CONDIZIONI SULLA PRIVACY PER IL COMMERCIANTE
Data di entrata in vigore: 15 ottobre 2024
Le presenti Condizioni sulla privacy per il Commerciante di Connexity (le “Condizioni sulla privacy per il Commerciante“) si applicano ai servizi di pubblicità digitale offerti da Connexity, come nei casi in cui Connexity, Inc. (“Connexity“) o un membro delle Società Connexity (come definite di seguito) distribuisce i Contenuti del Commerciante attraverso la Rete Connexity, ai sensi di un contratto stipulato tra Connexity e un Commerciante (il “Contratto“). In tali circostanze, le presenti Condizioni sulla privacy per il Commerciante saranno considerate incorporate e costituiranno parte integrante di tale Contratto. Connexity sottoscrive le presenti Condizioni sulla privacy per il Commerciante per proprio conto e per conto della propria affiliata, Taboola.com, Ltd. (“Taboola“). Connexity e Taboola sono collettivamente le “Società Connexity“. Le presenti Condizioni sulla privacy per il Commerciante identificano i ruoli e le responsabilità delle Società Connexity e del Commerciante rispetto ai Dati personali.
1. Ordine di precedenza. In caso di conflitto tra le Condizioni sulla privacy per il Commerciante e il Contratto, le Condizioni sulla privacy per il Commerciante prevarranno limitatamente alla parte in cui esiste il conflitto, salvo che il Contratto non contenga una disposizione conflittuale che faccia esplicito riferimento alla specifica disposizione delle Condizioni sulla privacy per il Commerciante, indicando chiaramente che essa prevale.
2. Definizioni. I termini definiti in questa sezione avranno il significato specificato di seguito e i termini affini saranno interpretati di conseguenza. I termini in maiuscolo utilizzati ma non definiti nelle Condizioni sulla privacy per il Commerciante avranno il significato loro assegnato nel Contratto. Qualsiasi riferimento a una “Parte” nelle presenti Condizioni sulla privacy per il Commerciante dovrà essere inteso come un riferimento al Commerciante o alle Società Connexity, a seconda del contesto, e il termine “parti” dovrà essere interpretato di conseguenza.
a. Per “Leggi applicabili in materia di protezione dei dati” si intendono tutte le leggi federali, nazionali, statali o di altra natura, in materia di privacy e protezione dei dati, applicabili al Trattamento oggetto del Contratto e delle presenti Condizioni sulla privacy per il Commerciante, con le modifiche e le integrazioni che potranno essere apportate di volta in volta.
b. Per “Legge sulla privacy della California” si intende il California Consumer Privacy Act del 2018, § 1798.100 e seguenti del Codice civile californiano (il “CCPA”), comprese le successive modifiche (incluso il California Privacy Rights Act), e qualsiasi legislazione e regolamenti di attuazione subordinati.
c. Per “Dati raccolti” si intendono i Dati personali indicati nell’Allegato A, Parte B, che ciascuna Parte raccoglie dagli Interessati su o attraverso i propri server o reti (compresi tutti i dati raccolti passivamente o leggibili da una macchina, come i dati basati sul tipo di browser e gli identificatori di dispositivo) o riceve dall’altra Parte in relazione alla fornitura o alla ricezione del Servizio.
d. Per “Titolare del trattamento” si intende: (i) un’entità che determina le finalità e i mezzi del Trattamento dei Dati personali, e (ii) qualsiasi soggetto che rientri nell’ambito del termine “titolare del trattamento” (o di qualsiasi altro termine sostanzialmente analogo), secondo la definizione fornita nelle Leggi applicabili in materia di protezione dei dati.
e. Per “Interessato” si intende: (i) qualsiasi persona fisica identificata o identificabile (e, a tal fine, per persona fisica identificabile si intende una persona che può essere identificata, direttamente o indirettamente, in particolare con riferimento a un identificativo come il nome, un numero di identificazione, dati relativi alla posizione o un identificativo online, oppure a uno o più elementi caratteristici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di tale persona fisica); e (ii) qualsiasi persona che rientri nell’ambito di applicazione del termine “interessato”, “consumatore” (o qualsiasi termine sostanzialmente analogo), secondo la definizione contenuta nelle Leggi applicabili in materia di protezione dei dati.
f. Per “Legge UE sulla protezione dei dati” si intendono: (i) il Regolamento generale sulla protezione dei dati dell’UE (Regolamento 2016/679) (“RGPD dell’UE”); (ii) la Direttiva e-Privacy dell’UE (Direttiva 2002/58/CE); e (iii) qualsiasi legge nazionale sulla protezione dei dati emanata ai sensi della, o in conformità alla, normativa (i) o (ii), ciascuna delle quali come di volta in volta modificata o sostituita.
g. “Scopi consentiti” ha il significato specificato nella Sezione 3.
h. Per “Dati personali” si intende qualsiasi informazione relativa a un Interessato (inclusi, ove richiesto dalle Leggi applicabili in materia di protezione dei dati, identificatori univoci del browser o del dispositivo).
i. Per “Trattamento” si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati, e applicate a Dati personali o a insiemi di Dati personali, come la raccolta, il ricevimento, la registrazione, l’organizzazione, la strutturazione, l’uso, la trasmissione, l’accesso, la condivisione, la divulgazione, il trasferimento, la conservazione, l’adattamento o la modifica, il recupero, la consultazione, la diffusione o la messa a disposizione in altro modo, l’allineamento o la combinazione, l’aggregazione, la deduzione, la derivazione, l’analisi, la restrizione, la cancellazione, la distruzione o lo smaltimento o altre operazioni di manipolazione di Dati personali, incluso il modo in cui tale termine è definito dalle Leggi applicabili in materia di protezione dei dati.
j. Per “Responsabile del trattamento” si intende: (i) un’entità che tratta Dati personali per conto di un Titolare del trattamento e (ii) qualsiasi persona che rientri nell’ambito del termine “responsabile del trattamento” (o di qualsiasi termine sostanzialmente analogo), secondo la definizione fornita nelle Leggi applicabili in materia di protezione dei dati.
k. Per “Trasferimento limitato” si intende: (i) ove si applichi il RGPD dell’UE, un trasferimento di Dati personali dal SEE a un Paese all’esterno del SEE, che non sia soggetto a una determinazione di adeguatezza da parte della Commissione europea (un “Trasferimento limitato nell’UE”); e (ii) ove si applichi il RGPD del Regno Unito, un trasferimento di Dati personali dal Regno Unito a qualsiasi altro Paese che non sia soggetto o basato su regolamenti di adeguatezza ai sensi della Sezione 17A del Data Protection Act 2018 del Regno Unito (un “Trasferimento limitato nel Regno Unito”).
l. Per “Vendita” e “Vendere” si intende lo scambio di dati personali a fronte di un corrispettivo monetario o di altro valore, compreso il modo in cui tali termini sono definiti nelle Leggi applicabili in materia di protezione dei dati.
m. Per “Servizio” si intendono i servizi forniti dalle Società Connexity ai sensi del Contratto con il Commerciante.
n. Per “Incidente di sicurezza” si intende una violazione della sicurezza che comporta la distruzione, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso accidentale o illecito a Dati personali.
o. Per “Clausole contrattuali standard” (CCS) si intendono: (i) ove si applichi l’RGPD dell’UE, le clausole contrattuali allegate alla Decisione di esecuzione 2021/914 della Commissione Europea del 4 giugno 2021 sulle clausole contrattuali standard per il trasferimento di dati personali verso Paesi terzi, ai sensi del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio (“CCS dell’UE”); e (ii) laddove si applichi l’RGPD del Regno Unito, l'”Addendum relativo al trasferimento internazionale dei dati alle Clausole contrattuali standard della Commissione europea” emesso dal Commissario per l’informazione, ai sensi dell’articolo 119A(1) del Data Protection Act del 2018 (“Addendum per il Regno Unito”).
p. Per “Parte terza” si intende un’azienda che agisca in qualità di Titolare del trattamento dei Dati personali che non sia l’azienda con cui l’Interessato i cui Dati personali sono trattati ha intenzionalmente interagito; il termine è comprensivo della definizione dello stesso ai sensi delle Leggi applicabili in materia di protezione dei dati.
q. Per “Leggi in materia di protezione dei dati del Regno Unito” si intendono: (i) il Data Protection Act del 2018 in vigore nel Regno Unito, (ii) l’RGPD vigente nel Regno Unito (come definito all’articolo 3(10) del Data Protection Act del Regno Unito del 2018) (“RGPD del Regno Unito”), (iii) il PECR (Privacy and Electronic Communications Regulations – Regolamento sulla privacy e sulle comunicazioni elettroniche del Regno Unito) ((Direttiva CE) Regolamento 2003) e (iv) qualsiasi altra legge in vigore nel Regno Unito emanata ai sensi delle leggi di cui ai punti (i), (ii) o (iii), ciascuna delle quali come di volta in volta modificata o sostituita.
3. Limitazione delle finalità. Ciascuna Parte tratterà i Dati raccolti che raccoglie o riceve dall’altra Parte per le finalità indicate nell’Allegato A, Parte B (le “Finalità consentite”)
4. Rapporto tra le Parti. Ciascuna Parte tratterà i Dati raccolti che raccoglie o riceve dall’altra Parte in qualità di Titolare del trattamento.
a. Nel caso in cui ai Dati raccolti si applichino leggi applicabili in materia di protezione dei dati vigenti negli Stati Uniti, ivi inclusa, a titolo esemplificativo, la legge sulla privacy della California, nella misura in cui le Società Connexity ricevano i Dati raccolti tramite il/i Pixel delle Società Connexity implementati sul/i sito/i web del Commerciante in relazione al Servizio, le Società Connexity riceveranno i Dati raccolti in qualità di Parte terza. Le Società Connexity tratteranno tali Dati personali per le Finalità consentite. Le Società Connexity si impegnano a garantire per i Dati raccolti lo stesso livello di protezione della privacy richiesto ai Titolari del trattamento o alle Aziende dalle Leggi applicabili in materia di protezione dei dati degli Stati Uniti, inclusa, se del caso, la Legge sulla privacy della California. Le Società Connexity dovranno informare il Commerciante nei tempi previsti dalle Leggi applicabili in materia di protezione dei dati negli Stati Uniti nel caso in cui stabiliscano di non essere più in grado di adempiere ai propri obblighi ai sensi di tali Leggi applicabili in materia di protezione dei dati. Previa comunicazione a Connexity, il Commerciante ha il diritto di adottare misure ragionevoli e appropriate per interrompere e porre rimedio all’uso non autorizzato dei Dati raccolti che mette a disposizione delle Società Connexity.
5. Leggi applicabili in materia di protezione dei dati. Le parti riconoscono che le Leggi applicabili in materia di protezione dei dati possono trovare applicazione al Trattamento dei Dati raccolti da parte di ciascuna di esse e, fatta salva la presente Sezione 7, ciascuna Parte sarà individualmente responsabile del proprio rispetto delle Leggi applicabili in materia di protezione dei dati, includendo i requisiti di: (i) garantire trasparenza agli Interessati, (ii) disporre del consenso o di un’altra base legale per il Trattamento e (iii) rendere disponibile un punto di contatto attraverso il quale gli Interessati possano esercitare i propri diritti in materia di protezione dei dati.
6. Trasferimenti internazionali. Nel caso in cui una delle parti effettui un Trasferimento limitato dei Dati raccolti all’altra Parte, si applicheranno le disposizioni di cui all’Allegato C.
7. Trasparenza per gli Utenti nella Pagina di destinazione del Commerciante. Le Società Connexity utilizzano il/i Pixel delle Società Connexity per fornire il Servizio. Fermo restando quanto stabilito nella Sezione 5, nella misura in cui le Società Connexity raccolgono i Dati raccolti dal/dai sito/i web del Commerciante utilizzando il/i Pixel delle Società Connexity, il Commerciante dovrà: (i) fornire agli Interessati tutte le notifiche di trasparenza richieste riguardo all’uso del/dei Pixel delle Società Connexity da parte delle stesse per consentire la raccolta dei Dati ottenuti dal/i sito/i web del Commerciante per le Finalità consentite e (ii) ottenere il consenso dell’Interessato a tale uso dei Pixel delle Società Connexity per le Finalità consentite, fornendo, su richiesta di Connexity, prova adeguata di tale consenso, il tutto in conformità con i requisiti delle Leggi applicabili in materia di protezione dei dati. Gli obblighi del Commerciante a tale riguardo includono l’identificazione delle Società Connexity e il loro utilizzo del/i Pixel delle Società Connexity per le Finalità consentite espressamente all’interno delle notifiche di trasparenza e delle richieste di consenso che il Commerciante fornisce agli Interessati, così come qualsiasi altra informazione prevista in base alle Leggi applicabili in materia di protezione dei dati, in modo da consentire alle Società Connexity di fornire il proprio Servizio in maniera lecita mediante tali proprietà digitali e di trattare i Dati raccolti per le Finalità consentite. Dietro richiesta scritta del Commerciante, Connexity dovrà fornirgli le informazioni necessarie riguardo al/i Pixel delle Società Connexity e al Trattamento dei Dati raccolti da parte delle Società Connexity attraverso il/i sito/i web del Commerciante, in modo che il Commerciante possa utilizzare i meccanismi di notifica e consenso che dovrà garantire in conformità con le Leggi applicabili in materia di protezione dei dati. Il Commerciante non potrà lanciare alcun Pixel delle Società Connexity a meno che, e fino a quando, non sia stata fornita la necessaria garanzia di trasparenza e non siano stati ottenuti i consensi richiesti ai sensi delle Leggi applicabili in materia di protezione dei dati. Inoltre, il Commerciante dovrà fornire agli Interessati informazioni su come esercitare i loro diritti di protezione dei dati ai sensi delle Leggi applicabili in materia di protezione dei dati, e mettere a disposizione un punto di contatto per gli Interessati affinché possano esercitare i loro diritti. Il Commerciante dovrà comunicare tempestivamente a Connexity se e nella misura in cui riceverà una richiesta di tutela dei diritti di protezione dei dati relativi al Trattamento dei Dati raccolti da parte delle Società Connexity in qualità di Titolare del trattamento, affinché Connexity possa adempiere alla richiesta in conformità ai propri obblighi ai sensi delle Leggi applicabili in materia di protezione dei dati.
8. Partner di attribuzione. Qualora le Società Connexity, su richiesta del Commerciante, trasmettano tutti o parte dei Dati raccolti al Partner di attribuzione del Commerciante o al Commerciante per finalità di attribuzione, il Commerciante dichiara e garantisce che: (i) il proprio partner di attribuzione è un Responsabile del trattamento per conto del Commerciante; (ii) salvo il caso in cui siano stati diversamente raccolti in maniera indipendente, il Commerciante e il partner di attribuzione utilizzeranno i Dati raccolti esclusivamente per finalità di attribuzione; e (iii) il partner di attribuzione e il Commerciante dovranno eliminare tutti i Dati raccolti trasmessi entro trenta (30) giorni dall’ultima identificazione dell’utente del/i sito/i web del Commerciante come proveniente dalle Società Connexity.
9. Sicurezza. Ciascuna Parte dovrà implementare misure di sicurezza tecniche e organizzative adeguate, volte a proteggere i Dati raccolti che tratta da e contro eventuali Incidenti di sicurezza. Tali misure comprendono quelle descritte nell’Allegato B.
10. Incidenti di sicurezza. Se una qualsiasi delle Parti dovesse essere vittima di un Incidente di sicurezza in relazione ai Dati raccolti che tratta e che sono oggetto del Contratto e delle presenti Condizioni sulla privacy per il Commerciante, tale Parte dovrà: (i) essere responsabile dell’adempimento (a proprie spese) di qualsiasi obbligo di segnalazione alle autorità di protezione dei dati e/o agli Interessati in questione, ai sensi delle Leggi applicabili in materia di protezione dei dati; (ii) informare l’altra Parte senza indebito ritardo, fornendo le informazioni relative all’Incidente di sicurezza ragionevolmente richieste dall’altra Parte o altrimenti necessarie affinché l’altra Parte possa determinare se abbia anch’essa obblighi di segnalazione ai sensi delle Leggi applicabili in materia di protezione dei dati in relazione all’Incidente di sicurezza, e (iii) adottare, senza indebito ritardo, tutte le azioni e le misure opportune per rimediare e/o mitigare gli effetti dell’Incidente di sicurezza.
11. DPIA. Laddove e nella misura in cui ciò sia previsto dalle Leggi applicabili in materia di protezione dei dati a cui ciascuna Parte è soggetta, ciascuna Parte dovrà effettuare una valutazione dell’impatto sulla protezione dei dati (o DPIA – Data Protection Impact Assessment) in relazione al trattamento dei Dati raccolti per le Finalità consentite e/o consultare le autorità competenti in materia di protezione dei dati, ove necessario. Ciascuna Parte dovrà offrire tutta la collaborazione e le informazioni ragionevolmente richieste dall’altra Parte, qualora ciò sia necessario per consentire all’altra Parte di completare una valutazione d’impatto sulla protezione dei dati e/o di consultarsi con le autorità competenti in materia di protezione dei dati, in conformità con gli obblighi dell’altra Parte ai sensi della presente Sezione 11.
12. Controlli in lingua inglese. In caso di conflitto tra la versione in lingua inglese dei presenti Condizioni sulla privacy per il Commerciante e qualsiasi versione tradotta da noi fornita, ciascuna parte concorda che la versione in lingua inglese prevarrà in ogni caso.
Allegato A
Descrizione del trattamento
A. ELENCO DELLE PARTI
Ciascuna Parte sarà:
● titolare del trattamento (ed esportatore di dati) dei Dati raccolti che divulga o rende disponibili all’altra Parte, e
● titolare del trattamento (e importatore di dati) dei Dati raccolti che riceve dall’altra Parte o ai quali l’accesso è reso disponibile dall’altra Parte.
I dettagli di ciascuna Parte sono riportati di seguito.
| Nome: | vedere i dettagli del Commerciante riportati nel Contratto. |
| Indirizzo: | vedere i dettagli del Commerciante riportati nel Contratto. |
| Contact person’s name, position and contact details: | vedere i dettagli del Commerciante riportati nel Contratto o altrimenti concordati tra le Parti per iscritto. |
| Attività pertinenti ai dati trasferiti ai sensi delle presenti Clausole: | ricezione del Servizio, come stabilito nel Contratto. |
| Firma e data: | il presente Allegato A sarà ritenuto eseguito previa accettazione da parte del Commerciante delle presenti Condizioni sulla privacy per il Commerciante. |
| Ruolo (Titolare del trattamento/Responsabile del trattamento): | Titolare del trattamento (qualora sia un esportatore di dati) e Titolare del trattamento (qualora sia un importatore di dati) |
| Nome: | Per le Società Connexity: vedere i dettagli di Connexity riportati nella premessa al Contratto. Taboola: Taboola.com, Ltd. |
| Indirizzo: | Per le Società Connexity: vedere i dettagli di Connexity riportati nella premessa al Contratto Taboola: Via Jabotinsky 2, 32° piano Ramat Gan, Israele 5250501 |
| Nome, posizione e dettagli di contatto della persona referente: | Team addetto alla privacy di Connexity, dataprotection@connexity.com. |
| Attività pertinenti ai dati trasferiti ai sensi delle presenti Clausole: | fornitura del Servizio, come stabilito nel Contratto. |
| Firma e data: | il presente Allegato A sarà ritenuto eseguito previa accettazione da parte di Connexity delle presenti Condizioni sulla privacy per il Commerciante. |
| Ruolo (Titolare del trattamento/Responsabile del trattamento): | Titolare del trattamento (qualora sia un esportatore di dati) e Titolare del trattamento (qualora sia un importatore di dati) |
B. DESCRIZIONE DEL TRATTAMENTO E TRASFERIMENTO
| Categorie di Interessati i cui Dati personali sono trattati e/o trasferiti | Utenti |
| Categorie di Dati personali trattati e/o trasferiti | Dati del dispositivo: sistema operativo, tipo di browser, versione del browser, indirizzo IP (troncato entro 30 giorni) dalla raccolta, codice postale (derivato dall’indirizzo IP), ID utente di Taboola con hash, e-mail con hash, visite iniziali e successive alla pagina del sito web del Commerciante, sesso dell’utente (dedotto dagli interessi), segnali di coinvolgimento (tempo di permanenza sul sito, profondità di scorrimento, profondità della sessione), dati di conversione, click ID. Dati relativi alla proprietà digitale visitata dall’utente: URL della pagina visitata, sito web di riferimento e altre informazioni che il Commerciante condivide sul modo in cui gli utenti interagiscono con il/i suo/suoi sito/i web, come le visualizzazioni delle pagine, le visualizzazioni dei prodotti, gli eventi “Aggiungi al carrello”, gli eventi di acquisto e altri tipi di eventi. |
| Dati sensibili trasferiti (se del caso) e restrizioni o garanzie applicate che tengono pienamente conto della natura dei dati e dei rischi connessi, quali, ad esempio, limitazione rigorosa delle finalità, restrizioni all’accesso (compreso l’accesso solo per il personale che ha seguito una formazione specializzata), tenuta di un registro dell’accesso ai dati, restrizioni per i trasferimenti successivi o misure di sicurezza supplementari | Non applicabile. |
| Frequenza del trattamento e/o dei trasferimenti (ad esempio, se i dati sono trattati e/o trasferiti una tantum o in modo continuativo) | Continuativa per tutta la durata del Contratto |
| Natura del trattamento | Trattamento dei Dati personali necessario per la fornitura del Servizio, come stabilito nel Contratto. |
| Finalità del trattamento/trasferimento dei dati e ulteriore trattamento | Fornitura del Servizio, secondo quanto stabilito nel Contratto, comprendente le seguenti finalità (fatte salve le autorizzazioni appropriate degli interessati, ove richiesto dalle Leggi applicabili in materia di protezione dei dati): ● archiviare e/o accedere alle informazioni su un dispositivo; ● selezionare gli annunci di base; ● creare un profilo pubblicitario personalizzato; ● selezionare annunci pubblicitari personalizzati; ● creare un profilo di contenuti personalizzati; ● selezionare contenuti personalizzati; ● misurare le prestazioni degli annunci pubblicitari; ● misurare le prestazioni dei contenuti; ● sviluppare e migliorare i prodotti; ● garantire la sicurezza, prevenire le frodi ed eseguire il debug; ● fornire tecnicamente annunci o contenuti; ● abbinare e combinare sorgenti di dati offline; ● collegare dispositivi diversi; ● ricevere e utilizzare le caratteristiche del dispositivo inviate automaticamente per l’identificazione; e ● utilizzare dati limitati per selezionare il contenuto. |
| Periodo di conservazione dei dati personali oppure, qualora ciò non sia possibile, criteri applicati per determinare tale periodo | Le Parti dovranno conservare i Dati personali per il tempo necessario a fornire il Servizio. |
| In caso di trasferimenti a (sub-)responsabili del trattamento, specificare anche oggetto, natura e durata del trattamento | Non applicabile. |
C. AUTORITÀ DI VIGILANZA COMPETENTE
| Autorità di vigilanza competente dove viene applicato l’RGPD dell’UE | L’autorità di vigilanza competente per ciascuna Parte è quella indicata di seguito: ● Società Connexity: l’autorità di vigilanza competente è determinata conformemente ai sensi della Clausola 13 delle CCS dell’UE. ● Commerciante: l’autorità di vigilanza competente è determinata ai sensi della Clausola 13 delle CCS dell’UE. |
| Autorità di vigilanza competente in caso di applicazione dell’RGPD del Regno Unito | Information Commissioner’s Office (ICO) [Autorità indipendente del Regno Unito responsabile della protezione dei dati personali e della tutela della privacy] |
Allegato B
Misure di sicurezza
Descrizione delle misure tecniche e organizzative attuate da ciascuna Parte (comprese le eventuali certificazioni pertinenti) per garantire un livello di sicurezza adeguato, tenendo conto della natura, dell’ambito, del contesto e delle finalità del trattamento, come pure dei rischi per i diritti e le libertà delle persone fisiche.
| Misure di pseudonimizzazione e crittografia dei dati personali | Le Società Connexity raccolgono solo dati pseudonimizzati, il che significa che non sappiamo chi sia l’Utente perché non conosciamo né elaboriamo il suo nome utente, l’indirizzo e-mail o altri dati identificabili. Le informazioni dell’Utente che raccogliamo includono, a titolo esemplificativo e non esaustivo, informazioni su un dispositivo e sul sistema operativo dell’Utente, indirizzo IP, pagine web a cui hanno avuto accesso gli utenti all’interno dei siti web dei nostri Clienti, il collegamento che ha portato un Utente a un sito web di un Cliente, le date e le volte in cui un Utente accede al sito web di un Cliente e ad altri dati di navigazione web. Connexity intraprende le seguenti azioni: l’user agent e l’indirizzo IP vengono entrambi archiviati in forma crittografata e, per i visitatori provenienti da aree geografiche in cui le normative richiedono l’anonimizzazione (ad esempio, in caso di applicazione dell’RGPD), l’user agent e l’indirizzo IP vengono entrambi troncati prima della crittografia.Inoltre, Taboola si impegna a rendere anonimo il CookieID utilizzando Bcrypt e a troncare l’indirizzo IP. |
| Misure per garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento | Connexity utilizza più livelli di sicurezza elettronica (ad esempio: sicurezza degli endpoint, sicurezza lato server, tracciamento dei rilevamenti, test di penetrazione periodici e raccolta di informazioni approfondite per esaminare gli eventi post mortem). |
| Misure per garantire la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai Dati personali in caso di incidente fisico o tecnico | Connexity applica le seguenti misure: ● la disponibilità dei Dati personali è garantita dall’utilizzo da parte di Connexity di architetture di replica dei database per la ridondanza e il backup automatico dei dati in più regioni geografiche; ● inoltre, i sistemi che tengono traccia degli eventi utente sono ridondanti in più regioni che supportano il failover, in modo che anche un’interruzione completa in una regione non renda i servizi non disponibili. Taboola mantiene 9 centri dati operativi in tutto il mondo. Ciascun centro dati viene utilizzato come replica l’uno dell’altro; quindi, se un centro dati subisce un guasto, i dati possono essere estratti da un altro centro dati. |
| Processi per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento | Al fine di monitorare l’adeguata protezione dei dati e di far rispettare gli obblighi e le procedure di riservatezza, Connexity ha implementato i seguenti protocolli: ● formazione e sensibilizzazione dei dipendenti rispetto alla protezione dei dati, alla sicurezza delle informazioni, agli obblighi di riservatezza e alla conformità; ● revisione periodica delle procedure di elaborazione dei dati; ● protocolli integrati di notifica e trattamento delle violazioni della protezione dei dati e della tutela dei diritti degli Interessati previsti. Taboola mantiene processi rigorosi per testare l’efficacia dei propri controlli (sia tecnici che organizzativi). I nostri sistemi sono soggetti a registrazione e monitoraggio costante, a test di disaster recovery (almeno) mensili e a test di penetrazione trimestrali, sono protetti da firewall web e dispongono di honeypot distribuiti in tutta la rete per individuare qualsiasi attività dannosa. Inoltre, abbiamo un programma bounty che ci aiuta a monitorare costantemente la nostra rete. |
| Misure per l’identificazione e l’autorizzazione degli utenti | A ogni utente delle Società Connexity sono associati un nome utente e una password dedicati. Ogni accesso alla rete interna delle Società Connexity avviene con 2FA. Gli utenti vengono creati solo dal reparto IT, durante il processo di onboarding e solo dopo aver ricevuto tutti i dettagli e il contratto firmato dal reparto Risorse umane. |
| Misure per la protezione dei dati durante la trasmissione | Connexity applica le seguenti misure: ● qualsiasi trasmissione di dati personali viene effettuata tramite protocolli di trasmissione sicuri (HTTPS e TLS v1.2, come minimo). Inoltre, i sistemi che potrebbero contenere dati personali sono protetti e i dati vengono sottoposti ad hashing e resi anonimi; ● il trasferimento di Dati personali a terzi (ad esempio, clienti, subappaltatori, fornitori di servizi) avviene solo se esiste un contratto corrispondente e solo per uno scopo specifico. Connexity garantisce che nel luogo o nell’organizzazione di destinazione sia previsto un livello adeguato di protezione dei dati, in conformità con i requisiti di protezione dei dati dell’UE. Taboola supporta qualsiasi trasmissione di dati attraverso protocolli di trasmissione sicuri (HTTPS e TLS v1.2 come minimo). Inoltre, i sistemi che potrebbero contenere dati personali sono protetti e i dati vengono sottoposti ad hashing e resi anonimi. |
| Misure per la protezione dei dati durante l’archiviazione | I diritti di accesso alla rete e al sistema di Connexity vengono rilasciati attraverso un processo regolamentato di revisione e autorizzazione e vengono concessi secondo un protocollo basato sul principio della “necessità di sapere”. Taboola garantisce che i dati archiviati nei nostri database siano resi anonimi e sottoposti ad hashing utilizzando Bcrypt. L’accesso al DB è ridotto al minimo e si basa sul principio della “necessità di sapere per motivi lavorativi”. |
| Misure per garantire la sicurezza fisica dei luoghi in cui vengono trattati i dati personali |
Connexity applica le seguenti misure: ● i controlli di sicurezza fisica negli uffici di Connexity, dove può aver luogo il trattamento dei Dati personali o dove possono essere ospitati sistemi di trattamento dei dati, comprendono la protezione dei locali e del loro perimetro mediante varie misure di controllo degli accessi, quali, a titolo esemplificativo e non esaustivo, accesso con chiave magnetica a uffici e parcheggi per i dipendenti, ingresso supervisionato negli uffici durante l’orario lavorativo, personale di sicurezza presente in loco 24 ore su 24, 7 giorni su 7, 365 giorni all’anno e telecamere di sicurezza; ● al di fuori del normale orario lavorativo, gli ascensori che portano al 4° piano, dove si trovano gli uffici di Connexity, sono disabilitati e non sono operativi senza l’uso di una chiave magnetica attiva rilasciata a un dipendente o membro del personale autorizzato dell’edificio degli uffici; ● i locali che ospitano sistemi di trattamento dei dati (server, distributori di rete, ecc.) sono chiusi a chiave e accessibili solo ai dipendenti autorizzati dei reparti Amministrazione IT o Infrastruttura IT; ● i visitatori programmati e i fornitori esterni all’azienda devono firmare un elenco degli ospiti al momento del loro arrivo alla reception e indicare il motivo della loro visita. I visitatori possono sostare nei locali commerciali solo se scortati e/o supervisionati in ogni momento da un addetto alla sicurezza dell’edificio o da un dipendente di Connexity. Tutti i server di ciascuno dei centri dati globali di Taboola (negli Stati Uniti, in Europa e in Asia) sono posti all’interno di armadi chiusi a chiave manutenuti esclusivamente per l’uso da parte di Taboola. Questi armadi sono gestiti da aziende in possesso della certificazione SOC2 (Service Organization Control 2) o le cui misure di sicurezza siano state verificate da Taboola. Inoltre, qualsiasi accesso ai server richiede un’autorizzazione scritta e registrata. Anche tutti gli uffici di Taboola sono controllati e per accedervi ai dipendenti è richiesto l’impiego di carte di accesso. Inoltre, solo un numero limitato di dipendenti può accedere ai server di Taboola e per qualsiasi accesso è richiesta anche un’autorizzazione scritta e registrata. |
| Misure per garantire la registrazione degli eventi | Gli accessi alla rete aziendale di Connexity vengono monitorati e registrati automaticamente, compresi i tentativi di login non andati a buon fine. L’accesso alla rete viene automaticamente bloccato dal sistema dopo 5 tentativi falliti e può essere ripristinato solo da un dipendente dell’amministrazione IT autorizzato. Taboola adotta una serie di strumenti di monitoraggio e i registri vengono raccolti nel nostro sistema SIEM, che ci avvisa di qualsiasi evento sospetto, e sono monitorati anche dal team NOC, responsabile del monitoraggio, della gestione e della manutenzione delle reti e dei sistemi informatici aziendali. |
| Misure per garantire la configurazione del sistema, inclusa la configurazione predefinita | Connexity applica le seguenti misure: ● Connexity utilizza sistemi automatizzati di gestione della configurazione per assicurare che tutte le configurazioni dei server siano sempre aggiornate e conformi a uno standard predefinito. Le configurazioni sono soggette a controllo delle modifiche e devono essere riviste prima di essere attuate; ● anche le configurazioni delle applicazioni sono sottoposte al controllo delle modifiche e devono essere riviste prima della loro attuazione; ● Tutte le modifiche apportate alle applicazioni passano attraverso un processo formale di gestione delle modifiche e del ciclo di vita dello sviluppo del software, che comprende revisione del codice, QA e processi CI/CD standardizzati. I server di Taboola vengono sottoposti a scansione per verificare la presenza di una deriva della configurazione e il livello delle patch. Segnalazioni e/o avvisi sono impostati su entrambi e il livello della patch pertinente viene confermato. Le nuove patch sono distribuite tramite Puppet. Tutte le revisioni tecniche sono gestite attraverso l’applicazione R&S e ottenute mediante un processo formale di revisione (QA), dopo l’implementazione dei processi di codifica e CI/CD. |
| Misure di governance e gestione interna dei sistemi informatici e di sicurezza informatica | Connexity aderisce alle politiche di sicurezza definite dalla sua casa madre. Taboola possiede le certificazioni ISO 27001:2013 e 27701. Essa applica una politica di sicurezza delle informazioni in base alla quale il Consiglio di Amministrazione e la direzione aziendale sono impegnati a preservare la riservatezza, l’integrità e la disponibilità di tutte le risorse informative fisiche ed elettroniche all’interno dell’organizzazione. Taboola organizza corsi di formazione sulla sicurezza per tutti i nuovi dipendenti, corsi di formazione sul phishing per tutti i dipendenti a livello globale e corsi di formazione periodici sulla sicurezza per tutti i dipendenti, dedicando anche sessioni specifiche per i gruppi di ricerca e sviluppo. |
| Misure per la certificazione/l’assicurazione dei processi e dei prodotti | In quanto filiale di una società pubblica, Connexity viene sottoposta ogni anno a rigorosi controlli di audit SOX. Taboola è sottoposta ad audit interni trimestrali/semestrali/annuali su più processi e sistemi, per verificare che essa rispetti gli obiettivi e le misure di sicurezza definiti. |
| Misure per garantire la minimizzazione dei dati | Le Società Connexity limitano intenzionalmente i dati raccolti nell’ambito dei principi globali di minimizzazione dei dati di Taboola, elaborando solo i dati limitati necessari per i nostri scopi aziendali specifici. Inoltre, le Società Connexity non hanno la capacità, né alcuna necessità aziendale, di decodificare tramite reverse engineering alcuno dei dati utilizzati nelle nostre elaborazioni a fini di fornitura dei nostri servizi. Più nello specifico, i dati raccolti dalle Società Connexity non sono mai indicativi dell’identità di un utente, poiché esse non raccolgono né elaborano informazioni quali nome dell’utente, numero di telefono, indirizzo e-mail o indirizzi fisici. Al contrario, le Società Connexity raccolgono solo identificatori pseudonimi, che si limitano a identificare le caratteristiche del dispositivo dell’utente, quali, ad esempio, gli indirizzi IP (che vengono troncati al momento della raccolta e che possono identificare solo la posizione generale del codice postale del dispositivo, senza però mai consentire una geolocalizzazione precisa). In più, anche se i dati vengono utilizzati in modo aggregato, non è possibile risalire al nome, al numero di telefono, all’indirizzo e-mail o all’indirizzo fisico di un individuo. I nostri tecnici non perseguono in alcun modo tale obiettivo. Inoltre, le Società Connexity effettuano e registrano valutazioni dell’impatto sulla privacy nel tentativo di ridurre al minimo i rischi per la privacy dei nostri servizi, processi e politiche. |
| Misure per garantire la qualità dei dati | Connexity raccoglie i dati direttamente dagli eventi che interessano l’utente e conduce più livelli di convalida degli input per garantire che vengano archiviati solo dati validi. Eseguiamo anche processi automatizzati per analizzare gli schemi nei dati degli eventi dopo il fatto, in modo da poter distinguere tra gli eventi frutto di attori automatizzati e singoli utenti umani. Per Taboola, i dati vengono raccolti direttamente dall’utente, al quale viene data la possibilità di correggere eventuali dati associati al proprio CookieID tramite il Portale di richiesta di accesso dell’interessato (Subject Access Request Portal) di Taboola: https://accessrequest.taboola.com/access |
| Misure per garantire una conservazione limitata dei dati | Connexity: vengono osservate le pratiche di gestione dei documenti all’interno di tutti i reparti della Società in conformità con la Politica sulla conservazione e lo smaltimento dei documenti di Connexity. Taboola conserva le Informazioni dell’utente, che vengono raccolte direttamente allo scopo di pubblicare annunci, per un massimo di tredici (13) mesi dalla sua ultima interazione con i nostri Servizi (spesso per un periodo di tempo più breve), dopodiché rendiamo anonimi i dati, rimuovendo identificatori univoci o aggregando i dati. Questo processo viene eseguito in automatico. |
| Misure per garantire la responsabilità | Le Società Connexity eseguono molteplici controlli di sicurezza e test di penetrazione (ma non per tutti i sistemi). Taboola si avvale anche di fornitori di servizi cloud certificati ISO e in possesso di altre certificazioni inerenti i servizi cloud per il mantenimento delle protezioni fisiche di un server. |
| Misure per consentire la portabilità dei dati e garantirne la cancellazione | Connexity applica una Politica di protezione dei dati e una Politica di conservazione e smaltimento dei documenti. Connexity dispone altresì di procedure formali di richiesta di accesso ai dati, in base alle quali gli interessati possono esercitare il diritto di accesso e di consultazione dei dati in possesso di Connexity che li riguardano, come pure il diritto di cancellare o eliminare tali dati. Taboola adotta misure per garantire che le procedure di smaltimento dei supporti siano le stesse per tutti i tipi di supporti, in quanto potrebbero contenere dati personali. Tutti i supporti devono essere completamente puliti prima di essere riutilizzati o smaltiti. Lo smaltimento di qualsiasi supporto viene documentato. Ai dipendenti viene richiesto di non stampare documenti che potrebbero contenere informazioni personali. |
Allegato C
Trasferimenti limitati
1. Nella misura in cui una Parte effettua un Trasferimento limitato dei Dati raccolti all’altra Parte, le Clausole contrattuali standard saranno incorporate nelle presenti Condizioni sulla privacy per il Commerciante e si applicheranno come descritto di seguito:
(a) laddove il Trasferimento limitato dei dati sia un Trasferimento limitato nell’UE, si applicheranno le CCS dell’UE tra le Parti come segue:
(i) sarà applicato il Modulo Uno;
(ii) nella Clausola 7 si applicherà la Clausola di docking facoltativa;
(iii) nella Clausola 11 non si applicherà la lingua facoltativa;
(iv) nella Clausola 17, si applicherà l’Opzione 1 e le Clausole contrattuali standard dell’UE saranno disciplinate dalla legge irlandese;
(v) nella Clausola 18(b), le controversie saranno risolte davanti ai tribunali irlandesi;
(vi) Le Parti A, B e C dell’Allegato I saranno considerate completate con le informazioni stabilite nelle Parti A, B e C dell’Allegato A alle presenti Condizioni sulla privacy per il Commerciante; e
(vii) l’Allegato II sarà considerato completato con le misure di sicurezza di cui all’Allegato B delle presenti Condizioni sulla privacy per il Commerciante;
(b) laddove il Trasferimento limitato sia un Trasferimento limitato nel Regno Unito, tra le parti si applicherà l’Addendum per il Regno Unito, come segue:
(i) le clausole contrattuali standard dell’UE, completate come sopra indicato, si applicheranno tra le Parti e saranno modificate dall’Addendum per il Regno Unito (completato come indicato nella sotto-clausola (ii) di seguito); e (ii) below); and
(ii) le Tabelle da 1 a 3 dell’Addendum per il Regno Unito si considereranno completate con le informazioni pertinenti delle CCS dell’UE, compilate come sopra indicato, e le opzioni “Esportatore” e “Importatore” si considereranno selezionate nella Tabella 4. La data di inizio dell’Addendum per il Regno Unito (come indicato nella Tabella 1) sarà la data di entrata in vigore delle presenti Condizioni sulla privacy per il Commerciante.
2. Trasferimenti limitati successivi: nessuna delle Parti potrà effettuare un successivo trasferimento limitato dei dati raccolti e ricevuti dall’altra Parte senza aver previamente adempiuto a tutti gli obblighi necessari per garantire che tale trasferimento sia conforme alle leggi applicabili in materia di protezione dei dati e alle eventuali clausole contrattuali standard concordate con l’altra Parte.
MERCHANT PRIVACY TERMS
Effective Date: 15 October 2024
These Connexity Merchant Privacy Terms (“Merchant Privacy Terms”) apply to Connexity’s digital advertising services, such as when Connexity, Inc. (“Connexity”) or a member of the Connexity Companies (defined below) distributes Merchant Content throughout the Connexity Network, pursuant to an agreement between Connexity and a Merchant (“Agreement”), and these Merchant Privacy Terms shall be deemed incorporated into, and form an integral part of, any such Agreement. Connexity is entering into these Merchant Privacy Terms on its own behalf and for and on behalf of its affiliate, Taboola.com, Ltd. (“Taboola”). Connexity and Taboola are collectively the “Connexity Companies”. These Merchant Privacy Terms identify the Connexity Companies’ and Merchant’s roles and responsibilities with respect to Personal Data.
1. Order of Precedence. In the event of a conflict between the Merchant Privacy Terms and the Agreement, the Merchant Privacy Terms will govern to the extent of that conflict unless the conflicting provision in the Agreement expressly references the conflicting provision of these Merchant Privacy Terms and specifies that it prevails over that conflicting provision.
2. Definitions. Terms defined in this section shall have the meaning set out below, and cognate terms shall be construed accordingly. Capitalized terms used but not defined in the Merchant Privacy Terms shall have the meanings defined in the Agreement. Reference to a “party” in these Merchant Privacy Terms shall be read as a reference to the Merchant or to the Connexity Companies, as the context requires, and the term “parties” shall be construed accordingly.
a. “Applicable Data Protection Laws” means any and all federal, national, state, or other privacy and data protection laws that apply to the Processing which is the subject of the Agreement and these Merchant Privacy Terms, as may be amended or superseded from time to time.
b. “California Privacy Law” means California Consumer Privacy Act of 2018, Cal. Civil Code § 1798.100 et seq. (“CCPA”), as amended (including by the California Privacy Rights Act), and any subordinate legislation and implementing regulations.
c. “Collected Data” means the Personal Data set out in Annex A, Part B that each party collects from Data Subjects on or through their servers or networks (including all passively collected or machine-readable data, such as data based on browser type and device identifiers) or receives from the other party in connection with the provision or receipt of the Service.
d. “Controller” means: (i) an entity that determines the purposes and means of the Processing of Personal Data, and (ii) any person that falls within the scope of the term “controller” (or any substantially analogous term) as defined under Applicable Data Protection Laws.
e. “Data Subject” means: (i) an identified or identifiable natural person (and, for these purposes, an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person), and (ii) any person that falls within the scope of the term “data subject”, “consumer” (or any substantially analogous term) as defined under Applicable Data Protection Laws.
f. “EU Data Protection Law” means: (i) the EU General Data Protection Regulation (Regulation 2016/679) (“EU GDPR”); (ii) the EU e-Privacy Directive (Directive 2002/58/EC); and (iii) any national data protection laws made under or pursuant to (i) or (ii), each as may be amended or superseded from time to time.
g. “Permitted Purposes” has the meaning given in section 3.
h. “Personal Data” means any information relating to a Data Subject (including, where required by Applicable Data Protection Laws, unique browser or device identifiers).
i. “Process” means any operation or set of operations which is performed on Personal Data or on sets of Personal Data, whether or not by automated means, such as collection, receipt, recording, organisation, structuring, use, transmission, access, sharing, disclosure, transfer, storage, adaptation or alteration, retrieval, consultation, dissemination or otherwise making available, alignment or combination, aggregation, inferring, derivation, analysis, restriction, erasure, destruction or disposal or other handling of Personal Data, inclusive of how such term is defined under Applicable Data Protection Laws.
j. “Processor” means: (i) an entity that Processes Personal Data on behalf of a Controller, and (ii) any person that falls within the scope of the term “processor” (or any substantially analogous term) as defined under Applicable Data Protection Laws.
k. “Restricted Transfer” means: (i) where the EU GDPR applies, a transfer of Personal Data from the EEA to a country outside of the EEA which is not subject to an adequacy determination by the European Commission (an “EU Restricted Transfer”); and (ii) where the UK GDPR applies, a transfer of Personal Data from the United Kingdom to any other country which is not subject to or based on adequacy regulations pursuant to Section 17A of the United Kingdom Data Protection Act 2018 (a “UK Restricted Transfer”).
l. “Sale” and “Sell” mean exchanging Personal Data for monetary or other valuable consideration, and are inclusive of how such terms are defined under Applicable Data Protection Laws.
m. “Service” means services provided by the Connexity Companies under the Agreement with Merchant.
n. “Security Incident” means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, Personal Data.
o. “Standard Contractual Clauses” means: (i) where the EU GDPR applies, the contractual clauses annexed to the European Commission’s Implementing Decision 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (“EU SCCs”); and (ii) where the UK GDPR applies, the “International Data Transfer Addendum to the EU Commission Standard Contractual Clauses” issued by the Information Commissioner under s.119A(1) of the DPA 2018 (“UK Addendum”).
p. “Third Party” means a business that acts as a Controller with respect to Personal Data, and that is not the business that the Data Subject whose Personal Data is Processed has intentionally interacted with; the term is inclusive of how such term is defined under Applicable Data Protection Laws.
q. “UK Data Protection Law” means: (i) the UK Data Protection Act 2018, (ii) the UK GDPR (as defined in s.3(10) of the UK Data Protection Act 2018) (“UK GDPR”), (iii) the UK Privacy and Electronic Communications (EC Directive) Regulations 2003), and (iv) any other UK laws made under or pursuant to (i), (ii) or (iii), each as may be amended or superseded from time to time.
3. Purpose Limitation. Each party shall Process Collected Data that it collects or receives from the other party for the purposes set out in Annex A, Part B (the “Permitted Purposes”).
4. Relationship of the Parties. Each party shall Process Collected Data it collects or receives from the other party as a Controller.
a. If Applicable Data Protection Laws in the United States apply to Collected Data, including without limitation California Privacy Law then, to the extent that Connexity Companies receive Collected Data via the Connexity Companies’ Pixel(s) implemented on the Merchant website(s) in connection with the Service, the Connexity Companies shall receive the Collected Data as a Third Party. The Connexity Companies shall Process such Personal Data for the Permitted Purposes. The Connexity Companies will provide the same level of privacy protection to the Collected Data as is required of Controllers or Businesses by Applicable Data Protection Laws in the United States, including if applicable, California Privacy Law. The Connexity Companies will inform Merchant in the time period required by Applicable Data Protection Laws in the United States if the Connexity Companies determine they are no longer able to meet their obligations under those Applicable Data Protection Laws. Upon providing notice to Connexity, Merchant has the right to take reasonable and appropriate steps to stop and remediate unauthorized use of Collected Data that it makes available to the Connexity Companies.
5. Applicable Data Protection Laws. The parties acknowledge that Applicable Data Protection Laws may apply to each party’s Processing of Collected Data, and subject to section 7, each party shall be individually responsible for its own compliance with Applicable Data Protection Laws, including any requirements to: (i) provide transparency to Data Subjects, (ii) have consent or another lawful basis for Processing, and (iii) making available a contact point through which Data Subjects may exercise their data protection rights.
6. International Transfers. In the event that any party makes a Restricted Transfer of Collected Data to the other party, the provisions of Annex C shall apply.
7. Transparency for Users on Merchant’s Landing Page. The Connexity Companies use Connexity Companies’ Pixel(s) to provide the Service. Notwithstanding section 5, to the extent that the Connexity Companies collect Collected Data from Merchant website(s) using Connexity Companies’ Pixel(s), Merchant shall: (i) provide all required transparency notices to Data Subjects about the Connexity Companies’ use of the Connexity Companies’ Pixel(s) to collect Collected Data from Merchant website(s) for the Permitted Purposes, and (ii) obtain (and, on request at any time by Connexity, provide appropriate evidence of) Data Subject consent to such use of Connexity Companies’ Pixel(s) for the Permitted Purposes, in each case in accordance with the requirements of Applicable Data Protection Laws. Merchant’s obligations in this regard include identifying the Connexity Companies and its use of the Connexity Companies’ Pixel(s) for the Permitted Purposes expressly within the transparency notices and the consent prompts Merchant provides to Data Subjects, as well as any other information required by Applicable Data Protection Laws, so that the Connexity Companies can provide its Service lawfully through such digital properties and Process Collected Data for the Permitted Purposes. Upon written request, Connexity shall provide Merchant with such information as is necessary about the Connexity Companies’ Pixel(s) and the Connexity Companies’ Processing of Collected Data through the Merchant’s website(s) for Merchant to use in notice and consent mechanisms that it will ensure comply with Applicable Data Protection Laws. Merchant shall not fire any of the Connexity Companies’ Pixel(s) unless and until any necessary transparency has been provided and any necessary consents required under Applicable Data Protection Laws have been obtained. Merchant shall further provide Data Subjects with information about how they may exercise their data protection rights under Applicable Data Protection Laws, and provide a contact point for Data Subjects to contact in order to exercise their rights. Merchant shall promptly notify Connexity if and to the extent that it receives any data protection rights request concerning the Connexity Companies’ Processing of Collected Data as a Controller in order that Connexity may fulfil the request in accordance with its obligations under Applicable Data Protection Laws.
8. Attribution Partners. If the Connexity Companies, at Merchant’s request, pass all or any Collected Data to Merchant’s attribution partner or to Merchant for attribution purposes, Merchant represents and warrants that: (i) its attribution partner is a Processor on Merchant’s behalf; (ii) unless otherwise collected independently, Merchant and attribution partner will use such Collected Data solely for attribution purposes; and (iii) attribution partner and Merchant will delete all passed Collected Data within thirty (30) days of last identifying the user of a Merchant website(s) as coming from the Connexity Companies.
9. Security. Each party shall implement appropriate technical and organizational security measures to protect the Collected Data that it Processes from and against a Security Incident. These measures shall include the measures set out in Annex B.
10. Security Incidents. If any Party suffers a Security Incident in respect of Collected Data that it Processes and which is the subject of the Agreement and these Merchant Privacy Terms, that Party shall: (i) be responsible for fulfilling (at its own cost) any reporting obligations that apply to it under Applicable Data Protection Laws to data protection authorities and/or affected Data Subjects, (ii) notify the other Party without undue delay, providing such information about the Security Incident as may reasonably be requested by the other Party or as is otherwise required for the other Party to determine whether it may also have reporting obligations under Applicable Data Protection Laws in respect of the Security Incident, and (iii) take all such actions and measures, without undue delay, as are appropriate to remediate and/or mitigate the effects of the Security Incident.
11. DPIAs. Where and to the extent required by the Applicable Data Protection Laws to which each party is subject, each party shall carry out any data protection impact assessment in respect of its Processing of Collected Data for the Permitted Purposes and/or consult with applicable data protection authorities, where necessary. Each party shall provide all reasonable cooperation and information reasonably requested by the other party, where this is necessary to enable the other party to complete a data protection impact assessment and/or consult with applicable data protection authorities in accordance with that other party’s obligations under this section 11.
12. English Language Controls. If there is any conflict between the English language version of these Merchant Privacy Terms and any translated version we may provide, each party agrees that the English language version will control in all instances.
Annex A
Description of the Processing
A. LIST OF PARTIES
Each party shall be:
● a data controller (and data exporter) of Collected Data it discloses, or makes available, to the other party, and
● a data controller (and data importer) of Collected Data it receives from, or to which access is made available by, the other party.
The details of each party are provided below.
| Name: | See Merchant’s details set out in the Agreement. |
| Address: | See Merchant’s details set out in the Agreement. |
| Contact person’s name, position and contact details: | See Merchant’s details set out in the Agreement or otherwise agreed between the parties in writing. |
| Activities relevant to the data transferred under these Clauses: | The receipt of the Service, as set out in the Agreement. |
| Signature and date: | This Annex A shall be deemed executed upon Merchant’s acceptance of these Merchant Privacy Terms. |
| Role (controller/processor): | Controller (where it is a data exporter) and Controller (where it is a data importer) |
| Name: | For the Connexity Companies: See Connexity’s details set out in the introduction to the Agreement. Taboola: Taboola.com, Ltd. |
| Address: | For the Connexity Companies: See Connexity’s details set out in the introduction to the Agreement. Taboola: 2 Jabotinsky Street, 32nd Floor Ramat Gan, Israel 5250501 |
| Contact person’s name, position and contact details: | Connexity’s privacy team, dataprotection@connexity.com. |
| Activities relevant to the data transferred under these Clauses: | The provision of the Service, as set out in the Agreement. |
| Signature and date: | This Annex A shall be deemed executed upon Connexity’s acceptance of these Merchant Privacy Terms. |
| Role (controller/processor): | Controller (where it is a data exporter) and Controller (where it is a data importer) |
B. DESCRIPTION OF THE PROCESSING AND TRANSFER
| Categories of data subjects whose personal data is processed and/or transferred | Users |
| Categories of personal data processed and/or transferred | Device Data: Operating system, browser type, browser version, IP address (truncated within 30 days) of collection, zip code (derived from IP address), hashed Taboola User ID, hashed emails, initial and subsequent page visits on the Advertiser’s website, user gender (inferred by interests), engagement signals (time on site, scroll depth, session depth), conversion data, click ID. Data about digital property visited by user: The URL of the visited page, the referring website, and other information Merchant shares about how users interact with its Merchant website(s), such as page views, product views, add to cart events, purchase events, and other types of events. |
| Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures | Not applicable. |
| The frequency of the processing and/or transfers (e.g. whether the data is processed and/or transferred on a one-off or continuous basis) | Continuous for the duration of the Agreement |
| Nature of the processing | Processing of Personal Data necessary for the provision of the Service, as set out in the Agreement. |
| Purpose(s) of the data processing / transfer and further processing | The provision of the Service, as set out in the Agreement, and including the following purposes (subject to appropriate data subject permissions, where required under Applicable Data Protection Laws): ● To store and/or access information on a device; ● To select basic advertisements; ● To create a personalised ads profile; ● To select personalised advertisements; ● To create a personalised content profile; ● To select personalised content; ● To measure advertisement performance; ● To measure content performance; ● To develop and improve products; ● To ensure security, prevent fraud, and debug; ● To technically deliver ads or content; ● To match and combine offline data sources; ● To link different devices; ● To receive and use automatically-sent device characteristics for identification; and ● To use limited data to select content. |
| The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period | The parties shall retain Personal Data for as long as is necessary to provide the Service. |
| For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing | Not applicable. |
C. COMPETENT SUPERVISORY AUTHORITY
| Competent supervisory authority where the EU DGPR applies | The competent supervisory authority for each party is as described below: ● Connexity Companies: The competent supervisory authority shall be determined in accordance with Clause 13 of the EU SCCs. ● Merchant: The competent supervisory authority shall be determined in accordance with Clause 13 of the EU SCCs. |
| Competent supervisory authority where the UK GDPR applies | The Information Commissioner’s Office |
Annex B
Security Measures
Description of the technical and organizational measures implemented by each party (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.
| Measures of pseudonymisation and encryption of personal data | The Connexity Companies collect only pseudonymized data, which means we do not know who you are because we do not know or process the user’s name, email address, or other identifiable data. User Information that we collect includes, but is not limited to, Information about a User’s device and operating system, IP address, the web pages accessed by Users within our Customers’ websites, the link that led a User to a Customer’s website, the dates and times a User accesses a Customers’ website and other web browsing data. Connexity undertakes the following: User Agent and IP Address are both stored encrypted, and for visitors from regions where regulations require anonymization (e.g. where GDPR is applicable), the User Agent and IP Address are both truncated prior to encryption. Further, Taboola undertakes the following: the CookieID is anonymized using Bcrypt and IP address is truncated. |
| Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services | Connexity uses multiple levels of electronic security (ex: endpoint security, server-side security, detections tracking, periodic penetration tests, and deep intelligence gathering to review post-mortem events). |
| Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident | Connexity implements the following: ● Availability of Personal Data is ensured by Connexity’s utilization of database replication architectures for redundancy and automatic data backups to multiple regions. ● Systems that track user events are also redundant in multiple regions that support failover so that even a complete outage in one region will not render services unavailable. Taboola maintains 9 data centers operating around the world. Every data center is used as a replication of one another so if one falls down the data can be extracted from other data center. |
| Processes for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures in order to ensure the security of the processing | To monitor appropriate data protection and enforce confidentiality obligations and procedures Connexity has implemented the following protocols: ● Training and sensitization of employees with respect to data protection, information security, confidentiality obligations, and compliance. ● Regular auditing of data processing procedures. ● Integrated notification and processing protocols are in place for data protection violations and the protection of the rights of those affected. Taboola maintains strict processes for testing the effectives of its controls (both technical and organizational). We have system logging and monitoring in place, monthly (at least) DR testing, quarterly penetration tests, Firewalls protecting the web and honeypots spread across the network to find any malicious activity. Moreover, we have bounty program in place which helps us to constantly monitor our network. |
| Measures for user identification and authorisation | Every user in the Connexity Companies is associated with a dedicated username and password. Every access to the Connexity Companies’ internal network is done with 2FA. Users are created only by the IT department, during the onboarding process and only after receiving all details and signed contract from the HR department. |
| Measures for the protection of data during transmission | Connexity implements the following: ● Any data transmission of personal data is conducted through secure transmission protocols (HTTPS and TLS v1.2 at the minimum). Furthermore, systems which might contain personal data are secured and data is kept hashed and anonymized. ● The transfer of Personal Data to a third party (e.g. customers, sub-contractors, service provider) is only made if a corresponding contract exists, and only for a specific purpose. Connexity provides that an adequate level of data protection exists at the target location or organization in accordance with the EU’s data protection requirements. Taboola supports any data transmission through secure transmission protocols (HTTPS and TLS v1.2 at the minimum). Identifiable data might be CookieID or IP address collected from the user. IP address is truncated and the CookieID is hashed using Bcrypt. |
| Measures for the protection of data during storage | Access rights to Connexity’s network and system are issued via a regulated review and authorization process and granted according to a “need to know basis” protocol. Taboola ensures that data that is stored within our databases is anonymized and hashed using Bcrypt. Access to the DB is minimized and based according to the ‘business need to know’ principle. |
| Measures for ensuring physical security of locations at which personal data are processed | Connexity implements the following: ● Physical security controls in Connexity’s offices, where the processing of Personal Data may take place or data processing systems may be housed, include protection of the premises and its perimeters using various access control measures, including but not limited to: magnetic key-card access to offices and parking facilities for employees, supervised entry to offices during business hours, 24/7/365 on-site security staff and security camera systems. ● Outside of regular business hours elevators to the 4th floor where Connexity’s offices are located are disabled and are not operable without the use of an active magnetic key-card issued to an authorized employee or staff member of the office building. ● Rooms containing data processing systems (servers, network distributors, etc.) are locked and only accessible to authorized employees of the IT Administration or Infrastructure departments. ● Scheduled visitors and vendors from outside the company must sign a guest roster upon arrival at the front desk and state the reason for their visit. Visitors may be on the business premises only when escorted and/or supervised by building security or an employee of Connexity at all times. Each of Taboola’s global data centres (in US, Europe, and Asia), has all its servers located in locked cabinets that are maintained exclusively for Taboola’s use. These cabinets are maintained by companies that are either SOC2-certified or Taboola has reviewed their security measures. Further, any access to the servers requires written, logged permission. All Taboola offices are also controlled, and require employees to use access cards to enter. Furthermore, only a limited number of employees have access to Taboola’s servers and any access also requires written, logged permission. |
| Measures for ensuring events logging | Connexity’s company network access is automatically monitored and logged, including any unsuccessful login attempts. Network access is automatically blocked by the system after 5 failed attempts and may only be reinstated by an authorized IT Administration employee. Taboola implements monitoring tools and logs are gathered to our SIEM system which alerts us on any suspicious event and also being monitored by NOC team. |
| Measures for ensuring system configuration, including default configuration | Connexity implements the following: ● Connexity uses automated configuration management systems to keep all server configurations up to date and running on a standard configuration. The configurations are under change control and must be reviewed prior to deployment. ● Application configurations are likewise under change control and must be reviewed prior to deployment. ● Application changes go through a formal change management and software development lifecycle process, including code review, QA and standardized CI/CD processes. Taboola Servers are scanned for both configuration drift and patch level. Reporting and/or alerting are set on both and relevant patch level is confirmed. New patches are distributed using Puppet. All technical reviews are managed through the R&D application and obtained through a formal process of review (QA) after coding and CI/CD processes are implemented as well. |
| Measures for internal IT and IT security governance and management | Connexity adheres to the security policies defined by its parent company. Taboola is ISO 27001:2013 and 27701 certified. Taboola have an Information Security Policy in place which states that the Board of Directors and management of Taboola are committed to preserving the confidentiality, integrity and availability of all the physical and electronic information assets throughout their organisation. Taboola holds security trainings for all new employees, phishing trainings for all employees globally, and regular security trainings for all employees and also dedicate sessions for R&D groups. |
| Measures for certification/assurance of processes and products | As a subsidiary of a public company, Connexity goes through rigorous SOX audit review on an annual basis. Taboola undergoes Quarterly / Semi-annual / yearly internal audit on multiple processes and systems to validate that Taboola is complying with its security goals and measures defined. |
| Measures for ensuring data minimisation | The Connexity Companies intentionally limit the data that it collects as part of Taboola’s global data minimization principles of processing only the limited data needed for our specific business purposes. Furthermore, the Connexity Companies do not have the ability, nor any business need, to “reverse engineer” any of the data points used in our processing in order to provide our services. More specifically, the data points that the Connexity Companies collect are never indicative of a user’s identity — as the Connexity Companies do not collect or process information such as user’s name, phone number, email, or physical addresses. Instead, the Connexity Companies collect only pseudonymous identifiers, which merely identify characteristics about a user’s device. This includes IP addresses (which are truncated upon collection and can only identify the device’s general zip code location, but never a precise geolocation). Moreover, even when used collectively, the data that we collect can never produce an individual’s name, phone number, email, or physical address, and our engineers do not work in any way to accomplish this goal. Additionally, the Connexity Companies make and record privacy impact assessments in an effort to minimize the privacy risks of our services, processes, and policies. |
| Measures for ensuring data quality | Connexity collects data directly from user events and conducts multiple levels of input validation to ensure that only valid data is stored. We also run automated processes to analyze patterns in event data after the fact so that we can distinguish between events that are the results of automated actors vs. individual human users. For Taboola, the data is collected directly from the user and the user is given the opportunity to correct any data associated with their CookieID via the Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access |
| Measures for ensuring limited data retention | Connexity: Document management practices are observed within all departments of the Company in accordance with Connexity’s Document Retention and Disposal Policy. Taboola retains User Information, which is directly collected for purposes of serving ads, for at most thirteen (13) months from the User’s last interaction with our Services (often for a shorter period of time), after which time we de-identify the data by removing unique identifiers or aggregating the data. This process is done automatically. |
| Measures for ensuring accountability | The Connexity Companies do multiple security audits and penetration testing (but not for all systems). Taboola also uses cloud providers that are ISO-certified and that comply with other cloud-relevant certifications for maintaining a server’s physical safeguards. |
| Measures for allowing data portability and ensuring erasure | Connexity maintains a Data Protection Policy and Document Retention and Disposal Policy. Connexity also maintains formal subject access request procedures whereby data subjects may exercise their rights to access and port any data Connexity holds related to them and the right to erase or delete such data. Taboola takes measures to ensure that media disposal procedures are the same for all kinds of media as they might contain personal data. Any media must be fully wiped before being reused or disposed. Any media disposal is documented and managed by a third party company expert for those processes. Employees are instructed to not print any paper which might contain personal information and to not store any personal information locally on the computer. |
Annex C
Restricted Transfers
1. To the extent that a party makes a Restricted Transfer of Collected Data to the other party, the Standard Contractual Clauses shall be incorporated into these Merchant Privacy Terms and apply as follows:
(a) where the Restricted Transfer is an EU Restricted Transfer, the EU SCCs will apply between the parties as follows:
(i) Module One will apply;
(ii) in Clause 7, the optional docking Clause will apply;
(iii) in Clause 11, the optional language will not apply;
(iv) in Clause 17, Option 1 will apply, and the EU SCCs will be governed by Irish law;
(v) in Clause 18(b), disputes shall be resolved before the courts of Ireland;
(vi) Parts A, B and C of Annex I shall be deemed completed with the information set out in Parts A, B and C of Annex A to these Merchant Privacy Terms; and
(vii) Annex II shall be deemed completed with the security measures set out in Annex B to these Merchant Privacy Terms;
(b) where the Restricted Transfer is a UK Restricted Transfer, the UK Addendum will apply between the parties as follows:
(i) the EU SCCs, completed as set out above shall apply between the parties, and shall be modified by the UK Addendum (completed as set out in sub-clause (ii) below); and
(ii) tables 1 to 3 of the UK Addendum shall be deemed completed with relevant information from the EU SCCs, completed as set out above, and the options “Exporter” and “Importer” shall be deemed checked in table 4. The start date of the UK Addendum (as set out in table 1) shall be the Effective Date of these Merchant Privacy Terms.
2. Onward Restricted Transfers: Neither party will not make an onward Restricted Transfer of Collected Data that they receive from the other party unless it has done all such acts and things as are necessary to ensure that the such onward Restricted Transfer is compliant with Applicable Data Protection Laws and any Standard Contractual Clauses it has agreed with the other party.
