شروط خصوصية المعلنين

شروط خصوصية المعلنين في تابولا

تاريخ السريان: 14 أغسطس 2023

تنطبق شروط خصوصية المعلنين في تابولا (“شروط خصوصية المعلنين“) على خدمات الإعلان الرقمي الخاصة بتابولا، مثل عندما تقوم تابولا بتوزيع محتوى المعلن عبر منصتها التوزيعية، تحسين الإبداع الديناميكي من تابولا (DCO) أو صفحة الهبوط GenAI وفقًا لاتفاق بين تابولا ومعلن (“الاتفاق“)، وتعتبر شروط خصوصية المعلنين هذه جزءًا لا يتجزأ من أي اتفاق من هذا القبيل.  تحدد شروط خصوصية المعلنين هذه أدوار ومسؤوليات تابولا والمعلن فيما يتعلق بالبيانات الشخصية.

1. ترتيب الأولويات.

إذا كان هناك تعارض بين شروط خصوصية المعلن والاتفاقية، فإن شروط خصوصية المعلن ستسود بقدر ذلك التعارض ما لم يُشير النص المتعارض في الاتفاقية صراحةً إلى النص المتعارض في شروط خصوصية المعلن ويحدد أنه يتفوق على ذلك النص المتعارض.

2. التعريفات.

يجب أن تحمل المصطلحات المعرفة في هذا القسم المعاني الموضحة أدناه، ويجب تفسير المصطلحات ذات الصلة وفقًا لذلك. يجب أن تحمل المصطلحات المكتوبة بحروف كبيرة والتي تم استخدامها ولكن لم يتم تعريفها في شروط خصوصية المعلن المعاني المحددة في الاتفاقية.

3. 3. 1. “القوانين المعمول بها لحماية البيانات” تعني أي وجميع القوانين الفيدرالية أو الوطنية أو الحكومية أو غيرها من قوانين الخصوصية وحماية البيانات التي تنطبق على المعالجة التي هي موضوع الاتفاقية وهذه الشروط الخاصة بالمعلن، كما قد يتم تعديلها أو استبدالها من وقت لآخر.
      2. “البيانات المجمعة” تعني البيانات الشخصية التي تجمعها كل طرف من موضوعات البيانات على أو من خلال خوادمهم أو شبكاتهم (بما في ذلك جميع البيانات المجمعة بشكل غير نشط أو القابلة للقراءة آليًا، مثل البيانات المستندة إلى نوع المتصفح ومعرفات الأجهزة) فيما يتعلق بتقديم أو استلام الخدمات.
      3. “التحكم” يعني: (i) كيان يحدد أغراض ووسائل معالجة البيانات الشخصية، و (ii) أي شخص يقع ضمن نطاق مصطلح “التحكم” (أو أي مصطلح مشابه بشكل كبير) كما هو معرف بموجب قوانين حماية البيانات المعمول بها.
      4. “قانون خصوصية كاليفورنيا” يعني قانون خصوصية المستهلك في كاليفورنيا لعام 2018، كال. قانون مدني § 1798.100 وما يليها. (“CCPA“)، كما تم تعديله (بما في ذلك من خلال قانون حقوق خصوصية كاليفورنيا)، وأي تشريعات فرعية ولوائح تنفيذية.
      5. “موضوع البيانات” يعني: (i) شخص طبيعي محدد أو يمكن تحديده (ولأغراض هذه، فإن الشخص الطبيعي القابل للتحديد هو الذي يمكن التعرف عليه، بشكل مباشر أو غير مباشر، على وجه الخصوص بالإشارة إلى معرف مثل الاسم، رقم التعريف، بيانات الموقع، معرف عبر الإنترنت أو إلى واحد أو أكثر من العوامل المحددة للهوية الجسدية أو الفسيولوجية أو الجينية أو العقلية أو الاقتصادية أو الثقافية أو الاجتماعية لذلك الشخص الطبيعي)، و (ii) أي شخص يقع ضمن نطاق مصطلح “موضوع البيانات”، “المستهلك” (أو أي مصطلح مشابه بشكل كبير) كما هو معرف بموجب قوانين حماية البيانات.
      6. “قانون حماية البيانات في الاتحاد الأوروبي” يعني: (i) اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (اللائحة 2016/679) (“EU GDPR“); (ii) توجيه الخصوصية الإلكترونية في الاتحاد الأوروبي (توجيه 2002/58/EC)؛ و (iii) أي قوانين وطنية لحماية البيانات تم وضعها بموجب أو وفقًا لـ (i) أو (ii)، كل منها قد يتم تعديله أو استبداله من وقت لآخر.
      7. “الأغراض المسموح بها” لها المعنى المعطى في القسم 3.
      8. “البيانات الشخصية” تعني أي معلومات تتعلق بموضوع البيانات (بما في ذلك، حيث يتطلب ذلك بموجب قانون حماية البيانات المعمول به، معرفات المتصفح أو الجهاز الفريدة)، كما هو موضح في الملحق أ، الجزء ب.
      9. “المعالجة” تعني أي عملية أو مجموعة من العمليات التي يتم تنفيذها على البيانات الشخصية أو على مجموعات من البيانات الشخصية، سواء كانت بواسطة وسائل آلية أم لا، مثل الجمع، الاستلام، التسجيل، التنظيم، الهيكلة، الاستخدام، النقل، الوصول، المشاركة، الكشف، النقل، التخزين، التكيف أو التعديل، الاسترجاع، الاستشارة، النشر أو جعلها متاحة بطريقة أخرى، المحاذاة أو الدمج، التجميع، الاستنتاج، الاشتقاق، التحليل، التقييد، الحذف، التدمير أو التخلص أو أي معالجة أخرى للبيانات الشخصية، بما في ذلك كيفية تعريف هذا المصطلح بموجب قانون حماية البيانات المعمول به.
      10. “المعالج” يعني: (i) كيان يقوم بمعالجة البيانات الشخصية نيابة عن المتحكم، و (ii) أي شخص يقع ضمن نطاق مصطلح “المعالج” (أو أي مصطلح مشابه بشكل كبير) كما هو معرف بموجب قوانين حماية البيانات المعمول بها.
      11. “النقل المقيد” يعني: (i) EU GDPR، نقل البيانات الشخصية من المنطقة الاقتصادية الأوروبية إلى دولة خارج المنطقة الاقتصادية الأوروبية التي لا تخضع لتحديد كفاية من قبل المفوضية الأوروبية (“نقل مقيد من الاتحاد الأوروبي“)؛ و (ii) UK GDPR، نقل البيانات الشخصية من المملكة المتحدة إلى أي دولة أخرى لا تخضع أو تستند إلى لوائح الكفاية بموجب القسم 17A من قانون حماية البيانات في المملكة المتحدة لعام 2018 (“نقل مقيد من المملكة المتحدة“).
      12. “البيع” و “بيع” تعني تبادل البيانات الشخصية مقابل تعويض مالي أو قيمة أخرى، وتشمل كيفية تعريف هذه المصطلحات بموجب قانون حماية البيانات المعمول به.
      13. “الخدمات تعني الخدمات المقدمة من تابولا بموجب الاتفاق مع المعلن.
      14. “حادثة أمنية” تعني خرقًا للأمن يؤدي إلى التدمير العرضي أو غير القانوني، الفقدان، التغيير، الكشف غير المصرح به، أو الوصول إلى البيانات الشخصية.
      15. “Standard Contractual Clauses” تعني: (i) حيث تنطبق اللائحة العامة لحماية البيانات في الاتحاد الأوروبي، البنود التعاقدية الملحقة بقرار تنفيذ المفوضية الأوروبية 2021/914 بتاريخ 4 يونيو 2021 بشأن Standard Contractual Clauses لنقل البيانات الشخصية إلى دول ثالثة بموجب اللائحة (الاتحاد الأوروبي) 2016/679 من البرلمان الأوروبي والمجلس (“EU SCCs“)؛ و (ii) UK GDPR، “الملحق الدولي لنقل البيانات إلى Standard Contractual Clauses للمفوضية الأوروبية” الصادر عن مفوض المعلومات بموجب المادة 119A(1) من قانون حماية البيانات لعام 2018 (“UK Addendum“).
      16. “طرف ثالث” يعني عملًا يعمل كمتحكم فيما يتعلق بالبيانات الشخصية، وليس العمل الذي تفاعل معه عمداً موضوع البيانات الذي تمت معالجة بياناته؛ المصطلح يشمل كيفية تعريف هذا المصطلح بموجب قانون حماية البيانات المعمول به.
      17. “قانون حماية البيانات في المملكة المتحدة” يعني: (i) قانون حماية البيانات في المملكة المتحدة لعام 2018، (ii) اللائحة العامة لحماية البيانات في المملكة المتحدة (كما هو معرف في المادة 3(10) من قانون حماية البيانات في المملكة المتحدة لعام 2018) (“UK GDPR“)، (iii) لوائح الخصوصية والاتصالات الإلكترونية في المملكة المتحدة (توجيه EC) لعام 2003)، و (iv) أي قوانين أخرى في المملكة المتحدة تم وضعها بموجب أو وفقًا لـ (i)، (ii) أو (iii)، كل منها قد يتم تعديله أو استبداله من وقت لآخر.

3. تحديد الغرض.

يجب على كل طرف معالجة البيانات المجمعة التي يجمعها أو يتلقاها من الطرف الآخر للأغراض المحددة في الملحق أ، الجزء ب (“الأغراض المسموح بها“).  يوافق المعلن على أن تابولا ستعالج البيانات المجمعة كما هو مسموح به بموجب سياسة خصوصية تابولا (والتي، لتجنب الشك، ستكون أيضًا غرضًا مسموحًا به لتابولا).

4. علاقة الأطراف.

بقدر ما تؤهل البيانات المجمعة كبيانات شخصية بموجب قوانين حماية البيانات المعمول بها، يجب على كل طرف معالجة البيانات المجمعة التي يجمعها أو يتلقاها من الطرف الآخر كجهة تحكم (والتي قد تشمل، حيثما ينطبق قانون الخصوصية في كاليفورنيا، كطرف ثالث، حيثما ينطبق).  الإفصاحات (سواء كانت نقلًا، أو عبر طرف يجعل البيانات متاحة للطرف الآخر) للبيانات المجمعة أو البيانات الشخصية من طرف إلى آخر هي إفصاحات لأطراف ثالثة.

1. 1. 1. إذا كان قانون حماية البيانات في الولايات المتحدة أو الولايات الأمريكية ينطبق على البيانات المجمعة، بما في ذلك على سبيل المثال لا الحصر قانون الخصوصية في كاليفورنيا، بقدر ما تستخدم Realize Pixels (المعروفة سابقًا باسم “Taboola Pixels”) فيما يتعلق بالخدمات لمعالجة البيانات الشخصية حول الزائر، تعمل Taboola كطرف ثالث للمعلن لهذه البيانات الشخصية. يجب على Taboola معالجة هذه البيانات الشخصية للأغراض المسموح بها. تكون هذه البيانات الشخصية متاحة فقط لـ Taboola للأغراض المسموح بها.  ستوفر Taboola نفس مستوى حماية الخصوصية كما هو مطلوب من الشركات بموجب قوانين حماية البيانات الأمريكية المعمول بها، بما في ذلك إذا كان ذلك ينطبق، قوانين الخصوصية في كاليفورنيا. ستقوم Taboola بإبلاغ المعلن في الفترة الزمنية المطلوبة بموجب قانون حماية البيانات المعمول به إذا قررت Taboola أنها لم تعد قادرة على الوفاء بالتزاماتها بموجب قوانين حماية البيانات المعمول بها. عند تقديم إشعار إلى Taboola، يحق للمعلن اتخاذ خطوات معقولة ومناسبة لوقف وإصلاح الاستخدام غير المصرح به للبيانات الشخصية التي يجعلها متاحة لـ Taboola.

5. تطبيق قانون حماية البيانات.

يعترف الطرفان بأن بعض أو كل البيانات المجمعة قد تؤهل كبيانات شخصية وبالتالي قد تنطبق قوانين حماية البيانات المعمول بها على معالجة كل طرف للبيانات المجمعة.  عندما يكون هذا هو الحال، ووفقًا للقسم 7، يجب أن يكون كل طرف مسؤولًا بشكل فردي عن امتثاله لقوانين حماية البيانات المعمول بها، بما في ذلك أي متطلبات قابلة للتطبيق: (1) توفير الشفافية للموضوعات البيانات، (2) الحصول على موافقة أو أساس قانوني آخر للمعالجة، و(3) توفير نقطة اتصال يمكن من خلالها للموضوعات البيانات ممارسة حقوق حماية البيانات الخاصة بهم.

6. التحويلات الدولية.

في حال قام أي طرف بإجراء تحويل مقيد للبيانات المجمعة إلى الطرف الآخر، ستنطبق أحكام الملحق C.

7. الشفافية للزوار على صفحة هبوط المعلن.

أ. تستخدم Taboola Realize Pixels لتقديم الخدمات.  على الرغم من القسم 5، بقدر ما تجمع Taboola البيانات المجمعة من ممتلكات المعلن الرقمية (مثل المواقع الإلكترونية، التطبيقات المحمولة أو غيرها) باستخدام Realize Pixels، يجب على المعلن: (1) تقديم جميع إشعارات الشفافية المطلوبة للموضوعات البيانات حول استخدام Taboola لـ Realize Pixels لجمع البيانات المجمعة من ممتلكات المعلن الرقمية للأغراض المسموح بها، و(2) الحصول على (وعند الطلب في أي وقت من قبل Taboola، تقديم دليل مناسب) موافقة موضوع البيانات على هذا الاستخدام لـ Realize Pixels للأغراض المسموح بها، في كل حالة وفقًا لمتطلبات قوانين حماية البيانات المعمول بها.  تشمل التزامات المعلن في هذا الصدد تحديد Taboola واستخدامها لـ Realize Pixels للأغراض المسموح بها بشكل صريح ضمن إشعارات الشفافية ومحفزات الموافقة التي يقدمها المعلن للموضوعات البيانات، بالإضافة إلى أي معلومات أخرى مطلوبة بموجب قوانين حماية البيانات المعمول بها، بحيث يمكن لـ Taboola تقديم خدماتها بشكل قانوني من خلال هذه الممتلكات الرقمية ومعالجة البيانات المجمعة والبيانات الشخصية للأغراض المسموح بها. بقدر ما يتلقى المعلن خدمة صفحة الهبوط الذكية من Taboola، يجب على Taboola تقديم إشعار شفاف والحصول على موافقة المستخدم.

ب. بناءً على طلب كتابي، ستقوم تابولا بتزويد المعلن بالمعلومات اللازمة حول بكسلات Realize ومعالجة تابولا للبيانات المجمعة من خلال ممتلكات المعلن الرقمية لتمكين المعلن من التأكد من أن آليات الإشعار والموافقة الخاصة به ستتوافق مع قوانين حماية البيانات المعمول بها.  لا يجوز للمعلن إلغاء أي بكسلات Realize ما لم يتم تقديم الشفافية اللازمة والحصول على أي موافقات ضرورية مطلوبة بموجب قوانين حماية البيانات المعمول بها.

ج. يجب على المعلن أن يقدم لموضوعات البيانات معلومات حول كيفية ممارسة حقوقهم في حماية البيانات بموجب قوانين حماية البيانات المعمول بها، وتوفير نقطة اتصال لموضوعات البيانات للتواصل من أجل ممارسة حقوقهم. يجب على المعلن أن يخطر تابولا على الفور إذا تلقى أي طلب يتعلق بحقوق حماية البيانات بشأن معالجة تابولا للبيانات المجمعة كجهة تحكم، حتى تتمكن تابولا من الوفاء بالطلب وفقًا لالتزاماتها بموجب قوانين حماية البيانات المعمول بها.

8. شركاء النسبة.

إذا قامت تابولا، بناءً على طلب المعلن، بتمرير البيانات الشخصية إلى شريك النسبة الخاص بالمعلن أو إلى المعلن لأغراض النسبة، فإن المعلن يمثل ويضمن أن: (ط) شريك النسبة الخاص به هو معالج نيابة عن المعلن؛ (2) ما لم يتم جمعها بشكل مستقل، سيستخدم المعلن وشريك النسبة هذه البيانات الشخصية فقط لأغراض النسبة؛ و (3) سيقوم شريك النسبة والمعلن بحذف جميع البيانات الشخصية المرسلة خلال ثلاثين (30) يومًا من آخر تحديد للزائر على أنه قادم من تابولا.

9. الأمان.

يجب على كل طرف تنفيذ تدابير أمان تقنية وتنظيمية مناسبة لحماية البيانات المجمعة و/أو البيانات الشخصية التي يعالجها من أي حادث أمني.  يجب أن تشمل هذه التدابير التدابير الموضحة في الملحق ب.

10. الحوادث الأمنية.

إذا تعرض أي من الطرفين لحادث أمني يتعلق بالبيانات المجمعة و/أو البيانات الشخصية التي يعالجها والتي هي موضوع الاتفاق وهذه الشروط المتعلقة بخصوصية المعلن، يجب على ذلك الطرف: (ط) أن يكون مسؤولاً عن الوفاء (على نفقته الخاصة) بأي التزامات تقرير تنطبق عليه بموجب قوانين حماية البيانات المعمول بها إلى السلطات المعنية بحماية البيانات و/أو موضوعات البيانات المتأثرة، (2) إخطار الطرف الآخر دون تأخير غير مبرر، مع تقديم المعلومات المتعلقة بالحادث الأمني التي قد تطلبها الطرف الآخر بشكل معقول أو كما هو مطلوب بخلاف ذلك للطرف الآخر لتحديد ما إذا كان قد يكون لديه أيضًا التزامات تقرير بموجب قوانين حماية البيانات المعمول بها فيما يتعلق بالحادث الأمني، و (3) اتخاذ جميع الإجراءات والتدابير المناسبة، دون تأخير غير مبرر، لمعالجة و/أو التخفيف من آثار الحادث الأمني.

11. تقييمات تأثير حماية البيانات. 

حيثما كان ذلك مطلوبًا بموجب قوانين حماية البيانات المعمول بها التي يخضع لها كل طرف، يجب على كل طرف إجراء أي تقييم لتأثير حماية البيانات فيما يتعلق بمعالجة البيانات المجمعة و/أو البيانات الشخصية للأغراض المسموح بها و/أو التشاور مع السلطات المعنية بحماية البيانات، عند الضرورة.  يجب على كل طرف تقديم كل التعاون والمعلومات المعقولة التي يطلبها الطرف الآخر، حيثما كان ذلك ضروريًا لتمكين الطرف الآخر من إكمال تقييم تأثير حماية البيانات و/أو التشاور مع السلطات المعنية بحماية البيانات وفقًا لالتزامات ذلك الطرف الآخر بموجب هذا القسم 11.

 

الملحق أ

وصف المعالجة

أ. قائمة الأطراف

يجب أن يكون كل طرف:

3. 3. • مراقب بيانات (ومصدر بيانات) للبيانات المجمعة التي يكشف عنها، أو يجعلها متاحة، للطرف الآخر، و
      • مراقب بيانات (والمستورد للبيانات) للبيانات المجمعة التي يتلقاها من، أو يتم إتاحة الوصول إليها بواسطة، الطرف الآخر.

تفاصيل كل طرف موضحة أدناه.

الاسم: انظر تفاصيل المعلن الموضحة في الاتفاق.

العنوان: انظر تفاصيل المعلن الموضحة في الاتفاق.

اسم الشخص المسؤول، المنصب وبيانات الاتصال: انظر تفاصيل المعلن الموضحة في الاتفاق أو ما تم الاتفاق عليه بين الأطراف كتابةً.

الأنشطة ذات الصلة بالبيانات المنقولة بموجب هذه البنود: استلام الخدمات، كما هو موضح في الاتفاقية.

التوقيع والتاريخ: سيتم اعتبار هذا الملحق أ تم تنفيذه عند قبول المعلن لهذه الشروط المتعلقة بخصوصية المعلن.

الدور (التحكم/المعالجة): التحكم (حيث يكون مصدر البيانات) والتحكم (حيث يكون مستورد البيانات)

 

الاسم: انظر تفاصيل تابولا الموضحة في مقدمة الاتفاقية.

العنوان: انظر تفاصيل تابولا الموضحة في مقدمة الاتفاقية.

اسم الشخص المسؤول، المنصب وبيانات الاتصال: فريق الخصوصية في تابولا، privacy@taboola.com.

الأنشطة ذات الصلة بالبيانات المنقولة بموجب هذه البنود: تقديم الخدمات، كما هو موضح في الاتفاقية.

التوقيع والتاريخ: سيتم اعتبار هذا الملحق أ تم تنفيذه عند قبول تابولا لهذه الشروط المتعلقة بخصوصية المعلن.

الدور (التحكم/المعالجة): التحكم (حيث يكون مصدر البيانات) والتحكم (حيث يكون مستورد البيانات)

 

B. وصف المعالجة والنقل

فئات الأشخاص المعنيين الذين تتم معالجة بياناتهم الشخصية و/أو نقلها: المستخدمون

فئات البيانات الشخصية المعالجة و/أو المنقولة:

بيانات الجهاز: نظام التشغيل، نوع المتصفح، إصدار المتصفح، عنوان IP (مقصور على 30 يومًا) من الجمع، الرمز البريدي (المستمد من عنوان IP)، معرف مستخدم Taboola مشفر، رسائل بريد إلكتروني مشفرة، الزيارات الأولية واللاحقة للصفحات على موقع المعلن، جنس المستخدم (مستنتج من الاهتمامات)، إشارات التفاعل (الوقت على الموقع، عمق التمرير، عمق الجلسة)، بيانات التحويل.

بيانات عن الملكية الرقمية التي زارها المستخدم: رابط الصفحة التي تمت زيارتها، الموقع المرجعي

• بالقدر الذي تكون فيه DCO جزءًا من الخدمات، تقوم Taboola أيضًا بمعالجة البيانات التالية:

بيانات الجهاز: معرف ملف تعريف الارتباط Taboola أو معرف الجهاز، حسب المنصة)، عنوان IP المقنع، معرف نقرة Taboola، سلسلة وكيل المستخدم، الدولة، نوع المستخدم، بما في ذلك معلومات المستخدم الجديد/العائد (إذا تم مشاركتها من قبل المعلن)، معلومات المنتج (مرتبطة بعنوان URL المحدد)، بما في ذلك السعر والتوافر من صفحات العناصر

بيانات الحدث: العملة، معرفات المنتجات، معرف الطلب، معرف الفئة، الفئة، مصطلح البحث، تفاصيل السلة، القيمة، ومعرفات الحملات.

البيانات الحساسة المنقولة (إذا كان ذلك ممكنًا) والقيود أو التدابير الوقائية المطبقة التي تأخذ بعين الاعتبار تمامًا طبيعة البيانات والمخاطر المعنية، مثل على سبيل المثال تحديد الغرض الصارم، قيود الوصول (بما في ذلك الوصول فقط للموظفين الذين خضعوا لتدريب متخصص)، الاحتفاظ بسجل للوصول إلى البيانات، قيود على النقل اللاحق أو تدابير أمنية إضافية: غير قابل للتطبيق.

تكرار المعالجة و/أو النقل (على سبيل المثال، ما إذا كانت البيانات تتم معالجتها و/أو نقلها على أساس لمرة واحدة أو بشكل مستمر): مستمر طوال مدة الاتفاقية.

طبيعة المعالجة: معالجة البيانات الشخصية اللازمة لتقديم الخدمات، كما هو موضح في الاتفاقية.

الغرض (الأغراض) من معالجة البيانات / النقل والمعالجة الإضافية: تقديم الخدمات، كما هو موضح في الاتفاقية. لتجنب الشك، تشمل الأغراض المسموح بها: (i) تخزين و/أو الوصول إلى المعلومات على جهاز؛ (ii) اختيار الإعلانات الأساسية؛ (iii) إنشاء ملف تعريف إعلانات مخصص؛ (iv) اختيار إعلانات مخصصة؛ (v) إنشاء ملف تعريف محتوى مخصص؛ (vi) اختيار محتوى مخصص؛ (vii) قياس أداء الإعلان؛ (viii) قياس أداء المحتوى؛ (ix) تطوير وتحسين المنتجات؛ (x) ضمان الأمان، ومنع الاحتيال، وتصحيح الأخطاء؛ (xi) توصيل الإعلانات أو المحتوى تقنيًا؛ (xii) مطابقة ودمج مصادر البيانات غير المتصلة؛ (xiii) ربط أجهزة مختلفة؛ (xiv) تلقي واستخدام خصائص الجهاز المرسلة تلقائيًا للتعرف؛ (xv) استخدام بيانات محدودة لاختيار المحتوى، و(xvi) فهم الجماهير من خلال الإحصائيات.

الفترة التي ستحتفظ فيها البيانات الشخصية، أو، إذا لم يكن ذلك ممكنًا، المعايير المستخدمة لتحديد تلك الفترة:

3. 3. • تابولا: يتم تخزين البيانات الخام لمدة لا تزيد عن 13 شهرًا.
      • المعلن: طالما كان ذلك ضروريًا لتلقي الخدمات أو كما هو محدد بخلاف ذلك في الاتفاقية.

للنقل إلى (المعالجين الفرعيين)، حدد أيضًا الموضوع، الطبيعة ومدة المعالجة: غير قابل للتطبيق.

 

C. السلطة الإشرافية المختصة

السلطة الإشرافية المختصة حيث ينطبق EU GDPR: السلطة الإشرافية المختصة لكل طرف موصوفة أدناه:

3. 3. • تابولا: يتم تحديد السلطة الإشرافية المختصة وفقًا للبند 13 من EU SCCs.
      • المعلن: يتم تحديد السلطة الإشرافية المختصة وفقًا للبند 13 من EU SCCs.

السلطة الإشرافية المختصة حيث ينطبق UK GDPR: مكتب مفوض المعلومات

 

الملحق ب

تدابير الأمان

وصف التدابير الفنية والتنظيمية التي نفذها كل طرف (بما في ذلك أي شهادات ذات صلة) لضمان مستوى مناسب من الأمان، مع الأخذ في الاعتبار طبيعة ونطاق وسياق وغرض المعالجة، والمخاطر على حقوق وحريات الأشخاص الطبيعيين.

تدابير إخفاء الهوية وتشفير البيانات الشخصية: تجمع تابولا بيانات مجهولة الهوية فقط، مما يعني أننا لا نعرف من أنت لأننا لا نعرف أو نعالج اسم المستخدم أو عنوان البريد الإلكتروني أو أي بيانات تعريف أخرى. معلومات المستخدم التي نجمعها تشمل، ولكن لا تقتصر على، معلومات حول جهاز المستخدم ونظام التشغيل، عنوان IP، صفحات الويب التي تم الوصول إليها من قبل المستخدمين ضمن مواقع عملائنا، الرابط الذي قاد المستخدم إلى موقع العميل، التواريخ والأوقات التي يصل فيها المستخدم إلى موقع العميل وبيانات تصفح الويب الأخرى. يتم إخفاء هوية CookieID باستخدام Bcrypt ويتم تقصير عنوان IP.

تدابير لضمان السرية المستمرة والنزاهة والتوافر والقدرة على التحمل لأنظمة المعالجة والخدمات: تستخدم تابولا مستويات متعددة من الأمان الإلكتروني (مثل: أمان النقاط النهائية، أمان جانب الخادم، تتبع الاكتشافات، اختبارات الاختراق الدورية، وجمع المعلومات العميقة لمراجعة الأحداث بعد الوفاة).

تدابير لضمان القدرة على استعادة التوافر والوصول إلى البيانات الشخصية في الوقت المناسب في حالة حدوث حادث مادي أو تقني: تحافظ تابولا على 9 مراكز بيانات تعمل حول العالم. يتم استخدام كل مركز بيانات كنسخة من الآخر، لذا إذا تعطل أحدها يمكن استخراج البيانات من مركز بيانات آخر.

عمليات لاختبار وتقييم وتقييم فعالية التدابير الفنية والتنظيمية بانتظام لضمان أمان المعالجة: تحافظ Taboola على عمليات صارمة لاختبار فعالية ضوابطها (سواء كانت تقنية أو تنظيمية). لدينا نظام تسجيل ومراقبة في مكانه، واختبار DR شهري (على الأقل)، واختبارات اختراق ربع سنوية، وجدران نارية تحمي الويب والفخاخ المنتشرة عبر الشبكة للعثور على أي نشاط ضار. علاوة على ذلك، لدينا برنامج مكافآت يساعدنا على مراقبة شبكتنا باستمرار.

تدابير تحديد هوية المستخدم والتفويض: كل مستخدم في تابولا مرتبط باسم مستخدم وكلمة مرور مخصصة. يتم الوصول إلى الشبكة الداخلية لتابولا باستخدام 2FA باستخدام مصادقة جوجل. يتم إنشاء المستخدمين فقط من قبل قسم تكنولوجيا المعلومات، خلال عملية الانضمام وفقط بعد استلام جميع التفاصيل والعقد الموقع من قسم الموارد البشرية.

تدابير حماية البيانات أثناء النقل: تدعم تابولا أي نقل بيانات من خلال بروتوكولات نقل آمنة (HTTPS و TLS v1.2 على الأقل). علاوة على ذلك، الأنظمة التي قد تحتوي على معلومات تعريف شخصية مؤمنة والبيانات محفوظة بشكل مشفر ومجهول الهوية.

تدابير حماية البيانات أثناء التخزين: البيانات المخزنة في قواعد بياناتنا مجهولة الهوية ومشفرة باستخدام Bcrypt. يتم تقليل الوصول إلى قاعدة البيانات بناءً على مبدأ “الحاجة إلى المعرفة” التجارية.

تدابير لضمان الأمان المادي للمواقع التي تتم فيها معالجة البيانات الشخصية: كل من مراكز البيانات العالمية لتابولا (في الولايات المتحدة، وأوروبا، وآسيا) تحتوي على جميع خوادمها الموجودة في خزائن مغلقة يتم صيانتها حصريًا لاستخدام تابولا. تتم صيانة هذه الخزائن من قبل شركات إما معتمدة من SOC2 أو قامت تابولا بمراجعة تدابير الأمان الخاصة بها. علاوة على ذلك، يتطلب أي وصول إلى الخوادم إذنًا مكتوبًا ومسجلاً. تتم مراقبة جميع مكاتب تابولا أيضًا، وتتطلب من الموظفين استخدام بطاقات الوصول للدخول. علاوة على ذلك، فقط عدد محدود من الموظفين لديهم وصول إلى خوادم تابولا وأي وصول يتطلب أيضًا إذنًا مكتوبًا ومسجلاً.

تدابير لضمان تسجيل الأحداث: تقوم تابولا بتنفيذ أدوات المراقبة ويتم جمع السجلات إلى نظام SIEM الخاص بنا الذي ينبهنا على أي حدث مشبوه ويتم مراقبته أيضًا من قبل فريق NOC.

تدابير لضمان تكوين النظام، بما في ذلك التكوين الافتراضي: يتم فحص الخوادم من أجل كل من انحراف التكوين ومستوى التصحيح. يتم إعداد التقارير و/أو التنبيهات على كلاهما ويتم تأكيد مستوى التصحيح ذي الصلة. يتم توزيع التصحيحات الجديدة باستخدام Puppet. تتم إدارة جميع المراجعات الفنية من خلال تطبيق البحث والتطوير ويتم الحصول عليها من خلال عملية مراجعة رسمية (QA) بعد تنفيذ الترميز وعمليات CI/CD أيضًا.

تدابير لحوكمة وإدارة تكنولوجيا المعلومات والأمن السيبراني الداخلي: تتمتع تابولا بشهادة ISO 27001:2013 و 27701. تمتلك تابولا سياسة أمن المعلومات التي تنص على أن مجلس الإدارة وإدارة تابولا ملتزمون بالحفاظ على سرية وسلامة وتوافر جميع الأصول المعلوماتية المادية والإلكترونية في جميع أنحاء مؤسستهم. تقوم تابولا بإجراء تدريبات أمنية لجميع الموظفين الجدد، وتدريبات على التصيد لجميع الموظفين عالميًا، وتدريبات أمنية منتظمة لجميع الموظفين وتخصص أيضًا جلسات لمجموعات البحث والتطوير.

تدابير لشهادة/ضمان العمليات والمنتجات: تدقيق داخلي ربع سنوي / نصف سنوي / سنوي على عمليات وأنظمة متعددة للتحقق من أن تابولا تتوافق مع أهدافها الأمنية والتدابير المحددة.

تدابير لضمان تقليل البيانات: تقوم تابولا بتحديد البيانات التي نجمعها عمدًا كجزء من مبادئ تقليل البيانات العالمية الخاصة بتابولا من خلال معالجة فقط البيانات المحدودة اللازمة لأغراض أعمالنا المحددة. علاوة على ذلك، لا تمتلك تابولا القدرة، ولا أي حاجة تجارية، لـ “عكس هندسة” أي من نقاط البيانات المستخدمة في خوارزميتنا من أجل تقديم خدماتنا. بشكل أكثر تحديدًا، فإن نقاط البيانات التي تجمعها تابولا لا تشير أبدًا إلى هوية المستخدم – حيث لا تجمع تابولا أو تعالج معلومات مثل اسم المستخدم، رقم الهاتف، البريد الإلكتروني، أو العناوين الفيزيائية. بدلاً من ذلك، تجمع تابولا فقط معرفات مستعارة، والتي تحدد فقط خصائص حول جهاز المستخدم. يشمل ذلك عناوين IP (التي يتم تقصيرها عند الجمع ولا يمكنها إلا تحديد الموقع العام للرمز البريدي للجهاز، ولكن لا يمكن أبدًا تحديد الموقع الجغرافي بدقة) وفي بعض الحالات المحدودة، عناوين البريد الإلكتروني المشفرة (التي لا يمكن عكسها بطبيعتها ولا يمكن فك تشفيرها للكشف عن عنوان البريد الإلكتروني الأصلي). علاوة على ذلك، حتى عند استخدامها بشكل جماعي، لا يمكن للبيانات التي نجمعها أبدًا إنتاج اسم فرد أو رقم هاتف أو بريد إلكتروني أو عنوان مادي، ولا يعمل مهندسونا بأي شكل من الأشكال لتحقيق هذا الهدف. بالإضافة إلى ذلك، تقوم تابولا بإجراء وتسجيل تقييمات تأثير الخصوصية في محاولة لتقليل مخاطر الخصوصية لخدماتنا وعملياتنا وسياساتنا.

تدابير لضمان جودة البيانات: تُجمع البيانات مباشرةً من المستخدم، ويُعطى المستخدم الفرصة لتصحيح أي بيانات مرتبطة بـ CookieID الخاص به عبر بوابة طلب الوصول لموضوع Taboola: https://accessrequest.taboola.com/access

تدابير لضمان الاحتفاظ المحدود بالبيانات: نحتفظ بمعلومات المستخدم، التي تم جمعها مباشرةً لأغراض تقديم الإعلانات، لمدة أقصاها ثلاثة عشر (13) شهرًا من آخر تفاعل للمستخدم مع خدماتنا (غالبًا لفترة أقصر من ذلك)، وبعد ذلك نقوم بإزالة تعريف البيانات عن طريق إزالة المعرفات الفريدة أو تجميع البيانات. تتم هذه العملية تلقائيًا.

تدابير لضمان المساءلة: تقوم Taboola بإجراء عدة تدقيقات أمنية واختبارات اختراق (لكن ليس لجميع الأنظمة). تستخدم Taboola أيضًا مزودي خدمات سحابية معتمدين من ISO والذين يمتثلون لشهادات أخرى ذات صلة بالسحابة للحفاظ على الحماية المادية للخادم.

تدابير للسماح بنقل البيانات وضمان الحذف: يجب مسح أي وسائط بالكامل قبل إعادة استخدامها أو التخلص منها. يتم توثيق أي عملية التخلص من الوسائط. يتم توجيه الموظفين بعدم طباعة أي ورق قد يحتوي على معلومات شخصية.

الملحق ج

نقل مقيد

1. بالنسبة إلى الحد الذي يقوم فيه أحد الأطراف بإجراء نقل مقيد للبيانات المجمعة إلى الطرف الآخر، يجب دمج Standard Contractual Clauses في هذه الشروط المتعلقة بخصوصية المعلن وتطبق كما يلي:
   1. حيثما كان النقل المقيد هو نقل مقيد من الاتحاد الأوروبي، ستطبق EU SCCs بين الأطراف كما يلي:
      1. سيتم تطبيق الوحدة الأولى؛
      2. في البند 7، ستطبق بند التوصيل الاختياري؛
      3. في البند 11، لن ينطبق الخيار الاختياري؛
      4. في البند 17، سيطبق الخيار 1، وستخضع بEU SCCs للقانون الأيرلندي؛
      5. في البند 18(ب)، يجب حل النزاعات أمام محاكم أيرلندا؛
      6. يجب اعتبار الأجزاء A وB وC من الملحق I مكتملة بالمعلومات الواردة في الأجزاء A وB وC من الملحق A لهذه الشروط المتعلقة بخصوصية المعلنين؛ و
      7. يجب اعتبار الملحق II مكتملًا بالتدابير الأمنية الواردة في الملحق B لهذه الشروط المتعلقة بخصوصية المعلنين؛
   2. حيث أن النقل المقيد هو نقل مقيد في المملكة المتحدة، ستطبق UK Addendum بين الأطراف كما يلي:
      1. ستطبق بEU SCCs، المكتملة كما هو موضح أعلاه، بين الأطراف، وستعدلها UK Addendum (المكتملة كما هو موضح في البند الفرعي (ii) أدناه)؛ و
      2. يجب اعتبار الجداول 1 إلى 3 من UK Addendum مكتملة بالمعلومات ذات الصلة من بEU SCCs، المكتملة كما هو موضح أعلاه، ويجب اعتبار الخيارات “المصدر” و”المستورد” محددة في الجدول 4. تاريخ بدء UK Addendum (كما هو موضح في الجدول 1) سيكون هو تاريخ سريان هذه الشروط المتعلقة بخصوصية المعلنين.
2. النقل المقيد للأمام:  لن يقوم أي طرف بإجراء نقل مقيد للأمام للبيانات المجمعة التي يتلقاها من الطرف الآخر ما لم يكن قد قام بجميع الأفعال والأشياء اللازمة لضمان أن يكون هذا النقل المقيد للأمام متوافقًا مع قانون حماية البيانات المعمول به وأي Standard Contractual Clauses اتفق عليها مع الطرف الآخر.