Warunki prywatności reklamodawcy

Last Update: November 14, 2025

Data wejścia w życie:  14 sierpnia 2023 r.

Niniejsze Warunki ochrony prywatności reklamodawców Taboola („Warunki ochrony prywatności reklamodawców”) mają zastosowanie do usług reklamy cyfrowej Taboola, takich jak dystrybucja treści reklamodawcy przez Taboola za pośrednictwem swojej platformy dystrybucyjnej Taboola Dynamic Creative Optimization (DCO) lub GenAI Landing Page zgodnie z umową pomiędzy Taboola a reklamodawcą („Umowa”), a niniejsze Warunki ochrony prywatności reklamodawców uznaje się za włączone do każdej takiej Umowy i stanowiące jej integralną część.  Niniejsze Warunki ochrony prywatności reklamodawcy określają role i obowiązki Taboola oraz reklamodawcy w zakresie danych osobowych.

W przypadku konfliktu pomiędzy Warunkami ochrony prywatności reklamodawcy a Umową, w zakresie tego konfliktu rozstrzygające będą Warunki ochrony prywatności reklamodawcy, chyba że sprzeczne postanowienie Umowy wyraźnie odwołuje się do sprzecznego postanowienia niniejszych Warunków ochrony prywatności reklamodawcy i określa, że ​​ma pierwszeństwo przed tym sprzecznym postanowieniem.

Terminy zdefiniowane w niniejszym paragrafie mają znaczenie określone poniżej, a terminy pokrewne należy interpretować odpowiednio. Terminy pisane wielką literą, które nie zostały zdefiniowane w Warunkach ochrony prywatności reklamodawcy, mają znaczenie nadane im w Umowie.

      1. Obowiązujące przepisy o ochronie danych” oznaczają wszelkie federalne, krajowe, stanowe lub inne przepisy dotyczące prywatności i ochrony danych, które mają zastosowanie do przetwarzania będącego przedmiotem Umowy i niniejszych Warunków reklamodawcy, z zastrzeżeniem ich okresowych zmian lub zastąpień.
      2. Zebrane dane” oznaczają Dane osobowe, które każda ze stron zbiera od Podmiotów danych na swoich serwerach lub sieciach (w tym wszystkie pasywnie zbierane lub nadające się do odczytu maszynowego dane, takie jak dane oparte na typie przeglądarki i identyfikatorach urządzenia) w związku ze świadczeniem lub odbiorem Usług.
      3. Administrator” oznacza: (i) podmiot, który ustala cele i sposoby przetwarzania danych osobowych oraz (ii) każdą osobę, która mieści się w zakresie terminu „administrator” (lub dowolnego zasadniczo analogicznego terminu) zgodnie z definicją zawartą w obowiązujących przepisach o ochronie danych.
      4. Kalifornijska ustawa o ochronie prywatności” oznacza kalifornijską ustawę o ochronie prywatności konsumentów z 2018 r., Cal. Kodeks cywilny § 1798.100 i następne („CCPA”), ze zmianami (w tym wprowadzonymi przez Kalifornijską Ustawę o Prawach do Prywatności) oraz wszelkie podrzędne przepisy ustawowe i wykonawcze.
      5. Podmiot danych” oznacza: (i) zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną (a dla tych celów możliwą do zidentyfikowania osobę fizyczną jest osoba, którą można zidentyfikować bezpośrednio lub pośrednio, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź więcej czynników szczególnych określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość tej osoby fizycznej) oraz (ii) każdą osobę, która mieści się w zakresie terminu „podmiot danych”, „konsument” (lub jakiegokolwiek zasadniczo analogicznego terminu) zgodnie z definicją zawartą w przepisach o ochronie danych.
      6. Przepisy EU o ochronie danych” oznaczają: (i) ogólne rozporządzenie EU o ochronie danych (rozporządzenie 2016/679) („ RODOEU ”); (ii) dyrektywę EU o prywatności i łączności elektronicznej (dyrektywa 2002/58/WE); oraz (iii) wszelkie krajowe przepisy o ochronie danych wydane na podstawie lub zgodnie z (i) lub (ii), z zastrzeżeniem możliwości ich okresowego zmieniania lub zastępowania.
      7. Dozwolone cele” mają znaczenie podane w sekcji 3.
      8. Dane osobowe” oznaczają wszelkie informacje dotyczące Podmiotu danych (w tym, w przypadku gdy jest to wymagane przez obowiązujące prawo o ochronie danych, unikalne identyfikatory przeglądarki lub urządzenia), zgodnie z Załącznikiem A, Częścią B.
      9. Przetwarzanie” oznacza jakąkolwiek operację lub zestaw operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych, niezależnie od tego, czy odbywa się to w sposób zautomatyzowany, taki jak gromadzenie, otrzymywanie, rejestrowanie, organizowanie, strukturyzowanie, używanie, przesyłanie, dostęp, udostępnianie, ujawnianie, przekazywanie, przechowywanie, adaptowanie lub modyfikowanie, wyszukiwanie, konsultowanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, agregowanie, wnioskowanie, wywodzenie, analiza, ograniczanie, usuwanie, niszczenie lub usuwanie lub inne przetwarzanie Danych Osobowych, w tym w sposób, w jaki ten termin jest zdefiniowany w Obowiązującym Prawie o Ochronie Danych.
      10. Podmiot przetwarzający” oznacza: (i) podmiot przetwarzający dane osobowe w imieniu administratora oraz (ii) każdą osobę, która mieści się w zakresie terminu „podmiot przetwarzający” (lub dowolnego zasadniczo analogicznego terminu) zgodnie z definicją zawartą w obowiązujących przepisach o ochronie danych.
      11. Ograniczone przekazywanie” oznacza: (i) w przypadku zastosowania EU GDPR , przekazywanie danych osobowych z EOG do kraju spoza EOG, który nie podlega ustaleniu odpowiedniego stopnia ochrony przez Komisję Europejską („Ograniczone przekazywanie danych w EU”); oraz (ii) w przypadku zastosowania UK GDPR , przekazywanie danych osobowych ze Zjednoczonego Królestwa do dowolnego innego kraju, który nie podlega przepisom dotyczącym odpowiedniego stopnia ochrony zgodnie z Sekcją 17A brytyjskiej ustawy o ochronie danych z 2018 r. („Ograniczone przekazywanie danych w UK”).
      12. Sprzedaż” oznacza wymianę Danych Osobowych zawynagrodzeniepieniężne lub inne wartościowe świadczenie i obejmuje również definicję tych terminów na mocy obowiązującego prawa o ochronie danych.
      13. Usługi” oznaczają usługi świadczone przez Taboola na podstawie Umowy z Reklamodawcą.
      14. Incydent bezpieczeństwa” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieautoryzowanego ujawnienia lub dostępu do Danych osobowych.
      15. Standard Contractual Clauses” oznaczają: (i) w przypadku zastosowania EU GDPR , klauzule umowne załączone do decyzji wykonawczej Komisji Europejskiej 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (EU) 2016/679 („StandardoweEU SCCs”); oraz (ii) w przypadku zastosowania UK GDPR , „Dodatek w sprawie międzynarodowego przekazywania danych do Standard Contractual Clauses Komisji EU ” wydany przez Komisarza ds. informacji na podstawie art. 119A(1) ustawy o ochronie danych z 2018 r. („UK Addendum”).
      16. Strona trzecia” oznacza firmę działającą jako Kontroler w odniesieniu do Danych osobowych, która nie jest firmą, z którą Podmiot danych, którego dane osobowe są przetwarzane, celowo nawiązał interakcję; termin ten obejmuje definicję tego terminu w obowiązującym prawie o ochronie danych.
      17. Ustawa o ochronie danych w UK” oznacza: (i) UK ustawę o ochronie danych z 2018 r., (ii) UK GDPR (zgodnie z definicją w art. 3(10) UK ustawy o ochronie danych z 2018 r.) („UK GDPR”), (iii) UK rozporządzenie o ochronie prywatności i komunikacji elektronicznej (dyrektywa WE) z 2003 r.) oraz (iv) wszelkie inne UK przepisy wydane na podstawie lub zgodnie z (i), (ii) lub (iii), z zastrzeżeniem możliwości ich okresowego zmieniania lub zastępowania.

Każda ze stron będzie przetwarzać zebrane dane, które zbierze lub otrzyma od drugiej strony, w celach określonych w Załączniku A, Części B („Dozwolone Cele”).  Reklamodawca wyraża zgodę, że Taboola będzie przetwarzać zebrane dane zgodnie z Polityką prywatności Taboola (co, dla uniknięcia wątpliwości, stanowi również Dozwolony Cel Taboola).

W zakresie, w jakim Zebrane Dane kwalifikują się jako Dane Osobowe lub zawierają Dane Osobowe zgodnie z Obowiązującymi Przepisami o Ochronie Danych, każda ze stron będzie przetwarzać Zebrane Dane, które zbiera lub otrzymuje od drugiej strony, jako Administrator (co może obejmować, w przypadku gdy ma zastosowanie kalifornijskie prawo o ochronie prywatności, Stronę Trzecią, w stosownych przypadkach).  Ujawnienia (niezależnie od tego, czy poprzez transfer, czy za pośrednictwem strony udostępniającej dane drugiej stronie) Zebranych Danych lub Danych Osobowych od jednej strony do drugiej stanowią ujawnienia wobec Stron Trzecich.

      1. Jeżeli do Zebranych Danych ma zastosowanie Prawo Stanów Zjednoczonych lub stanowe Prawo o Ochronie Danych, w tym między innymi Prawo Kalifornii o Prywatności, w zakresie, w jakim Realize Pixels (dawniej zwane „Taboola Pixels”) wykorzystywane w związku z Przetwarzaniem Danych Osobowych Użytkownika, Taboola działa jako Strona Trzecia wobec Reklamodawcy w odniesieniu do takich Danych Osobowych. Taboola będzie przetwarzać takie Dane Osobowe w Dozwolonych Celach. Tego rodzaju Dane Osobowe udostępniane są spółce Taboola wyłącznie w Celach Dozwolonych.  Taboola zapewni ten sam poziom ochrony prywatności, jaki jest wymagany od przedsiębiorstw przez obowiązujące przepisy o ochronie danych w Stanach Zjednoczonych, w tym, w stosownych przypadkach, przepisy o ochronie prywatności w Kalifornii. Taboola powiadomi Reklamodawcę w terminie wymaganym przez Obowiązujące Prawo o Ochronie Danych, jeżeli Taboola ustali, że nie jest już w stanie wypełniać swoich obowiązków wynikających z Obowiązujących Przepisów o Ochronie Danych. Po powiadomieniu spółki Taboola Reklamodawca ma prawo podjąć rozsądne i odpowiednie kroki w celu zatrzymania i naprawienia nieautoryzowanego wykorzystania Danych osobowych udostępnionych Taboola.

Strony przyjmują do wiadomości, że część lub całość Zebranych Danych może kwalifikować się jako Dane Osobowe lub je obejmować, a zatem do Przetwarzania Zebranych Danych przez każdą ze Stron mogą mieć zastosowanie Obowiązujące Przepisy o Ochronie Danych.  W takim przypadku i z zastrzeżeniem postanowień sekcji 7 każda ze stron ponosi indywidualną odpowiedzialność za przestrzeganie obowiązujących przepisów o ochronie danych, w tym wszelkich obowiązujących wymogów w zakresie: (i) zapewnienia przejrzystości Podmiotom danych, (ii) uzyskania zgody lub innej prawnej podstawy przetwarzania oraz (iii) udostępnienia punktu kontaktowego, za pośrednictwem którego Podmioty danych mogą wykonywać swoje prawa dotyczące ochrony danych.

W przypadku gdy jedna ze stron dokona ograniczonego przekazania zebranych danych drugiej stronie, stosuje się postanowienia Załącznika C.

a. Taboola korzysta z Realize Pixels w celu świadczenia Usług.  Niezależnie od sekcji 5, w zakresie, w jakim Taboola zbiera Zebrane Dane z cyfrowych zasobów Reklamodawcy (takich jak strony internetowe, aplikacje mobilne lub inne) przy użyciu Realize Pixels, Reklamodawca ma obowiązek: (i) dostarczyć wszystkie wymagane powiadomienia o przejrzystości Podmiotom Danych dotyczące korzystania przez Taboola z Realize Pixels w celu zbierania Zebranych Danych z cyfrowych zasobów Reklamodawcy w Dozwolonych Celach oraz (ii) uzyskać (oraz na żądanie Taboola w dowolnym momencie dostarczyć odpowiednie dowody) zgodę Podmiotu Danych na takie wykorzystanie Realize Pixels w Dozwolonych Celach, w każdym przypadku zgodnie z wymogami obowiązujących przepisów o ochronie danych.  Obowiązki Reklamodawcy w tym zakresie obejmują wyraźne wskazanie Taboola i sposobu, w jaki wykorzystuje Realize Pixels do Celów Dozwolonych, w powiadomieniach o przejrzystości i monitach o zgodę, które Reklamodawca przekazuje Podmiotom Danych, a także wszelkich innych informacji wymaganych przez Obowiązujące przepisy o ochronie danych, aby Taboola mogła zgodnie z prawem świadczyć swoje Usługi za pośrednictwem takich zasobów cyfrowych oraz Przetwarzać Zebrane Dane i Dane Osobowe do Celów Dozwolonych. W zakresie, w jakim reklamodawca otrzymuje usługę Gen AI Landing Page firmy Taboola, Taboola ma obowiązek zapewnić przejrzyste powiadomienie i uzyskać zgodę użytkownika.

b. Na pisemny wniosek Taboola przekaże Reklamodawcy wszelkie niezbędne informacje dotyczące Realize Pixels oraz przetwarzania przez Taboola zebranych danych za pośrednictwem cyfrowych zasobów Reklamodawcy, aby zapewnić, że mechanizmy powiadomień i zgód będą zgodne z obowiązującymi przepisami o ochronie danych.  Reklamodawca nie uruchomi żadnych Realize Pixels , dopóki nie zostanie zapewniona niezbędna przejrzystość i uzyskane wszelkie niezbędne zgody wymagane na mocy obowiązujących przepisów o ochronie danych.

c. Reklamodawca zobowiązany jest także przekazać Podmiotom Danych informacje o tym, w jaki sposób mogą one korzystać ze swoich praw dotyczących ochrony danych zgodnie z obowiązującymi przepisami o ochronie danych, a także wskazać punkt kontaktowy, z którym Podmioty Danych mogą się skontaktować w celu korzystania ze swoich praw. Reklamodawca jest zobowiązany niezwłocznie powiadomić Taboola o otrzymaniu jakiegokolwiek wniosku dotyczącego praw związanych z ochroną danych w związku z przetwarzaniem przez spółkę Taboola zebranych danych jako administratora danych, aby Taboola mogła zrealizować wniosek zgodnie ze swoimi obowiązkami wynikającymi z obowiązującego prawa o ochronie danych.

Jeśli Taboola, na żądanie Reklamodawcy, przekaże Dane osobowe partnerowi atrybucji Reklamodawcy lub Reklamodawcy w celu atrybucji, Reklamodawca oświadcza i gwarantuje, że: (i) jego partner atrybucji jest Podmiotem przetwarzającym w imieniu Reklamodawcy; (ii) chyba że dane osobowe zostaną zebrane niezależnie w inny sposób, Reklamodawca i partner atrybucji będą wykorzystywać takie Dane osobowe wyłącznie w celach atrybucji; oraz (iii) partner atrybucji i Reklamodawca usuną wszystkie przekazane Dane osobowe w ciągu trzydziestu (30) dni od ostatniej identyfikacji Odwiedzającego jako pochodzącego z Taboola.

Każda ze stron wdroży odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu ochrony Zebranych Danych i/lub Danych Osobowych, które przetwarza, przed Incydentami Bezpieczeństwa.  Środki te obejmują środki określone w załączniku B.

Jeżeli którakolwiek ze Stron ucierpi z powodu Incydentu Bezpieczeństwa w odniesieniu do Zebranych Danych i/lub Danych Osobowych, które przetwarza i które są przedmiotem Umowy i niniejszych Warunków Prywatności Reklamodawcy, Strona ta: (i) będzie odpowiedzialna za wypełnienie (na własny koszt) wszelkich obowiązków raportowania, które mają do niej zastosowanie na mocy Obowiązujących Przepisów o Ochronie Danych do organów ochrony danych i/lub dotkniętych Podmiotów Danych, (ii) powiadomi drugą Stronę bez zbędnej zwłoki, przekazując takie informacje o Incydencie Bezpieczeństwa, jakie mogą być zasadnie żądane przez drugą Stronę lub w inny sposób wymagane, aby druga Strona ustaliła, czy może mieć również obowiązki raportowania na mocy Obowiązujących Przepisów o Ochronie Danych w odniesieniu do Incydentu Bezpieczeństwa, oraz (iii) podejmie wszelkie takie działania i środki, bez zbędnej zwłoki, jakie są odpowiednie w celu zaradzenia i/lub złagodzenia skutków Incydentu Bezpieczeństwa

W zakresie wymaganym przez obowiązujące przepisy o ochronie danych, którym podlega każda ze stron, każda ze stron przeprowadzi ocenę skutków dla ochrony danych w odniesieniu do przetwarzania przez nią zebranych danych i/lub danych osobowych w dozwolonych celach i/lub skonsultuje się z właściwymi organami ochrony danych, jeśli zajdzie taka potrzeba.  Każda ze stron jest zobowiązana zapewnić wszelką uzasadnioną współpracę i informacje, o które zasadnie poprosi druga strona, jeżeli jest to niezbędne do umożliwienia drugiej stronie przeprowadzenia oceny skutków dla ochrony danych i/lub konsultacji z właściwymi organami ochrony danych zgodnie z obowiązkami drugiej strony wynikającymi z niniejszego paragrafu 11.

 

A. LISTA STRON

Każda ze stron musi być:

      • administrator danych (i eksporter danych) Danych zebranych, które ujawnia lub udostępnia drugiej stronie, oraz
      • administrator danych (oraz importer danych) Zebranych Danych, które otrzymuje od drugiej strony lub do których dostęp jest udostępniany przez drugą stronę.

Szczegóły dotyczące każdej ze stron podano poniżej.

Nazwa: Szczegóły dotyczące Reklamodawcy znajdują się w Umowie.

Adres: Szczegóły dotyczące Reklamodawcy znajdują się w Umowie.

Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: Szczegóły dotyczące Reklamodawcy można znaleźć w Umowie lub w inny sposób uzgodniony przez strony na piśmie.

Działania związane z danymi przekazywanymi na podstawie niniejszych Klauzul: Odbiór Usług zgodnie z postanowieniami Umowy.

Podpis i data: Niniejszy Załącznik A uważa się za wykonany po zaakceptowaniu przez Reklamodawcę niniejszych Warunków Prywatności Reklamodawcy.

Rola (kontroler/podmiot przetwarzający): Kontroler (jeśli jest eksporterem danych) i Kontroler (jeśli jest importerem danych)

 

Nazwa: Szczegóły dotyczące Taboola znajdują się we wstępie do Umowy.

Adres: Szczegóły dotyczące Taboola znajdują się we wstępie do Umowy.

Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: Zespół ds. prywatności Taboola: taboola.com.

Działania związane z danymi przekazywanymi na podstawie niniejszych Klauzul: Świadczenie Usług zgodnie z postanowieniami Umowy.

Podpis i data: Niniejszy Załącznik A uznaje się za wykonany po zaakceptowaniu przez Taboola niniejszych Warunków ochrony prywatności reklamodawców.

Rola (kontroler/podmiot przetwarzający): Kontroler (jeśli jest eksporterem danych) i Kontroler (jeśli jest importerem danych)

 

B. OPIS PRZETWARZANIA I PRZEKAZYWANIA

Kategorie osób, których dane osobowe są przetwarzane i/lub przekazywane: Użytkownicy

Kategorie przetwarzanych i/lub przekazywanych danych osobowych:

Dane urządzenia: System operacyjny, typ przeglądarki, wersja przeglądarki, adres IP (skrócony w ciągu 30 dni) z miejsca gromadzenia danych, kod pocztowy (uzyskany z adresu IP), zaszyfrowany identyfikator użytkownika Taboola , zaszyfrowane adresy e-mail, pierwsze i kolejne odwiedziny strony w witrynie Reklamodawcy, płeć użytkownika (wywnioskowana na podstawie zainteresowań), sygnały zaangażowania (czas spędzony na stronie, głębokość przewijania, głębokość sesji), dane konwersji.

Dane dotyczące odwiedzonej przez użytkownika własności cyfrowej: Adres URL odwiedzanej strony, witryna odsyłająca

  • W zakresie, w jakim DCO stanowi część usług, Taboola przetwarza również następujące dane:

Dane urządzenia: Identyfikator cookie ID Taboola lub identyfikator urządzenia (w zależności od platformy), zamaskowany adres IP, identyfikator kliknięcia Taboola , User agent string, kraj, typ użytkownika, w tym informacje o nowym/powracającym użytkowniku (jeśli są udostępniane przez reklamodawcę), informacje o produkcie (powiązane ze konkretnym adresem URL), w tym cena i dostępność na stronach produktów

Dane wydarzenia: waluta, identyfikatory produktów, identyfikator zamówienia, identyfikator kategorii, kategoria, termin wyszukiwania, szczegóły koszyka, wartość i identyfikatory kampanii.

Przesyłane dane wrażliwe (jeśli ma to zastosowanie) oraz stosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi ryzyko, takie jak na przykład ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp wyłącznie dla personelu, który odbył specjalistyczne szkolenie), prowadzenie rejestru dostępu do danych, ograniczenia dotyczące dalszego przekazywania lub dodatkowe środki bezpieczeństwa: Nie dotyczy.

Częstotliwość przetwarzania i/lub przekazywania danych (np. czy dane są przetwarzane i/lub przekazywane jednorazowo czy w sposób ciągły): Ciągły przez cały okres obowiązywania Umowy.

Charakter przetwarzania: Przetwarzanie Danych Osobowych niezbędne do świadczenia Usług, zgodnie z postanowieniami Umowy.

Cel(e) przetwarzania danych / przekazywania i dalszego przetwarzania: Świadczenie Usług zgodnie z postanowieniami Umowy. W celu uniknięcia wątpliwości Dozwolone Cele obejmują: (i) przechowywanie i/lub uzyskiwanie dostępu do informacji na urządzeniu; (ii) wybieranie podstawowych reklam; (iii) tworzenie profilu spersonalizowanych reklam; (iv) wybieranie spersonalizowanych reklam; (v) tworzenie profilu spersonalizowanych treści; (vi) wybieranie spersonalizowanych treści; (vii) mierzenie skuteczności reklam; (viii) mierzenie skuteczności treści; (ix) opracowywanie i ulepszanie produktów; (x) zapewnianie bezpieczeństwa, zapobieganie oszustwom i debugowanie; (xi) techniczne dostarczanie reklam lub treści; (xii) dopasowywanie i łączenie źródeł danych offline; (xiii) łączenie różnych urządzeń; (xiv) odbieranie i używanie automatycznie wysyłanych charakterystyk urządzenia w celu identyfikacji; (xv) używanie ograniczonych danych do wybierania treści oraz (xvi)zrozumienie odbiorców za pomocą statystyk.

Okres, przez który będą przechowywane dane osobowe, a jeżeli nie jest to możliwe, kryteria ustalania tego okresu:

      • Taboola: Surowe dane przechowywane są maksymalnie przez 13 miesięcy.
      • Reklamodawca: Tak długo, jak będzie to konieczne do otrzymania Usług lub tak długo, jak określono w Umowie.

W przypadku przekazywania danych podmiotom przetwarzającym (pod-) należy również określić przedmiot, charakter i czas trwania przetwarzania: Nie dotyczy.

 

C. WŁAŚCIWY ORGAN NADZORU

Właściwy organ nadzorczy, w przypadku którego ma zastosowanie EU GDPR) : Właściwy organ nadzoru dla każdej ze stron opisano poniżej:

      • Taboola: Właściwy organ nadzoru ustala się zgodnie z klauzulą ​​13 EU SCCs.
      • Reklamodawca: Właściwy organ nadzoru ustala się zgodnie z klauzulą ​​13 EU SCCs.

Właściwy organ nadzorczy, w przypadku którego ma zastosowanie UK GDPR : Biuro Komisarza ds. Informacji

 

Opis środków technicznych i organizacyjnych wdrożonych przez każdą ze stron (w tym wszelkich stosownych certyfikatów) w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, biorąc pod uwagę charakter, zakres, kontekst i cel przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych.

Środki pseudonimizacji i szyfrowania danych osobowych: Taboola zbiera wyłącznie pseudonimizowane dane, co oznacza, że ​​nie wiemy, kim jesteś, ponieważ nie znamy i nie przetwarzamy imienia użytkownika, adresu e-mail ani innych danych umożliwiających identyfikację. Gromadzone przez nas informacje o użytkowniku obejmują między innymi informacje o urządzeniu i systemie operacyjnym użytkownika, adresie IP, stronach internetowych odwiedzanych przez użytkowników na stronach internetowych naszych klientów, linku, który skierował użytkownika do strony internetowej klienta, daty i godziny, w których użytkownik uzyskał dostęp do strony internetowej klienta, a także inne dane dotyczące przeglądania stron internetowych. Identyfikator CookieID jest anonimizowany za pomocą Bcrypt , a adres IP jest skracany.

Środki zapewniające ciągłą poufność, integralność, dostępność i odporność systemów i usług przetwarzania: Taboola stosuje wiele poziomów zabezpieczeń elektronicznych (np. zabezpieczenia punktów końcowych, zabezpieczenia po stronie serwera, śledzenie wykryć, okresowe testy penetracyjne i dogłębne gromadzenie informacji w celu analizy zdarzeń pośmiertnych).

Środki zapewniające możliwość przywrócenia dostępności danych osobowych i dostępu do nich w odpowiednim czasie w razie incydentu fizycznego lub technicznego: Taboola utrzymuje 9 centrów danych działających na całym świecie. Każde centrum danych jest repliką drugiego, więc jeśli jedno z nich ulegnie awarii, dane można będzie pobrać z innego centrum danych.

Procesy służące regularnemu testowaniu, ocenianiu i weryfikacji skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania: Taboola stosuje ścisłe procedury testowania skuteczności swoich kontroli (zarówno technicznych, jak i organizacyjnych). Wdrożyliśmy rejestrowanie i monitorowanie systemu, przeprowadzamy comiesięczne (przynajmniej) testy DR, kwartalne testy penetracyjne, stosujemy zapory sieciowe chroniące sieć oraz pułapki typu honeypot rozmieszczone w całej sieci w celu wykrywania wszelkich złośliwych działań. Ponadto mamy program nagród, który pozwala nam stale monitorować naszą sieć.

Środki identyfikacji i autoryzacji użytkownika: Każdy użytkownik portalu Taboola ma przypisaną własną nazwę użytkownika i hasło. Każdy dostęp do wewnętrznej sieci Taboola odbywa się z wykorzystaniem uwierzytelniania 2FA i Google. Użytkownicy są tworzeni wyłącznie przez dział IT, w trakcie procesu wdrażania i dopiero po otrzymaniu wszystkich szczegółów oraz podpisanej umowy od działu HR.

Środki ochrony danych podczas transmisji: Taboola obsługuje dowolną transmisję danych za pomocą bezpiecznych protokołów transmisji (co najmniej HTTPS i TLS v1.2). Co więcej, systemy, które mogą zawierać dane osobowe, są zabezpieczone, a dane są przechowywane w formie hashowanej i anonimizowane.

Środki ochrony danych podczas przechowywania: Dane przechowywane w naszych bazach danych są anonimizowane i hashowane przy użyciu Bcrypt. Dostęp do bazy danych jest ograniczony do minimum i opiera się na zasadzie „biznesowej potrzeby wiedzy”.

Środki zapewniające bezpieczeństwo fizyczne miejsc, w których przetwarzane są dane osobowe: Wszystkie serwery w każdym z globalnych centrów danych Taboola (w USA, Europie i Azji) znajdują się w zamykanych szafach, które są udostępniane wyłącznie do użytku Taboola. Za konserwację tych szaf odpowiadają firmy posiadające SOC2-certified lub te, których środki bezpieczeństwa zostały sprawdzone przez Taboola . Ponadto, jakikolwiek dostęp do serwerów wymaga pisemnej, zarejestrowanej zgody. Wszystkie biura Taboola są również objęte kontrolą, a pracownicy muszą posiadać kartę dostępu, aby wejść do środka. Co więcej, dostęp do serwerów Taboola ma tylko ograniczona liczba pracowników, a jakikolwiek dostęp wymaga pisemnej, zarejestrowanej zgody.

Środki zapewniające rejestrowanie zdarzeń: Taboola wdraża narzędzia monitorujące, a logi są gromadzone w naszym systemie SIEM , który powiadamia nas o wszelkich podejrzanych zdarzeniach. Ponadto system jest monitorowany przez zespół NOC .

Środki zapewniające konfigurację systemu, w tym konfigurację domyślną: Serwery są skanowane pod kątem odchyleń od konfiguracji i poziomu poprawek. Raportowanie i/lub alerty są ustawiane na obu urządzeniach, a odpowiedni poziom poprawki jest potwierdzany. Nowe poprawki są dystrybuowane za pomocą Puppet. Wszystkie przeglądy techniczne są zarządzane za pośrednictwem aplikacji R&D i przeprowadzane w ramach formalnego procesu przeglądu (QA) po wdrożeniu CI/CD processes .

Środki służące wewnętrznemu zarządzaniu i nadzorowi nad IT oraz bezpieczeństwem IT: Taboola posiada certyfikaty ISO 27001:2013 i 27701. W Taboola obowiązuje Polityka Bezpieczeństwa Informacji, zgodnie z którą Zarząd i kadra zarządzająca Taboola zobowiązują się do zachowania poufności, integralności i dostępności wszystkich fizycznych i elektronicznych zasobów informacyjnych w całej organizacji. Taboola organizuje szkolenia z zakresu bezpieczeństwa dla wszystkich nowych pracowników, szkolenia z zakresu phishingu dla wszystkich pracowników na całym świecie oraz regularne szkolenia z zakresu bezpieczeństwa dla wszystkich pracowników, a także specjalne sesje dla grup badawczo-rozwojowych.

Środki certyfikacji/zapewnienia jakości procesów i produktów: Kwartalny/półroczny/roczny audyt wewnętrzny wielu procesów i systemów w celu sprawdzenia, czy Taboola działa zgodnie ze swoimi celami i środkami bezpieczeństwa.

Środki zapewniające minimalizację danych: Taboola celowo ogranicza ilość zbieranych danych zgodnie z globalnymi zasadami minimalizacji danych Taboola, polegającymi na przetwarzaniu wyłącznie tych danych, które są niezbędne do realizacji konkretnych celów biznesowych. Co więcej, Taboola nie ma możliwości ani potrzeby biznesowej, aby „dokonywać inżynierii wstecznej” żadnych punktów danych wykorzystywanych w naszym algorytmie w celu świadczenia naszych usług. Dokładniej rzecz ujmując, dane gromadzone przez Taboola nigdy nie wskazują na tożsamość użytkownika, ponieważ Taboola nie gromadzi ani nie przetwarza informacji takich jak imię i nazwisko użytkownika, numer telefonu, adres e-mail ani adres fizyczny. Zamiast tego Taboola zbiera wyłącznie pseudonimowe identyfikatory, które jedynie określają cechy urządzenia użytkownika. Dotyczy to adresów IP (które są skracane po zebraniu i mogą jedynie określić ogólną lokalizację urządzenia na podstawie kodu pocztowego, ale nigdy dokładną geolokalizację), a w niektórych ograniczonych przypadkach także zaszyfrowanych adresów e-mail (które są z natury nieodwracalne i nie można ich odszyfrować w celu ujawnienia oryginalnego adresu e-mail). Co więcej, nawet gdy zbieramy dane zbiorczo, nigdy nie uda się ustalić imienia, numeru telefonu, adresu e-mail ani adresu fizycznego konkretnej osoby. Nasi inżynierowie nie podejmują żadnych działań w celu osiągnięcia tego celu. Ponadto Taboola sporządza i rejestruje oceny wpływu na prywatność w celu zminimalizowania ryzyka naruszenia prywatności związanego z naszymi usługami, procesami i politykami.

Środki zapewniające jakość danych: Dane są zbierane taboola.com od użytkownika, a użytkownikowi udzielana jest możliwość poprawienia wszelkich danych powiązanych z jego identyfikatorem CookieID za pośrednictwem portalu żądań dostępu do danych osobowych Taboola : https://accessrequest.taboola.com/access

Środki zapewniające ograniczone przechowywanie danych: Informacje o użytkowniku, które są bezpośrednio zbierane na potrzeby wyświetlania reklam, przechowujemy maksymalnie przez trzynaście (13) miesięcy od ostatniej interakcji użytkownika z naszymi Usługami (często przez krótszy okres), po czym anonimizujemy dane, usuwając unikalne identyfikatory lub agregując dane. Proces ten odbywa się automatycznie.

Środki zapewniające rozliczalność: Taboola przeprowadza liczne audyty bezpieczeństwa i testy penetracyjne (ale nie dla wszystkich systemów). Taboola korzysta również z dostawców usług w chmurze, którzy posiadają certyfikat ISO i spełniają inne wymogi dotyczące utrzymania fizycznych zabezpieczeń serwerów.

Środki umożliwiające przenoszenie danych i zapewniające ich usunięcie: Przed ponownym użyciem lub wyrzuceniem nośnik musi zostać dokładnie wyczyszczony. Każda utylizacja nośnika danych jest dokumentowana. Pracownicy zostali poinstruowani, aby nie drukować żadnych dokumentów, które mogą zawierać dane osobowe.

  1. W zakresie, w jakim jedna ze stron dokonuje ograniczonego przekazywania zebranych danych drugiej stronie, Standard Contractual Clauses zostaną włączone do niniejszych Warunków ochrony prywatności reklamodawcy i będą stosowane w następujący sposób:
    1. w przypadku gdy Przekazanie Ograniczone jest Przekazaniem Ograniczonym EU , pomiędzy stronami będą miały zastosowanie EU SCCs w następujący sposób:
      1. Obowiązuje moduł pierwszy;
      2. w Klauzuli 7 zastosowanie będzie miała opcjonalna Klauzula dokowania;
      3. w klauzuli 11 język opcjonalny nie będzie miał zastosowania;
      4. w klauzuli 17 zastosowanie będzie miała opcja 1, a EU SCCs będą podlegać prawu irlandzkiemu;
      5. w punkcie 18(b) wszelkie spory będą rozstrzygane przez sądy irlandzkie;
      6. Części A, B i C Załącznika I uznaje się za uzupełnione informacjami określonymi w Częściach A, B i C Załącznika A do niniejszych Warunków ochrony prywatności reklamodawcy; oraz
      7. Załącznik II uznaje się za uzupełniony o środki bezpieczeństwa określone w Załączniku B do niniejszych Warunków ochrony prywatności reklamodawcy;
    2. w przypadku gdy Przekazanie Ograniczone jest Przekazaniem Ograniczonym w UK , UK Addendum będzie miał zastosowanie pomiędzy stronami w następujący sposób:
      1. EU SCCs, uzupełnione zgodnie z powyższymi wytycznymi, będą miały zastosowanie pomiędzy stronami i zostaną zmodyfikowane przez UK Addendum (uzupełniony zgodnie z postanowieniami podpunktu (ii) poniżej); oraz
      2. Tabele od 1 do 3 UK Addendum uznaje się za uzupełnione odpowiednimi informacjami z EU SCCs, uzupełnionymi zgodnie z powyższymi wytycznymi, a opcje „Eksporter” i „Importer” uznaje się za zaznaczone w tabeli 4. Datą wejścia w życie niniejszego UK Addendum (określonego w tabeli 1) jest data wejścia w życie niniejszych Warunków ochrony prywatności reklamodawcy.
  2. Dalsze transfery ograniczone:  Żadna ze stron nie dokona dalszego Ograniczonego Przekazania Zebranych Danych, które otrzyma od drugiej strony, jeśli nie podejmie wszelkich działań i czynności niezbędnych do zapewnienia, że ​​takie dalsze Ograniczone Przekazanie jest zgodne z Obowiązującym Prawem o Ochronie Danych oraz wszelkimi Standard Contractual Clauses, jakie uzgodniła z drugą stroną.