po przekazaniu powiadomienia Taboola, Reklamodawca ma prawo podjąć uzasadnione i odpowiednie kroki w celu powstrzymania i naprawienia nieuprawnionego wykorzystania Danych Osobowych, które udostępnia Taboola.

Strony przyjmują do wiadomości, że niektóre lub wszystkie Zgromadzone Dane mogą kwalifikować się lub obejmować Dane Osobowe, a zatem, że Obowiązujące przepisy o ochronie danych mogą mieć zastosowanie do przetwarzania zebranych danych przez każdą ze stron.  W takim przypadku i z zastrzeżeniem sekcji 7 każda ze stron jest indywidualnie odpowiedzialna za zgodność z obowiązującymi przepisami o ochronie danych, w tym wszelkimi mającymi zastosowanie wymogami dotyczącymi: (i) zapewnienia przejrzystości osobom, których dane dotyczą, (ii) uzyskania zgody lub innej podstawy prawnej przetwarzania oraz (iii) udostępnienia punktu kontaktowego, za pośrednictwem którego Osoby, których dane dotyczą, mogą wykonywać swoje prawa do ochrony danych.

W przypadku, gdy którakolwiek ze stron dokona ograniczonego przekazywania zebranych danych drugiej stronie, zastosowanie mają przepisy załącznika C.

Taboola używa Realize Pixels do świadczenia Usług.  Niezależnie od sekcji 5, w zakresie, w jakim Taboola zbiera Dane Zebrane z właściwości cyfrowych Ogłoszeniodawcy (takich jak strony internetowe, aplikacje mobilne lub inne) przy użyciu Realize Pixels, Reklamodawca: (i) dostarcza osobom, których dane dotyczą, wszystkie wymagane informacje dotyczące przejrzystości dotyczące wykorzystania przez Taboola Realize Pixels do zbierania Zebranych Danych z właściwości cyfrowych Reklamodawcy w Dozwolonych Celach oraz (ii) pozyskać (i, na żądanie Taboola w dowolnym momencie, dostarczać odpowiednie dowody) Zgoda osoby, której dane dotyczą, na takie wykorzystanie Realize Pixels w Dozwolonych Celach, w każdy przypadek zgodnie z wymogami obowiązujących przepisów o ochronie danych.  Obowiązki Reklamodawcy w tym zakresie obejmują identyfikację Taboola i wykorzystanie przez niego Realize Pixels w Dozwolonych Celach wyraźnie w ramach informacji o przejrzystości i monitach o zgodę przekazywanych przez Reklamodawcę osobom, których dane dotyczą, a także wszelkie inne informacje wymagane przez obowiązujące przepisy o ochronie danych, aby Taboola mogła świadczyć swoje Usługi zgodnie z prawem za pośrednictwem takich właściwości cyfrowych i przetwarzać zebrane dane i dane osobowe w dozwolonych celach.  Na pisemne żądanie Taboola przekaże Reklamodawcy takie informacje, jakie są niezbędne na temat Realizowanych Pikseli i Przetwarzania Zgromadzonych Danych przez Taboola za pośrednictwem cyfrowych właściwości Reklamodawcy, aby zapewnić, że jego mechanizmy powiadamiania i zgody będą zgodne z obowiązującymi przepisami o ochronie danych.  Reklamodawca nie może zwolnić żadnych Realize Pixels, chyba że i dopóki nie zostanie zapewniona niezbędna przejrzystość i uzyskanie niezbędnych zgód wymaganych zgodnie z obowiązującymi przepisami o ochronie danych. Reklamodawca będzie ponadto przekazywać osobom, których dane dotyczą, informacje o tym, w jaki sposób mogą one wykonywać swoje prawa do ochrony danych zgodnie z obowiązującymi przepisami o ochronie danych, oraz zapewnić punkt kontaktowy, z którym Osoby, których dane dotyczą, mogą się skontaktować w celu skorzystania z ich praw. Reklamodawca niezwłocznie powiadomi Taboola, jeśli i w zakresie, w jakim otrzyma jakiekolwiek żądanie dotyczące ochrony danych dotyczących Przetwarzania Zgromadzonych Danych przez Taboola jako Administrator, aby Taboola mogła spełnić żądanie zgodnie z obowiązkami wynikającymi z obowiązujących przepisów o ochronie danych.

Jeśli Taboola, na żądanie Reklamodawcy, przekaże Dane Osobowe partnerowi reklamodawcy lub Reklamodawcy w celach związanych z przypisaniem, Reklamodawca oświadcza i gwarantuje, że: (i) jego partner przypisujący jest przetwarzającym w imieniu Reklamodawcy; (ii) jeśli nie zostaną zebrane inaczej niezależnie, Reklamodawca i partner atrybucyjny będą używać tych danych osobowych wyłącznie do celów atrybucji; oraz (iii) partner i Reklamodawca usuną wszystkie przekazane Dane w ciągu trzydziestu (30) dni od ostatniej identyfikacji Odwiedzającego jako pochodzącego z Taboola.

Każda ze Stron wdroży odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu ochrony Gromadzonych danych i/lub danych osobowych, które przetwarza przed incydentem bezpieczeństwa i przed nim.  Środki te obejmują środki określone w załączniku B.

Jeśli którakolwiek ze Stron doświadczy incydentu bezpieczeństwa w związku z Gromadzonymi danymi i/lub danymi osobowymi, które przetwarza i które są przedmiotem Umowy i niniejszych Warunków Prywatności Reklamodawcy, Strona ta: (i) będzie odpowiedzialna za wypełnienie (na własny koszt) wszelkich obowiązków sprawozdawczych, które mają zastosowanie do niej zgodnie z obowiązującymi przepisami o ochronie danych, organom ochrony danych i/lub podmiotom danych, (ii) powiadamia drugą Stronę bez zbędnej zwłoki, przekazując takie informacje o incydencie bezpieczeństwa, na wniosek drugiej Strony lub w inny sposób wymagane, aby druga Strona ustaliła, czy może również mieć obowiązki zgłaszania zgodnie z obowiązującymi przepisami o ochronie danych w odniesieniu do incydentu bezpieczeństwa oraz (iii) bez zbędnej zwłoki podjęcia wszelkich działań i środków, które są właściwe w celu zaradzenia i/lub złagodzenia skutków incydentu związanego z bezpieczeństwem

W przypadkach i w zakresie wymaganym przez Obowiązujące przepisy o ochronie danych, którym podlega każda ze stron, każda ze stron przeprowadza ocenę wpływu na ochronę danych w odniesieniu do Przetwarzania Zgromadzonych Danych i/lub Danych Osobowych w dozwolonych celach i/lub w razie potrzeby konsultuje się z właściwymi organami ochrony danych.  Każda ze Stron zapewnia wszelką racjonalną współpracę i informacje, o które druga strona ma racjonalnie żądać, jeżeli jest to konieczne, aby umożliwić drugiej stronie przeprowadzenie oceny skutków w zakresie ochrony danych i/lub konsultacji z właściwymi organami ochrony danych zgodnie z obowiązkami tej drugiej strony wynikającymi z niniejszej sekcji 11.

 

A. LISTA PARTII

Każda ze stron jest:

      • administrator danych (i podmiot przekazujący dane) Zebranych Danych, który ujawnia lub udostępnia drugiej stronie, oraz
      • administratora danych (i podmiotu importera danych) gromadzonych danych, które otrzymuje od drugiej strony lub do którego dostęp jest udostępniany przez drugą stronę.

Szczegóły każdej ze stron podano poniżej.

Nazwa: Zobacz szczegóły Reklamodawcy określone w Umowie.

Adres: Zobacz szczegóły Reklamodawcy określone w Umowie.

Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: Zobacz szczegóły Reklamodawcy określone w Umowie lub w inny sposób uzgodnione między stronami na piśmie.

Działania istotne dla danych przekazywanych zgodnie z niniejszymi klauzulami: Otrzymanie Usług, zgodnie z Umową.

Podpis i data: Niniejszy Załącznik A uznaje się za wykonany po zaakceptowaniu przez Reklamodawcę niniejszych Warunków Prywatności Reklamodawcy.

Rola (kontroler/procesor): Administrator (w przypadku gdy jest eksporterem danych) i Administrator (w przypadku gdy jest importerem danych)

 

Nazwa: Zobacz szczegóły Tabooli przedstawione we wstępie do Umowy.

Adres: Zobacz szczegóły Tabooli przedstawione we wstępie do Umowy.

Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: Zespół ds. prywatności Tabooli, privacy@taboola.com.

Działania istotne dla danych przekazywanych zgodnie z niniejszymi klauzulami: Świadczenia Usług, zgodnie z Umową.

Podpis i data: Niniejszy Załącznik A uznaje się za wykonany po zaakceptowaniu przez Taboola niniejszych Warunków Prywatności Reklamodawcy.

Rola (kontroler/procesor): Administrator (w przypadku gdy jest eksporterem danych) i Administrator (w przypadku gdy jest importerem danych)

 

B. OPIS PRZETWARZANIA I PRZEKAZANIA

Kategorie osób, których dane dotyczą, których dane osobowe są przetwarzane i/lub przekazywane: Użytkownicy

Kategorie przetwarzanych i/lub przekazywanych danych osobowych:

Dane urządzenia: System operacyjny, typ przeglądarki, wersja przeglądarki, adres IP (skrócony w ciągu 30 dni) od pobrania, kod pocztowy (pochodzący z adresu IP), hashowany identyfikator użytkownika Taboola, hashowane wiadomości e-mail, początkowe i kolejne wizyty na stronie Reklamodawcy, płeć użytkownika (wywnioskowana według zainteresowań), sygnały zaangażowania (czas na stronie, głębokość przewijania, głębokość sesji), dane konwersji.

Dane o własności cyfrowej odwiedzanych przez użytkownika: Adres URL odwiedzanej strony, witryna odsyłająca

Przesyłane dane wrażliwe (w stosownych przypadkach) oraz zastosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi ryzyko, takie jak na przykład ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp tylko dla personelu, który przeszedł specjalistyczne szkolenie), prowadzenie ewidencji dostępu do danych, ograniczenia dalszego przekazywania danych lub dodatkowe środki bezpieczeństwa: Nie dotyczy.

Częstotliwość przetwarzania i/lub przekazywania danych (np. czy dane są przetwarzane i/lub przekazywane jednorazowo lub nieprzerwanie): Ciągłe przez okres obowiązywania Umowy.

Charakter przetwarzania: Przetwarzanie Danych Osobowych niezbędnych do świadczenia Usług, zgodnie z Umową.

Cel (y) przetwarzania/przekazywania i dalszego przetwarzania danych: Świadczenia Usług, zgodnie z Umową. Aby uniknąć wątpliwości, Dozwolone cele obejmują: (i) przechowywanie i/lub dostęp do informacji na urządzeniu; (ii) wybór podstawowych reklam; (iii) tworzenie spersonalizowanego profilu reklam; (iv) tworzenie spersonalizowanego profilu treści; (vi) wybór spersonalizowanych treści; (vii) pomiar wydajności reklam; (viii) pomiar wydajności treści; (ix) opracowywanie i ulepszanie produktów; (x) zapewnienie bezpieczeństwa, zapobieganie oszustwom i debugowaniu (xi) techniczne dostarczanie reklam lub treści; (xii) dopasowywanie i łączenie w trybie offline źródła danych; (xiii) łączenie różnych urządzeń; (xiv) odbieranie i wykorzystywanie automatycznie wysyłanych charakterystyk urządzeń do identyfikacji; (xv) wykorzystywanie ograniczonych danych do wyboru treści oraz (xvi) uzyskiwanie stałych odbiorców za pomocą statysty k.

Okres, przez który dane osobowe będą przechowywane, lub, jeśli nie jest to możliwe, kryteria stosowane do określenia tego okresu:

      • Taboola: Surowe dane są przechowywane maksymalnie przez 13 miesięcy.
      • Reklamodawca: Tak długo, jak jest to konieczne do otrzymania Usług lub w inny sposób określony w Umowie.

W przypadku przekazywania danych podmiotom przetwarzającym należy również określić przedmiot, charakter i czas trwania przetwarzania: Nie dotyczy.

 

C. WŁAŚCIWY ORGAN NADZORCZY

Właściwy organ nadzorczy, w którym stosuje się unijne RODO: Właściwy organ nadzorczy dla każdej ze stron jest opisany poniżej:

      • Taboola: Właściwy organ nadzorczy określa się zgodnie z klauzulą 13 unijnych SCC.
      • Reklamodawca: Właściwy organ nadzorczy określa się zgodnie z klauzulą 13 unijnych SCC.

Właściwy organ nadzorczy, w którym obowiązuje brytyjski RODO: Biuro Komisarza ds. Informacji

 

Opis środków technicznych i organizacyjnych wdrożonych przez każdą ze stron (w tym wszelkich stosownych certyfikatów) w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania danych oraz zagrożeń dla praw i wolności osób fizycznych.

Środki pseudonimizacji i szyfrowania danych osobowych: Taboola zbiera tylko pseudonimizowane dane, co oznacza, że nie wiemy, kim jesteś, ponieważ nie znamy ani nie przetwarzamy nazwy użytkownika, adresu e-mail lub innych możliwych do zidentyfikowania danych. Informacje o użytkowniku, które zbieramy, obejmują między innymi informacje o urządzeniu i systemie operacyjnym Użytkownika, adresie IP, stronach internetowych, do których użytkownicy korzystają na stronach internetowych naszych Klientów, łącze, które doprowadziły Użytkownika do strony internetowej Klienta, daty i godziny dostępu Użytkownika do witryny Klienta oraz inne dane przeglądania stron internetowych. CookieID jest anonimizowany przy użyciu Bcrypt, a adres IP jest skrócony.

Środki zapewniające stałą poufność, integralność, dostępność i odporność systemów i usług przetwarzania: Taboola wykorzystuje wiele poziomów bezpieczeństwa elektronicznego (np. bezpieczeństwo punktów końcowych, bezpieczeństwo po stronie serwera, śledzenie wykryć, okresowe testy penetracyjne i głębokie gromadzenie informacji w celu przeglądu zdarzeń pośmiertnych).

Środki mające na celu zapewnienie możliwości przywrócenia dostępności i dostępu do danych osobowych w odpowiednim czasie w przypadku incydentu fizycznego lub technicznego: Taboola utrzymuje 9 centrów danych działających na całym świecie. Każde centrum danych jest używane jako replikacja siebie nawzajem, więc jeśli jedno spadnie, dane mogą być wyodrębnione z innego centrum danych.

Procesy regularnego testowania, oceny i oceny skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania: Taboola utrzymuje ścisłe procesy testowania skuteczności swoich kontroli (zarówno technicznych, jak i organizacyjnych). Posiadamy rejestrowanie i monitorowanie systemu, comiesięczne (co najmniej) testy DR, kwartalne testy penetracyjne, zapory chroniące sieć i honeypoty rozsiane w sieci w celu wykrycia wszelkich szkodliwych działań. Ponadto mamy wdrożony program nagród, który pomaga nam stale monitorować naszą sieć.

Środki dotyczące identyfikacji i autoryzacji użytkowników: Każdy użytkownik w Taboola jest powiązany z dedykowaną nazwą użytkownika i hasłem. Każdy dostęp do wewnętrznej sieci Taboola odbywa się za pomocą 2FA przy użyciu uwierzytelniania Google. Użytkownicy są tworzeni wyłącznie przez dział IT, podczas procesu onboardingu i dopiero po otrzymaniu wszystkich szczegółów i podpisanej umowy z działu HR.

Środki ochrony danych podczas transmisji: Taboola obsługuje dowolną transmisję danych za pomocą bezpiecznych protokołów transmisji (co najmniej HTTPS i TLS v1.2). Ponadto systemy, które mogą zawierać dane osobowe, są zabezpieczone, a dane są przechowywane w skrócie i anonimizowane.

Środki ochrony danych podczas przechowywania: Dane przechowywane w naszych bazach danych są anonimizowane i hashowane za pomocą Bcrypt. Dostęp do bazy danych jest zminimalizowany i oparty zgodnie z zasadą „biznes musi wiedzieć”.

Środki zapewniające bezpieczeństwo fizyczne lokalizacji, w których przetwarzane są dane osobowe: Każde z globalnych centrów danych Taboola (w USA, Europie i Azji) ma wszystkie swoje serwery zlokalizowane w zamkniętych szafach, które są utrzymywane wyłącznie do użytku Taboola. Szafy te są utrzymywane przez firmy, które posiadają certyfikat SOC2 lub Taboola sprawdziła swoje środki bezpieczeństwa. Ponadto każdy dostęp do serwerów wymaga pisemnej, zalogowanej zgody. Wszystkie biura Taboola są również kontrolowane i wymagają od pracowników korzystania z kart dostępu do wejścia. Ponadto tylko ograniczona liczba pracowników ma dostęp do serwerów Taboola, a każdy dostęp wymaga również pisemnej, zalogowanej zgody.

Środki zapewniające rejestrowanie zdarzeń: Taboola wdraża narzędzia monitorujące, a dzienniki są gromadzone w naszym systemie SIEM, który ostrzega nas o każdym podejrzanym zdarzeniu, a także jest monitorowany przez zespół NOC.

Środki zapewniające konfigurację systemu, w tym konfigurację domyślną: Serwery są skanowane pod kątem zarówno dryfu konfiguracji, jak i poziomu poprawki. Zgłaszanie i/lub ostrzeganie są ustawione w obu przypadkach, a odpowiedni poziom poprawki jest potwierdzany. Nowe łatki są dystrybuowane za pomocą Puppet. Wszystkie przeglądy techniczne są zarządzane za pośrednictwem aplikacji badawczo-rozwojowej i uzyskiwane w drodze formalnego procesu przeglądu (QA) po wdrożeniu kodowania i procesów CI/CD.

Środki dotyczące wewnętrznego zarządzania bezpieczeństwem IT i IT oraz zarządzania nimi: Taboola posiada certyfikaty ISO 27001:2013 i 27701. Taboola ma politykę bezpieczeństwa informacji, która stanowi, że Rada Dyrektorów i zarząd Taboola są zobowiązani do zachowania poufności, integralności i dostępności wszystkich fizycznych i elektronicznych zasobów informacyjnych w całej swojej organizacji. Taboola prowadzi szkolenia bezpieczeństwa dla wszystkich nowych pracowników, szkolenia phishingowe dla wszystkich pracowników na całym świecie oraz regularne szkolenia bezpieczeństwa dla wszystkich pracowników, a także dedykuje sesje dla grup badawczo-rozwojowych.

Środki dotyczące certyfikacji/zapewnienia procesów i produktów: Kwartalny/półroczny/roczny audyt wewnętrzny wielu procesów i systemów w celu potwierdzenia, że Taboola spełnia określone cele i środki bezpieczeństwa.

Środki mające na celu zapewnienie minimalizacji danych: Taboola celowo ogranicza dane, które gromadzimy w ramach globalnych zasad minimalizacji danych Taboola, polegających na przetwarzaniu tylko ograniczonych danych potrzebnych do naszych konkretnych celów biznesowych. Ponadto Taboola nie ma możliwości ani żadnej potrzeby biznesowej do „inżynierii wstecznej” któregokolwiek z punktów danych używanych w naszym algorytmie w celu świadczenia naszych usług. Dokładniej, punkty danych gromadzone przez Taboola nigdy nie wskazują na tożsamość użytkownika — ponieważ Taboola nie zbiera ani nie przetwarza informacji, takich jak imię i nazwisko użytkownika, numer telefonu, adres e-mail lub adresy fizyczne. Zamiast tego Taboola zbiera tylko pseudonimowe identyfikatory, które jedynie identyfikują cechy urządzenia użytkownika. Obejmuje to adresy IP (które są skrócone przy odbiorze i mogą identyfikować tylko ogólną lokalizację kodu pocztowego urządzenia, ale nigdy dokładną geolokalizację) oraz, w niektórych ograniczonych przypadkach, zaszyfrowane adresy e-mail (które są z natury nieodwracalne i nie mogą być odszyfrowane w celu ujawnienia oryginalnego adresu e-mail). Co więcej, nawet jeśli są używane zbiorowo, gromadzone przez nas dane nigdy nie mogą dać nazwy osoby, numeru telefonu, adresu e-mail lub adresu fizycznego, a nasi inżynierowie nie pracują w żaden sposób, aby osiągnąć ten cel. Ponadto Taboola dokonuje i rejestruje oceny wpływu na prywatność, aby zminimalizować ryzyko prywatności wynikające z naszych usług, procesów i zasad.

Środki zapewniające jakość danych: Dane zbierane są bezpośrednio od użytkownika, a użytkownik ma możliwość skorygowania wszelkich danych związanych z jego plikiem CookieID za pośrednictwem Portalu Żądania Dostępu Subject Taboola: https://accessrequest.taboola.com/access

Środki mające na celu zapewnienie ograniczonego przechowywania danych: Przechowujemy Dane Użytkownika, które są gromadzone bezpośrednio w celu wyświetlania reklam, maksymalnie przez trzynaście (13) miesięcy od ostatniej interakcji Użytkownika z naszymi Usługami (często przez krótszy okres czasu), po którym to czasie usuwamy unikalne identyfikatory lub agregujemy dane. Ten proces odbywa się automatycznie.

Środki zapewniające odpowiedzialność: Taboola przeprowadza wiele audytów bezpieczeństwa i testów penetracyjnych (ale nie dla wszystkich systemów). Taboola korzysta również z dostawców chmury posiadających certyfikat ISO i zgodnych z innymi certyfikatami dotyczącymi chmury w celu utrzymania fizycznych zabezpieczeń serwera.

Środki umożliwiające przenoszenie danych i zapewniające ich usunięcie: Taboola dotyczy usuwania mediów tak samo dla wszystkich rodzajów nośników, ponieważ może zawierać dane osobowe. Wszelkie nośniki należy całkowicie wytrzeć przed ponownym użyciem lub utylizacją. Wszelkie usuwanie mediów jest udokumentowane. Pracownicy są poinstruowani, aby nie drukowali żadnych dokumentów, które mogłyby zawierać dane osobowe.

  1. W zakresie, w jakim strona dokonuje ograniczonego przekazywania zebranych danych drugiej stronie, Standardowe klauzule umowne zostaną włączone do niniejszych Warunków Prywatności Reklamodawcy i mają zastosowanie w następujący sposób:
    1. w przypadku gdy transfer z ograniczeniem jest przeniesieniem ograniczonym UE, unijne SCC będą obowiązywać między stronami w następujący sposób:
      1. Zastosuje się moduł pierwszy;
      2. w punkcie 7 obowiązywać będzie klauzula opcjonalna dokowania;
      3. w punkcie 11 język opcjonalny nie będzie miał zastosowania;
      4. w klauzuli 17 zastosowanie ma wariant 1, a unijne SCC będą podlegać prawu irlandzkiemu;
      5. w klauzuli 18 lit. b) spory rozstrzygane są przed sądami Irlandii;
      6. Części A, B i C załącznika I uznaje się za uzupełnione informacjami określonymi w częściach A, B i C załącznika A do niniejszych Warunków ochrony prywatności reklamodawcy; oraz
      7. Załącznik II uznaje się za uzupełniony środkami bezpieczeństwa określonymi w załączniku B do niniejszych Warunków ochrony prywatności reklamodawcy;
    2. w przypadku gdy transfer z ograniczeniem jest przeniesieniem z ograniczeniami w Wielkiej Brytanii, dodatek brytyjski będzie miał zastosowanie między stronami w następujący sposób:
      1. unijne SCC, wypełnione w sposób określony powyżej, mają zastosowanie między stronami i zostaną zmienione przez Dodatek Zjednoczonego Królestwa (wypełniony zgodnie z podpunktem (ii) poniżej); oraz
      2. tabele 1—3 załącznika Zjednoczonego Królestwa uznaje się za uzupełnione odpowiednimi informacjami pochodzącymi z unijnych SCC, wypełnionymi w sposób określony powyżej, a opcje „Eksporter” i „Importer” uznaje się za sprawdzone w tabeli 4. Data rozpoczęcia dodatku w Wielkiej Brytanii (zgodnie z tabelą 1) jest data wejścia w życie niniejszych Warunków Prywatności Reklamodawcy.
  2. Dalsze ograniczone transfery:  Żadna ze stron nie dokona dalszego Ograniczonego Przekazywania Zebranych Danych, które otrzymuje od drugiej strony, chyba że dokonała wszystkich czynności i czynności niezbędnych do zapewnienia, że takie dalsze ograniczone przekazywanie jest zgodne z obowiązującym prawem o ochronie danych i wszystkimi standardowymi klauzulami umownymi, które uzgodniła z drugą stroną.