נספח הגנת מידע עבור שותפים RTB ותוכניתיים

Last Update: May 29, 2024

תאריך תחילה: 29 במאי, 2024

כדי להבטיח של- Taboola יש תנאי הגנת מידע מתאימים עם שותפי ה-Programmatic וה-RTB שלנו (כל אחד מהם “שותף“), Taboola מספקת את נספח הגנת המידע הזה (“DPA“).

הסכם עיבוד נתונים זה משלים באופן אוטומטי ומהווה חלק מההסכם העסקי החוזי הקיים בין השותף לבין Taboola בנוגע לאספקת שירותי RTB ושירותים תכנותיים (“הסכם בסיסי“).

לכל המונחים המודפסים באותיות גדולות המשמשים בהסכם שיתוף פעולה זה, אך אינם מוגדרים בו, תהיה המשמעויות שניתנו להם בהסכם הבסיסי.  במקרה של סתירה כלשהי בין הסכם עיבוד מידע זה לבין ההסכם הבסיסי, הסכם עיבוד מידע זה יגבר במידה ויש סתירה זו.

חוקי הגנת מידע רלוונטיים” משמעם כל חוקי פרטיות והגנת מידע פדרליים, לאומיים, מדינתיים או אחרים, כפי שעשויים להתוקן או להתחלף מעת לעת, לרבות, אם רלוונטי וללא הגבלה, ה- CCPA (כהגדרתו להלן), וחוקי הגנת מידע אירופאיים.

CCPA” פירושו חוק פרטיות הצרכן של קליפורניה (California Civ. סעיפים 1798.100 – 1798.199 בקוד, כפי שתוקן על ידי חוק זכויות הפרטיות של קליפורניה (Cal. Civ. סעיפים 1798.100 – 1798.199 בקוד.

“”בקר“” פירושו ישות הקובעת את מטרות ואמצעי עיבוד המידע האישי, וכוללת כל ישות המעבדת מידע אישי כ”עסק” או “צד שלישי” במסגרת CCPA ו- CPRA.

מסגרת פרטיות נתונים” או “DPF” פירושה EU-ארה”ב מסגרת פרטיות הנתונים והרחבת UK לאיחוד EU-ארה”ב DPF כפי שנקבע על ידי ארה”ב משרד המסחר.

חוקי הגנת המידע האירופיים” משמעם חוקי הגנת המידע של EU וחוקי הגנת המידע של UK .

חוקי הגנת המידע של EU” משמעם: (i) תקנה 2016/679 של EU (“EU GDPR“); (ii) הנחיית EU 2002/58/EC; ו-(iii) החוקים הלאומיים של כל מדינה חברה ב-EEA שנקבעו במסגרת, על פי, או המיישמים את (i) או (ii), או הקשורים בדרך אחרת לעיבוד נתונים אישיים; בכל מקרה, כפי שתוקן או יוחלף מעת לעת.

מידע אישי” פירושו כל מידע הקשור לאדם טבעי מזוהה או ניתן לזיהוי, וכולל כל מידע המוגדר כ”נתונים אישיים” או “מידע אישי” כהגדרתם בחוקי הגנת המידע הרלוונטיים.

מטרה מותרת” פירושה מטרות הצעות מחיר בזמן אמת, הקשורות לקנייה ומכירה של פרסומות מקוונות בהתאם להסכם הבסיסי, שלשמן Taboola חושפת או מעמידה לרשות השותף נתונים משותפים לעיבוד, כמפורט בנספח I.

“”העברה מוגבלת“” פירושה: (i) כאשר חל EU GDPR , העברה של נתונים אישיים מה-EEA למדינה מחוץ ל-EEA שאינה כפופה לקביעת נאותות על ידי הנציבות האירופית (“העברה מוגבלת EU“); ו-(ii) כאשר חל UK GDPR , העברה של נתונים אישיים מהממלכה המאוחדת לכל מדינה אחרת שאינה כפופה לתקנות נאותות או מבוססת עליהן בהתאם לסעיף 17A לחוק הגנת המידע של בריטניה משנת 2018 (“העברה מוגבלת UK“).

“”תקרית אבטחה“” פירושה הפרת אבטחה המובילה להשמדה, אובדן, שינוי, גילוי בלתי מורשה או גישה לנתונים משותפים, בשוגג או שלא כדין.

ל”מכירהול”שיתוף” יהיו המשמעויות המפורטות ב- CCPA וב- CPRA ובתקנות היישום שלהן.

“”נתונים משותפים“” פירושם הקטגוריות של מידע אישי המפורטות בנספח I להסכם עיבוד מידע זה.

Standard Contractual Clauses” משמעם: (i) כאשר חל EU GDPR , הסעיפים החוזיים המצורפים להחלטת היישום 2021/914 של הנציבות האירופית מיום 4 ביוני 2021 בנוגע לסעיפים חוזיים סטנדרטיים להעברת נתונים אישיים למדינות שלישיות בהתאם לתקנה (EU) 2016/679 של הפרלמנט האירופי ושל המועצה (“EU SCCs”); ו-(ii) כאשר חל UK GDPR , “התוספת הבינלאומית להעברת נתונים Standard Contractual Clauses של הנציבות EU ” שהונפקה על ידי נציב המידע לפי סעיף 119A(1) של חוק המידע לשנת 2018 (“UK Addendum“).

חוקי הגנת המידע של UK” משמעם: (i) ה- EU GDPR כפי שהוא חלק מהחוק UK מכוח סעיף 3 לחוק האיחוד האירופי (פרישה) משנת 2018 (“UK GDPR“); (ii) תקנות הפרטיות והתקשורת האלקטרונית (הנחיית האיחוד האירופי) משנת 2003; (iii) חוק הגנת המידע משנת 2018; ו-(iv) כל חוק אחר UK שנקבע במסגרת, מכוחו, או המיישם את (i) או (ii), או הקשור בדרך אחרת לעיבוד נתונים אישיים; בכל מקרה, כפי שתוקן או יוחלף מעת לעת.

בכפוף לעמידת השותף בהסכם הבסיסי ובהסכם זה למידע אישי, Taboola תחשוף או תעמיד לרשות השותף את הנתונים המשותפים לעיבוד על ידי השותף אך ורק למטרה המותרת.

הצדדים מאשרים כי Taboola היא האחראית על המידע המשותף שהיא מגלה לשותף, וכי השותף יעבד את המידע המשותף כאחראי אך ורק למטרה המותרת.

השותף מתחייב, מצהיר ומתחייב כי:

(א) היא תעבד בכל עת את הנתונים המשותפים אך ורק למטרה המותרת ובהתאם לחוקי הגנת המידע הרלוונטיים;

(ב) אין לה סיבה להאמין שחוקי הגנת המידע הרלוונטיים מונעים ממנה למלא את חובותיה בנוגע לעיבוד נתונים משותפים למטרה המותרת;

(ג) אם השותף יקבע כי אינו מסוגל לעבד נתונים משותפים למטרה המותרת בהתאם לחוקי הגנת המידע הרלוונטיים, הוא יודיע על כך Taboola באופן מיידי;

(ד) היא תציג ותתחזק בכל עת הודעת פרטיות נגישה לציבור באתר האינטרנט שלה, אשר עומדת בדרישות חוקי הגנת המידע הרלוונטיים, ותספק פרטי קשר אליהם נושאי נתונים יכולים להעלות שאלות בנוגע להגנת מידע;

(ה) היא תאפשר לנושאי נתונים לממש את זכויות הגנת הנתונים שלהם בהתאם לחוקי הגנת הנתונים הרלוונטיים, לרבות (מבלי לגרוע מכלליות האמור) זכותם להתנגד לעיבוד הנתונים המשותפים שלהם;

(ו) ביחס לכל עיבוד של נתונים משותפים המוגנים על פי חוקי הגנת המידע האירופיים, עליה:

(ז) לעבד נתונים משותפים רק כאשר יש לה הסכמה לעשות כן, בהתאם לדרישות חוקי הגנת המידע האירופיים; ו-

(ח) היא תיישם אמצעים טכניים וארגוניים מתאימים, לרבות, לכל הפחות, האמצעים המפורטים בנספח II, כדי להגן על הנתונים המשותפים מפני תקרית אבטחה ומניעתה.

Taboola רשאית לנקוט בצעדים סבירים ומתאימים כדי להבטיח שהשותף יעבד את הנתונים המשותפים בהתאם להסכם הבסיסי ולהסכם הגנת מידע זה באופן התואם את חוקי הגנת המידע הרלוונטיים.

אם השותף אינו עומד בתנאי ההסכם הבסיסי, הסכם הגנת מידע זה או חוקי הגנת המידע הרלוונטיים, Taboola תנקוט בצעדים סבירים ומתאימים כדי להפסיק ולתקן שימוש בלתי מורשה בנתונים משותפים (לרבות השעיה או סיום גילוי הנתונים המשותפים לשותף).

על השותף לציית לחוקי הגנת המידע הרלוונטיים, ולספק את אותה רמת הגנת פרטיות לנתונים המשותפים כנדרש על פי חוקי הגנת המידע הרלוונטיים.

במקרה שאחד הצדדים יקבל התכתבות, בירור או תלונה מנושא מידע, רגולטור או צד שלישי אחר (“התכתבות“) הקשורה ל-(א) גילוי הנתונים המשותפים למטרה המותרת; או (ב) עיבוד נתונים משותפים על ידי הצד השני, הוא יודיע לצד השני באופן מיידי תוך מתן פרטים מלאים על כך, והצדדים ישתפו פעולה באופן סביר ובתום לב על מנת להגיב להתכתבות בהתאם לכל דרישה במסגרת חוק הגנת המידע החל.

במידה שכל העברה של נתונים משותפים מ- Taboola לשותף מהווה העברה מוגבלת, Standard Contractual Clauses ישולבו בהסכם עיבוד נתונים זה ויחולו כדלקמן:

(א) כאשר ההעברה המוגבלת היא העברה מוגבלת של EU , יחולו EU SCCs בין Taboola (כיצואנית הנתונים) לבין Partner (כיבואנית הנתונים) כדלקמן:

(א) מודול ראשון יחול;

(ii) בסעיף 7, סעיף העגינה האופציונלי יחול;

(iii) בסעיף 11, הנוסח האופציונלי לא יחול;

(iv) בסעיף 17, אפשרות 1 תחול, ותעודות EU SCCs יהיו כפופות לחוק האירי;

(ה) בסעיף 18(ב), סכסוכים ייפתרו בפני בתי המשפט של אירלנד;

(ו) בנספח א’:

(א) חלקים א’ ו-ב’ ייחשבו כהושלמו עם המידע המפורט בנספח א’ להסכם זכויות יוצרים זה;

(ב) חלק ג’ ייחשב כהשלמה בהתאם לקריטריונים המפורטים בסעיף 13(א) של EU SCCs; וכן

(vii) נספח II ייחשב כמושלם עם אמצעי האבטחה המפורטים בנספח B להסכם עיבוד מידע זה.

(ב) כאשר ההעברה המוגבלת היא העברה מוגבלת UK , UK Addendum יחול בין הצדדים כדלקמן:

(i) EU SCCs, אשר מולאו כמפורט לעיל, יחולו בין הצדדים, וישונו על ידי UK Addendum (אשר הושלם כמפורט בתת-סעיף (ii) להלן); וכן

(ii) טבלאות 1 עד 3 של UK Addendum ייחשבו כמושלמות עם מידע רלוונטי מ- EU SCCs, כפי שפורט לעיל, והאפשרויות “יצואן” ו”יבואן” ייחשבו מסומנות בטבלה 4.  תאריך תחילת UK Addendum (כמפורט בטבלה 1) יהיה תאריך התחילה של הסכם עיבוד נתונים זה.

השותף לא יבצע העברה מוגבלת של נתונים משותפים לצד שלישי אלא אם כן ביצע את כל הפעולות והדברים הנדרשים כדי להבטיח שההעברה המוגבלת תואמת את חוק הגנת המידע החל ואת כל Standard Contractual Clauses שחתם עליהם עם Taboola.

למרות האמור לעיל, אם השותף אישר את המדיניות הפדרלית (DPF) ועומד בה, העברות של נתונים משותפים לשותף שבוצעו במסגרת ה-DPF לא יהוו העברה מוגבלת.  במקרה כזה, השותף יודיע מיד ל- Taboola אם הוא לא יעמוד בדרישות הסמכת ה-DPF שלו או אם הסמכת ה-DPF שלו פגה או תבוטל בדרך אחרת, ובמקרה כזה:

(א) כל העברה של נתונים משותפים מ- Taboola לשותף תיחשב באופן מיידי כהעברה מוגבלת והוראות ההעברה המוגבלת לעיל יחולו; וכן

(ב) Taboola רשאית, לפי שיקול דעתה הבלעדי, לבחור להשעות או להפסיק העברות של נתונים משותפים לשותף ללא קנס.

השותף יגן על Taboola ועל הדירקטורים, נושאי המשרה, עובדיה, סוכניה ולקוחותיה (“משופים של Taboola“) מפני כל תביעה, דרישה, תביעה, הליכים ותביעה שהוגשו על ידי צד שלישי בנוגע לטענה כי השותף הפר את הסכם הגנת המידע הזה או חוקי הגנת המידע הרלוונטיים, וישפה את שיפויי Taboola בגין כל נזק, הפסד, עלות והוצאה (לרבות שכר טרחת עורכי דין סביר) שייגרמו למשופי Taboola הנובעים מתביעה כזו או כתוצאה ממנה.

השותף אחראי בלעדית לעמידתו בחוקי הגנת המידע הרלוונטיים בעיבוד הנתונים המשותפים שלו.

במקרה של שינויים בחוקי הגנת המידע הרלוונטיים, Taboola רשאית לתקן ולעדכן את הסכם הגנת המידע הזה במידת הצורך וככל שיידרש על מנת לעמוד בשינויים כאמור בחוקי הגנת המידע הרלוונטיים.

החל מתאריך כניסתו לתוקף של הסכם עיבוד מידע זה, הפניות ל”הסכם” בהסכם עיבוד מידע זה או בהסכם הבסיסי משמען ההסכם הבסיסי כפי שהושלם על ידי הסכם עיבוד מידע זה.

א. רשימת המפלגות

[מזהה טבלה=13 /]

[מזהה טבלה=14 /]

ב. תיאור ההעברה

[מזהה טבלה=15 /]

ג. רשות פיקוח מוסמכת

[מזהה טבלה=16 /]

תיאור האמצעים הטכניים והארגוניים שיישמו כל צד (כולל כל אישור רלוונטי) כדי להבטיח רמת אבטחה נאותה, תוך התחשבות באופי, בהיקף, בהקשר ובמטרת העיבוד, ובסיכונים לזכויותיהם וחירויותיהם של אנשים פרטיים. השותף מצהיר ומתחייב כי יש לו אמצעים טכניים וארגוניים מתאימים הדומים באופן מהותי לאמצעי האבטחה של Taboola המפורטים להלן.

אמצעים של פסאודוניזציה והצפנה של נתונים אישיים: Taboola אוספת רק נתונים תחת פסאודונים, מה שאומר שאנחנו לא יודעים מי אתה מכיוון שאנחנו לא יודעים או מעבדים את שם המשתמש, כתובת הדוא”ל או נתונים מזהים אחרים. פרטי המשתמש שאנו אוספים כוללים, אך אינם מוגבלים ל, מידע על המכשיר ומערכת ההפעלה של המשתמש, כתובת ה-IP, דפי האינטרנט אליהם ניגשים משתמשים באתרי האינטרנט של לקוחותינו, הקישור שהוביל משתמש לאתר האינטרנט של הלקוח, התאריכים והשעות שבהם משתמש ניגש לאתר האינטרנט של הלקוח ונתוני גלישה אחרים באינטרנט. מזהה ה-Cookie עובר אנונימיזציה באמצעות Bcrypt וכתובת ה-IP מקוצרת.

אמצעים להבטחת סודיות, שלמות, זמינות ועמידות מתמשכות של מערכות ושירותי עיבוד: Taboola משתמשת ברמות מרובות של אבטחה אלקטרונית (לדוגמה: אבטחת נקודות קצה, אבטחה בצד השרת, מעקב אחר גילוי, בדיקות חדירה תקופתיות ואיסוף מודיעין מעמיק לסקירת אירועים שלאחר המוות).

אמצעים להבטחת היכולת לשחזר את הזמינות והגישה לנתונים אישיים בצורה יעילה במקרה של תקרית פיזית או טכנית: Taboola מתחזקת 9 מרכזי נתונים הפועלים ברחבי העולם. כל מרכז נתונים משמש כהעתק של אחד של השני, כך שאם אחד קורס, ניתן לחלץ את הנתונים ממרכז נתונים אחר.

תהליכים לבדיקה, הערכה והערכה שוטפים של יעילותם של אמצעים טכניים וארגוניים על מנת להבטיח את אבטחת העיבוד: Taboola מקיימת תהליכים קפדניים לבדיקת יעילות הבקרות שלה (טכניות וארגוניות כאחד). יש לנו רישום וניטור של המערכת, בדיקות DR חודשיות (לפחות), בדיקות חדירה רבעוניות, חומות אש המגנות על האינטרנט ו-honeypots הפרוסים ברחבי הרשת כדי למצוא כל פעילות זדונית. יתר על כן, יש לנו תוכנית פרסום שעוזרת לנו לנטר כל הזמן את הרשת שלנו.

אמצעים לזיהוי והרשאת משתמשים: לכל משתמש ב- Taboola משויך שם משתמש וסיסמה ייעודיים. כל גישה לרשת הפנימית של Taboola מתבצעת באמצעות 2FA באמצעות אימות גוגל. משתמשים נוצרים רק על ידי מחלקת ה-IT, במהלך תהליך הקליטה ורק לאחר קבלת כל הפרטים וחוזה חתום ממחלקת משאבי אנוש.

אמצעים להגנה על נתונים במהלך השידור: Taboola תומכת בכל העברת נתונים באמצעות פרוטוקולי העברה מאובטחים (HTTPS ו-TLS גרסה 1.2 לכל הפחות). יתר על כן, מערכות שעשויות להכיל מידע אישי מזהה מאובטחות והנתונים נשמרים בצורה מגובבת ואנונימית.

אמצעים להגנה על נתונים במהלך אחסון: נתונים המאוחסנים במאגרי המידע שלנו עוברים אנונימיזציה וגיבוב באמצעות Bcrypt. הגישה למסד הנתונים ממוזערת ומבוססת על עקרון “צורך העסקי לדעת”.

אמצעים להבטחת אבטחה פיזית של מיקומים בהם מעובדים נתונים אישיים: כל אחד ממרכזי הנתונים הגלובליים של Taboola (בארה”ב, אירופה ואסיה) מחזיק את כל השרתים שלו בארונות נעולים המתוחזקים אך ורק לשימושה של Taboola. ארונות אלה מתוחזקים על ידי חברות בעלות SOC2-certified או Taboola בדקה את אמצעי האבטחה שלהן. יתר על כן, כל גישה לשרתים דורשת אישור בכתב ומתועד. כל משרדי Taboola נמצאים גם הם תחת פיקוח, ודורשים מהעובדים להשתמש בכרטיסי גישה כדי להיכנס. יתר על כן, רק מספר מוגבל של עובדים מקבל גישה לשרתי Taboola וכל גישה דורשת גם אישור בכתב שנרשם.

אמצעים להבטחת רישום אירועים: Taboola מיישמת כלי ניטור ויומני רישום נאספים למערכת SIEM שלנו, אשר מתריעה בפנינו על כל אירוע חשוד, וגם מנוטרים על ידי צוות NOC .

אמצעים להבטחת תצורת המערכת, כולל תצורת ברירת מחדל: שרתים נסרקים הן עבור סחף תצורה והן עבור רמת התיקון. דיווח ו/או התראות מוגדרים בשניהם ורמת התיקון הרלוונטית מאושרת. טלאים חדשים מופצים באמצעות Puppet. כל הסקירות הטכניות מנוהלות דרך יישום המחקר והפיתוח ומתקבלות באמצעות תהליך סקירה (QA) רשמי לאחר יישום CI/CD processes .

אמצעים לניהול וממשל פנימי של IT ואבטחת IT: Taboola יש הסמכת ISO/IEC 27001:2013 ו-ISO/IEC 27701:2019. Taboola יש מדיניות אבטחת מידע הקובעת כי מועצת המנהלים והנהלת Taboola מחויבים לשמירה על סודיות, שלמות וזמינות של כל נכסי המידע הפיזיים והאלקטרוניים ברחבי הארגון. Taboola מקיימת הדרכות אבטחה לכל העובדים החדשים, הדרכות פישינג לכל העובדים ברחבי העולם, הדרכות אבטחה קבועות לכל העובדים וגם מפגשים ייעודיים לקבוצות מחקר ופיתוח.

אמצעים להסמכה/הבטחת תהליכים ומוצרים: ביקורת פנימית רבעונית / חצי שנתית / שנתית על תהליכים ומערכות מרובים כדי לאמת את עמידתה של Taboola ביעדי האבטחה ובאמצעים שהוגדרו.

אמצעים להבטחת מזעור נתונים: Taboola מגבילה במכוון את הנתונים שאנו אוספים כחלק מעקרונות מזעור הנתונים הגלובליים של טאבולה, של עיבוד נתונים מוגבלים בלבד הדרושים למטרות העסקיות הספציפיות שלנו. יתר על כן, Taboola אין את היכולת, וגם לא כל צורך עסקי, לבצע “הנדסה הפוכה” של אף אחת מנקודות הנתונים המשמשות באלגוריתם שלנו על מנת לספק את השירותים שלנו. באופן ספציפי יותר, נקודות הנתונים ש- Taboola אוספת לעולם אינן מעידות על זהות המשתמש – מכיוון ש- Taboola אינה אוספת או מעבדת מידע כגון שם המשתמש, מספר הטלפון, הדוא”ל או כתובות פיזיות. במקום זאת, Taboola אוספת רק מזהים בדויים, אשר מזהים אך ורק מאפיינים אודות המכשיר של המשתמש. זה כולל כתובות IP (אשר נקטעות בעת האיסוף ויכולות לזהות רק את מיקום המיקוד הכללי של המכשיר, אך לעולם לא מיקום גיאוגרפי מדויק) ובמקרים מוגבלים מסוימים, כתובות דוא”ל מגובבות (שהן מטבען בלתי הפיכות ולא ניתן לפענח אותן כדי לחשוף את כתובת הדוא”ל המקורית). יתר על כן, אפילו כאשר נעשה שימוש קולקטיבי בנתונים שאנו אוספים, הם לעולם לא יוכלו לייצר את שם, מספר הטלפון, הדוא”ל או הכתובת הפיזית של אדם, והמהנדסים שלנו אינם פועלים בשום דרך להשגת מטרה זו. בנוסף, Taboola מבצעת ומתעדת הערכות השפעה על הפרטיות במאמץ למזער את סיכוני הפרטיות של השירותים, התהליכים והמדיניות שלנו.

אמצעים להבטחת איכות הנתונים: הנתונים נאספים ישירות מהמשתמש וניתנת למשתמש הזדמנות לתקן כל מידע taboola.com ל-CookieID שלו דרך פורטל בקשות הגישה לנושא של Taboola : https://accessrequest.taboola.com/access

אמצעים להבטחת שמירת נתונים מוגבלת: אנו שומרים מידע על משתמשים, אשר נאסף ישירות למטרות הצגת מודעות, למשך שלושה עשר (13) חודשים לכל היותר ממועד האינטראקציה האחרונה של המשתמש עם השירותים שלנו (לעתים קרובות לתקופה קצרה יותר), ולאחר מכן אנו מבטלים את זהות הנתונים על ידי הסרת מזהים ייחודיים או צבירת הנתונים. תהליך זה מתבצע באופן אוטומטי.

אמצעים להבטחת אחריות: Taboola מבצעת מספר ביקורות אבטחה ובדיקות חדירה (אך לא עבור כל המערכות). Taboola משתמשת גם בספקי ענן בעלי הסמכת ISO ועומדים בהסמכות אחרות הרלוונטיות לענן לצורך שמירה על אמצעי ההגנה הפיזיים של השרת.

אמצעים לאפשר ניידות נתונים ולהבטחת מחיקתם: Taboola הקשור לסילוק מדיה זהה לכל סוגי המדיה, שכן היא עשויה להכיל מידע אישי מזהה. יש לנגב לחלוטין כל מדיה לפני שימוש חוזר או סילוק. כל סילוק של מדיה מתועד. העובדים מתבקשים לא להדפיס כל מסמכים שעשויים להכיל מידע אישי.