Acord de protecție a datelor pentru partenerii RTB și programatici

Last Update: May 29, 2024

Data efectivă: 29 mai 2024

Pentru a se asigura că Taboola are termeni adecvați de protecție a datelor în vigoare cu partenerii noștri programatici și RTB (fiecare un „Partener”), Taboola oferă acest Acord de protecție a datelor (denumit „DPA”).

Acest DPA completează automat și face parte din aranjamentul contractual de afaceri existent între Partener și Taboola referitor la furnizarea de servicii RTB și programatice („Acord de bază”).

Toți termenii cu majuscule utilizați în acest DPA, dar care nu sunt definiți în acest DPA, vor avea semnificațiile date în Acordul de bază.  În cazul oricărei conflicte între acest DPA și Acordul de bază, acest DPA va prevala în măsura acelui conflict.

Legile aplicabile privind protecția datelor” înseamnă orice și toate legile federale, naționale, de stat sau alte legi privind confidențialitatea și protecția datelor care pot fi modificate sau înlocuite din când în când, inclusiv, dacă este cazul și fără limitare, CCPA (așa cum este definit mai jos) și legile europene privind protecția datelor.

CCPA” înseamnă Legea privind confidențialitatea consumatorilor din California (Cal. Civ. Cod §§ 1798.100 – 1798.199), așa cum a fost modificată de Legea privind drepturile de confidențialitate din California (Cal. Civ. Cod §§ 1798.100 – 1798.199).

Operator” înseamnă o entitate care determină scopurile și mijloacele de procesare a informațiilor personale și include orice entitate care procesează informații personale ca „afacere” sau „terță parte” conform CCPA și CPRA.

Cadru de confidențialitate a datelor” sau “DPF” înseamnă Cadru de confidențialitate a datelor UE-SUA și Extensia Regatului Unit la UE-SUA. Cadru de confidențialitate a datelor și extinderea Regatului Unit la Acordul UE-SUA DPF așa cum este stabilit de U.S. Departamentul de Comerț.

Legile europene privind protecția datelor” înseamnă legile UE privind protecția datelor și legile Regatului Unit privind protecția datelor.

Legile privind protecția datelor din UE” înseamnă: (i) Regulamentul UE 2016/679 (“UE GDPR“); (ii)       Directiva UE 2002/58/CE; și (iii) legile naționale ale fiecărui stat membru EEA adoptate în conformitate cu, în baza, sau care implementează (i) sau (ii), sau care se referă în alt mod la procesarea datelor personale; în fiecare caz, așa cum sunt modificate sau înlocuite din când în când.

Informații personale” înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă și include orice informație definită ca „date personale” sau „informații personale” așa cum este definită conform legilor aplicabile privind protecția datelor.

Scop permis” înseamnă scopurile de licitare în timp real, referitoare la cumpărarea și vânzarea de reclame online în conformitate cu Acordul de bază, pentru care Taboola divulgă sau pune în alt mod la dispoziție datele partajate partenerului pentru procesare, așa cum este stabilit în Anexa I.

Transfer Restricționat” înseamnă: (i) atunci când se aplică GDPR-ul UE, un transfer de date personale din SEE către o țară din afara SEE care nu este supusă unei evaluări de adecvare de către Comisia Europeană (un „Transfer Restricționat UE”); și (ii) atunci când se aplică GDPR-ul Regatului Unit, un transfer de date personale din Regatul Unit către orice altă țară care nu este supusă sau bazată pe reglementări de adecvare conform Secțiunii 17A din Legea privind Protecția Datelor din Regatul Unit 2018 (un „Transfer Restricționat UK”).

Incident de Securitate” înseamnă o încălcare a securității care duce la distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul la Datele Partajate.

Vinde” și „împărtășește” vor avea semnificațiile stabilite în CCPA și CPRA și reglementările lor de implementare.

Date Partajate” înseamnă categoriile de Informații Personale enumerate în Anexa I la acest DPA.

Standard Contractual Clauses” înseamnă: (i) atunci când se aplică GDPR-ul UE, clauzele contractuale anexate Deciziei de Implementare 2021/914 a Comisiei Europene din 4 iunie 2021 privind standard contractual clauses pentru transferul de date personale către țări terțe conform Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului („SCC-urile UE”); și (ii) atunci când se aplică GDPR-ul Regatului Unit, „Anexa pentru Transferul Internațional de Date la Standard Contractual Clauses ale Comisiei UE” emisă de Comisarul pentru Informații conform s.119A(1) din DPA 2018 („UK Addendum”).

Legile de Protecție a Datelor din Regatul Unit” înseamnă: (i) GDPR-ul UE așa cum face parte din legislația Regatului Unit în virtutea secțiunii 3 din Legea Uniunii Europene (Retragerea) 2018 („GDPR-ul UK”); (ii) Regulamentele privind Confidențialitatea și Comunicațiile Electronice (Directiva CE) 2003; (iii) Legea privind Protecția Datelor 2018; și (iv) orice alte legi din Regatul Unit adoptate conform, în baza sau care implementează (i) sau (ii), sau care se referă în alt mod la procesarea datelor personale; în fiecare caz, așa cum sunt modificate sau înlocuite din când în când.

Sub rezerva respectării de către Partener a Acordului de Bază și a acestui DPA, Taboola va divulga sau va pune la dispoziție Datele Partajate Partenerului pentru ca Partenerul să le proceseze strict în scopul Permis.

Părțile recunosc că Taboola este un operator al Datelor Partajate pe care le divulgă Partenerului și că Partenerul va procesa Datele Partajate ca un operator strict în scopul Permis.

Partenerul garantează, reprezintă și se angajează că:

(a)    va procesa în orice moment Datele Partajate doar în scopul Permis și în conformitate cu Legile Aplicabile de Protecție a Datelor;

(b)   nu are motive să creadă că Legile Aplicabile de Protecție a Datelor îi împiedică îndeplinirea obligațiilor sale în ceea ce privește Procesarea Datelor Partajate pentru Scopul Permis;

(c)    dacă Partenerul determină că nu poate procesa Datele Partajate pentru Scopul Permis în conformitate cu Legile Aplicabile de Protecție a Datelor, va notifica prompt Taboola;

(d)   va prezenta și menține în orice moment un aviz de confidențialitate accesibil publicului pe site-ul său care respectă cerințele Legilor Aplicabile de Protecție a Datelor și care oferă detalii de contact unde subiecții de date pot ridica întrebări legate de protecția datelor;

(e)    va permite subiecților de date să își exercite drepturile de protecție a datelor în conformitate cu Legile Aplicabile de Protecție a Datelor, inclusiv (fără a se limita la) dreptul lor de a se opune procesării Datelor Partajate;

(f)    în ceea ce privește orice procesare a Datelor Partajate care este protejată conform Legilor Europene de Protecție a Datelor, va:

(g)    va procesa Datele Partajate doar acolo unde are consimțământ pentru a face acest lucru, conform cerințelor Legilor Europene de Protecție a Datelor; și

(h)   va implementa măsuri tehnice și organizaționale adecvate, inclusiv, ca minim, măsurile stabilite în Anexa II pentru a proteja Datele Partajate de și împotriva unui Incident de Securitate.

Taboola poate lua pași rezonabili și adecvați pentru a se asigura că Partenerul procesează Datele Partajate conform Acordului de Bază și acestui DPA într-un mod conform cu Legile Aplicabile de Protecție a Datelor.

Dacă Partenerul nu respectă Acordul de Bază, acest DPA sau Legile Aplicabile de Protecție a Datelor, Taboola va lua pași rezonabili și adecvați pentru a opri și remedia utilizarea neautorizată a Datelor Partajate (inclusiv suspendarea sau încetarea divulgării Datelor Partajate către Partener).

Partenerul va respecta Legile Aplicabile de Protecție a Datelor și va oferi același nivel de protecție a confidențialității Datelor Partajate, așa cum este cerut de Legile Aplicabile de Protecție a Datelor.

În cazul în care oricare dintre părți primește corespondență, întrebare sau plângere de la un subiect de date, regulator sau altă terță parte (“ corespondență “) legată de (a) divulgarea Datelor Partajate pentru Scopul Permis; sau (b) procesarea Datelor Partajate de către cealaltă parte, aceasta va informa prompt cealaltă parte, oferind detalii complete, iar părțile vor coopera rezonabil și de bună credință pentru a răspunde corespondenței conform cerințelor din Legea Aplicabilă de Protecție a Datelor.

În măsura în care orice transfer de Date Partajate de la Taboola către Partener este un Transfer Restricționat, Standard Contractual Clauses vor fi incorporate în acest DPA și se vor aplica după cum urmează:

(a)    unde Transferul Restricționat este un Transfer Restricționat din UE, SCC-urile UE se vor aplica între Taboola (ca exportator de date) și Partener (ca importator de date) după cum urmează:

(i)    Modulul Unu se va aplica;

(ii)   în Clauza 7, Clauza opțională de andocare se va aplica;

(iii)  în Clauza 11, limba opțională nu se va aplica;

(iv)  în Clauza 17, Opțiunea 1 se va aplica, iar SCC-urile UE vor fi reglementate de legea irlandeză;

(v)  în Clauza 18(b), disputele vor fi soluționate înaintea instanțelor din Irlanda;

(vi) în Anexa I:

(A)   Părțile A și B vor fi considerate completate cu informațiile prezentate în Anexa A la acest DPA;

(B)   Partea C va fi considerată completată conform criteriilor stabilite în Clauza 13(a) a SCC-urilor UE; și

(vii) Anexa II va fi considerată completată cu măsurile de securitate stabilite în Anexa B la acest DPA.

(b)   unde Transferul Restricționat este un Transfer Restricționat din UK, UK Addendum se va aplica între părți după cum urmează:

(i)    SCC-urile UE, completate conform celor de mai sus, se vor aplica între părți și vor fi modificate prin UK Addendum (completat conform celor de mai jos); și

(ii)   tabelele 1 până la 3 ale UK Addendum vor fi considerate completate cu informațiile relevante din SCC-urile UE, completate conform celor de mai sus, iar opțiunile „Exportator” și „Importator” vor fi considerate bifate în tabelul 4.  Data de început a UK Addendum (așa cum este stabilit în tabelul 1) va fi data efectivă a acestui DPA.

Partenerul nu va efectua un Transfer Restricționat de Date Partajate către o terță parte decât dacă a realizat toate actele și lucrurile necesare pentru a se asigura că Transferul Restricționat este conform cu Legea Aplicabilă de Protecție a Datelor și cu orice Standard Contractual Clauses pe care le-a executat cu Taboola.

Nu obstante cele de mai sus, dacă Partenerul a certificat conform și respectă DPF, transferurile de Date Partajate către Partener efectuate conform DPF nu vor fi un Transfer Restricționat.  În acest caz, Partenerul va notifica imediat Taboola dacă nu reușește să respecte certificarea sa DPF sau certificarea sa DPF expiră sau este invalidată în alt mod, caz în care:

(a) orice transferuri de Date Partajate de la Taboola către Partener vor fi considerate imediat un Transfer Restricționat și prevederile Transferului Restricționat de mai sus se vor aplica; și

(b) Taboola poate, la discreția sa absolută, alege să suspende sau să rezilieze transferurile de Date Partajate către Partener fără penalizare.

Partenerul va apăra Taboola și directorii, ofițerii, angajații, agenții și clienții săi (denumiți „Taboola Indemnitees”) împotriva oricăror și tuturor cererilor, solicitărilor, proceselor, procedurilor și acțiunilor intentate de o terță parte referitoare la o acuzație că Partenerul a încălcat acest DPA sau Legile Aplicabile de Protecție a Datelor și va despăgubi Taboola Indemnitees pentru toate daunele, pierderile, costurile și cheltuielile (inclusiv onorariile rezonabile ale avocaților) suportate de Taboola Indemnitees care decurg din sau rezultă din astfel de cereri.

Partenerul este singurul responsabil pentru conformitatea sa cu Legile Aplicabile de Protecție a Datelor în procesarea Datelor Partajate.

În cazul oricăror modificări ale Legilor Aplicabile de Protecție a Datelor, Taboola poate modifica și actualiza acest DPA acolo unde și în măsura necesară pentru a se conforma acestor modificări în Legile Aplicabile de Protecție a Datelor.

Cu efect de la data efectivă a acestui DPA, referințele la „Acord” în acest DPA sau în Acordul de Bază vor însemna Acordul de Bază așa cum este completat de acest DPA.

A. LISTA PERSOANELOR

Taboola - Data exporter(s)
Name:See Taboola’s details set out in the Underlying Agreement.
Address:See Taboola’s details set out in the Underlying Agreement.
Contact person’s name, position and contact details:privacy@taboola.com
Activities relevant to the data transferred under these Clauses:Disclosure of Shared Data for the Permitted Purpose.
Signature and date:This DPA shall automatically be deemed executed upon execution of the Underlying Agreement.
Role (controller/processor):Controller.
Partner - Data importer:
Name:See Partner’s details set out in the Underlying Agreement.
Address:See Partner’s details set out in the Underlying Agreement.
Contact person’s name, position and contact details:See Partner’s details set out in the Underlying Agreement.
Activities relevant to the data transferred under these Clauses:Receipt and processing of Shared Data for the Permitted Purpose.
Signature and date:This DPA shall automatically be deemed executed upon execution of the Underlying Agreement.
Role (controller/processor):Controller.

B. DESCRIEREA TRANSFERULUI

Description of Transfer
Categories of data subjects whose personal data is transferredVisitors to digital properties (such as websites and mobile applications) owned by customers of Taboola and who have integrated Taboola’s advertising technologies on those properties.
Categories of personal data transferredPre-partnership Integration:

Unique User IDs from RTB partners
Cookie match / sync / table (either Taboola or Partner can host and the non-hosting party must share data points)

Bid request includes:

Unique ID of the bid request (provided by the exchange)
IMP object representing the impression offered
Publisher site or app represented
App
Device
Auction Type
Maximum Time
Currency
Blocked Categories
Device ID
Taboola User ID

Calling Tag Partners:

URL
Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measuresNot applicable.
The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis)Continuous for the duration of the Underlying Agreement.
Nature of the processingProcessing of Shared Data by Partner for the purposes of real-time bidding in order to buy and sell advertising inventory on digital properties of Taboola’s customers.
Purpose(s) of the data transfer and further processingPartner processes Shared Data, for the following purposes:

Serve personalized and behavioral recommendations.
Determine whether to bid on a placement and serve personalized recommendations.
The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that periodFor the duration of the Underlying Agreement and as otherwise required by applicable law.
For transfers to (sub-) processors, also specify subject matter, nature and duration of the processingNot applicable.

C. AUTORITATEA DE SUPRAVEGHERE COMPETENTĂ

Competent Supervisory Authority
Competent supervisory authority where the EU GDPR appliesThe competent supervisory authority shall be determined in accordance with Clause 13 of Module 1 of the EU Standard Contractual Clauses.
Competent supervisory authority where the UK GDPR appliesThe Information Commissioner’s Office

Descrierea măsurilor tehnice și organizaționale implementate de fiecare parte (inclusiv orice certificări relevante) pentru a asigura un nivel adecvat de securitate, având în vedere natura, domeniul, contextul și scopul procesării, precum și riscurile pentru drepturile și libertățile persoanelor fizice. Partenerul declară și garantează că are măsuri tehnice și organizaționale adecvate, substanțial similare cu măsurile de securitate ale Taboola, denotate mai jos.

Măsuri de pseudonimizare și criptare a datelor personale: Taboola colectează doar date pseudonimizate, ceea ce înseamnă că nu știm cine ești pentru că nu știm sau procesăm numele utilizatorului, adresa de email sau alte date identificabile. Informațiile despre utilizator pe care le colectăm includ, dar nu se limitează la, informații despre dispozitivul și sistemul de operare al utilizatorului, adresa IP, paginile web accesate de utilizatori în cadrul site-urilor clienților noștri, linkul care a dus un utilizator la site-ul unui client, datele și orele la care un utilizator accesează site-ul unui client și alte date de navigare pe web. CookieID este anonimizat folosind Bcrypt și adresa IP este trunchiată.

Măsuri pentru asigurarea confidențialității, integrității, disponibilității și rezilienței continue a sistemelor și serviciilor de procesare: Taboola utilizează multiple niveluri de securitate electronică (ex: securitate la nivel de punct final, securitate pe server, urmărirea detecțiilor, teste de penetrare periodice și colectarea de informații profunde pentru a revizui evenimentele post-mortem).

Măsuri pentru asigurarea capacității de a restaura disponibilitatea și accesul la datele personale într-un mod oportun în cazul unui incident fizic sau tehnic: Taboola menține 9 centre de date care funcționează în întreaga lume. Fiecare centru de date este folosit ca replicare a celorlalte, astfel încât, dacă unul se defectează, datele pot fi extrase din celelalte centre de date.

Procese pentru testarea, evaluarea și evaluarea periodică a eficacității măsurilor tehnice și organizaționale pentru a asigura securitatea procesării: Taboola menține procese stricte pentru testarea eficacității controalelor sale (atât tehnice, cât și organizaționale). Avem în vigoare jurnalizarea și monitorizarea sistemului, teste DR lunare (cel puțin), teste de penetrare trimestriale, firewall-uri care protejează web-ul și honeypots răspândite în rețea pentru a găsi orice activitate malițioasă. În plus, avem un program de recompense care ne ajută să monitorizăm constant rețeaua noastră.

Măsuri pentru identificarea și autorizarea utilizatorilor: Fiecare utilizator din Taboola este asociat cu un nume de utilizator și o parolă dedicate. Fiecare acces la rețeaua internă a Taboola se face cu 2FA folosind autentificarea Google. Utilizatorii sunt creați doar de departamentul IT, în timpul procesului de integrare și doar după primirea tuturor detaliilor și a contractului semnat de la departamentul HR.

Măsuri pentru protecția datelor în timpul transmiterii: Taboola suportă orice transmisie de date prin protocoale de transmisie securizate (HTTPS și TLS v1.2 ca minim). În plus, sistemele care ar putea conține PII sunt securizate, iar datele sunt păstrate criptate și anonimizate.

Măsuri pentru protecția datelor în timpul stocării: Datele stocate în bazele noastre de date sunt anonimizate și criptate folosind Bcrypt. Accesul la DB este minimizat și bazat pe principiul „necesității de a ști” în afaceri.

Măsuri pentru asigurarea securității fizice a locațiilor în care sunt procesate datele personale: Fiecare dintre centrele de date globale ale Taboola (în SUA, Europa și Asia) are toate serverele situate în dulapuri închise, care sunt întreținute exclusiv pentru utilizarea Taboola. Aceste dulapuri sunt întreținute de companii care sunt fie certificate SOC2, fie Taboola a revizuit măsurile lor de securitate. În plus, orice acces la servere necesită permisiune scrisă, înregistrată. Toate birourile Taboola sunt, de asemenea, controlate și necesită ca angajații să folosească carduri de acces pentru a intra. În plus, doar un număr limitat de angajați au acces la serverele Taboola și orice acces necesită, de asemenea, permisiune scrisă, înregistrată.

Măsuri pentru asigurarea înregistrării evenimentelor: Taboola implementează instrumente de monitorizare și jurnalele sunt colectate în sistemul nostru SIEM, care ne alertează asupra oricărui eveniment suspect și este, de asemenea, monitorizat de echipa NOC.

măsuri pentru asigurarea configurației sistemului, inclusiv configurația implicită: Serverele sunt scanate atât pentru abateri de configurație, cât și pentru nivelul de patch-uri. Raportarea și/sau alertarea sunt setate pe ambele, iar nivelul relevant de patch-uri este confirmat. Patch-urile noi sunt distribuite folosind Puppet. Toate revizuirile tehnice sunt gestionate prin aplicația R&D și obținute printr-un proces formal de revizuire (QA) după ce codarea și procesele CI/CD sunt implementate de asemenea.

Măsuri pentru guvernanța și managementul IT intern și al securității IT: Taboola este certificată ISO/IEC 27001:2013 și ISO/IEC 27701:2019. Taboola are o Politică de Securitate a Informațiilor care afirmă că Consiliul de Administrație și managementul Taboola sunt angajate să păstreze confidențialitatea, integritatea și disponibilitatea tuturor activelor de informații fizice și electronice din întreaga organizație. Taboola organizează cursuri de securitate pentru toți angajații noi, cursuri de phishing pentru toți angajații la nivel global și cursuri regulate de securitate pentru toți angajații, precum și sesiuni dedicate pentru grupurile R&D.

Măsuri pentru certificarea/asigurarea proceselor și produselor: Audit intern trimestrial / semestrial / anual pe multiple procese și sisteme pentru a valida că Taboola respectă obiectivele și măsurile de securitate definite.

Măsuri pentru asigurarea minimizării datelor: Taboola limitează intenționat datele pe care le colectăm ca parte a principiilor globale de minimizare a datelor ale Taboola, procesând doar datele limitate necesare pentru scopurile noastre specifice de afaceri. În plus, Taboola nu are capacitatea, nici o nevoie de afaceri, de a „ingineriza invers” niciunul dintre punctele de date utilizate în algoritmul nostru pentru a oferi serviciile noastre. Mai specific, punctele de date pe care Taboola le colectează nu indică niciodată identitatea unui utilizator — deoarece Taboola nu colectează sau procesează informații precum numele utilizatorului, numărul de telefon, emailul sau adresele fizice. În schimb, Taboola colectează doar identificatori pseudonimi, care identifică doar caracteristici ale dispozitivului unui utilizator. Aceasta include adrese IP (care sunt trunchiate la colectare și pot identifica doar locația generală a codului poștal al dispozitivului, dar niciodată o geolocalizare precisă) și, în unele cazuri limitate, adrese de email criptate (care sunt în mod inerent ireversibile și nu pot fi decriptate pentru a dezvălui adresa de email originală). Mai mult, chiar și atunci când sunt utilizate colectiv, datele pe care le colectăm nu pot produce niciodată numele, numărul de telefon, emailul sau adresa fizică a unei persoane, iar inginerii noștri nu lucrează în niciun fel pentru a atinge acest obiectiv. În plus, Taboola efectuează și înregistrează evaluări ale impactului asupra confidențialității în încercarea de a minimiza riscurile de confidențialitate ale serviciilor, proceselor și politicilor noastre.

Măsuri pentru asigurarea calității datelor : Datele sunt colectate direct de la utilizator, iar utilizatorului i se oferă oportunitatea de a corecta orice date asociate cu CookieID-ul său prin intermediul Portalului de Cerere de Acces Taboola: https://accessrequest.taboola.com/access

Măsuri pentru asigurarea retenției limitate a datelor : Păstrăm informațiile utilizatorilor, care sunt colectate direct în scopul afișării de reclame, timp de cel mult treisprezece (13) luni de la ultima interacțiune a utilizatorului cu serviciile noastre (de obicei pentru o perioadă mai scurtă de timp), după care de-identificăm datele prin eliminarea identificatorilor unici sau agregarea datelor. Acest proces se realizează automat.

Măsuri pentru asigurarea responsabilității : Taboola efectuează multiple audite de securitate și teste de penetrare (dar nu pentru toate sistemele). Taboola folosește, de asemenea, furnizori de cloud care sunt certificați ISO și care respectă alte certificări relevante pentru cloud pentru menținerea măsurilor de protecție fizică a serverului.

Măsuri pentru permiterea portabilității datelor și asigurarea ștergerii : Taboola se referă la eliminarea mediilor la fel pentru toate tipurile de medii, deoarece acestea ar putea conține informații personale identificabile (PII). Orice mediu trebuie să fie complet șters înainte de a fi reutilizat sau eliminat. Orice eliminare a mediului este documentată. Angajații sunt instruiți să nu imprime niciun document care ar putea conține informații personale.