Reklamveren Gizlilik Koşulları

Last Update: November 14, 2025

Yürürlük Tarihi:  14 Ağustos 2023

Bu Taboola Reklamveren Gizlilik Şartları (“ReklamverenGizlilikŞartları”), Taboola ile bir Reklamveren arasındaki bir anlaşma (“Sözleşme“) uyarınca Taboola’nın Reklamveren içeriğini dağıtım platformu aracılığıyla dağıtması gibi Taboola’nın dijital reklam hizmetleri için geçerlidir ve bu Reklamveren Gizlilik Şartları, söz konusu Sözleşmeye dahil edilmiş sayılacak ve Sözleşmenin ayrılmaz bir parçasını oluşturacaktır.  Bu Reklamveren Gizlilik Şartları, Taboola ve Reklamverenin Kişisel Verilere ilişkin rol ve sorumluluklarını tanımlar.

Reklamveren Gizlilik Koşulları ile Sözleşme arasında bir ihtilaf olması halinde, Sözleşmedeki ihtilaflı hüküm bu Reklamveren Gizlilik Koşullarının ihtilaflı hükmüne açıkça atıfta bulunmadığı ve ihtilaflı hükümden üstün olduğunu belirtmediği sürece, ihtilafın kapsamı dahilinde Reklamveren Gizlilik Koşulları geçerli olacaktır.

Bu bölümde tanımlanan terimler aşağıda belirtilen anlamlara sahip olacak ve ilgili terimler buna göre yorumlanacaktır. Reklamveren Gizlilik Şartları’nda kullanılan ancak tanımlanmayan büyük harfli terimler, Sözleşme’de tanımlanan anlamlara sahip olacaktır.

      1. Geçerli Veri Koruma Yasaları“, zaman zaman değiştirilebilecek veya yürürlükten kaldırılabilecek şekilde, Sözleşmenin ve bu Reklamveren Şartlarının konusu olan İşleme için geçerli olan tüm federal, ulusal, eyalet veya diğer gizlilik ve veri koruma yasaları anlamına gelir.
      2. Toplanan Veriler“, Hizmetlerin sağlanması veya alınmasıyla bağlantılı olarak her bir tarafın kendi sunucuları veya ağları üzerinde veya aracılığıyla Veri Sahiplerinden topladığı Kişisel Veriler (tarayıcı türü ve cihaz tanımlayıcılarına dayalı veriler gibi tüm pasif olarak toplanan veya makine tarafından okunabilen veriler dahil) anlamına gelir.
      3. Kontrolör” şu anlama gelir: (i) Kişisel Verilerin İşlenmesinin amaçlarını ve araçlarını belirleyen bir kuruluş ve (ii) Geçerli Veri Koruma Yasaları kapsamında tanımlanan “kontrolör” teriminin (veya büyük ölçüde benzer bir terimin) kapsamına giren herhangi bir kişi.
      4. “KaliforniyaGizlilikYasası” 2018 tarihli Kaliforniya Tüketici Gizliliği Yasası anlamına gelir, Cal. Medeni Kanun § 1798.100 ve devamı (“CCPA“), tadil edildiği şekliyle (Kaliforniya Gizlilik Hakları Yasası dahil) ve tüm alt mevzuat ve uygulama yönetmelikleri.
      5. Veri Sahibi” şu anlama gelir: (i) tanımlanmış veya tanımlanabilir bir gerçek kişi (ve bu amaçlar doğrultusunda, tanımlanabilir bir gerçek kişi, doğrudan veya dolaylı olarak, özellikle bir isim, kimlik numarası, konum verileri, çevrimiçi bir tanımlayıcı gibi bir tanımlayıcıya veya söz konusu gerçek kişinin fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özgü bir veya daha fazla faktöre atıfta bulunarak tanımlanabilen kişidir) ve (ii) Veri Koruma Yasaları kapsamında tanımlanan “veri sahibi”, “tüketici” (veya büyük ölçüde benzer herhangi bir terim) teriminin kapsamına giren herhangi bir kişi.
      6. AB Veri Koruma Kanunu“: (i) AB Genel Veri Koruma Yönetmeliği (2016/679 sayılı Yönetmelik) (“AB GDPR“); (ii) AB e-Gizlilik Direktifi (2002/58/EC sayılı Direktif); ve (iii) (i) veya (ii) kapsamında veya bunlara uygun olarak çıkarılan ve her biri zaman zaman değiştirilebilen veya yürürlükten kaldırılabilen ulusal veri koruma kanunları anlamına gelir.
      7. İzinVerilenAmaçlar” bölüm 3’te verilen anlama sahiptir.
      8. Kişisel Veriler“, Ek A, Bölüm B’de belirtildiği üzere, bir Veri Sahibiyle ilgili her türlü bilgi (Geçerli Veri Koruma Yasasının gerektirdiği durumlarda, benzersiz tarayıcı veya cihaz tanımlayıcıları dahil) anlamına gelir.
      9. İşlem“, Kişisel Veriler veya Kişisel Veri kümeleri üzerinde, otomatik yollarla olsun veya olmasın, toplama, alma, kaydetme, düzenleme, yapılandırma, kullanma, aktarma, erişim, paylaşma, ifşa etme, aktarma, depolama, uyarlama veya değiştirme, geri alma, danışma, yayma veya başka bir şekilde kullanıma sunma, hizalama veya birleştirme, bir araya getirme, çıkarım yapma, türetme, analiz etme, kısıtlama, silme, imha etme veya imha etme veya Kişisel Verilerin başka bir şekilde ele alınması gibi herhangi bir işlem veya işlemler dizisi anlamına gelir ve bu terimin Geçerli Veri Koruma Kanunu kapsamında nasıl tanımlandığını da içerir.
      10. İşleyici” şu anlama gelir: (i) bir Denetleyici adına Kişisel Verileri İşleyen bir kuruluş ve (ii) Geçerli Veri Koruma Yasaları kapsamında tanımlanan “işleyici” terimi (veya büyük ölçüde benzer bir terim) kapsamına giren herhangi bir kişi.
      11. Kısıtlı Aktarım” şu anlama gelir: (i) AB GDPR’nin geçerli olduğu durumlarda, Kişisel Verilerin AEA’dan Avrupa Komisyonu tarafından bir yeterlilik tespitine tabi olmayan AEA dışındaki bir ülkeye aktarılması (“AB Kısıtlı Aktarımı”); ve (ii) Birleşik Krallık GDPR’nin geçerli olduğu durumlarda, Kişisel Verilerin Birleşik Krallık’tan 2018 Birleşik Krallık Veri Koruma Yasası Bölüm 17A uyarınca yeterlilik düzenlemelerine tabi olmayan veya bunlara dayanmayan başka bir ülkeye aktarılması (“Birleşik KrallıkKısıtlı Aktarımı”).
      12. Satış” ve “Satmak“, Kişisel Verilerin parasal veya diğer değerli bir bedel karşılığında takas edilmesi anlamına gelir ve bu terimlerin Geçerli Veri Koruma Yasası kapsamında nasıl tanımlandığını içerir.
      13. Hizmetler”, Reklamveren ile Sözleşme kapsamında Taboola tarafından sağlanan hizmetler anlamına gelir.
      14. Güvenlik Olayı“, Kişisel Verilerin kazara veya yasa dışı olarak imha edilmesine, kaybolmasına, değiştirilmesine, yetkisiz olarak ifşa edilmesine veya bunlara erişilmesine yol açan bir güvenlik ihlali anlamına gelir.
      15. Standart Sözleşme Maddeleri”: (i) AB GDPR’nin geçerli olduğu durumlarda, Avrupa Parlamentosu ve Konseyi’nin (AB) 2016/679 sayılı Tüzüğü (“ABSCC‘leri”) uyarınca kişisel verilerin üçüncü ülkelere aktarılmasına yönelik standart sözleşme maddelerine ilişkin 4 Haziran 2021 tarihli ve 2021/914 sayılı Avrupa Komisyonu Uygulama Kararı’na ekli sözleşme maddeleri; ve (ii) Birleşik Krallık GDPR’nin geçerli olduğu durumlarda, s. 119 uyarınca Bilgi Komiseri tarafından yayınlanan “AB Komisyonu Standart Sözleşme Maddelerine Uluslararası Veri Aktarımı Eki” anlamına gelir.119DPA 2018’in A(1) maddesi (“BirleşikKrallık Eki“).
      16. Üçüncü Taraf“, Kişisel Verilerle ilgili olarak Kontrolör olarak hareket eden ve Kişisel Verileri İşlenen Veri Sahibinin kasıtlı olarak etkileşimde bulunduğu işletme olmayan bir işletme anlamına gelir; bu terim, söz konusu terimin Geçerli Veri Koruma Yasası kapsamında nasıl tanımlandığını içerir.
      17. “Birleşik Krallık Veri KorumaKanunu“: (i) 2018 Birleşik Krallık Veri Koruma Kanunu, (ii) Birleşik Krallık GDPR (2018 Birleşik Krallık Veri Koruma Kanunu s.3(10)’da tanımlandığı üzere) (“Birleşik KrallıkGDPR“), (iii) 2003 Birleşik Krallık Gizlilik ve Elektronik İletişim (EC Direktifi) Yönetmelikleri) ve (iv) (i), (ii) veya (iii) kapsamında veya bunlara uygun olarak yapılan ve her biri zaman zaman değiştirilebilecek veya yürürlükten kaldırılabilecek diğer Birleşik Krallık kanunları anlamına gelir.

Taraflardan her biri diğer taraftan topladığı veya aldığı Toplanan Verileri Ek A, Bölüm B’de (“İzinVerilenAmaçlar“) belirtilen amaçlar doğrultusunda işleyecektir.  Reklamveren, Taboola’nın Toplanan Verileri Taboola Gizlilik Politikası tarafından izin verildiği şekilde işleyeceğini kabul eder (şüpheye mahal vermemek için, bu aynı zamanda Taboola için İzin Verilen Amaç olacaktır).

Toplanan Verilerin Geçerli Veri Koruma Yasaları kapsamında Kişisel Veri olarak nitelendirildiği veya Kişisel Veri içerdiği ölçüde, taraflardan her biri diğer taraftan topladığı veya aldığı Toplanan Verileri bir Kontrolör olarak (Kaliforniya Gizlilik Yasasının geçerli olduğu hallerde Üçüncü Taraf olarak da işleyebilir) işleyecektir.  Toplanan Verilerin veya Kişisel Verilerin bir taraftan diğerine ifşa edilmesi (aktarım veya bir tarafın verileri diğer tarafın kullanımına sunması yoluyla) Üçüncü Taraflara yapılan ifşalardır.

      1. Kaliforniya Gizlilik Yasası dahil ancak bununla sınırlı olmamak üzere Toplanan Veriler için ABD veya ABD eyaleti Veri Koruma Yasası geçerliyse, Hizmetlerle bağlantılı olarak kullanılan Realize Pixels (eski adıyla “Taboola Pixels”) bir Ziyaretçi hakkındaki Kişisel Verileri İşlediği ölçüde, Taboola söz konusu Kişisel Veriler için Reklamverenin Üçüncü Tarafı olarak hareket eder. Taboola, söz konusu Kişisel Verileri İzin Verilen Amaçlar için İşleyecektir. Bu tür Kişisel Veriler Taboola’ya yalnızca İzin Verilen Amaçlar için sunulur.  Taboola, varsa Kaliforniya Gizlilik Yasaları da dahil olmak üzere yürürlükteki ABD Veri Koruma Yasaları tarafından İşletmeler için gerekli olan aynı düzeyde gizlilik koruması sağlayacaktır. Taboola, Geçerli Veri Koruma Yasaları kapsamındaki yükümlülüklerini artık yerine getiremeyeceğini tespit ederse, Geçerli Veri Koruma Yasasının gerektirdiği süre içinde Reklamvereni bilgilendirecektir. Reklamveren, Taboola’ya bildirimde bulunduktan sonra, Taboola’ya sunduğu Kişisel Verilerin yetkisiz kullanımını durdurmak ve düzeltmek için makul ve uygun adımları atma hakkına sahiptir.

Taraflar, Toplanan Verilerin bir kısmının veya tamamının Kişisel Veri olarak nitelendirilebileceğini veya Kişisel Veri içerebileceğini ve bu nedenle her bir tarafın Toplanan Verileri İşlemesi için Geçerli Veri Koruma Yasalarının uygulanabileceğini kabul eder.  Bu durumda ve bölüm 7’ye tabi olarak, her bir taraf, (i) Veri Sahiplerine şeffaflık sağlama, (ii) İşleme için rıza veya başka bir yasal dayanağa sahip olma ve (iii) Veri Sahiplerinin veri koruma haklarını kullanabilecekleri bir irtibat noktası sunma gibi geçerli gereklilikler de dahil olmak üzere, Geçerli Veri Koruma Yasalarına uymaktan bireysel olarak sorumlu olacaktır.

Taraflardan birinin diğer tarafa Toplanan Verilerin Kısıtlı Aktarımını yapması durumunda Ek C hükümleri geçerli olacaktır.

Taboola, Hizmetleri sağlamak için Realize Pixels kullanır.  Bölüm 5’e bakılmaksızın, Taboola’nın Realize Pixels kullanarak Reklamveren dijital mülklerinden (web siteleri, mobil uygulamalar veya başka türlü) Toplanan Verileri topladığı ölçüde, Reklamveren (i) Taboola’nın İzin Verilen Amaçlar doğrultusunda Reklamveren dijital mülklerinden Toplanan Verileri toplamak için Realize Pixels’i kullanması hakkında Veri Sahiplerine gerekli tüm şeffaflık bildirimlerini sağlayacak ve (ii) her durumda Geçerli Veri Koruma Yasalarının gerekliliklerine uygun olarak İzin Verilen Amaçlar doğrultusunda Realize Pixels’in bu şekilde kullanımı için Veri Sahibinin onayını alacak (ve Taboola tarafından herhangi bir zamanda talep edilmesi halinde uygun kanıtları sağlayacaktır).  Reklamverenin bu konudaki yükümlülükleri, Taboola’nın Hizmetlerini söz konusu dijital mülkler aracılığıyla yasal olarak sunabilmesi ve Toplanan Verileri ve Kişisel Verileri İzin Verilen Amaçlar doğrultusunda işleyebilmesi için Taboola’yı ve İzin Verilen Amaçlar doğrultusunda Realize Pikselleri kullanımını şeffaflık bildirimlerinde ve Reklamverenin Veri Sahiplerine sağladığı onay istemlerinde açıkça tanımlamayı ve Geçerli Veri Koruma Yasalarının gerektirdiği diğer bilgileri içerir.  Taboola, yazılı talep üzerine, Reklamverenin bildirim ve onay mekanizmalarının Geçerli Veri Koruma Yasalarına uygun olmasını sağlamak için Reklamverenin dijital mülkleri aracılığıyla Pikselleri Gerçekleştir ve Taboola’nın Toplanan Verileri İşlemesi hakkında gerekli olan bilgileri Reklamverene sağlayacaktır.  Reklamveren, gerekli şeffaflık sağlanmadıkça ve Geçerli Veri Koruma Yasaları kapsamında gerekli tüm izinler alınmadıkça hiçbir Realize Pikselini ateşlemeyecektir. Reklamveren ayrıca Veri Sahiplerine Geçerli Veri Koruma Kanunları kapsamındaki veri koruma haklarını nasıl kullanabilecekleri hakkında bilgi verecek ve Veri Sahiplerinin haklarını kullanmak için iletişime geçebilecekleri bir irtibat noktası sağlayacaktır. Reklamveren, Taboola’nın Geçerli Veri Koruma Yasası kapsamındaki yükümlülüklerine uygun olarak talebi yerine getirebilmesi için Taboola’nın Toplanan Verileri Denetleyici olarak İşlemesi ile ilgili herhangi bir veri koruma hakları talebi alırsa ve aldığı ölçüde Taboola’yı derhal bilgilendirecektir.

Taboola, Reklamverenin talebi üzerine Kişisel Verileri Reklamverenin ilişkilendirme ortağına veya ilişkilendirme amacıyla Reklamverene aktarırsa, Reklamveren şunları beyan ve garanti eder: (i) ilişkilendirme ortağı Reklamveren adına bir İşlemcidir; (ii) aksi bağımsız olarak toplanmadıkça, Reklamveren ve ilişkilendirme ortağı söz konusu Kişisel Verileri yalnızca ilişkilendirme amacıyla kullanacaktır; ve (iii) ilişkilendirme ortağı ve Reklamveren, aktarılan tüm Kişisel Verileri, Ziyaretçinin Taboola’dan geldiğini en son tanımladıktan sonraki otuz (30) gün içinde silecektir.

Taraflardan her biri, Toplanan Verileri ve/veya İşlediği Kişisel Verileri bir Güvenlik Olayına karşı korumak için uygun teknik ve organizasyonel güvenlik önlemlerini uygulayacaktır.  Bu tedbirler Ek B’de belirtilen tedbirleri içerecektir.

Taraflardan birinin İşlediği ve Sözleşmenin ve bu Reklamveren Gizlilik Koşullarının konusu olan Toplanan Veriler ve/veya Kişisel Verilerle ilgili bir Güvenlik Olayı yaşaması halinde, söz konusu Taraf (i) Geçerli Veri Koruma Kanunları kapsamında veri koruma makamlarına ve/veya etkilenen Veri Sahiplerine karşı kendisi için geçerli olan her türlü raporlama yükümlülüğünü (masrafları kendisine ait olmak üzere) yerine getirmekten sorumlu olacak, (ii) diğer Tarafa gecikmeksizin bildirimde bulunacaktır, Güvenlik Olayı hakkında diğer Tarafça makul olarak talep edilebilecek veya diğer Tarafın Güvenlik Olayı ile ilgili olarak Geçerli Veri Koruma Yasaları kapsamında raporlama yükümlülükleri olup olmadığını belirlemesi için gerekli olan bilgileri sağlamak ve (iii) Güvenlik Olayının etkilerini düzeltmek ve/veya hafifletmek için uygun olan tüm eylem ve önlemleri gereksiz gecikme olmaksızın almak

Tarafların her birinin tabi olduğu Geçerli Veri Koruma Yasalarının gerektirdiği durumlarda ve ölçüde, tarafların her biri, İzin Verilen Amaçlar için Toplanan Verilerin ve/veya Kişisel Verilerin İşlenmesi ile ilgili olarak herhangi bir veri koruma etki değerlendirmesi yapacak ve/veya gerektiğinde geçerli veri koruma makamlarına danışacaktır.  Taraflardan her biri, diğer tarafın bir veri koruma etki değerlendirmesini tamamlaması ve/veya diğer tarafın bu bölüm 11 kapsamındaki yükümlülüklerine uygun olarak geçerli veri koruma makamlarına danışması için gerekli olduğu durumlarda, diğer tarafça makul olarak talep edilen tüm makul işbirliği ve bilgileri sağlayacaktır.

 

A. TARAFLARIN LİSTESİ

Tarafların her biri:

      • diğer tarafa ifşa ettiği veya kullanıma sunduğu Toplanan Verilerin veri sorumlusu (ve veri aktarıcısı) ve
      • diğer taraftan aldığı veya diğer tarafça erişimine izin verilen Toplanan Verilerin veri kontrolörü (ve veri ithalatçısı).

Her bir tarafın ayrıntıları aşağıda verilmiştir.

İsim: Sözleşmede belirtilen Reklamverenin ayrıntılarına bakın.

Adres: Sözleşmede belirtilen Reklamverenin ayrıntılarına bakın.

İrtibat kişisinin adı, pozisyonu ve iletişim bilgileri: Sözleşmede belirtilen veya taraflar arasında yazılı olarak kararlaştırılan Reklamverenin ayrıntılarına bakın.

Bu Maddeler kapsamında aktarılan verilerle ilgili faaliyetler: Sözleşmede belirtildiği şekilde Hizmetlerin alınması.

İmza ve tarih: İşbu Ek A, Reklamverenin işbu Reklamveren Gizlilik Koşullarını kabul etmesiyle yürürlüğe girmiş sayılacaktır.

Rol (kontrolör/işlemci): Denetleyici (veri ihracatçısı olduğu durumlarda) ve Denetleyici (veri ithalatçısı olduğu durumlarda)

 

İsim: Taboola’nın Sözleşmenin giriş bölümünde belirtilen ayrıntılarına bakın.

Adres: Taboola’nın Sözleşmenin giriş bölümünde belirtilen ayrıntılarına bakın.

İrtibat kişisinin adı, pozisyonu ve iletişim bilgileri: Taboola’nın gizlilik ekibi, privacy@taboola.com.

Bu Maddeler kapsamında aktarılan verilerle ilgili faaliyetler: Sözleşmede belirtildiği şekilde Hizmetlerin sağlanması.

İmza ve tarih: İşbu Ek A, Taboola’nın işbu Reklamveren Gizlilik Şartlarını kabul etmesiyle yürürlüğe girmiş sayılacaktır.

Rol (kontrolör/işlemci): Denetleyici (veri ihracatçısı olduğu durumlarda) ve Denetleyici (veri ithalatçısı olduğu durumlarda)

 

B. İŞLEME VE AKTARIMIN TANIMI

Kişisel verileri işlenen ve/veya aktarılan veri sahiplerinin kategorileri: Kullanıcılar

İşlenen ve/veya aktarılan kişisel veri kategorileri:

Cihaz Verileri: İşletim sistemi, tarayıcı türü, tarayıcı sürümü, IP adresi (30 gün içinde kesilir), posta kodu (IP adresinden türetilir), karma Taboola Kullanıcı Kimliği, karma e-postalar, Reklamverenin web sitesindeki ilk ve sonraki sayfa ziyaretleri, kullanıcı cinsiyeti (ilgi alanlarına göre çıkarılır), etkileşim sinyalleri (sitede geçirilen süre, kaydırma derinliği, oturum derinliği), dönüşüm verileri.

Kullanıcı tarafından ziyaret edilen dijital mülk hakkında veriler: Ziyaret edilen sayfanın URL’si, yönlendiren web sitesi

Aktarılan hassas veriler (varsa) ve verilerin doğasını ve ilgili riskleri tam olarak dikkate alan, örneğin katı amaç sınırlaması, erişim kısıtlamaları (yalnızca özel eğitim almış personelin erişimi dahil), verilere erişimin kaydının tutulması, ileriye dönük aktarımlar için kısıtlamalar veya ek güvenlik önlemleri gibi uygulanan kısıtlamalar veya koruma önlemleri: Geçerli değil.

İşleme ve/veya aktarımların sıklığı (örneğin verilerin tek seferlik mi yoksa sürekli olarak mı işlendiği ve/veya aktarıldığı): Sözleşme süresi boyunca devam edecektir.

İşlemin niteliği: Sözleşmede belirtildiği şekilde Hizmetlerin sağlanması için gerekli olan Kişisel Verilerin işlenmesi.

Veri işleme / aktarma ve sonraki işlemlerin amaç(lar)ı: Sözleşmede belirtildiği şekilde Hizmetlerin sağlanması. Şüpheye mahal vermemek için, İzin Verilen Amaçlar şunları içerir: (i) bir cihazdaki bilgilerin saklanması ve/veya bu bilgilere erişilmesi; (ii) temel reklamların seçilmesi; (iii) kişiselleştirilmiş bir reklam profili oluşturulması; (iv) kişiselleştirilmiş reklamların seçilmesi; (v) kişiselleştirilmiş bir içerik profili oluşturulması; (vi) kişiselleştirilmiş içeriğin seçilmesi; (vii) reklam performansının ölçülmesi; (viii) içerik performansının ölçülmesi; (ix) ürünlerin geliştirilmesi ve iyileştirilmesi; (x) güvenliği sağlama, sahtekarlığı önleme ve hata ayıklama; (xi) teknik olarak reklam veya içerik sunma; (xii) çevrimdışı veri kaynaklarını eşleştirme ve birleştirme; (xiii) farklı cihazları birbirine bağlama; (xiv) tanımlama için otomatik olarak gönderilen cihaz özelliklerini alma ve kullanma; (xv) içerik seçmek için sınırlı verileri kullanma ve (xvi)istatistikler aracılığıyla kitleleri anlama.

Kişisel verilerin ne kadar süreyle saklanacağı veya bunun mümkün olmaması halinde bu sürenin belirlenmesinde kullanılan kriterler:

      • Taboola: Ham veriler en fazla 13 ay süreyle saklanır.
      • Reklamcı: Hizmetleri almak için gerekli olduğu sürece veya Sözleşmede aksi belirtilmedikçe.

(Alt) işleyicilere yapılan aktarımlar için işleme konusunu, niteliğini ve süresini de belirtin: Geçerli değil.

 

C. YETKİLİ DENETİM MAKAMI

AB GDPR’nin geçerli olduğu yerlerde yetkili denetim makamı: Her bir taraf için yetkili denetim makamı aşağıda açıklandığı gibidir:

      • Taboola: Yetkili denetim makamı AB SCC’lerinin 13. Maddesi uyarınca belirlenir.
      • Reklamcı: Yetkili denetim makamı AB SCC’lerinin 13. Maddesi uyarınca belirlenir.

Birleşik Krallık GDPR’nin geçerli olduğu yerlerde yetkili denetim makamı: Bilgi Komiserliği Ofisi

 

İşlemenin niteliği, kapsamı, bağlamı ve amacı ile gerçek kişilerin hak ve özgürlüklerine yönelik riskler dikkate alınarak uygun bir güvenlik düzeyi sağlamak için her bir tarafça uygulanan teknik ve organizasyonel önlemlerin (ilgili sertifikalar da dahil olmak üzere) açıklaması.

Kişisel verilerin anonimleştirilmesi ve şifrelenmesi önlemleri: Taboola yalnızca takma adla veri toplar, bu da kullanıcının adını, e-posta adresini veya diğer tanımlanabilir verileri bilmediğimiz veya işlemediğimiz için kim olduğunuzu bilmediğimiz anlamına gelir. Topladığımız Kullanıcı Bilgileri, bunlarla sınırlı olmamak üzere, bir Kullanıcının cihazı ve işletim sistemi, IP adresi, Müşterilerimizin web sitelerinde Kullanıcılar tarafından erişilen web sayfaları, bir Kullanıcıyı bir Müşterinin web sitesine yönlendiren bağlantı, bir Kullanıcının bir Müşterinin web sitesine eriştiği tarihler ve saatler ve diğer web tarama verileri hakkındaki Bilgileri içerir. CookieID, Bcrypt kullanılarak anonimleştirilir ve IP adresi kesilir.

İşleme sistemlerinin ve hizmetlerinin sürekli gizliliğini, bütünlüğünü, kullanılabilirliğini ve esnekliğini sağlamaya yönelik tedbirler: Taboola birden fazla elektronik güvenlik seviyesi kullanır (örneğin: uç nokta güvenliği, sunucu tarafı güvenliği, tespit takibi, periyodik sızma testleri ve ölüm sonrası olayları incelemek için derin istihbarat toplama).

Fiziksel veya teknik bir olay durumunda kişisel verilerin kullanılabilirliğini ve erişimini zamanında geri yükleme yeteneğini sağlamaya yönelik önlemler: Taboola, dünya çapında faaliyet gösteren 9 veri merkezine sahiptir. Her veri merkezi birbirinin kopyası olarak kullanılır, böylece biri çökerse veriler diğer veri merkezinden alınabilir.

İşlemenin güvenliğini sağlamak için teknik ve organizasyonel önlemlerin etkinliğini düzenli olarak test etme, değerlendirme ve değerlendirme süreçleri: Taboola, kontrollerinin (hem teknik hem de organizasyonel) etkinliğini test etmek için sıkı süreçler yürütür. Sistem kaydı ve izleme, aylık (en az) DR testi, üç ayda bir sızma testleri, web’i koruyan güvenlik duvarları ve herhangi bir kötü niyetli etkinliği bulmak için ağa yayılmış bal küplerimiz var. Ayrıca, ağımızı sürekli olarak izlememize yardımcı olan bir ödül programımız var.

Kullanıcı tanımlama ve yetkilendirme için önlemler: Taboola’daki her kullanıcı özel bir kullanıcı adı ve parola ile ilişkilendirilir. Taboola’nın dahili ağına her erişim, Google kimlik doğrulaması kullanılarak 2FA ile yapılır. Kullanıcılar yalnızca BT departmanı tarafından, işe alım süreci sırasında ve yalnızca İK departmanından tüm ayrıntılar ve imzalı sözleşme alındıktan sonra oluşturulur.

Aktarım sırasında verilerin korunmasına yönelik önlemler: Taboola, güvenli iletim protokolleri (en az HTTPS ve TLS v1.2) aracılığıyla her türlü veri iletimini destekler. Ayrıca, PII içerebilecek sistemler güvence altına alınır ve veriler karma ve anonim olarak tutulur.

Depolama sırasında verilerin korunmasına yönelik önlemler: Veritabanlarımızda saklanan veriler anonimleştirilir ve Bcrypt kullanılarak karma hale getirilir. Veri tabanına erişim en aza indirilir ve ‘iş için bilinmesi gerekenler’ ilkesine göre temellendirilir.

Kişisel verilerin işlendiği yerlerin fiziksel güvenliğini sağlamaya yönelik tedbirler: Taboola’nın küresel veri merkezlerinin her birinde (ABD, Avrupa ve Asya’da), tüm sunucuları yalnızca Taboola’nın kullanımı için tutulan kilitli dolaplarda bulunur. Bu dolaplar ya SOC2 sertifikalı ya da Taboola’nın güvenlik önlemlerini incelediği şirketler tarafından muhafaza edilir. Ayrıca, sunuculara her türlü erişim yazılı ve kayıtlı izin gerektirir. Tüm Taboola ofisleri de kontrollüdür ve çalışanların giriş için erişim kartlarını kullanmalarını gerektirir. Ayrıca, Taboola’nın sunucularına yalnızca sınırlı sayıda çalışanın erişimi vardır ve herhangi bir erişim de yazılı, kaydedilmiş izin gerektirir.

Olayların günlüğe kaydedilmesini sağlamak için önlemler: Taboola, izleme araçlarını uygular ve günlükler, herhangi bir şüpheli olayda bizi uyaran SIEM sistemimizde toplanır ve ayrıca NOC ekibi tarafından izlenir.

Varsayılan yapılandırma da dahil olmak üzere sistem yapılandırmasını sağlamaya yönelik önlemler: Sunucular hem yapılandırma sapması hem de yama seviyesi açısından taranır. Her ikisinde de raporlama ve/veya uyarı ayarlanır ve ilgili yama seviyesi onaylanır. Yeni yamalar Puppet kullanılarak dağıtılır. Tüm teknik incelemeler Ar-Ge uygulaması aracılığıyla yönetilir ve kodlama ve CI/CD süreçleri de uygulandıktan sonra resmi bir inceleme süreciyle (QA) elde edilir.

Dahili BT ve BT güvenliği yönetişimi ve yönetimi için önlemler: Taboola ISO 27001:2013 ve 27701 sertifikalarına sahiptir. Taboola, Yönetim Kurulu ve Taboola yönetiminin, kuruluşlarındaki tüm fiziksel ve elektronik bilgi varlıklarının gizliliğini, bütünlüğünü ve kullanılabilirliğini korumayı taahhüt ettiğini belirten bir Bilgi Güvenliği Politikasına sahiptir. Taboola, tüm yeni çalışanlar için güvenlik eğitimleri, küresel olarak tüm çalışanlar için kimlik avı eğitimleri ve tüm çalışanlar için düzenli güvenlik eğitimleri düzenler ve ayrıca Ar-Ge grupları için özel oturumlar düzenler.

Süreçlerin ve ürünlerin sertifikasyonu/güvencesi için önlemler: Taboola’nın tanımlanan güvenlik hedeflerine ve önlemlerine uyduğunu doğrulamak için birden fazla süreç ve sistem üzerinde üç aylık / altı aylık / yıllık iç denetim.

Veri minimizasyonunu sağlamaya yönelik tedbirler: Taboola, topladığımız verileri, Taboola’nın yalnızca belirli iş amaçlarımız için gereken sınırlı verileri işlemeye yönelik küresel veri minimizasyonu ilkelerinin bir parçası olarak kasıtlı olarak sınırlandırır. Ayrıca Taboola, hizmetlerimizi sağlamak için algoritmamızda kullanılan veri noktalarından herhangi birini “tersine mühendislik” yapma yeteneğine veya herhangi bir iş ihtiyacına sahip değildir. Daha spesifik olarak, Taboola’nın topladığı veri noktaları hiçbir zaman bir kullanıcının kimliğinin göstergesi değildir – çünkü Taboola kullanıcının adı, telefon numarası, e-postası veya fiziksel adresleri gibi bilgileri toplamaz veya işlemez. Bunun yerine, Taboola yalnızca bir kullanıcının cihazıyla ilgili özellikleri tanımlayan takma ad tanımlayıcıları toplar. Bu, IP adreslerini (toplandıktan sonra kesilir ve yalnızca cihazın genel posta kodu konumunu belirleyebilir, ancak asla kesin bir coğrafi konumu belirleyemez) ve bazı sınırlı durumlarda karma e-posta adreslerini (doğası gereği geri döndürülemez ve orijinal e-posta adresini ortaya çıkarmak için şifresi çözülemez) içerir. Ayrıca, toplu olarak kullanıldığında bile, topladığımız veriler hiçbir zaman bir bireyin adını, telefon numarasını, e-postasını veya fiziksel adresini üretemez ve mühendislerimiz bu amaca ulaşmak için hiçbir şekilde çalışmaz. Ayrıca Taboola, hizmetlerimizin, süreçlerimizin ve politikalarımızın gizlilik risklerini en aza indirmek amacıyla gizlilik etki değerlendirmeleri yapar ve bunları kaydeder.

Veri kalitesinin sağlanmasına yönelik tedbirler: Veriler doğrudan kullanıcıdan toplanır ve kullanıcıya Taboola Konu Erişim Talebi Portalı aracılığıyla CookieID’si ile ilişkili tüm verileri düzeltme fırsatı verilir: https://accessrequest.taboola.com/access

Verilerin sınırlı tutulmasını sağlamaya yönelik tedbirler: Doğrudan reklam sunma amacıyla toplanan Kullanıcı Bilgilerini, Kullanıcının Hizmetlerimizle son etkileşiminden itibaren en fazla on üç (13) ay boyunca (genellikle daha kısa bir süre için) saklarız ve bu sürenin sonunda benzersiz tanımlayıcıları kaldırarak veya verileri toplayarak verileri kimliksizleştiririz. Bu işlem otomatik olarak yapılır.

Hesap verebilirliğin sağlanmasına yönelik tedbirler: Taboola birden fazla güvenlik denetimi ve sızma testi yapar (ancak tüm sistemler için değil). Taboola ayrıca ISO sertifikalı ve bir sunucunun fiziksel korumalarını sürdürmek için bulutla ilgili diğer sertifikalara uyan bulut sağlayıcılarını kullanır.

Veri taşınabilirliği ve silme işleminin sağlanmasına yönelik tedbirler: Medya imhası ile ilgili Taboola, PII içerebileceğinden her türlü medya için aynıdır. Herhangi bir medya yeniden kullanılmadan veya atılmadan önce tamamen silinmelidir. Her türlü medya imhası belgelenir. Çalışanlara, kişisel bilgi içerebilecek hiçbir kâğıdın çıktısını almamaları talimatı verilmiştir.

  1. Taraflardan birinin diğer tarafa Toplanan Verilerin Kısıtlı Aktarımını yaptığı ölçüde, Standart Sözleşme Maddeleri bu Reklamveren Gizlilik Koşullarına dahil edilecek ve aşağıdaki şekilde uygulanacaktır:
    1. Kısıtlı Transferin AB Kısıtlı Transferi olması halinde, AB SCC’leri taraflar arasında aşağıdaki şekilde uygulanacaktır:
      1. Birinci Modül uygulanacaktır;
      2. Madde 7’de isteğe bağlı yerleştirme Maddesi uygulanacaktır;
      3. 11. Maddedeki isteğe bağlı dil geçerli olmayacaktır;
      4. Madde 17’de 1. Seçenek uygulanacak ve AB SCC’leri İrlanda hukukuna tabi olacaktır;
      5. 18(b) Maddesinde belirtilen anlaşmazlıklar İrlanda mahkemeleri önünde çözülecektir;
      6. Ek I’in A, B ve C Bölümleri, bu Reklamveren Gizlilik Koşullarının Ek A’sının A, B ve C Bölümlerinde belirtilen bilgilerle tamamlanmış sayılacaktır; ve
      7. Ek II, bu Reklamveren Gizlilik Koşullarının Ek B’sinde belirtilen güvenlik önlemleri ile tamamlanmış sayılacaktır;
    2. Kısıtlı Transferin Birleşik Krallık Kısıtlı Transferi olması durumunda, Birleşik Krallık Eki taraflar arasında aşağıdaki şekilde uygulanacaktır:
      1. yukarıda belirtildiği şekilde tamamlanan AB SCC’leri taraflar arasında geçerli olacak ve Birleşik Krallık Eki (aşağıdaki alt madde (ii)’de belirtildiği şekilde tamamlanan) tarafından değiştirilecektir; ve
      2. Birleşik Krallık Eki’nin 1 ila 3 numaralı tabloları, yukarıda belirtildiği şekilde doldurulan AB SCC’lerinden gelen ilgili bilgilerle tamamlanmış sayılacak ve tablo 4’teki “İhracatçı” ve “İthalatçı” seçenekleri işaretlenmiş sayılacaktır. Birleşik Krallık Ekinin başlangıç tarihi (tablo 1’de belirtildiği gibi), bu Reklamveren Gizlilik Koşullarının Yürürlük Tarihi olacaktır.
  2. İleriye Yönelik Kısıtlı Transferler:  Taraflardan hiçbiri, söz konusu ileriye dönük Kısıtlı Aktarımın Geçerli Veri Koruma Yasasına ve diğer tarafla mutabık kaldığı Standart Sözleşme Maddelerine uygun olmasını sağlamak için gerekli olan tüm eylem ve işlemleri yapmadıkça, diğer taraftan aldığı Toplanan Verilerin ileriye dönük Kısıtlı Aktarımını yapmayacaktır.