Adendo de Proteção de Dados para Parceiros RTB e Programáticos
Last Update: May 29, 2024
Adendo de Proteção de Dados para Parceiros RTB e Programáticos
Data de Vigência: 29 de maio de 2024
Para garantir que a Taboola tenha termos de proteção de dados adequados com nossos parceiros programáticos e RTB (cada um deles um “Parceiro”) A Taboola fornece este Adendo de Proteção de Dados (o “DPA”).
Este DPA complementa automaticamente e faz parte do acordo comercial existente entre o Parceiro e a Taboola relativo à prestação de serviços RTB e programáticos (“Contrato Subjacente”).
Todos os termos em maiúsculas usados neste DPA, mas não definidos neste DPA, terão os significados atribuídos a eles no Contrato Base. Em caso de conflito entre este DPA e o Contrato Base, este DPA prevalecerá na medida desse conflito.
1. Definições
“Leis de proteção de dados aplicáveis” significa todas as leis federais, nacionais, estaduais ou outras leis de privacidade e proteção de dados aplicáveis, conforme alteradas ou substituídas de tempos em tempos, incluindo, se aplicável e sem limitação, o CCPA (conforme definido abaixo) e as Leis Europeias de Proteção de Dados.
“CCPA” significa a Lei de Privacidade do Consumidor da Califórnia (Cal. Civ. Código §§ 1798.100 – 1798.199), conforme alterada pela Lei de Direitos de Privacidade da Califórnia (Cal. Civ. Código §§ 1798.100 – 1798.199).
“Controlador” significa uma entidade que determina os fins e os meios do processamento de Informações Pessoais, e inclui qualquer entidade que processe Informações Pessoais como um “negócio” ou “terceiro” sob a CCPA e a CPRA.
“Quadro de Privacidade de Dados” ou “QPD” significa o EU-U.S. Estrutura de Privacidade de Dados e a Extensão do Reino Unido para a UE-EUA DPF conforme estabelecido pelos EUA Departamento do Comércio.
“Leis Europeias de Proteção de Dados” significa Leis de Proteção de Dados da UE e Leis de Proteção de Dados do Reino Unido.
“Leis de Proteção de Dados da UE” significa: (i) Regulamento da UE 2016/679 (o “RGPD da UE“); (ii) Diretiva da UE 2002/58/CE; e (iii) as leis nacionais de cada Estado-Membro do EEE criadas sob, de acordo com, ou que implementam (i) ou (ii), ou que de outra forma se relacionam com o processamento de dados pessoais; em cada caso, conforme alterado ou substituído de tempos em tempos.
“Informações Pessoais” significa qualquer informação relativa a uma pessoa singular identificada ou identificável, e inclui qualquer informação definida como “dados pessoais” ou “informações pessoais” conforme definido sob as Leis de Proteção de Dados Aplicáveis.
“Propósito permitido” significa os fins de licitação em tempo real, relacionados à compra e venda de anúncios online de acordo com o Contrato Subjacente, para os quais a Taboola divulga ou disponibiliza de outra forma os Dados Compartilhados ao Parceiro para processamento, conforme estabelecido no Anexo I.
“Transferência restrita” significa: (i) quando a EU GDPR se aplica, uma transferência de dados pessoais do EEE para um país fora do EEE que não esteja sujeito a uma determinação de adequação pela Comissão Europeia (uma “Transferência restrita da UE“); e (ii) quando a UK GDPR se aplica, uma transferência de dados pessoais do Reino Unido para qualquer outro país que não esteja sujeito ou baseado em regulamentos de adequação de acordo com a Seção 17A da Lei de Proteção de Dados do Reino Unido de 2018 (uma “Transferência restrita do Reino Unido“).
“Incidente de Segurança” significa uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a Dados Compartilhados.
“Vender” e ”compartilhar” terá os significados estabelecidos na CCPA e na CPRA e em suas regulamentações de implementação.
“Dados Compartilhados” significa as categorias de Informações Pessoais listadas no Anexo I deste DPA.
“Standard Contractual Clauses” significa: (i) quando o RGPD da UE se aplica, as cláusulas contratuais anexas à Decisão de Execução 2021/914 da Comissão Europeia, de 4 de junho de 2021, sobre standard contractual clauses para a transferência de dados pessoais para países terceiros, nos termos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (“EU SCCs”); e (ii) quando o RGPD do Reino Unido se aplica, o “Adendo de Transferência Internacional de Dados para as Standard Contractual Clauses da Comissão da UE” emitido pelo Comissário de Informações nos termos do artigo 119A(1) da Lei de Proteção de Dados de 2018 (“UK Addendum”).
“Leis de Proteção de Dados do Reino Unido” significa: (i) o RGPD da UE, na medida em que faz parte da legislação do Reino Unido em virtude da seção 3 da Lei da União Europeia (Saída) de 2018 (o “RGPD do Reino Unido“); (ii) o Regulamento de Privacidade e Comunicações Eletrônicas (Diretiva CE) de 2003; (iii) a Lei de Proteção de Dados de 2018; e (iv) quaisquer outras leis no Reino Unido criadas sob, de acordo com, ou que implementem (i) ou (ii), ou que de outra forma se relacionem com o processamento de dados pessoais; em cada caso, conforme alterado ou substituído periodicamente.
2. Divulgação de dados
Sujeito à conformidade do Parceiro com o Acordo Base e este DPA, a Taboola divulgará ou disponibilizará de outra forma os Dados Partilhados ao Parceiro para que este os processe estritamente para o Propósito Permitido.
3. Relação entre as partes
As partes reconhecem que a Taboola é um responsável pelo tratamento dos Dados Partilhados que divulga ao Parceiro, e que o Parceiro processará os Dados Partilhados como responsável pelo tratamento estritamente para o Propósito Permitido.
4. Obrigações do Parceiro
O Parceiro garante, declara e compromete-se a:
(a) processará os Dados Compartilhados apenas para o Propósito Permitido e em conformidade com as Leis de Proteção de Dados Aplicáveis;
(b) não tem motivos para acreditar que as Leis de Proteção de Dados Aplicáveis impeçam o cumprimento de suas obrigações em relação ao Processamento dos Dados Compartilhados para o Propósito Permitido;
(c) se o Parceiro determinar que é incapaz de Processar os Dados Compartilhados para o Propósito Permitido em conformidade com as Leis de Proteção de Dados Aplicáveis, notificará prontamente a Taboola;
(d) deve apresentar e manter em seu site um aviso de privacidade acessível ao público que esteja em conformidade com os requisitos das Leis de Proteção de Dados Aplicáveis e que forneça os dados de contato onde os titulares dos dados possam fazer perguntas relacionadas à proteção de dados;
(e) deve permitir que os titulares dos dados exerçam seus direitos de proteção de dados em conformidade com as Leis de Proteção de Dados Aplicáveis, incluindo (sem limitação) seu direito de se opor ao processamento de seus Dados Compartilhados;
(f) em relação a qualquer processamento de Dados Compartilhados que seja protegido sob as Leis Europeias de Proteção de Dados, deve:
(g) processar os Dados Compartilhados apenas quando tiver consentimento para fazê-lo, de acordo com os requisitos das Leis Europeias de Proteção de Dados; e
(h) deve implementar medidas técnicas e organizacionais apropriadas, incluindo, no mínimo, as medidas estabelecidas no Anexo II, para proteger os Dados Compartilhados de e contra um Incidente de Segurança.
5. Passos Razonáveis e Apropriados
A Taboola pode tomar medidas razoáveis e apropriadas para garantir que o Parceiro processe os Dados Compartilhados de acordo com o Contrato Base e este DPA de maneira consistente com as Leis de Proteção de Dados Aplicáveis.
Se o Parceiro não estiver em conformidade com o Contrato Base, este DPA ou com as Leis de Proteção de Dados Aplicáveis, a Taboola tomará medidas razoáveis e apropriadas para interromper e corrigir o uso não autorizado dos Dados Compartilhados (incluindo a suspensão ou a rescisão da divulgação dos Dados Compartilhados ao Parceiro).
6. Conformidade com a Lei Aplicável
O Parceiro deve cumprir as Leis de Proteção de Dados Aplicáveis e fornecer o mesmo nível de proteção de privacidade aos Dados Compartilhados conforme exigido pelas Leis de Proteção de Dados Aplicáveis.
7. Dever de cooperação
No caso de qualquer das partes receber qualquer correspondência, consulta ou reclamação de um titular de dados, regulador ou outro terceiro (“Correspondência“) relacionada a (a) a divulgação dos Dados Compartilhados para o Propósito Permitido; ou (b) o processamento dos Dados Compartilhados pela outra parte, ela deve informar prontamente a outra parte, fornecendo todos os detalhes da mesma, e as partes devem cooperar de forma razoável e de boa fé para responder à Correspondência de acordo com quaisquer requisitos da Lei de Proteção de Dados Aplicável.
8. Transferências restritas da UE e do Reino Unido
Na medida em que qualquer transferência de Dados Compartilhados da Taboola para o Parceiro seja uma Transferência Restrita, as Standard Contractual Clauses serão incorporadas a este DPA e aplicadas da seguinte forma:
(a) quando a Transferência Restrita for uma Transferência Restrita da UE, as EU SCCs serão aplicadas entre a Taboola (como exportadora de dados) e o Parceiro (como importador de dados) da seguinte forma:
(i) o Módulo Um será aplicado;
(ii) na Cláusula 7, a Cláusula de acoplamento opcional será aplicada;
(iii) na Cláusula 11, a linguagem opcional não se aplica;
(iv) na Cláusula 17, a Opção 1 se aplica e as EU SCCs serão regidas pela lei irlandesa;
(v) na Cláusula 18(b), as disputas serão resolvidas perante os tribunais da Irlanda;
(vi) no Anexo I:
(A) as Partes A e B serão consideradas preenchidas com as informações estabelecidas no Anexo A deste DPA;
(B) a Parte C será considerada preenchida de acordo com os critérios estabelecidos na Cláusula 13(a) das EU SCCs; e
(vii) o Anexo II será considerado preenchido com as medidas de segurança estabelecidas no Anexo B deste DPA.
(b) quando a Transferência Restrita for uma Transferência Restrita do Reino Unido, o UK Addendum se aplicará entre as partes da seguinte forma:
(i) as EU SCCs, preenchidas conforme estabelecido acima, se aplicarão entre as partes e serão modificadas pelo UK Addendum (preenchido conforme estabelecido na subcláusula (ii) abaixo); e
(ii) as tabelas 1 a 3 do UK Addendum serão consideradas preenchidas com as informações relevantes das EU SCCs, preenchidas conforme estabelecido acima, e as opções “Exportador” e “Importador” serão consideradas marcadas na tabela 4. A data de início do UK Addendum (conforme estabelecido na tabela 1) será a data efetiva deste DPA.
O Parceiro não realizará uma Transferência Restrita de Dados Compartilhados para terceiros, a menos que tenha realizado todos os atos e procedimentos necessários para garantir que a Transferência Restrita esteja em conformidade com a Lei de Proteção de Dados Aplicável e quaisquer Standard Contractual Clauses que tenha executado com a Taboola.
Não obstante o acima exposto, se o Parceiro tiver certificado e estiver em conformidade com a DPF, as transferências de Dados Compartilhados para o Parceiro realizadas sob a DPF não serão uma Transferência Restrita. Nesse caso, o Parceiro notificará imediatamente a Taboola se não cumprir sua certificação DPF ou se sua certificação DPF expirar ou for de outra forma invalidada, caso em que:
(a) quaisquer transferências de Dados Compartilhados da Taboola para o Parceiro serão imediatamente consideradas uma Transferência Restrita e as disposições de Transferência Restrita acima se aplicarão; e
(b) a Taboola poderá, a seu exclusivo critério, optar por suspender ou encerrar as transferências de Dados Compartilhados para o Parceiro sem penalidade.
9. Indenização
O parceiro deve defender a Taboola e seus diretores, executivos, funcionários, agentes e clientes (os “Indemnizações da Taboola”) de e contra quaisquer e todas as reivindicações, demandas, processos, procedimentos e ações movidas por terceiros relacionados a uma alegação de que o Parceiro violou este DPA ou as Leis de Proteção de Dados Aplicáveis e indenizará as Indenizações da Taboola por todos os danos, perdas, custos e despesas (incluindo honorários advocatícios razoáveis) incorridos pelos Indenizados da Taboola decorrentes ou resultantes de tal reivindicação.
10. Diversos
O Parceiro é o único responsável por sua própria conformidade com as Leis de Proteção de Dados Aplicáveis em seu processamento dos Dados Compartilhados.
Em caso de alterações nas Leis de Proteção de Dados Aplicáveis, a Taboola poderá alterar e atualizar este DPA quando e na medida do necessário para cumprir tais alterações nas Leis de Proteção de Dados Aplicáveis.
Com efeito a partir da data de entrada em vigor deste DPA, as referências ao “Contrato” neste DPA ou no Contrato Subjacente significarão o Contrato Subjacente, conforme complementado por este DPA.
ANNEX I
Descrição do Compartilhamento de Dados
A. LISTA DE PARTES
| Taboola - Data exporter(s) | |
|---|---|
| Name: | See Taboola’s details set out in the Underlying Agreement. |
| Address: | See Taboola’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | privacy@taboola.com |
| Activities relevant to the data transferred under these Clauses: | Disclosure of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
| Partner - Data importer: | |
|---|---|
| Name: | See Partner’s details set out in the Underlying Agreement. |
| Address: | See Partner’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | See Partner’s details set out in the Underlying Agreement. |
| Activities relevant to the data transferred under these Clauses: | Receipt and processing of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
B. DESCRIÇÃO DA TRANSFERÊNCIA
| Description of Transfer | |
|---|---|
| Categories of data subjects whose personal data is transferred | Visitors to digital properties (such as websites and mobile applications) owned by customers of Taboola and who have integrated Taboola’s advertising technologies on those properties. |
| Categories of personal data transferred | Pre-partnership Integration: Unique User IDs from RTB partners Cookie match / sync / table (either Taboola or Partner can host and the non-hosting party must share data points) Bid request includes: Unique ID of the bid request (provided by the exchange) IMP object representing the impression offered Publisher site or app represented App Device Auction Type Maximum Time Currency Blocked Categories Device ID Taboola User ID Calling Tag Partners: URL |
| Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures | Not applicable. |
| The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis) | Continuous for the duration of the Underlying Agreement. |
| Nature of the processing | Processing of Shared Data by Partner for the purposes of real-time bidding in order to buy and sell advertising inventory on digital properties of Taboola’s customers. |
| Purpose(s) of the data transfer and further processing | Partner processes Shared Data, for the following purposes: Serve personalized and behavioral recommendations. Determine whether to bid on a placement and serve personalized recommendations. |
| The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period | For the duration of the Underlying Agreement and as otherwise required by applicable law. |
| For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing | Not applicable. |
C. AUTORIDADE SUPERVISORA COMPETENTE
| Competent Supervisory Authority | |
|---|---|
| Competent supervisory authority where the EU GDPR applies | The competent supervisory authority shall be determined in accordance with Clause 13 of Module 1 of the EU Standard Contractual Clauses. |
| Competent supervisory authority where the UK GDPR applies | The Information Commissioner’s Office |
ANNEX II
Medidas de Segurança
Descrição das medidas técnicas e organizacionais implementadas por cada parte (incluindo quaisquer certificações relevantes) para garantir um nível adequado de segurança, levando em conta a natureza, o âmbito, o contexto e a finalidade do tratamento, bem como os riscos para os direitos e liberdades das pessoas singulares. O Parceiro declara e garante que possui medidas técnicas e organizacionais adequadas substancialmente semelhantes às medidas de segurança da Taboola indicadas abaixo.
Medidas de pseudonimização e criptografia de dados pessoais: A Taboola coleta apenas dados pseudonimizados, o que significa que não sabemos quem você é, pois não conhecemos ou processamos o nome do usuário, o endereço de e-mail ou outros dados identificáveis. As informações do usuário que coletamos incluem, mas não se limitam a, informações sobre o dispositivo e o sistema operacional do usuário, endereço IP, as páginas da web acessadas pelos usuários nos sites de nossos clientes, o link que levou um usuário ao site de um cliente, as datas e horários em que um usuário acessa o site de um cliente e outros dados de navegação na web. O CookieID é anonimizado usando Bcrypt e o endereço IP é truncado.
Medidas para garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento: A Taboola utiliza vários níveis de segurança eletrônica (ex.: segurança de ponto final, segurança do lado do servidor, rastreamento de detecções, testes de penetração periódicos e coleta de inteligência profunda para revisar eventos pós-morte).
Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil em caso de um incidente físico ou técnico: A Taboola mantém 9 centros de dados em funcionamento em todo o mundo. Cada centro de dados é utilizado como uma réplica de outro, para que, se um deles falhar, os dados possam ser extraídos de outro centro de dados.
Processos para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais, a fim de garantir a segurança do processamento: A Taboola mantém processos rigorosos para testar a eficácia dos seus controlos (técnicos e organizacionais). Temos registo e monitorização de sistemas, testes de recuperação de desastres mensais (no mínimo), testes de penetração trimestrais, firewalls que protegem a web e honeypots espalhados pela rede para encontrar qualquer atividade maliciosa. Além disso, temos um programa de recompensas que nos ajuda a monitorizar constantemente a nossa rede.
Medidas de identificação e autorização do usuário: Cada utilizador da Taboola está associado a um nome de utilizador e palavra-passe dedicados. Todos os acessos à rede interna da Taboola são feitos com 2FA utilizando a autenticação do Google. Os utilizadores são criados apenas pelo departamento de TI, durante o processo de integração e apenas após receber todos os detalhes e o contrato assinado do departamento de Recursos Humanos.
Medidas para a proteção de dados durante a transmissão: A Taboola suporta qualquer transmissão de dados por meio de protocolos de transmissão seguros (HTTPS e TLS v1.2 no mínimo). Além disso, os sistemas que podem conter PII são protegidos e os dados são mantidos em formato hash e anonimizados.
Medidas para a proteção de dados durante o armazenamento: Os dados armazenados em nossos bancos de dados são anonimizados e em formato hash usando Bcrypt. O acesso ao banco de dados é minimizado e baseado de acordo com o princípio de “necessidade de saber para os negócios”.
Medidas para garantir a segurança física dos locais onde os dados pessoais são processados: Cada um dos centros de dados globais da Taboola (nos EUA, Europa e Ásia) tem todos os seus servidores localizados em gabinetes trancados que são mantidos exclusivamente para uso da Taboola. Esses gabinetes são mantidos por empresas que são certificadas pela SOC2 ou que a Taboola revisou suas medidas de segurança. Além disso, qualquer acesso aos servidores requer permissão por escrito e registrada. Todos os escritórios da Taboola também são controlados e exigem que os funcionários usem cartões de acesso para entrar. Além disso, apenas um número limitado de funcionários tem acesso aos servidores da Taboola e qualquer acesso também requer permissão por escrito e registrada.
Medidas para garantir o registro de eventos: A Taboola implementa ferramentas de monitoramento e os registros são coletados em nosso sistema SIEM, que nos alerta sobre qualquer evento suspeito e também é monitorado pela equipe NOC.
Medidas para garantir a configuração do sistema, incluindo a configuração padrão: Os servidores são verificados quanto a desvios de configuração e nível de correção. Relatórios e/ou alertas são configurados em ambos e o nível de correção relevante é confirmado. Novas correções são distribuídas usando o Puppet. Todas as revisões técnicas são gerenciadas por meio do aplicativo de P&D e obtidas por meio de um processo formal de revisão (QA) após a codificação e a implementação dos processos de CI/CD também.
Medidas para governança e gestão internas de TI e segurança da informação: A Taboola é certificada pela ISO/IEC 27001:2013 e ISO/IEC 27701:2019. A Taboola possui uma Política de Segurança da Informação que estabelece que o Conselho de Administração e a gestão da Taboola estão empenhados em preservar a confidencialidade, integridade e disponibilidade de todos os ativos de informação físicos e eletrónicos em toda a sua organização. A Taboola realiza formações em segurança para todos os novos funcionários, formações em phishing para todos os funcionários a nível global e formações regulares em segurança para todos os funcionários, além de dedicar sessões aos grupos de I&D.
Medidas para certificação/garantia de processos e produtos: Auditorias internas trimestrais/semestrais/anuais em vários processos e sistemas para validar que a Taboola está em conformidade com os seus objetivos e medidas de segurança definidos.
Medidas para garantir a minimização de dados: A Taboola limita intencionalmente os dados que recolhe como parte dos princípios globais de minimização de dados da Taboola, processando apenas os dados limitados necessários para os nossos propósitos comerciais específicos. Além disso, a Taboola não tem a capacidade, nem qualquer necessidade comercial, de “desfazer” qualquer um dos pontos de dados utilizados no nosso algoritmo para prestar os nossos serviços. Mais especificamente, os pontos de dados que a Taboola recolhe nunca são indicativos da identidade de um utilizador — uma vez que a Taboola não recolhe nem processa informações como o nome do utilizador, número de telefone, e-mail ou endereços físicos. Em vez disso, a Taboola recolhe apenas identificadores pseudónimos, que apenas identificam características sobre o dispositivo de um utilizador. Isso inclui endereços IP (que são truncados na coleta e só podem identificar a localização geral do código postal do dispositivo, mas nunca uma geolocalização precisa) e, em alguns casos limitados, endereços de e-mail em formato hash (que são inerentemente irreversíveis e não podem ser descriptografados para revelar o endereço de e-mail original). Além disso, mesmo quando usados coletivamente, os dados que coletamos nunca podem produzir o nome, número de telefone, e-mail ou endereço físico de um indivíduo, e nossos engenheiros não trabalham de forma alguma para alcançar esse objetivo. Além disso, a Taboola faz e registra avaliações de impacto na privacidade em um esforço para minimizar os riscos à privacidade de nossos serviços, processos e políticas.
Medidas para garantir a qualidade dos dados: Os dados são coletados diretamente do usuário e o usuário tem a oportunidade de corrigir quaisquer dados associados ao seu CookieID por meio do Portal de Solicitação de Acesso do Assunto Taboola: https://accessrequest.taboola.com/access
Medidas para garantir a retenção limitada de dados: Retenhamos as informações do usuário, que são coletadas diretamente para fins de veiculação de anúncios, por no máximo treze (13) meses a partir da última interação do usuário com nossos serviços (muitas vezes por um período de tempo mais curto), após o que desidentificamos os dados, removendo identificadores únicos ou agregando os dados. Esse processo é feito automaticamente.
Medidas para garantir a prestação de contas: A Taboola realiza várias auditorias de segurança e testes de penetração (mas não para todos os sistemas). A Taboola também utiliza fornecedores de nuvem que são certificados pela ISO e que cumprem outras certificações relevantes para a nuvem, para manter as salvaguardas físicas de um servidor.
Medidas para permitir a portabilidade de dados e garantir a exclusão: A Taboola está relacionada à eliminação de mídia, o mesmo vale para todo tipo de mídia, pois ela pode conter informações de identificação pessoal. Qualquer mídia deve ser totalmente apagada antes de ser reutilizada ou descartada. A eliminação de qualquer mídia é documentada. Os funcionários são instruídos a não imprimir nenhum papel que possa conter informações pessoais.