Termeni de Confidențialitate Pentru Editori

Last Update: October 10, 2024

Data intrării în vigoare: Octombrie 10, 2024

Acești Termeni de confidențialitate pentru editori Taboola (“Termeni de confidențialitate pentru editori”) se aplică serviciilor de publicitate digitală ale Taboola, cum ar fi atunci când Taboola plasează conținut al Advertiserului pe proprietățile Editorului, inclusiv, dar fără a se limita la, produse și servicii ale Editorului, cum ar fi Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News și Taboola Push, în conformitate cu un acord între Taboola și un Editor (“Acord”), și acești Termeni de confidențialitate pentru editori vor fi considerați încorporați și vor face parte integrantă din orice astfel de Acord. Acești Termeni de confidențialitate pentru editori identifică rolurile și responsabilitățile Taboola și ale Editorului cu privire la datele cu caracter personal.

În cazul în care există un conflict între Termenii de confidențialitate pentru editori și Acord, Termenii de confidențialitate pentru editori vor prevala, cu excepția cazului în care prevederea contradictorie din Acord face referire în mod expres la prevederea contradictorie a acestor Termeni de confidențialitate pentru editori și specifică că înlocuiește prevederea contradictorie.

Termenii definiți în această secțiune vor avea semnificațiile stabilite mai jos, iar termenii înrudiți vor fi interpretați în consecință. Termenii cu majuscule utilizați, dar care nu sunt definiți în Termenii de confidențialitate pentru editori vor avea semnificațiile definite în Acord.

      1. Legile aplicabile privind protecția datelor” înseamnă toate legile federale, naționale, statale sau de altă natură aplicabile privind confidențialitatea și protecția datelor care se aplică Prelucrării care face obiectul Acordului și al acestor Termeni de confidențialitate pentru editori, care pot fi modificate sau înlocuite din când în când.
      2. Legea privind confidențialitatea din California” înseamnă Legea privind confidențialitatea consumatorilor din California din 2018, Cal. Codul civil § 1798.100 și următoarele (de asemenea, “CCPA“), astfel cum a fost modificat (inclusiv prin Legea privind drepturile de confidențialitate din California) și orice legislație subordonată și reglementări de punere în aplicare.
      3. Controlor” înseamnă: (i) o entitate care stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal și (ii) orice persoană sau entitate care se încadrează în domeniul de aplicare al termenului “operator” sau “afacere” (sau orice termen substanțial analog), așa cum este definit în legile aplicabile privind protecția datelor.
      4. Persoana vizată” înseamnă: (i) o persoană fizică identificată sau identificabilă (și, în aceste scopuri, o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un identificator, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai mulți factori specifici identitatea mentală, economică, culturală sau socială a acelei persoane fizice) și (ii) orice persoană care se încadrează în domeniul de aplicare al termenului “persoană vizată”, “consumator” (sau orice termen substanțial analog), așa cum este definit în legile privind protecția datelor.
      5. Legea UE privind protecția datelor” înseamnă: (i) Regulamentul general al UE privind protecția datelor (Regulamentul 2016/679) (“GDPR UE”); (ii) Directiva UE privind confidențialitatea și comunicațiile digitale (Directiva 2002/58/CE); și (iii) orice legi naționale privind protecția datelor adoptate în temeiul sau în conformitate cu (i) sau (ii), fiecare dintre ele putând fi modificată sau înlocuită din când în când.
      6. Date personale” înseamnă orice informație care se referă la o persoană identificată sau identificabilă (iar acest termen trebuie să includă, în cazul în care acest lucru este impus de legislația aplicabilă privind protecția datelor, identificatori unici de browser sau dispozitiv), astfel cum se prevede în anexa A, partea B.
        1. Date cu caracter personal de interacțiune” înseamnă orice date cu caracter personal colectate de la consumatori la momentul sau în urma interacțiunii intenționate a unui consumator cu Taboola, produsele Taboola, proprietățile Taboola și reclamele plasate de Taboola.
        2. Date cu caracter personal cu interacțiune pasivă” înseamnă orice date cu caracter personal colectate pasiv de la proprietățile editorului, inclusiv, dar fără a se limita la, adresa IP, adresa URL a paginii și șirul de agent de utilizator colectate de Taboola, înainte sau în absența interacțiunii intenționate a unui consumator cu Taboola, produsele Taboola, proprietățile Taboola și reclamele plasate de Taboola.
      7. Proces” înseamnă orice operațiune sau set de operațiuni care se efectuează asupra datelor cu caracter personal sau a seturilor de date cu caracter personal, prin mijloace automatizate sau nu, cum ar fi colectarea, primirea, înregistrarea, organizarea, structurarea, utilizarea, transmiterea, accesarea, partajarea, dezvăluirea, transferul, stocarea, adaptarea sau modificarea, recuperarea, consultarea, diseminarea sau punerea la dispoziție în alt mod, alinierea sau combinarea, agregarea, deducerea, derivarea, analiza, restricționarea, ștergerea, distrugerea sau eliminarea sau altă gestionare a datelor cu caracter personal, inclusiv modul în care acest termen este definit în conformitate cu Legea aplicabilă privind protecția datelor.
      8. Procesor” înseamnă o entitate care prelucrează date cu caracter personal în numele unui operator și include modul în care acest termen și/sau termenul “procesator de date” (sau orice termen substanțial analog) este definit în conformitate cu Legea aplicabilă privind protecția datelor.
      9. Transfer restricționat” înseamnă: (i) în cazul în care se aplică GDPR UE, un transfer de date cu caracter personal din SEE către o țară din afara SEE care nu face obiectul unei determinări de adecvare de către Comisia Europeană (un “Transfer restricționat în UE“); și (ii) în cazul în care se aplică GDPR din Regatul Unit, un transfer de date cu caracter personal din Regatul Unit către orice altă țară care nu face obiectul sau nu se bazează pe reglementările privind adecvarea în conformitate cu secțiunea 17A din Legea privind protecția datelor din Regatul Unit din 2018 (a “Transfer restricționat în Marea Britanie“).
      10. Servicii” înseamnă serviciile furnizate de Taboola în temeiul Acordului cu Editorul.
      11. “Incident de securitate” înseamnă o încălcare a securității care duce la distrugerea, pierderea, modificarea, dezvăluirea neautorizată sau accesul accidental sau ilegal la datele cu caracter personal.
      12. “Clauze contractuale standard” înseamnă: (i) în cazul în care se aplică RGPD UE, clauzele contractuale anexate la Decizia de punere în aplicare 2021/914 a Comisiei Europene din 4 iunie 2021 privind clauzele contractuale standard pentru transferul de date cu caracter personal către țări terțe în temeiul Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului (“SCC din UE”); și (ii) în cazul în care se aplică GDPR din Regatul Unit, “Actul adițional privind transferul internațional de date la clauzele contractuale standard ale Comisiei UE” emis de Comisarul pentru informații în temeiul articolului 119A alineatul (1) din DPA 2018 (“Anexa din Marea Britanie”).
      13. Terț” înseamnă o afacere care acționează în calitate de operator în ceea ce privește datele cu caracter personal și care nu este afacerea cu care persoana vizată ale cărei date cu caracter personal sunt prelucrate a interacționat în mod intenționat; termenul include modul în care acest termen este definit în conformitate cu Legea aplicabilă privind protecția datelor.
      14. Legea privind protecția datelor din Marea Britanie” înseamnă: (i) Legea privind protecția datelor din Regatul Unit din 2018, (ii) GDPR din Regatul Unit (așa cum este definit la articolul 3(10) din Legea privind protecția datelor din Regatul Unit din 2018) (“GDPR din Marea Britanie“), (iii) Regulamentul din 2003 privind confidențialitatea și comunicațiile electronice din Regatul Unit (Directiva CE) și (iv) orice alte legi din Regatul Unit adoptate în conformitate cu (i), (ii) sau (iii), fiecare dintre ele putând fi modificată sau înlocuită din când în când.

Pentru Datele cu caracter personal prelucrate în legătură cu Serviciile, fiecare parte este de acord să prelucreze datele cu caracter personal pe care le colectează numai în scopurile descrise în Anexa A, Partea B (“Scopuri permise“) și conform acestor Termeni de confidențialitate pentru editori, Acord și Legi aplicabile privind protecția datelor, deoarece fiecare dintre acestea poate fi actualizat din când în când. Taboola poate, de asemenea, să prelucreze datele cu caracter personal de interacțiune pasivă, așa cum este permis de Politica de confidențialitate Taboola și astfel cum pot fi actualizate din când în când.

Fiecare parte va prelucra datele cu caracter personal de interacțiune pasivă pe care le colectează în calitate de operator sau terță parte, după caz. Fiecare parte va prelucra datele cu caracter personal de interacțiune pe care le colectează în calitate de operator sau de companie, după caz. Dezvăluirile (fie direct, fie prin intermediul unei părți care pune date la dispoziția celeilalte părți) ale datelor cu caracter personal de la o parte la alta sunt dezvăluiri către terți.

      1. Dacă Legea privind protecția datelor din SUA sau din statul SUA se aplică datelor cu caracter personal, inclusiv, dar fără a se limita la Legea privind confidențialitatea din California, în măsura în care Taboola prelucrează date cu caracter personal cu interacțiune pasivă în legătură cu Serviciile, Taboola acționează în calitate de terță parte a editorului pentru astfel de date cu caracter personal cu interacțiune pasivă. Taboola va prelucra astfel de date cu caracter personal de interacțiune pasivă în scopurile descrise în Anexa A, Partea B și conform acestor Termeni de confidențialitate ai editorului, Acordul, Legea aplicabilă privind protecția datelor și Politica de confidențialitate a Taboola, fiecare dintre ele poate fi actualizată din când în când. Astfel de date cu caracter personal de interacțiune pasivă sunt puse la dispoziția Taboola numai în astfel de scopuri. Taboola va oferi același nivel de protecție a confidențialității ca cel cerut companiilor de legile aplicabile privind protecția datelor din SUA, inclusiv, dacă este cazul, legile privind confidențialitatea din California. Editorul are dreptul de a se asigura că Taboola utilizează datele cu caracter personal de interacțiune pasivă într-o manieră în concordanță cu obligațiile Editorului. După notificarea către Taboola, Editorul are dreptul de a lua măsuri rezonabile și adecvate pentru a opri și remedia utilizarea neautorizată a datelor cu caracter personal pe care le pune la dispoziția Taboola. Taboola va informa Editorul în perioada de timp impusă de Legile aplicabile privind protecția datelor dacă Taboola stabilește că nu mai este în măsură să își îndeplinească obligațiile în temeiul Legilor aplicabile privind protecția datelor. În măsura în care Taboola colectează date cu caracter personal de interacțiune în legătură cu Serviciile, va face acest lucru ca o afacere separată.

Părțile recunosc că pot prelucra date cu caracter personal și că legile aplicabile privind protecția datelor se pot aplica prelucrării datelor cu caracter personal de către fiecare parte. În acest caz, fiecare parte trebuie să respecte aceste legi aplicabile privind protecția datelor în ceea ce privește prelucrarea datelor cu caracter personal. În acest caz și sub rezerva secțiunii 7, fiecare parte va fi responsabilă individual pentru propria respectare a legilor aplicabile privind protecția datelor, inclusiv orice cerințe aplicabile pentru: (i) asigurarea transparenței persoanelor vizate, (ii) consimțământul sau un alt temei legal pentru prelucrare și (iii) punerea la dispoziție a unui punct de contact prin care persoanele vizate își pot exercita drepturile de protecție a datelor. Editorul va notifica cu promptitudine Taboola dacă și în măsura în care primește orice cerere de drepturi de protecție a datelor privind prelucrarea datelor cu caracter personal de către Taboola în calitate de operator, astfel încât Taboola să poată îndeplini solicitarea în conformitate cu obligațiile sale în temeiul Legii aplicabile privind protecția datelor.

  1. Editorul va direcționa orice solicitări ale persoanelor vizate primite cu privire la Serviciile Taboola către Portalul global de solicitare a accesului persoanelor vizate de la Taboola sau Statele Unite ale Americii Portalul de renunțare la drepturile consumatorilor, după caz.

În cazul în care oricare dintre părți primește o anchetă, o plângere sau o corespondență (o “Notificare terță parte“) de la o persoană, autoritate de reglementare sau altă terță parte cu privire la prelucrarea datelor cu caracter personal ale persoanei vizate în legătură cu Serviciile, va informa cu promptitudine cealaltă parte, iar părțile vor coopera cu bună-credință și după cum este necesar în mod rezonabil pentru a răspunde cerințelor unei astfel de notificări a terților.

În cazul în care oricare dintre părți efectuează un transfer restricționat de date cu caracter personal către cealaltă parte, se aplică prevederile anexei C.

În măsura în care Taboola colectează Date cu caracter personal de la Proprietățile Editorului utilizând cod, pixeli și alte tehnologii de urmărire Taboola, Editorul trebuie: (i) să furnizeze toate notificările de transparență necesare persoanelor vizate cu privire la utilizarea de către Taboola a codului Taboola pentru a colecta Date cu caracter personal de la Proprietățile Editorului în scopurile permise și (ii) să obțină (și, la cererea în orice moment de către Taboola, să furnizeze dovezi adecvate ale consimțământului persoanei vizate pentru o astfel de utilizare a codului Taboola în scopurile permise, în fiecare caz în conformitate cu cerințele legilor aplicabile privind protecția datelor. Obligațiile editorului în acest sens includ identificarea Taboola și utilizarea codului Taboola în scopurile permise în mod expres în notificările de transparență și solicitările de consimțământ pe care editorul le furnizează persoanelor vizate, precum și orice alte informații cerute de legile aplicabile privind protecția datelor, astfel încât Taboola să își poată furniza serviciile în mod legal prin intermediul acestor proprietăți și să prelucreze datele cu caracter personal în scopurile permise. La cererea scrisă, Taboola va furniza Editorului informațiile pe care Editorul le poate solicita în mod rezonabil cu privire la codul Taboola și la Prelucrarea datelor cu caracter personal de către Taboola prin intermediul Proprietăților Editorului pentru Editor, pentru a se asigura că mecanismele sale de notificare și consimțământ vor respecta Legile aplicabile privind protecția datelor. Editorul este de acord în mod specific că:

  1. în ceea ce privește proprietățile sale bazate pe web, Politica de confidențialitate a editorului va descrie utilizarea cookie-urilor, a identificatorilor unici și a tehnologiilor non-cookie de către terți (de exemplu, Taboola) pentru publicitate și analiză bazate pe interese (în și în afara proprietăților) și va oferi un link fie către pagina de renunțare a industriei NAI la http://www.networkadvertising.org, fie către pagina de renunțare a industriei DAA la http://www.aboutads.info sau (în ceea ce privește mass-media și colectarea de date bazate pe web europeană) un link către renunțarea EDAA link la http://www.youronlinechoices.eu, într-o manieră care să îndeplinească cerințele Legii aplicabile privind protecția datelor; și
  2. în ceea ce privește Proprietățile bazate pe aplicații mobile, Politica de confidențialitate a Editorului va descrie utilizarea în aplicațiile sale mobile a SDK-urilor și colectarea identificatorilor de anunțuri mobile pentru publicitate și analiză bazate pe interese sau între aplicații (în cadrul și în afara Proprietăților); și oferă o descriere a modului în care utilizatorii și vizitatorii pot renunța la colectarea datelor mobile pentru publicitate între aplicații prin setările dispozitivului.
  3. pentru Proprietățile sale orientate spre UE, Editorul se va asigura că obține consimțământul liber, specific, informat și lipsit de ambiguitate al Vizitatorilor, în conformitate cu Legea UE privind confidențialitatea, cu privire la plasarea sau accesarea oricăror cookie-uri Taboola sau orice alți identificatori unici pe dispozitivul (dispozitivele) Vizitatorilor. Editorul va furniza vizitatorilor săi datele de contact (care pot include punerea la dispoziție a acestor detalii prin intermediul Politicii sale de confidențialitate), astfel încât aceștia să poată contacta Editorul pentru a-și exercita drepturile de protecție a datelor (inclusiv în legătură cu datele cu caracter personal prelucrate în legătură cu Serviciile). Obligațiile de mai sus se aplică în cazul în care Proprietățile Editorului atrag Vizitatori în jurisdicții care necesită mecanisme de consimțământ cu privire la Servicii.

Pe durata Termenului, Taboola poate furniza Editorului politica de confidențialitate recomandată sau limbajul de dezvăluire. Editorul recunoaște că nu se va baza pe un astfel de limbaj recomandat ca sau ca un substitut pentru consultanță juridică și că Editorul sau Compania însăși este singura responsabilă pentru orice dezvăluiri în politica sa de confidențialitate sau pe site-ul său web.

Editorul nu va furniza sau configura Serviciile pentru a colecta sau dezvălui în alt mod către Taboola categorii speciale de date cu caracter personal sau informații personale sensibile sau date sensibile (așa cum sunt definite în Legea aplicabilă privind protecția datelor) către Taboola pentru prelucrare. În plus, Editorul se va asigura că orice adrese URL de pagină puse la dispoziția Taboola nu vor conține informații despre titlul videoclipului. Taboola își rezervă dreptul de a suspenda Serviciile pentru nerespectarea de către Editor a acestui paragraf, cu excepția cazului în care și până când o astfel de neîndeplinire este remediată.

Fiecare parte va implementa măsuri de securitate tehnice și organizatorice adecvate pentru a proteja datele cu caracter personal ale vizitatorilor împotriva unui incident de securitate. Aceste măsuri includ măsurile prevăzute în anexa B.

În cazul în care oricare dintre părți suferă un incident de securitate în ceea ce privește datele cu caracter personal pe care le prelucrează și care fac obiectul acordului și al acestor Termeni de confidențialitate ai editorului, acea parte va: (i) să fie responsabilă pentru îndeplinirea (pe cheltuiala sa) a oricăror obligații de raportare care i se aplică în conformitate cu legile aplicabile privind protecția datelor către autoritățile de protecție a datelor și/sau persoanele vizate afectate, (ii) să notifice cealaltă parte fără întârzieri nejustificate, furnizând informațiile despre incidentul de securitate care pot fi solicitate în mod rezonabil de cealaltă parte sau după cum este necesar celeilalte părți pentru a stabili dacă poate avea, de asemenea, obligații de raportare în conformitate cu legile aplicabile privind protecția datelor în ceea ce privește incidentul de securitate și (iii) lua toate aceste acțiuni și măsuri, fără întârzieri nejustificate, după cum este adecvat pentru remedierea și/sau atenuarea efectelor incidentului de securitate.

În cazul în care și în măsura în care acest lucru este impus de legile aplicabile privind protecția datelor la care este supusă fiecare parte, fiecare parte va efectua orice evaluare a impactului asupra protecției datelor în ceea ce privește prelucrarea datelor cu caracter personal în scopurile permise și/sau se va consulta cu autoritățile de protecție a datelor aplicabile, dacă este necesar. Fiecare parte furnizează toate cooperările și informațiile rezonabile solicitate în mod rezonabil de cealaltă parte, în cazul în care acest lucru este necesar pentru a permite celeilalte părți să finalizeze o evaluare a impactului asupra protecției datelor și/sau să se consulte cu autoritățile de protecție a datelor aplicabile în conformitate cu obligațiile celeilalte părți în temeiul prezentei secțiuni.

A. LISTA PĂRȚILOR

Fiecare parte este:

  • un operator de date (și un exportator de date) al Datelor colectate pe care le dezvăluie sau le pune la dispoziția celeilalte părți și
  • un operator de date (și importator de date) al datelor colectate pe care le primește de la cealaltă parte sau la care accesul este pus la dispoziție de cealaltă parte.

Detaliile fiecărei părți sunt furnizate mai jos.

Nume: Consultați detaliile Advertiserului prezentate în Acord.

Adresă: Consultați detaliile Advertiserului prezentate în Acord.

Numele, funcția și datele de contact ale persoanei de contact: Consultați detaliile Advertiserului stabilite în Acord sau convenite în scris între părți.

Activități relevante pentru datele transferate în temeiul acestor clauze: Primirea Serviciilor, așa cum este prevăzut în Acord.

Semnătură și data: Această anexă A va fi considerată executată după acceptarea de către Advertiser a acestor Termeni de confidențialitate a Advertiserului.

Rol (operator/procesator): Operator (în cazul în care este un exportator de date) și Operator (în cazul în care este un importator de date)

 

Nume: A se vedea detaliile Taboola prezentate în introducerea acordului.

Adresă: A se vedea detaliile Taboola prezentate în introducerea acordului.

Numele, funcția și datele de contact ale persoanei de contact: Echipa de confidențialitate a Taboola, privacy@taboola.com.

Activități relevante pentru datele transferate în temeiul acestor clauze: Furnizarea Serviciilor, așa cum este prevăzut în Acord.

Semnătură și data: Această anexă A va fi considerată executată după acceptarea de către Taboola a acestor Termeni de confidențialitate pentru agenții de publicitate.

Rol (operator/procesator): Operator (în cazul în care este un exportator de date) și Operator (în cazul în care este un importator de date)

 

B. DESCRIEREA PRELUCRĂRII ȘI TRANSFERULUI 

Categorii de persoane vizate ale căror date cu caracter personal sunt prelucrate și/sau transferate: Utilizatorii

Categorii de date cu caracter personal prelucrate și/sau transferate:

Date despre dispozitiv: Sistemul de operare, tipul de browser, versiunea browserului, adresa IP (trunchiată în termen de 30 de zile) de la colectare, codul poștal (derivat din adresa IP), ID-ul de utilizator Taboola hash, e-mailurile hashate, vizitele inițiale și ulterioare la pagina site-ului Advertiserului, sexul utilizatorului (dedus de interese), semnalele de implicare (timpul petrecut pe site, adâncimea derulării, adâncimea sesiunii), date de conversie.

Date despre proprietatea digitală vizitată de utilizator: URL-ul paginii vizitate, site-ul de referință

Date sensibile transferate (dacă este cazul) și restricții sau garanții aplicate care iau în considerare pe deplin natura datelor și riscurile implicate, cum ar fi, de exemplu, limitarea strictă a scopului, restricțiile de acces (inclusiv accesul numai pentru personalul care a urmat o formare specializată), păstrarea unei evidențe a accesului la date, restricții pentru transferurile ulterioare sau măsuri de securitate suplimentare: Nu se aplică.

Frecvența prelucrării și/sau transferurilor (de exemplu, dacă datele sunt prelucrate și/sau transferate o singură dată sau continuu): Continuu pe durata Acordului.

Natura prelucrării: Prelucrarea datelor cu caracter personal necesare pentru furnizarea Serviciilor, așa cum este prevăzut în Acord.

Scopul (scopurile) prelucrării / transferului datelor și prelucrării ulterioare: Furnizarea Serviciilor, așa cum este prevăzut în Acord. Pentru evitarea oricărui dubiu, scopurile permise includ: (i) stocarea și/sau accesarea informațiilor pe un dispozitiv; (ii) selectarea reclamelor de bază; (iii) crearea unui profil de anunțuri personalizat; (iv) selectarea anunțurilor personalizate; (v) crearea unui profil de conținut personalizat; (vi) selectarea conținutului personalizat; (vii) măsurarea performanței publicității; (viii) măsurarea performanței conținutului; (ix) dezvoltarea și îmbunătățirea produselor; (x) asigurarea securității, prevenirea fraudei și depanarea; (xi) livrarea tehnică a reclamelor sau a conținutului; (xii) potrivirea și combinarea surselor de date offline; (xiii) conectarea diferitelor dispozitive; (xiv) primirea și utilizarea caracteristicilor dispozitivului transmise automat pentru identificare; (xv) utilizarea datelor limitate pentru selectarea conținutului și (xvi) înțelegerea audiențelor prin statistici.

Perioada pentru care datele cu caracter personal vor fi păstrate sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a determina această perioadă:

  • Taboola: Datele brute sunt stocate timp de cel mult 13 luni.
  • Publicitate: Atât timp cât este necesar pentru a primi Serviciile sau așa cum este specificat în alt mod în Acord.

Pentru transferurile către (sub)procesatori, specificați, de asemenea, obiectul, natura și durata prelucrării: Nu se aplică.

 

C. AUTORITATEA DE SUPRAVEGHERE COMPETENTĂ

Autoritatea de supraveghere competentă în cazul în care se aplică RGPD UE: Autoritatea de supraveghere competentă pentru fiecare parte este descrisă mai jos:

  • Taboola: Autoritatea de supraveghere competentă se stabilește în conformitate cu clauza 13 din CCS UE.
  • Publicitate: Autoritatea de supraveghere competentă se stabilește în conformitate cu clauza 13 din CCS UE.

Autoritatea de supraveghere competentă în cazul în care se aplică GDPR din Regatul Unit: Biroul Comisarului pentru Informații

Descrierea măsurilor tehnice și organizatorice puse în aplicare de fiecare parte (inclusiv orice certificări relevante) pentru a asigura un nivel adecvat de securitate, ținând seama de natura, domeniul de aplicare, contextul și scopul prelucrării, precum și de riscurile pentru drepturile și libertățile persoanelor fizice.

Măsuri de pseudonimizare și criptare a datelor cu caracter personal: Taboola colectează doar date pseudonimizate, ceea ce înseamnă că nu știm cine sunteți, deoarece nu cunoaștem sau nu prelucrăm numele utilizatorului, adresa de e-mail sau alte date identificabile. Informațiile despre utilizator pe care le colectăm includ, dar nu se limitează la, informații despre dispozitivul și sistemul de operare al unui utilizator, adresa IP, paginile web accesate de utilizatori pe site-urile web ale clienților noștri, linkul care a condus un utilizator la site-ul web al unui client, datele și orele în care un utilizator accesează site-ul web al clienților și alte date de navigare pe web. CookieID-ul este anonimizat folosind Bcrypt și adresa IP este trunchiată.

Măsuri pentru asigurarea confidențialității, integrității, disponibilității și rezilienței continue a sistemelor și serviciilor de prelucrare: Taboola folosește mai multe niveluri de securitate electronică (de exemplu: securitatea endpoint-urilor, securitatea serverului, urmărirea detectărilor, teste periodice de penetrare și colectarea de informații profunde pentru a revizui evenimentele post-mortem).

Măsuri pentru asigurarea capacității de a restabili disponibilitatea și accesul la datele cu caracter personal în timp util în cazul unui incident fizic sau tehnic: Taboola menține 9 centre de date care funcționează în întreaga lume. Fiecare centru de date este folosit ca o replică a celuilalt, astfel încât dacă unul cade, datele pot fi extrase din alt centru de date.

Procese de testare, evaluare și evaluare periodică a eficacității măsurilor tehnice și organizatorice pentru a asigura securitatea prelucrării: Taboola menține procese stricte pentru testarea eficacității controalelor sale (atât tehnice, cât și organizaționale). Avem înregistrare și monitorizare a sistemului, teste DR lunare (cel puțin), teste de penetrare trimestriale, firewall-uri care protejează web-ul și honeypots răspândite în rețea pentru a găsi orice activitate rău intenționată. Mai mult, avem un program de recompense care ne ajută să ne monitorizăm constant rețeaua.

Măsuri de identificare și autorizare a utilizatorilor: Fiecare utilizator din Taboola este asociat cu un nume de utilizator și o parolă dedicate. Fiecare acces la rețeaua internă Taboola se face cu 2FA folosind autentificarea Google. Utilizatorii sunt creați doar de departamentul IT, în timpul procesului de onboarding și numai după primirea tuturor detaliilor și a contractului semnat de la departamentul de HR.

Măsuri de protecție a datelor în timpul transmiterii: Taboola acceptă orice transmisie de date prin protocoale de transmisie securizate (HTTPS și TLS v1.2 cel puțin). În plus, sistemele care ar putea conține PII sunt securizate și datele sunt păstrate hash și anonimizate.

Măsuri de protecție a datelor în timpul stocării: Datele stocate în bazele noastre de date sunt anonimizate și hashate folosind Bcrypt. Accesul la baza de date este minimizat și bazat pe principiul “nevoii de cunoaștere a afacerii”.

Măsuri pentru asigurarea securității fizice a locațiilor în care sunt prelucrate datele cu caracter personal: Fiecare dintre centrele de date globale ale Taboola (în SUA, Europa și Asia) are toate serverele sale situate în dulapuri încuiate care sunt întreținute exclusiv pentru uzul Taboola. Aceste dulapuri sunt întreținute de companii care sunt fie certificate SOC2, fie Taboola și-a revizuit măsurile de securitate. Mai mult, orice acces la servere necesită permisiune scrisă, înregistrată. Toate birourile Taboola sunt, de asemenea, controlate și necesită angajaților să folosească carduri de acces pentru a intra. În plus, doar un număr limitat de angajați au acces la serverele Taboola și orice acces necesită, de asemenea, permisiunea scrisă, înregistrată.

Măsuri pentru asigurarea înregistrării evenimentelor: Taboola implementează instrumente de monitorizare și jurnalele sunt colectate în sistemul nostru SIEM, care ne alertează cu privire la orice eveniment suspect și, de asemenea, sunt monitorizate de echipa NOC.

Măsuri pentru asigurarea configurației sistemului, inclusiv configurația implicită: Serverele sunt scanate atât pentru devierea configurației, cât și pentru nivelul de corecție. Raportarea și/sau alertarea sunt setate pe ambele și se confirmă nivelul de corecție relevant. Patch-urile noi sunt distribuite folosind Puppet. Toate revizuirile tehnice sunt gestionate prin aplicația de cercetare și dezvoltare și obținute printr-un proces formal de revizuire (QA) după implementarea proceselor de codare și CI/CD.

Măsuri pentru guvernanța și gestionarea internă a securității IT și IT: Taboola este certificat ISO 27001:2013 și 27701. Taboola are o politică de securitate a informațiilor care prevede că Consiliul de Administrație și conducerea Taboola se angajează să păstreze confidențialitatea, integritatea și disponibilitatea tuturor activelor de informații fizice și electronice din întreaga organizație. Taboola organizează cursuri de securitate pentru toți angajații noi, cursuri de phishing pentru toți angajații la nivel global și instruiri regulate de securitate pentru toți angajații și, de asemenea, sesiuni dedicate grupurilor de cercetare și dezvoltare.

Măsuri de certificare/asigurare a proceselor și produselor: Audit intern trimestrial / semestrial / anual pe mai multe procese și sisteme pentru a valida dacă Taboola respectă obiectivele și măsurile de securitate definite.

Măsuri pentru asigurarea reducerii la minimum a datelor: Taboola limitează în mod intenționat datele pe care le colectăm ca parte a principiilor globale de minimizare a datelor Taboola de prelucrare doar a datelor limitate necesare scopurilor noastre specifice de afaceri. În plus, Taboola nu are capacitatea și nici o nevoie de afaceri de a “ingineria inversă” a niciunului dintre punctele de date utilizate în algoritmul nostru pentru a furniza serviciile noastre. Mai exact, punctele de date pe care le colectează Taboola nu indică niciodată identitatea unui utilizator – deoarece Taboola nu colectează sau procesează informații precum numele utilizatorului, numărul de telefon, e-mailul sau adresele fizice. În schimb, Taboola colectează doar identificatori pseudonimi, care identifică doar caracteristicile dispozitivului unui utilizator. Aceasta include adresele IP (care sunt trunchiate la colectare și pot identifica doar locația generală a codului poștal al dispozitivului, dar niciodată o localizare geografică precisă) și, în unele cazuri limitate, adrese de e-mail hash (care sunt inerent ireversibile și nu pot fi decriptate pentru a dezvălui adresa de e-mail originală). Mai mult, chiar și atunci când sunt utilizate colectiv, datele pe care le colectăm nu pot produce niciodată numele, numărul de telefon, e-mailul sau adresa fizică a unei persoane, iar inginerii noștri nu lucrează în niciun fel pentru a atinge acest obiectiv. În plus, Taboola face și înregistrează evaluări ale impactului asupra confidențialității în efortul de a minimiza riscurile de confidențialitate ale serviciilor, proceselor și politicilor noastre.

Măsuri pentru asigurarea calității datelor: Datele sunt colectate direct de la utilizator și utilizatorului i se oferă posibilitatea de a corecta orice date asociate cu CookieID-ul său prin intermediul portalului de solicitare a accesului subiectului Taboola: https://accessrequest.taboola.com/access

Măsuri pentru asigurarea păstrării limitate a datelor: Păstrăm informațiile utilizatorului, care sunt colectate direct în scopul difuzării reclamelor, timp de cel mult treisprezece (13) luni de la ultima interacțiune a utilizatorului cu serviciile noastre (adesea pentru o perioadă mai scurtă de timp), după care anonimizăm datele prin eliminarea identificatorilor unici sau agregarea datelor. Acest proces se face automat.

Măsuri pentru asigurarea responsabilității: Taboola face mai multe audituri de securitate și teste de penetrare (dar nu pentru toate sistemele). Taboola folosește, de asemenea, furnizori de cloud care sunt certificați ISO și care respectă alte certificări relevante pentru cloud pentru menținerea garanțiilor fizice ale unui server.

Măsuri pentru a permite portabilitatea datelor și a asigura ștergerea: Taboola s-a referit la eliminarea mass-mediei la fel pentru toate tipurile de media, deoarece ar putea conține PII. Orice suport trebuie șters complet înainte de a fi reutilizat sau aruncat. Orice eliminare a suportului este documentată. Angajații sunt instruiți să nu imprime nicio hârtie care ar putea conține informații personale.

  1. În măsura în care o parte efectuează un transfer restricționat al datelor colectate către cealaltă parte, clauzele contractuale standard vor fi încorporate în acești Termeni de confidențialitate pentru editori și se vor aplica după cum urmează:

a. în cazul în care transferul restricționat este un transfer restricționat UE, SCC-urile UE se vor aplica între părți după cum urmează:

  1. (i) Se va aplica modulul unu;
  2. (ii) în Clauza 7, se va aplica Clauza de andocare opțională;
  3. (iv) în clauza 11, limbajul opțional nu se va aplica;
  4. (v) în clauza 17, se va aplica opțiunea 1, iar clauzele contractuale din UE vor fi reglementate de legislația irlandeză;
  5. (vi) în clauza 18 litera (b), litigiile vor fi soluționate în fața instanțelor din Irlanda;
  6. (vii) părțile A, B și C din anexa I se consideră completate cu informațiile prevăzute în părțile A, B și C din anexa A la acești Termeni de confidențialitate pentru editori; și
  7. (vii) Anexa II se consideră completată cu măsurile de securitate prevăzute în Anexa B la acești Termeni de confidențialitate pentru editori;

b. în cazul în care transferul restricționat este un transfer restricționat în Marea Britanie, actul adițional din Marea Britanie se va aplica între părți după cum urmează:

(i) SCC-urile UE, completate astfel cum se prevede mai sus, se aplică între părți și sunt modificate prin actul adițional al Regatului Unit (completat conform alineatului (ii) de mai jos); și

(ii) tabelele 1-3 din actul adițional al Regatului Unit se consideră completate cu informații relevante de la CCS UE, completate conform indicațiilor de mai sus, iar opțiunile “Exportator” și “Importator” se consideră verificate în tabelul 4. Data de începere a Anexei din Marea Britanie (așa cum este stabilită în tabelul 1) va fi Data intrării în vigoare a acestor Termeni de confidențialitate pentru editori.

2. Transferuri restricționate ulterioare: Niciuna dintre părți nu va efectua un transfer restricționat ulterior al datelor colectate pe care le primește de la cealaltă parte, cu excepția cazului în care a făcut toate acțiunile și lucrurile necesare pentru a se asigura că un astfel de transfer restricționat ulterior este în conformitate cu Legea aplicabilă privind protecția datelor și cu orice clauze contractuale standard pe care le-a convenit cu cealaltă parte.