Termenii de confidențialitate pentru agenții de publicitate

Last Update: November 14, 2025

Data intrării în vigoare:  14 august 2023

Acești Termeni de confidențialitate pentru agenții de publicitate Taboola („Termeni de confidențialitate pentru agenții de publicitate”) se aplică serviciilor de publicitate digitală ale Taboola, cum ar fi atunci când Taboola distribuie conținutul agentului de publicitate prin intermediul platformei sale de distribuție, Taboola Dynamic Creative Optimization (DCO) sau GenAI Landing Page în conformitate cu un acord între Taboola și un agent de publicitate („Acord”), iar acești Termeni de confidențialitate pentru agenții de publicitate se consideră încorporați în orice astfel de acord și fac parte integrantă din acesta.  Acești Termeni de confidențialitate pentru agenții de publicitate identifică rolurile și responsabilitățile Taboola și ale agentului de publicitate în ceea ce privește datele cu caracter personal.

În cazul unui conflict între Termenii de confidențialitate ai agentului de publicitate și Acord, Termenii de confidențialitate ai agentului de publicitate vor prevala în măsura conflictului, cu excepția cazului în care dispoziția în conflict din Acord face trimitere în mod expres la dispoziția în conflict din acești Termeni de confidențialitate ai agentului de publicitate și specifică faptul că prevalează asupra acelei dispoziții în conflict.

Termenii definiți în această secțiune vor avea semnificațiile prezentate mai jos, iar termenii conexe vor fi interpretați în consecință. Termenii scriși cu majuscule utilizați, dar care nu sunt definiți în Termenii de confidențialitate ai agentului de publicitate vor avea semnificațiile definite în Acord.

      1. Legile aplicabile privind protecția datelor” înseamnă orice legi federale, naționale, de stat sau alte legi privind confidențialitatea și protecția datelor care se aplică prelucrării care face obiectul acordului și al acestor termeni pentru agenți de publicitate, care pot fi modificate sau înlocuite periodic.
      2. Date colectate„înseamnă datele cu caracter personal pe care fiecare parte le colectează de la persoanele vizate pe sau prin intermediul serverelor sau rețelelor lor (inclusiv toate datele colectate pasiv sau care pot fi citite de mașină, cum ar fi datele bazate pe tipul de browser și pe identificatorii dispozitivelor) în legătură cu furnizarea sau primirea Serviciilor.
      3. Controler” înseamnă: (i) o entitate care stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal și (ii) orice persoană care intră sub incidența termenului „operator” (sau orice termen substanțial analog) astfel cum este definit în legislația aplicabilă privind protecția datelor.
      4. Legea privind confidențialitatea din California„înseamnă Legea privind confidențialitatea consumatorilor din California din 2018, Cal. Codul civil § 1798.100 și urm. („CCPA”), astfel cum a fost modificat (inclusiv prin California Privacy Rights Act) și orice legislație secundară și reglementări de punere în aplicare.
      5. Persoana vizată” înseamnă: (i) o persoană fizică identificată sau identificabilă (și, în acest scop, o persoană fizică identificabilă este una care poate fi identificată, direct sau indirect, în special prin referire la un identificator, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, mentale, economice, culturale sau sociale a acelei persoane fizice) și (ii) orice persoană care intră sub incidența termenului „persoana vizată”, „consumator” (sau orice termen substanțial analog) definit în conformitate cu Legile privind protecția datelor.
      6. Legea privind protecția datelor din EU” înseamnă: (i) Regulamentul general privind protecția datelor al EU (Regulamentul 2016/679) („GDPR EU”); (ii) Directiva EU privind confidențialitatea online (Directiva 2002/58/CE); și (iii) orice legi naționale privind protecția datelor adoptate în temeiul sau în conformitate cu (i) sau (ii), fiecare în măsura în care sunt modificate sau înlocuite periodic.
      7. Scopuri permise„are sensul dat în secțiunea 3.
      8. Date cu caracter personal„înseamnă orice informație referitoare la o persoană vizată (inclusiv, atunci când este solicitat de Legea aplicabilă privind protecția datelor, identificatori unici de browser sau dispozitiv), astfel cum este prevăzut în anexa A, partea B.
      9. Proces„înseamnă orice operațiune sau set de operațiuni care se efectuează asupra Datelor cu Caracter Personal sau asupra unor seturi de Date cu Caracter Personal, indiferent dacă sunt sau nu automatizate, cum ar fi colectarea, primirea, înregistrarea, organizarea, structurarea, utilizarea, transmiterea, accesul, partajarea, divulgarea, transferul, stocarea, adaptarea sau modificarea, recuperarea, consultarea, difuzarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, agregarea, inferarea, derivarea, analiza, restricționarea, ștergerea, distrugerea sau eliminarea sau alte manipulări ale Datelor cu Caracter Personal, inclusiv modul în care acest termen este definit în conformitate cu Legea aplicabilă privind protecția datelor.
      10. Procesor” înseamnă: (i) o entitate care prelucrează datele cu caracter personal în numele unui operator și (ii) orice persoană care intră sub incidența termenului „procesator” (sau orice termen substanțial analog) astfel cum este definit în legislația aplicabilă privind protecția datelor.
      11. Transfer restricționat„înseamnă: (i) în cazul în care se aplică EU GDPR privind protecția datelor, un transfer de date cu caracter personal din SEE către o țară din afara SEE care nu face obiectul unei decizii de adecvare a Comisiei Europene („Transfer restricționat EU“); și (ii) în cazul în care se aplică UK GDPR, un transfer de date cu caracter personal din UK către orice altă țară care nu face obiectul unor reglementări privind caracterul adecvat sau care nu se bazează pe acestea, în conformitate cu secțiunea 17A din Legea privind protecția datelor din UK din 2018 („Transfer restricționat în UK“).
      12. Vânzare” și „Vinde” înseamnă schimbul de date personale în schimbul unei compensații bănești sau de altă natură și includ modul în care sunt definite aceste termeni în conformitate cu legislația aplicabilă privind protecția datelor.
      13. „Servicii” înseamnă serviciile furnizate de Taboola în temeiul Acordului cu Agenția de publicitate.
      14. Incident de securitate„înseamnă o încălcare a securității care duce la distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul la datele cu caracter personal.
      15. Standard Contractual Clauses” înseamnă: (i) în cazul în care se aplică EU GDPR privind protecția datelor (GDPR), clauzele contractuale anexate Deciziei de punere în aplicare 2021/914 a Comisiei Europene din 4 iunie 2021 privind standard contractual clauses pentru transferul de date cu caracter personal către țări terțe în conformitate cu Regulamentul (EU) 2016/679 al Parlamentului European și al Consiliului („EU SCCs”); și (ii) în cazul în care se aplică Regulamentul privind protecția datelor din UK GDPR, „Addendumul privind transferul internațional de date la Standard Contractual Clauses ale Comisiei EU” emis de Comisarul pentru informații în temeiul articolului 119A alineatul (1) din Legea privind protecția datelor din 2018 („UK Addendum”).
      16. Terță parte” înseamnă o entitate care acționează în calitate de operator în ceea ce privește datele cu caracter personal și care nu este entitatea cu care persoana vizată ale cărei date cu caracter personal sunt prelucrate a interacționat în mod intenționat; termenul include modul în care este definit un astfel de termen în conformitate cu legislația aplicabilă privind protecția datelor.
      17. Legea privind protecția datelor din UK” înseamnă: (i) Legea privind protecția datelor din UK din 2018, (ii) UK GDPR (conform definiției de la articolul 3 alineatul (10) din Legea privind protecția datelor din UK din 2018) („UK GDPR”), (iii) Regulamentele din 2003 privind confidențialitatea și comunicațiile electronice (Directiva CE) din UK și (iv) orice alte legi din UK adoptate în temeiul sau în conformitate cu (i), (ii) sau (iii), fiecare fiind modificată sau înlocuită periodic.

Fiecare parte va prelucra datele colectate pe care le colectează sau le primește de la cealaltă parte în scopurile stabilite în anexa A, partea B („Scopuri permise”).  Agentul de publicitate este de acord ca Taboola să prelucreze datele colectate conform politicii de confidențialitate a Taboola (care, pentru evitarea oricăror îndoieli, va fi, de asemenea, un scop permis pentru Taboola).

În măsura în care datele colectate se califică drept date cu caracter personal sau conțin date cu caracter personal în conformitate cu legile aplicabile privind protecția datelor, fiecare parte va prelucra datele colectate pe care le colectează sau le primește de la cealaltă parte în calitate de operator (ceea ce poate include, în cazul în care se aplică legea privind confidențialitatea din California, în calitate de terță parte, după caz).  Dezvăluirile (fie că este vorba de un transfer sau prin intermediul unei părți care pune datele la dispoziția celeilalte părți) de date colectate sau de date cu caracter personal de la o parte la cealaltă sunt dezvăluiri către terți.

      1. În cazul în care legea privind protecția datelor din SUA sau dintr-un stat american se aplică datelor colectate, inclusiv, dar fără a se limita la legea privind confidențialitatea din California, în măsura în care pixelii Realize (fost numiți „pixeli Taboola”) utilizați în legătură cu serviciile procesează date cu caracter personal despre un vizitator, Taboola acționează în calitate de terță parte pentru agentul de publicitate pentru astfel de date cu caracter personal. Taboola va prelucra aceste date cu caracter personal în scopurile permise. Aceste date cu caracter personal sunt puse la dispoziția Taboola doar în scopurile permise.  Taboola va oferi același nivel de protecție a confidențialității, așa cum este cerut de către legislația aplicabilă privind protecția datelor din SUA, inclusiv, dacă este cazul, de legislația privind confidențialitatea din California. Taboola va informa agentul de publicitate în perioada de timp cerută de legislația aplicabilă privind protecția datelor, dacă Taboola constată că nu mai poate respecta obligațiile care îi revin în temeiul legislației aplicabile privind protecția datelor. După notificarea către Taboola, agentul de publicitate are dreptul să ia măsuri rezonabile și adecvate pentru a opri și remedia utilizarea neautorizată a datelor cu caracter personal pe care le pune la dispoziția Taboola.

Părțile recunosc că unele sau toate datele colectate pot fi considerate date cu caracter personal sau pot include astfel de date și, prin urmare, că legislația aplicabilă privind protecția datelor se poate aplica prelucrării de către fiecare parte a datelor colectate.  În acest caz și sub rezerva secțiunii 7, fiecare parte este responsabilă individual pentru respectarea legislației aplicabile privind protecția datelor, inclusiv a oricăror cerințe aplicabile de a: (i) oferi transparență persoanelor vizate, (ii) obține consimțământul sau un alt temei juridic pentru prelucrare și (iii) pune la dispoziție un punct de contact prin care persoanele vizate își pot exercita drepturile privind protecția datelor.

În cazul în care una dintre părți efectuează un transfer restricționat de date colectate către cealaltă parte, se aplică dispozițiile anexei C.

a. Taboola utilizează Realize Pixels pentru a furniza Serviciile.  Fără a aduce atingere secțiunii 5, în măsura în care Taboola colectează Date colectate de la proprietățile digitale ale agentului de publicitate (cum ar fi site-uri web, aplicații mobile sau altfel) utilizând Realize Pixels, agentul de publicitate trebuie să: (i) furnizeze toate notificările de transparență necesare Subiecților de date cu privire la utilizarea de către Taboola a Realize Pixels pentru a colecta Date colectate de la proprietățile digitale ale agentului de publicitate în Scopurile permise și (ii) să obțină (și, la cererea oricând a Taboola, să furnizeze dovezi corespunzătoare) consimțământul Subiectului de date pentru o astfel de utilizare a Realize Pixels în Scopurile permise, în fiecare caz în conformitate cu cerințele Legii aplicabile privind protecția datelor.  Obligațiile agentului de publicitate în această privință includ identificarea Taboola și utilizarea sa de Realize Pixels în Scopurile permise în mod expres în cadrul notificărilor de transparență și al solicitărilor de consimțământ pe care agentul de publicitate le oferă Subiecților de date, precum și orice alte informații solicitate de Legea aplicabilă privind protecția datelor, astfel încât Taboola să poată furniza Serviciile sale în mod legal prin astfel de proprietăți digitale și să prelucreze Datele colectate și Datele cu caracter personal în Scopurile permise. În măsura în care agentul de publicitate primește serviciul GenAI Landing Page de la Taboola, Taboola va furniza o notificare transparentă și va obține consimțământul utilizatorului.

b. La cerere scrisă, Taboola va furniza agentului de publicitate informațiile necesare despre Realize Pixels și prelucrarea de către Taboola a Datelor colectate prin proprietățile digitale ale agentului de publicitate, pentru ca agentul de publicitate să se asigure că mecanismele sale de notificare și consimțământ vor fi în conformitate cu Legea aplicabilă privind protecția datelor.  Agentul de publicitate nu va activa niciun Pixel Realize decât și numai după ce a fost furnizată orice transparență necesară și au fost obținute toate consimțămintele necesare în conformitate cu legislația aplicabilă privind protecția datelor.

c. Agentul de publicitate va furniza, de asemenea, persoanelor vizate informații despre modul în care își pot exercita drepturile privind protecția datelor în conformitate cu legislația aplicabilă privind protecția datelor și va oferi un punct de contact pentru persoanele vizate pentru a le permite să își exercite drepturile. Agentul de publicitate va notifica imediat Taboola în cazul în care primește o solicitare de drepturi privind protecția datelor referitoare la prelucrarea de către Taboola a datelor colectate în calitate de operator, astfel încât Taboola să poată îndeplini solicitarea în conformitate cu obligațiile sale în temeiul legislației aplicabile privind protecția datelor.

Dacă Taboola, la cererea agentului de publicitate, transmite date cu caracter personal partenerului de atribuire al agentului de publicitate sau agentului de publicitate în scopuri de atribuire, agentul de publicitate declară și garantează că: (i) partenerul său de atribuire este un operator în numele agentului de publicitate; (ii) cu excepția cazului în care sunt colectate independent, agentul de publicitate și partenerul de atribuire vor utiliza astfel de date cu caracter personal exclusiv în scopuri de atribuire; și (iii) partenerul de atribuire și agentul de publicitate vor șterge toate datele cu caracter personal transmise în termen de treizeci (30) de zile de la ultima identificare a vizitatorului ca provenind de la Taboola.

Fiecare parte va implementa măsuri de securitate tehnice și organizatorice adecvate pentru a proteja datele colectate și/sau datele cu caracter personal pe care le prelucrează împotriva unui incident de securitate.  Aceste măsuri vor include măsurile prevăzute în anexa B.

În cazul în care una dintre Părți suferă un Incident de Securitate în ceea ce privește Datele Colectate și/sau Datele Personale pe care le Procesează și care fac obiectul Acordului și al acestor Termeni de confidențialitate pentru Agenți de Publicitate, Partea respectivă: (i) va fi responsabilă pentru îndeplinirea (pe cheltuiala proprie) oricăror obligații de raportare care îi revin în temeiul Legii aplicabile privind protecția datelor către autoritățile pentru protecția datelor și/sau persoanele vizate afectate, (ii) va notifica cealaltă Parte fără întârzieri nejustificate, furnizând informații despre Incidentul de Securitate care pot fi solicitate în mod rezonabil de cealaltă Parte sau care sunt altfel necesare pentru ca cealaltă Parte să determine dacă poate avea și ea obligații de raportare în temeiul Legii aplicabile privind protecția datelor în ceea ce privește Incidentul de Securitate și (iii) va lua toate măsurile și acțiunile necesare, fără întârzieri nejustificate, pentru a remedia și/sau atenua efectele Incidentului de Securitate.

În măsura și în măsura în care este impus de Legea aplicabilă privind protecția datelor la care este supusă fiecare parte, fiecare parte va efectua orice evaluare a impactului asupra protecției datelor în ceea ce privește Procesarea Datelor Colectate și/sau a Datelor Personale în scopurile permise și/sau va consulta autoritățile aplicabile în materie de protecție a datelor, dacă este necesar.  Fiecare parte va oferi toată cooperarea și informațiile necesare solicitate în mod rezonabil de cealaltă parte, în măsura în care acest lucru este necesar pentru a permite celeilalte părți să finalizeze o evaluare a impactului asupra protecției datelor și/sau să consulte autoritățile aplicabile în materie de protecție a datelor în conformitate cu obligațiile celeilalte părți în temeiul prezentei secțiuni 11.

 

A. LISTA PĂRȚILOR

Fiecare parte va fi:

      • un operator de date (și exportator de date) al datelor colectate pe care le divulgă sau le pune la dispoziția celeilalte părți și
      • un operator de date (și importator de date) al datelor colectate pe care le primește de la cealaltă parte sau pentru care accesul este pus la dispoziție de către cealaltă parte.

Detaliile fiecărei părți sunt prezentate mai jos.

Nume: A se vedea detaliile agentului de publicitate prezentate în acord.

Adresă: A se vedea detaliile agentului de publicitate prezentate în acord.

Numele, funcția și datele de contact ale persoanei de contact: A se vedea detaliile agentului de publicitate prezentate în acord sau convenite în alt mod în scris între părți.

Activități relevante pentru datele transferate în temeiul acestor clauze: Primirea serviciilor, astfel cum este prevăzut în acord.

Semnătură și dată: Această anexă A se consideră executată la acceptarea de către Agenție a acestor Termeni de confidențialitate pentru agenți de publicitate.

Rol (operator/persoana împuternicită): Operator (în cazul în care este exportator de date) și Operator (în cazul în care este importator de date)

 

Nume: A se vedea detaliile Taboola prezentate în introducerea Acordului.

Adresă: A se vedea detaliile Taboola prezentate în introducerea Acordului.

Numele, funcția și datele de contact ale persoanei de contact: Echipa de confidențialitate a Taboola, privacy@taboola.com.

Activități relevante pentru datele transferate în temeiul acestor clauze: Furnizarea Serviciilor, astfel cum este prevăzută în Acord.

Semnătură și dată: Această anexă A se consideră executată la acceptarea de către Taboola a acestor Termeni de confidențialitate pentru agenți de publicitate.

Rol (operator/persoana împuternicită): Operator (în cazul în care este exportator de date) și Operator (în cazul în care este importator de date)

 

B. DESCRIEREA PRELUCRĂRII ȘI A TRANSFERULUI

Categorii de persoane vizate ale căror date cu caracter personal sunt prelucrate și/sau transferate: Utilizatori

Categorii de date cu caracter personal prelucrate și/sau transferate:

Date despre dispozitiv: Sistem de operare, tipul browserului, versiunea browserului, adresa IP (trunchiată în termen de 30 de zile) de la colectare, codul poștal (derivate din adresa IP), ID-ul hashed al utilizatorului Taboola, e-mailuri hashed, vizitele inițiale și ulterioare pe site-ul web al agentului de publicitate, sexul utilizatorului (dedus din interese), semnale de implicare (timpul petrecut pe site, adâncimea derulării, adâncimea sesiunii), date de conversie.

Date despre proprietatea digitală vizitată de utilizator: URL-ul paginii vizitate, site-ul web de referință

  • În măsura în care DCO face parte din servicii, Taboola prelucrează și următoarele date:

Date despre dispozitiv: ID-ul cookie-ului Taboola sau ID-ul dispozitivului Taboola (în funcție de platformă), adresa IP mascată, ID-ul de clic Taboola, șirul agentului utilizator, țara, tipul de utilizator, inclusiv informații despre un utilizator nou/retur, (dacă sunt furnizate de agentul de publicitate), informații despre produs (legate de URL-ul specific), inclusiv prețul și disponibilitatea de pe paginile articolelor

Date despre eveniment: monedă, ID-uri de produs, ID-ul comenzii, ID-ul categoriei, categorie, termen de căutare, detalii despre coș, valoare și ID-uri de campanie.

Date sensibile transferate (dacă este cazul) și restricții sau măsuri de protecție aplicate care iau pe deplin în considerare natura datelor și riscurile implicate, cum ar fi, de exemplu, limitarea strictă a scopului, restricții de acces (inclusiv accesul numai pentru personalul care a urmat o formare specializată), păstrarea unei evidențe a accesului la date, restricții pentru transferuri ulterioare sau măsuri de securitate suplimentare: Nu se aplică.

Frecvența prelucrării și/sau a transferurilor (de exemplu, dacă datele sunt prelucrate și/sau transferate o singură dată sau în mod continuu): Continuă pe durata acordului.

Natura prelucrării: Prelucrarea datelor cu caracter personal necesară pentru furnizarea serviciilor, astfel cum este prevăzut în acord.

Scopul (scopurile) prelucrării/transferului de date și prelucrării ulterioare: Furnizarea Serviciilor, astfel cum este prevăzută în Acord. Pentru evitarea oricăror îndoieli, scopurile permise includ: (i) stocarea și/sau accesarea informațiilor de pe un dispozitiv; (ii) selectarea publicității de bază; (iii) crearea unui profil de anunțuri personalizat; (iv) selectarea anunțurilor personalizate; (v) crearea unui profil de conținut personalizat; (vi) selectarea conținutului personalizat; (vii) măsurarea performanței publicității; (viii) măsurarea performanței conținutului; (ix) dezvoltarea și îmbunătățirea produselor; (x) asigurarea securității, prevenirea fraudei și depanarea; (xi) livrarea tehnică a anunțurilor sau a conținutului; (xii) potrivirea și combinarea surselor de date offline; (xiii) conectarea dispozitivelor diferite; (xiv) primirea și utilizarea caracteristicilor dispozitivului trimise automat pentru identificare; (xv) utilizarea datelor limitate pentru a selecta conținut și (xvi) uÎnțelegerea publicului prin statistici.

Perioada pentru care vor fi păstrate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a determina această perioadă:

      • Taboola: Datele brute sunt stocate pentru cel mult 13 luni.
      • Advertiser: Atâta timp cât este necesar pentru a beneficia de servicii sau conform prevederilor din acord.

Pentru transferurile către (sub)procesatori, specificați, de asemenea, obiectul, natura și durata prelucrării: Nu se aplică.

 

C. AUTORITATEA DE SUPERVIZIUNE COMPETENTĂ

Autoritatea de supraveghere competentă în cazul în care se aplică Regulamentul general privind protecția datelor EU GDPR: Autoritatea de supraveghere competentă pentru fiecare parte este descrisă mai jos:

      • Taboola: Autoritatea de supraveghere competentă este determinată în conformitate cu Clauza 13 din EU SCCs
      • Advertiser: Autoritatea de supraveghere competentă este determinată în conformitate cu Clauza 13 din EU SCCs

Autoritatea de supraveghere competentă în cazul în care se aplică UK GDPR: Biroul Comisarului pentru Informații

 

Descrierea măsurilor tehnice și organizatorice implementate de fiecare parte (inclusiv orice certificări relevante) pentru a asigura un nivel adecvat de securitate, ținând cont de natura, domeniul de aplicare, contextul și scopul prelucrării, precum și de riscurile pentru drepturile și libertățile persoanelor fizice.

Măsuri de pseudonimizare și criptare a datelor cu caracter personal: Taboola colectează doar date pseudonimizate, ceea ce înseamnă că nu știm cine sunteți, deoarece nu cunoaștem sau nu procesăm numele utilizatorului, adresa de e-mail sau alte date de identificare. Informațiile despre utilizatori pe care le colectăm includ, dar nu se limitează la, informații despre dispozitivul și sistemul de operare al unui utilizator, adresa IP, paginile web accesate de utilizatori pe site-urile web ale clienților noștri, link-ul care a condus un utilizator pe site-ul web al unui client, datele și orele la care un utilizator accesează un site web al unui client și alte date de navigare pe web. ID-ul CookieID este anonimizat utilizând Bcrypt, iar adresa IP este trunchiată.

Măsuri pentru asigurarea confidențialității, integrității, disponibilității și rezilienței continue a sistemelor și serviciilor de prelucrare: Taboola utilizează mai multe niveluri de securitate electronică (de exemplu: securitate la punctul final, securitate pe partea serverului, urmărirea detecțiilor, teste de penetrare periodice și colectarea de informații detaliate pentru a examina evenimentele post-mortem).

Măsuri pentru a asigura capacitatea de a restabili disponibilitatea și accesul la datele cu caracter personal în timp util în cazul unui incident fizic sau tehnic: Taboola menține 9 centre de date care funcționează în întreaga lume. Fiecare centru de date este utilizat ca o replică a celuilalt, astfel încât, dacă unul cade, datele pot fi extrase dintr-un alt centru de date.

Procesele pentru testarea, evaluarea și verificarea periodică a eficacității măsurilor tehnice și organizaționale pentru a asigura securitatea prelucrării: Taboola menține procese stricte pentru a testa eficacitatea controalelor sale (atât tehnice, cât și organizaționale). Avem înregistrarea și monitorizarea sistemului, testarea DR lunară (cel puțin), teste de penetrare trimestriale, firewall-uri care protejează web-ul și honeypots răspândite în întreaga rețea pentru a găsi orice activitate malițioasă. În plus, avem un program de recompense care ne ajută să ne monitorizăm în mod constant rețeaua.

Măsuri pentru identificarea și autorizarea utilizatorilor: Fiecare utilizator din Taboola este asociat cu un nume de utilizator și o parolă dedicate. Fiecare acces la rețeaua internă a Taboola se face cu 2FA utilizând autentificarea Google. Utilizatorii sunt creați doar de către departamentul IT, în timpul procesului de integrare și doar după primirea tuturor detaliilor și a contractului semnat de la departamentul de resurse umane.

Măsuri pentru protecția datelor în timpul transmisiei: Taboola acceptă orice transmisie de date prin protocoale de transmisie securizate (HTTPS și TLS v1.2 ca minim). În plus, sistemele care ar putea conține informații cu caracter personal sunt securizate, iar datele sunt păstrate în format hash și anonimizate.

Măsuri pentru protecția datelor în timpul stocării: Datele stocate în bazele noastre de date sunt anonimizate și criptate folosind Bcrypt. Accesul la baza de date este minimizat și se bazează pe principiul „nevoii de a cunoaște în scopuri comerciale”.

Măsuri pentru asigurarea securității fizice a locațiilor în care sunt prelucrate datele cu caracter personal: Fiecare dintre centrele de date globale ale Taboola (în SUA, Europa și Asia) are toate serverele amplasate în dulapuri încuiate, care sunt întreținute exclusiv pentru uzul Taboola. Aceste dulapuri sunt întreținute de companii care sunt fie certificate SOC2, fie Taboola a revizuit măsurile lor de securitate. În plus, orice acces la servere necesită permisiune scrisă și înregistrată. Toate birourile Taboola sunt, de asemenea, controlate și angajații trebuie să folosească carduri de acces pentru a intra. Mai mult, doar un număr limitat de angajați au acces la serverele Taboola și orice acces necesită, de asemenea, permisiune scrisă și înregistrată.

Măsuri pentru asigurarea înregistrării evenimentelor: Taboola implementează instrumente de monitorizare și jurnalele sunt colectate în sistemul nostru SIEM, care ne avertizează cu privire la orice eveniment suspect și este, de asemenea, monitorizat de echipa NOC.

Măsuri pentru asigurarea configurării sistemului, inclusiv configurarea implicită: Serverele sunt scanate atât pentru drift de configurare, cât și pentru nivelul de patch-uri. Setarea de raportare și/sau alertă este stabilită pe ambele și se confirmă nivelul relevant de patch-uri. Noile patch-uri sunt distribuite folosind Puppet. Toate revizuirile tehnice sunt gestionate prin intermediul aplicației de cercetare și dezvoltare și obținute printr-un proces formal de revizuire (QA) după implementarea proceselor de codificare și CI/CD.

Măsuri pentru guvernanța și gestionarea IT internă și a securității IT: Taboola este certificată ISO 27001:2013 și 27701. Taboola are o politică de securitate a informațiilor care prevede că Consiliul de administrație și conducerea Taboola se angajează să păstreze confidențialitatea, integritatea și disponibilitatea tuturor activelor informaționale fizice și electronice din întreaga organizație. Taboola organizează sesiuni de formare în domeniul securității pentru toți angajații noi, sesiuni de formare în domeniul phishing-ului pentru toți angajații la nivel global și sesiuni regulate de formare în domeniul securității pentru toți angajații, precum și sesiuni dedicate pentru grupurile de cercetare și dezvoltare.

Măsuri pentru certificarea/asigurarea proceselor și produselor: Audit intern trimestrial/semianual/anual pe mai multe procese și sisteme pentru a valida faptul că Taboola respectă obiectivele și măsurile de securitate definite.

Măsuri pentru asigurarea minimizării datelor: Taboola limitează în mod intenționat datele pe care le colectăm ca parte a principiilor globale de minimizare a datelor ale Taboola, procesând doar datele limitate necesare în scopuri comerciale specifice. În plus, Taboola nu are capacitatea și nici nevoia comercială de a „reconstrui” din punct de vedere tehnic niciunul dintre punctele de date utilizate în algoritmul nostru pentru a ne oferi serviciile. Mai exact, datele pe care Taboola le colectează nu sunt niciodată indicative ale identității unui utilizator, deoarece Taboola nu colectează sau procesează informații precum numele utilizatorului, numărul de telefon, adresa de e-mail sau adresele fizice. În schimb, Taboola colectează doar identificatori pseudonimi, care identifică doar caracteristicile dispozitivului unui utilizator. Aceasta include adrese IP (care sunt trunchiate la colectare și pot identifica doar codul poștal general al dispozitivului, dar niciodată o geolocație precisă) și, în unele cazuri limitate, adrese de e-mail hash (care sunt în mod inerent ireversibile și nu pot fi decriptate pentru a dezvălui adresa de e-mail originală). Mai mult, chiar și atunci când sunt utilizate colectiv, datele pe care le colectăm nu pot produce niciodată numele, numărul de telefon, adresa de e-mail sau adresa fizică a unei persoane, iar inginerii noștri nu lucrează în niciun fel pentru a realiza acest obiectiv. În plus, Taboola realizează și înregistrează evaluări ale impactului asupra confidențialității, în încercarea de a minimiza riscurile pentru confidențialitatea serviciilor, proceselor și politicilor noastre.

Măsuri pentru asigurarea calității datelor: Datele sunt colectate direct de la utilizator și utilizatorului i se oferă posibilitatea de a corecta orice date asociate cu CookieID-ul său prin intermediul Portalului de solicitare a accesului Taboola: https://accessrequest.taboola.com/access

Măsuri pentru asigurarea unei păstrări limitate a datelor: Păstrăm informațiile despre utilizator, care sunt colectate direct în scopul difuzării de reclame, timp de cel mult treisprezece (13) luni de la ultima interacțiune a utilizatorului cu serviciile noastre (adesea pentru o perioadă mai scurtă de timp), după care dezidentificăm datele prin eliminarea identificatorilor unici sau prin agregarea datelor. Acest proces se realizează automat.

Măsuri pentru asigurarea responsabilității: Taboola efectuează mai multe audituri de securitate și teste de penetrare (dar nu pentru toate sistemele). Taboola utilizează, de asemenea, furnizori de servicii cloud care sunt certificați ISO și care respectă alte certificări relevante pentru cloud în vederea menținerii măsurilor de protecție fizice ale unui server.

Măsuri pentru a permite portabilitatea datelor și pentru a asigura ștergerea: Toate suporturile media trebuie șterse complet înainte de a fi reutilizate sau eliminate. Eliminarea oricărui suport media este documentată. Angajații sunt instruiți să nu imprime nicio foaie care ar putea conține informații personale.

  1. În măsura în care o parte efectuează un Transfer Restricționat de Date Colectate către cealaltă parte, Standard Contractual Clauses vor fi încorporate în acești Termeni de confidențialitate pentru Agenți de Publicitate și se vor aplica după cum urmează:
    1. în cazul în care Transferul restricționat este un Transfer restricționat EU, EU SCCS vor fi aplicate între părți după cum urmează:
      1. Se va aplica Modulul Unu;
      2. în Clauza 7, se va aplica Clauza de andocare opțională;
      3. în Clauza 11, limba opțională nu se va aplica;
      4. în Clauza 17, se va aplica Opțiunea 1, iar EU SCCs vor fi reglementate de legislația irlandeză;
      5. în Clauza 18(b), litigiile vor fi soluționate în fața instanțelor din Irlanda;
      6. Părțile A, B și C din Anexa I vor fi considerate completate cu informațiile prezentate în Părțile A, B și C din Anexa A la acești Termeni de confidențialitate pentru agenți de publicitate; și
      7. Anexa II va fi considerată completată cu măsurile de securitate prezentate în Anexa B la acești Termeni de confidențialitate pentru agenți de publicitate;
    2. în cazul în care Transferul restricționat este un Transfer restricționat UK, UK Addendum va fi aplicată între părți după cum urmează:
      1. EU SCCs, completate conform celor prezentate mai sus, vor fi aplicate între părți și vor fi modificate de UK Addendum (completată conform subclauzei (ii) de mai jos); și
      2. Tabelele 1-3 din UK Addendum se consideră completate cu informații relevante din EU SCCs, completate conform celor de mai sus, iar opțiunile „Exportator” și „Importator” se consideră bifate în tabelul 4. Data de începere a UK Addendum (astfel cum este prevăzută în tabelul 1) este data intrării în vigoare a acestor Termeni de confidențialitate pentru agenții de publicitate.
  2. Transferuri restricționate ulterioare:  Niciuna dintre părți nu va efectua un transfer restricționat ulterior al datelor colectate pe care le primește de la cealaltă parte, cu excepția cazului în care a efectuat toate acțiunile și demersurile necesare pentru a se asigura că un astfel de transfer restricționat ulterior este conform cu legislația aplicabilă privind protecția datelor și cu orice clauze contractuale standard pe care le-a convenit cu cealaltă parte.