Yayıncı Gizlilik Koşulları

Last Update: October 10, 2024

Yürürlük Tarihi: 10 Ekim 2024

Bu Taboola Yayıncı Gizlilik Şartları (“Yayıncı Gizlilik Şartları”), Taboola ile bir Yayıncı arasındaki bir anlaşma (“Sözleşme”) uyarınca Taboola’nın Reklamveren içeriğini Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News ve Taboola Push gibi Yayıncı ürün ve hizmetleri dahil ancak bunlarla sınırlı olmamak üzere Yayıncı mülklerine yerleştirmesi gibi Taboola’nın dijital reklam hizmetleri için geçerlidir ve bu Yayıncı Gizlilik Şartları, söz konusu Sözleşmeye dahil edilmiş sayılacak ve Sözleşmenin ayrılmaz bir parçasını oluşturacaktır. Bu Yayıncı Gizlilik Şartları, Taboola ve Yayıncının Kişisel Verilere ilişkin rol ve sorumluluklarını tanımlar.

Yayıncı Gizlilik Şartları ile Sözleşme arasında bir çelişki olması durumunda, Sözleşmedeki çelişkili hüküm bu Yayıncı Gizlilik Şartlarının çelişkili hükmüne açıkça atıfta bulunmadığı ve çelişkili hükmün yerine geçtiğini belirtmediği sürece Yayıncı Gizlilik Şartları geçerli olacaktır.

Bu bölümde tanımlanan terimler aşağıda belirtilen anlamlara sahip olacak ve ilgili terimler buna göre yorumlanacaktır. Yayıncı Gizlilik Şartları’nda kullanılan ancak tanımlanmayan büyük harfli terimler, Sözleşme’de tanımlanan anlamlara sahip olacaktır.

      1. Geçerli Veri Koruma Yasaları“, zaman zaman değiştirilebilecek veya yürürlükten kaldırılabilecek şekilde, Sözleşmenin ve bu Yayıncı Gizlilik Koşullarının konusu olan İşleme için geçerli olan tüm geçerli federal, ulusal, eyalet veya diğer gizlilik ve veri koruma yasaları anlamına gelir.
      2. “KaliforniyaGizlilikYasası” 2018 tarihli Kaliforniya Tüketici Gizliliği Yasası anlamına gelir, Cal. Medeni Kanun § 1798.100 ve devamı (ayrıca “CCPA“), değiştirildiği şekliyle (Kaliforniya Gizlilik Hakları Yasası dahil) ve tüm alt mevzuat ve uygulama yönetmelikleri.
      3. Denetleyici” şu anlama gelir: (i) Kişisel Verilerin İşlenmesinin amaçlarını ve araçlarını belirleyen bir kuruluş ve (ii) Geçerli Veri Koruma Yasaları kapsamında tanımlanan “Denetleyici” veya “İşletme” (veya büyük ölçüde benzer bir terim) teriminin kapsamına giren herhangi bir kişi veya kuruluş.
      4. Veri Sahibi” şu anlama gelir: (i) tanımlanmış veya tanımlanabilir bir gerçek kişi (ve bu amaçlar doğrultusunda, tanımlanabilir bir gerçek kişi, doğrudan veya dolaylı olarak, özellikle bir isim, kimlik numarası, konum verileri, çevrimiçi bir tanımlayıcı gibi bir tanımlayıcıya veya söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özgü bir veya daha fazla faktöre atıfta bulunarak tanımlanabilen kişidir) ve (ii) Veri Koruma Yasaları kapsamında tanımlanan “veri sahibi”, “tüketici” (veya büyük ölçüde benzer herhangi bir terim) teriminin kapsamına giren herhangi bir kişi.
      5. AB Veri Koruma Kanunu“: (i) AB Genel Veri Koruma Yönetmeliği (2016/679 sayılı Yönetmelik) (“ABGDPR“); (ii) AB e-Gizlilik Direktifi (2002/58/EC sayılı Direktif); ve (iii) (i) veya (ii) kapsamında veya bunlara uygun olarak çıkarılan ve her biri zaman zaman değiştirilebilen veya yürürlükten kaldırılabilen ulusal veri koruma kanunları anlamına gelir.
      6. Kişisel Veriler“, Ek A, Bölüm B’de belirtildiği gibi, tanımlanmış veya tanımlanabilir bir bireyle ilgili herhangi bir bilgi anlamına gelir (ve bu terim, Geçerli Veri Koruma Yasasının gerektirdiği durumlarda, benzersiz tarayıcı veya cihaz tanımlayıcılarını da içerecektir).
        1. Etkileşim Kişisel Verileri” bir tüketicinin Taboola, Taboola’nın ürünleri, Taboola’nın mülkleri ve Taboola’nın yerleştirdiği reklamlar ile kasıtlı etkileşimi sırasında veya sonrasında tüketicilerden toplanan Kişisel Veriler anlamına gelir.
        2. Pasif Etkileşimli Kişisel Veriler“, bir tüketicinin Taboola, Taboola’nın ürünleri, Taboola’nın mülkleri ve Taboola’nın yerleştirdiği reklamlar ile kasıtlı etkileşiminden önce veya bu etkileşim olmadan Taboola tarafından toplanan IP adresi, sayfa URL’si ve kullanıcı aracısı dizesi dahil ancak bunlarla sınırlı olmamak üzere Yayıncı Mülklerinden pasif olarak toplanan Kişisel Veriler anlamına gelir.
      7. İşlem“, Kişisel Veriler veya Kişisel Veri kümeleri üzerinde, otomatik yollarla olsun veya olmasın, toplama, alma, kaydetme, düzenleme, yapılandırma, kullanma, aktarma, erişim, paylaşma, ifşa etme, aktarma, depolama, uyarlama veya değiştirme, geri alma, danışma, yayma veya başka bir şekilde kullanıma sunma, hizalama veya birleştirme, bir araya getirme, çıkarım yapma, türetme, analiz etme, kısıtlama, silme, imha etme veya imha etme veya Kişisel Verilerin başka bir şekilde ele alınması gibi herhangi bir işlem veya işlemler dizisi anlamına gelir ve bu terimin Geçerli Veri Koruma Kanunu kapsamında nasıl tanımlandığını da içerir.
      8. “Veriİşleyen“, bir Denetleyici adına Kişisel Verileri İşleyen bir kuruluş anlamına gelir ve bu terimin ve/veya “veri işleyen” teriminin (veya büyük ölçüde benzer herhangi bir terimin) Geçerli Veri Koruma Yasası kapsamında nasıl tanımlandığını içerir.
      9. Kısıtlı Aktarım” şu anlama gelir: (i) AB GDPR’nin geçerli olduğu durumlarda, Kişisel Verilerin AEA’dan Avrupa Komisyonu tarafından bir yeterlilik tespitine tabi olmayan AEA dışındaki bir ülkeye aktarılması (“AB Kısıtlı Aktarımı”); ve (ii) Birleşik Krallık GDPR’nin geçerli olduğu durumlarda, Kişisel Verilerin Birleşik Krallık’tan 2018 Birleşik Krallık Veri Koruma Yasası Bölüm 17A uyarınca yeterlilik düzenlemelerine tabi olmayan veya bunlara dayanmayan başka bir ülkeye aktarılması (“Birleşik KrallıkKısıtlı Aktarımı”).
      10. Hizmetler”, Taboola tarafından Yayıncı ile Sözleşme kapsamında sağlanan hizmetler anlamına gelir.
      11. “Güvenlik Olayı“, Kişisel Verilerin kazara veya yasa dışı olarak imha edilmesine, kaybolmasına, değiştirilmesine, yetkisiz olarak ifşa edilmesine veya bunlara erişilmesine yol açan bir güvenlik ihlali anlamına gelir.
      12. “Standart Sözleşme Maddeleri” : (i) AB GDPR’nin geçerli olduğu durumlarda, Avrupa Parlamentosu ve Konseyi’nin (AB) 2016/679 sayılı Tüzüğü (“ABSCC‘leri”) uyarınca kişisel verilerin üçüncü ülkelere aktarılmasına yönelik standart sözleşme maddelerine ilişkin 4 Haziran 2021 tarihli ve 2021/914 sayılı Avrupa Komisyonu Uygulama Kararı’na ekli sözleşme maddeleri; ve (ii) Birleşik Krallık GDPR’nin geçerli olduğu durumlarda, s. 119 uyarınca Bilgi Komiseri tarafından yayınlanan “AB Komisyonu Standart Sözleşme Maddelerine Uluslararası Veri Aktarımı Eki” anlamına gelir.119DPA 2018’in A(1) maddesi (“BirleşikKrallık Eki“).
      13. Üçüncü Taraf“, Kişisel Verilerle ilgili olarak Kontrolör olarak hareket eden ve Kişisel Verileri İşlenen Veri Sahibinin kasıtlı olarak etkileşimde bulunduğu işletme olmayan bir işletme anlamına gelir; bu terim, söz konusu terimin Geçerli Veri Koruma Yasası kapsamında nasıl tanımlandığını içerir.
      14. “Birleşik Krallık Veri KorumaKanunu“: (i) 2018 Birleşik Krallık Veri Koruma Kanunu, (ii) Birleşik Krallık GDPR (2018 Birleşik Krallık Veri Koruma Kanunu s.3(10)’da tanımlandığı üzere) (“Birleşik KrallıkGDPR“), (iii) 2003 Birleşik Krallık Gizlilik ve Elektronik İletişim (EC Direktifi) Yönetmelikleri) ve (iv) (i), (ii) veya (iii) kapsamında veya bunlara uygun olarak yapılan ve her biri zaman zaman değiştirilebilecek veya yürürlükten kaldırılabilecek diğer Birleşik Krallık kanunları anlamına gelir.

Hizmetlerle bağlantılı olarak İşlenen Kişisel Veriler için her bir taraf, topladığı Kişisel Verileri yalnızca Ek A, Bölüm B’de (“İzinVerilenAmaçlar“) açıklanan amaçlar doğrultusunda ve her biri zaman zaman güncellenebilecek olan bu Yayıncı Gizlilik Şartları, Sözleşme ve Geçerli Veri Koruma Yasaları tarafından izin verildiği şekilde işleyeceğini kabul eder. Taboola ayrıca Pasif Etkileşim Kişisel Verilerini Taboola Gizlilik Politikası tarafından izin verildiği ve zaman zaman güncellenebileceği şekilde İşleyebilir.

Her bir Taraf, uygun olduğu şekilde, bir Kontrolör veya Üçüncü Taraf olarak topladığı Pasif-Etkileşim Kişisel Verilerini İşleyecektir. Taraflardan her biri, topladığı Etkileşim Kişisel Verilerini, uygun olduğu şekilde, bir Denetleyici veya İşletme olarak işleyecektir. Kişisel Verilerin bir taraftan diğerine ifşa edilmesi (doğrudan veya diğer tarafa veri sağlayan bir taraf aracılığıyla) Üçüncü Taraflara yapılan ifşalardır.

      1. Kaliforniya Gizlilik Yasası dahil ancak bununla sınırlı olmamak üzere Kişisel Veriler için ABD veya ABD eyaleti Veri Koruma Yasası geçerliyse Taboola’nın Hizmetlerle bağlantılı olarak Pasif Etkileşimli Kişisel Verileri işlediği ölçüde Taboola, söz konusu Pasif Etkileşimli Kişisel Veriler için Yayıncıya karşı Üçüncü Taraf olarak hareket eder. Taboola, söz konusu Pasif Etkileşimli Kişisel Verileri Ek A, Bölüm B’de açıklanan amaçlar doğrultusunda ve her biri zaman zaman güncellenebilecek olan bu Yayıncı Gizlilik Şartları, Sözleşme, Geçerli Veri Koruma Kanunu ve Taboola’nın Gizlilik Politikası tarafından izin verildiği şekilde işleyecektir. Bu tür Pasif Etkileşimli Kişisel Veriler, yalnızca bu tür amaçlar için Taboola’nın kullanımına sunulur. Taboola, varsa Kaliforniya Gizlilik Yasaları da dahil olmak üzere yürürlükteki ABD Veri Koruma Yasaları tarafından İşletmeler için gerekli olan aynı düzeyde gizlilik koruması sağlayacaktır. Yayıncı, Taboola’nın Pasif Etkileşim Kişisel Verilerini Yayıncının yükümlülükleriyle tutarlı bir şekilde kullanmasını sağlama hakkına sahiptir. Taboola’ya bildirimde bulunduktan sonra Yayıncı, Taboola’ya sunduğu Kişisel Verilerin yetkisiz kullanımını durdurmak ve düzeltmek için makul ve uygun adımları atma hakkına sahiptir. Taboola, Geçerli Veri Koruma Yasaları kapsamındaki yükümlülüklerini artık yerine getiremeyeceğini tespit ederse, Geçerli Veri Koruma Yasalarının gerektirdiği süre içinde Yayıncıyı bilgilendirecektir. Taboola, Hizmetlerle bağlantılı olarak Etkileşim Kişisel Verilerini topladığı ölçüde, bunu ayrı bir İşletme olarak yapacaktır.

Taraflar, Kişisel Verileri İşleyebileceklerini ve Geçerli Veri Koruma Yasalarının her bir tarafın Kişisel Verileri İşlemesi için geçerli olabileceğini kabul ederler. Bu durumda, taraflardan her biri Kişisel Verilerin işlenmesine ilişkin olarak söz konusu Geçerli Veri Koruma Yasalarına uyacaktır. Bu durumda ve bölüm 7’ye tabi olarak, her bir taraf, (i) Veri Sahiplerine şeffaflık sağlama, (ii) İşleme için rıza veya başka bir yasal dayanağa sahip olma ve (iii) Veri Sahiplerinin veri koruma haklarını kullanabilecekleri bir irtibat noktası sunma gibi geçerli gereklilikler de dahil olmak üzere, Geçerli Veri Koruma Yasalarına uymaktan bireysel olarak sorumlu olacaktır. Yayıncı, Taboola’nın Geçerli Veri Koruma Yasası kapsamındaki yükümlülüklerine uygun olarak talebi yerine getirebilmesi için Taboola’nın bir Denetleyici olarak Kişisel Verileri İşlemesi ile ilgili herhangi bir veri koruma hakları talebi alırsa ve aldığı ölçüde Taboola’yı derhal bilgilendirecektir.

  1. Yayıncı, Taboola’nın Hizmetleri ile ilgili olarak alınan tüm veri sahibi taleplerini Taboola ‘nın Küresel Veri Sahibi Erişim Talebi Portalına veya ABD adresine yönlendirecektir. Tüketici Hakları Opt-Out Portalı, uygun olduğu şekilde.

Taraflardan biri, bir bireyden, düzenleyiciden veya başka bir üçüncü taraftan Hizmetlerle bağlantılı olarak Veri Sahibinin Kişisel Verilerinin işlenmesine ilişkin herhangi bir soruşturma, şikayet veya yazışma (“Üçüncü TarafBildirimi“) alırsa, derhal diğer Tarafı bilgilendirecek ve Taraflar, söz konusu Üçüncü Taraf Bildiriminin gerekliliklerini yerine getirmek için iyi niyetle ve makul ölçüde gerekli olduğu şekilde işbirliği yapacaktır.

Taraflardan birinin diğer tarafa Kısıtlı Kişisel Veri Aktarımı yapması durumunda Ek C hükümleri geçerli olacaktır.

Taboola’nın Taboola kodu, pikselleri ve diğer izleme teknolojilerini kullanarak Yayıncı Mülklerinden Kişisel Veri topladığı ölçüde Yayıncı (i) Taboola’nın İzin Verilen Amaçlar doğrultusunda Yayıncı Mülklerinden Kişisel Verileri toplamak için Taboola kodunu kullanması hakkında Veri Sahiplerine gerekli tüm şeffaflık bildirimlerini sağlayacak ve (ii) her durumda Geçerli Veri Koruma Yasalarının gerekliliklerine uygun olarak Taboola kodunun İzin Verilen Amaçlar doğrultusunda kullanılması için Veri Sahibinin onayını alacak (ve Taboola tarafından herhangi bir zamanda talep edilmesi halinde uygun kanıtları sağlayacaktır). Yayıncının bu konudaki yükümlülükleri arasında Taboola’yı ve Taboola kodunu İzin Verilen Amaçlar için kullanımını, Yayıncının Veri Sahiplerine sağladığı şeffaflık bildirimleri ve onay istemleri dahilinde açıkça tanımlamanın yanı sıra Taboola’nın Hizmetlerini bu Varlıklar aracılığıyla yasal olarak sunabilmesi ve Kişisel Verileri İzin Verilen Amaçlar için işleyebilmesi için Geçerli Veri Koruma Yasalarının gerektirdiği diğer bilgiler de yer almaktadır. Yazılı talep üzerine Taboola, Yayıncının bildirim ve onay mekanizmalarının Geçerli Veri Koruma Yasalarına uygun olmasını sağlamak için Yayıncının Taboola kodu ve Taboola’nın Kişisel Verileri Yayıncı Özellikleri aracılığıyla İşlemesi hakkında makul olarak ihtiyaç duyabileceği bilgileri Yayıncıya sağlayacaktır. Yayıncı özellikle şunu kabul eder:

  1. web tabanlı Varlıklarına ilişkin olarak, Yayıncının Gizlilik Politikası, üçüncü taraflarca (örneğin Taboola) ilgi alanına dayalı reklamcılık ve analitik (Varlıklar üzerinde ve dışında) için çerezlerin, benzersiz tanımlayıcıların ve çerez olmayan teknolojilerin kullanımını açıklayacak ve Geçerli Veri Koruma Yasasının gerekliliklerini karşılayacak şekilde NAI’nin http://www.networkadvertising.org adresindeki sektör devre dışı bırakma sayfasına, DAA’nın http://www.aboutads.info adresindeki sektör devre dışı bırakma sayfasına veya (Avrupa web tabanlı medya ve veri toplama ile ilgili olarak) http://www.youronlinechoices.eu adresindeki EDAA devre dışı bırakma bağlantısına bir bağlantı sağlayacaktır; ve
  2. Mobil uygulama tabanlı Varlıklara ilişkin olarak, Yayıncının Gizlilik Politikası, SDK’ların mobil uygulamalarında kullanımını ve ilgi alanına dayalı veya çapraz uygulama reklamcılığı ve analitiği için mobil reklam tanımlayıcılarının toplanmasını (Varlıklarda ve Varlıklar dışında) açıklayacak ve kullanıcıların ve Ziyaretçilerin cihaz ayarları aracılığıyla çapraz uygulama reklamcılığı için mobil verilerin toplanmasını nasıl devre dışı bırakabileceklerine dair bir açıklama sağlayacaktır.
  3. Yayıncı, AB’ye yönelik Varlıkları için Ziyaretçilerin cihaz(lar)ına herhangi bir Taboola çerezi veya diğer benzersiz tanımlayıcılar yerleştirme veya bunlara erişme konusunda AB Gizlilik Yasası uyarınca Ziyaretçilerin özgürce verilmiş, özel, bilgilendirilmiş ve açık rızasını aldığından emin olacaktır. Yayıncı, Ziyaretçilerine, veri koruma haklarını (Hizmetlerle bağlantılı olarak işlenen Kişisel Verilerle ilgili olanlar da dahil olmak üzere) kullanmak üzere Yayıncıyla iletişime geçebilmeleri için iletişim bilgilerini (bu bilgilerin Gizlilik Politikası aracılığıyla sunulmasını da içerebilir) sağlayacaktır. Yukarıdaki yükümlülükler, Yayıncı Mülklerinin Hizmetlerle ilgili olarak onay mekanizmaları gerektiren yargı bölgelerinde Ziyaretçileri çektiği durumlarda geçerlidir.

Süre boyunca Taboola, Yayıncıya önerilen gizlilik politikası veya açıklama dili sağlayabilir. Yayıncı, tavsiye edilen bu dile hukuki tavsiye olarak veya hukuki tavsiyenin yerine geçecek şekilde güvenmeyeceğini ve gizlilik politikasında veya web sitesinde yer alan açıklamalardan yalnızca Yayıncının veya Şirketin kendisinin sorumlu olduğunu kabul eder.

Yayıncı, işlenmek üzere Taboola’ya herhangi bir özel kişisel veri kategorisi veya hassas kişisel bilgi veya hassas veri (Geçerli Veri Koruma Yasası kapsamında tanımlandığı şekilde) toplamak veya başka bir şekilde ifşa etmek için Hizmetleri sağlamayacak veya yapılandırmayacaktır. Ayrıca Yayıncı, Taboola’ya sunulan herhangi bir sayfa URL’sinin video başlığı bilgisi içermemesini sağlayacaktır. Taboola, Yayıncı’nın bu paragrafa uymaması durumunda, söz konusu hata giderilene kadar Hizmetleri askıya alma hakkını saklı tutar.

Her bir Taraf, Ziyaretçilerin Kişisel Verilerini bir Güvenlik Olayından korumak için uygun teknik ve organizasyonel güvenlik önlemlerini uygulayacaktır. Bu tedbirler Ek B’de belirtilen tedbirleri içerecektir.

Taraflardan birinin İşlediği ve Sözleşmenin ve bu Yayıncı Gizlilik Koşullarının konusu olan Kişisel Verilerle ilgili bir Güvenlik Olayı yaşaması halinde, söz konusu Taraf (i) Geçerli Veri Koruma Yasaları kapsamında veri koruma makamlarına ve/veya etkilenen Veri Sahiplerine karşı geçerli olan her türlü raporlama yükümlülüğünü (masrafları kendisine ait olmak üzere) yerine getirmekten sorumlu olacak, (ii) diğer Tarafa gecikmeksizin bildirimde bulunacaktır, Güvenlik Olayı hakkında diğer Tarafça makul olarak talep edilebilecek veya diğer Tarafın Güvenlik Olayı ile ilgili olarak Geçerli Veri Koruma Yasaları kapsamında raporlama yükümlülükleri olup olmadığını belirlemesi için gerekli olan bilgileri sağlamak ve (iii) Güvenlik Olayının etkilerini düzeltmek ve/veya hafifletmek için uygun olan tüm eylemleri ve önlemleri gereksiz gecikme olmaksızın almak.

Tarafların her birinin tabi olduğu Geçerli Veri Koruma Yasalarının gerektirdiği durumlarda ve ölçüde, tarafların her biri İzin Verilen Amaçlar için Kişisel Verilerin İşlenmesi ile ilgili olarak herhangi bir veri koruma etki değerlendirmesi yapacak ve/veya gerektiğinde geçerli veri koruma makamlarına danışacaktır. Taraflardan her biri, diğer tarafın bir veri koruma etki değerlendirmesini tamamlaması ve/veya diğer tarafın bu bölüm kapsamındaki yükümlülüklerine uygun olarak geçerli veri koruma makamlarına danışması için gerekli olduğu durumlarda, diğer tarafça makul olarak talep edilen tüm makul işbirliği ve bilgileri sağlayacaktır.

A. TARAFLARIN LİSTESİ

Tarafların her biri:

  • diğer tarafa ifşa ettiği veya kullanıma sunduğu Toplanan Verilerin veri sorumlusu (ve veri aktarıcısı) ve
  • diğer taraftan aldığı veya diğer tarafça erişimine izin verilen Toplanan Verilerin veri kontrolörü (ve veri ithalatçısı).

Her bir tarafın ayrıntıları aşağıda verilmiştir.

İsim: Sözleşmede belirtilen Reklamverenin ayrıntılarına bakın.

Adres: Sözleşmede belirtilen Reklamverenin ayrıntılarına bakın.

İrtibat kişisinin adı, pozisyonu ve iletişim bilgileri: Sözleşmede belirtilen veya taraflar arasında yazılı olarak kararlaştırılan Reklamverenin ayrıntılarına bakın.

Bu Maddeler kapsamında aktarılan verilerle ilgili faaliyetler: Sözleşmede belirtildiği şekilde Hizmetlerin alınması.

İmza ve tarih: İşbu Ek A, Reklamverenin işbu Reklamveren Gizlilik Koşullarını kabul etmesiyle yürürlüğe girmiş sayılacaktır.

Rol (kontrolör/işlemci): Denetleyici (veri ihracatçısı olduğu durumlarda) ve Denetleyici (veri ithalatçısı olduğu durumlarda)

 

İsim: Taboola’nın Sözleşmenin giriş bölümünde belirtilen ayrıntılarına bakın.

Adres: Taboola’nın Sözleşmenin giriş bölümünde belirtilen ayrıntılarına bakın.

İrtibat kişisinin adı, pozisyonu ve iletişim bilgileri: Taboola’nın gizlilik ekibi, privacy@taboola.com.

Bu Maddeler kapsamında aktarılan verilerle ilgili faaliyetler: Sözleşmede belirtildiği şekilde Hizmetlerin sağlanması.

İmza ve tarih: İşbu Ek A, Taboola’nın işbu Reklamveren Gizlilik Şartlarını kabul etmesiyle yürürlüğe girmiş sayılacaktır.

Rol (kontrolör/işlemci): Denetleyici (veri ihracatçısı olduğu durumlarda) ve Denetleyici (veri ithalatçısı olduğu durumlarda)

 

B. İŞLEME VE AKTARIMIN TANIMI 

Kişisel verileri işlenen ve/veya aktarılan veri sahiplerinin kategorileri: Kullanıcılar

İşlenen ve/veya aktarılan kişisel veri kategorileri:

Cihaz Verileri: İşletim sistemi, tarayıcı türü, tarayıcı sürümü, IP adresi (30 gün içinde kesilir), posta kodu (IP adresinden türetilir), karma Taboola Kullanıcı Kimliği, karma e-postalar, Reklamverenin web sitesindeki ilk ve sonraki sayfa ziyaretleri, kullanıcı cinsiyeti (ilgi alanlarına göre çıkarılır), etkileşim sinyalleri (sitede geçirilen süre, kaydırma derinliği, oturum derinliği), dönüşüm verileri.

Kullanıcı tarafından ziyaret edilen dijital mülk hakkında veriler: Ziyaret edilen sayfanın URL’si, yönlendiren web sitesi

Aktarılan hassas veriler (varsa) ve verilerin doğasını ve ilgili riskleri tam olarak dikkate alan, örneğin katı amaç sınırlaması, erişim kısıtlamaları (yalnızca özel eğitim almış personelin erişimi dahil), verilere erişimin kaydının tutulması, ileriye dönük aktarımlar için kısıtlamalar veya ek güvenlik önlemleri gibi uygulanan kısıtlamalar veya koruma önlemleri: Geçerli değil.

İşleme ve/veya aktarımların sıklığı (örneğin verilerin tek seferlik mi yoksa sürekli olarak mı işlendiği ve/veya aktarıldığı): Sözleşme süresi boyunca devam edecektir.

İşlemin niteliği: Sözleşmede belirtildiği şekilde Hizmetlerin sağlanması için gerekli olan Kişisel Verilerin işlenmesi.

Veri işleme / aktarma ve sonraki işlemlerin amaç(lar)ı: Sözleşmede belirtildiği şekilde Hizmetlerin sağlanması. Şüpheye mahal vermemek için, İzin Verilen Amaçlar şunları içerir: (i) bir cihazdaki bilgilerin depolanması ve/veya bunlara erişilmesi; (ii) temel reklamların seçilmesi; (iii) kişiselleştirilmiş bir reklam profili oluşturulması; (iv) kişiselleştirilmiş reklamların seçilmesi; (v) kişiselleştirilmiş bir içerik profili oluşturulması; (vi) kişiselleştirilmiş içeriğin seçilmesi; (vii) reklam performansının ölçülmesi; (viii) içerik performansının ölçülmesi; (ix) ürünlerin geliştirilmesi ve iyileştirilmesi; (x) güvenliği sağlama, sahtekarlığı önleme ve hata ayıklama; (xi) teknik olarak reklam veya içerik sunma; (xii) çevrimdışı veri kaynaklarını eşleştirme ve birleştirme; (xiii) farklı cihazları birbirine bağlama; (xiv) tanımlama için otomatik olarak gönderilen cihaz özelliklerini alma ve kullanma; (xv) içerik seçmek için sınırlı verileri kullanma ve (xvi) istatistikler aracılığıyla kitleleri anlama.

Kişisel verilerin ne kadar süreyle saklanacağı veya bunun mümkün olmaması halinde bu sürenin belirlenmesinde kullanılan kriterler:

  • Taboola: Ham veriler en fazla 13 ay süreyle saklanır.
  • Reklamcı: Hizmetleri almak için gerekli olduğu sürece veya Sözleşmede aksi belirtilmedikçe.

(Alt) işleyicilere yapılan aktarımlar için işleme konusunu, niteliğini ve süresini de belirtin: Geçerli değil.

 

C. YETKİLİ DENETİM MAKAMI

AB GDPR’nin geçerli olduğu yerlerde yetkili denetim makamı: Her bir taraf için yetkili denetim makamı aşağıda açıklandığı gibidir:

  • Taboola: Yetkili denetim makamı AB SCC’lerinin 13. Maddesi uyarınca belirlenir.
  • Reklamcı: Yetkili denetim makamı AB SCC’lerinin 13. Maddesi uyarınca belirlenir.

Birleşik Krallık GDPR’nin geçerli olduğu yerlerde yetkili denetim makamı: Bilgi Komiserliği Ofisi

İşlemenin niteliği, kapsamı, bağlamı ve amacı ile gerçek kişilerin hak ve özgürlüklerine yönelik riskler dikkate alınarak uygun bir güvenlik düzeyi sağlamak için her bir tarafça uygulanan teknik ve organizasyonel önlemlerin (ilgili sertifikalar da dahil olmak üzere) açıklaması.

Kişisel verilerin anonimleştirilmesi ve şifrelenmesi önlemleri: Taboola yalnızca takma adla veri toplar, bu da kullanıcının adını, e-posta adresini veya diğer tanımlanabilir verileri bilmediğimiz veya işlemediğimiz için kim olduğunuzu bilmediğimiz anlamına gelir. Topladığımız Kullanıcı Bilgileri, bunlarla sınırlı olmamak üzere, bir Kullanıcının cihazı ve işletim sistemi, IP adresi, Müşterilerimizin web sitelerinde Kullanıcılar tarafından erişilen web sayfaları, bir Kullanıcıyı bir Müşterinin web sitesine yönlendiren bağlantı, bir Kullanıcının bir Müşterinin web sitesine eriştiği tarihler ve saatler ve diğer web tarama verileri hakkındaki Bilgileri içerir. CookieID, Bcrypt kullanılarak anonimleştirilir ve IP adresi kesilir.

İşleme sistemlerinin ve hizmetlerinin sürekli gizliliğini, bütünlüğünü, kullanılabilirliğini ve esnekliğini sağlamaya yönelik tedbirler: Taboola birden fazla elektronik güvenlik seviyesi kullanır (örneğin: uç nokta güvenliği, sunucu tarafı güvenliği, tespit takibi, periyodik sızma testleri ve ölüm sonrası olayları incelemek için derin istihbarat toplama).

Fiziksel veya teknik bir olay durumunda kişisel verilerin kullanılabilirliğini ve erişimini zamanında geri yükleme yeteneğini sağlamaya yönelik önlemler: Taboola, dünya çapında faaliyet gösteren 9 veri merkezine sahiptir. Her veri merkezi birbirinin kopyası olarak kullanılır, böylece biri çökerse veriler diğer veri merkezinden alınabilir.

İşlemenin güvenliğini sağlamak için teknik ve organizasyonel önlemlerin etkinliğini düzenli olarak test etme, değerlendirme ve değerlendirme süreçleri: Taboola, kontrollerinin (hem teknik hem de organizasyonel) etkinliğini test etmek için sıkı süreçler yürütür. Sistem kaydı ve izleme, aylık (en az) DR testi, üç ayda bir sızma testleri, web’i koruyan güvenlik duvarları ve herhangi bir kötü niyetli etkinliği bulmak için ağa yayılmış bal küplerimiz var. Ayrıca, ağımızı sürekli olarak izlememize yardımcı olan bir ödül programımız var.

Kullanıcı tanımlama ve yetkilendirme için önlemler: Taboola’daki her kullanıcı özel bir kullanıcı adı ve parola ile ilişkilendirilir. Taboola’nın dahili ağına her erişim, Google kimlik doğrulaması kullanılarak 2FA ile yapılır. Kullanıcılar yalnızca BT departmanı tarafından, işe alım süreci sırasında ve yalnızca İK departmanından tüm ayrıntılar ve imzalı sözleşme alındıktan sonra oluşturulur.

Aktarım sırasında verilerin korunmasına yönelik önlemler: Taboola, güvenli iletim protokolleri (en az HTTPS ve TLS v1.2) aracılığıyla her türlü veri iletimini destekler. Ayrıca, PII içerebilecek sistemler güvence altına alınır ve veriler karma ve anonim olarak tutulur.

Depolama sırasında verilerin korunmasına yönelik önlemler: Veritabanlarımızda saklanan veriler anonimleştirilir ve Bcrypt kullanılarak karma hale getirilir. Veri tabanına erişim en aza indirilir ve ‘iş için bilinmesi gerekenler’ ilkesine göre temellendirilir.

Kişisel verilerin işlendiği yerlerin fiziksel güvenliğini sağlamaya yönelik tedbirler: Taboola’nın küresel veri merkezlerinin her birinde (ABD, Avrupa ve Asya’da), tüm sunucuları yalnızca Taboola’nın kullanımı için tutulan kilitli dolaplarda bulunur. Bu dolaplar ya SOC2 sertifikalı ya da Taboola’nın güvenlik önlemlerini incelediği şirketler tarafından muhafaza edilir. Ayrıca, sunuculara her türlü erişim yazılı ve kayıtlı izin gerektirir. Tüm Taboola ofisleri de kontrollüdür ve çalışanların giriş için erişim kartlarını kullanmalarını gerektirir. Ayrıca, Taboola’nın sunucularına yalnızca sınırlı sayıda çalışanın erişimi vardır ve herhangi bir erişim de yazılı, kaydedilmiş izin gerektirir.

Olayların günlüğe kaydedilmesini sağlamak için önlemler: Taboola, izleme araçlarını uygular ve günlükler, herhangi bir şüpheli olayda bizi uyaran SIEM sistemimizde toplanır ve ayrıca NOC ekibi tarafından izlenir.

Varsayılan yapılandırma da dahil olmak üzere sistem yapılandırmasını sağlamaya yönelik önlemler: Sunucular hem yapılandırma sapması hem de yama seviyesi açısından taranır. Her ikisinde de raporlama ve/veya uyarı ayarlanır ve ilgili yama seviyesi onaylanır. Yeni yamalar Puppet kullanılarak dağıtılır. Tüm teknik incelemeler Ar-Ge uygulaması aracılığıyla yönetilir ve kodlama ve CI/CD süreçleri de uygulandıktan sonra resmi bir inceleme süreciyle (QA) elde edilir.

Dahili BT ve BT güvenliği yönetişimi ve yönetimi için önlemler: Taboola ISO 27001:2013 ve 27701 sertifikalarına sahiptir. Taboola, Yönetim Kurulu ve Taboola yönetiminin, kuruluşlarındaki tüm fiziksel ve elektronik bilgi varlıklarının gizliliğini, bütünlüğünü ve kullanılabilirliğini korumayı taahhüt ettiğini belirten bir Bilgi Güvenliği Politikasına sahiptir. Taboola, tüm yeni çalışanlar için güvenlik eğitimleri, küresel olarak tüm çalışanlar için kimlik avı eğitimleri ve tüm çalışanlar için düzenli güvenlik eğitimleri düzenler ve ayrıca Ar-Ge grupları için özel oturumlar düzenler.

Süreçlerin ve ürünlerin sertifikasyonu/güvencesi için önlemler: Taboola’nın tanımlanan güvenlik hedeflerine ve önlemlerine uyduğunu doğrulamak için birden fazla süreç ve sistem üzerinde üç aylık / altı aylık / yıllık iç denetim.

Veri minimizasyonunu sağlamaya yönelik tedbirler: Taboola, topladığımız verileri, Taboola’nın yalnızca belirli iş amaçlarımız için gereken sınırlı verileri işlemeye yönelik küresel veri minimizasyonu ilkelerinin bir parçası olarak kasıtlı olarak sınırlandırır. Ayrıca Taboola, hizmetlerimizi sağlamak için algoritmamızda kullanılan veri noktalarından herhangi birini “tersine mühendislik” yapma yeteneğine veya herhangi bir iş ihtiyacına sahip değildir. Daha spesifik olarak, Taboola’nın topladığı veri noktaları hiçbir zaman bir kullanıcının kimliğinin göstergesi değildir – çünkü Taboola kullanıcının adı, telefon numarası, e-postası veya fiziksel adresleri gibi bilgileri toplamaz veya işlemez. Bunun yerine, Taboola yalnızca bir kullanıcının cihazıyla ilgili özellikleri tanımlayan takma ad tanımlayıcıları toplar. Bu, IP adreslerini (toplandıktan sonra kesilir ve yalnızca cihazın genel posta kodu konumunu belirleyebilir, ancak asla kesin bir coğrafi konumu belirleyemez) ve bazı sınırlı durumlarda karma e-posta adreslerini (doğası gereği geri döndürülemez ve orijinal e-posta adresini ortaya çıkarmak için şifresi çözülemez) içerir. Ayrıca, toplu olarak kullanıldığında bile, topladığımız veriler hiçbir zaman bir bireyin adını, telefon numarasını, e-postasını veya fiziksel adresini üretemez ve mühendislerimiz bu amaca ulaşmak için hiçbir şekilde çalışmaz. Ayrıca Taboola, hizmetlerimizin, süreçlerimizin ve politikalarımızın gizlilik risklerini en aza indirmek amacıyla gizlilik etki değerlendirmeleri yapar ve bunları kaydeder.

Veri kalitesinin sağlanmasına yönelik tedbirler: Veriler doğrudan kullanıcıdan toplanır ve kullanıcıya Taboola Konu Erişim Talebi Portalı aracılığıyla CookieID’si ile ilişkili tüm verileri düzeltme fırsatı verilir: https://accessrequest.taboola.com/access

Verilerin sınırlı tutulmasını sağlamaya yönelik tedbirler: Doğrudan reklam sunma amacıyla toplanan Kullanıcı Bilgilerini, Kullanıcının Hizmetlerimizle son etkileşiminden itibaren en fazla on üç (13) ay boyunca (genellikle daha kısa bir süre için) saklarız ve bu sürenin sonunda benzersiz tanımlayıcıları kaldırarak veya verileri toplayarak verileri kimliksizleştiririz. Bu işlem otomatik olarak yapılır.

Hesap verebilirliğin sağlanmasına yönelik tedbirler: Taboola birden fazla güvenlik denetimi ve sızma testi yapar (ancak tüm sistemler için değil). Taboola ayrıca ISO sertifikalı ve bir sunucunun fiziksel korumalarını sürdürmek için bulutla ilgili diğer sertifikalara uyan bulut sağlayıcılarını kullanır.

Veri taşınabilirliği ve silme işleminin sağlanmasına yönelik tedbirler: Medya imhası ile ilgili Taboola, PII içerebileceğinden her türlü medya için aynıdır. Herhangi bir medya yeniden kullanılmadan veya atılmadan önce tamamen silinmelidir. Her türlü medya imhası belgelenir. Çalışanlara, kişisel bilgi içerebilecek hiçbir kâğıdın çıktısını almamaları talimatı verilmiştir.

  1. Taraflardan birinin diğer tarafa Toplanan Verilerin Kısıtlı Aktarımını yaptığı ölçüde, Standart Sözleşme Maddeleri bu Yayıncı Gizlilik Koşullarına dahil edilecek ve aşağıdaki şekilde uygulanacaktır:

a. Kısıtlı Transferin AB Kısıtlı Transferi olması halinde, AB SCC’leri taraflar arasında aşağıdaki şekilde uygulanacaktır:

  1. (i) Birinci Modül uygulanacaktır;
  2. (ii) Madde 7’de isteğe bağlı yanaşma Maddesi geçerli olacaktır;
  3. (iv) Madde 11’de isteğe bağlı dil geçerli olmayacaktır;
  4. (v) 17. Maddede 1. Seçenek uygulanacak ve AB SCC’leri İrlanda hukukuna tabi olacaktır;
  5. (vi) Madde 18(b)’de, anlaşmazlıkların İrlanda mahkemeleri önünde çözüleceği belirtilmektedir;
  6. (vii) Ek I’in A, B ve C Bölümleri, bu Yayıncı Gizlilik Koşullarının Ek A’sının A, B ve C Bölümlerinde belirtilen bilgilerle tamamlanmış sayılacaktır; ve
  7. (vii) Ek II, bu Yayıncı Gizlilik Koşullarının Ek B’sinde belirtilen güvenlik önlemleri ile tamamlanmış sayılacaktır;

b. Kısıtlı Transferin Birleşik Krallık Kısıtlı Transferi olması halinde, Birleşik Krallık Eki taraflar arasında aşağıdaki şekilde uygulanacaktır:

(i) yukarıda belirtildiği şekilde tamamlanan AB SCC’leri taraflar arasında geçerli olacak ve Birleşik Krallık Eki (aşağıdaki alt madde (ii)’de belirtildiği şekilde tamamlanan) tarafından değiştirilecektir; ve

(ii) Birleşik Krallık Eki’nin 1’den 3’e kadar olan tabloları, yukarıda belirtildiği şekilde doldurulan AB SCC’lerinden gelen ilgili bilgilerle tamamlanmış sayılacak ve tablo 4’teki “İhracatçı” ve “İthalatçı” seçenekleri işaretlenmiş sayılacaktır. Birleşik Krallık Ekinin başlangıç tarihi (tablo 1’de belirtildiği gibi) bu Yayıncı Gizlilik Koşullarının Yürürlük Tarihi olacaktır.

2. İleriye Yönelik Kısıtlı Transferler: Taraflardan hiçbiri, söz konusu ileriye dönük Kısıtlı Aktarımın Geçerli Veri Koruma Yasasına ve diğer tarafla mutabık kaldığı Standart Sözleşme Maddelerine uygun olmasını sağlamak için gerekli olan tüm eylem ve işlemleri yapmadıkça, diğer taraftan aldığı Toplanan Verilerin ileriye dönük Kısıtlı Aktarımını yapmayacaktır.