Dijital Mülk Sahipleri için Gizlilik Şartları

Last Update: October 10, 2024

Yürürlük Tarihi: 10 Ekim 2024

Bu Taboola Dijital Mülk Sahipleri Gizlilik Şartları (“Yayıncı Gizlilik Şartları”), Taboola’nın dijital reklamcılık hizmetleri için geçerlidir; örneğin, Taboola Yayıncı mülklerine ( Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News ve Taboola Push gibi Yayıncı ürün ve hizmetleri dahil ancak bunlarla sınırlı olmamak üzere) Reklamveren içeriği yerleştirmesi durumunda, Taboola ile bir Yayıncı arasında yapılan bir anlaşma (“Anlaşma”) uyarınca bu Yayıncı Gizlilik Şartları, söz konusu Anlaşmanın ayrılmaz bir parçası olarak kabul edilecek ve bu Anlaşmaya dahil edilmiş sayılacaktır. Bu Yayıncı Gizlilik Şartları, Taboola ve Yayıncının Kişisel Verilerle ilgili rollerini ve sorumluluklarını tanımlar.

Yayıncı Gizlilik Şartları ile Sözleşme arasında bir çelişki olması durumunda, Sözleşmedeki çelişkili hüküm açıkça bu Yayıncı Gizlilik Şartlarının çelişkili hükmüne atıfta bulunmadığı ve çelişkili hükmün yerine geçtiğini belirtmediği sürece, Yayıncı Gizlilik Şartları geçerli olacaktır.

Bu bölümde tanımlanan terimler aşağıda belirtilen anlamlara sahip olacak ve benzer terimler de buna göre yorumlanacaktır. Yayıncı Gizlilik Şartlarında kullanılan ancak tanımlanmayan büyük harfle yazılmış terimler, Sözleşmede tanımlanan anlamlara sahip olacaktır.

      1. Uygulanabilir Veri Koruma Yasaları”, bu Sözleşmenin ve Yayıncı Gizlilik Şartlarının konusu olan İşlemeye uygulanan ve zaman zaman değiştirilebilecek veya yerine yenileri getirilebilecek tüm geçerli federal, ulusal, eyalet veya diğer gizlilik ve veri koruma yasaları anlamına gelir.
      2. Kaliforniya Gizlilik Yasası”, 2018 Kaliforniya Tüketici Gizlilik Yasası (Cal.) anlamına gelir. Medeni Kanun § 1798.100 ve devamı (aynı zamanda “CCPA”), değiştirilmiş haliyle (Kaliforniya Gizlilik Hakları Yasası dahil) ve ilgili tüm alt mevzuat ve uygulama yönetmelikleri.
      3. Veri Sorumlusu” şu anlama gelir: (i) Kişisel Verilerin İşlenmesinin amaçlarını ve yöntemlerini belirleyen bir kuruluş ve (ii) Yürürlükteki Veri Koruma Yasaları kapsamında tanımlanan “Veri Sorumlusu” veya “İşletme” (veya buna büyük ölçüde benzer herhangi bir terim) teriminin kapsamına giren herhangi bir kişi veya kuruluş.
      4. Veri Sahibi” şu anlama gelir: (i) tanımlanmış veya tanımlanabilir bir gerçek kişi (ve bu amaçlar için, tanımlanabilir bir gerçek kişi, özellikle bir isim, kimlik numarası, konum verileri, çevrimiçi kimlik veya söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özgü bir veya daha fazla faktöre atıfta bulunularak doğrudan veya dolaylı olarak tanımlanabilen kişidir) ve (ii) Veri Koruma Yasaları kapsamında tanımlanan “veri sahibi”, “tüketici” (veya esasen benzer herhangi bir terim) teriminin kapsamına giren herhangi bir kişi.
      5. EU Veri Koruma Yasası” şu anlama gelir: (i) EU Genel Veri Koruma Yönetmeliği (2016/679 sayılı Yönetmelik) (“EU GDPR”); (ii) EU e-Gizlilik Direktifi (2002/58/EC sayılı Direktif); ve (iii) (i) veya (ii) uyarınca çıkarılan veya bunlara göre yürürlüğe konulan, zaman zaman değiştirilebilen veya yürürlükten kaldırılabilen tüm ulusal veri koruma yasaları.
      6. Kişisel Veriler”, Ek A, Bölüm B’de belirtildiği gibi, tanımlanmış veya tanımlanabilir bir bireyle ilgili her türlü bilgiyi ifade eder (ve bu terim, yürürlükteki Veri Koruma Kanunu gerektirdiği durumlarda, benzersiz tarayıcı veya cihaz tanımlayıcılarını da içerir).
        1. Etkileşim Kişisel Verileri”, tüketicilerin Taboola, Taboola’nın ürünleri, Taboola’nın mülkleri ve Taboola yayınladığı reklamlarla kasıtlı etkileşimleri sırasında veya sonrasında tüketicilerden toplanan her türlü Kişisel Veri anlamına gelir.
        2. Pasif Etkileşim Kişisel Verileri”, Taboola tarafından, tüketicinin Taboola, Taboola’nın ürünleri, Taboola’nın mülkleri ve Taboola yerleştirdiği reklamlarla kasıtlı etkileşiminden önce veya bu etkileşim olmaksızın, IP adresi, sayfa URL’si ve kullanıcı aracısı dizesi de dahil olmak üzere, ancak bunlarla sınırlı olmamak üzere, Yayıncı Mülklerinden pasif olarak toplanan her türlü Kişisel Veri anlamına gelir.
      7. İşlem”, Kişisel Veriler veya Kişisel Veri kümeleri üzerinde, otomatik araçlarla olsun veya olmasın, gerçekleştirilen herhangi bir işlem veya işlem kümesi anlamına gelir; bu işlemler arasında toplama, alma, kaydetme, düzenleme, yapılandırma, kullanma, iletme, erişme, paylaşma, ifşa etme, aktarma, depolama, uyarlama veya değiştirme, geri alma, danışma, yayma veya başka bir şekilde erişilebilir hale getirme, hizalama veya birleştirme, toplama, çıkarım yapma, türetme, analiz etme, kısıtlama, silme, imha etme veya elden çıkarma veya Kişisel Verilerin diğer şekillerde işlenmesi yer alır ve bu terim, Uygulanabilir Veri Koruma Kanunu kapsamında tanımlandığı şekilde de geçerlidir.
      8. Veri İşleyici”, bir Veri Sorumlusu adına Kişisel Verileri işleyen bir kuruluşu ifade eder ve bu terim ve/veya “veri işleyici” terimi (veya buna büyük ölçüde benzer herhangi bir terim) yürürlükteki Veri Koruma Kanunu kapsamında tanımlandığı şekliyle de geçerlidir.
      9. Sınırlı Aktarım” şu anlama gelir: (i) EU GDPR geçerli olduğu durumlarda, Kişisel Verilerin Avrupa Ekonomik Alanı’ndan (AEA) Avrupa Komisyonu tarafından yeterlilik değerlendirmesine tabi olmayan bir AEA dışındaki ülkeye aktarılması (“EU Sınırlı Aktarım”); ve (ii) UK GDPR geçerli olduğu durumlarda, Kişisel Verilerin Birleşik Krallık’tan, Birleşik Krallık Veri Koruma Yasası 2018’in 17A Bölümü uyarınca yeterlilik düzenlemelerine tabi olmayan veya bunlara dayanmayan herhangi bir başka ülkeye aktarılması (“UK Sınırlı Aktarım”).
      10. Hizmetler”, Taboola tarafından Yayıncı ile yapılan Sözleşme kapsamında sağlanan hizmetler anlamına gelir.
      11. “Güvenlik Olayı”, Kişisel Verilerin kazara veya hukuka aykırı olarak yok edilmesine, kaybolmasına, değiştirilmesine, yetkisiz olarak ifşa edilmesine veya bunlara erişilmesine yol açan bir güvenlik ihlali anlamına gelir.
      12. “Standard Contractual Clauses” şu anlama gelir: (i) EU GDPR uygulandığı durumlarda, Avrupa Komisyonu’nun 4 Haziran 2021 tarihli ve 2021/914 sayılı Uygulama Kararı’na ekli sözleşme maddeleri (Avrupa Parlamentosu ve Konseyi’nin (EU) 2016/679 sayılı Yönetmeliği uyarınca kişisel verilerin üçüncü ülkelere aktarılmasına ilişkin Standard Contractual Clauses) (“EU SCCs”); ve (ii) UK GDPR uygulandığı durumlarda, Bilgi Komiseri tarafından DPA 2018’in 119A(1) maddesi uyarınca yayınlanan “ EU Komisyonu Standard Contractual Clauses Uluslararası Veri Aktarımı Eki” (“UK Addendum”).
      13. Üçüncü Taraf”, Kişisel Verilerle ilgili olarak Veri Sorumlusu olarak hareket eden ve Kişisel Verileri İşlenen Veri Sahibinin kasıtlı olarak etkileşimde bulunduğu işletme olmayan bir işletme anlamına gelir; bu terim, yürürlükteki Veri Koruma Kanununda tanımlandığı şekliyle de geçerlidir.
      14. UK Veri Koruma Yasası” şu anlama gelir: (i) UK Veri Koruma Yasası 2018, (ii) UK GDPR ( UK Veri Koruma Yasası 2018’in 3(10) maddesinde tanımlandığı gibi) (“UK GDPR”), (iii) UK Gizlilik ve Elektronik İletişim (AB Direktifi) Yönetmelikleri 2003 ve (iv) (i), (ii) veya (iii) uyarınca veya bunlara göre çıkarılan diğer UK yasaları, her biri zaman zaman değiştirilebilir veya yürürlükten kaldırılabilir.

Hizmetlerle bağlantılı olarak işlenen Kişisel Veriler için, her iki taraf da topladığı Kişisel Verileri yalnızca Ek A, Bölüm B’de (“İzin Verilen Amaçlar“) açıklanan amaçlar doğrultusunda ve bu Yayıncı Gizlilik Şartları, Sözleşme ve Yürürlükteki Veri Koruma Yasaları tarafından izin verilen şekilde işleyeceğini kabul eder; bu şartlar zaman zaman güncellenebilir. Taboola, pasif etkileşim yoluyla elde edilen kişisel verileri, Taboola Gizlilik Politikası’nın izin verdiği ve zaman zaman güncellenebileceği şekilde de işleyebilir.

Her bir Taraf, topladığı Pasif Etkileşim Kişisel Verilerini, duruma göre Veri Sorumlusu veya Üçüncü Taraf sıfatıyla işleyecektir. Her bir taraf, topladığı Etkileşim Kişisel Verilerini, duruma göre Veri Sorumlusu veya İşletme sıfatıyla işleyecektir. Kişisel Verilerin bir taraftan diğerine (doğrudan veya bir tarafın verileri diğer tarafa sunması yoluyla) ifşa edilmesi, Üçüncü Taraflara yapılan ifşa olarak kabul edilir.

      1. Eğer ABD veya ABD eyaletlerinin Veri Koruma Yasası, Kaliforniya Gizlilik Yasası da dahil olmak üzere, Kişisel Verilere uygulanıyorsa veTaboola , Hizmetlerle bağlantılı olarak Pasif Etkileşimli Kişisel Verileri işliyorsa, Taboola bu tür Pasif Etkileşimli Kişisel Veriler için Yayıncıya Üçüncü Taraf olarak hareket eder. Taboola, bu tür Pasif Etkileşim Kişisel Verilerini, Ek A, Bölüm B’de açıklanan amaçlar doğrultusunda ve bu Yayıncı Gizlilik Şartları, Sözleşme, Uygulanabilir Veri Koruma Yasası ve Taboola’nın Gizlilik Politikası’nın (her biri zaman zaman güncellenebilir) izin verdiği şekilde işleyecektir. Bu tür pasif etkileşimli kişisel veriler, yalnızca bu amaçlar doğrultusunda Taboola sunulmaktadır. Taboola, ABD Veri Koruma Yasaları’nın (varsa Kaliforniya Gizlilik Yasaları da dahil olmak üzere) işletmelerden beklediği gizlilik koruma düzeyinin aynısını sağlayacaktır. Yayıncı, Taboola Pasif Etkileşim Kişisel Verilerini Yayıncının yükümlülükleriyle tutarlı bir şekilde kullanmasını sağlama hakkına sahiptir. Yayıncı, Taboola bildirimde bulunması halinde, Taboola sağladığı Kişisel Verilerin yetkisiz kullanımını durdurmak ve düzeltmek için makul ve uygun adımlar atma hakkına sahiptir. Taboola , yürürlükteki veri koruma yasaları kapsamındaki yükümlülüklerini artık yerine getiremeyeceğine karar verirse, bu durumu ilgili veri koruma yasalarının gerektirdiği süre içinde Yayıncıya bildirecektir. Taboola, Hizmetlerle bağlantılı olarak Etkileşim Kişisel Verilerini topladığı ölçüde, bunu ayrı bir İşletme olarak yapacaktır.

Taraflar, Kişisel Verileri işleyebileceklerini ve Kişisel Verilerin işlenmesinin ilgili Veri Koruma Kanunlarına tabi olabileceğini kabul ederler. Bu durumda, her iki taraf da Kişisel Verilerin işlenmesiyle ilgili olarak yürürlükteki Veri Koruma Kanunlarına uymak zorundadır. Bu durumda ve 7. maddeye tabi olarak, her taraf, aşağıdakiler de dahil olmak üzere, geçerli Veri Koruma Yasalarına kendi uyumluluğundan bireysel olarak sorumlu olacaktır: (i) Veri Sahiplerine şeffaflık sağlamak, (ii) İşleme için rıza veya başka bir yasal dayanağa sahip olmak ve (iii) Veri Sahiplerinin veri koruma haklarını kullanabilecekleri bir iletişim noktası sağlamak. Yayıncı, Taboola’nın Veri Sorumlusu sıfatıyla Kişisel Verilerin İşlenmesine ilişkin herhangi bir veri koruma hakkı talebi alması durumunda, Taboola derhal bilgilendirecektir; böylece Taboola, yürürlükteki Veri Koruma Kanunu kapsamındaki yükümlülüklerine uygun olarak talebi yerine getirebilir.

  1. Yayıncı, Taboola’nın Hizmetleriyle ilgili olarak alınan tüm veri sahibi taleplerini Taboola’nın Küresel Veri Sahibi Erişim Talebi Portalı’na yönlendirecektir veya BİZ Tüketici Haklarından Vazgeçme PortalıUygun olduğu durumlarda.

Taraflardan herhangi biri, Veri Sahibinin Kişisel Verilerinin Hizmetlerle bağlantılı olarak işlenmesine ilişkin olarak bir bireyden, düzenleyici kurumdan veya başka bir üçüncü taraftan herhangi bir soruşturma, şikayet veya yazışma (“Üçüncü Taraf Bildirimi“) alırsa, diğer Tarafı derhal bilgilendirecek ve Taraflar, söz konusu Üçüncü Taraf Bildiriminin gerekliliklerini yerine getirmek için iyi niyetle ve makul ölçüde gerekli olan şekilde işbirliği yapacaktır.

Taraflardan herhangi birinin diğer tarafa Kişisel Verilerin Kısıtlı Aktarımını gerçekleştirmesi durumunda, Ek C’deki hükümler uygulanacaktır.

Taboola, Taboola kodu, pikseller ve diğer izleme teknolojilerini kullanarak Yayıncı Mülklerinden Kişisel Veri topladığı ölçüde, Yayıncı şunları yapacaktır: (i) Taboola’nın İzin Verilen Amaçlar için Yayıncı Mülklerinden Kişisel Veri toplamak üzere Taboola kodunu kullanması hakkında Veri Sahiplerine gerekli tüm şeffaflık bildirimlerini sağlayacak ve (ii) Veri Sahibinin, Taboola kodunun İzin Verilen Amaçlar için bu şekilde kullanılmasına ilişkin onayını alacak (ve Taboola herhangi bir zamanda talep etmesi halinde, uygun kanıtını sunacaktır), her durumda Uygulanabilir Veri Koruma Yasalarının gerekliliklerine uygun olarak. Yayıncının bu konudaki yükümlülükleri arasında, Taboola bu platformlar aracılığıyla yasal olarak hizmet sunabilmesi ve Kişisel Verileri izin verilen amaçlar doğrultusunda işleyebilmesi için, Yayıncının Veri Sahiplerine sağladığı şeffaflık bildirimlerinde ve onay istemlerinde Taboola Taboola izin verilen amaçlar doğrultusunda kullanımını açıkça belirtmesi ve yürürlükteki Veri Koruma Yasaları tarafından gerekli kılınan diğer bilgileri sağlaması yer almaktadır. Yazılı talep üzerine Taboola , Yayıncının Taboola kodu ve Yayıncı Mülkleri aracılığıyla Kişisel Verilerin İşlenmesi hakkında makul ölçüde ihtiyaç duyabileceği bilgileri Yayıncıya sağlayacak ve böylece Yayıncının bildirim ve onay mekanizmalarının Geçerli Veri Koruma Yasalarına uygun olmasını sağlayacaktır. Yayıncı özellikle şunları kabul eder:

  1. Yayıncının Gizlilik Politikası, web tabanlı Mülkleri ile ilgili olarak, üçüncü taraflarca (örneğin Taboola) ilgi alanına dayalı reklamcılık ve analiz (Mülkler içinde ve dışında) için çerezlerin, benzersiz tanımlayıcıların ve çerez dışı teknolojilerin kullanımını açıklayacak ve NAI’nin http://www.networkadvertising.org adresindeki sektörel vazgeçme sayfasına, DAA’nın http://www.aboutads.info adresindeki sektörel vazgeçme sayfasına veya (Avrupa web tabanlı medya ve veri toplama ile ilgili olarak) EDAA http://www.youronlinechoices.eu adresindeki vazgeçme bağlantısına, Uygulanabilir Veri Koruma Yasasının gerekliliklerini karşılayacak şekilde bir bağlantı sağlayacaktır; ve
  2. Mobil uygulama tabanlı Platformlar söz konusu olduğunda, Yayıncının Gizlilik Politikası, mobil uygulamalarında SDK’ların kullanımını ve ilgi alanına dayalı veya uygulamalar arası reklamcılık ve analiz için mobil reklam tanımlayıcılarının toplanmasını (Platformlar içinde ve dışında) açıklamalı; ve kullanıcıların ve Ziyaretçilerin cihaz ayarları aracılığıyla uygulamalar arası reklamcılık için mobil veri toplama işleminden nasıl vazgeçebileceklerini açıklamalıdır.
  3. Yayıncı, EU yönelik mülkleri için, Ziyaretçilerin cihazlarına herhangi bir Taboola çerezi veya diğer benzersiz tanımlayıcıların yerleştirilmesi veya bunlara erişilmesi konusunda, EU Gizlilik Yasası’na uygun olarak, Ziyaretçilerin özgürce verilmiş, belirli, bilgilendirilmiş ve açık rızasını almayı sağlamalıdır. Yayıncı, Ziyaretçilerine (bu bilgiler Gizlilik Politikası aracılığıyla da sunulabilir) veri koruma haklarını (Hizmetlerle bağlantılı olarak işlenen Kişisel Verilerle ilgili olanlar da dahil olmak üzere) kullanabilmeleri için Yayıncı ile iletişime geçebilmeleri amacıyla iletişim bilgilerini sağlayacaktır. Yukarıda belirtilen yükümlülükler, Yayıncı Mülklerinin, Hizmetlerle ilgili olarak onay mekanizmaları gerektiren yargı bölgelerinden Ziyaretçi çektiği durumlarda geçerlidir.

Sözleşme süresi boyunca Taboola , Yayıncıya önerilen gizlilik politikası veya açıklama metnini sunabilir. Yayıncı, önerilen bu ifadelerin yasal tavsiye olarak veya yasal tavsiyenin yerine geçecek şekilde kullanılmayacağını ve gizlilik politikasında veya web sitesinde yer alan tüm açıklamaların sorumluluğunun tamamen kendisine ait olduğunu kabul eder.

Yayıncı , Taboola özel kategorideki kişisel verileri veya hassas kişisel bilgileri veya hassas verileri (uygulanabilir Veri Koruma Yasası kapsamında tanımlandığı gibi) toplamak veya başka bir şekilde ifşa etmek amacıyla Hizmetleri sağlamayacak veya yapılandırmayacaktır. Ayrıca, Yayıncı, Taboola sunulan sayfa URL’lerinin video başlığı bilgisi içermemesini sağlayacaktır. Taboola, Yayıncının bu maddeye uymaması durumunda, söz konusu ihlal giderilene kadar Hizmetleri askıya alma hakkını saklı tutar.

Her bir Taraf, Ziyaretçilerin Kişisel Verilerini bir Güvenlik Olayından korumak için uygun teknik ve organizasyonel güvenlik önlemlerini uygulayacaktır. Bu önlemler, Ek B’de belirtilen önlemleri de içerecektir.

Taraflardan herhangi biri, İşlediği ve bu Sözleşmenin ve Yayıncı Gizlilik Şartlarının konusu olan Kişisel Verilerle ilgili bir Güvenlik Olayı yaşarsa, ilgili Taraf: (i) Yürürlükteki Veri Koruma Yasaları uyarınca veri koruma yetkililerine ve/veya etkilenen Veri Sahiplerine karşı kendisine uygulanan tüm bildirim yükümlülüklerini (kendi masraflarıyla) yerine getirmekten sorumlu olacaktır, (ii) diğer Tarafı gecikmeksizin bilgilendirecek ve diğer Tarafın Güvenlik Olayı ile ilgili olarak Yürürlükteki Veri Koruma Yasaları uyarınca bildirim yükümlülüklerinin olup olmadığını belirlemesi için makul olarak talep edilebilecek veya başka şekilde gerekli olan Güvenlik Olayı hakkında bilgi verecektir ve (iii) Güvenlik Olayının etkilerini gidermek ve/veya hafifletmek için uygun olan tüm eylemleri ve önlemleri gecikmeksizin alacaktır.

İlgili Veri Koruma Kanunlarının gerektirdiği durumlarda ve ölçüde, her taraf, İzin Verilen Amaçlar için Kişisel Verilerin İşlenmesine ilişkin veri koruma etki değerlendirmesini gerçekleştirecek ve/veya gerektiğinde ilgili veri koruma otoritelerine danışacaktır. Taraflardan her biri, diğer tarafın bu bölüm kapsamındaki yükümlülüklerine uygun olarak veri koruma etki değerlendirmesini tamamlamasını ve/veya ilgili veri koruma yetkilileriyle istişarede bulunmasını sağlamak için gerekli olduğu durumlarda, diğer tarafın makul olarak talep ettiği tüm işbirliğini ve bilgiyi sağlayacaktır.

A. PARTİLER LİSTESİ

Her bir taraf şunları yapacaktır:

  • Toplanan Verilerin veri sorumlusu (ve veri ihracatçısı) olarak, bu verileri diğer tarafa ifşa eder veya erişilebilir hale getirir ve
  • Toplanan Verilerin veri denetleyicisi (ve veri ithalatçısı) konumundadır ve bu verileri diğer taraftan alır veya diğer tarafın erişimine izin verir.

Her bir tarafın detayları aşağıda verilmiştir.

İsim: Yayıncının iletişim bilgileri Sözleşmede belirtilmiştir.

Adres: Yayıncının ayrıntıları Sözleşmede belirtilmiştir..

İletişim kurulacak kişinin adı, görevi ve iletişim bilgileri: Yayıncının ayrıntıları için Sözleşmeye bakınız veya taraflar arasında yazılı olarak kararlaştırılan diğer hususlara bakınız.

Bu maddeler kapsamında aktarılan verilerle ilgili faaliyetler: Sözleşmede belirtildiği şekilde Hizmetlerin alınması.

İmza ve tarih: Bu Ek A, Yayıncının bu Yayıncı Gizlilik Şartlarını kabul etmesiyle birlikte yürürlüğe girmiş sayılacaktır.

Rol (denetleyici/işlemci): Veri dışa aktaran denetleyici ve veri içe aktaran denetleyici

 

İsim: Taboola’ya ilişkin ayrıntılar Anlaşmanın giriş bölümünde yer almaktadır.

Adres: Taboola’ya ilişkin ayrıntılar Anlaşmanın giriş bölümünde yer almaktadır.

İletişim kurulacak kişinin adı, görevi ve iletişim bilgileri: Taboola’nın gizlilik ekibi: taboola.com.

Bu maddeler kapsamında aktarılan verilerle ilgili faaliyetler: Sözleşmede belirtildiği şekilde Hizmetlerin sağlanması.

İmza ve tarih: Bu Ek A, Taboola’nın bu Yayıncı Gizlilik Şartlarını kabul etmesiyle yürürlüğe girmiş sayılacaktır.

Rol (denetleyici/işlemci): Veri dışa aktaran denetleyici ve veri içe aktaran denetleyici

 

B. İŞLEME VE AKTARMANIN AÇIKLAMASI 

Kişisel verileri işlenen ve/veya aktarılan veri sahiplerinin kategorileri: Kullanıcılar

İşlenen ve/veya aktarılan kişisel verilerin kategorileri:

Cihaz Verileri: Kullanıcının cihazı, tarayıcısı ve işletim sistemi; IDFAs ve AAIDs dahil olmak üzere mobil cihaz bilgileri (tüm mobil kimlikler şifrelenmiştir); Taboola tarafından okunabilen veya kullanılabilen çerez verileri (tüm çerez kimlikleri/kullanıcı kimlikleri şifrelenmiştir); IP adresleri; şifrelenmiş e-postalar; yönlendiren web sitesi; kullanıcının dili; ülke/bölge/şehir. Mobil uygulamalar Hizmetlerin bir parçasıysa, ek veri öğeleri arasında kısaltılmış ve kesin olmayan enlem/boylam bilgileri, bağlantı türü ve ekran boyutları yer alır.

Kullanıcının ziyaret ettiği dijital mülke ilişkin veriler: platformun nasıl görüntülendiği ve kullanıcının platformla etkileşime girip girmediği; web veya uygulama davranışı.

Hizmetlerin bir parçası olarak Header Bidding) uygulandığı ölçüde, aşağıdakiler geçerlidir:

  • Bid Request / Bid Response Data: Bid Request benzersiz kimliği, sunulan gösterimi temsil eden IMP object, temsil edilen yayıncı sitesi veya uygulaması, Uygulama, Cihaz, Açık Artırma Türü, Maksimum Süre, Para Birimi, Engellenen Kategoriler, Cihaz Kimliği, Taboola Kullanıcı Kimliği, Arayan Etiket Ortakları: URL.

Taboola Newsroom ile ilgili olarak aşağıdakiler geçerlidir:

  • Yayıncının web sitesindeki etkinlikler: Dönüşüm verileri
  • Kullanıcı aracısından okunan kullanıcının tarayıcısıyla ilgili bilgiler.: Ziyaret edilen sayfanın URL’si, yönlendiren web sitesi, işletim sistemi, tarayıcı türü ve tarayıcı sürümü, çerezden okunan ilişkili karma Taboola Kullanıcı Kimliği, ilişkili IP adresi (30 gün sonra silinir).

Aktarılan hassas veriler (varsa) ve verilerin niteliğini ve ilgili riskleri tam olarak dikkate alan kısıtlamalar veya koruma önlemleri, örneğin kesin amaç sınırlaması, erişim kısıtlamaları (özel eğitim almış personele erişim dahil), verilere erişimin kaydının tutulması, ileriye aktarımlara ilişkin kısıtlamalar veya ek güvenlik önlemleri: Uygulanamaz.

Veri işleme ve/veya aktarım sıklığı (örneğin verilerin tek seferlik mi yoksa sürekli mi işlendiği ve/veya aktarıldığı): Anlaşmanın yürürlükte olduğu süre boyunca devam eder.

İşlemenin niteliği: Sözleşmede belirtildiği üzere, Hizmetlerin sağlanması için gerekli olan Kişisel Verilerin İşlenmesi.

Veri işleme/aktarma ve daha ileri işlemlerin amacı(ları): Sözleşmede belirtildiği şekilde Hizmetlerin sağlanması. Şüpheye yer bırakmamak için, İzin Verilen Amaçlar şunları içerir: (i) bir cihazda bilgi depolamak ve/veya bilgilere erişmek; (ii) temel reklamları seçmek; (iii) kişiselleştirilmiş reklam profili oluşturmak; (iv) kişiselleştirilmiş reklamları seçmek; (v) kişiselleştirilmiş içerik profili oluşturmak; (vi) kişiselleştirilmiş içeriği seçmek; (vii) reklam performansını ölçmek; (viii) içerik performansını ölçmek; (ix) ürün geliştirmek ve iyileştirmek; (x) güvenliği sağlamak, dolandırıcılığı önlemek ve hata ayıklamak; (xi) teknik olarak reklam veya içerik sunmak; (xii) çevrimdışı veri kaynaklarını eşleştirmek ve birleştirmek; (xiii) farklı cihazları birbirine bağlamak; (xiv) tanımlama için otomatik olarak gönderilen cihaz özelliklerini almak ve kullanmak; (xv) içerik seçmek için sınırlı verileri kullanmak ve (xvi) gizlilik tercihlerini kaydetmek ve iletmek.

Taboola Newsroom ile ilgili olarak aşağıdakiler geçerlidir: (i) abonelik dönüşüm etkinliklerinin izlenmesi.

Taboola Push ile ilgili olarak, aşağıdaki ek amaç geçerlidir: (i) kullanıcının cihazına bildirim göndermek.

Header Bidding Hizmetlerin bir parçası olması durumunda, aşağıdaki ek amaç geçerli olacaktır: (i) bir yerleştirmeye teklif verilip verilmeyeceğine karar vermek ve kişiselleştirilmiş öneriler sunmak.

Home Page 4 You’nun Hizmetlerin bir parçası olduğu ölçüde, aşağıdaki ek amaç geçerli olacaktır: (i) belirlenmiş dijital mülk ana sayfaları içindeki yayıncı içeriğinin otomatikleştirilmesi ve düzenlenmesi.

Kişisel verilerin saklanacağı süre veya bu mümkün değilse, bu süreyi belirlemek için kullanılan kriterler:

  • Taboola: Ham veriler en fazla 13 ay süreyle saklanır.
  • Reklamveren: Hizmetleri alabilmek için gerekli olduğu sürece veya Sözleşmede aksi belirtilmedikçe.

(Alt) işlemcilere yapılan aktarımlar için, işlemenin konusunu, niteliğini ve süresini de belirtin: Uygulanamaz.

 

C. YETKİLİ DENETİM MAKAMLARI

EU GDPR geçerli olduğu yetkili denetim makamı: Her bir partinin yetkili denetim mercii aşağıda belirtildiği gibidir:

  • Taboola: Yetkili denetim makamı, EU SCCs 13. maddesine uygun olarak belirlenecektir.
  • Reklamveren: Yetkili denetim makamı, EU SCCs 13. maddesine uygun olarak belirlenecektir.

UK GDPR geçerli olduğu yetkili denetim makamı: Bilgi Komiserliği Ofisi

Her bir tarafın, veri işlemenin niteliği, kapsamı, bağlamı ve amacı ile gerçek kişilerin hak ve özgürlüklerine yönelik riskleri dikkate alarak, uygun bir güvenlik düzeyini sağlamak için uyguladığı teknik ve organizasyonel önlemlerin (ilgili sertifikalar dahil) açıklaması.

Kişisel verilerin takma adla gizlenmesi ve şifrelenmesine yönelik önlemler: Taboola yalnızca takma adla gizlenmiş veriler toplar; bu da sizin kim olduğunuzu bilmediğimiz anlamına gelir, çünkü kullanıcının adını, e-posta adresini veya diğer tanımlanabilir verilerini bilmiyor veya işlemiyoruz. Topladığımız Kullanıcı Bilgileri, bunlarla sınırlı olmamak üzere, Kullanıcının cihazı ve işletim sistemi, IP adresi, Kullanıcıların Müşterilerimizin web sitelerinde eriştiği web sayfaları, Kullanıcıyı bir Müşterinin web sitesine yönlendiren bağlantı, Kullanıcının bir Müşterinin web sitesine eriştiği tarih ve saatler ve diğer web tarama verileri hakkında bilgileri içerir. CookieID, Bcrypt kullanılarak anonimleştirilir ve IP adresi kısaltılır.

İşleme sistemlerinin ve hizmetlerinin sürekli gizliliğini, bütünlüğünü, kullanılabilirliğini ve dayanıklılığını sağlamaya yönelik önlemler: Taboola, çok katmanlı elektronik güvenlik önlemleri kullanır (örneğin: uç nokta güvenliği, sunucu tarafı güvenliği, tespit takibi, periyodik sızma testleri ve olay sonrası inceleme için derinlemesine istihbarat toplama).

Fiziksel veya teknik bir olay durumunda kişisel verilere erişimin ve kullanılabilirliğin zamanında geri yüklenmesini sağlamaya yönelik önlemler: Taboola dünya çapında faaliyet gösteren 9 veri merkezi bulunmaktadır. Her veri merkezi diğerlerinin birer kopyası olarak kullanılır, bu nedenle bir tanesi devre dışı kalırsa veriler diğer veri merkezinden alınabilir.

Veri işleme güvenliğini sağlamak amacıyla teknik ve organizasyonel önlemlerin düzenli olarak test edilmesi, değerlendirilmesi ve etkinliğinin izlenmesine yönelik süreçler: Taboola, kontrollerinin (hem teknik hem de organizasyonel) etkinliğini test etmek için sıkı süreçler uygulamaktadır. Sistemde günlük kaydı ve izleme, aylık (en az) felaket kurtarma testleri, üç aylık sızma testleri, web sitesini koruyan güvenlik duvarları ve kötü amaçlı faaliyetleri tespit etmek için ağ genelinde yayılmış tuzak sistemleri (honeypot) bulunmaktadır. Ayrıca, ağımızı sürekli olarak izlememize yardımcı olan bir ödül programımız da mevcut.

Kullanıcı kimlik tespiti ve yetkilendirme önlemleri: Taboola her kullanıcıya özel bir kullanıcı adı ve şifre atanmıştır. Taboola’nın iç ağına yapılan her erişim, Google kimlik doğrulaması kullanılarak 2FA ile gerçekleştirilir. Kullanıcılar yalnızca BT departmanı tarafından, işe alım sürecinde ve İK departmanından tüm detaylar alındıktan ve sözleşme imzalandıktan sonra oluşturulur.

Veri iletimi sırasında veri korumasına yönelik önlemler: Taboola, güvenli iletim protokolleri (en az HTTPS ve TLS v1.2) aracılığıyla her türlü veri iletimini destekler. Ayrıca, kişisel veriler içerebilecek sistemler güvence altına alınır ve veriler şifrelenerek anonimleştirilir.

Verilerin depolanması sırasında korunmasına yönelik önlemler: Veritabanlarımızda saklanan veriler, Bcrypt kullanılarak anonimleştirilir ve şifrelenir. Veritabanına erişim en aza indirilmiş olup, ‘işletme gereksinimlerine göre bilgi edinme’ ilkesine dayanmaktadır.

Kişisel verilerin işlendiği yerlerin fiziksel güvenliğinin sağlanmasına yönelik önlemler: Taboola’nın dünya genelindeki veri merkezlerinin (ABD, Avrupa ve Asya’da) her birinde, sunucuların tamamı yalnızca Taboola’nın kullanımına ayrılmış kilitli dolaplarda bulunmaktadır. Bu kabinlerin bakımı, ya SOC2-certified şirketler tarafından yapılmaktadır ya da Taboola, güvenlik önlemlerini incelemiştir. Ayrıca, sunuculara erişim için yazılı ve kayıt altına alınmış izin gereklidir. Taboola tüm ofisleri de güvenlik kontrolünden geçirilmekte olup, çalışanların giriş için erişim kartı kullanmaları gerekmektedir. Ayrıca, Taboola’nın sunucularına yalnızca sınırlı sayıda çalışanın erişimi vardır ve her türlü erişim için yazılı, kayıt altına alınmış izin gereklidir.

Olayların kayıt altına alınmasını sağlamaya yönelik önlemler: Taboola, izleme araçlarını kullanır ve toplanan kayıtlar SIEM sistemimize iletilir; bu sistem şüpheli olaylarda bizi uyarır ve aynı zamanda NOC ekibi tarafından da izlenir.

Varsayılan yapılandırma da dahil olmak üzere sistem yapılandırmasının sağlanmasına yönelik önlemler: Sunucular hem yapılandırma sapmaları hem de yama seviyeleri açısından taranır. Raporlama ve/veya uyarı ayarları her ikisinde de yapılmış ve ilgili yama düzeyi onaylanmıştır. Yeni yamalar Puppet kullanılarak dağıtılıyor. Tüm teknik incelemeler Ar-Ge uygulaması üzerinden yönetilir ve kodlama ve CI/CD processes uygulandıktan sonra resmi bir inceleme (kalite güvence) süreciyle elde edilir.

İç BT ve BT güvenliği yönetimi ve idaresine yönelik önlemler: Taboola, ISO 27001:2013 ve 27701 sertifikalarına sahiptir. Taboola , yönetim kurulu ve yönetiminin kuruluş genelindeki tüm fiziksel ve elektronik bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini korumaya kararlı olduğunu belirten bir Bilgi Güvenliği Politikası bulunmaktadır. Taboola, tüm yeni çalışanlar için güvenlik eğitimleri, dünya genelindeki tüm çalışanlar için kimlik avı eğitimleri ve tüm çalışanlar için düzenli güvenlik eğitimleri düzenlemekte olup, Ar-Ge grupları için de özel oturumlar gerçekleştirmektedir.

Süreçlerin ve ürünlerin belgelendirilmesi/güvence altına alınmasına yönelik önlemler: Taboola tanımlanmış güvenlik hedeflerine ve önlemlerine uyup uymadığını doğrulamak için birden fazla süreç ve sistem üzerinde üç aylık / altı aylık / yıllık iç denetimler gerçekleştirilir.

Veri minimizasyonunu sağlamaya yönelik önlemler: Taboola , küresel veri minimizasyon ilkelerinin bir parçası olarak, yalnızca belirli iş amaçlarımız için gerekli olan sınırlı verileri işlemek amacıyla, topladığımız verileri kasıtlı olarak sınırlandırmaktadır. Ayrıca, Taboola hizmetlerimizi sunmak için algoritmamızda kullanılan veri noktalarından herhangi birini “tersine mühendislik” yoluyla analiz etme yeteneği veya iş ihtiyacı bulunmamaktadır. Daha açık ifadeyle, Taboola topladığı veri noktaları hiçbir zaman kullanıcının kimliğini göstermez; çünkü Taboola , kullanıcının adı, telefon numarası, e-posta adresi veya fiziksel adresi gibi bilgileri toplamaz veya işlemez. Bunun yerine Taboola , yalnızca kullanıcının cihazıyla ilgili özellikleri belirten takma isimli tanımlayıcılar toplar. Bu, IP adreslerini (toplama sırasında kısaltılır ve yalnızca cihazın genel posta kodu konumunu belirleyebilir, ancak asla kesin coğrafi konumunu belirleyemez) ve bazı sınırlı durumlarda, şifrelenmiş e-posta adreslerini (doğası gereği geri döndürülemez ve orijinal e-posta adresini ortaya çıkarmak için şifresi çözülemez) içerir. Dahası, topladığımız veriler toplu halde kullanıldığında bile hiçbir zaman bir bireyin adını, telefon numarasını, e-posta adresini veya fiziksel adresini ortaya çıkaramaz ve mühendislerimiz de bu amaca ulaşmak için hiçbir şekilde çalışmazlar. Ayrıca Taboola , hizmetlerimizin, süreçlerimizin ve politikalarımızın gizlilik risklerini en aza indirmek amacıyla gizlilik etki değerlendirmeleri yapar ve bunları kaydeder.

Veri kalitesini sağlamaya yönelik önlemler: Veriler doğrudan kullanıcıdan toplanır ve kullanıcıya Taboola Kişisel Verilere Erişim Talebi Portalı aracılığıyla CookieID’siyle taboola.com verileri düzeltme fırsatı verilir: https://accessrequest.taboola.com/access

Veri saklama süresinin sınırlı olmasını sağlamaya yönelik önlemler: Reklam sunma amacıyla doğrudan toplanan Kullanıcı Bilgilerini, Kullanıcının Hizmetlerimizle son etkileşiminden itibaren en fazla on üç (13) ay süreyle (çoğu zaman daha kısa bir süre için) saklarız; bu sürenin ardından benzersiz tanımlayıcıları kaldırarak veya verileri birleştirerek verileri anonimleştiririz. Bu işlem otomatik olarak yapılır.

Hesap verebilirliğin sağlanmasına yönelik önlemler: Taboola, birden fazla güvenlik denetimi ve sızma testi gerçekleştirir (ancak tüm sistemler için değil). Taboola ayrıca, sunucuların fiziksel güvenliğini sağlamak için ISO sertifikalı ve bulutla ilgili diğer sertifikalara uyumlu bulut sağlayıcılarını kullanmaktadır.

Veri taşınabilirliğini sağlamaya ve verilerin silinmesini güvence altına almaya yönelik önlemler: Kişisel tanımlayıcı bilgiler içerebileceğinden, her türlü medyanın imhasıyla ilgili Taboola , medya imhasıyla ilgilidir. Herhangi bir medya, yeniden kullanılmadan veya atılmadan önce tamamen silinmelidir. Medya imhasına ilişkin tüm işlemler belgelenir. Çalışanlara, kişisel bilgiler içerebilecek herhangi bir belgeyi yazdırmamaları talimatı verilmiştir.

  1. Taraflardan birinin diğer tarafa Toplanan Verilerin Kısıtlı Aktarımını gerçekleştirmesi durumunda, Standard Contractual Clauses bu Yayıncı Gizlilik Şartlarına dahil edilecek ve aşağıdaki şekilde uygulanacaktır:

a. Kısıtlı Transfer bir EU Kısıtlı Transferi ise, EU SCCs taraflar arasında aşağıdaki şekilde uygulanacaktır:

  1. (i) Birinci Modül uygulanacaktır;
  2. (ii) Madde 7’de, isteğe bağlı yanaşma maddesi uygulanacaktır;
  3. (iv) Madde 11’de isteğe bağlı dil uygulanmayacaktır;
  4. (v) Madde 17’de, Seçenek 1 uygulanacak ve EU SCCs İrlanda yasalarına tabi olacaktır;
  5. (vi) Madde 18(b)’de, ihtilaflar İrlanda mahkemeleri önünde çözülecektir;
  6. (vii) Ek I’in A, B ve C bölümleri, bu Yayıncı Gizlilik Şartları’nın Ek A’sının A, B ve C bölümlerinde belirtilen bilgilerle tamamlanmış sayılacaktır; ve
  7. (vii) Ek II, bu Yayıncı Gizlilik Şartlarının Ek B’sinde belirtilen güvenlik önlemleriyle tamamlanmış sayılır;

b. Kısıtlı Transfer UK Kısıtlı Transferi ise, taraflar arasında UK Addendum aşağıdaki şekilde uygulanacaktır:

(i) Yukarıda belirtildiği şekilde tamamlanan EU SCCs taraflar arasında uygulanacak ve (aşağıdaki (ii) alt maddesinde belirtildiği şekilde tamamlanan) UK Addendum ile değiştirilecektir; ve

(ii) UK Addendum 1 ila 3. tabloları, yukarıda belirtildiği şekilde doldurulmuş EU SCCs ilgili bilgilerle tamamlanmış sayılacak ve 4. tabloda “İhracatçı” ve “İthalatçı” seçenekleri işaretlenmiş sayılacaktır. Tablo 1’de belirtilen UK Addendum başlangıç ​​tarihi, bu Yayıncı Gizlilik Şartlarının Yürürlük Tarihi olacaktır.

2. İleriye Yönelik Kısıtlı Transferler: Taraflardan hiçbiri, diğer taraftan aldığı Toplanan Verilerin Kısıtlı Aktarımını, söz konusu Kısıtlı Aktarımın Yürürlükteki Veri Koruma Yasası ve diğer tarafla kararlaştırdığı Standard Contractual Clauses uygun olmasını sağlamak için gerekli tüm işlemleri ve eylemleri yapmadıkça, ileriye dönük olarak yapmayacaktır.