Podmienky ochrany osobných údajov inzerentov

Last Update: November 14, 2025

Dátum nadobudnutia účinnosti:  14. august 2023

Tieto podmienky ochrany osobných údajov inzerentov spoločnosti Taboola („Podmienky ochrany osobných údajov inzerentov“) sa vzťahujú na digitálne reklamné služby spoločnosti Taboola, napríklad keď spoločnosť Taboola distribuuje obsah inzerentov prostredníctvom svojej distribučnej platformy Taboola Dynamic Creative Optimization (DCO) alebo GenAI Landing Page na základe dohody medzi spoločnosťou Taboola a inzerentom („Dohoda“), a tieto podmienky ochrany osobných údajov inzerentov sa považujú za súčasť a neoddeliteľnú súčasť akejkoľvek takejto dohody.  Tieto podmienky ochrany osobných údajov inzerentov určujú úlohy a zodpovednosti spoločnosti Taboola a inzerentov v súvislosti s osobnými údajmi.

V prípade rozporu medzi podmienkami ochrany osobných údajov inzerenta a zmluvou budú mať prednosť podmienky ochrany osobných údajov inzerenta, pokiaľ rozporuplné ustanovenie zmluvy výslovne neodkazuje na rozporuplné ustanovenie týchto podmienok ochrany osobných údajov inzerenta a neuvádza, že má prednosť pred týmto rozporuplným ustanovením.

Pojmy definované v tejto časti majú význam uvedený nižšie a príbuzné pojmy sa vykladajú zodpovedajúcim spôsobom. Pojmy s veľkým začiatočným písmenom, ktoré sú použité, ale nie sú definované v Podmienkach ochrany osobných údajov inzerenta, majú význam definovaný v Dohode.

      1. Príslušné zákony o ochrane údajov“ znamenajú všetky federálne, národné, štátne alebo iné zákony o ochrane súkromia a údajov, ktoré sa vzťahujú na spracovanie, ktoré je predmetom zmluvy a týchto podmienok pre inzerentov, ktoré môžu byť čas od času zmenené alebo nahradené.
      2. Zozbierané údaje“ znamenajú osobné údaje, ktoré každá strana zbiera od dotknutých osôb na svojich serveroch alebo sieťach alebo prostredníctvom nich (vrátane všetkých pasívne zbieraných alebo strojovo čitateľných údajov, ako sú údaje založené na type prehliadača a identifikátoroch zariadení) v súvislosti s poskytovaním alebo prijímaním služieb.
      3. „Správca“ znamená: (i) subjekt, ktorý určuje účely a prostriedky spracúvania osobných údajov, a (ii) akúkoľvek osobu, ktorá spadá do rozsahu pojmu „správca“ (alebo akéhokoľvek podstatne analogického pojmu) podľa definície v platných zákonoch o ochrane údajov.
      4. Kalifornský zákon o ochrane súkromia“ znamená Kalifornský zákon o ochrane súkromia spotrebiteľov z roku 2018, Cal. Občiansky zákonník § 1798.100 a nasl. („CCPA“) v znení neskorších zmien a doplnení (vrátane zákona o ochrane súkromia v Kalifornii) a akékoľvek podriadené právne predpisy a vykonávacie nariadenia.
      5. „Subjekt údajov“ znamená: (i) identifikovanú alebo identifikovateľnú fyzickú osobu (a na tieto účely je identifikovateľná fyzická osoba tá, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, údaje o polohe, online identifikátor alebo jeden alebo viacero faktorov špecifických pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby), a (ii) akúkoľvek osobu, ktorá spadá do rozsahu pojmu „dotknutá osoba“, „spotrebiteľ“ (alebo akéhokoľvek podstatne analogického pojmu) podľa definície v zákonoch o ochrane údajov.
      6. „Zákon EÚ o ochrane údajov“ znamená: (i) Všeobecné nariadenie EÚ o ochrane údajov (nariadenie 2016/679) („EU GDPR“); (ii) smernicu EU o elektronickom súkromí (smernica 2002/58/ES); a (iii) akékoľvek vnútroštátne zákony o ochrane údajov prijaté na základe alebo v súlade s (i) alebo (ii), ktoré môžu byť čas od času zmenené alebo nahradené.
      7. Povolené účely“ majú význam uvedený v časti 3.
      8. Osobné údaje“ znamenajú akékoľvek informácie týkajúce sa dotknutej osoby (vrátane, ak to vyžaduje platný zákon o ochrane údajov, jedinečných identifikátorov prehliadača alebo zariadenia), ako je uvedené v prílohe A, časť B.
      9. „Spracovanie“ znamená akúkoľvek operáciu alebo súbor operácií, ktoré sa vykonávajú s osobnými údajmi alebo súbormi osobných údajov, či už automatizovanými prostriedkami, alebo nie, ako je zber, prijímanie, zaznamenávanie, organizovanie, štruktúrovanie, používanie, prenos, prístup, zdieľanie, zverejňovanie, prenos, ukladanie, prispôsobovanie alebo zmena, vyhľadávanie, konzultácia, šírenie alebo iné sprístupňovanie, zosúlaďovanie alebo kombinovanie, agregácia, odvodzovanie, analýza, obmedzenie, vymazanie, zničenie alebo likvidácia alebo iné spracovanie osobných údajov, vrátane toho, ako je tento pojem definovaný v príslušnom zákone o ochrane údajov.
      10. „Sprostredkovateľ“ znamená: (i) subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa, a (ii) akúkoľvek osobu, ktorá spadá do rozsahu pojmu „sprostredkovateľ“ (alebo akéhokoľvek podstatne analogického pojmu) podľa definície v platných právnych predpisoch o ochrane údajov.
      11. Obmedzený prenos“ znamená: (i) v prípade, že sa uplatňuje EU GDPR, prenos osobných údajov z EHP do krajiny mimo EHP, ktorá nie je predmetom rozhodnutia Európskej komisie o primeranosti („obmedzený prenos v rámci EU“); a (ii) v prípade, že sa uplatňuje UK GDPR, prenos osobných údajov zo Spojeného kráľovstva do akejkoľvek inej krajiny, ktorá nepodlieha ani sa nezakladá na nariadeniach o primeranosti podľa oddielu 17A zákona Spojeného kráľovstva o ochrane údajov z roku 2018 („obmedzený prenos Spojeného kráľovstva“).
      12. Predaj“ a „predávať“ znamenajú výmenu osobných údajov za peňažnú alebo inú hodnotnú protihodnotu a zahŕňajú definície týchto pojmov podľa platných zákonov o ochrane údajov.
      13. „Služby“ znamenajú služby poskytované spoločnosťou Taboola na základe zmluvy s inzerentom.
      14. Bezpečnostný incident“ znamená porušenie bezpečnosti vedúce k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému zverejneniu alebo prístupu k osobným údajom.
      15. Standard Contractual Clauses“ znamenajú: (i) ak sa uplatňuje nariadenie EU GDPR, zmluvné doložky priložené k vykonávaciemu rozhodnutiu Európskej komisie 2021/914 zo 4. júna 2021 o standard contractual clauses pre prenos osobných údajov do tretích krajín podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 („EU SCCs“); a (ii) v prípade, že sa uplatňuje UK GDPR, „Dodatok k Standard Contractual Clauses Európskej komisie týkajúci sa medzinárodného prenosu údajov“ vydaný komisárom pre informácie podľa § 119A ods. 1 zákona o ochrane údajov z roku 2018 („UK Addendum“).
      16. Tretia strana“ znamená podnik, ktorý pôsobí ako prevádzkovateľ osobných údajov a nie je to podnik, s ktorým subjekt údajov, ktorého osobné údaje sa spracúvajú, úmyselne komunikoval; tento pojem zahŕňa aj definíciu tohto pojmu podľa platných zákonov o ochrane údajov.
      17. „Zákon o ochrane údajov UK“ znamená: (i) zákon UK o ochrane údajov z roku 2018, (ii) UK GDPR (ako je definované v § 3 ods. 10 zákona UK o ochrane údajov z roku 2018) („UK GDPR“), (iii) nariadenia Spojeného kráľovstva o súkromí a elektronických komunikáciách (smernica ES) z roku 2003) a (iv) akékoľvek iné zákony Spojeného kráľovstva prijaté na základe alebo v súlade s (i), (ii) alebo (iii), ktoré môžu byť čas od času zmenené alebo nahradené.

Každá strana spracováva zhromaždené údaje, ktoré zhromažďuje alebo prijíma od druhej strany na účely uvedené v prílohe A, časť B („povolené účely).  Inzerent súhlasí s tým, že spoločnosť Taboola bude spracovávať zhromaždené údaje v súlade so zásadami ochrany osobných údajov spoločnosti Taboola (čo, aby nedošlo k pochybnostiam, bude tiež povoleným účelom spoločnosti Taboola).

V rozsahu, v akom sa zhromaždené údaje kvalifikujú ako osobné údaje podľa platných zákonov o ochrane údajov alebo obsahujú osobné údaje, každá strana spracováva zhromaždené údaje, ktoré zhromažďuje alebo prijíma od druhej strany ako prevádzkovateľ (čo môže zahŕňať, ak sa uplatňuje kalifornský zákon o ochrane súkromia, ako tretia strana, ak je to vhodné).  Zverejnenie (či už formou prenosu alebo prostredníctvom strany, ktorá sprístupňuje údaje druhej strane) zhromaždených údajov alebo osobných údajov od jednej strany druhej strane sa považuje za zverejnenie tretím stranám.

      1. Ak sa na zhromaždené údaje vzťahuje zákon o ochrane údajov USA alebo štátu USA, vrátane, ale bez obmedzenia, kalifornského zákona o ochrane súkromia, v rozsahu, v akom Realize Pixels (predtým nazývané „Taboola Pixels“) používané v súvislosti so službami spracúvajú osobné údaje o návštevníkovi, Taboola koná ako tretia strana voči inzerentovi v súvislosti s takýmito osobnými údajmi. Spoločnosť Taboola bude spracúvať takéto osobné údaje na povolené účely. Takéto osobné údaje sú spoločnosti Taboola sprístupnené iba na povolené účely.  Taboola poskytuje rovnakú úroveň ochrany súkromia, akú vyžadujú platné zákony USA o ochrane údajov, vrátane prípadných kalifornských zákonov o ochrane súkromia. Taboola informuje inzerenta v lehote stanovenej príslušným zákonom o ochrane údajov, ak Taboola zistí, že už nie je schopná plniť svoje povinnosti vyplývajúce z príslušných zákonov o ochrane údajov. Po zaslaní oznámenia spoločnosti Taboola má inzerent právo podniknúť primerané a vhodné kroky na zastavenie a nápravu neoprávneného používania osobných údajov, ktoré poskytuje spoločnosti Taboola.

Strany berú na vedomie, že niektoré alebo všetky zhromaždené údaje môžu spadať pod osobné údaje alebo ich obsahovať, a preto sa na spracovanie zhromaždených údajov každou stranou môžu vzťahovať príslušné zákony o ochrane údajov.  V takomto prípade a s výhradou ustanovenia článku 7 je každá strana individuálne zodpovedná za dodržiavanie platných zákonov o ochrane údajov, vrátane všetkých platných požiadaviek na: (i) zabezpečenie transparentnosti voči dotknutým osobám, (ii) získanie súhlasu alebo iného zákonného základu na spracúvanie a (iii) sprístupnenie kontaktného miesta, prostredníctvom ktorého môžu dotknuté osoby uplatňovať svoje práva na ochranu údajov.

V prípade, že jedna zo strán vykoná obmedzený prenos zhromaždených údajov druhej strane, uplatnia sa ustanovenia prílohy C.

a. Taboola používa Realize Pixels na poskytovanie služieb.  Bez ohľadu na ustanovenia článku 5, pokiaľ spoločnosť Taboola zbiera zhromaždené údaje z digitálnych zdrojov inzerenta (ako sú webové stránky, mobilné aplikácie alebo iné) pomocou Realize Pixels, inzerent je povinný: (i) poskytnúť dotknutým osobám všetky požadované oznámenia o transparentnosti týkajúce sa používania Realize Pixels spoločnosťou Taboola na zber zhromaždených údajov z digitálnych zdrojov inzerenta na povolené účely a (ii) získať (a na požiadanie spoločnosti Taboola kedykoľvek poskytnúť primerané dôkazy) súhlas dotknutej osoby s takýmto používaním Realize Pixels na povolené účely, a to v každom prípade v súlade s požiadavkami platných zákonov o ochrane údajov.  Povinnosti inzerenta v tomto ohľade zahŕňajú identifikáciu spoločnosti Taboola a jej používanie Realize Pixels na povolené účely výslovne v oznámeniach o transparentnosti a výzvach na súhlas, ktoré inzerent poskytuje dotknutým osobám, ako aj akékoľvek ďalšie informácie vyžadované platnými zákonmi o ochrane údajov, aby spoločnosť Taboola mohla zákonne poskytovať svoje služby prostredníctvom takýchto digitálnych prostriedkov a spracovávať zhromaždené údaje a osobné údaje na povolené účely. V rozsahu, v akom inzerent využíva službu Gen AI Landing Page spoločnosti Taboola, spoločnosť Taboola poskytne transparentné oznámenie a získa súhlas používateľa.

b. Na písomnú žiadosť poskytne spoločnosť Taboola inzerentovi potrebné informácie o Realize Pixels a spracovaní zhromaždených údajov spoločnosťou Taboola prostredníctvom digitálnych prostriedkov inzerenta, aby inzerent mohol zabezpečiť, že jeho mechanizmy oznamovania a súhlasu budú v súlade s platnými zákonmi o ochrane údajov.  Inzerent nesmie aktivovať žiadne Realize Pixels, pokiaľ nebude poskytnutá potrebná transparentnosť a nebudú získané všetky potrebné súhlasy vyžadované podľa platných zákonov o ochrane údajov.

c. Inzerent ďalej poskytne dotknutým osobám informácie o tom, ako môžu uplatňovať svoje práva na ochranu údajov podľa platných zákonov o ochrane údajov, a poskytne kontaktné miesto, na ktoré sa dotknuté osoby môžu obrátiť s cieľom uplatniť svoje práva. Inzerent bezodkladne informuje spoločnosť Taboola, ak a v rozsahu, v akom dostane akúkoľvek žiadosť týkajúcu sa práv na ochranu údajov v súvislosti so spracovaním zhromaždených údajov spoločnosťou Taboola ako prevádzkovateľom, aby mohla spoločnosť Taboola splniť túto žiadosť v súlade so svojimi povinnosťami podľa platných zákonov o ochrane údajov.

Ak spoločnosť Taboola na žiadosť inzerenta odovzdá osobné údaje atribúciou partnerovi inzerenta alebo inzerentovi na účely atribúcie, inzerent vyhlasuje a zaručuje, že: (i) jeho atribúciou partner je spracovateľom v mene inzerenta; (ii) pokiaľ nie sú zhromažďované nezávisle, inzerent a atribúcií partner budú používať takéto osobné údaje výlučne na účely atribúcie; a (iii) atribúcií partner a inzerent vymažú všetky odovzdané osobné údaje do tridsiatich (30) dní od poslednej identifikácie návštevníka ako pochádzajúceho z Taboola.

Každá strana zavedie primerané technické a organizačné bezpečnostné opatrenia na ochranu zhromaždených údajov a/alebo osobných údajov, ktoré spracúva, pred bezpečnostnými incidentmi.  Tieto opatrenia zahŕňajú opatrenia uvedené v prílohe B.

Ak jedna zo strán utrpí bezpečnostný incident v súvislosti so zhromaždenými údajmi a/alebo osobnými údajmi, ktoré spracúva a ktoré sú predmetom zmluvy a týchto podmienok ochrany osobných údajov inzerenta, táto strana: (i) bude zodpovedná za splnenie (na vlastné náklady) všetkých oznamovacích povinností, ktoré sa na ňu vzťahujú podľa platných zákonov o ochrane údajov, voči orgánom na ochranu údajov a/alebo dotknutým subjektom údajov, (ii) bez zbytočného odkladu informovať druhú stranu a poskytnúť jej také informácie o bezpečnostnom incidente, ktoré môže druhá strana primerane požadovať alebo ktoré sú inak potrebné na to, aby druhá strana mohla určiť, či má tiež povinnosť podávať správy podľa platných zákonov o ochrane údajov v súvislosti s bezpečnostným incidentom, a (iii) bez zbytočného odkladu prijať všetky také opatrenia a kroky, ktoré sú vhodné na nápravu a/alebo zmiernenie dôsledkov bezpečnostného incidentu.

V prípade, že to vyžadujú platné zákony o ochrane údajov, ktorým podlieha každá strana, každá strana vykoná posúdenie vplyvu na ochranu údajov v súvislosti so spracovaním zhromaždených údajov a/alebo osobných údajov na povolené účely a/alebo v prípade potreby konzultuje s príslušnými orgánmi na ochranu údajov.  Každá strana poskytne všetku primeranú spoluprácu a informácie, o ktoré ju druhá strana primerane požiada, ak je to potrebné na to, aby druhá strana mohla vykonať posúdenie vplyvu na ochranu údajov a/alebo konzultovať s príslušnými orgánmi na ochranu údajov v súlade s povinnosťami tejto druhej strany podľa tohto článku 11.

 

A. ZOZNAM STRÁN

Každá strana bude:

      • správca údajov (a vývozca údajov) zhromaždených údajov, ktoré zverejňuje alebo sprístupňuje druhej strane, a
      • správca údajov (a dovozca údajov) zhromaždených údajov, ktoré dostáva od druhej strany alebo ku ktorým má druhá strana prístup.

Podrobnosti o každej strane sú uvedené nižšie.

Meno: Pozri podrobnosti o inzerentovi uvedené v zmluve.

Adresa: Pozri podrobnosti o inzerentovi uvedené v zmluve.

Meno, funkcia a kontaktné údaje kontaktnej osoby: Pozri podrobnosti o inzerentovi uvedené v zmluve alebo inak dohodnuté medzi stranami v písomnej forme.

Činnosti súvisiace s údajmi prenášanými podľa týchto ustanovení: Prijatie služieb, ako je uvedené v zmluve.

Podpis a dátum: Táto príloha A sa považuje za platnú po prijatí týchto podmienok ochrany osobných údajov inzerenta zo strany inzerenta.

Úloha (správca/spracovateľ): Správca (ak je vývozcom údajov) a správca (ak je dovozcom údajov)

 

Meno: Pozrite si podrobnosti o spoločnosti Taboola uvedené v úvode k dohode.

Adresa: Pozrite si podrobnosti o spoločnosti Taboola uvedené v úvode k dohode.

Meno, funkcia a kontaktné údaje kontaktnej osoby: Tím spoločnosti Taboola zodpovedný za ochranu osobných údajov, privacy@taboola.com.

Činnosti súvisiace s údajmi prenášanými podľa týchto ustanovení: Poskytovanie služieb, ako je uvedené v zmluve.

Podpis a dátum: Táto príloha A sa považuje za platnú po prijatí týchto podmienok ochrany osobných údajov inzerentov spoločnosťou Taboola.

Úloha (správca/spracovateľ): Správca (ak je vývozcom údajov) a správca (ak je dovozcom údajov)

 

B. OPIS SPRACOVANIA A PREVODU

Kategórie dotknutých osôb, ktorých osobné údaje sú spracúvané a/alebo prenášané: Používatelia

Kategórie spracúvaných a/alebo prenášaných osobných údajov:

Údaje o zariadení: Operačný systém, typ prehliadača, verzia prehliadača, IP Address (skrátená do 30 dní) zberu, PSČ (odvodené z IP Address), hashované ID používateľa Taboola, hashované e-maily, počiatočné a následné návštevy stránok na webovej stránke inzerenta, pohlavie používateľa (odvodzované na základe záujmov), signály interakcie (čas strávený na stránke, hĺbka posúvania, hĺbka relácie), údaje o konverzii.

Údaje o digitálnom majetku, ktorý navštívil používateľ: URL navštívenej stránky, odkazujúca webová stránka

  • V rozsahu, v akom je DCO súčasťou služieb, spoločnosť Taboola spracúva aj nasledujúce údaje:

Údaje o zariadení: Taboola Cookie ID alebo ID zariadenia, v závislosti od platformy), maskovaná IP Address, Taboola kliknutie ID, User Agent String, krajina, typ používateľa, vrátane informácií o nových/vracajúcich sa používateľoch (ak ich zdieľa inzerent), informácie o produkte (viazané na konkrétnu URL), vrátane ceny a dostupnosti z stránok položiek

Údaje o udalosti: mena, identifikačné čísla produktov, identifikačné číslo objednávky, identifikačné číslo kategórie, kategória, vyhľadávaný termín, podrobnosti o košíku, hodnota a identifikačné čísla kampaní.

Prenos citlivých údajov (ak je to relevantné) a uplatňované obmedzenia alebo bezpečnostné opatrenia, ktoré plne zohľadňujú povahu údajov a súvisiace riziká, ako napríklad prísne obmedzenie účelu, obmedzenia prístupu (vrátane prístupu len pre zamestnancov, ktorí absolvovali špecializované školenie), vedenie záznamov o prístupe k údajom, obmedzenia ďalšieho prenosu alebo dodatočné bezpečnostné opatrenia: Neplatí.

Frekvencia spracúvania a/alebo prenosov (napr. či sa údaje spracúvajú a/alebo prenášajú jednorazovo alebo priebežne): Neprerušene počas trvania zmluvy.

Povaha spracovania: Spracovanie osobných údajov potrebných na poskytovanie služieb, ako je uvedené v zmluve.

Účel(y) spracovania/prenosu a ďalšieho spracovania údajov: Poskytovanie služieb, ako je uvedené v zmluve. Aby sa predišlo pochybnostiam, povolené účely zahŕňajú: (i) ukladanie a/alebo prístup k informáciám na zariadení; (ii) výber základných reklám; (iii) vytvorenie personalizovaného profilu reklám; (iv) výber personalizovaných reklám; (v) vytvorenie personalizovaného profilu obsahu; (vi) výber personalizovaného obsahu; (vii) meranie výkonu reklám; (viii) meranie výkonu obsahu; (ix) vývoj a zlepšovanie produktov; (x) zabezpečenie bezpečnosti, prevencia podvodov a odstraňovanie chýb; (xi) technické doručovanie reklám alebo obsahu; (xii) zosúlaďovanie a kombinovanie offline zdrojov údajov; (xiii) prepojenie rôznych zariadení; (xiv) prijímanie a používanie automaticky odosielaných charakteristík zariadenia na identifikáciu; (xv) používanie obmedzených údajov na výber obsahu a (xvi) pochopenie publika prostredníctvom štatistík.

Doba, počas ktorej budú osobné údaje uchovávané, alebo, ak to nie je možné, kritériá použité na určenie tejto doby:

      • Taboola: Surové údaje sa uchovávajú najviac 13 mesiacov.
      • Inzerent: Po dobu potrebnú na poskytovanie Služieb alebo podľa iných ustanovení Zmluvy.

V prípade prenosov do (sub)spracovateľov uveďte tiež predmet, povahu a trvanie spracovania: Neplatí.

 

C. PRÍSLUŠNÝ DOZORNÝ ORGÁN

Príslušný dozorný orgán, na ktorý sa vzťahuje EU GDPR: Príslušný dozorný orgán pre každú stranu je uvedený nižšie:

      • Taboola: Príslušný dozorný orgán sa určí v súlade s článkom 13 EU SCCs.
      • Inzerent: Príslušný dozorný orgán sa určí v súlade s článkom 13 EU SCCs.

Príslušný dozorný orgán, ak sa uplatňuje UK GDPR: Úrad komisára pre informácie

 

Opis technických a organizačných opatrení, ktoré každá strana vykonáva (vrátane všetkých relevantných certifikácií) na zabezpečenie primeranej úrovne bezpečnosti, s prihliadnutím na povahu, rozsah, kontext a účel spracúvania a riziká pre práva a slobody fyzických osôb.

Opatrenia na pseudonymizáciu a šifrovanie osobných údajov: Taboola zbiera iba pseudonymizované údaje, čo znamená, že nevieme, kto ste, pretože nepoznáme ani nespracovávame meno používateľa, e-mailovú adresu ani iné identifikovateľné údaje. Informácie o používateľoch, ktoré zhromažďujeme, zahŕňajú okrem iného informácie o zariadení a operačnom systéme používateľa, IP Address, webových stránkach, ktoré používatelia navštívili v rámci webových stránok našich zákazníkov, odkaze, ktorý používateľa priviedol na webovú stránku zákazníka, dátumoch a časoch, kedy používateľ navštívil webovú stránku zákazníka, a ďalších údajoch o prehliadaní webových stránok. CookieID je anonymizované pomocou Bcrypt a IP Address je skrátená.

Opatrenia na zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov a služieb spracúvania údajov: Taboola používa viacero úrovní elektronického zabezpečenia (napr. zabezpečenie koncových bodov, zabezpečenie na strane servera, sledovanie detekcií, pravidelné penetračné testy a zhromažďovanie hlbokých informácií na účely posúdenia udalostí po ich vzniku).

Opatrenia na zabezpečenie schopnosti včas obnoviť dostupnosť a prístup k osobným údajom v prípade fyzickej alebo technickej poruchy: Taboola prevádzkuje 9 dátových centier po celom svete. Každé dátové centrum slúži ako replikácia druhého, takže ak jedno zlyhá, dáta je možné extrahovať z druhého dátového centra.

Postupy pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení s cieľom zabezpečiť bezpečnosť spracúvania: Taboola dodržiava prísne postupy na testovanie účinnosti svojich kontrolných mechanizmov (technických aj organizačných). Máme zavedené systémové protokolovanie a monitorovanie, mesačné (minimálne) testovanie DR, štvrťročné penetračné testy, firewally chrániace web a honeypoty rozmiestnené po celej sieti, aby odhalili akúkoľvek škodlivú činnosť. Okrem toho máme zavedený program odmien, ktorý nám pomáha neustále monitorovať našu sieť.

Opatrenia na identifikáciu a autorizáciu používateľov: Každý používateľ v Taboola má pridelené vlastné používateľské meno a heslo. Každý prístup do internej siete Taboola sa vykonáva pomocou 2FA s použitím overovania Google. Používateľov vytvára iba IT oddelenie počas procesu zaradenia do spoločnosti a až po obdržaní všetkých podrobností a podpísanej zmluvy od personálneho oddelenia.

Opatrenia na ochranu údajov počas prenosu: Taboola podporuje akýkoľvek prenos dát prostredníctvom zabezpečených prenosových protokolov (minimálne HTTPS a TLS v1.2). Okrem toho sú systémy, ktoré môžu obsahovať osobné identifikačné údaje, zabezpečené a údaje sú uchovávané v hashovej forme a anonymizované.

Opatrenia na ochranu údajov počas uchovávania: Údaje uložené v našich databázach sú anonymizované a hashované pomocou Bcrypt. Prístup k databáze je minimalizovaný a založený na princípe „potreby vedieť“.

Opatrenia na zabezpečenie fyzickej bezpečnosti miest, kde sa spracúvajú osobné údaje: Všetky servery v globálnych dátových centrách spoločnosti Taboola (v USA, Európe a Ázii) sú umiestnené v uzamknutých skriniach, ktoré sú určené výhradne na použitie spoločnosťou Taboola. Tieto skrine sú udržiavané spoločnosťami, ktoré sú buď SOC2-certified, alebo Taboola skontrolovala ich bezpečnostné opatrenia. Ďalej, akýkoľvek prístup k serverom vyžaduje písomné, zaznamenané povolenie. Všetky kancelárie spoločnosti Taboola sú tiež kontrolované a zamestnanci musia na vstup používať prístupové karty. Okrem toho má prístup k serverom spoločnosti Taboola len obmedzený počet zamestnancov a každý prístup vyžaduje písomné povolenie, ktoré sa zaznamenáva.

Opatrenia na zabezpečenie zaznamenávania udalostí: Taboola implementuje monitorovacie nástroje a protokoly sa zhromažďujú do nášho systému SIEM, ktorý nás upozorňuje na akúkoľvek podozrivú udalosť a ktorý monitoruje aj tím NOC.

Opatrenia na zabezpečenie konfigurácie systému, vrátane predvolenej konfigurácie: Servery sú skenované z hľadiska odchýlky konfigurácie aj úrovne opravných balíkov. Hlásenie a/alebo upozornenie sú nastavené na oboch a potvrdená je príslušná úroveň opravy. Nové opravy sa distribuujú pomocou Puppet. Všetky technické kontroly sú spravované prostredníctvom aplikácie R&D a získavané prostredníctvom formálneho procesu kontroly (QA) po implementácii kódovania a CI/CD processes.

Opatrenia pre internú správu a riadenie IT a IT bezpečnosti: Taboola je certifikovaná podľa noriem ISO 27001:2013 a 27701. Spoločnosť Taboola má zavedenú politiku informačnej bezpečnosti, v ktorej sa uvádza, že predstavenstvo a vedenie spoločnosti Taboola sa zaväzujú zachovávať dôvernosť, integritu a dostupnosť všetkých fyzických a elektronických informačných aktív v celej organizácii. Taboola organizuje školenia o bezpečnosti pre všetkých nových zamestnancov, školenia o phishingu pre všetkých zamestnancov na celom svete a pravidelné školenia o bezpečnosti pre všetkých zamestnancov. Okrem toho venuje osobitné školenia skupinám výskumu a vývoja.

Opatrenia na certifikáciu/zabezpečenie procesov a výrobkov: Štvrťročný / polročný / ročný interný audit viacerých procesov a systémov s cieľom overiť, či spoločnosť Taboola dodržiava svoje bezpečnostné ciele a stanovené opatrenia.

Opatrenia na zabezpečenie minimalizácie údajov: Taboola zámerne obmedzuje údaje, ktoré zhromažďujeme, v rámci globálnych zásad minimalizácie údajov spoločnosti Taboola, podľa ktorých spracúvame len obmedzené údaje potrebné na naše konkrétne obchodné účely. Okrem toho spoločnosť Taboola nemá možnosť ani žiadnu obchodnú potrebu „reverzne analyzovať“ žiadne z údajov použitých v našom algoritme na poskytovanie našich služieb. Konkrétnejšie, údaje, ktoré Taboola zbiera, nikdy neprezrádzajú identitu používateľa, pretože Taboola nezhromažďuje ani nespracúva informácie, ako je meno používateľa, telefónne číslo, e-mailová adresa alebo fyzická adresa. Taboola namiesto toho zbiera iba pseudonymné identifikátory, ktoré identifikujú iba charakteristiky zariadenia používateľa. To zahŕňa IP Addressy (ktoré sú pri zbere skrátené a môžu identifikovať iba všeobecnú polohu zariadenia podľa PSČ, ale nikdy presnú geolokalizáciu) a v niektorých obmedzených prípadoch aj hashované e-mailové adresy (ktoré sú svojou povahou nezvratné a nemožno ich dešifrovať, aby sa odhalila pôvodná e-mailová adresa). Navyše, aj keď sa údaje, ktoré zhromažďujeme, používajú kolektívne, nikdy nemôžu viesť k zisteniu mena, telefónneho čísla, e-mailovej adresy alebo fyzickej adresy konkrétnej osoby a naši inžinieri v žiadnom prípade nepracujú na dosiahnutí tohto cieľa. Okrem toho spoločnosť Taboola vypracúva a zaznamenáva posúdenia vplyvu na súkromie v snahe minimalizovať riziká pre súkromie v súvislosti s našimi službami, procesmi a zásadami.

Opatrenia na zabezpečenie kvality údajov: Údaje sa zbierajú priamo od používateľa a používateľ má možnosť opraviť akékoľvek údaje spojené s jeho CookieID prostredníctvom portálu Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access

Opatrenia na zabezpečenie obmedzeného uchovávania údajov: Informácie o používateľoch, ktoré sú priamo zhromažďované na účely zobrazovania reklám, uchovávame najviac trinásť (13) mesiacov od poslednej interakcie používateľa s našimi službami (často po kratšiu dobu), po uplynutí ktorej anonymizujeme údaje odstránením jedinečných identifikátorov alebo agregovaním údajov. Tento proces prebieha automaticky.

Opatrenia na zabezpečenie zodpovednosti: Taboola vykonáva viacero bezpečnostných auditov a penetračných testov (nie však pre všetky systémy). Taboola tiež využíva poskytovateľov cloudových služieb, ktorí sú certifikovaní podľa ISO a spĺňajú ďalšie certifikácie týkajúce sa cloudu na udržanie fyzických bezpečnostných opatrení servera.

Opatrenia na umožnenie prenosnosti údajov a zabezpečenie ich vymazania: Všetky médiá musia byť pred opätovným použitím alebo likvidáciou úplne vymazané. Každá likvidácia médií je zdokumentovaná. Zamestnanci majú pokyn netlačiť žiadne dokumenty, ktoré by mohli obsahovať osobné údaje.

  1. V prípade, že jedna strana vykoná obmedzený prenos zhromaždených údajov druhej strane, Standard Contractual Clauses sa začlenia do týchto podmienok ochrany osobných údajov inzerenta a uplatňujú sa takto:
    1. ak je obmedzený prenos prenosom obmedzeným v rámci EÚ, medzi stranami sa uplatnia EU SCCs takto:
      1. Bude sa uplatňovať modul 1;
      2. v článku 7 sa uplatní voliteľná doložka o dokovaní;
      3. v článku 11 sa voliteľné znenie neuplatní;
      4. v článku 17 sa uplatní možnosť 1 a EU SCCs sa budú riadiť írskym právom;
      5. v článku 18 písm. b) sa spory riešia pred súdmi Írska;
      6. Časti A, B a C prílohy I sa považujú za vyplnené informáciami uvedenými v častiach A, B a C prílohy A k týmto podmienkam ochrany osobných údajov inzerentov; a
      7. Príloha II sa považuje za doplnenú bezpečnostnými opatreniami uvedenými v prílohe B k týmto podmienkam ochrany osobných údajov inzerentov.
    2. ak je obmedzený prevod obmedzeným prevodom vo Veľkej Británii, medzi stranami sa uplatní UK Addendum takto:
      1. EU SCCs, vyplnené podľa vyššie uvedeného, sa uplatňujú medzi stranami a sú upravené UK Addendum (vyplneným podľa pododseku (ii) nižšie); a
      2. tabuľky 1 až 3 UK Addendum sa považujú za vyplnené príslušnými informáciami z EU SCCs, vyplnenými podľa vyššie uvedeného, a možnosti „Vývozca“ a „Dovozca“ sa považujú za zaškrtnuté v tabuľke 4. Dátum začatia platnosti UK Addendum (uvedený v tabuľke 1) je dátumom nadobudnutia účinnosti týchto podmienok ochrany osobných údajov inzerentov.
  2. Obmedzené prevody ďalej:  Žiadna zo strán nebude vykonávať ďalší obmedzený prenos zhromaždených údajov, ktoré dostane od druhej strany, pokiaľ nevykoná všetky kroky a opatrenia potrebné na zabezpečenie toho, aby takýto ďalší obmedzený prenos bol v súlade s platnými zákonmi o ochrane údajov a akýmikoľvek Standard Contractual Clauses, na ktorých sa dohodla s druhou stranou.