תנאי פרטיות עבור בעלי נכסים דיגיטליים

Last Update: October 10, 2024

תאריך כניסה לתוקף: 10 באוקטובר 2024

תנאי פרטיות אלה של Taboola עבור בעלי רכוש דיגיטלי (“תנאי פרטיות המפרסם”) חלים על שירותי הפרסום הדיגיטלי של Taboola, כגון כאשר Taboola מציגה תוכן מפרסם על רכוש המפרסם, כולל, אך לא מוגבל, מוצרים ושירותים של המפרסם כגון Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News ו- Taboola Push, בהתאם להסכם בין Taboola לבין מפרסם (“הסכם”), ותנאי פרטיות מפרסם אלה ייחשבו משולבים וחלק בלתי נפרד מכל הסכם כזה. תנאי פרטיות המפרסם האלה מגדירים את התפקידים והאחריות של Taboola והפרסם ביחס לנתונים אישיים.

במקרה של סכסוך בין תנאי פרטיות המפרסם וההסכם, תנאים פרטיות המפרסם יחולו, אלא אם כן ההוראה המנוגדת בהסכם מתייחסת במפורש להוראה המנוגדת של תנאים פרטיות המפרסם אלה ומפרטת כי היא תחליף את ההוראה המנוגדת.

למונחים המוגדרים בסעיף זה יש את המשמעות המתוארת להלן, ומונחים קוגנים יש לפרש בהתאם. למונחים המשמשים אך לא מוגדרים בתנאי הפרטיות של המפרסם יש את המשמעות המוגדרת בהסכם.

      1. חוקי הגנת נתונים הרלוונטיים” כל חוקי הפרטיות והגנת הנתונים הפדרליים, הלאומיים, המדינתיים או אחרים החלים על עיבוד שהוא הנושא של ההסכם וההגנה על נתונים אלה, כפי שניתן לשנות או להחליף מעת לעת.
      2. “חוק הפרטיות של קליפורניה” פירושו חוק פרטיות הצרכן של קליפורניה משנת 2018, קאל. קוד האזרחי § 1798.100 et seq. (ידוע גם כ”CCPA“), כפי שתוקן (כולל חוק זכויות הפרטיות של קליפורניה), וכל חקיקה משולבת ותקנות יישום.
      3. מעבד” פירושו: (i) ישות אשר קובעת את המטרות ואת האמצעים של עיבוד נתונים אישיים, ו (ii) כל אדם או ישות שמתאים לתחום המונח “מעבד” או “עסק” (או כל מונח דומה באופן משמעותי) כפי שהוגדר בחוקי הגנת הנתונים החלים.
      4. נושא נתונים” פירושו: (i) אדם טבעי מזוהה או מזוהה (וגם, למטרות אלה, אדם טבעי מזוהה הוא אדם שניתן לזהות, ישירות או עקיפה, ובמיוחד על ידי התייחסות לזהות כגון שם, מספר זיהוי, נתוני מיקום, מזהה מקוון או אחד או יותר גורמים ספציפיים לזהות הפיזית, הפיזיולוגית, הגנטית, הנפשית, הכלכלית, התרבותית או החברתית של אותו אדם טבעי), ו (ii) כל אדם הנכנס לתחום המונח “נושא נתונים”, “צרכן” (או כל מונח דומה באופן משמעותי) כפי שמוגדר בחוקי הגנת נתונים.
      5. “חוק הגנת נתונים של איחוד האירופי” פירושו: (i) תקן הגנת הנתונים הכללי של האיחוד האירופי (התקנה 2016/679) (“EU GDPR“); (ii) תקן הפרטיות האלקטרונית של האיחוד האירופי (התקנה 2002/58/EC); (iii) כל חוקי הגנת נתונים לאומיים שנעשו על פי או על פי (i) או (ii), כל אחד מהם עשוי להשתנות או להחליף מעת לעת.
      6. נתונים אישיים” כל מידע הנוגע לאדם מזוהה או מזוהה (והמונח זה כולל, במידת הצורך על פי חוק הגנת הנתונים הרלוונטי, זיהוי דפדפן או מכשיר ייחודי), כפי שנקבע בחלק B של Annex A.
        1. נתונים אישיים אינטראקציה” פירושו כל נתונים אישיים שנאספו מצרכנים בזמן או בעקבות אינטראקציה מכוונת של הצרכן עם Taboola, המוצרים של Taboola, הנכסים של Taboola ומקומות הפרסום של Taboola.
        2. נתונים אישיים של אינטראקציה פסיבית” פירושו כל נתונים אישיים שנאספו באופן פסיבי ממכשירי Publisher, כולל, אך לא מוגבל לזה, כתובת IP, כתובת הדף ו- User Agent String שנאספו על ידי Taboola, לפני או בהיעדר אינטראקציה מכוונת של הצרכן עם Taboola, המוצרים של Taboola, המאפיינים של Taboola והפרסומות של Taboola.
      7. עיבוד” פירושו כל פעולה או קבוצה של פעולות המבוצעות על נתונים אישיים או על מערכות נתונים אישיים, בין אם באמצעות אמצעים אוטומטיים, כגון איסוף, קבלה, רישום, ארגון, מבנה, שימוש, העברה, גישה, שיתוף, גילוי, העברה, אחסון, התאמה או שינוי, חיפוש, ייעוץ, הפצה או שידור אחר, התאמה או שילוב, סיווג, מושתתת, ניתוח, הגבלה, מחיקה, הרס או עיבוד אחר של נתונים אישיים, כולל איך המונח הזה מוגדר בחוק הגנת נתונים.
      8. מעבד” פירושו ישות המעבדת נתונים אישיים בשם מנהל הנתונים, וכוללת את האופן שבו המונח הזה ו/או המונח “מעבד נתונים” (או כל מונח דומה באופן משמעותי) מוגדר בחוק הגנת הנתונים החלים.
      9. עברה מוגבלת” פירושה: (i) כאשר EU GDPR חל, העברה של נתונים אישיים מ- EEA למדינה מחוץ ל- EEA שאינה כפופה להחלטה מספקת על ידי הנציבות האירופית (“עברה מוגבלת של EU“); ו- (ii) כאשר UK GDPR חל, העברה של נתונים אישיים מהממלכה המאוחדת לכל מדינה אחרת שאינה כפופה או מבוססת על תקנות מספקת על פי סעיף 17A של חוק הגנת הנתונים של בריטניה 2018 (“עברה מוגבלת של UK“).
      10. שירותים” פירושו שירותים שסופקו על ידי Taboola במסגרת ההסכם עם המפרסם.
      11. “תקרית אבטחה” פירושה הפרה של אבטחה המובילה להשמדה, אובדן, שינוי, גילוי לא מורשה של נתונים אישיים או גישה לא חוקית אליהם.
      12. סעיפים חוזיים סטנדרטיים” פירושו: (i) כאשר GDPR של האיחוד האירופי חל, הסעיפים החוזיים המצורפים להחלטת יישום 2021/914 של הנציבות האירופית, של 4 ביוני 2021, בנוגע לסעיפים חוזיים סטנדרטיים להעברת נתונים אישיים למדינות שלישיות על פי תקנה (EU) 2016/679 של הפרלמנט האירופי והמועצה (“SCCs של האיחוד האירופי”); ו- (ii) כאשר GDPR של בריטניה חל, “התוספה הבינלאומית להעברת נתונים לסעיפים חוזיים סטנדרטיים של הנציב למידע של האיחוד האירופי” שפורסמה על פי סעיף 119A(1) של DPA 2018 (“התוספה בבריטניה”).
      13. צד שלישי” פירושו עסק המפעיל את תפקידו של הבקר לגבי נתונים אישיים, וזה לא העסק שבו נושא הנתונים שהנתונים האישיים שלו מעובדים איתו אינטראקציה מכוונת; המונח כולל את האופן שבו המונח הזה מוגדר בחוק הגנת הנתונים החלים.
      14. “חוק הגנת נתונים של UK” פירושו: (i) חוק הגנת הנתונים של UK 2018, (ii) UK GDPR (כפי שמוגדר בסעיף 3(10) של UK Data Protection Act 2018) (“UK GDPR“), (iii) תקנות הפרטיות והתקשורת האלקטרונית של UK (Directive EC) 2003), ו (iv) כל חוק UK אחר שנעשה על פי (i), (ii) או (iii), כל אחד מהם עשוי להשתנות או להחליף מעת לעת.

לגבי נתונים אישיים המעובדים בקשר לשירותים, כל צד מסכים כי הוא יעבד את הנתונים האישיים שהוא אוסף רק למטרות המתוארות בחלק B של Annex A (“מטרות מורשות“) וכפי שמותר על ידי תנאי פרטיות המפרסם אלה, ההסכם, ואת חוקי הגנת הנתונים החלים, שכן כל אחד מהם עשוי להיות מעודכן מעת לעת. Taboola עשויה גם לעבד את הנתונים האישיים של האינטראקציה הפסיבית כפי שמותר במדיניות הפרטיות של Taboola, כפי שניתן לעדכן מעת לעת.

כל צד יעבד את הנתונים האישיים של אינטראקציה פסיבית שהוא אוסף בתור מנהל או צד שלישי, בהתאם. כל צד יעבד את הנתונים האישיים האינטראקציה שהוא אוסף בתור מנהל או עסק, בהתאם. גילוי (בין אם ישירות או באמצעות צד שמספק נתונים לצד השני) של נתונים אישיים מצד אחד לצד השני הוא גילוי לצדדים שלישיים.

      1. אם חוק הגנת הנתונים של ארה”ב או מדינת ארה”ב חל על נתונים אישיים, כולל ללא הגבלה חוק הפרטיות של קליפורניה, במידה שבה Taboola מעבדת נתונים אישיים של אינטראקציה פסיבית בקשר לשירותים, Taboola פועלת כצד שלישי לפרסום עבור נתונים אישיים של אינטראקציה פסיבית כאלה. Taboola תעבד נתונים אישיים של אינטראקציה פסיבית כאלה למטרות המתוארות ב- Annex A, Part B וכפי שמותר בתנאי הפרטיות של המפרסם, ההסכם, החוק הרלוונטי להגנת הנתונים ומדיניות הפרטיות של Taboola, שכן כל אחד מהם עשוי להיות מעודכן מעת לעת. נתונים אישיים של אינטראקציה פסיבית כאלה ניתנים ל- Taboola רק למטרות אלה. Taboola תספק את אותה רמת הגנה על פרטיות כפי שנדרש לחברות על פי חוקי הגנת הנתונים החלים בארה”ב, לרבות חוקי הפרטיות של קליפורניה. ל- Publisher יש את הזכות להבטיח כי Taboola משתמשת בנתונים אישיים של אינטראקציה פסיבית באופן תואם לחובותיו של Publisher. לאחר מסירת הודעה ל- Taboola, יש ל- Publisher את הזכות לנקוט בצעדים סבירים ונאותים כדי לעצור ולתקן שימוש לא מורשה בנתונים אישיים שהיא מעניקה ל- Taboola. Taboola תודיע ל- Publisher בתקופה הנדרשת על פי חוקי הגנת הנתונים הרלוונטיים אם Taboola קובעת שהיא אינה מסוגלת עוד למלא את התחייבויותיה על פי חוקי הגנת הנתונים הרלוונטיים. במידה שבה Taboola אוספת נתונים אישיים של אינטראקציה בקשר לשירותים, היא תעשה זאת כעסק נפרד.

הצדדים מכירים בכך שהם רשאים לעבד נתונים אישיים וכי חוקי הגנת הנתונים החלים עשויים לחול על עיבוד הנתונים האישיים של כל צד. במקרה זה, כל צד יצטרך לציית לחוקי הגנת הנתונים החלים כאלה ביחס לעיבוד הנתונים האישיים שלו. במקרה זה, ובתנאי סעיף 7, כל צד יהיה אחראי באופן אישי לצייתו לחוקי הגנת הנתונים הרלוונטיים, לרבות כל דרישה רלוונטית כדי: (i) לספק שקיפות לנושא הנתונים, (ii) לקבל הסכמה או בסיס חוקי אחר לעיבוד, ו (iii) לספק נקודת קשר באמצעותה נושאים הנתונים יכולים לממש את זכויותיהם להגנת הנתונים. המפרסם יודיע Taboola באופן מיידי אם ובמידה שהיא מקבלת בקשה כלשהי לזכויות הגנת נתונים בנוגע לעיבוד של Taboola של נתונים אישיים בתור מנהל, כך Taboola יכולה למלא את הבקשה בהתאם לחובותיה על פי חוק הגנת נתונים.

  1. המפרסם יפנה כל בקשה שנשלחה על ידי נושא נתונים בנוגע לשירותי Taboola אל פורטל בקשת הגישה של נושא נתונים גלובלי של Taboola או ארה”ב. פורטל זכויות הצרכן Opt-out, בהתאם.

אם כל צד מקבל כל שאלה, תלונה או כתבה (“הודעה לצד שלישי“) מאדם פרטי, רגולטור או צד שלישי אחר בנוגע לעיבוד נתונים אישיים של נושא הנתונים בקשר לשירותים, הוא יודיע באופן מיידי לצד השני והצדים ישתף פעולה בנימוס ובהכרח כדי לענות על הדרישות של הודעת צד שלישי כזו.

במקרה של העברה מוגבלת של נתונים אישיים כלפי הצד השני, יחולו הוראות סעיף C.

במידה שבה Taboola אוספת נתונים אישיים ממכשירי המפרסם באמצעות קוד Taboola, Pixels וטכנולוגיות מעקב אחרות, המפרסם: (i) מספק לנושא הנתונים את כל הודעות השקיפות הדרושות לגבי השימוש של Taboola בקוד Taboola כדי לאסוף נתונים אישיים ממכשירי המפרסם למטרות המותרות, ו- (ii) להשיג (ואתכן, על פי בקשה כלשהי על ידי Taboola, לספק הוכחה מתאימה של) נושא הנתונים לשימוש כזה בקוד Taboola למטרות המותרות, בכל מקרה בהתאם לדרישות של חוקי הגנת הנתונים החלים. החובות של המפרסם בהקשר זה כוללות זיהוי של Taboola והשימוש בו בקוד Taboola למטרות המותרות באופן מפורש בהודעות השקיפות וההסכמה שהמפרסם מספק לנושא הנתונים, כמו גם כל מידע אחר הנדרש על פי חוקי הגנת הנתונים החלים, כך ש-Taboola תוכל לספק את השירותים שלה באופן חוקי באמצעות תכונות אלה ולעבד נתונים אישיים למטרות המותרות. על פי בקשה בכתב, Taboola תספק ל- Publisher את כל המידע ש- Publisher עשוי לדרוש באופן סביר בקשר לקוד Taboola ולעבודת הנתונים האישיים של Taboola באמצעות Properties for Publisher כדי להבטיח כי מנגנוני ההודעה וההסכמה שלה יעמדו בקנה אחד עם חוקי הגנת הנתונים החלים. הוצאה לאור מסכים באופן ספציפי כי:

  1. בנוגע לרכישות המבוססות על האינטרנט שלה, מדיניות הפרטיות של המפרסם תתאר את השימוש של קובצי Cookie, מזהים ייחודיים וטכנולוגיות שאינן Cookie על ידי צדדים שלישיים (כלומר Taboola) לפרסום וניתוח מבוססי תחומי עניין (בתוך ובחוץ לרכישות), והיא תספק קישור לדף Opt-out של התעשייה המבוססת על האינטרנט של NAI בדף http://www.networkadvertising.org, קישור Opt-out של התעשייה של DAA בדף http://www.about.info באיחוד האירופי, או קישור לדף Opt-out של EDAA בדף http://www.yourchoices.eu.
  2. בנוגע לתכונות המבוססות על אפליקציות ניידות, מדיניות הפרטיות של המפרסם תתאר את השימוש באפליקציות הניידות שלה ב-SDK’ים ואוסף מזהמי מודעות ניידים לצורך פרסום וניתוח מבוססי תחומי עניין או בין אפליקציות (בתוכניות ומחוץ להן); ותספק תיאור של האופן שבו משתמשים ומבקרים יכולים לבטל את איסוף הנתונים הניידים לצורך פרסום בין אפליקציות באמצעות הגדרות המכשיר.
  3. עבור הנכסים הנוגעים לאיחוד EU, המפרסם יבטיח כי הוא יקבל את הסכמתו החופשית, הספציפית, המודעת והבלתי חד משמעית של המבקרים בהתאם לחוק הפרטיות של האיחוד EU, בנוגע לשים או לגשת לכל Cookies Taboola או כל מזהה ייחודי אחר במכשיר של המבקרים. המפרסם יספק למבקרים פרטי קשר (אשר עשויים לכלול גישה לפרטים אלה באמצעות מדיניות הפרטיות שלו) כדי שיוכלו ליצור קשר עם המפרסם כדי לממש את זכויותיהם להגנת הנתונים (כולל לגבי נתונים אישיים המעובדים בקשר לשירותים). החובות הקודמות חלים כאשר נכסי המפרסם מושכים מבקרים בתחומי שיפוט הדורשים מנגנונים של הסכמה בנוגע לשירותים.

במהלך התקופה, Taboola עשויה לספק למפרסם מדיניות פרטיות מומלצת או שפת גילוי. המוציא לאור מכיר בכך שאינו יכול להסתמך על שפה המומלצת כזאת או להחליף עצות משפטיות וכי המוציא לאור או החברה עצמה אחראית לבדה לכל גילוי במדיניות הפרטיות שלה או באתר האינטרנט שלה.

המפרסם לא יספק או יגדיר את השירותים כדי לאסוף או לחשוף Taboola קטגוריות מיוחדות של נתונים אישיים או מידע אישי רגיש או נתונים רגישים (כפי שהוגדרו בחוק הגנת הנתונים החלים) לצורך עיבוד. יתר על כן, המפרסם יוודא כי כל כתובות אינטרנט לדף המוצעות ל- Taboola לא יכילו מידע על כותרת הסרטון. Taboola שומרת לעצמה את הזכות להשעות את השירותים עבור המוציא לאור במקרה של אי עמידה בסעיף זה, אלא אם כן ועד שהיעדר כזה יתוקן.

כל צד יישם אמצעי אבטחה טכניים וארגוניים מתאימים כדי להגן על הנתונים האישיים של המבקרים מפני תקרית אבטחה. אמצעים אלה כוללים את אמצעים המפורטים בהסכם ב’.

אם אחת מהצדדים חווה תקרית אבטחה בנוגע לנתונים אישיים שהיא מעבדת והיא נושא ההסכם ובתנאי פרטיות המפרסם האלה, היא תהיה: (i) אחראית למלא (על חשבון עצמה) את כל התחייבויות הדיווח החלים עליה לפי חוקי הגנת הנתונים החלים לרשויות להגנת נתונים ו/או נושאי נתונים המושפעים, (ii) תודיע ללא עיכוב בלתי הוגן לצד השני, תספק את כל המידע על תקרית האבטחה אשר עשוי להידרש באופן סביר על ידי הצד השני או כפי שנדרש אחרת לצד השני כדי לקבוע אם היא עשויה גם להיות מחויבת לדיווח על תקרית האבטחה בהתאם לחוקי הגנת הנתונים החלים, ו-iii) תנקוט ללא עיכוב בלתי הוגן בכל הפעולות והאמצעים המתאימות כדי לתקן ו/או להקל על ההשפעות של תקרית האבטחה.

במידה ובהיקף שנדרש על פי חוקי הגנת הנתונים הרלוונטיים של כל צד, כל צד יבצע הערכת השפעה על הגנת הנתונים בנוגע לעיבוד הנתונים האישיים שלו למטרות המותרות ו/או ייעוץ עם רשויות הגנת הנתונים הרלוונטיות, במידת הצורך. כל צד יספק את כל שיתוף הפעולה והמידע הנדרשים באופן סביר על ידי הצד השני, כאשר הדבר נחוץ כדי לאפשר לצד השני להשלים הערכת השפעה על הגנת הנתונים ו/או להתייעץ עם רשויות הגנת הנתונים הרלוונטיות בהתאם לחובותיו של הצד השני לפי סעיף זה.

א. רשימת הצדדים

כל צד יהיה:

  • מנהל הנתונים (ואייצוא הנתונים) של הנתונים האוספים שהוא חושף, או עושה זמין, לצד השני, וכן
  • מנהל נתונים (ואבואן נתונים) של נתונים שנאספו שהוא מקבל מהצד השני, או אליהם ניתן גישה על ידי הצד השני.

הפרטים של כל צד מוצגים למטה.

שם: ראה את הפרטים של המפרסם המפורטים בהסכם.

כתובת: ראה פרטים של המפרסם המפורטים בהסכם.

שם, עמדה ופרטים של איש הקשר: ראו את הפרטים של המוציא לאור המפורטים בהסכם או בהסכמה אחרת בין הצדדים בכתב.

פעילויות הקשורות לנתונים המועברים בהתאם לסעיפים אלה: הקבלה של השירותים, כמתואר בהסכם.

חתימה ותאריך: הסעיף A זה ייחשב כבוצע עם קבלת המוציא לאור של תנאי פרטיות המוציא לאור אלה.

תפקיד (Controller / Processor): מעבדה (אם היא מייצרת נתונים) ומעבדה (אם היא מייצרת נתונים)

 

שם: ראו את הפרטים של Taboola בהקדמת ההסכם.

כתובת: ראו את הפרטים של Taboola בהקדמת ההסכם.

שם, עמדה ופרטים של איש הקשר: צוות הפרטיות של Taboola: privacy@taboola.com.

פעילויות הקשורות לנתונים המועברים בהתאם לסעיפים אלה: הספקת השירותים, כמתואר בהסכם.

חתימה ותאריך: סעיף A זה ייחשב כבוצע לאחר קבלת Taboola של תנאי פרטיות המפרסם האלה.

תפקיד (Controller / Processor): מעבדה (אם היא מייצרת נתונים) ומעבדה (אם היא מייצרת נתונים)

 

B. תיאור העיבוד והעברה

קטגוריות של נושאים נתונים אשר הנתונים האישיים שלהם מעובדים ו / או מועברים: משתמשים

קטגוריות של נתונים אישיים מעובדים ו/או מועברים:

נתוני מכשיר: המכשיר, הדפדפן והמערכת ההפעלה של המשתמש; מידע על המכשיר הנייד (כל ה-ID הנייד מחוספס) כולל IDFAs ו- AAIDs; נתוני Cookie שניתן לקרוא או לפתוח על ידי Taboola (כל ה-ID Cookie / ה-ID המשתמש מחוספס); כתובות IP; הודעות דואר אלקטרוני מחוספס; אתר המפנה; שפת המשתמש; מדינה / אזור / עיר. אם יישומים ניידים הם חלק מהשירותים, אלמנטים נתונים נוספים כוללים קצרים ולא מדויקים, סוג חיבור וממדים מסך.

נתונים על הנכסים הדיגיטליים שביקרו על ידי המשתמש: איך הפלטפורמה הוצגה והאם המשתמש אינטראקציה עם הפלטפורמה; התנהגות אינטרנט או אפליקציה.

במידה Header Bidding הוא חלק מהשירותים, החלים:

  • Bid Request/Response Data: מזהה ייחודי של Bid Request, IMP object המייצג את ההדפסה המוצעת, אתר המפרסם או האפליקציה המוצגת, אפליקציה, מכשיר, סוג מכירה פומבית, זמן מקסימלי, מטבע, קטגוריות חסומות, מזהה מכשיר, מזהה משתמש Taboola, שותפים לטלפון: URL.

לגבי Taboola Newsroom, החלים הדברים הבאים:

  • אירועים מהאתר של המוציא לאור: נתוני ההמרה
  • מידע על הדפדפן של המשתמש שקרא מהסוכן המשתמש: כתובת ה-URL של הדף שנבקר, האתר המפנה, מערכת ההפעלה, סוג הדפדפן וגרסת הדפדפן, מזהה המשתמש של Taboola הנקרא מהקובץ ה-Cookie, כתובת ה-IP הנקראת (הופסק לאחר 30 יום).

נתונים רגישים המועברים (אם יש) והגבלות או אמצעי הגנה המשמשים בהתחשב במלואם באופי הנתונים והסיכונים המעורבים בהם, כגון הגבלת מטרה קפדנית, הגבלות גישה (כולל גישה רק לצוות שעבר הכשרה מיוחדת), שמירה על תיעוד גישה לנתונים, הגבלות על העברות נוספות או אמצעי אבטחה נוספים: לא תקף.

תדירות העיבוד ו/או העברות (למשל אם הנתונים מעובדים ו/או מועברים על בסיס חד פעמי או מתמשך): משך כל תקופת ההסכם.

אופי העיבוד: עיבוד נתונים אישיים הכרחיים לספק את השירותים, כמתואר בהסכם.

מטרה(ים) של עיבוד נתונים / העברה ועיבוד נוסף: הספק של השירותים, כמתואר בהסכם. כדי למנוע ספק, המטרות המותרות כוללות: (i) לאחסן ו/או לגשת למידע במכשיר; (ii) לבחור מודעות בסיסיות; (iii) ליצור פרופיל מודעות מותאם אישית; (iv) לבחור מודעות מותאמות אישית; (v) ליצור פרופיל תוכן מותאם אישית; (vi) לבחור תוכן מותאם אישית; (vii) למדוד ביצועי מודעות; (viii) למדוד ביצועי תוכן; (ix) לפתח ולשפר מוצרים; (xv) להבטיח אבטחה, למנוע הונאה ודיבוג; (xi) לספק מודעות או תוכן מבחינה טכנית; (xii) להתאים ולשלב מקורות נתונים לא מקוונים; (xiii) לקשר מכשירים שונים; (xiv) לקבל ולהשתמש מאפיינים של מכשירים שנשלחו באופן אוטומטי לזיהוי; (xv) להשתמש במידע מוגבל לבחירת תוכן, ו(vix) לשמור ולתקשר בחירות פרטיות.

במקרה של Taboola Newsroom, החלים הדברים הבאים: (i) מעקב אחר אירועי המרת המנוי.

במקרה של Taboola Push, יש את המטרה הנוספת הבאה: (i) שליחת הודעות למכשיר של המשתמש.

במקרה בו Header Bidding הוא חלק מהשירותים, יש להחיל את המטרה הנוספת הבאה: (i) לקבוע אם להציע הצעה על מיקום ולספק המלצות מותאמות אישית.

במידה שאתה חלק מהשירותים, יש לשמש המטרה הנוספת הבאה: (i) אוטומציה וטיפוח תוכן מוציא לאור בדפי הבית של רכוש דיגיטלי מוגדרים.

זמן שבו הנתונים האישיים יישמרו, או, אם זה לא אפשרי, הקריטריונים המשמשים לקביעת תקופה זו:

  • Taboola: הנתונים הגולמיים מאוחסנים למעלה מ-13 חודשים.
  • מפרסמים: כל עוד יש צורך לקבל את השירותים או כפי שנקבע אחרת בהסכם.

במקרה של העברות ל(תת-) מעבדים, לציין גם את הנושא, אופי ותקופת העיבוד: לא תקף.

 

C. סמכות פיקוח רלוונטית

רשות פיקוח רלוונטית כאשר EU GDPR חל: הרשות המפקחת המתאימה לכל צד היא כמתואר להלן:

  • Taboola: הרשות המפקחת המתאימה נקבעת בהתאם לסעיף 13 של EU SCCs.
  • מפרסמים: הרשות המפקחת המתאימה נקבעת בהתאם לסעיף 13 של EU SCCs.

רשות פיקוח רלוונטית כאשר UK GDPR חל: משרד נציב המידע

תיאור של האמצעים הטכניים והארגוניים המיושמים על ידי כל צד (כולל כל אישורים רלוונטיים) כדי להבטיח רמה מתאימה של אבטחה, בהתחשב באופי, בהיקף, בהקשר ובמטרה של העיבוד, וכן בסיכונים לזכויות וחירויות של אנשים טבעיים.

אמצעי הפסדונמיזציה והצפנה של נתונים אישיים: Taboola אוספת רק נתונים פסידואימיים, כלומר אנחנו לא יודעים מי אתה כי אנחנו לא יודעים או מעבדים את שם המשתמש, כתובת הדוא”ל או נתונים מזהים אחרים. מידע המשתמש שאנו אוספים כולל, אך אינו מוגבל למידע אודות המכשיר והמערכת הפעלה של המשתמש, IP Address, הדפים שהמשתמשים נכנסים אליהם באתרי האינטרנט של הלקוחות שלנו, הקישור שהוביל את המשתמש לאתר האינטרנט של הלקוח, התאריכים והזמנים שבהם המשתמש נכנס לאתר האינטרנט של הלקוח ונתוני גלישה באינטרנט אחרים. CookieID הוא אנונימי באמצעות Bcrypt ו IP Address הוא מקצר.

אמצעים להבטיח סודיות מתמשכת, שלמות, זמינות ועמידות של מערכות עיבוד ושירותים: Taboola משתמשת ברמות רבות של אבטחה אלקטרונית (למשל: אבטחת נקודות קצה, אבטחה בצד השרת, מעקב אחר זיהוי, בדיקות חשיפה תקופתיות ואספקה עמוקה של מודיעין כדי לבדוק אירועים לאחר המוות).

אמצעים להבטיח את היכולת לשחזר את הזמינות וגישה לנתונים אישיים בזמן במקרה של תקרית פיזית או טכנית: Taboola מחזיקה 9 מרכזי נתונים הפועלים ברחבי העולם. כל מרכז נתונים משמש ככפיל אחד של השני, כך שאם אחד נופל, ניתן לחלץ את הנתונים ממרכז נתונים אחר.

תהליכים לביצוע בדיקות, הערכה והערכה קבועות של האפקטיביות של אמצעים טכניים וארגוניים על מנת להבטיח את אבטחת העיבוד: Taboola שומרת על תהליכים קפדניים לבדיקת האפקטיביות של השליטה שלה (טכנית וארגונית). יש לנו רישום ומעקב של המערכת במקום, בדיקות DR חודשיות (לפחות), בדיקות penetration רבעוניות, חומת אש שמגנה על האינטרנט ו- honeypots מפוזרים ברחבי הרשת כדי לאתר כל פעילות זדונית. יתר על כן, יש לנו תוכנית תגמול במקום המסייעת לנו לפקח על הרשת שלנו באופן קבוע.

אמצעים לזיהוי משתמש ואישור: כל משתמש ב Taboola מקושר עם שם משתמש וסיסמה ייעודיים. כל גישה לרשת הפנימית של Taboola נעשית עם 2FA באמצעות אימות Google. משתמשים נוצרים רק על ידי מחלקת ה- IT, במהלך תהליך ההכנסה ורק לאחר קבלת כל הפרטים וחתימת החוזה מחלקת HR.

אמצעים להגנה על נתונים במהלך העברת: Taboola תומכת בכל העברת נתונים באמצעות פרוטוקולי העברה מאובטחים (HTTPS ו- TLS v1.2 לפחות). יתר על כן, מערכות שעלולות להכיל PII מאובטחות ונתונים נשמרים בהשיכה ואנונימיות.

אמצעים להגנה על נתונים במהלך האחסון: נתונים המאוחסנים בבסיסי הנתונים שלנו אנונימיים ומחוברים באמצעות Bcrypt. גישה ל-DB מוגבלת במינימום ומבוססת על העיקרון של “צורך העסק לדעת”.

אמצעים להבטיח אבטחה פיזית של המקומות בהם נתונים אישיים מעובדים: כל אחד ממרכזי הנתונים הגלובליים של Taboola (בארצות הברית, אירופה ואסיה), יש את כל השרתים שלה ממוקמים בארגזים נעולים שמוחזקים אך ורק לשימוש של Taboola. ארגזים אלה נשמרים על ידי חברות אשר הן SOC2-certified או Taboola עברה בדיקה של אמצעי האבטחה שלהם. יתר על כן, כל גישה לשרתים דורשת אישור כתוב, רשום. כל משרדי Taboola גם נשלטים, ודורשים העובדים להשתמש בכרטיסי גישה כדי להיכנס. יתר על כן, רק למספר מוגבל של עובדים יש גישה לשרתים של Taboola וכל גישה דורשת גם אישור בכתב, רשום.

אמצעים להבטיח רישום אירועים: Taboola מיישמת כלים מעקב ורישומים נאספים למערכת SIEM שלנו אשר מזהיר אותנו על כל אירוע חשוד וגם להיות מעקב על ידי צוות NOC.

אמצעים להבטיח תצורה של המערכת, כולל תצורה ברירת המחדל: השרתים סורקים גם לרמת דריף של תצורה וגם לרמת תיקון. דיווח ו / או אזהרה מוגדרים על שניהם ורמת התיקון הרלוונטית מאושרת. פתקים חדשים מופצים באמצעות בובה. כל הביקורות הטכניות מנוהלות באמצעות יישום המחקר והפיתוח והושגו באמצעות תהליך רשמי של ביקורות (QA) לאחר הקודינג ו CI/CD processes מיושמים גם כן.

אמצעים לניהול וניהול של IT וביטחון IT פנימי: Taboola הוא ISO 27001:2013 ו 27701 מוסמך. Taboola יש מדיניות אבטחת מידע שנקבע כי המועצה והמנהלים של Taboola מחויבים לשמור על הסודיות, שלמות והזמינות של כל הנכסים הפיזיים והאלקטרוניים של המידע בכל הארגון שלהם. Taboola מארחת אימונים אבטחה לכל העובדים החדשים, אימונים פישינג לכל העובדים ברחבי העולם, אימונים אבטחה קבועים לכל העובדים וגם מפגשים מיועדים לקבוצות מחקר ופיתוח.

אמצעי אישור/אבטחה של תהליכים ומוצרים: בדיקה פנימית רביעית / חצי שנתית / שנתית על תהליכים ומערכות מרובים כדי לאמת כי Taboola עומדת במטרות האבטחה שלה ואמצעים מוגדרים.

אמצעים להבטיח מינימום נתונים: Taboola מגבילה בכוונה את הנתונים שאנו אוספים כחלק מעקרונות המינימיזציה הגלובליים של Taboola של עיבוד רק את הנתונים המוגבלים הדרושים למטרות העסקיות הספציפיות שלנו. יתר על כן, Taboola אין את היכולת, או כל צורך עסקי, “הנדסה הפוכה” של כל נקודות נתונים המשמשות אלגוריתם שלנו כדי לספק את השירותים שלנו. באופן ספציפי יותר, נקודות הנתונים שאספה Taboola לעולם אינן מצביעות על זהותו של המשתמש – שכן Taboola לא אוספת או מעבדת מידע כגון שם המשתמש, מספר טלפון, דואר אלקטרוני או כתובות פיזיות. במקום זאת, Taboola אוספת רק מזהה פסידוני, אשר רק מזהה מאפיינים של המכשיר של המשתמש. זה כולל כתובות IP (שנקצרות בעת איסוף והן יכולות לזהות רק את המיקום הכללי של קוד הדואר של המכשיר, אבל אף פעם לא מיקום גיאוגרפי מדויק) ובמקרים מוגבלים מסוימים, כתובות דואר אלקטרוני חשיפה (שהן בלתי הפיכות באופן טבעי ולא ניתן לפענח כדי לחשוף את כתובת הדואר האלקטרוני המקורית). יתר על כן, גם כאשר משתמשים באופן קולקטיבי, הנתונים שאנו אוספים לעולם לא יכולים לייצר את שמו, מספר הטלפון, הדואר האלקטרוני או כתובת הפיזית של אדם, והמהנדסים שלנו לא עובדים בשום דרך כדי להשיג מטרה זו. בנוסף, Taboola מבצעת ומקלטת הערכות השפעה על הפרטיות במאמץ למזער את הסיכונים לפרטיות של השירותים, התהליכים והמדיניות שלנו.

אמצעים להבטיח איכות נתונים: הנתונים נאספים ישירות מהמשתמש, והמשתמש מקבל את ההזדמנות לתקן את כל הנתונים הקשורים ל-CookieID שלו באמצעות פורטל בקשת הגישה של נושא Taboola: https://accessrequest.taboola.com/access

אמצעים להבטיח שמירה מוגבלת של נתונים: אנו שומרים מידע על המשתמש, שנאסף ישירות למטרות מציגת מודעות, במשך לא יותר משש עשרה (13) חודשים מהאינטראקציה האחרונה של המשתמש עם השירותים שלנו (לעיתים קרובות לתקופה קצרה יותר), לאחר מכן אנו מזיהים את הנתונים על ידי הסרת מזהים ייחודיים או אוסף הנתונים. תהליך זה נעשה באופן אוטומטי.

אמצעים להבטיח אחריות: Taboola מבצעת בדיקות אבטחה רבות ובדיקות חשיפה (אבל לא עבור כל המערכות). Taboola משתמשת גם בספקי ענן אשר מוסמכים על ידי ISO ועונים על אישורים אחרים רלוונטיים ענן לשמירה על הגנות הפיזיות של שרת.

אמצעים המאפשרים ניידות נתונים ולוודא מחיקה: Taboola קשור למחוקת מדיה זהה לכל סוג של מדיה כפי שהיא עשויה להכיל PII. כל מדיה חייבת להיות מוחקת לחלוטין לפני שימוש חוזר או פינוי. כל שימוש בתקשורת רשום. על העובדים לא להדפיס מסמכים שעלולים להכיל מידע אישי.

  1. במידה שהצד מבצע העברה מוגבלת של נתונים שנאספו לצד השני, Standard Contractual Clauses ייכללו בתנאי הפרטיות של המפרסם והם יחולו כדלקמן:

a. כאשר העברה מוגבלת היא העברה מוגבלת של EU, EU SCCs יחולו בין הצדדים כדלקמן:

  1. (i) מודול אחד יחול;
  2. (ii) בסעיף 7 יחול הסעיף האופציונלי;
  3. (iv) בסעיף 11, השפה האופציונלית לא תחול;
  4. (v) בסעיף 17, האופציה 1 תחול, ו- EU SCCs יהיו כפופים לחוק האירי;
  5. (vi) בסעיף 18(ב), סכסוכים ייפתרו בפני בתי המשפט של אירלנד;
  6. (vii) החלקים A, B ו- C של התוספת הראשונה ייחשבו למלאים עם המידע המפורט בחלקים A, B ו- C של התוספת A לתנאי פרטיות המוציאים אלה; וכן
  7. (vii) ייחשב כי Annex II הושלם עם אמצעי האבטחה המפורטים ב- Annex B לתנאי הפרטיות של המפרסם;

b. כאשר העברה מוגבלת היא העברה מוגבלת UK, UK Addendum יחול בין הצדדים כדלקמן:

(i) EU SCCs, המלאים כמתואר לעיל, יחולו בין הצדדים, והם ישתנו על ידי UK Addendum (מלאים כמתואר בסעיף (ii) להלן); וכן

(ii) הטבלאות 1 עד 3 של UK Addendum ייחשבו למלאות עם מידע רלוונטי מ- EU SCCs, המלא כמתואר לעיל, ואת האפשרויות “יצואן” ו- “יבואן” ייחשבו שנבדקו בטבלה 4. תאריך ההתחלה של UK Addendum (כפי שמתואר בטבלה 1) הוא תאריך הכניסה לתוקף של תנאי פרטיות המפרסם האלה.

2. עבור העברות מוגבלות: אף צד לא יעשה העברה מוגבלת נוספת של נתונים שנאספו שהוא מקבל מהצד השני, אלא אם כן הוא עשה את כל הפעולות והדברים הדרושים כדי להבטיח שהעברה מוגבלת נוספת כזו תואמת את חוק הגנת הנתונים החלים וכל Standard Contractual Clauses שהוא הסכים עם הצד השני.