Warunki ochrony prywatności wydawcy

Last Update: October 10, 2024

Data wejścia w życie: 10 października 2024 r.

Niniejsze Warunki prywatności wydawcy Taboola (“Warunki prywatności wydawcy”) mają zastosowanie do cyfrowych usług reklamowych Taboola, takich jak umieszczanie przez Taboola treści reklamodawcy we właściwościach wydawcy, w tym między innymi produktów i usług wydawcy, takich jak Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News i Taboola Push, zgodnie z umową między Taboola a wydawcą (“Umowa”), a niniejsze Warunki prywatności wydawcy uznaje się za włączone do każdej takiej Umowy i stanowiące jej integralną część. Niniejsze Warunki ochrony prywatności wydawców określają role i obowiązki Taboola i wydawcy w odniesieniu do danych osobowych.

W przypadku konfliktu między Warunkami ochrony prywatności wydawcy a Umową, obowiązują Warunki ochrony prywatności wydawcy, chyba że sprzeczne postanowienie Umowy wyraźnie odwołuje się do sprzecznego postanowienia niniejszych Warunków ochrony prywatności wydawcy i określa, że zastępuje ono sprzeczne postanowienie.

Terminy zdefiniowane w niniejszej sekcji mają znaczenie określone poniżej, a terminy pokrewne należy interpretować odpowiednio. Terminy pisane wielką literą, które nie zostały zdefiniowane w Warunkach ochrony prywatności wydawcy, mają znaczenie określone w Umowie.

      1. Obowiązujące przepisy dotyczące ochrony danych” oznaczają wszelkie obowiązujące federalne, krajowe, stanowe lub inne przepisy dotyczące prywatności i ochrony danych, które mają zastosowanie do Przetwarzania będącego przedmiotem Umowy i niniejszych Warunków ochrony prywatności wydawcy, które mogą być okresowo zmieniane lub zastępowane.
      2. Kalifornijskie Prawo Prywatności” oznacza Kalifornijską Ustawę o Prywatności Konsumentów z 2018 r., Cal. Civil Code § 1798.100 et seq. (również “CCPA“), z późniejszymi zmianami (w tym California Privacy Rights Act) oraz wszelkimi podrzędnymi aktami prawnymi i przepisami wykonawczymi.
      3. Administrator” oznacza: (i) podmiot, który określa cele i sposoby Przetwarzania Danych Osobowych oraz (ii) każdą osobę lub podmiot, który mieści się w zakresie terminu “Administrator” lub “Firma” (lub jakiegokolwiek istotnie analogicznego terminu) zgodnie z definicją zawartą w Obowiązujących przepisach o ochronie danych.
      4. Podmiot Danych” oznacza: (i) zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną (przy czym dla niniejszych celów możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość tej osoby fizycznej) oraz (ii) każdą osobę, która mieści się w zakresie terminu “osoba, której dane dotyczą”, “konsument” (lub jakiegokolwiek istotnie analogicznego terminu) zgodnie z definicją zawartą w przepisach o ochronie danych.
      5. Unijne przepisy o ochronie danych” oznaczają: (i) ogólne rozporządzenie UE o ochronie danych (rozporządzenie 2016/679) (“RODO UE“); (ii) dyrektywę UE o prywatności i łączności elektronicznej (dyrektywa 2002/58/WE); oraz (iii) wszelkie krajowe przepisy o ochronie danych ustanowione na mocy lub zgodnie z (i) lub (ii), z których każde może być okresowo zmieniane lub zastępowane.
      6. Dane Osobowe” oznaczają wszelkie informacje, które odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (przy czym termin ten obejmuje, tam gdzie jest to wymagane przez Obowiązujące Prawo Ochrony Danych, unikalne identyfikatory przeglądarki lub urządzenia), jak określono w Załączniku A, Część B.
        1. Dane osobowe dotyczące interakcji” oznaczają wszelkie dane osobowe zebrane od konsumentów w czasie lub po celowej interakcji konsumenta z Taboola, produktami Taboola, właściwościami Taboola i reklamami umieszczanymi przez Taboola.
        2. Dane osobowe pasywnej interakcji” oznaczają wszelkie dane osobowe zebrane pasywnie z właściwości wydawcy, w tym między innymi adres IP, adres URL strony i ciąg agenta użytkownika zebrane przez Taboola, przed lub bez celowej interakcji konsumenta z Taboola, produktami Taboola, właściwościami Taboola i reklamami umieszczanymi przez Taboola.
      7. Proces” oznacza dowolną operację lub zestaw operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych, w sposób zautomatyzowany lub niezautomatyzowany, takich jak gromadzenie, otrzymywanie, rejestrowanie, organizowanie, strukturyzowanie, wykorzystywanie, przekazywanie, uzyskiwanie dostępu, udostępnianie, ujawnianie, przekazywanie, przechowywanie, dostosowywanie lub zmienianie, odzyskiwanie, konsultowanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, agregowanie, wnioskowanie, wyprowadzanie, analizowanie, ograniczanie, usuwanie, niszczenie lub usuwanie lub inne postępowanie z Danymi Osobowymi, w tym sposób, w jaki taki termin jest zdefiniowany w Obowiązującym Prawie Ochrony Danych.
      8. Podmiot przetwarzający” oznacza podmiot, który przetwarza Dane osobowe w imieniu Administratora i obejmuje sposób, w jaki taki termin i/lub termin “podmiot przetwarzający dane” (lub jakikolwiek inny zasadniczo analogiczny termin) jest zdefiniowany w Obowiązującym prawie o ochronie danych.
      9. Ograniczony Transfer” oznacza: (i) w przypadku gdy zastosowanie ma RODO UE, przekazanie Danych Osobowych z EOG do kraju spoza EOG, które nie podlega stwierdzeniu przez Komisję Europejską odpowiedniego stopnia ochrony (“Przekazanie ZastrzeżoneUE“); oraz (ii) w przypadku gdy zastosowanie ma RODO Zjednoczonego Królestwa, przekazanie Danych Osobowych ze Zjednoczonego Królestwa do jakiegokolwiek innego kraju, które nie podlega lub nie jest oparte na przepisach dotyczących odpowiedniego stopnia ochrony zgodnie z sekcją 17A brytyjskiej ustawy o ochronie danych z 2018 r. (“Przekazanie Zastrzeżone Zjednoczonego Królestwa“).
      10. Usługi” oznaczają usługi świadczone przez Taboola na podstawie Umowy z Wydawcą.
      11. “Incydent bezpieczeństwa” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do Danych osobowych.
      12. “Standardowe klauzule umowne” oznaczają: (i) w przypadku gdy zastosowanie ma RODO UE, klauzule umowne stanowiące załącznik do decyzji wykonawczej Komisji Europejskiej 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (“standardowe klauzule umowneUE“); oraz (ii) w przypadku gdy zastosowanie ma RODO Wielkiej Brytanii, “Uzupełnienie dotyczące międzynarodowego przekazywania danych do standardowych klauzul umownych Komisji UE” wydane przez Komisarza ds.119A(1) RODO 2018 (“Uzupełnienie brytyjskie“).
      13. Strona Trzecia” oznacza firmę, która działa jako Administrator w odniesieniu do Danych Osobowych i która nie jest firmą, z którą Podmiot Danych, którego Dane Osobowe są Przetwarzane, celowo wchodził w interakcje; termin ten obejmuje sposób, w jaki taki termin jest zdefiniowany w Obowiązującym Prawie Ochrony Danych.
      14. “brytyjskieprzepisy o ochronie danych” oznaczają: (i) brytyjską ustawę o ochronie danych z 2018 r., (ii) brytyjskie RODO (zgodnie z definicją zawartą w s.3(10) brytyjskiej ustawy o ochronie danych z 2018 r.) (“brytyjskie RODO“), (iii) brytyjskie przepisy o prywatności i łączności elektronicznej (dyrektywa WE) z 2003 r. oraz (iv) wszelkie inne brytyjskie przepisy wydane na podstawie lub zgodnie z (i), (ii) lub (iii), z których każdy może być okresowo zmieniany lub zastępowany.

W przypadku Danych Osobowych przetwarzanych w związku z Usługami, każda ze stron zgadza się przetwarzać gromadzone przez siebie Dane Osobowe wyłącznie w celach opisanych w Załączniku A, Część B (“Dozwolone Cele“) oraz zgodnie z niniejszymi Warunkami Prywatności Wydawcy, Umową i Obowiązującymi Przepisami o Ochronie Danych, które mogą być okresowo aktualizowane. Taboola może również przetwarzać dane osobowe biernej interakcji zgodnie z Polityką prywatności Taboola, która może być okresowo aktualizowana.

Każda ze Stron będzie Przetwarzać Dane Osobowe dotyczące Biernej Interakcji, które gromadzi jako Administrator lub Strona Trzecia, w zależności od sytuacji. Każda ze stron będzie przetwarzać Dane Osobowe Interakcji, które gromadzi jako Administrator lub Firma, w zależności od przypadku. Ujawnienie (bezpośrednio lub za pośrednictwem strony udostępniającej dane drugiej stronie) Danych Osobowych od jednej strony do drugiej stanowi ujawnienie Stronom Trzecim.

      1. Jeśli do Danych Osobowych ma zastosowanie amerykańskie lub stanowe prawo o ochronie danych, w tym między innymi kalifornijskie prawo o ochronie prywatności, w zakresie, w jakim Taboola przetwarza Dane Osobowe z biernej interakcji w związku z Usługami, Taboola działa jako strona trzecia dla Wydawcy w odniesieniu do takich Danych Osobowych z biernej interakcji. Taboola będzie przetwarzać takie dane osobowe dotyczące biernej interakcji w celach opisanych w załączniku A, część B i zgodnie z niniejszymi Warunkami ochrony prywatności wydawców, Umową, obowiązującymi przepisami o ochronie danych i Polityką prywatności Taboola, z których każda może być od czasu do czasu aktualizowana. Takie dane osobowe dotyczące biernej interakcji są udostępniane Taboola wyłącznie do takich celów. Taboola zapewni taki sam poziom ochrony prywatności, jaki jest wymagany od firm na mocy obowiązujących amerykańskich przepisów o ochronie danych, w tym, w stosownych przypadkach, kalifornijskich przepisów o ochronie prywatności. Wydawca ma prawo dopilnować, by Taboola wykorzystywała dane osobowe w ramach pasywnej interakcji w sposób zgodny ze zobowiązaniami Wydawcy. Po powiadomieniu Taboola, Wydawca ma prawo podjąć uzasadnione i odpowiednie kroki w celu powstrzymania i zaradzenia nieautoryzowanemu wykorzystaniu Danych osobowych, które udostępnia Taboola. Taboola poinformuje Wydawcę w terminie wymaganym przez obowiązujące przepisy o ochronie danych, jeśli Taboola stwierdzi, że nie jest już w stanie wypełniać swoich zobowiązań wynikających z obowiązujących przepisów o ochronie danych. W zakresie, w jakim Taboola gromadzi dane osobowe dotyczące interakcji w związku z Usługami, robi to jako oddzielna firma.

Strony przyjmują do wiadomości, że mogą Przetwarzać Dane Osobowe oraz że Obowiązujące Przepisy o Ochronie Danych mogą mieć zastosowanie do Przetwarzania Danych Osobowych przez każdą ze stron. W takim przypadku każda ze stron będzie przestrzegać Obowiązujących Przepisów o Ochronie Danych w odniesieniu do przetwarzania przez nią Danych Osobowych. W takim przypadku i z zastrzeżeniem sekcji 7, każda ze stron będzie indywidualnie odpowiedzialna za własną zgodność z Obowiązującymi przepisami o ochronie danych, w tym za wszelkie obowiązujące wymogi dotyczące: (i) zapewnienia przejrzystości Podmiotom danych, (ii) posiadania zgody lub innej zgodnej z prawem podstawy Przetwarzania oraz (iii) udostępnienia punktu kontaktowego, za pośrednictwem którego Podmioty danych mogą wykonywać swoje prawa do ochrony danych. Wydawca niezwłocznie powiadomi Taboola, jeśli i w zakresie, w jakim otrzyma jakiekolwiek żądanie dotyczące praw do ochrony danych dotyczące przetwarzania danych osobowych przez Taboola jako administratora, aby Taboola mogła spełnić żądanie zgodnie ze swoimi obowiązkami wynikającymi z obowiązującego prawa o ochronie danych.

  1. Wydawca będzie kierować wszelkie wnioski o dostęp do danych otrzymane w związku z Usługami Taboola do globalnego portalu wniosków o dostęp do danych Taboola lub na adres US. Portal rezygnacji z praw konsumenta, w stosownych przypadkach.

Jeśli którakolwiek ze Stron otrzyma jakiekolwiek zapytanie, skargę lub korespondencję (“PowiadomienieStrony Trzeciej”) od osoby fizycznej, organu regulacyjnego lub innej strony trzeciej dotyczące przetwarzania Danych Osobowych Podmiotu Danych w związku z Usługami, niezwłocznie poinformuje o tym drugą Stronę, a Strony będą współpracować w dobrej wierze i w zakresie niezbędnym do spełnienia wymogów takiego Powiadomienia Strony Trzeciej.

W przypadku, gdy jedna ze stron dokona Ograniczonego Przekazania Danych Osobowych drugiej stronie, zastosowanie mają postanowienia Załącznika C.

W zakresie, w jakim Taboola gromadzi Dane Osobowe z Właściwości Wydawcy przy użyciu kodu Taboola, pikseli i innych technologii śledzenia, Wydawca będzie (i) przekaże Podmiotom Danych wszystkie wymagane powiadomienia o przejrzystości dotyczące korzystania przez Taboola z kodu Taboola do gromadzenia Danych Osobowych z Właściwości Wydawcy w Dozwolonych Celach oraz (ii) uzyska (i na żądanie Taboola w dowolnym momencie dostarczy odpowiednie dowody) zgodę Podmiotu Danych na takie wykorzystanie kodu Taboola w Dozwolonych Celach, w każdym przypadku zgodnie z wymogami Obowiązujących przepisów o ochronie danych. Obowiązki Wydawcy w tym zakresie obejmują identyfikację Taboola i wykorzystanie przez niego kodu Taboola do Dozwolonych Celów wyraźnie w ramach powiadomień o przejrzystości i monitów o zgodę, które Wydawca udostępnia Podmiotom danych, a także wszelkie inne informacje wymagane przez Obowiązujące przepisy o ochronie danych, tak aby Taboola mogła zgodnie z prawem świadczyć swoje Usługi za pośrednictwem takich Właściwości i przetwarzać Dane osobowe w Dozwolonych Celach. Na pisemne żądanie Taboola przekaże Wydawcy takie informacje, jakich Wydawca może w uzasadniony sposób zażądać na temat kodu Taboola i przetwarzania przez Taboola danych osobowych za pośrednictwem Właściwości Wydawcy, aby Wydawca mógł zapewnić, że jego mechanizmy powiadamiania i wyrażania zgody będą zgodne z obowiązującymi przepisami o ochronie danych. Wydawca wyraźnie zgadza się, że:

  1. w odniesieniu do swoich Właściwości internetowych, Polityka prywatności Wydawcy będzie opisywać wykorzystanie plików cookie, unikalnych identyfikatorów i technologii innych niż pliki cookie przez strony trzecie (tj. Taboola) do celów reklamy opartej na zainteresowaniach i analityki (w ramach Właściwości i poza nimi) oraz będzie zawierać łącze do branżowej strony rezygnacji NAI pod adresem http://www.networkadvertising.org, branżowej strony rezygnacji DAA pod adresem http://www.aboutads.info lub (w odniesieniu do europejskich mediów internetowych i gromadzenia danych) łącze do linku rezygnacji EDAA pod adresem http://www.youronlinechoices.eu, w sposób spełniający wymogi obowiązującego prawa o ochronie danych; oraz
  2. w odniesieniu do Właściwości opartych na aplikacjach mobilnych, Polityka Prywatności Wydawcy powinna opisywać korzystanie w jego aplikacjach mobilnych z zestawów SDK i gromadzenie identyfikatorów reklam mobilnych na potrzeby reklam opartych na zainteresowaniach lub reklam międzyaplikacyjnych i analityki (we Właściwościach i poza nimi); oraz zawierać opis sposobu, w jaki użytkownicy i Odwiedzający mogą zrezygnować z gromadzenia danych mobilnych na potrzeby reklam międzyaplikacyjnych za pomocą ustawień urządzenia.
  3. w odniesieniu do swoich Właściwości skierowanych do UE Wydawca zapewni, że uzyska dobrowolną, konkretną, świadomą i jednoznaczną zgodę Odwiedzających zgodnie z prawem UE dotyczącym prywatności, w odniesieniu do umieszczania lub uzyskiwania dostępu do jakichkolwiek plików cookie Taboola lub innych unikalnych identyfikatorów na urządzeniach Odwiedzających. Wydawca udostępni Odwiedzającym dane kontaktowe (co może obejmować udostępnienie tych danych za pośrednictwem Polityki prywatności), aby mogli oni skontaktować się z Wydawcą w celu skorzystania z przysługujących im praw do ochrony danych (w tym w odniesieniu do Danych osobowych przetwarzanych w związku z Usługami). Powyższe zobowiązania mają zastosowanie w przypadku, gdy Właściwości Wydawcy przyciągają Odwiedzających w jurysdykcjach wymagających mechanizmów zgody w odniesieniu do Usług.

W Okresie Obowiązywania Taboola może przekazać Wydawcy zalecaną politykę prywatności lub język ujawniania informacji. Wydawca przyjmuje do wiadomości, że nie powinien polegać na takich zalecanych sformułowaniach jako na poradach prawnych lub w ich zastępstwie oraz że Wydawca lub Spółka ponoszą wyłączną odpowiedzialność za wszelkie ujawnienia w swojej polityce prywatności lub na swojej stronie internetowej.

Wydawca nie będzie dostarczać ani konfigurować Usług w celu gromadzenia lub ujawniania Taboola w inny sposób jakichkolwiek szczególnych kategorii danych osobowych lub wrażliwych danych osobowych lub danych wrażliwych (zgodnie z definicją zawartą w obowiązującym prawie o ochronie danych) w celu ich przetwarzania. Ponadto Wydawca zapewni, że wszelkie adresy URL stron udostępnione Taboola nie będą zawierały informacji o tytule wideo. Taboola zastrzega sobie prawo do zawieszenia świadczenia Usług w przypadku nieprzestrzegania przez Wydawcę postanowień niniejszego ustępu, chyba że i do czasu usunięcia takiego uchybienia.

Każda ze Stron wdroży odpowiednie techniczne i organizacyjne środki bezpieczeństwa w celu ochrony Danych Osobowych Odwiedzających przed Incydentami Bezpieczeństwa. Środki te obejmują środki określone w załączniku B.

Jeśli którakolwiek ze Stron dozna Incydentu Bezpieczeństwa w odniesieniu do Przetwarzanych przez nią Danych Osobowych, które są przedmiotem Umowy i niniejszych Warunków Prywatności Wydawcy, Strona ta będzie: (i) będzie odpowiedzialna za wypełnienie (na własny koszt) wszelkich obowiązków sprawozdawczych, które mają do niej zastosowanie na mocy Obowiązujących przepisów o ochronie danych, wobec organów ochrony danych i/lub osób, których dane dotyczą, (ii) powiadomi drugą Stronę bez zbędnej zwłoki, (ii) bez zbędnej zwłoki powiadomi drugą Stronę o Incydencie związanym z Bezpieczeństwem, przekazując takie informacje na temat Incydentu związanego z Bezpieczeństwem, jakich druga Strona może w uzasadniony sposób zażądać lub jakie są w inny sposób wymagane, aby druga Strona mogła ustalić, czy może mieć również obowiązki sprawozdawcze wynikające z Obowiązujących przepisów o ochronie danych w odniesieniu do Incydentu związanego z Bezpieczeństwem, oraz (iii) bez zbędnej zwłoki podejmie wszelkie takie działania i środki, jakie są odpowiednie do naprawy i/lub złagodzenia skutków Incydentu związanego z Bezpieczeństwem.

Tam, gdzie i w zakresie wymaganym przez Obowiązujące Przepisy o Ochronie Danych, którym podlega każda ze stron, każda ze stron przeprowadzi ocenę wpływu na ochronę danych w odniesieniu do Przetwarzania Danych Osobowych w Dozwolonych Celach i/lub w razie potrzeby skonsultuje się z odpowiednimi organami ochrony danych. Każda ze stron zapewni wszelką uzasadnioną współpracę i informacje, których zażąda druga strona, jeśli jest to konieczne do umożliwienia drugiej stronie przeprowadzenia oceny wpływu na ochronę danych i/lub konsultacji z właściwymi organami ochrony danych zgodnie z obowiązkami drugiej strony wynikającymi z niniejszej sekcji.

A. LISTA STRON

Każda ze stron jest:

  • administrator danych (i podmiot przekazujący dane) zebranych danych, które ujawnia lub udostępnia drugiej stronie, oraz
  • administrator danych (i podmiot odbierający dane) gromadzonych danych, które otrzymuje od drugiej strony lub do których druga strona udostępnia dostęp.

Szczegóły dotyczące każdej ze stron znajdują się poniżej.

Imię i nazwisko: Zobacz dane Reklamodawcy określone w Umowie.

Adres: Zobacz dane Reklamodawcy określone w Umowie.

Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: Zobacz dane Reklamodawcy określone w Umowie lub w inny sposób uzgodnione między stronami na piśmie.

Działania istotne dla danych przekazywanych na mocy niniejszych klauzul: Odbiór Usług, jak określono w Umowie.

Podpis i data: Niniejszy Załącznik A uznaje się za podpisany po zaakceptowaniu przez Reklamodawcę niniejszych Warunków ochrony prywatności reklamodawców.

Rola (kontroler/procesor): Administrator danych (jeśli jest podmiotem przekazującym dane) i Administrator danych (jeśli jest podmiotem odbierającym dane)

 

Imię i nazwisko: Szczegółowe informacje dotyczące Taboola znajdują się we wstępie do Umowy.

Adres: Szczegółowe informacje dotyczące Taboola znajdują się we wstępie do Umowy.

Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: Zespół ds. prywatności Taboola, privacy@taboola.com.

Działania istotne dla danych przekazywanych na mocy niniejszych klauzul: Świadczenie Usług zgodnie z postanowieniami Umowy.

Podpis i data: Niniejszy Załącznik A uznaje się za wykonany z chwilą zaakceptowania przez Taboola niniejszych Warunków ochrony prywatności reklamodawców.

Rola (kontroler/procesor): Administrator danych (jeśli jest podmiotem przekazującym dane) i Administrator danych (jeśli jest podmiotem odbierającym dane)

 

B. OPIS PRZETWARZANIA I PRZEKAZYWANIA DANYCH 

Kategorie osób, których dane dotyczą, których dane osobowe są przetwarzane i/lub przekazywane: Użytkownicy

Kategorie przetwarzanych i/lub przekazywanych danych osobowych:

Dane urządzenia: System operacyjny, typ przeglądarki, wersja przeglądarki, adres IP (skrócony w ciągu 30 dni) gromadzenia danych, kod pocztowy (uzyskany z adresu IP), zaszyfrowany identyfikator użytkownika Taboola, zaszyfrowane wiadomości e-mail, początkowe i kolejne odwiedziny strony w witrynie reklamodawcy, płeć użytkownika (wywnioskowana na podstawie zainteresowań), sygnały zaangażowania (czas w witrynie, głębokość przewijania, głębokość sesji), dane konwersji.

Dane o zasobach cyfrowych odwiedzonych przez użytkownika: Adres URL odwiedzanej strony, strona odsyłająca

Przekazane dane wrażliwe (jeśli dotyczy) i zastosowane ograniczenia lub zabezpieczenia, które w pełni uwzględniają charakter danych i związane z nimi ryzyko, takie jak na przykład ścisłe ograniczenie celu, ograniczenia dostępu (w tym dostęp tylko dla pracowników, którzy przeszli specjalistyczne szkolenie), prowadzenie rejestru dostępu do danych, ograniczenia dotyczące dalszego przekazywania lub dodatkowe środki bezpieczeństwa: Nie dotyczy.

Częstotliwość przetwarzania i/lub przekazywania danych (np. czy dane są przetwarzane i/lub przekazywane jednorazowo czy w sposób ciągły): Nieprzerwanie przez okres obowiązywania Umowy.

Charakter przetwarzania: Przetwarzanie Danych Osobowych niezbędnych do świadczenia Usług, zgodnie z Umową.

Cel(e) przetwarzania / przekazywania i dalszego przetwarzania danych: Świadczenie Usług zgodnie z postanowieniami Umowy. W celu uniknięcia wątpliwości, Dozwolone Cele obejmują: (i) przechowywanie i/lub uzyskiwanie dostępu do informacji na urządzeniu; (ii) wybieranie podstawowych reklam; (iii) tworzenie spersonalizowanego profilu reklam; (iv) wybieranie spersonalizowanych reklam; (v) tworzenie spersonalizowanego profilu treści; (vi) wybieranie spersonalizowanych treści; (vii) mierzenie wydajności reklam; (viii) mierzenie wydajności treści; (ix) opracowywanie i ulepszanie produktów; (x) zapewnianie bezpieczeństwa, zapobieganie oszustwom i debugowanie; (xi) techniczne dostarczanie reklam lub treści; (xii) dopasowywanie i łączenie źródeł danych offline; (xiii) łączenie różnych urządzeń; (xiv) odbieranie i wykorzystywanie automatycznie wysyłanych cech urządzenia do identyfikacji; (xv) wykorzystywanie ograniczonych danych do wyboru treści oraz (xvi) zrozumienie odbiorców za pomocą statystyk.

Okres, przez który dane osobowe będą przechowywane lub, jeśli nie jest to możliwe, kryteria stosowane do określenia tego okresu:

  • Taboola: Surowe dane są przechowywane przez maksymalnie 13 miesięcy.
  • Reklamodawca: Tak długo, jak jest to konieczne do korzystania z Usług lub w inny sposób określony w Umowie.

W przypadku przekazywania danych (pod)podmiotom przetwarzającym należy również określić przedmiot, charakter i czas trwania przetwarzania: Nie dotyczy.

 

C. WŁAŚCIWY ORGAN NADZORCZY

Właściwy organ nadzorczy w przypadku, gdy zastosowanie ma RODO UE: Właściwy organ nadzorczy dla każdej ze stron został opisany poniżej:

  • Taboola: Właściwy organ nadzorczy zostanie określony zgodnie z klauzulą 13 SCC UE.
  • Reklamodawca: Właściwy organ nadzorczy zostanie określony zgodnie z klauzulą 13 SCC UE.

Właściwy organ nadzorczy w przypadku, gdy zastosowanie ma brytyjskie RODO: Biuro Komisarza ds. Informacji

Opis środków technicznych i organizacyjnych wdrożonych przez każdą ze stron (w tym wszelkie stosowne certyfikaty) w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyka dla praw i wolności osób fizycznych.

Środki pseudonimizacji i szyfrowania danych osobowych: Taboola gromadzi wyłącznie dane pseudonimizowane, co oznacza, że nie wiemy, kim jesteś, ponieważ nie znamy ani nie przetwarzamy imienia i nazwiska, adresu e-mail ani innych danych umożliwiających identyfikację użytkownika. Informacje o użytkowniku, które gromadzimy, obejmują między innymi informacje o urządzeniu i systemie operacyjnym użytkownika, adres IP, strony internetowe, do których użytkownicy uzyskują dostęp w witrynach internetowych naszych klientów, łącze, które doprowadziło użytkownika do witryny internetowej klienta, daty i godziny, w których użytkownik uzyskuje dostęp do witryny internetowej klienta oraz inne dane dotyczące przeglądania stron internetowych. CookieID jest anonimizowany przy użyciu Bcrypt, a adres IP jest skracany.

Środki zapewniające stałą poufność, integralność, dostępność i odporność systemów i usług przetwarzania: Taboola wykorzystuje wiele poziomów bezpieczeństwa elektronicznego (np. bezpieczeństwo punktów końcowych, bezpieczeństwo po stronie serwera, śledzenie wykryć, okresowe testy penetracyjne i dogłębne gromadzenie danych wywiadowczych w celu przeglądu zdarzeń po śmierci).

Środki zapewniające możliwość przywrócenia dostępności i dostępu do danych osobowych w odpowiednim czasie w przypadku incydentu fizycznego lub technicznego: Taboola utrzymuje 9 centrów danych działających na całym świecie. Każde centrum danych jest używane jako replikacja jednego drugiego, więc jeśli jedno z nich ulegnie awarii, dane mogą zostać pobrane z innego centrum danych.

Procesy regularnego testowania, oceny i ewaluacji skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania: Taboola utrzymuje ścisłe procesy testowania skuteczności swoich kontroli (zarówno technicznych, jak i organizacyjnych). Wdrożyliśmy rejestrowanie i monitorowanie systemów, comiesięczne (co najmniej) testy DR, kwartalne testy penetracyjne, zapory ogniowe chroniące sieć i honeypoty rozmieszczone w sieci w celu wykrywania wszelkich złośliwych działań. Co więcej, wdrożyliśmy program bounty, który pomaga nam stale monitorować naszą sieć.

Środki identyfikacji i autoryzacji użytkowników: Każdy użytkownik w Taboola jest powiązany z dedykowaną nazwą użytkownika i hasłem. Każdy dostęp do wewnętrznej sieci Taboola odbywa się za pomocą 2FA przy użyciu uwierzytelniania Google. Użytkownicy są tworzeni wyłącznie przez dział IT, podczas procesu wdrażania i dopiero po otrzymaniu wszystkich szczegółów i podpisanej umowy od działu HR.

Środki ochrony danych podczas transmisji: Taboola obsługuje każdą transmisję danych za pośrednictwem bezpiecznych protokołów transmisji (HTTPS i TLS v1.2 jako minimum). Ponadto systemy, które mogą zawierać PII, są zabezpieczone, a dane są przechowywane w postaci zaszyfrowanej i zanonimizowanej.

Środki ochrony danych podczas przechowywania: Dane przechowywane w naszych bazach danych są anonimizowane i hashowane przy użyciu Bcrypt. Dostęp do bazy danych jest zminimalizowany i oparty na zasadzie “biznes musi wiedzieć”.

Środki zapewniające fizyczne bezpieczeństwo lokalizacji, w których przetwarzane są dane osobowe: Każde z globalnych centrów danych Taboola (w USA, Europie i Azji) ma wszystkie serwery umieszczone w zamkniętych szafkach, które są utrzymywane wyłącznie do użytku Taboola. Szafy te są utrzymywane przez firmy, które posiadają certyfikat SOC2 lub Taboola zweryfikowała ich środki bezpieczeństwa. Ponadto każdy dostęp do serwerów wymaga pisemnej, zarejestrowanej zgody. Wszystkie biura Taboola są również kontrolowane i wymagają od pracowników używania kart dostępu. Ponadto tylko ograniczona liczba pracowników ma dostęp do serwerów Taboola, a każdy dostęp wymaga pisemnej, zarejestrowanej zgody.

Środki zapewniające rejestrowanie zdarzeń: Taboola wdraża narzędzia monitorujące, a logi są gromadzone w naszym systemie SIEM, który ostrzega nas o wszelkich podejrzanych zdarzeniach, a także jest monitorowany przez zespół NOC.

Środki zapewniające konfigurację systemu, w tym konfigurację domyślną: Serwery są skanowane zarówno pod kątem zmian konfiguracji, jak i poziomu poprawek. Raportowanie i/lub alerty są ustawione dla obu i odpowiedni poziom poprawki jest potwierdzony. Nowe poprawki są dystrybuowane przy użyciu Puppet. Wszystkie przeglądy techniczne są zarządzane za pośrednictwem aplikacji R&D i uzyskiwane w ramach formalnego procesu przeglądu (QA) po wdrożeniu procesów kodowania i CI/CD.

Środki wewnętrznego zarządzania i zarządzania bezpieczeństwem IT i IT: Taboola posiada certyfikaty ISO 27001:2013 i 27701. Taboola posiada Politykę Bezpieczeństwa Informacji, która stanowi, że Zarząd i kierownictwo Taboola są zobowiązani do zachowania poufności, integralności i dostępności wszystkich fizycznych i elektronicznych zasobów informacyjnych w całej organizacji. Taboola organizuje szkolenia z bezpieczeństwa dla wszystkich nowych pracowników, szkolenia z phishingu dla wszystkich pracowników na całym świecie oraz regularne szkolenia z bezpieczeństwa dla wszystkich pracowników, a także sesje dedykowane grupom badawczo-rozwojowym.

Środki certyfikacji / zapewnienia procesów i produktów: Kwartalny / półroczny / roczny audyt wewnętrzny wielu procesów i systemów w celu potwierdzenia, że Taboola przestrzega zdefiniowanych celów i środków bezpieczeństwa.

Środki zapewniające minimalizację danych: Taboola celowo ogranicza dane, które gromadzimy w ramach globalnych zasad minimalizacji danych Taboola, polegających na przetwarzaniu tylko ograniczonych danych potrzebnych do naszych konkretnych celów biznesowych. Ponadto Taboola nie ma możliwości ani potrzeby biznesowej “inżynierii wstecznej” żadnego z punktów danych wykorzystywanych w naszym algorytmie w celu świadczenia naszych usług. Mówiąc dokładniej, punkty danych gromadzone przez Taboola nigdy nie wskazują na tożsamość użytkownika – ponieważ Taboola nie gromadzi ani nie przetwarza informacji, takich jak imię i nazwisko użytkownika, numer telefonu, adres e-mail lub adres fizyczny. Zamiast tego Taboola gromadzi tylko pseudonimowe identyfikatory, które jedynie identyfikują cechy urządzenia użytkownika. Obejmuje to adresy IP (które są skracane podczas gromadzenia i mogą identyfikować tylko ogólną lokalizację kodu pocztowego urządzenia, ale nigdy dokładną geolokalizację) oraz, w niektórych ograniczonych przypadkach, zaszyfrowane adresy e-mail (które są z natury nieodwracalne i nie można ich odszyfrować w celu ujawnienia oryginalnego adresu e-mail). Co więcej, nawet w przypadku zbiorowego wykorzystania, gromadzone przez nas dane nigdy nie mogą zawierać imienia i nazwiska, numeru telefonu, adresu e-mail ani adresu fizycznego danej osoby, a nasi inżynierowie nie pracują w żaden sposób, aby osiągnąć ten cel. Ponadto Taboola przeprowadza i rejestruje oceny wpływu na prywatność w celu zminimalizowania ryzyka związanego z prywatnością naszych usług, procesów i zasad.

Środki zapewniające jakość danych: Dane są zbierane bezpośrednio od użytkownika, a użytkownik ma możliwość poprawienia wszelkich danych powiązanych z jego CookieID za pośrednictwem portalu Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access.

Środki zapewniające ograniczone zatrzymywanie danych: Przechowujemy Informacje o użytkowniku, które są bezpośrednio gromadzone w celu wyświetlania reklam, przez co najwyżej trzynaście (13) miesięcy od ostatniej interakcji użytkownika z naszymi Usługami (często przez krótszy okres), po którym to czasie usuwamy dane identyfikujące poprzez usunięcie unikalnych identyfikatorów lub agregację danych. Proces ten odbywa się automatycznie.

Środki zapewniające rozliczalność: Taboola przeprowadza wiele audytów bezpieczeństwa i testów penetracyjnych (ale nie dla wszystkich systemów). Taboola korzysta również z usług dostawców usług w chmurze, którzy posiadają certyfikaty ISO i są zgodni z innymi certyfikatami dotyczącymi chmury w zakresie utrzymania fizycznych zabezpieczeń serwera.

Środki umożliwiające przenoszenie danych i zapewniające ich usunięcie: Taboola związana z usuwaniem mediów jest taka sama dla wszystkich rodzajów mediów, ponieważ mogą one zawierać dane osobowe. Wszelkie nośniki muszą zostać całkowicie wyczyszczone przed ponownym użyciem lub utylizacją. Każda utylizacja nośników jest dokumentowana. Pracownicy są poinstruowani, aby nie drukować żadnych dokumentów, które mogą zawierać dane osobowe.

  1. W zakresie, w jakim strona dokonuje Ograniczonego Transferu Zebranych Danych na rzecz drugiej strony, Standardowe Klauzule Umowne zostaną włączone do niniejszych Warunków Ochrony Prywatności Wydawcy i będą miały zastosowanie w następujący sposób:

a. w przypadku, gdy Ograniczony Transfer jest Ograniczonym Transferem UE, SCC UE będą miały zastosowanie między stronami w następujący sposób:

  1. (i) Zastosowanie ma moduł pierwszy;
  2. (ii) w Klauzuli 7 zastosowanie będzie miała opcjonalna Klauzula dokowania;
  3. (iv) w klauzuli 11 język opcjonalny nie będzie miał zastosowania;
  4. (v) w Klauzuli 17 zastosowanie będzie miała Opcja 1, a SCC UE będą podlegać prawu irlandzkiemu;
  5. (vi) w klauzuli 18(b), spory będą rozstrzygane przed sądami Irlandii;
  6. (vii) części A, B i C Załącznika I uznaje się za wypełnione informacjami określonymi w częściach A, B i C Załącznika A do niniejszych Warunków ochrony prywatności wydawcy; oraz
  7. (vii) Załącznik II uznaje się za uzupełniony o środki bezpieczeństwa określone w Załączniku B do niniejszych Warunków ochrony prywatności wydawców;

b. jeżeli Transfer Zastrzeżony jest Transferem Zastrzeżonym w Zjednoczonym Królestwie, Załącznik Zjednoczonego Królestwa będzie miał zastosowanie między stronami w następujący sposób:

(i) SCC UE, wypełnione w sposób określony powyżej, będą miały zastosowanie między stronami i będą modyfikowane przez Uzupełnienie brytyjskie (wypełnione w sposób określony w podpunkcie (ii) poniżej); oraz

(ii) tabele 1-3 uzupełnienia dotyczącego Zjednoczonego Królestwa uznaje się za wypełnione odpowiednimi informacjami z SCC UE, wypełnionymi zgodnie z powyższym, a opcje “Eksporter” i “Importer” uznaje się za zaznaczone w tabeli 4. Data rozpoczęcia obowiązywania Dodatku brytyjskiego (określona w tabeli 1) jest datą wejścia w życie niniejszych Warunków ochrony prywatności wydawcy.

2. Przelewy z ograniczeniami do przodu: Żadna ze stron nie dokona dalszego Zastrzeżonego Transferu Zebranych Danych, które otrzyma od drugiej strony, chyba że wykona wszystkie czynności i działania niezbędne do zapewnienia, że taki dalszy Zastrzeżony Transfer jest zgodny z Obowiązującym Prawem Ochrony Danych i wszelkimi Standardowymi Klauzulami Umownymi, które uzgodniła z drugą stroną.