Reklamveren Gizlilik Şartları

Last Update: November 14, 2025

Yürürlük Tarihi:  14 Ağustos 2023

Bu Taboola Reklamveren Gizlilik Şartları (“Reklamveren Gizlilik Şartları”) Taboola’nın dijital reklam hizmetlerine uygulanır, örneğin Taboola’nın Reklamveren içeriğini dağıtım platformu aracılığıyla dağıttığı durumlarda, Taboola Dinamik Yaratıcı Optimizasyonu (DCO) veya GenAI Açılış Sayfası Taboola ile bir Reklamveren arasındaki bir anlaşma (“Anlaşma”) uyarınca ve bu Reklamveren Gizlilik Şartları, herhangi bir böyle Anlaşmanın ayrılmaz bir parçası olarak kabul edilecektir.  Bu Reklamveren Gizlilik Şartları, Taboola ve Reklamveren’in Kişisel Verilerle ilgili rollerini ve sorumluluklarını tanımlar.

Reklamcı Gizlilik Şartları ile Anlaşma arasında bir çelişki olması durumunda, çelişkinin kapsamına kadar Reklamcı Gizlilik Şartları geçerli olacaktır, aksi takdirde Anlaşmadaki çelişkili hüküm, bu Reklamcı Gizlilik Şartlarının çelişkili hükmünü açıkça referans almadıkça ve o çelişkili hükmü geçersiz kılmadıkça geçerli olmayacaktır.

Bu bölümde tanımlanan terimler aşağıda belirtilen anlamlara sahip olacak ve benzer terimler buna göre yorumlanacaktır. Reklamcı Gizlilik Şartlarında kullanılan ancak tanımlanmayan büyük harfle yazılmış terimler, Anlaşmada tanımlanan anlamlara sahip olacaktır.

      1. Geçerli Veri Koruma Yasaları”, Anlaşmanın ve bu Reklamcı Şartlarının konusu olan İşleme ile ilgili olarak geçerli olan her türlü federal, ulusal, eyalet veya diğer gizlilik ve veri koruma yasalarını ifade eder; zamanla değiştirilebilecek veya geçersiz kılınabilecek yasaları içerir.
      2. Toplanan Veri”, her tarafın, Hizmetlerin sağlanması veya alınması ile bağlantılı olarak, sunucularında veya ağlarında Veri Konularından topladığı Kişisel Verileri (tarayıcı türü ve cihaz tanımlayıcıları gibi pasif olarak toplanan veya makine tarafından okunabilir veriler dahil) ifade eder.
      3. Kontrolör”, (i) Kişisel Verilerin İşlenmesinin amaçlarını ve araçlarını belirleyen bir varlık ve (ii) Geçerli Veri Koruma Yasaları altında “kontrolör” teriminin kapsamına giren herhangi bir kişiyi (veya önemli ölçüde benzer bir terimi) ifade eder.
      4. California Privacy Law” Kaliforniya Tüketici Gizlilik Yasası 2018, Cal. Medeni Kanun § 1798.100 ve devamı anlamına gelir. (“ CCPA ”), değişiklikler dahil (Kaliforniya Gizlilik Hakları Yasası tarafından dahil), ve herhangi bir alt mevzuat ve uygulama yönetmelikleri.
      5. Veri Sahibi” şunları ifade eder: (i) tanımlanmış veya tanımlanabilir bir gerçek kişi (ve bu amaçlar için, tanımlanabilir bir gerçek kişi, doğrudan veya dolaylı olarak, özellikle bir isim, kimlik numarası, konum verisi, çevrimiçi tanımlayıcı veya o gerçek kişinin fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özgü bir veya daha fazla faktörle referans verilerek tanımlanabilen kişidir), ve (ii) Veri Koruma Yasaları kapsamında “veri sahibi”, “tüketici” (veya herhangi bir önemli benzer terim) tanımına uyan herhangi bir kişi.
      6. EU Veri Koruma Yasası” şunları ifade eder: (i) EU Genel Veri Koruma Yönetmeliği (Yönetmelik 2016/679) (“EU GDPR”); (ii) EU e-Gizlilik Direktifi (Yönetmelik 2002/58/EC); ve (iii) (i) veya (ii) uyarınca veya bunlara dayanarak yapılan herhangi bir ulusal veri koruma yasası, her biri zaman zaman değiştirilebilir veya geçersiz kılınabilir.
      7. İzin Verilen Amaçlar” bölüm 3’te verilen anlamı taşır .
      8. Kişisel Veri” Veri Sahibine ilişkin herhangi bir bilgiyi ifade eder (Geçerli Veri Koruma Yasası gereği, benzersiz tarayıcı veya cihaz tanımlayıcıları dahil), Ek A, Bölüm B’de belirtildiği gibi.
      9. İşlem” Kişisel Veriler üzerinde veya Kişisel Veri setleri üzerinde, otomatik yöntemlerle veya otomatik olmayan yöntemlerle gerçekleştirilen herhangi bir işlem veya işlem setini ifade eder; bu işlemler arasında toplama, alma, kaydetme, düzenleme, yapılandırma, kullanma, iletim, erişim, paylaşma, açıklama, transfer, depolama, uyarlama veya değiştirme, geri alma, danışma, yayma veya başka bir şekilde erişilebilir kılma, hizalama veya birleştirme, toplama, çıkarım, türetme, analiz, kısıtlama, silme, yok etme veya imha etme veya Kişisel Verilerin diğer işlenmesi dahil, bu terimin Geçerli Veri Koruma Yasası altında nasıl tanımlandığı da dahil.
      10. İşlemci” şunları ifade eder: (i) bir Kontrolör adına Kişisel Verileri İşleyen bir varlık, ve (ii) Geçerli Veri Koruma Yasaları altında “işlemci” (veya herhangi bir önemli benzer terim) tanımına uyan herhangi bir kişi.
      11. Sınırlı Transfer” şunları ifade eder: (i) EU GDPR’nın uygulandığı durumlarda, EEA’dan EEA dışındaki bir ülkeye Kişisel Verilerin transferi, Avrupa Komisyonu tarafından yeterlilik belirlemesine tabi olmayan (bir “EU Sınırlı Transfer“); ve (ii) UK GDPR’nın uygulandığı durumlarda, Birleşik Krallık’tan herhangi bir diğer ülkeye Kişisel Verilerin transferi, Birleşik Krallık Veri Koruma Yasası 2018’in 17A Bölümü uyarınca yeterlilik düzenlemelerine tabi olmayan veya bunlara dayanan (bir “UK Sınırlı Transfer“).
      12. Satış” ve “Satmak” Kişisel Verileri maddi veya diğer değerli karşılık için değiştirmek anlamına gelir ve bu terimlerin Geçerli Veri Koruma Yasası altında nasıl tanımlandığı da dahil.
      13. Hizmetler” Taboola’nın Reklamveren ile yaptığı Sözleşme uyarınca sağladığı hizmetleri ifade eder.
      14. Güvenlik Olayı” Kişisel Verilerin kazara veya yasadışı olarak yok edilmesi, kaybolması, değiştirilmesi, yetkisiz olarak açıklanması veya erişilmesi ile sonuçlanan bir güvenlik ihlalini ifade eder.
      15. Standard Contractual Clauses” şunları ifade eder: (i) EU GDPR’nın uygulandığı durumlarda, Avrupa Komisyonu’nun 4 Haziran 2021 tarihli 2021/914 sayılı Uygulama Kararına ekli standard contractual clauses; ve (ii) UK GDPR’nın uygulandığı durumlarda, Bilgi Komiseri tarafından DPA 2018’in s.119A(1) uyarınca yayımlanan “EU Komisyonu Standard Contractual Clausesne Uluslararası Veri Transferi Ek Protokolü”.
      16. Üçüncü Taraf” Kişisel Verilerle ilgili olarak Kontrolör olarak hareket eden bir işletmeyi ifade eder ve bu, Kişisel Verileri İşlenen Veri Sahibinin kasıtlı olarak etkileşimde bulunduğu işletme değildir; bu terim, Geçerli Veri Koruma Yasası altında nasıl tanımlandığı da dahil.
      17. UK Veri Koruma Yasası” şunları ifade eder: (i) UK Veri Koruma Yasası 2018, (ii) UK GDPR (UK Veri Koruma Yasası 2018’in s.3(10) tanımında belirtildiği gibi) (“UK GDPR”), (iii) UK Gizlilik ve Elektronik İletişimler (EC Direktifi) Yönetmelikleri 2003, ve (iv) (i), (ii) veya (iii) uyarınca veya bunlara dayanarak yapılan diğer UK yasaları, her biri zaman zaman değiştirilebilir veya geçersiz kılınabilir.

Her taraf, Ek A, Bölüm B’de belirtilen amaçlar için diğer taraftan topladığı veya aldığı Verileri İşleyecektir (bu “İzin Verilen Amaçlar”).  Reklamveren, Taboola’nın Toplanan Verileri Taboola Gizlilik Politikasında izin verilen şekilde işleyeceğini kabul eder (bu, Taboola için de bir İzin Verilen Amaç olacaktır).

Toplanan Verilerin Geçerli Veri Koruma Yasaları uyarınca Kişisel Veriler olarak nitelendirilmesi veya içermesi durumunda, her taraf, diğer taraftan topladığı veya aldığı Verileri Kontrolör olarak işleyecektir (bu, Kaliforniya Gizlilik Yasası’nın uygulandığı durumlarda, gerektiğinde Üçüncü Taraf olarak da içerebilir).  Toplanan Verilerin veya Kişisel Verilerin bir tarafça diğer tarafa aktarılması (veri sağlama yoluyla) Üçüncü Taraflara yapılan açıklamalardır.

      1. Eğer ABD veya ABD eyaleti Veri Koruma Yasası Toplanan Verilere uygulanıyorsa, California Gizlilik Yasası da dahil olmak üzere, Realize Pixels (eski adıyla “Taboola Pixels”) Hizmetlerle bağlantılı olarak bir Ziyaretçi hakkında Kişisel Verileri işlediğinde, Taboola bu Kişisel Veriler için Reklamveren’e Üçüncü Taraf olarak hareket eder. Taboola, bu Kişisel Verileri İzin Verilen Amaçlar için işleyecektir. Bu Kişisel Veriler yalnızca İzin Verilen Amaçlar için Taboola’ya sunulmaktadır.  Taboola, geçerli ABD Veri Koruma Yasaları tarafından İşletmelerden talep edilen aynı düzeyde gizlilik korumasını sağlayacaktır, geçerli ise California Gizlilik Yasaları da dahil olmak üzere. Taboola, Geçerli Veri Koruma Yasası tarafından gerekli süre içinde Reklamvereni bilgilendirecektir eğer Taboola, Geçerli Veri Koruma Yasaları kapsamındaki yükümlülüklerini yerine getiremeyeceğini belirlerse. Taboola’ya bildirimde bulunarak, Reklamveren, Taboola’ya sağladığı Kişisel Verilerin yetkisiz kullanımını durdurmak ve düzeltmek için makul ve uygun adımlar atma hakkına sahiptir.

Taraflar, Toplanan Verilerin bir kısmının veya tamamının Kişisel Veriler olarak nitelendirilebileceğini veya Kişisel Verileri içerebileceğini ve dolayısıyla Geçerli Veri Koruma Yasalarının her tarafın Toplanan Verileri işlemesine uygulanabileceğini kabul ederler.  Bu durum söz konusu olduğunda ve bölüm 7’ye tabi olarak, her taraf, Geçerli Veri Koruma Yasalarına uyum sağlamak için bireysel olarak sorumlu olacaktır, bu da şunları içeren herhangi bir geçerli gerekliliği kapsar: (i) Veri Sahiplerine şeffaflık sağlamak, (ii) İşleme için rıza veya başka bir yasal dayanağa sahip olmak ve (iii) Veri Sahiplerinin veri koruma haklarını kullanabilecekleri bir iletişim noktası sağlamak.

Eğer herhangi bir taraf, Toplanan Verilerin kısıtlı bir aktarımını diğer tarafa yaparsa, Ek C hükümleri uygulanacaktır.

a. Taboola, Hizmetleri sağlamak için Realize Pixels’i kullanır.  Bölüm 5’e bakılmaksızın, Taboola’nın Reklamveren dijital mülklerinden (web siteleri, mobil uygulamalar veya başka yollarla) Realize Pixels kullanarak Toplanan Verileri toplaması durumunda, Reklamveren: (i) Taboola’nın Toplanan Verileri Reklamveren dijital mülklerinden İzin Verilen Amaçlar için toplama amacıyla kullanımı hakkında Veri Sahiplerine gerekli tüm şeffaflık bildirimlerini sağlamalı ve (ii) bu kullanım için Veri Sahibi rızasını elde etmeli (ve Taboola’nın talep etmesi durumunda uygun kanıt sağlamalıdır), her durumda Geçerli Veri Koruma Yasalarının gerekliliklerine uygun olarak.  Reklamverenin bu konudaki yükümlülükleri, Taboola’yı ve İzin Verilen Amaçlar için Realize Pixels kullanımını şeffaflık bildirimleri ve Veri Sahiplerine sağladığı rıza istemleri içinde açıkça tanımlamayı, ayrıca Geçerli Veri Koruma Yasaları tarafından talep edilen diğer bilgileri sağlamayı içerir, böylece Taboola, bu dijital mülkler aracılığıyla Hizmetlerini yasal olarak sağlayabilir ve Toplanan Verileri ve Kişisel Verileri İzin Verilen Amaçlar için işleyebilir. Reklamveren, Taboola’nın Gen AI Açılış Sayfası hizmetini alıyorsa, Taboola şeffaf bir bildirim sağlayacak ve kullanıcı rızasını alacaktır.

b. Yazılı talep üzerine, Taboola, Reklamverenin Geçerli Veri Koruma Yasaları ile uyumlu olmasını sağlamak için Reklamverenin dijital mülkleri aracılığıyla Toplanan Verilerin işlenmesi ve Realize Pixels hakkında gerekli bilgileri sağlayacaktır.  Reklamveren, gerekli şeffaflık sağlanmadıkça ve Geçerli Veri Koruma Yasaları uyarınca gerekli rızalar alınmadıkça hiçbir Realize Pixels’i devre dışı bırakmayacaktır.

c. Reklamveren ayrıca Veri Sahiplerine Geçerli Veri Koruma Yasaları uyarınca veri koruma haklarını nasıl kullanabilecekleri hakkında bilgi sağlamalı ve Veri Sahiplerinin haklarını kullanabilmesi için iletişim kurabilecekleri bir iletişim noktası sağlamalıdır. Reklamveren, Taboola’nın Kontrolör olarak Toplanan Verileri İşlemesiyle ilgili herhangi bir veri koruma hakları talebi aldığında, Taboola’yı derhal bilgilendirecektir; böylece Taboola, Geçerli Veri Koruma Yasası kapsamındaki yükümlülüklerine uygun olarak talebi yerine getirebilir.

Eğer Taboola, Reklamverenin talebi üzerine, Kişisel Verileri Reklamverenin atıf ortağına veya Reklamverene atıf amaçları için aktarırsa, Reklamveren şunları beyan ve taahhüt eder: (i) atıf ortağı Reklamverenin adına bir İşlemcidir; (ii) aksi bağımsız olarak toplanmadıkça, Reklamveren ve atıf ortağı bu Kişisel Verileri yalnızca atıf amaçları için kullanacaktır; ve (iii) atıf ortağı ve Reklamveren, Taboola’dan geldiğini son olarak belirledikleri tarihten itibaren otuz (30) gün içinde tüm aktarılan Kişisel Verileri silecektir.

Her bir taraf, Toplanan Verileri ve/veya İşlediği Kişisel Verileri Güvenlik Olaylarından korumak için uygun teknik ve organizasyonel güvenlik önlemlerini uygulayacaktır.  Bu önlemler, Ek B’de belirtilen önlemleri içerecektir.

Eğer herhangi bir Taraf, Toplanan Veriler ve/veya İşlediği Kişisel Verilerle ilgili bir Güvenlik Olayı yaşarsa ve bu, Sözleşmenin ve bu Reklamveren Gizlilik Şartlarının konusuysa, o Taraf: (i) Geçerli Veri Koruma Yasaları uyarınca veri koruma otoritelerine ve/veya etkilenen Veri Sahiplerine uygulanabilecek herhangi bir raporlama yükümlülüğünü (kendi maliyetine) yerine getirmekten sorumlu olacaktır, (ii) diğer Tarafa gereksiz gecikme olmaksızın bildirimde bulunacak ve diğer Tarafın Güvenlik Olayı ile ilgili olarak Geçerli Veri Koruma Yasaları uyarınca raporlama yükümlülükleri olup olmadığını belirlemesi için gerekli olabilecek bilgileri sağlayacaktır, ve (iii) Güvenlik Olayının etkilerini düzeltmek ve/veya hafifletmek için uygun olan tüm eylem ve önlemleri gereksiz gecikme olmaksızın alacaktır.

Her bir taraf, tabi olduğu Geçerli Veri Koruma Yasaları gereğince, Toplanan Verilerin ve/veya Kişisel Verilerin İzin Verilen Amaçlar için İşlenmesi ile ilgili herhangi bir veri koruma etki değerlendirmesi yapacak ve/veya gerekli olduğunda ilgili veri koruma otoriteleri ile danışacaktır.  Her bir taraf, diğer tarafın bu bölüm 11 kapsamındaki yükümlülüklerini yerine getirebilmesi için gerekli olan tüm makul işbirliği ve bilgiyi sağlayacaktır.

 

A. TARAFLAR LİSTESİ

Her bir taraf şunlardır:

      • diğer tarafa ifşa ettiği veya erişime sunduğu Toplanan Verilerin veri kontrolörü (ve veri ihracatçısı) ve
      • diğer taraftan aldığı veya erişime sunduğu Toplanan Verilerin veri kontrolörü (ve veri ithalatçısı).

Her bir tarafın detayları aşağıda verilmiştir.

İsim: Anlaşmada belirtilen Reklamveren detaylarına bakın.

Adres: Anlaşmada belirtilen Reklamveren detaylarına bakın.

İletişim kişisinin adı, pozisyonu ve iletişim bilgileri: Anlaşmada belirtilen Reklamveren detaylarına veya taraflar arasında yazılı olarak başka bir şekilde kararlaştırılanlara bakın.

Bu Maddeler uyarınca aktarılan verilerle ilgili faaliyetler: Anlaşmada belirtilen Hizmetlerin alınması.

İmza ve tarih: Bu Ek A, Reklamverenin bu Reklamveren Gizlilik Şartlarını kabul etmesiyle yürürlüğe girecektir.

Rol (kontrolör/işlemci): Kontrolör (veri ihracatçısı olduğunda) ve Kontrolör (veri ithalatçısı olduğunda)

 

İsim: Taboola’nın detaylarını Sözleşme’nin girişinde bulabilirsiniz.

Adres: Taboola’nın detaylarını Sözleşme’nin girişinde bulabilirsiniz.

İletişim kişisinin adı, pozisyonu ve iletişim bilgileri: Taboola’nın gizlilik ekibi, privacy@taboola.com.

Bu Maddeler uyarınca aktarılan verilerle ilgili faaliyetler: Sözleşme’de belirtilen Hizmetlerin sağlanması.

İmza ve tarih: Bu Ek A, Taboola’nın bu Reklamveren Gizlilik Şartlarını kabul etmesiyle yürürlüğe girecektir.

Rol (kontrolör/işlemci): Kontrolör (veri ihracatçısı olduğunda) ve Kontrolör (veri ithalatçısı olduğunda)

 

B. İŞLEME VE AKTARIM TANIMI

Kişisel verileri işlenen ve/veya aktarılan veri sahipleri kategorileri: Kullanıcılar

İşlenen ve/veya aktarılan kişisel veri kategorileri:

Aygıt Verileri: İşletim sistemi, tarayıcı türü, tarayıcı sürümü, IP adresi (30 gün içinde kısmen kesilmiş), posta kodu (IP adresinden türetilmiş), hashlenmiş Taboola Kullanıcı Kimliği, hashlenmiş e-postalar, Reklamverenin web sitesindeki ilk ve sonraki sayfa ziyaretleri, kullanıcı cinsiyeti (ilgilere göre çıkarım), etkileşim sinyalleri (sitede geçirilen süre, kaydırma derinliği, oturum derinliği), dönüşüm verileri.

Kullanıcı tarafından ziyaret edilen dijital mülk hakkında veri: Ziyaret edilen sayfanın URL’si, yönlendiren web sitesi

  • DCO hizmetlerin bir parçası olduğu ölçüde, Taboola ayrıca aşağıdaki verileri işler:

Aygıt Verisi: Taboola çerez ID’si veya cihaz ID’si (platforma bağlı olarak), Maskelenmiş IP adresi, Taboola tıklama ID’si, Kullanıcı ajanı dizesi, Ülke, Kullanıcı türü, yeni/dönüş yapan kullanıcı bilgisi (eğer reklamcı tarafından paylaşılmışsa), Ürün bilgisi (belirli URL ile bağlantılı), fiyat ve ürün sayfalarındaki mevcut durumu içermektedir

Olay Verisi: para birimi, ürün ID’leri, sipariş ID’si, kategori ID’si, kategori, arama terimi, sepet detayları, değer ve kampanya ID’leri.

Duyarlı verilerin aktarımı (varsa) ve verinin doğası ile ilgili riskleri tam olarak dikkate alan uygulanan kısıtlamalar veya güvenlik önlemleri, örneğin sıkı amaç sınırlaması, erişim kısıtlamaları (sadece özel eğitim almış personel için erişim dahil), verilere erişim kaydı tutma, ileri transferler için kısıtlamalar veya ek güvenlik önlemleri: Geçerli değil.

İşlemenin ve/veya transferlerin sıklığı (örneğin, verilerin bir kerelik veya sürekli olarak işlenip işlenmediği): Sözleşmenin süresi boyunca sürekli.

İşlemenin niteliği: Sözleşmede belirtilen Hizmetlerin sağlanması için gerekli Kişisel Verilerin işlenmesi.

Veri işlemenin / transferin ve daha fazla işlemenin amacı(ları): Sözleşme’de belirtilen Hizmetlerin sağlanması. Şüpheye mahal vermemek için, İzin Verilen Amaçlar şunları içerir: (i) bir cihazda bilgi depolamak ve/veya erişmek; (ii) temel reklamları seçmek; (iii) kişiselleştirilmiş reklam profili oluşturmak; (iv) kişiselleştirilmiş reklamları seçmek; (v) kişiselleştirilmiş içerik profili oluşturmak; (vi) kişiselleştirilmiş içerikleri seçmek; (vii) reklam performansını ölçmek; (viii) içerik performansını ölçmek; (ix) ürünleri geliştirmek ve iyileştirmek; (x) güvenliği sağlamak, dolandırıcılığı önlemek ve hata ayıklamak; (xi) teknik olarak reklam veya içerik sunmak; (xii) çevrimdışı veri kaynaklarını eşleştirmek ve birleştirmek; (xiii) farklı cihazları bağlamak; (xiv) kimlik tespiti için otomatik olarak gönderilen cihaz özelliklerini almak ve kullanmak; (xv) içeriği seçmek için sınırlı verileri kullanmak ve (xvi) istatistikler aracılığıyla kitleleri anlamak.

Kişisel verilerin saklanacağı süre veya bu mümkün değilse, o süreyi belirlemek için kullanılan kriterler:

      • Taboola: Ham veriler en fazla 13 ay süreyle saklanır.
      • Reklamveren: Hizmetleri almak için gerekli olduğu sürece veya Sözleşmede aksi belirtilmedikçe.

(alt) işleyicilere transferler için, ayrıca işlemenin konusunu, niteliğini ve süresini belirtin: Geçerli değil.

 

C. YETKİLİ DENETİM OTORİTESİ

EU GDPR’nin uygulandığı yetkili denetim otoritesi: Her taraf için yetkili denetim otoritesi aşağıda açıklanmıştır:

      • Taboola: Yetkili denetim otoritesi, EU SCC’lerin 13. Maddesine göre belirlenecektir.
      • Reklamveren: Yetkili denetim otoritesi, EU SCC’lerin 13. Maddesine göre belirlenecektir.

UK GDPR’nin uygulandığı yetkili denetim otoritesi: Bilgi Komiserliği Ofisi

 

Her tarafın uyguladığı teknik ve organizasyonel önlemlerin (ilgili sertifikalar dahil) açıklaması, işleme sürecinin doğası, kapsamı, bağlamı ve amacı ile doğal kişilerin hakları ve özgürlükleri için riskleri dikkate alarak uygun bir güvenlik seviyesi sağlamak için.

Kişisel verilerin takma adlandırılması ve şifrelenmesi için önlemler: Taboola yalnızca takma adlandırılmış verileri toplar, bu da sizin kim olduğunuzu bilmediğimiz anlamına gelir çünkü kullanıcının adı, e-posta adresi veya diğer tanımlayıcı verileri bilmemekte veya işlememekteyiz. Topladığımız Kullanıcı Bilgileri, bir Kullanıcının cihazı ve işletim sistemi, IP adresi, Müşterilerimizin web siteleri içinde Kullanıcılar tarafından erişilen web sayfaları, bir Kullanıcının bir Müşteri web sitesine yönlendiren bağlantı, bir Kullanıcının Müşterilerin web sitesine eriştiği tarih ve saatler ve diğer web tarama verileri gibi bilgileri içerir, ancak bunlarla sınırlı değildir. CookieID, Bcrypt kullanılarak anonimleştirilir ve IP adresi kısaltılır.

İşleme sistemlerinin ve hizmetlerinin sürekli gizliliğini, bütünlüğünü, erişilebilirliğini ve dayanıklılığını sağlamak için önlemler: Taboola, çoklu elektronik güvenlik seviyeleri kullanmaktadır (örneğin: uç nokta güvenliği, sunucu tarafı güvenliği, tespit izleme, periyodik penetrasyon testleri ve olay sonrası inceleme için derin istihbarat toplama).

Fiziksel veya teknik bir olay durumunda kişisel verilere erişim ve erişilebilirliği zamanında geri sağlama yeteneğini sağlamak için önlemler: Taboola, dünya genelinde 9 veri merkezi işletmektedir. Her veri merkezi, birbirinin bir kopyası olarak kullanılır, bu nedenle biri çökerse veriler diğer veri merkezinden alınabilir.

İşlemenin güvenliğini sağlamak için teknik ve organizasyonel önlemlerin etkinliğini düzenli olarak test etme, değerlendirme ve değerlendirme süreçleri: Taboola, kontrollerinin (hem teknik hem de organizasyonel) etkinliğini test etmek için katı süreçler sürdürmektedir. Sistem günlüğü tutma ve izleme sistemimiz mevcut, aylık (en az) DR testleri, üç aylık penetrasyon testleri, webi koruyan güvenlik duvarları ve ağda kötü niyetli etkinlikleri bulmak için yayılmış tuzaklar bulunmaktadır. Ayrıca, ağımızı sürekli izlememize yardımcı olan bir ödül programımız bulunmaktadır.

Kullanıcı kimlik doğrulama ve yetkilendirme için önlemler: Taboola’daki her kullanıcı, özel bir kullanıcı adı ve şifre ile ilişkilendirilmiştir. Taboola’nın iç ağına erişim, Google kimlik doğrulaması ile 2FA kullanılarak yapılmaktadır. Kullanıcılar yalnızca IT departmanı tarafından, işe alım sürecinde ve yalnızca İK departmanından tüm detaylar ve imzalı sözleşme alındıktan sonra oluşturulmaktadır.

Verilerin iletim sırasında korunması için önlemler: Taboola, herhangi bir veri iletimini güvenli iletim protokolleri (en az HTTPS ve TLS v1.2) aracılığıyla desteklemektedir. Ayrıca, PII içerebilecek sistemler güvence altına alınmış ve veriler hashlenmiş ve anonimleştirilmiştir.

Verilerin depolama sırasında korunması için önlemler: Veritabanlarımızda depolanan veriler, Bcrypt kullanılarak anonimleştirilmiş ve hashlenmiştir. DB’ye erişim en aza indirilmiş ve ‘iş ihtiyacını bilme’ ilkesine göre düzenlenmiştir.

Kişisel verilerin işlendiği yerlerin fiziksel güvenliğini sağlamak için önlemler: Taboola’nın global veri merkezlerinin (ABD, Avrupa ve Asya’da) her birinin, yalnızca Taboola’nın kullanımı için bakımını üstlenen kilitli dolaplarda bulunan sunucuları vardır. Bu dolaplar, ya SOC2 sertifikalı olan ya da Taboola’nın güvenlik önlemlerini gözden geçirdiği şirketler tarafından bakım yapılmaktadır. Ayrıca, sunuculara erişim yazılı, kaydedilmiş izin gerektirmektedir. Tüm Taboola ofisleri de kontrol edilmektedir ve çalışanların girmek için erişim kartı kullanmaları gerekmektedir. Ayrıca, yalnızca sınırlı sayıda çalışanın Taboola’nın sunucularına erişimi vardır ve herhangi bir erişim de yazılı, kaydedilmiş izin gerektirmektedir.

Olay kaydı sağlamak için önlemler: Taboola, izleme araçları uygular ve günlükler, herhangi bir şüpheli olay hakkında bizi uyaran SIEM sistemimize toplanmaktadır ve ayrıca NOC ekibi tarafından izlenmektedir.

Sistem yapılandırmasını sağlamak için önlemler, varsayılan yapılandırma dahil: Sunucular, hem yapılandırma kayması hem de yamanın seviyesi için taranmaktadır. Raporlama ve/veya uyarılar her ikisi için de ayarlanmıştır ve ilgili yamanın seviyesi onaylanmıştır. Yeni yamalar Puppet kullanılarak dağıtılmaktadır. Tüm teknik incelemeler, R&D uygulaması aracılığıyla yönetilmektedir ve kodlama ve CI/CD süreçleri uygulandıktan sonra resmi bir inceleme (QA) süreci ile elde edilmektedir.

İç IT ve IT güvenliği yönetimi ve yönetimi için önlemler: Taboola, ISO 27001:2013 ve 27701 sertifikasına sahiptir. Taboola, tüm fiziksel ve elektronik bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini koruma taahhüdünde bulunan Taboola Yönetim Kurulu ve yönetiminin yer aldığı bir Bilgi Güvenliği Politikası’na sahiptir. Taboola, tüm yeni çalışanlar için güvenlik eğitimleri, tüm çalışanlar için dünya genelinde kimlik avı eğitimleri ve tüm çalışanlar için düzenli güvenlik eğitimleri düzenlemekte ve ayrıca R&D grupları için özel oturumlar ayırmaktadır.

Süreçlerin ve ürünlerin sertifikasyonu/güvencesi için önlemler: Taboola’nın güvenlik hedeflerine ve tanımlanan önlemlere uyduğunu doğrulamak için çoklu süreçler ve sistemler üzerinde üç aylık / altı aylık / yıllık iç denetim.

Veri minimizasyonunu sağlamak için önlemler: Taboola, yalnızca belirli iş amaçlarımız için gerekli olan sınırlı verileri işleme ilkeleri çerçevesinde topladığı verileri kasıtlı olarak sınırlamaktadır. Ayrıca, Taboola, hizmetlerimizi sağlamak için algoritmamızda kullanılan veri noktalarını “tersine mühendislik” yapma yeteneğine veya iş ihtiyacına sahip değildir. Daha spesifik olarak, Taboola’nın topladığı veri noktaları asla bir kullanıcının kimliğini göstermez – çünkü Taboola, kullanıcının adı, telefon numarası, e-posta veya fiziksel adresleri gibi bilgileri toplamaz veya işlemez. Bunun yerine, Taboola yalnızca bir kullanıcının cihazı hakkında özellikleri tanımlayan takma ad niteliğinde tanımlayıcılar toplar. Bu, IP adreslerini (toplandığında kısaltılan ve yalnızca cihazın genel posta kodu konumunu tanımlayabilen, ancak asla kesin bir coğrafi konumu tanımlayamayan) ve bazı sınırlı durumlarda, orijinal e-posta adresini açığa çıkarmak için tersine çevrilemeyen ve şifrelenemeyen şifrelenmiş e-posta adreslerini içerir. Ayrıca, topladığımız veriler topluca kullanıldığında bile, asla bir bireyin adı, telefon numarası, e-posta veya fiziksel adresini üretemez ve mühendislerimiz bu hedefe ulaşmak için hiçbir şekilde çalışmamaktadır. Ayrıca, Taboola, hizmetlerimizin, süreçlerimizin ve politikalarımızın gizlilik risklerini en aza indirmek için gizlilik etki değerlendirmeleri yapar ve kaydeder.

Veri kalitesini sağlamak için önlemler: Veri, doğrudan kullanıcıdan toplanmakta ve kullanıcı, Taboola Konu Erişim Talep Portalı aracılığıyla CookieID’si ile ilişkili herhangi bir veriyi düzeltme fırsatına sahip olmaktadır: https://accessrequest.taboola.com/access

Sınırlı veri saklama sağlamak için önlemler: Kullanıcı Bilgilerini, reklam hizmeti sunma amacıyla doğrudan toplanan, Kullanıcının Hizmetlerimizle son etkileşiminden itibaren en fazla on üç (13) ay boyunca saklarız (genellikle daha kısa bir süre için), bu süre sonunda verileri benzersiz tanımlayıcıları kaldırarak veya verileri toplulaştırarak anonimleştiririz. Bu işlem otomatik olarak yapılır.

Hesap verebilirliği sağlamak için önlemler: Taboola, birden fazla güvenlik denetimi ve penetrasyon testi yapar (ancak tüm sistemler için değil). Taboola ayrıca, bir sunucunun fiziksel güvenlik önlemlerini korumak için ISO sertifikalı ve diğer bulutla ilgili sertifikalara uyan bulut sağlayıcıları kullanır.

Veri taşınabilirliğini sağlamak ve silinmesini temin etmek için önlemler: Herhangi bir medya, yeniden kullanılmadan veya imha edilmeden önce tamamen silinmelidir. Herhangi bir medya imhası belgelenir. Çalışanlara, kişisel bilgileri içerebilecek herhangi bir kağıdı basmamaları talimatı verilmiştir.

  1. Bir taraf, diğer tarafa Kısıtlı Veri Aktarımı yaptığında, Standard Contractual Clauses bu Reklamveren Gizlilik Şartlarına dahil edilecek ve aşağıdaki gibi uygulanacaktır:
    1. Kısıtlı Aktarım bir EU Kısıtlı Aktarımı olduğunda, EU SCC’leri taraflar arasında aşağıdaki gibi uygulanacaktır:
      1. Modül Bir uygulanacaktır;
      2. Madde 7’de, isteğe bağlı ekleme Maddesi uygulanacaktır;
      3. Madde 11’de, isteğe bağlı dil uygulanmayacaktır;
      4. Madde 17’de, Seçenek 1 uygulanacak ve EU SCC’leri İrlanda yasalarına tabi olacaktır;
      5. Madde 18(b)’de, uyuşmazlıklar İrlanda mahkemelerinde çözülecektir;
      6. Ek I’in A, B ve C Bölümleri, bu Reklamveren Gizlilik Şartlarına ekli A Bölümünde belirtilen bilgilerle tamamlanmış sayılacaktır; ve
      7. Ek II, bu Reklamveren Gizlilik Şartlarına ekli B Bölümünde belirtilen güvenlik önlemleri ile tamamlanmış sayılacaktır.
    2. Eğer Kısıtlı Transfer, Birleşik Krallık Kısıtlı Transferi ise, UK Addendum taraflar arasında aşağıdaki gibi uygulanacaktır:
      1. Yukarıda belirtildiği gibi tamamlanan EU SCCS taraflar arasında geçerli olacak ve UK Addendum ile değiştirilecektir (aşağıdaki alt madde (ii)’de belirtildiği gibi tamamlanacaktır); ve
      2. UK Addendum’nün 1’den 3’e kadar olan tabloları, yukarıda belirtildiği gibi tamamlanan EU Standart Sözleşme Hükümleri’nden ilgili bilgilerle tamamlanmış sayılacak ve “İhracatçı” ve “İthalatçı” seçenekleri 4. tabloda işaretlenmiş sayılacaktır. UK Addendum’nün başlangıç tarihi (1. tabloda belirtildiği gibi) bu Reklamcı Gizlilik Şartlarının Yürürlük Tarihi olacaktır.
  2. İleri Kısıtlı Transferler:  Hiçbir taraf, diğer taraftan aldığı Toplanan Verilerin ileri bir Kısıtlı Transferini yapmayacaktır, aksi takdirde, böyle bir ileri Kısıtlı Transferin Geçerli Veri Koruma Yasası ve diğer tarafla üzerinde anlaştığı herhangi bir Standart Sözleşme Hükmüne uygun olmasını sağlamak için gerekli tüm işlemleri ve şeyleri yapmamışsa.