תנאי הפרטיות של בעלי אתרים

Last Update: October 10, 2024

תאריך כניסה לתוקף: אוקטובר 10, 2024

תנאי הפרטיות הללו של Taboola Publisher (“תנאי הפרטיות של המפרסם”) חלים על שירותי הפרסום הדיגיטלי של Taboola, כגון כאשר Taboola מציבה תוכן של מפרסם בנכסי המפרסם, לרבות, אך לא רק, מוצרים ושירותים של מפרסם כגון Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News ו-Taboola Push, בהתאם להסכם בין Taboola לבין מוציא לאור (“ההסכם”). ותנאי פרטיות אלה של המפרסם ייחשבו כמשולבים בכל הסכם כזה ומהווים חלק בלתי נפרד ממנו. תנאי פרטיות אלה של המפרסם מזהים את התפקידים והאחריות של Taboola ושל המפרסם ביחס לנתונים אישיים.

במקרה של סתירה בין תנאי הפרטיות של המפרסם לבין ההסכם, תנאי הפרטיות של המפרסם יגברו, אלא אם כן ההוראה הסותרת בהסכם מתייחסת במפורש להוראה הסותרת של תנאי הפרטיות של המפרסם ומציינת שהיא גוברת על ההוראה המתנגשת.

מונחים המוגדרים בסעיף זה יקבלו את המשמעויות המפורטות להלן, ומונחים נלווים יפורשו בהתאם. מונחים באותיות רישיות המשמשים אך לא מוגדרים בתנאי הפרטיות של המפרסם יהיו בעלי המשמעות המוגדרת בהסכם.

      1. חוקי הגנת המידע החלים” פירושו כל חוקי הפרטיות והגנת הנתונים הפדרליים, הלאומיים, המדינתיים או אחרים החלים על עיבוד שהוא נושא ההסכם ותנאי הפרטיות של המפרסמים, כפי שיתוקנו או יוחלפו מעת לעת.
      2. חוק הפרטיות בקליפורניה” פירושו חוק פרטיות הצרכן בקליפורניה משנת 2018, קליפורניה. הקוד האזרחי § 1798.100 ואילך (גם, “CCPA“), כפי שתוקן (כולל על ידי חוק זכויות הפרטיות של קליפורניה), וכל חקיקה כפופה ותקנות יישום.
      3. בקר” פירושו: (1) ישות הקובעת את המטרות והאמצעים לעיבוד נתונים אישיים, ו-(2) כל אדם או ישות הנכללים בטווח המונח “בקר” או “עסק” (או כל מונח מקביל באופן מהותי) כהגדרתו בחוקי הגנת המידע החלים.
      4. נושא הנתונים” פירושו: (1) אישיות טבעית מזוהה או ניתנת לזיהוי (ולמטרות אלה, אישיות טבעית הניתנת לזיהוי היא אדם שניתן לזהותו, במישרין או בעקיפין, במיוחד על ידי התייחסות למזהה כגון שם, מספר זיהוי, נתוני מיקום, מזהה מקוון או לגורם אחד או יותר ספציפיים לפיזי, פיזיולוגי, גנטי, זהות נפשית, כלכלית, תרבותית או חברתית של אותו אדם טבעי), ו-(2) כל אדם הנופל בגדר המונח “נושא נתונים”, “צרכן” (או כל מונח מקביל באופן מהותי) כהגדרתו בחוקי הגנת המידע.
      5. חוק הגנת המידע של האיחוד האירופי” פירושו: (i) התקנה הכללית להגנה על נתונים של האיחוד האירופי (תקנה 2016/679) (“GDPR של האיחוד האירופי”); (ii) הנחיית הפרטיות האלקטרונית של האיחוד האירופי (הנחיה 2002/58/EC); ו-(3) כל חוקי הגנת המידע הלאומיים שנקבעו על פי או על פי (1) או (2), כל אחד מהם יתוקן או יוחלף מעת לעת.
      6. נתונים אישיים” פירושו כל מידע המתייחס לאדם מזוהה או ניתן לזיהוי (ומונח זה יכלול, כאשר נדרש על פי חוק הגנת המידע החל, מזהי דפדפן או מכשיר ייחודיים), כמפורט בנספח א’, חלק ב’.
        1. אינטראקציה נתונים אישיים” פירושו כל מידע אישי שנאסף מצרכנים בזמן, או לאחר מכן, אינטראקציה מכוונת של צרכן עם טאבולה, מוצרי טאבולה, נכסיה ופרסומות טאבולה מציגה.
        2. נתונים אישיים של אינטראקציה פסיבית” פירושו כל מידע אישי שנאסף באופן פסיבי מנכסי המפרסם, לרבות, אך לא רק, כתובת IP, כתובת URL של דף ומחרוזת סוכן משתמש שנאספו על ידי טאבולה, לפני או בהיעדר אינטראקציה מכוונת של צרכן עם טאבולה, מוצרי טאבולה, הנכסים של טאבולה ופרסומות שטאבולה מציעה.
      7. תהליך” פירושו כל פעולה או סדרת פעולות המבוצעות על נתונים אישיים או על קבוצות של נתונים אישיים, בין אם באמצעים אוטומטיים ובין אם לאו, כגון איסוף, קבלה, רישום, ארגון, מבנה, שימוש, שידור, גישה, שיתוף, גילוי, העברה, אחסון, התאמה או שינוי, אחזור, התייעצות, הפצה או הנגשה אחרת, התאמה או שילוב, צבירה, הסקה, גזירה, ניתוח, הגבלה, מחיקה, השמדה או השלכה או טיפול אחר בנתונים אישיים, כולל האופן שבו מונח זה מוגדר בחוק הגנת המידע החל.
      8. מעבד” פירושו ישות המעבדת נתונים אישיים מטעם בקר, וכוללת את האופן שבו מונח זה ו/או המונח “מעבד נתונים” (או כל מונח מקביל באופן מהותי) מוגדר על פי חוק הגנת המידע החל.
      9. העברה מוגבלת” פירושו: (i) כאשר ה-GDPR של האיחוד האירופי חל, העברה של נתונים אישיים מה-EEA למדינה מחוץ ל-EEA שאינה כפופה לקביעת נאותות על ידי הנציבות האירופית (“העברה מוגבלת של האיחוד האירופי“); ו-(ii) כאשר חל ה-GDPR הבריטי, העברה של נתונים אישיים מבריטניה לכל מדינה אחרת שאינה כפופה או מבוססת על תקנות הלימות בהתאם לסעיף 17A של חוק הגנת המידע של בריטניה 2018 (א “העברה מוגבלת בבריטניה“).
      10. שירותים” פירושו שירותים הניתנים על ידי Taboola במסגרת ההסכם עם המפרסם.
      11. “תקרית אבטחה” פירושו הפרת אבטחה המובילה להשמדה, אובדן, שינוי, חשיפה בלתי מורשית או גישה בלתי מורשית לנתונים אישיים.
      12. “סעיפים חוזיים סטנדרטיים” פירושו: (i) כאשר חל ה-GDPR של האיחוד האירופי, הסעיפים החוזיים המצורפים להחלטת היישום של הנציבות האירופית 2021/914 מיום 4 ביוני 2021 על סעיפים חוזיים סטנדרטיים להעברת נתונים אישיים למדינות שלישיות בהתאם לתקנה (EU) 2016/679 של הפרלמנט האירופי והמועצה האירופית (“סעיפי SCC של האיחוד האירופי”); ו-(ii) כאשר חל ה-GDPR בבריטניה, “נספח העברת נתונים בינלאומי לסעיפים החוזיים הסטנדרטיים של נציבות האיחוד האירופי” שהונפק על ידי נציב המידע תחת s.119A(1) של DPA 2018 (“נספח בריטניה”).
      13. צד שלישי” פירושו עסק הפועל כבקר ביחס לנתונים אישיים, ואינו העסק שנושא הנתונים שהנתונים האישיים שלו מעובדים קיים איתו אינטראקציה מכוונת; המונח כולל את האופן שבו מונח זה מוגדר בחוק הגנת המידע החל.
      14. חוק הגנת המידע בבריטניה” פירושו: (1) חוק הגנת המידע הבריטי 2018, (2) ה-GDPR הבריטי (כהגדרתו בסעיף 3(10) לחוק הגנת המידע הבריטי 2018) (“GDPR בבריטניה“), (iii) תקנות הפרטיות והתקשורת האלקטרונית של בריטניה (הנחיית האיחוד האירופי) 2003), ו-(iv) כל חוק אחר בבריטניה שנחקק על פי או בהתאם ל-(i), (ii) או (iii), כל אחד מהם עשוי להיות מתוקן או מוחלף מעת לעת.

עבור נתונים אישיים המעובדים בקשר לשירותים, כל צד מסכים שהוא יעבד את הנתונים האישיים שהוא אוסף אך ורק למטרות המתוארות בנספח א’, חלק ב’ (“מטרות מותרות“) וכפי שמותר בתנאי הפרטיות של המפרסם, בהסכם ובחוקי הגנת המידע החלים, שכן כל אחד מהם עשוי להתעדכן מעת לעת. טאבולה עשויה גם לעבד את הנתונים האישיים של אינטראקציה פסיבית כפי שמותר על פי מדיניות הפרטיות של טאבולה, וכפי שעשוי להתעדכן מעת לעת.

כל צד יעבד את הנתונים האישיים של האינטראקציה הפסיבית שהוא אוסף כבקר או כצד שלישי, לפי העניין. כל צד יעבד את הנתונים האישיים של האינטראקציה שהוא אוסף כבקר או כעסק, לפי העניין. גילויים (בין אם באופן ישיר ובין אם באמצעות צד המעמיד נתונים לרשות הצד השני) של נתונים אישיים מצד אחד לצד השני נחשבים לגילויים לצדדים שלישיים.

      1. אם חוק הגנת המידע של ארה”ב או ארה”ב חל על נתונים אישייםכולל, בין היתר, חוק הפרטיות של קליפורניה, ככל שטאבולה מעבדת נתונים אישיים של אינטראקציה פסיבית בקשר לשירותים, טאבולה פועלת כצד שלישי למפרסם עבור נתונים אישיים של אינטראקציה פסיבית כאמור., טאבולה תעבד נתונים אישיים של אינטראקציה פסיבית כאמור למטרות המתוארות בנספח א’, חלק ב’ וכפי שמותר על פי תנאי הפרטיות של המפרסמים, ההסכם, חוק הגנת המידע החל ומדיניות הפרטיות של טאבולה, כפי שכל אחד מהם עשוי להתעדכן מעת לעת. נתונים אישיים של אינטראקציה פסיבית כאלה זמינים לטאבולה רק למטרות אלה. Taboola תספק את אותה רמה של הגנת פרטיות הנדרשת מעסקים על פי חוקי הגנת המידע החלים בארה”ב, כולל, אם רלוונטי, חוקי הפרטיות של קליפורניה. למוציא לאור יש את הזכות להבטיח שטאבולה תשתמש בנתונים אישיים של אינטראקציה פסיבית באופן העולה בקנה אחד עם התחייבויות המפרסם. עם מסירת הודעה לטאבולה, למפרסם יש את הזכות לנקוט בצעדים סבירים והולמים כדי לעצור ולתקן שימוש בלתי מורשה בנתונים אישיים שהוא מעמיד לרשות טאבולה. טאבולה תודיע למפרסם בפרק הזמן הנדרש על פי חוקי הגנת המידע החלים אם טאבולה תקבע שהיא אינה מסוגלת עוד לעמוד בהתחייבויותיה על פי חוקי הגנת המידע החלים. ככל שטאבולה אוספת נתונים אישיים של אינטראקציה בקשר לשירותים, היא תעשה זאת כעסק נפרד.

הצדדים מכירים בכך שהם רשאים לעבד נתונים אישיים וכי חוקי הגנת המידע החלים עשויים לחול על עיבוד הנתונים האישיים על ידי כל צד. במקרה כזה, כל צד יציית לחוקי הגנת המידע החלים ביחס לעיבוד הנתונים האישיים על ידו. במקרה כזה, ובכפוף לסעיף 7, כל צד יהיה אחראי באופן אישי לציות שלו לחוקי הגנת המידע החלים, כולל כל הדרישות הרלוונטיות כדי: (1) לספק שקיפות לנושאי הנתונים, (2) לקבל הסכמה או בסיס חוקי אחר לעיבוד, ו-(3) להעמיד לרשותכם נקודת קשר שדרכה יוכלו נושאי הנתונים לממש את זכויות הגנת הנתונים שלהם. המפרסם יודיע ל-Taboola באופן מיידי אם וככל שיקבל בקשה כלשהי לזכויות הגנת נתונים בנוגע לעיבוד הנתונים האישיים של Taboola כבקר, כך ש-Taboola תוכל למלא את הבקשה בהתאם להתחייבויותיה על פי חוק הגנת המידע החל.

  1. המפרסם יפנה כל בקשת נושא נתונים שתתקבל בנוגע לשירותי טאבולה אל פורטל בקשות הגישה הגלובלי לנושאי נתונים של טאבולה או ארה”ב פורטל ביטול ההצטרפות לזכויות הצרכןלפי העניין.,

אם אחד הצדדים מקבל פנייה, תלונה או התכתבות כלשהי (“הודעת צד שלישי“) מאדם, רגולטור או צד שלישי אחר בנוגע לעיבוד הנתונים האישיים של נושא הנתונים בקשר לשירותים, הוא יודיע על כך מיד לצד השני והצדדים ישתפו פעולה בתום לב וככל שנדרש באופן סביר כדי לטפל בדרישות של הודעת צד שלישי כאמור.

במקרה שאחד הצדדים מבצע העברה מוגבלת של נתונים אישיים לצד השני, יחולו הוראות נספח ג’.

במידה ש-Taboola אוספת נתונים אישיים מנכסי Publisher באמצעות קוד Taboola, פיקסלים וטכנולוגיית מעקב אחרת, על המפרסם: (i) לספק את כל הודעות השקיפות הנדרשות לנושאי הנתונים לגבי השימוש של Taboola בקוד Taboola כדי לאסוף נתונים אישיים מנכסי Publisher למטרות המותרות, ו-(ii) להשיג (ולפי בקשה בכל עת על ידי Taboola, לספק ראיות מתאימות להסכמת נושא הנתונים לשימוש כזה בקוד Taboola למטרות המותרות, בכל מקרה בהתאם לדרישות חוקי הגנת המידע החלים. התחייבויות המפרסם בהקשר זה כוללות את זיהוי Taboola והשימוש שלה בקוד Taboola למטרות המותרות במפורש במסגרת הודעות השקיפות והנחיות ההסכמה שהמפרסם מספק לנושאי המידע, כמו גם כל מידע אחר הנדרש על פי חוקי הגנת המידע החלים, כך שטאבולה תוכל לספק את שירותיה באופן חוקי באמצעות נכסים אלה ולעבד נתונים אישיים למטרות המותרות. על פי בקשה בכתב, טאבולה תספק למפרסם מידע שהמוציא עשוי לדרוש באופן סביר לגבי קוד טאבולה ועיבוד הנתונים האישיים של טאבולה באמצעות נכסי המפרסם עבור המפרסם, כדי להבטיח שמנגנוני ההודעה וההסכמה שלה יעמדו בחוקי הגנת המידע החלים. המוציא לאור מסכים במפורש כי:

  1. באשר לנכסים מבוססי האינטרנט שלו, מדיניות הפרטיות של המפרסם תתאר את השימוש בקובצי Cookie, מזהים ייחודיים וטכנולוגיות שאינן קובצי Cookie על ידי צדדים שלישיים (כלומר Taboola) לפרסום וניתוח מבוססי עניין (בנכסים ומחוצה להם), ותספק קישור לדף ביטול ההצטרפות לתעשייה של NAI בכתובת http://www.networkadvertising.org, לדף ביטול ההצטרפות לתעשייה של ה-DAA בכתובת http://www.aboutads.info, או (באשר למדיה מבוססת אינטרנט אירופאית ואיסוף נתונים) קישור לביטול ההצטרפות ל-EDAA קישור בכתובת http://www.youronlinechoices.eu, באופן העומד בדרישות חוק הגנת המידע החל; ו
  2. באשר לנכסים המבוססים על אפליקציות לנייד, מדיניות הפרטיות של המפרסם תתאר את השימוש באפליקציות שלו לנייד בערכות SDK ובאיסוף מזהי מודעות לנייד לצורך פרסום וניתוח מבוססי עניין או חוצה אפליקציות (בנכסים ומחוצה להם); ולספק תיאור של האופן שבו משתמשים ומבקרים יכולים לבטל את הסכמתם לאיסוף נתונים ניידים לצורך פרסום חוצה אפליקציות באמצעות הגדרות המכשיר.
  3. עבור הנכסים הפונים לאיחוד האירופי, המפרסם יוודא שהוא מקבל את הסכמתם החופשית, הספציפית, המודעת והחד משמעית של המבקרים בהתאם לחוק הפרטיות של האיחוד האירופי, ביחס להצבה או גישה לקובצי Cookie של Taboola או כל מזהה ייחודי אחר במכשיר/ים של המבקרים. המפרסם יספק למבקרים שלו פרטי קשר (שעשויים לכלול הפיכת פרטים אלה לזמינים באמצעות מדיניות הפרטיות שלו) כדי שיוכלו ליצור קשר עם המפרסם כדי לממש את זכויות הגנת הנתונים שלהם (כולל ביחס לנתונים אישיים המעובדים בקשר לשירותים). ההתחייבויות הנ”ל חלות כאשר נכסי המפרסם מושכים מבקרים בתחומי שיפוט הדורשים מנגנוני הסכמה ביחס לשירותים.

במהלך התקופה, טאבולה עשויה לספק מדיניות פרטיות מומלצת או שפת גילוי נאות למפרסם. המפרסם מאשר כי לא יסתמך על שפה מומלצת כאמור, או כתחליף לייעוץ משפטי וכי המפרסם או החברה עצמה הם האחראים הבלעדיים לכל גילוי במדיניות הפרטיות שלהם או באתר האינטרנט שלהם.

המפרסם לא יספק או יגדיר את השירותים כך שיאספו או יחשפו בפני טאבולה קטגוריות מיוחדות של נתונים אישיים או מידע אישי רגיש או נתונים רגישים (כהגדרתם בחוק הגנת המידע החל) ל-Taboola לצורך עיבוד. יתר על כן, המפרסם יוודא שכל כתובות ה-URL של הדפים הזמינים לטאבולה לא יכילו מידע על כותרות הסרטון. טאבולה שומרת לעצמה את הזכות להשעות את השירותים בגין אי עמידה של המפרסם בסעיף זה, אלא אם ועד שכשל כזה יתוקן.

כל צד ינקוט אמצעי אבטחה טכניים וארגוניים מתאימים כדי להגן על הנתונים האישיים של המבקרים מפני תקרית אבטחה. אמצעים אלה יכללו את האמצעים המפורטים בנספח ב’.

אם אחד הצדדים סובל מאירוע אבטחה ביחס לנתונים אישיים שהוא מעבד ואשר הם נושא ההסכם ותנאי הפרטיות של המפרסמים, אותו צד: (1) יהיה אחראי למילוי (על חשבונו) כל חובות הדיווח החלות עליו על פי חוקי הגנת המידע החלים על רשויות הגנת המידע ו/או נושאי הנתונים המושפעים, (2) להודיע לצד השני ללא עיכוב מיותר, ולספק מידע על תקרית האבטחה כפי שעשוי להתבקש באופן סביר על ידי הצד השני או כפי שנדרש אחרת כדי שהצד השני יקבע אם עשויות להיות לו גם חובות דיווח על פי חוקי הגנת המידע החלים ביחס לתקרית האבטחה, ו-(3) לנקוט בכל הפעולות והאמצעים הללו, ללא עיכובים מיותרים, כפי שנדרש כדי לתקן ו/או להפחית את ההשפעות של אירוע האבטחה.

כאשר ובמידה הנדרשת על פי חוקי הגנת המידע החלים שכל צד כפוף להם, כל צד יבצע כל הערכת השפעה על הגנת הנתונים ביחס לעיבוד הנתונים האישיים שלו למטרות המותרות ו/או יתייעץ עם רשויות הגנת המידע הרלוונטיות, במידת הצורך. כל צד יספק את כל שיתוף הפעולה והמידע הסבירים שיתבקשו באופן סביר על ידי הצד השני, כאשר הדבר נחוץ כדי לאפשר לצד השני להשלים הערכת השפעה על הגנת נתונים ו/או להתייעץ עם רשויות הגנת המידע הרלוונטיות בהתאם להתחייבויות של אותו צד אחר על פי סעיף זה.

A. רשימת הצדדים

כל צד יהיה:

  • בקר נתונים (ומייצא נתונים) של הנתונים שנאספו שהוא חושף, או הופך לזמין, לצד השני, וכן
  • בקר נתונים (ומייבא נתונים) של הנתונים שנאספו שהוא מקבל מהצד השני, או שהגישה אליו זמינה על ידי הצד השני.

הפרטים של כל צד מופיעים להלן.

שם: ראה את פרטי המפרסם המפורטים בהסכם.

כתובת: ראה את פרטי המפרסם המפורטים בהסכם.

שם איש הקשר, תפקידו ופרטי ההתקשרות שלו: ראה את פרטי המפרסם המפורטים בהסכם או בדרך אחרת שהוסכם בין הצדדים בכתב.

פעילויות הרלוונטיות לנתונים המועברים במסגרת סעיפים אלה: קבלת השירותים, כמפורט בהסכם.

חתימה ותאריך: נספח א’ זה ייחשב כמבוצע עם הסכמתו של המפרסם לתנאי הפרטיות של המפרסם.

תפקיד (בקר/מעבד): בקר (כאשר הוא מייצא נתונים) ובקר (כאשר הוא מייבא נתונים)

 

שם: ראו את הפרטים של טאבולה המפורטים במבוא להסכם.

כתובת: ראו את הפרטים של טאבולה המפורטים במבוא להסכם.

שם איש הקשר, תפקידו ופרטי ההתקשרות שלו: צוות הפרטיות של טאבולה, privacy@taboola.com.

פעילויות הרלוונטיות לנתונים המועברים במסגרת סעיפים אלה: אספקת השירותים, כמפורט בהסכם.

חתימה ותאריך: נספח א’ זה ייחשב כמבוצע עם הסכמתה של טאבולה לתנאי הפרטיות של המפרסמים.

תפקיד (בקר/מעבד): בקר (כאשר הוא מייצא נתונים) ובקר (כאשר הוא מייבא נתונים)

 

ב. תיאור העיבוד וההעברה 

קטגוריות של נושאי נתונים שהנתונים האישיים שלהם מעובדים ו/או מועברים: משתמשים

קטגוריות של נתונים אישיים המעובדים ו/או מועברים:

נתוני מכשיר: מערכת הפעלה, סוג דפדפן, גרסת דפדפן, כתובת IP (נחתכת תוך 30 יום) ממועד האיסוף, מיקוד (נגזר מכתובת IP), מזהה משתמש מגובב של Taboola, הודעות דוא”ל מגובבות, ביקורים ראשוניים ומאוחרים יותר בדף באתר המפרסם, מין משתמש (מוסק על ידי תחומי עניין), אותות מעורבות (זמן באתר, עומק גלילה, עומק הפעלה), נתוני המרה.

נתונים על נכסים דיגיטליים שבהם ביקר המשתמש: כתובת ה- URL של הדף שבו ביקרת, אתר האינטרנט המפנה

נתונים רגישים שהועברו (אם רלוונטי) והוחלו הגבלות או אמצעי הגנה שלוקחים בחשבון באופן מלא את אופי הנתונים והסיכונים הכרוכים בכך, כגון הגבלת מטרה קפדנית, הגבלות גישה (כולל גישה רק לצוות שעבר הכשרה מיוחדת), שמירת תיעוד של גישה לנתונים, הגבלות על העברות הלאה או אמצעי אבטחה נוספים: לא ישים.

תדירות העיבוד ו/או ההעברות (למשל, האם הנתונים מעובדים ו/או מועברים באופן חד פעמי או רציף): רציף למשך תקופת ההסכם.

אופי העיבוד: עיבוד נתונים אישיים הדרושים למתן השירותים, כמפורט בהסכם.

מטרת עיבוד / העברת הנתונים והמשך עיבוד: אספקת השירותים, כמפורט בהסכם. למען הסר ספק, המטרות המותרות כוללות: (1) אחסון ו/או גישה למידע במכשיר; (2) בחירת פרסומות בסיסיות; (3) יצירת פרופיל מודעות מותאם אישית; (4) בחירת מודעות מותאמות אישית; (5) יצירת פרופיל תוכן מותאם אישית; (6) בחירת תוכן מותאם אישית; (7) מדידת ביצועי פרסום; (8) מדידת ביצועי תוכן; (9) פיתוח ושיפור מוצרים; (x) הבטחת אבטחה, מניעת הונאה וניפוי באגים; (11) הצגת מודעות או תוכן באופן טכני; (xii) התאמה ושילוב של מקורות נתונים לא מקוונים; (13) קישור מכשירים שונים; (14) קבלה ושימוש במאפייני מכשיר הנשלחים אוטומטית לזיהוי; (15) שימוש בנתונים מוגבלים לבחירת תוכן, ו-(16) הבנת קהלים באמצעות סטטיסטיקה.

התקופה שבה הנתונים האישיים יישמרו, או, אם הדבר אינו אפשרי, הקריטריונים המשמשים לקביעת תקופה זו:

  • טאבולה: נתונים גולמיים מאוחסנים למשך 13 חודשים לכל היותר.
  • Advertiser: כל עוד הדבר נחוץ לקבלת השירותים או כפי שצוין אחרת בהסכם.

עבור העברות למעבדי (משנה), ציין גם את הנושא, האופי ומשך העיבוד: לא ישים.

 

C. רשות פיקוח מוסמכת

רשות פיקוח מוסמכת שבה חל ה-GDPR של האיחוד האירופי: הרשות המפקחת המוסמכת לכל צד היא כמתואר להלן:

  • טאבולה: הרשות המפקחת המוסמכת תיקבע בהתאם לסעיף 13 של סעיפי ה-SCC של האיחוד האירופי.
  • Advertiser: הרשות המפקחת המוסמכת תיקבע בהתאם לסעיף 13 של סעיפי ה-SCC של האיחוד האירופי.

רשות פיקוח מוסמכת שבה חל ה-GDPR בבריטניה: משרד נציב המידע

תיאור האמצעים הטכניים והארגוניים המיושמים על ידי כל צד (כולל אישורים רלוונטיים) כדי להבטיח רמת אבטחה נאותה, תוך התחשבות באופי, בהיקף, בהקשר ובמטרת העיבוד, ובסיכונים לזכויות ולחירויות של אנשים טבעיים.

אמצעים לפסאודונימיזציה והצפנה של נתונים אישיים: טאבולה אוספת רק נתונים בדויים, כלומר איננו יודעים מי אתה מכיוון שאיננו יודעים או מעבדים את שם המשתמש, כתובת הדוא”ל או נתונים מזהים אחרים. פרטי המשתמש שאנו אוספים כוללים, בין היתר, מידע על המכשיר ומערכת ההפעלה של המשתמש, כתובת ה-IP, דפי האינטרנט שאליהם ניגשו המשתמשים באתרי הלקוחות שלנו, הקישור שהוביל את המשתמש לאתר הלקוח, התאריכים והשעות שבהם משתמש ניגש לאתר האינטרנט של הלקוח ונתוני גלישה אחרים באינטרנט. מזהה ה-CookieID אנונימי באמצעות Bcrypt וכתובת ה-IP נחתכת.

אמצעים להבטחת סודיות, שלמות, זמינות ועמידות מתמשכת של מערכות ושירותי עיבוד: טאבולה משתמשת ברמות מרובות של אבטחה אלקטרונית (לדוגמה: אבטחת נקודות קצה, אבטחה בצד השרת, מעקב אחר זיהויים, בדיקות חדירה תקופתיות ואיסוף מודיעין עמוק לסקירת אירועים שלאחר המוות).

אמצעים להבטחת היכולת לשחזר את הזמינות והגישה לנתונים אישיים בזמן במקרה של תקרית פיזית או טכנית: טאבולה מחזיקה 9 מרכזי נתונים הפועלים ברחבי העולם. כל מרכז נתונים משמש כשכפול אחד של השני, כך שאם אחד נופל ניתן לחלץ את הנתונים ממרכז נתונים אחר.

תהליכים לבדיקה, הערכה והערכה קבועה של האפקטיביות של אמצעים טכניים וארגוניים על מנת להבטיח את אבטחת העיבוד: טאבולה מקפידה על תהליכים קפדניים לבדיקת יעילות הבקרות שלה (הן טכניות והן ארגוניות). יש לנו רישום וניטור של המערכת, בדיקות DR חודשיות (לפחות), בדיקות חדירה רבעוניות, חומות אש המגנות על האינטרנט ומלכודות דבש המפוזרות ברחבי הרשת כדי למצוא כל פעילות זדונית. יתר על כן, יש לנו תוכנית באונטי שעוזרת לנו לפקח כל הזמן על הרשת שלנו.

אמצעים לזיהוי והרשאה של משתמשים: כל משתמש בטאבולה משויך לשם משתמש וסיסמה ייעודיים. כל גישה לרשת הפנימית של טאבולה נעשית באמצעות אימות דו-שלבי באמצעות אימות גוגל. המשתמשים נוצרים רק על ידי מחלקת ה-IT, בתהליך ההצטרפות ורק לאחר קבלת כל הפרטים והחוזה החתום ממחלקת משאבי אנוש.

אמצעים להגנה על נתונים במהלך השידור: טאבולה תומכת בכל העברת נתונים באמצעות פרוטוקולי שידור מאובטחים (HTTPS ו-TLS v1.2 לכל הפחות). יתר על כן, מערכות שעשויות להכיל PII מאובטחות והנתונים נשמרים מגובבים ואנונימיים.

אמצעים להגנה על נתונים במהלך האחסון: הנתונים המאוחסנים במסדי הנתונים שלנו עוברים אנונימיזציה ומגובבים באמצעות Bcrypt. הגישה למסד הנתונים ממוזערת ומבוססת על עקרון ‘הצורך העסקי לדעת’.

אמצעים להבטחת אבטחה פיזית של מקומות שבהם נתונים אישיים מעובדים: כל אחד ממרכזי הנתונים הגלובליים של טאבולה (בארה”ב, אירופה ואסיה) כולל את כל השרתים שלו בארונות נעולים המתוחזקים אך ורק לשימושה של טאבולה. ארונות אלה מתוחזקים על ידי חברות בעלות אישור SOC2 או שטאבולה בחנה את אמצעי האבטחה שלהן. יתר על כן, כל גישה לשרתים דורשת הרשאה כתובה ורשומה. כל משרדי טאבולה נשלטים גם הם, ודורשים מהעובדים להשתמש בכרטיסי גישה כדי להיכנס. יתר על כן, רק למספר מצומצם של עובדים יש גישה לשרתים של טאבולה וכל גישה דורשת גם אישור כתוב ורשום.

אמצעים להבטחת רישום אירועים: טאבולה מיישמת כלי ניטור והיומנים נאספים למערכת ה-SIEM שלנו שמתריעה על כל אירוע חשוד וגם מנוטרת על ידי צוות NOC.

אמצעים להבטחת תצורת המערכת, כולל תצורת ברירת מחדל: השרתים נסרקים הן עבור סחף התצורה והן עבור רמת התיקון. דיווח ו/או התראה מוגדרים בשניהם ורמת התיקון הרלוונטית מאושרת. תיקונים חדשים מופצים באמצעות Puppet. כל הסקירות הטכניות מנוהלות באמצעות יישום המו”פ ומתקבלות באמצעות תהליך רשמי של סקירה (QA) לאחר יישום תהליכי קידוד ו-CI/CD גם כן.

אמצעים לפיקוח וניהול פנימיים של IT ואבטחת IT: טאבולה מוסמכת ISO 27001:2013 ו-27701. לטאבולה יש מדיניות אבטחת מידע הקובעת כי הדירקטוריון וההנהלה של טאבולה מחויבים לשמור על הסודיות, השלמות והזמינות של כל נכסי המידע הפיזיים והאלקטרוניים ברחבי הארגון שלהם. טאבולה מקיימת הדרכות אבטחה לכל העובדים החדשים, הדרכות פישינג לכל העובדים ברחבי העולם, הדרכות אבטחה קבועות לכל העובדים וכן מפגשים ייעודיים לקבוצות מו”פ.

אמצעים להסמכה/הבטחת תהליכים ומוצרים: ביקורת פנימית רבעונית / חצי שנתית / שנתית על מספר תהליכים ומערכות כדי לוודא שטאבולה עומדת ביעדי האבטחה ואמצעי האבטחה שהוגדרו.

אמצעים להבטחת מזעור נתונים: טאבולה מגבילה במכוון את הנתונים שאנו אוספים כחלק מעקרונות מזעור הנתונים הגלובליים של טאבולה לעיבוד הנתונים המוגבלים הדרושים למטרות העסקיות הספציפיות שלנו. יתר על כן, לטאבולה אין את היכולת, או כל צורך עסקי, “להנדס לאחור” אף אחת מנקודות הנתונים המשמשות באלגוריתם שלנו על מנת לספק את השירותים שלנו. ליתר דיוק, נקודות הנתונים שטאבולה אוספת לעולם אינן מעידות על זהות המשתמש – מכיוון שטאבולה אינה אוספת או מעבדת מידע כגון שם משתמש, מספר טלפון, דוא”ל או כתובות פיזיות. במקום זאת, טאבולה אוספת רק מזהים בדויים, שרק מזהים מאפיינים של המכשיר של המשתמש. זה כולל כתובות IP (שנחתכות עם האיסוף ויכולות לזהות רק את מיקום המיקוד הכללי של המכשיר, אך לעולם לא מיקום גיאוגרפי מדויק) ובמקרים מוגבלים מסוימים, כתובות דוא”ל מגובבות (שהן מטבען בלתי הפיכות ולא ניתן לפענח אותן כדי לחשוף את כתובת הדוא”ל המקורית). יתרה מכך, גם כאשר משתמשים בהם באופן קולקטיבי, הנתונים שאנו אוספים לעולם אינם יכולים לייצר שם, מספר טלפון, דוא”ל או כתובת פיזית של אדם, והמהנדסים שלנו אינם פועלים בשום צורה כדי להשיג מטרה זו. בנוסף, Taboola מבצעת ומתעדת הערכות השפעה על הפרטיות במאמץ למזער את סיכוני הפרטיות של השירותים, התהליכים והמדיניות שלנו.

אמצעים להבטחת איכות הנתונים: הנתונים נאספים ישירות מהמשתמש וניתנת למשתמש הזדמנות לתקן את כל הנתונים המשויכים ל-CookieID שלו באמצעות פורטל בקשות הגישה לנושא של Taboola: https://accessrequest.taboola.com/access

אמצעים להבטחת שמירת נתונים מוגבלת: אנו שומרים את פרטי המשתמש, שנאספים ישירות למטרות הצגת מודעות, למשך שלושה עשר (13) חודשים לכל היותר מהאינטראקציה האחרונה של המשתמש עם השירותים שלנו (לרוב לפרק זמן קצר יותר), ולאחר מכן אנו מבטלים את הזיהוי של הנתונים על ידי הסרת מזהים ייחודיים או צבירת הנתונים. תהליך זה נעשה באופן אוטומטי.

אמצעים להבטחת אחריותיות: טאבולה מבצעת ביקורות אבטחה ובדיקות חדירה מרובות (אך לא עבור כל המערכות). טאבולה משתמשת גם בספקי ענן בעלי אישור ISO ועומדים באישורים רלוונטיים אחרים לענן לשמירה על אמצעי ההגנה הפיזיים של השרת.

אמצעים לאפשר ניידות נתונים ולהבטחת מחיקה: טאבולה התייחסה לסילוק מדיה זהה לכל סוגי המדיה מכיוון שהיא עשויה להכיל PII. יש לנגב כל מדיה במלואה לפני שימוש חוזר או השלכה. כל סילוק מדיה מתועד. העובדים מונחים לא להדפיס כל נייר שעלול להכיל מידע אישי.

  1. במידה שצד מבצע העברה מוגבלת של נתונים שנאספו לצד השני, הסעיפים החוזיים הסטנדרטיים ישולבו בתנאי הפרטיות של המפרסם ויחולו באופן הבא:

א. כאשר ההעברה המוגבלת היא העברה מוגבלת של האיחוד האירופי, סעיפי ה-SCC של האיחוד האירופי יחולו בין הצדדים באופן הבא:

  1. (i) מודול 1 יחול;
  2. (2) בסעיף 7 תחול תניית העגינה האופציונלית;
  3. (4) בסעיף 11, הלשון האופציונלית לא תחול;
  4. (v) בסעיף 17, אפשרות 1 תחול, ו-SCC של האיחוד האירופי יהיו כפופים לחוק האירי;
  5. (6) בסעיף 18(ב), סכסוכים יוכרעו בפני בתי המשפט של אירלנד;
  6. (vii) חלקים A, B ו-C של נספח I ייחשבו כמפורטים עם המידע המפורט בחלקים A, B ו-C של נספח A לתנאי פרטיות אלה של המפרסם; ו
  7. (vii) נספח II ייחשב כמלא עם אמצעי האבטחה המפורטים בנספח ב’ לתנאי פרטיות אלה של המפרסם;

ב. כאשר ההעברה המוגבלת היא העברה מוגבלת בבריטניה, הנספח הבריטי יחול בין הצדדים כדלקמן:

(i) סעיפי ה-SCC של האיחוד האירופי, שהושלמו כמפורט לעיל, יחולו בין הצדדים, וישונו על ידי הנספח הבריטי (הושלם כמפורט בסעיף קטן (ii) להלן); ו

(ii) טבלאות 1 עד 3 של הנספח הבריטי ייחשבו כמלאות עם מידע רלוונטי מ-SCC של האיחוד האירופי, שהושלמו כמפורט לעיל, והאפשרויות “יצואן” ו”יבואן” ייחשבו כמסומנות בטבלה 4. תאריך ההתחלה של הנספח הבריטי (כמפורט בטבלה 1) יהיה תאריך הכניסה לתוקף של תנאי הפרטיות של המפרסמים.

2. העברות מוגבלות הלאה: אף אחד מהצדדים לא יבצע העברה מוגבלת הלאה של נתונים שנאספו שהוא מקבל מהצד השני, אלא אם כן הוא עשה את כל הפעולות והדברים הדרושים כדי להבטיח שההעברה המוגבלת הלאה תואמת לחוק הגנת המידע החל ולכל סעיפים חוזיים סטנדרטיים שהוא הסכים עם הצד השני.