תנאי פרטיות המפרסם

תנאי פרטיות המפרסם של TABOOLA

תאריך תחולה:  14 באוגוסט 2023

תנאי פרטיות המפרסם של Taboola (“תנאי פרטיות המפרסם”) חלים על שירותי הפרסום הדיגיטליים של Taboola, כגון כאשר Taboola מפיצה תוכן של המפרסם באמצעות פלטפורמת ההפצה שלה, אופטימיזציה יצירתית דינמית של Taboola (DCO), או דף נחיתה של GenAI בהתאם להסכם בין Taboola לבין מפרסם (“הסכם”), ותנאי פרטיות המפרסם הללו ייחשבו כחלק בלתי נפרד מכל הסכם כזה.  תנאי פרטיות המפרסם הללו מזהים את תפקידיהן ואחריותן של Taboola והמפרסם ביחס לנתונים אישיים.

1. סדר עדיפויות.

אם תהיה סתירה בין תנאי הפרטיות של המפרסם וההסכם, תנאי הפרטיות של המפרסם יגברו במידה של סתירה זו אלא אם הסעיף הסותר בהסכם מפנה במפורש לסעיף הסותר של תנאי הפרטיות של המפרסם ומציין שהוא גובר על סעיף סותר זה.

2. הגדרות.

מונחים המוגדרים בסעיף זה יהיו בעלי המשמעות המפורטת למטה, ומונחים נלווים יתפרשו בהתאם. מונחים המוזכרים אך לא מוגדרים בתנאי הפרטיות של המפרסם יהיו בעלי המשמעות המוגדרת בהסכם.

3. 3. 1. “חוקי הגנת נתונים החלים” מתכוון לכל החוקים הפדרליים, הלאומיים, המדינתיים או חוקים אחרים של פרטיות והגנת נתונים החלים על עיבוד שהוא נושא ההסכם ותנאי המפרסם הללו, כפי שעשויים להתעדכן או להתבטל מעת לעת.
      2. “נתונים שנאספו” מתכוון לנתונים האישיים שכל צד אוסף מנושאי הנתונים על או דרך השרתים או הרשתות שלהם (כולל כל הנתונים שנאספים באופן פסיבי או נתונים שניתן לקרוא על ידי מכונה, כגון נתונים המבוססים על סוג הדפדפן ומזהי המכשירים) בהקשר עם מתן או קבלת השירותים.
      3. “בקר” פירושו: (i) ישות שקובעת את המטרות והאמצעים של עיבוד נתוני אישיים, ו-(ii) כל אדם שנופל תחת ההגדרה של המונח “בקר” (או כל מונח דומה מהותית) כפי שהוגדר לפי חוקי הגנת נתונים החלים.
      4. “חוק הפרטיות של קליפורניה” פירושו חוק הגנת פרטיות הצרכן של קליפורניה משנת 2018, קל. קוד אזרחי § 1798.100 ואילך (“CCPA“), כפי שתוקן (כולל על ידי חוק זכויות הפרטיות של קליפורניה), וכל חקיקה משנית ותקנות יישום.
      5. “נושא נתונים” פירושו: (i) אדם טבעי מזוהה או ניתן לזיהוי (ולמטרות אלו, אדם טבעי ניתן לזיהוי הוא אדם שניתן לזהותו, במישרין או בעקיפין, במיוחד בהתייחסות למזהה כגון שם, מספר זיהוי, נתוני מיקום, מזהה מקוון או אחד או יותר מגורמים ספציפיים לזהות הפיזית, הפיזיולוגית, הגנטית, הנפשית, הכלכלית, התרבותית או החברתית של אותו אדם טבעי), ו-(ii) כל אדם שנופל תחת ההגדרה של המונח “נושא נתונים”, “צרכן” (או כל מונח דומה מהותית) כפי שהוגדר לפי חוקי הגנת נתונים.
      6. “חוק הגנת נתונים של האיחוד האירופי” פירושו: (i) תקנת הגנת הנתונים הכללית של האיחוד האירופי (תקנה 2016/679) (“EU GDPR“); (ii) הנחיית הפרטיות האלקטרונית של האיחוד האירופי (הנחיה 2002/58/EC); ו-(iii) כל חוקים לאומיים להגנת נתונים שנעשו לפי או בהתאם ל-(i) או (ii), כל אחד מהם עשוי להתעדכן או להתבטל מעת לעת.
      7. “מטרות מותרות” יש את המשמעות שניתנה בסעיף 3.
      8. “נתונים אישיים” פירושו כל מידע הנוגע לנושא נתונים (כולל, כאשר נדרש לפי חוקי הגנת נתונים החלים, מזהים ייחודיים של דפדפן או מכשיר), כפי שמפורט בנספח A, חלק B.
      9. “עיבוד” פירושו כל פעולה או קבוצת פעולות שמתבצעות על נתונים אישיים או על קבוצות של נתונים אישיים, בין אם באמצעים אוטומטיים ובין אם לאו, כגון איסוף, קבלה, רישום, ארגון, מבנה, שימוש, העברה, גישה, שיתוף, גילוי, העברה, אחסון, התאמה או שינוי, שליפה, ייעוץ, הפצה או אחרת זמינה, יישור או שילוב, אגרגציה, הסקה, נגזר, ניתוח, הגבלה, מחיקה, השמדה או פינוי או טיפול אחר בנתונים אישיים, כולל כיצד המונח הזה מוגדר לפי חוקי הגנת נתונים החלים.
      10. “מעבד” פירושו: (i) ישות שמעבדת נתונים אישיים בשם בקר, ו-(ii) כל אדם שנופל תחת ההגדרה של המונח “מעבד” (או כל מונח דומה מהותית) כפי שהוגדר לפי חוקי הגנת נתונים החלים.
      11. “העברה מוגבלת” פירושו: (i) כאשר EU GDPR חל, העברה של נתונים אישיים מהאזור הכלכלי האירופי למדינה מחוץ לאזור הכלכלי האירופי שאינה כפופה לקביעת התאמה על ידי הנציבות האירופית (“EU Restricted Transfer“); ו-(ii) כאשר UK GDPR חל, העברה של נתונים אישיים מהממלכה המאוחדת לכל מדינה אחרת שאינה כפופה או מבוססת על תקנות התאמה בהתאם לסעיף 17A של חוק הגנת הנתונים של הממלכה המאוחדת 2018 (“UK Restricted Transfer“).
      12. “מכירה” ו”מכור” פירושם החלפת נתונים אישיים עבור תמורה כספית או אחרת, וכוללים כיצד מונחים אלו מוגדרים לפי חוקי הגנת נתונים החלים.
      13. “שירותים” פירושו שירותים הניתנים על ידי Taboola לפי ההסכם עם המפרסם.
      14. “אירוע אבטחה” פירושו הפרת אבטחה המובילה להשמדה, אובדן, שינוי, גילוי לא מורשה של, או גישה לנתונים אישיים.
      15. “Standard Contractual Clausesיים” פירושו: (i) כאשר EU GDPR חל, הסעיפים החוזיים המצורפים להחלטת היישום של הנציבות האירופית 2021/914 מ-4 ביוני 2021 על סstandard contractual clausesיים להעברת נתונים אישיים למדינות שלישיות בהתאם לתקנה (EU) 2016/679 של הפרלמנט האירופי ומועצת האיחוד האירופי (“EU SCCs“); ו-(ii) כאשר UK GDPR חל, “הנספח הבינלאומי להעברת נתונים לStandard Contractual Clausesיים של הנציבות האירופית” שהונפק על ידי הממונה על המידע לפי סעיף 119A(1) של חוק הגנת הנתונים 2018 (“UK Addendum“).
      16. “צד שלישי” פירושו עסק הפועל כבקר ביחס לנתונים אישיים, ואינו העסק שהנושא נתונים שלו עיבד את הנתונים האישיים שלו באופן מכוון; המונח כולל כיצד המונח הזה מוגדר לפי חוקי הגנת נתונים החלים.
      17. “חוק הגנת נתונים של הממלכה המאוחדת” פירושו: (i) חוק הגנת הנתונים של הממלכה המאוחדת 2018, (ii) UK GDPR (כפי שהוגדר בסעיף 3(10) של חוק הגנת הנתונים של הממלכה המאוחדת 2018) (“UK GDPR“), (iii) תקנות הפרטיות והתקשורת האלקטרונית של הממלכה המאוחדת (הנחיה EC) 2003), ו-(iv) כל חוקים אחרים של הממלכה המאוחדת שנעשו לפי או בהתאם ל-(i), (ii) או (iii), כל אחד מהם עשוי להתעדכן או להתבטל מעת לעת.

3. מגבלת מטרה.

כל צד יעבד נתונים שנאספו שהוא אוסף או מקבל מהצד השני למטרות המפורטות בנספח A, חלק B (“מטרות מותרות“).  המפרסם מסכים כי Taboola תעבד את הנתונים שנאספו כפי שמותר על ידי מדיניות הפרטיות של Taboola (ש, למען הסר ספק, תהיה גם מטרה מותרת עבור Taboola).

4. הקשר בין הצדדים.

במידה שהנתונים שנאספו מתאימים לנתונים אישיים לפי חוקי הגנת המידע החלים, כל צד יעבד את הנתונים שנאספו שהוא אוסף או מקבל מהצד השני כמנהל (שיכול לכלול, כאשר חוק הפרטיות של קליפורניה חל, כצד שלישי, אם רלוונטי).  חשיפות (בין אם העברה, או באמצעות צד המאפשר נתונים לצד השני) של נתונים שנאספו או נתונים אישיים מצד אחד לצד השני הן חשיפות לצדדים שלישיים.

1. 1. 1. אם חוק הגנת המידע של ארה”ב או מדינת ארה”ב חל על הנתונים שנאספו, כולל ללא הגבלה את חוק הפרטיות של קליפורניה, במידה ש-Realize Pixels (שנקרא בעבר “Taboola Pixels”) בשימוש בהקשר עם השירותים מעבד נתונים אישיים על מבקר, Taboola פועלת כצד שלישי למפרסם עבור נתונים אישיים כאלה. Taboola תעבד את הנתונים האישיים הללו למטרות המותרות. נתונים אישיים כאלה זמינים רק ל-Taboola למטרות המותרות.  Taboola תספק את אותו רמת הגנת פרטיות הנדרשת מעסקים על ידי חוקי הגנת המידע החלים בארה”ב, כולל אם רלוונטי, חוקי הפרטיות של קליפורניה. Taboola תודיע למפרסם בפרק הזמן הנדרש על ידי חוקי הגנת המידע החלים אם Taboola קובעת שהיא כבר לא יכולה לעמוד בהתחייבויותיה לפי חוקי הגנת המידע החלים. לאחר מתן הודעה ל-Taboola, למפרסם יש את הזכות לנקוט צעדים סבירים ומתאימים כדי לעצור ולתקן שימוש לא מורשה בנתונים אישיים שהוא עושה זמינים ל-Taboola.

5. החלת חוק הגנת המידע.

הצדדים מכירים בכך שחלק או כל הנתונים שנאספו עשויים להתאים לנתונים אישיים ולכן חוקי הגנת המידע החלים עשויים לחול על עיבוד הנתונים שנאספו על ידי כל צד.  כאשר זה המקרה, ובכפוף לסעיף 7, כל צד יהיה אחראי באופן עצמאי על עמידתו בחוקי הגנת המידע החלים, כולל כל דרישות רלוונטיות: (i) לספק שקיפות לנושאי הנתונים, (ii) לקבל הסכמה או בסיס חוקי אחר לעיבוד, ו-(iii) לספק נקודת קשר דרכה נושאי הנתונים יכולים לממש את זכויות הגנת המידע שלהם.

6. העברות בינלאומיות.

במקרה שאחד הצדדים מבצע העברה מוגבלת של נתונים שנאספו לצד השני, ההוראות של נספח C יחולו.

7. שקיפות עבור מבקרים בדף הנחיתה של המפרסם.

א. Taboola משתמשת ב-Realize Pixels כדי לספק את השירותים.  לאחר סעיף 5, במידה ש-Taboola אוספת נתונים שנאספו מנכסים דיגיטליים של המפרסם (כגון אתרים, אפליקציות ניידות או אחרת) באמצעות Realize Pixels, המפרסם יהיה: (i) לספק את כל ההודעות השקופות הנדרשות לנושאי הנתונים לגבי השימוש של Taboola ב-Realize Pixels לאיסוף נתונים שנאספו מנכסים דיגיטליים של המפרסם למטרות המותרות, ו-(ii) להשיג (ולפי בקשה בכל עת על ידי Taboola, לספק ראיה מתאימה) הסכמת נושא הנתונים לשימוש זה ב-Realize Pixels למטרות המותרות, בכל מקרה בהתאם לדרישות של חוקי הגנת המידע החלים.  ההתחייבויות של המפרסם בהקשר זה כוללות זיהוי של Taboola והשימוש שלה ב-Realize Pixels למטרות המותרות במפורש בתוך ההודעות השקופות ובתוך ההנחיות להסכמה שהמפרסם מספק לנושאי הנתונים, כמו גם כל מידע אחר הנדרש על ידי חוקי הגנת המידע החלים, כך ש-Taboola תוכל לספק את שירותיה באופן חוקי דרך נכסים דיגיטליים כאלה ולעבד נתונים שנאספו ונתונים אישיים למטרות המותרות. במידה שהמפרסם מקבל את שירות דף הנחיתה של Gen AI של Taboola, Taboola תספק הודעה שקופה ותשיג הסכמת משתמש.

ב. בהתאם לבקשה בכתב, טאבולה תספק למפרסם את המידע הנחוץ לגבי פיקסלים של ריאלייז ועיבוד הנתונים שנאספו על ידי טאבולה דרך הנכסים הדיגיטליים של המפרסם, כדי שהמפרסם יוכל להבטיח שהמנגנונים של ההודעה וההסכמה שלו יעמדו בחוקי הגנת הנתונים החלים.  המפרסם לא יפעיל פיקסלים של ריאלייז אלא אם כן כל שקיפות נחוצה הוענקה וכל ההסכמות הנדרשות לפי חוקי הגנת הנתונים החלים הושגו.

ג. המפרסם יספק עוד מידע לנושאי הנתונים לגבי כיצד הם יכולים לממש את זכויות הגנת הנתונים שלהם לפי חוקי הגנת הנתונים החלים, ויספק נקודת קשר לנושאי הנתונים כדי ליצור קשר במטרה לממש את זכויותיהם. המפרסם יודיע מיד לטאבולה אם ובמידה שהוא מקבל כל בקשה לזכויות הגנת נתונים הנוגעת לעיבוד הנתונים שנאספו על ידי טאבולה כמנהל, כדי שטאבולה תוכל למלא את הבקשה בהתאם לחובותיה לפי חוקי הגנת הנתונים החלים.

8. שותפי האטריבוציה.

אם טאבולה, לפי בקשת המפרסם, מעבירה נתונים אישיים לשותף האטריבוציה של המפרסם או למפרסם למטרות אטריבוציה, המפרסם מצהיר ומתחייב ש: (i) שותף האטריבוציה שלו הוא מעבד בשם המפרסם; (ii) אלא אם כן נאסף באופן עצמאי, המפרסם ושותף האטריבוציה ישתמשו בנתונים האישיים הללו אך ורק למטרות אטריבוציה; ו-(iii) שותף האטריבוציה והמפרסם ימחקו את כל הנתונים האישיים שהועברו בתוך שלושים (30) ימים מהזיהוי האחרון של המבקר כמגיע מטאבולה.

9. אבטחה.

כל צד ייישם אמצעי אבטחה טכניים וארגוניים מתאימים כדי להגן על הנתונים שנאספו ו/או על הנתונים האישיים שהוא מעבד מפני ומול אירועי אבטחה.  אמצעים אלה יכללו את האמצעים המפורטים בנספח ב’ .

10. אירועי אבטחה.

אם אחד הצדדים סובל מאירוע אבטחה ביחס לנתונים שנאספו ו/או לנתונים אישיים שהוא מעבד והנוגעים להסכם ולתנאי הפרטיות של המפרסם, אותו צד יהיה: (i) אחראי למילוי (על חשבונו) כל חובות דיווח החלות עליו לפי חוקי הגנת הנתונים החלים לרשויות הגנת הנתונים ו/או לנושאי הנתונים המושפעים, (ii) להודיע לצד השני ללא דיחוי מיותר, ולספק מידע על אירוע האבטחה כפי שניתן לבקש באופן סביר על ידי הצד השני או כפי שנדרש אחרת כדי שהצד השני יוכל לקבוע אם יש לו גם חובות דיווח לפי חוקי הגנת הנתונים החלים ביחס לאירוע האבטחה, ו-(iii) לנקוט בכל הפעולות והאמצעים המתאימים, ללא דיחוי מיותר, כדי לתקן ו/או להקל על ההשפעות של אירוע האבטחה.

11. הערכות השפעת הגנת הנתונים. 

כאשר ובמידה הנדרשת לפי חוקי הגנת הנתונים החלים שעליהם כפופים כל צד, כל צד יבצע כל הערכת השפעת הגנת נתונים ביחס לעיבוד שלו של הנתונים שנאספו ו/או של הנתונים האישיים למטרות המותרות ו/או יתייעץ עם רשויות הגנת הנתונים החלות, במידת הצורך.  כל צד יספק כל שיתוף פעולה ומידע סביר שיתבקש על ידי הצד השני, כאשר זה נחוץ כדי לאפשר לצד השני להשלים הערכת השפעת הגנת נתונים ו/או להתייעץ עם רשויות הגנת הנתונים החלות בהתאם לחובות הצד השני לפי סעיף 11 זה.

 

נספח א׳

תיאור העיבוד

א. רשימת צדדים

כל צד יהיה:

3. 3. • בקר נתונים (ומייצא נתונים) של נתונים שנאספו שהוא חושף, או זמין, לצד השני, ו
      • בקר נתונים (ומייבא נתונים) של נתונים שנאספו שהוא מקבל מ, או לגביהם ניתנת גישה על ידי, הצד השני.

פרטי כל צד מסופקים למטה.

שם: ראה את פרטי המפרסם המפורטים בהסכם.

כתובת: ראה את פרטי המפרסם המפורטים בהסכם.

שם איש קשר, תפקיד ופרטי קשר: ראה את פרטי המפרסם המפורטים בהסכם או כפי שהוסכם אחרת בין הצדדים בכתב.

פעילויות רלוונטיות לנתונים שהועברו בהתאם לסעיפים אלה: קבלת השירותים, כפי שמפורט בהסכם.

חתימה ותאריך: נספח א’ זה ייחשב כמבוצע עם קבלת הסכמת המפרסם לתנאי הפרטיות של המפרסם.

תפקיד (בקר/מעבד): בקר (כאשר הוא מייצא נתונים) ובקר (כאשר הוא מייבא נתונים)

 

שם: ראה את הפרטים של Taboola המפורטים במבוא להסכם.

כתובת: ראה את הפרטים של Taboola המפורטים במבוא להסכם.

שם איש קשר, תפקיד ופרטי קשר: צוות הפרטיות של Taboola, privacy@taboola.com.

פעילויות רלוונטיות לנתונים שהועברו בהתאם לסעיפים אלה: הספקת השירותים, כפי שמפורט בהסכם.

חתימה ותאריך: נספח א’ זה ייחשב כמבוצע עם קבלת הסכמת Taboola לתנאי הפרטיות של המפרסם.

תפקיד (בקר/מעבד): בקר (כאשר הוא מייצא נתונים) ובקר (כאשר הוא מייבא נתונים)

 

B. תיאור העיבוד וההעברה

קטגוריות של נושאי נתונים שפרטי האישיות שלהם מעובדים ו/או מועברים: משתמשים

קטגוריות של נתוני אישי מעובדים ו/או מועברים:

נתוני מכשיר: מערכת הפעלה, סוג דפדפן, גרסת דפדפן, כתובת IP (מקוצרת בתוך 30 יום) של האיסוף, מיקוד (נגזר מכתובת IP), מזהה משתמש של Taboola בהאש, מיילים בהאש, ביקורים ראשוניים ולאחר מכן באתר האינטרנט של המפרסם, מגדר המשתמש (נגזר על פי תחומי עניין), אותות מעורבות (זמן באתר, עומק גלילה, עומק סשן), נתוני המרה.

נתונים על נכס דיגיטלי שביקר בו המשתמש: כתובת ה-URL של הדף שביקרו בו, האתר המפנה

• במידה ש-DCO הוא חלק מהשירותים, Taboola מעבדת גם את הנתונים הבאים:

נתוני מכשיר: cookie ID Taboola או ID מכשיר, בהתאם לפלטפורמה), כתובת IP מוסתרת, ID לחיצה של Taboola, מיתר סוכן משתמש, מדינה, סוג משתמש, כולל מידע על משתמש חדש/חוזר (אם שותף על ידי המפרסם), מידע על מוצר (קשור ל-URL הספציפי), כולל מחיר וזמינות מעמודי פריט

נתוני אירוע: מטבע, מזהי מוצרים, מזהה הזמנה, מזהה קטגוריה, קטגוריה, מונח חיפוש, פרטי עגלת קניות, ערך, ומזהי קמפיינים.

נתונים רגישים שהועברו (אם רלוונטי) והגבלות או אמצעי הגנה שהתקבלו במלואם בהתחשב בטבע הנתונים ובסיכונים המעורבים, כגון למשל הגבלת מטרה מחמירה, הגבלות גישה (כולל גישה רק לצוות שעבר הכשרה מיוחדת), שמירה על רישום גישה לנתונים, הגבלות על העברות נוספות או אמצעי אבטחה נוספים: לא רלוונטי.

תדירות העיבוד ו/או העברות (למשל אם הנתונים מעובדים ו/או מועברים על בסיס חד פעמי או מתמשך): מתמשך במשך כל תקופת ההסכם.

טבע העיבוד: עיבוד נתוני אישי הנחוצים לספקת השירותים, כפי שמפורט בהסכם.

מטרה(ות) של העיבוד / העברת הנתונים ועיבוד נוסף: הספקת השירותים, כפי שמפורט בהסכם. למען הסר ספק, המטרות המותרות כוללות: (i) אחסון ו/או גישה למידע במכשיר; (ii) בחירת פרסומות בסיסיות; (iii) יצירת פרופיל פרסומות מותאם אישית; (iv) בחירת פרסומות מותאמות אישית; (v) יצירת פרופיל תוכן מותאם אישית; (vi) בחירת תוכן מותאם אישית; (vii) מדידת ביצועי פרסומות; (viii) מדידת ביצועי תוכן; (ix) פיתוח ושיפור מוצרים; (x) הבטחת אבטחה, מניעת הונאה, ודיבוג; (xi) מסירה טכנית של פרסומות או תוכן; (xii) התאמת ושילוב מקורות נתונים לא מקוונים; (xiii) קישור בין מכשירים שונים; (xiv) קבלת ושימוש בתכונות מכשיר שנשלחו אוטומטית לצורך זיהוי; (xv) שימוש בנתונים מוגבלים לבחירת תוכן, ו-(xvi) uהבנת קהלים באמצעות סטטיסטיקות.

התקופה שבה הנתונים האישיים יישמרו, או, אם זה לא אפשרי, הקריטריונים שנעשה בהם שימוש לקביעת תקופה זו:

3. 3. • Taboola: נתונים גולמיים נשמרים לכל היותר 13 חודשים.
      • מפרסם: כל עוד זה נדרש כדי לקבל את השירותים או כפי שמפורט בהסכם.

לגבי העברות ל-(תתי-) מעבדים, יש לציין גם את הנושא, הטבע והמשך העיבוד: לא רלוונטי.

 

C. רשות פיקוח מוסמכת

רשות פיקוח מוסמכת שבה חלה ה-EU GDPR: הרשות המוסמכת לכל צד מתוארת למטה:

3. 3. • Taboola: הרשות המוסמכת תיקבע בהתאם לסעיף 13 של ה-EU SCCs.
      • מפרסם: הרשות המוסמכת תיקבע בהתאם לסעיף 13 של ה-EU SCCs.

רשות פיקוח מוסמכת שבה חלה ה-UK GDPR: המשרד של הממונה על המידע

 

נספח ב'

אמצעי אבטחה

תיאור של האמצעים הטכניים והארגוניים שהוטמעו על ידי כל צד (כולל כל הסמכות רלוונטיות) כדי להבטיח רמת אבטחה מתאימה, תוך התחשבות בטבע, היקף, הקשר ומטרת העיבוד, ובסיכונים לזכויות ולחירויות של אנשים טבעיים.

אמצעים של פseudonymisation והצפנת נתונים אישיים: טאבולה אוספת רק נתונים פseudonymized, כלומר אנחנו לא יודעים מי אתה כי אנחנו לא יודעים או מעבדים את השם, כתובת האימייל או נתונים מזהים אחרים של המשתמש. מידע על משתמש שאנו אוספים כולל, אך לא מוגבל ל, מידע על המכשיר של המשתמש ומערכת ההפעלה, כתובת IP, הדפים האינטרנטיים שאליהם גולשים המשתמשים בתוך אתרי הלקוחות שלנו, הקישור שהוביל את המשתמש לאתר של לקוח, התאריכים והשעות שבהן המשתמש גולש לאתרי הלקוחות ונתוני גלישה נוספים. ה-CookieID מנותב באמצעות Bcrypt וכתובת ה-IP מקוצרת.

אמצעים להבטחת סודיות מתמשכת, שלמות, זמינות וחוסן של מערכות ושירותי עיבוד: טאבולה משתמשת ברמות שונות של אבטחה אלקטרונית (למשל: אבטחת קצה, אבטחת צד שרת, מעקב אחר גילויים, בדיקות חדירה תקופתיות ואיסוף אינטליגנציה מעמיקה כדי לבדוק אירועים לאחר המוות).

אמצעים להבטחת היכולת לשחזר את הזמינות והגישה לנתונים אישיים בזמן סביר במקרה של אירוע פיזי או טכני: טאבולה מחזיקה ב-9 מרכזי נתונים הפועלים ברחבי העולם. כל מרכז נתונים משמש כהעתקה של אחד מהשני כך שאם אחד מתמוטט ניתן לחלץ את הנתונים ממרכז נתונים אחר.

תהליכים לבדוק, להעריך ולהעריך באופן קבוע את היעילות של אמצעים טכניים וארגוניים כדי להבטיח את האבטחה של העיבוד: Taboola שומרת על תהליכים מחמירים לבדוק את היעילות של הבקרות שלה (גם טכניות וגם ארגוניות). יש לנו רישום ומעקב מערכת במקום, בדיקות DR חודשיות (לפחות), בדיקות חדירה רבעוניות, חומות אש המגנות על הרשת והוניפוטים מפוזרים ברחבי הרשת כדי למצוא כל פעילות זדונית. בנוסף, יש לנו תוכנית פרסים שמסייעת לנו לעקוב באופן קבוע אחר הרשת שלנו.

אמצעים לזיהוי ואישור משתמשים: כל משתמש בטאבולה משויך לשם משתמש וסיסמה ייעודיים. כל גישה לרשת הפנימית של טאבולה מתבצעת עם 2FA באמצעות אימות של גוגל. משתמשים נוצרו רק על ידי מחלקת ה-IT, במהלך תהליך הקליטה ורק לאחר קבלת כל הפרטים וחוזה חתום ממחלקת משאבי אנוש.

אמצעים להגנה על נתונים במהלך העברה: טאבולה תומכת בכל העברת נתונים באמצעות פרוטוקולי העברה מאובטחים (HTTPS ו-TLS v1.2 לפחות). בנוסף, מערכות שעשויות להכיל PII מאובטחות והנתונים נשמרים בצורה מוצפנת ואנונימית.

אמצעים להגנה על נתונים במהלך אחסון: נתונים המאוחסנים במסדי הנתונים שלנו הם אנונימיים ומוצפנים באמצעות Bcrypt. הגישה למסד הנתונים ממוזערת ומבוססת על עקרון ‘הצורך לדעת’ העסקי.

אמצעים להבטחת אבטחה פיזית של מקומות בהם מעובדים נתונים אישיים: כל אחד ממרכזי הנתונים הגלובליים של טאבולה (בארה”ב, אירופה ואסיה), יש לו את כל השרתים שלו ממוקמים בארונות נעולים המוחזקים באופן בלעדי לשימוש טאבולה. הארונות הללו מוחזקים על ידי חברות שהן או מוסמכות SOC2 או שטאבולה בדקה את אמצעי האבטחה שלהן. בנוסף, כל גישה לשרתים דורשת אישור בכתב, מתועד. כל המשרדים של טאבולה גם כן תחת שליטה, ודורשים מהעובדים להשתמש בכרטיסי גישה כדי להיכנס. בנוסף, רק מספר מוגבל של עובדים יש להם גישה לשרתים של טאבולה וכל גישה גם כן דורשת אישור בכתב, מתועד.

אמצעים להבטחת רישום אירועים: טאבולה מיישמת כלים למעקב ורישומים נאספים למערכת ה-SIEM שלנו שמתריעה לנו על כל אירוע חשוד וגם מנוטרת על ידי צוות ה-NOC.

אמצעים להבטחת תצורת המערכת, כולל תצורה ברירת מחדל: השרתים נסרקים עבור סטיית תצורה ורמת תיקון. דיווח ו/או התראות מוגדרות על שניהם ורמת תיקון רלוונטית מאושרת. תיקונים חדשים מופצים באמצעות Puppet. כל הביקורות הטכניות מנוהלות דרך אפליקציית R&D ומתקבלות דרך תהליך ביקורת פורמלי (QA) לאחר שהקידוד ותהליכי CI/CD יושמו גם כן.

אמצעים לממשלת IT פנימית וניהול אבטחת IT: טאבולה מוסמכת ISO 27001:2013 ו-27701. לטאבולה יש מדיניות אבטחת מידע המצהירה כי דירקטוריון ומנהלי טאבולה מחויבים לשמור על סודיות, שלמות וזמינות של כל נכסי המידע הפיזיים והאלקטרוניים בכל הארגון שלהם. טאבולה מקיימת הכשרות אבטחה לכל העובדים החדשים, הכשרות פישינג לכל העובדים ברחבי העולם, והכשרות אבטחה רגילות לכל העובדים וגם מקדישה מפגשים לקבוצות R&D.

אמצעים להסמכה/הבטחת תהליכים ומוצרים: ביקורת פנימית רבעונית/חצי שנתית/שנתית על מספר תהליכים ומערכות כדי לאמת שטאבולה עומדת במטרות האבטחה שלה ובאמצעים המוגדרים.

אמצעים להבטחת צמצום נתונים: טאבולה מגבילה במכוון את הנתונים שאנו אוספים כחלק מעקרונות צמצום הנתונים הגלובליים של טאבולה, המעבדים רק את הנתונים המוגבלים הנדרשים למטרות העסקיות הספציפיות שלנו. בנוסף, לטאבולה אין את היכולת, ולא צורך עסקי, “להנדס מחדש” אף אחד מהנתונים המשמשים באלגוריתם שלנו כדי לספק את השירותים שלנו. בצורה יותר ספציפית, נקודות הנתונים שטאבולה אוספת אינן מעידות על זהות המשתמש — מכיוון שטאבולה אינה אוספת או מעבדת מידע כגון שם המשתמש, מספר טלפון, דוא”ל או כתובות פיזיות. במקום זאת, טאבולה אוספת רק מזהים פסאודונימיים, המזהים רק תכונות לגבי המכשיר של המשתמש. זה כולל כתובות IP (המוקצבות בעת האיסוף ויכולות לזהות רק את מיקום המיקוד הכללי של המכשיר, אך לעולם לא מיקום גיאוגרפי מדויק) ובמקרים מוגבלים, כתובות דוא”ל שהוסרו (שאינן הפיכות מטבען ואינן יכולות להיות מפוענחות כדי לחשוף את כתובת הדוא”ל המקורית). בנוסף, גם כאשר הנתונים שאנו אוספים משמשים באופן קולקטיבי, הם לעולם לא יכולים לייצר את שמו, מספר הטלפון, הדוא”ל או הכתובת הפיזית של אדם, והמהנדסים שלנו אינם עובדים בשום אופן כדי להשיג מטרה זו. בנוסף, טאבולה מבצעת ומקלטת הערכות השפעת פרטיות במאמץ לצמצם את הסיכונים הפרטיים של השירותים, התהליכים והמדיניות שלנו.

אמצעים להבטחת איכות הנתונים: הנתונים נאספים ישירות מהמשתמש והמשתמש מקבל את ההזדמנות לתקן כל נתון הקשור ל-CookieID שלו דרך פורטל הבקשה לגישה של Taboola: https://accessrequest.taboola.com/access

אמצעים להבטחת שמירה מוגבלת על נתונים: אנו שומרים על מידע משתמש, שנאסף ישירות למטרות הצגת פרסומות, לכל היותר שלושה עשר (13) חודשים מהאינטראקציה האחרונה של המשתמש עם השירותים שלנו (לעיתים לפרק זמן קצר יותר), לאחר מכן אנו מסירים את המזהים הייחודיים או מאגדים את הנתונים. תהליך זה מתבצע אוטומטית.

אמצעים להבטחת אחריות: Taboola מבצעת מספר בדיקות אבטחה ובדיקות חדירה (אך לא לכל המערכות). Taboola גם משתמשת בספקי ענן שהם בעלי תעודת ISO ועומדים בתעודות רלוונטיות אחרות לשמירה על אמצעי הגנה פיזיים של השרת.

אמצעים לאפשרות ניידות נתונים ולהבטחת מחיקה: כל מדיה חייבת להיות נמחקת לחלוטין לפני שנעשה בה שימוש חוזר או שהיא נזרקת. כל סילוק מדיה מתועד. עובדים מקבלים הנחיות לא להדפיס כל נייר שעשוי להכיל מידע אישי.

ANNEX C

העברות מוגבלות

1. במידה וצד מבצע העברה מוגבלת של נתונים שנאספו לצד השני, Standard Contractual Clausesיים ייכללו בתנאי הפרטיות של המפרסם ויחולו כדלקמן:
   1. כאשר ההעברה המוגבלת היא העברה מוגבלת של האיחוד האירופי, EU SCCsי יחולו בין הצדדים כדלקמן:
      1. מודול אחד יחול;
      2. בסעיף 7, סעיף העגינה האופציונלי יחול;
      3. בסעיף 11, השפה האופציונלית לא תחול;
      4. בסעיף 17, אפשרות 1 תיכנס לתוקף, וEU SCCsי יהיו כפופים לחוק האירי;
      5. בסעיף 18(b), סכסוכים ייפתרו לפני בתי המשפט של אירלנד;
      6. חלקים A, B ו-C של נספח I ייחשבו כמושלמים עם המידע המפורט בחלקים A, B ו-C של נספח A לתנאי הפרטיות של המפרסם; ו
      7. נספח II ייחשב כמושלם עם אמצעי האבטחה המפורטים בנספח B לתנאי הפרטיות של המפרסם;
   2. כאשר ההעברה המוגבלת היא העברה מוגבלת של בריטניה, UK Addendum יחול בין הצדדים כדלקמן:
      1. EU SCCsי, המושלמים כפי שמפורט לעיל יחולו בין הצדדים, ויתוקנו על ידי UK Addendum (המושלם כפי שמפורט בסעיף המשנה (ii) למטה); ו
      2. טבלאות 1 עד 3 של UK Addendum ייחשבו כמושלמות עם מידע רלוונטי מEU SCCsי, המושלמים כפי שמפורט לעיל, והאפשרויות “מייצא” ו”מייבא” ייחשבו כסומנו בטבלה 4. תאריך ההתחלה של UK Addendum (כפי שמפורט בטבלה 1) יהיה תאריך התוקף של תנאי הפרטיות של המפרסם.
2. העברות מוגבלות קדימה:  אף צד לא יעשה העברה מוגבלת קדימה של נתונים שנאספו שהוא מקבל מהצד השני אלא אם כן הוא ביצע את כל הפעולות והדברים הנדרשים כדי להבטיח שההעברה המוגבלת קדימה תהיה תואמת לחוק הגנת הנתונים החל וכל SCCs שהוא הסכים עם הצד השני.