תנאי עיבוד מידע של YouTube

בתוקף החל מתאריך 31 בינואר 2020 (להצגת הגרסה הקודמת)

תנאי עיבוד מידע אלו של YouTube (וביחד עם הנספחים: "תנאי עיבוד המידע") יחולו על עיבוד מידע אישי של לקוחות. תנאים אלו מהווים נספח להסכם בינך ("הלקוח") לבין Google בקשר לשימוש שלך בשירותי YouTube ("ההסכם"). ההסכם עשוי לכלול את תנאי השימוש של YouTube (YouTube Terms of Service) או הסכם רישיון תוכן, בהתאם ללקוח. אנא קרא/י בקפידה את תנאי עיבוד המידע.

1. הקדמה

תנאי עיבוד מידע אלו משקפים את הסכמת הצדדים לתנאים החלים על עיבוד ואבטחת מידע אישי של הלקוח בקשר לחוקי הגנת מידע.

2. הגדרות

2.1. בתנאי עיבוד מידע אלו:

"חברה קשורה" - אם לא הוגדר אחרת בהסכם, משמעה ישות ששולטת או נשלטת, לבד או ביחד עם אחרים, במישרין או בעקיפין, באחד הצדדים לתנאי עיבוד המידע.

"מידע אישי של לקוח" - תוכן קולי או חזותי-קולי שהועלה על ידי לקוח ל-YouTube בכפוף לתנאי ההסכם, ועובד על ידי Google עבור הלקוח במסגרת שירותי עיבוד המידע של .Google

"אירוע אבטחת מידע" - פריצה של אמצעי האבטחה של Google שמובילה, באופן שאינו מכוון או באופן בלתי חוקי, להשמדת, איבוד, שינוי, חשיפה בלתי מורשית, או גישה למידע אישי של לקוח במערכות המנוהלות או שנשלטות על ידי Google. "אירועי אבטחת מידע" לא כוללים ניסיונות שלא צלחו או פעולות שלא פוגעות באבטחת מידע אישי של לקוח, לרבות ניסיונות התחברות שלא צלחו, איתות ((Ping, סריקות פורטים, התקפות מניעת שירות, והתקפות רשת אחרות על חומות אש או מערכות מרושתות.

"חוקי הגנת מידע" - משמעם, לפי ההקשר (א) GDPR; ו/או (ב)Federal Data Protection Act of 19 June 1992 (Switzerland).

"כלי נושא המידע" - כלי שהונגש (אם בכלל) על ידי Google לנושאי מידע שמאפשר ל-Google להגיב ישירות ובאופן שיטתי לבקשות מסוימות מנושאימידע בקשר למידע אישי של לקוח (לדוגמה, הגדרות של פרסומות באינטרנט או תוספי דפדפן להתנתקות (opt-out)).

"EEA" - האזור הכלכלי האירופי ((European Economic Area.

"GDPR" - Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC.

"EU GDPR"

"Google" - משמעה ישות משפטית של Google שהינה צד להסכם עמך.

“חוקי האיחוד האירופי או חוקים מקומיים” פירושם, לפי ההקשר: (א) חוק של מדינה החברה באיחוד האירופי או חוק של האיחוד האירופי (אם ה-GDPR של האיחוד האירופי חל על עיבוד מידע אישי של לקוחות); ו/או (ב) החוק של הממלכה המאוחדת (בריטניה) או של חלק ממנה (אם ה-GDPR הבריטי חל על עיבוד מידע אישי של לקוחות).

“GDPR” פירושו, לפי ההקשר: (א) תקנות ה-GDPR של האיחוד האירופי; ו/או (ב) תקנות ה-GDPR של בריטניה.

"מעבדי משנה של חברה קשורה" - כפי שהוגדר בסעיף 11.1 (הסכמה להתקשרות עם מעבד משנה).

"ישות משפטית של Google" - משמעה YouTube, LLC, Google LLC (בעבר Google Inc.), Google Ireland Limited, או כל חברה קשורה של Google LLC.

"הסמכת ISO 27001" - תעודת ISO/IEC 27001:2013 או תעודה דומה ביחס לשירותי עיבוד מידע.

"דואר אלקטרוני להודעה" - משמעו דואר אלקטרוני שהוגדר על ידי הלקוח (ככל שהוגדר), דרך ממשק המשתמש של שירותי עיבוד המידע או באמצעים אחרים שסופקו על ידי Google, לצורך קבלת הודעות מ-Google בקשר לתנאי עיבוד מידע אלו.

"Privacy Shield" - משמעו EU-U.S. Privacy Shield legal framework, Swiss-U.S. Privacy Shield legal framework או כל מסגרת משפטית שוות-ערך שעשויה לחול בין בריטניה לארצות הברית.

"שירותי עיבוד המידע" - עיבוד מידע אישי של לקוח בהתאם לתנאי עיבוד מידע אלו.

"מסמכי אבטחת מידע" - התעודה שהונפקה להסמכת ISO 27001, ככל שקיימת, וכל תעודה או מסמך אחר בקשר לאבטחת מידע ש- Google עשויה להנגיש לציבור בקשר לשירותי עיבוד המידע.

"אמצעי אבטחה" - כפי שהוגדר בסעיף 7.1.1 (אמצעי אבטחה של Google).

"מעבדי משנה" - כל צד שלישי שמורשה, בכפוף לתנאי עיבוד מידע אלו, לגישה לוגית ולעיבודו של מידע אישי של לקוח על מנת לספק כל חלק של שירותי עיבוד המידע ותמיכה טכנית הקשורה אליהם.

"מעבדי משנה צד ג'" - כפי שהוגדר בסעיף 11.1 (הסכמה להתקשרות עם מעבדי משנה).

“רשות מפקחת” פירושה, לפי ההקשר: (א) "רשות מפקחת" כפי שמוגדר ב-GDPR של האיחוד האירופי; ו/או (ב) "הגוף הממונה" (Commissioner) כפי שמוגדר ב-GDPR הבריטי.

2.2. המונחים “נאמן מידע”, “האדם שאליו מתייחס המידע”, “מידע אישי”, “עיבוד” וכן “המעבד” כפי שנעשה בהם שימוש במונחי עיבוד המידע הם בעלי המשמעות כפי שהוגדרה ב-GDPR.

2.3. כל הפניה למסגרת משפטית, חוק או כל מעשה תחיקתי אחר מהווים הפניה אליהם כפי שנחקקו, נחקקו מחדש או עודכנו מעת לעת.

3. תקופת תחולת תנאי עיבוד מידע אלו

תקופת תנאי עיבוד מידע אלו ("התקופה"), ומתן שירותי עיבוד המידע על ידי Google, יחלו ביום 25 במאי 2018 (או תאריך ההסכם, אם מאוחר ליום25 במאי 2018) ("תאריך הכניסה לתוקף") וימשכו עד למחיקת כל המידע האישי על ידי Google כמפורט בתנאי עיבוד מידע אלו.

4. יישום תנאי עיבוד מידע אלו

יישום חוקי הגנת המידע. תנאי עיבוד מידע אלו יחולו אך ורק אם חוקי הגנת המידע חלים על עיבוד מידע אישי של לקוח, לרבות אם:

(1) העיבוד נעשה בהקשר של פעילות עסקית של לקוח המתבצעת ב-EEA או בבריטניה; ו/או

(2) מידע אישי של לקוח מהווה מידע אישי הנוגע לנושאי מידע שנמצאים ב-EEA או בבריטניה והעיבוד קשור להצעה של מוצרים או שירותים לאותם נושאי מידע או לניטור התנהגותם ב-EEA או בבריטניה.

5. עיבוד מידע

5.1. תפקידים וציות לחוק; הרשאה.

5.1.1. אחריות המעבד והבעלים.

(א) תנאי עיבוד מידע אלו מתארים את מהות ואופן העיבוד של מידע אישי של לקוח.

(ב) Google הינה מעבד של מידע אישי של לקוח בהתאם לחוקי הגנת המידע.

(ג) הלקוח הוא בעלים או מעבד של מידע אישי של לקוח, לפי העניין, לפי חוקי הגנת המידע; ו-

(ד) כל צד יציית לחובות החלות עליו לפי חוקי הגנת המידע בקשר לעיבוד מידע אישי של לקוח.

5.1.2. הרשאה על ידי בעלים צד ג'. אם הלקוח הינו מעבד, הוא מצהיר ומתחייב כלפי Google שהוראותיו ופעולותיו בקשר למידע אישי של לקוח, לרבות מינויה של Google כמעבד נוסף, אושרו על ידי הבעלים הרלוונטי.

5.2. הוראות הלקוח. הלקוח מורה ל-Google לעבד מידע אישי של לקוח רק בהתאם לדין החל ולתנאי עיבוד מידע אלו: (א) כדי לספק את שירותי עיבוד המידע ותמיכה טכנית הקשורה בהם; (ב) כפי שפורט במסגרת השימוש של הלקוח בשירותי עיבוד המידע (לרבות בהגדרות ובפונקציות אחרות של שירותי עיבוד המידע) ובתמיכה טכנית הקשורה בהם; ו-(ג) כפי שתועד בהסכם, לרבות בתנאי עיבוד מידע אלו.

5.3. עמידה של Google בהוראות. Google תעמוד בהוראות שתוארו בסעיף 5.2 לעיל (הוראות הלקוח) (לרבות בקשר להעברות מידע) אלא אם החוקים של האיחוד האירופי או החוקים המקומיים ש-Google כפופה אליהם דורשים עיבוד אחר של מידע אישי של לקוח על ידי Google, כאשר במקרים אלו Google תיידע על כך את הלקוח (אלא אם החוק האמור אוסר על Google לדווח בשל אינטרס ציבורי).

6. מחיקת מידע

6.1. מחיקה במהלך התקופה.

6.1.1. שירותי עיבוד מידע עם פונקציית מחיקה. אם, במהלך התקופה:

(א) הפונקציונליות של שירותי עיבוד המידע מאפשרת ללקוח למחוק מידע אישי של לקוח;

(ב) הלקוח משתמש בשירותי עיבוד המידע על מנת למחוק חלקים ממידע אישי של לקוח; ו-

(ג) הלקוח לא יכול לשחזר מידע אישי של לקוח שנמחק (לדוגמה, מ"פח האשפה")

אזי Google תמחק מידע אישי של לקוח כאמור מהמערכות שלה בהקדם האפשרי הסביר, אלא אם חוקים של האיחוד האירופי או חוקים מקומיים מחייבים לשמור את המידע.

6.1.2. שירותי עיבוד מידע ללא פונקציית מחיקה. אם במהלך התקופה, הפונקציונליות של שירותי עיבוד המידע לא מאפשרת ללקוח למחוק מידע אישי של לקוח, אזי Google תציית לכל הוראה סבירה של הלקוח כדי לסייע במחיקה כאמור, ככל שהדבר אפשרי בהתחשב באופי ובפונקציונליות של שירותי עיבוד המידע. Google עשויה לגבות עמלה (המבוססת על הוצאותיה הסבירות של Google) לכל מחיקה לפי סעיף 6.1.2 זה (שירותי עיבוד מידע ללא פונקציית מחיקה). Google תספק ללקוח פרטים נוספים בקשר לעמלה ודרך החישוב שלה, לפני מחיקת מידע כאמור.

6.2. מחיקה בסיום התקופה. עם סיום או ביטול ההסכם, הלקוח מורה ל-Google למחוק את כל המידע האישי של הלקוח (לרבות עותקים קיימים) ממערכותיה של Google בהתאם לדין החל. Google תציית להוראה זו בהקדם האפשרי הסביר אלא אם: (א) חוק של האיחוד האירופי או חוקים מקומיים מחייבים לשמור את המידע; (ב) ההסכם הוחלף על ידי הסכם חדש או תנאי שימוש בין הלקוח לבין Google בקשר לשימוש של הלקוח בשירות YouTube והלקוח מאשר שמידע אישי של לקוח (לרבות עותקים קיימים שהועלו לשירות YouTube) ימשיך להיות מעובד בהתאם לתנאי עיבוד מידע אלו.

7. אבטחת מידע

7.1. אמצעי אבטחת מידע של Google וסיוע

7.1.1. אמצעי אבטחת מידע של Google. Google תיישם ותקיים אמצעים טכניים וארגוניים על מנת לשמור על מידע אישי של לקוח מפני השמדה, איבוד, שינוי, חשיפה בלתי מורשית, או גישה למידע אישי של לקוח, שאירעו באופן בלתי מכוון או באופן בלתי חוקי, כפי שמתואר בנספח 2 ("אמצעי אבטחת מידע").Google רשאית לעדכן או לתקן את אמצעי אבטחת המידע מעת לעת, בכפוף לכך שהעדכונים והתיקונים לא יגרמו לשינוי לרעה באבטחה הכוללת של שירותי עיבוד המידע.

7.1.2. עמידה של עובדיGoogle בהוראות אבטחה.Google תוודא שכל מי שרשאי לעבד מידע אישי של לקוח התחייב לשמור על סודיות או שהוא כפוף להוראה חוקית המחייבת שמירת סודיות.

7.1.3. הסיוע של Google בשמירה על אבטחת מידע. Google תסייע ללקוח (בהתחשב בטבעו של עיבוד המידע האישי של הלקוח ובמידע הזמין ל-Google) לעמוד בחובות של הלקוח בקשר לשמירה על אבטחה של מידע אישי, פריצות למידע אישי, לרבות (ככל שהדבר רלוונטי) חובות הלקוח בהתאם לסעיפים 32 עד 34 (כולל) ל-GDPR, על ידי:

(א) יישום וקיום אמצעי אבטחת מידע בהתאם לסעיף 7.1.1 לעיל (אמצעי אבטחת מידע של Google);

(ב) עמידה בתנאי סעיף 7.2 לעיל (אירועי אבטחת מידע); ו-

(ג) אספקת מסמכי אבטחת מידע ללקוח בהתאם לסעיף 7.5.1 (עיון במסמכי אבטחת מידע) ולאמורבתנאי עיבוד מידע אלו.

7.2. אירועי אבטחת מידע.

7.2.1. דיווח על אירועים. אם Google תהיה מודעת לאירוע אבטחת מידע, Google: (א) תודיע ללקוח על אירוע אבטחת המידע בהקדם האפשרי וללא דיחוי; ו-(ב) תבצע את הפעולות הנדרשות בהקדם האפשרי על מנת לצמצם את הנזק ולאבטח את המידע האישי של הלקוח.

7.2.2. פרטים אודות אירוע אבטחת מידע. דיווח בהתאם לסעיף 7.2.1 לעיל (דיווח על אירוע) יתאר, ככל האפשר, פרטים אודות אירוע אבטחת המידע, לרבות פעולות שננקטו על מנת לצמצם סיכונים אפשריים וצעדים ש-Google ממליצה ללקוח לנקוט בתגובה לאירוע אבטחת המידע.

7.2.3. מסירת ההודעה. Google תמסור את ההודעה על אירוע אבטחת מידע לדואר האלקטרוני להודעה או בתקשורת ישירה אחרת (לדוגמה, שיחת טלפון או מפגש אישי). הלקוח ינקוט בכל הפעולות הסבירות כדי לספק כתובת דואר אלקטרוני להודעה ולוודא שכתובת הדואר האלקטרוני להודעה תקפה.

7.2.4. הודעה לצדדים שלישיים. הלקוח אחראי באופן בלעדי לציות לחוקים בקשר לחובת יידוע על אירועי אבטחה החלים על הלקוח ולעמידה בחובת הודעה לצדדים שלישיים בקשר לכל אירוע אבטחת מידע.

7.2.5. אי הודאה באחריות על ידי Google. הודעת Google על אירוע אבטחת מידע או תגובתה לאירוע אבטחת מידע בהתאם לסעיף 7.2 לעיל (אירועי אבטחת מידע) לא תפורש כהודאה באחריות או באשמה על ידי Google בקשר לאירוע אבטחת המידע.

7.3. חובות שמירה על אבטחת מידע של הלקוח והערכת הלקוח

7.3.1. חובות אבטחת מידע של הלקוח. מבלי לגרוע מחובותיה של Google לפי סעיף 7.1 לעיל (אמצעי אבטחת מידע של Google) וסעיף 7.2 לעיל (אירועי אבטחת מידע):

(א) הלקוח אחראי באופן בלעדי לשימושו בשירותי עיבוד המידע, לרבות:

(1) שימוש ראוי בשירותי עיבוד המידע על מנת לוודא רמת אבטחה נאותה בהתאם לסיכון בקשר למידע האישי של הלקוח; ו-

(2) אבטחת פרטי אימות ההתחברות לחשבון, מערכות, ומכשירים שהלקוח משתמש בהם כדי לגשת לשירותי עיבוד המידע; ו-

(ב) ל-Google אין חובה לשמור על מידע אישי של לקוח שהלקוח בחר להעביר או לשמור מחוץ למערכות המידע של Google או של מעבדי המשנה שלה.

7.3.2. הערכת אבטחת מידע של הלקוח. הלקוח מצהיר ומסכים (בהתחשב ביכולות הטכנולוגיות הקיימות, בעלותיישומן, באופי, בהיקף, בהקשר ובתכליות עיבוד המידע אישי של הלקוח, וכן בסיכונים העלולים להיגרם לאנשים) שאמצעי אבטחת המידע שיושמו ומקוימים על ידי Google כאמור בסעיף 7.1.1 לעיל (אמצעי אבטחת מידע של Google) מספקים רמת נאותה של אבטחה בהתאם לסיכון בקשר למידע אישי של הלקוח.

7.4. אישור אבטחה. על מנת להעריך ולסייע בהבטחת היעילות של אמצעי אבטחת המידע, מעת לעת, Google רשאית לקבל הסמכת ISO 27001.

7.5. סקירות וביקורות לציות.

7.5.1. סקירת מסמכי אבטחת מידע. על מנת להוכיח ציות לחובותיה בהתאם לתנאי עיבוד מידע אלו Google תאפשר ללקוח גישה לצורך עיון במסמכי אבטחת מידע.

7.5.2. זכויות ביקורת של הלקוח.

(א) Google תאפשר ללקוח או לצד שלישי שמונה על ידי הלקוח כמבקר לערוך ביקורות (לרבות פיקוחים) כדי לוודא את עמידתה של Google בחובותיה לפי תנאי עיבוד מידע אלו בהתאם לסעיף 7.5.3 להלן (תנאים עסקיים נוספים לביקורת). Google תסייע לביקורות בהתאם לסעיפים 7.4 לעיל (אישור אבטחה) וסעיף 7.5 זה (סקירה וביקורות לציות).

(ב) הלקוח אף רשאי לערוך ביקורת על מנת לוודא את עמידתה של Google בחובותיה לפי תנאי עיבוד מידע אלו, באמצעות בחינתתעודה שהונפקה עבור הסמכת ISO 27001 (המשקפת את תוצאת הביקורת שבוצעה על ידי צד שלישי שמונה כמבקר מטעמה), במידה שתעודה זו קיימת במועד בקשת הלקוח.

7.5.3. תנאים עסקיים נוספים לביקורת.

(א) הלקוח ישלח כל בקשה לביקורת לפי סעיף 7.5.2(א) לעיל ל-Google בהתאם לקבוע בסעיף 12.1 להלן (פנייה לGoogle-).

(ב) לאחר קבלת הבקשה על ידי Google לפי סעיף 7.5.3(א) לעיל, Google והלקוח ידונו ויסכימו על תאריך ההתחלה הסביר, היקף, משך התקופה, ובקרות לאבטחה ושמירת סודיות הקשורים לביקורת שתתבצע לפי סעיף 7.5.2(א) לעיל.

(ג) Google רשאית לגבות עמלה (שגובהה מבוסס על הוצאותיה הסבירות של Google) עבור כל ביקורת המתבצעת לפי סעיף 7.5.2(א) לעיל. Google תספק ללקוח פרטים נוספים בנוגע לעמלה כאמור ולדרך החישוב שלה לפני עריכת הביקורת. הלקוח יהיה אחראי באופן בלעדי לכל תשלום שיחויב על ידי צד שלישי שהלקוח מינה לצורך עריכת הביקורת.

(ד) Google רשאית לסרב לעריכת ביקורת על ידי צד שלישי שמונה על ידי הלקוח לפי סעיף 7.5.2(א) לעיל אם המבקר, לדעתה הסבירה של Google, אינו מוסמך כראוי או אינו עצמאי, אם הוא מתחרה של Google או אם מסיבות אחרות הוא אינו מתאים באופן מובהק לביצוע הביקורת. סירובה של Google יחייב את הלקוח למנות מבקר אחר או לערוך את הביקורת בעצמו.

(ה) אין בתנאי עיבוד מידע אלו כדי לדרוש מ-Google למסור ללקוח או למבקר שמונה על ידיו, או כדי לאפשר גישה ללקוח או למבקר שמונה על ידיו ל:

(1) כל מידע על לקוח אחר של ישות משפטית של Google.

(2) כל מידע פנימי חשבונאי או פיננסי של ישות משפטית של Google.

(3) כל סוד מסחרי של ישות משפטית של Google.

(4) כל מידע שלדעתה הסבירה של Google, יכול: (א) לסכן את אבטחת המערכות או המתחמים של כל ישות משפטית של Google; או (ב) לגרום לישות משפטית של Google להפר את חובותיה לפי חוקי הגנת מידע או חובות האבטחה ו/או סודיות שלה ללקוח או לכל צד שלישי; או

(5) כל מידע שהלקוח או צד שלישי שמונה על ידי הלקוח מבקש גישה אליו לכל סיבה אחרת שאינה קיום בתום לב של חובותיו של הלקוח לפי חוקי הגנת מידע.

8. הערכת השפעהוהתייעצויות

) Googleבהתחשב בטבעו של העיבוד ובמידע הזמין ל-Google) תסייע ללקוח לעמוד בחובות החלות עליו בקשר להערכת ההשפעהשל הגנת המידע(data protection impact assessment) ולהתייעצות מוקדמת, לרבות (ככל שהדבר רלוונטי) חובות הלקוח לפי סעיפים 35 ו-36 ל-GDPR, וזאת על ידי:

(1) אספקת מסמכי אבטחת מידע בהתאם לסעיף 7.5.1 לעיל (סקירת מסמכי אבטחת מידע);

(2) אספקת מידע הכלול בתנאי עיבוד מידע אלו; ו-

(3) אספקת או יצירת אפשרות גישה, בהתאם לפרקטיקות המקובלות של Google, לחומרים נוספים הנוגעים לטבעם של שירותי עיבוד המידע ולעיבוד מידע אישי של לקוח (לדוגמה, חומרים של מרכז העזרה).

9. זכויות נושאימידע

9.1. תגובות לבקשות נושאימידע. במידה ש-Google תקבל בקשה מנושאמידע בקשר למידע אישי של לקוח, Google:

(א) אם הבקשה נעשית באמצעות כלי נושאהמידע, תענה ישירות לבקשת נושאהמידע בהתאם לפונקציה הסטנדרטית של כלי נושאהמידע; או

(ב) אם הבקשה לא נעשית באמצעות כלי נושאהמידע, תייעץ לנושאהמידע להגיש את בקשתו/ה ללקוח, והלקוח יהיה אחראי להגיב לבקשה כאמור.

9.2 Google (בהתחשב בטבעו של תהליך עיבוד המידע האישי של הלקוח, ובסעיף 11 ל-GDPR, ככל שהוא חל) תסייע ללקוח לעמוד בחובתו להגיב לבקשות של נושאיהמידע, לרבות (ככל שהדבר רלוונטי) חובת הלקוח להגיב לבקשות למימוש זכויות נושאימידע כמפורט בפרק III ל-GDPR, על ידי:

(א) אספקת הפונקציונליות של שירותי עיבוד המידע;

(ב) ציות לחובות המפורטות בסעיף 9.1 לעיל (תגובות לבקשות נושאימידע); ו-

(ג) ככל שהדבר רלוונטי לשירותי עיבוד המידע, העמדת גישה לכלי נושאהמידע.

10. העברות מידע

10.1. אחסון מידע ומתקני עיבוד. Google רשאית, בכפוף לסעיף 10.2 להלן (העברת מידע מחוץ ל-EEA ושוויץ), לאחסן ולעבד מידע אישי של לקוח בארצות הברית ובכל מדינה אחרת שבה יש ל-Google או למעבדי משנה שלה מתקנים.

10.2. העברת מידע. Google תוודא ש:

(א) חברת האם של קבוצת Google, Google LLC, תמשיך לקחת חלק ב-Privacy Shield ולקיים את תנאיו; ו-

(ב) היקפו של אישור ה-Privacy Shield של Google LLC יכלול מידע אישי של לקוח.

10.3. חוות שרתים. מידע אודות מיקום חוות השרתים של Google זמין ב: www.google.com/about/datacenters/inside/locations/index.html.

11. מעבדי משנה

11.1. הסכמה להתקשרות עם מעבדי משנה. הלקוח מאשר באופן מפורש את ההתקשרות עם ישויות משפטיות של Google כמעבדי משנה ("מעבדי משנה שהם חברה קשורה של Google"). בנוסף, הלקוח מאשר באופן כללי את ההתקשרות עם כל צד ג' אחר כמעבד משנה ("מעבדי משנה צד ג'").

11.2. מידע על מעבדי משנה. מידע על מעבדי משנה זמין ב: privacy.google.com/businesses/subprocessors.

11.3. דרישות עבור התקשרות עם מעבד משנה. בהתקשרות עם כל מעבד משנה, Google:

(א) תבטיח באמצעות הסכם כתוב כי:

(1) מעבד המשנה ייגש וישתמש רק במידע אישי של לקוח במידה הנדרשת כדי למלא את החובות שהוטלו עליו במסגרת ההתקשרות, וכי יעשה זאת בהתאם להסכם (לרבות תנאי עיבוד מידע אלו) ול-Privacy Shield; ו-

(2) במידה וה-GDPR חל על עיבוד מידע אישי של לקוח, חובות אבטחת המידע המפורטות בסעיף 28(3) ל-GDPR יוטלו על מעבד המשנה; ו-

(ב) תישאר אחראית באופן מלא לכל החובות שהוטלו על, ולכל מעשה או מחדל של, מעבד המשנה.

12. פנייה ל-Google; מסמכי עיבוד

12.1. פנייה לGoogle-. לקוח רשאי לפנות ל-Google בקשר למימוש זכויותיו לפי תנאי עיבוד מידע אלו, באמצעות הדרכים המפורטות בכתובת https://support.google.com/youtube/?p=data_processing_terms_troubleshooter או בכל דרך אחרת שתסופק על ידי Google מעת לעת.

12.2. הלקוח מודע לכך ש-Google מחויבת לפי ה-GDPR: (א) לאסוף ולערוך רשומות של פרטי מידע מסוימים, לרבות השם ופרטי יצירת קשר של כל מעבד ו/או בעלים בשמם Google פועלת, וכן (ככל שהדבר רלוונטי), של נציגיהם המקומיים או האחראים להגנת המידע של מעבדים או בעלים כאמור; ו-(ב) לאפשר לרשות מפקחת כלשהי גישה לפרטי מידע כאמור. בהתאם, הלקוח, יספק ל-Google מידע דרך ממשק המשתמש של שירותי עיבוד המידע או באמצעים אחרים שיסופקו על ידי Google, וישתמש בממשק המשתמש או באמצעים אחרים כאמור כדי לוודא שכל המידע שסיפק הוא מדויק ומעודכן, ככל שיתבקש לכך וככל שהדבר חל עליו.

13. אחריות

על אף האמור בכל מקום בהסכם, האחריות המרבית של כל צד להסכם כלפי הצד האחר בקשר או לפי תנאי עיבוד מידע אלו, תוגבל לסכום הכספי או המבוסס-תשלום המרבי שאחריותו של הצד הראשון מוגבלת לפיו על פי הסכם זה (לשם הבהרה, כל החרגה של תביעות בקשר לחובת סודיות או תביעות לשיפוי מהגבלת האחריות לפי ההסכם, לא תחולנה על תביעות לפי ההסכם הקשורות לחוקי הגנת מידע). אין בסעיף 13 זה (אחריות) כדי להגביל או לצמצם את אחריות הצדדים ל: (א) מוות או פציעה כתוצאה מרשלנות הצדדים או רשלנות העובדים של הצדדים; (ב) הונאה או הטעיה מכוונת; או (ג) עניינים שלא ניתן להחריג או לצמצם אחריות לגביהם לפי הדין החל.

14. תוקף תנאי עיבוד מידע אלו

במידה וקיימת סתירה או חוסר עקביות בין תנאי עיבוד מידע אלו לבין יתר ההסכם, תנאי עיבוד מידע אלו יגברו. בכפוף לתיקונים הנדרשים לפי תנאי עיבוד מידע אלו, ההסכם יישאר בתוקף מלא.

15. שינויים בתנאי עיבוד מידע אלו

15.1. שינויים בשירותי עיבוד המידע. Google רשאית לשנות את רשימת שירותי עיבוד המידע האפשריים רק כדי:

(א) לשקף שינוי בשם השירות;

(ב) להוסיף שירות; או

(ג) להסיר שירות במקרה ש: (1) כל ההסכמים לאספקת אותו שירות בוטלו; או (2) Google קיבלה את הסכמת הלקוח לכך.

15.2. שינויים בתנאי עיבוד המידע. Google רשאית לשנות את תנאי עיבוד מידע אלו אם השינוי:

(א) מותר באופן מפורש לפי תנאי עיבוד מידע אלו, לרבות בהתאם לסעיף 15.1 לעיל;

(ב) משקף שינוי של השם או המבנה של ישות משפטית כלשהי;

(ג) נדרש על מנת לעמוד בהוראות כל חוק, תקנה, צו בית משפט או הנחיה של רשות או סוכנות ממשלתית; או

(ד) לא (1) גורם להרעה באבטחה הכוללת של שירותי עיבוד המידע; (2) מרחיב את היקף או מסיר מגבלות על עיבוד מידע אישי של לקוח על ידי Google, כפי שתואר בסעיף 5.3 לעיל (עמידה של Google בהוראות); ו-(3) משפיע מהותית לרעה על זכויות הלקוח לפי תנאי עיבוד מידע אלו, כפי שנקבע באופן סביר על ידי Google.

נספח 1: היקף ופרטים על עיבוד מידע

היקף

אספקת שירותי עיבוד מידע על ידי Google וכל תמיכה טכנית הקשורה בכך עבור הלקוח.

תקופת העיבוד

התקופה בתוספת משך הזמן מתאריך סיום התקופה ועד למחיקת כל מידע אישי של לקוח על ידי Google בהתאם לתנאי עיבוד מידע אלו.

אופי העיבוד ומטרתו

Googleתעבד (ובכלל זאת, בהתאם לשירותי עיבוד המידע ולהוראות המתוארות בסעיף 5.2 (הוראות הלקוח), תאסוף, תקליט, תארגן, תבנה, תאחסן, תשנה, תשחזר, תשתמש, תחשוף, תשלב, תמחק ותשמיד) מידע אישי של לקוח למטרת אספקת שירותי עיבוד המידע ולכל תמיכה טכנית הקשורה לכך ללקוח בהתאם לתנאי עיבוד מידע אלו.

סוגי מידע אישי

סוגי המידע האישי הנכללים במידע אישי של לקוח הם, תוכן קולי וקולי-חזותי שהועלו על ידי הלקוח ל-YouTube בהתאם לתנאי ההסכם, המעובדים על ידי Google עבור הלקוח במסגרת אספקת שירותי עיבוד המידע על ידי Google.

נספח 2: אמצעי אבטחת מידע

החל בתאריך הכניסה לתוקף, Google תיישם ותקיים את אמצעי אבטחת מידע המפורטים בנספח 2 זה. Google רשאית לעדכן או לשנות אמצעי אבטחת מידע אלו מעת לעת, בכפוף לכך שאותם עדכונים או שינויים לא יגרמו להרעה ברמת האבטחה הכוללת של שירותי עיבוד המידע.

1. חוות שרתים ואבטחת רשת

(1) חוות שרתים

תשתית. Google מחזיקה חוות שרתים מבוזרות גיאוגרפית. Google מאחסנת את כל מידע הייצור בחוות שרתים מאובטחות פיזית.

יתירות. מערכות תשתית תוכננו כדי להסיר נקודות כשל יחידות וכדי להפחית את השפעתם של סיכונים סביבתיים צפויים. מעגלים כפולים, סוויצ'ים, רשתות או מכשירים אחרים מסייעים לספק יתירות זו. שירותי עיבוד המידע נועדו לאפשר ל-Google לבצע סוגים שונים של תחזוקה מניעתית ומתקנת ללא הפרעות. לכל הציוד והמתקנים הסביבתיים יש נהלי תחזוקה מניעתית מתועדים המפרטים את תהליך ותדירות ביצוע התחזוקה בהתאם למפרט היצרן או למפרט הפנימי. תחזוקה מניעתית ומתקנת של הציוד בחוות השרתים מתוזמנת באמצעות תהליך סדור בהתאם לנהלים מתועדים.

חשמל. מערכות החשמל של חוות השרתים עוצבו כדי לאפשר יתירות ותחזוקה ללא השפעה על הפעילות השוטפת, 24 שעות ביממה, 7 ימים בשבוע. ברוב המקרים, מקור כוח ראשי ומקור כוח נוסף, כל אחד בעלי קיבולת שווה, מסופקים לרכיבי תשתית קריטיים בחוות השרתים. גיבוי לכוח החשמל מסופק באמצעות מנגנונים שונים, כגון סוללות אל פסק (UPS), שמספקות הגנה עקבית ואמינה לכוח החשמל במהלך הפסקות חשמל מלאות או חלקיות (brownouts), מתח עודף, מתח נמוך, ותנאים של תדירות שאינה נסבלת במערכות החשמל. אם כוח החשמל הסדיר מופרע, כוח הגיבוי נועד לספק כוח זמני לחוות השרתים, בקיבולת מלאה במשך 10 דקות לכל היותר עד שגנרטור המופעל בדיזל ייכנס לפעולה ויחליף אותו. הגנרטורים מסוגלים להתחיל לפעול אוטומטית בתוך מספר שניות על מנת לספק מספיק כוח חשמל לחירום כדי להפעיל את חוות השרתים בקיבולת מלאה למספר ימים.

מערכת ההפעלה של השרתים. שרתי Google משתמשים במערכות הפעלה מוקשחות שהותאמו לצרכים הייחודיים של השרת עבור העסק. מידע מאוחסן באמצעות אלגוריתמיים קניינים להגברת אבטחת המידע והיתירות. Google משתמשת בקוד לבקרת התהליך על מנת להגביר את אבטחת הקוד שנמצא בשימוש לצורך מתן שירותי עיבוד המידע ולהעשיר את מוצרי האבטחה בסביבות הייצור.

קיום עסקים שוטפים. Google משכפלת את המידע במספר מערכות כדי לסייע במניעת השמדה או אבדן מידע בלתי מכוונים. Google עיצבה ומתכננת באופן שוטף את תכניות המבדקים ואת תכניות ההמשכיות העסקית/התאוששות מאסונות שלה.

(2) רשתות ותשדורת.

תשדורת מידע. חוות השרתים מחוברות באופן טיפוסי באמצעות חיבורים פרטיים מהירים על מנת לספק העברה מהירה ובטוחה של מידע בין חוות שרתים. חיבורים אלו עוצבו כדי למנוע קריאה, העתקה, שינוי או הסרה של מידע ללא הרשאה במהלך העברה או תשדורת אלקטרונית או במהלך הקלטת המידע על גבי מדיה לאחסון מידע. Google מעבירה מידע באמצעות האינטרנט בהתאם לפרוטוקולים סטנדרטיים.

משטח התקפה חיצוני. Google מקיימת שכבות רבות של התקני רשת ואמצעים לזיהוי חדירה כדי להגן על משטח ההתקפה החיצוני. Google בוחנת אפשרויות תקיפה שונות ומטמיעה טכנולוגיות שנבנו למטרה זו במערכות הפונות כלפי חוץ בהתאם.

זיהוי חדירה. זיהוי חדירה נועד לספק מידע על פעולות התקפיות מתמשכות ולספק מידע נאות על מנת להגיב לאירועים. אמצעי זיהוי החדירה של Google כוללים:

(A) בקרה קפדנית על גודל והיקף משטחי התקיפה של Google באמצעים מניעתיים;

(B) קיום בקרות זיהוי חכמות בנקודות כניסה אל המידע; ו-

תגובה לאירועים. Google מנטרת מגוון ערוצי תקשורת לצורך זיהוי אירועי אבטחה, וצוות האבטחה של Google יגיב באופן מידי לאירועים ידועים.

טכנולוגיות מוצפנות.Google מנגישה הצפנת HTTPS (המכונה גם חיבורי SSLאו TLS). השרתים של Google תומכים במפתחות הצפנה מסוג עקומה אליפטית ארעית (EEC) של Diffie Gellman, עם חתימות RSA ו-ECDSA. מתודות PFS אלה מסייעות להגן על תעבורת נתונים ומצמצמות את ההשפעה של מפתח חשוף או פריצה קריפטוגרפית.

2. אבטחת אתרים והגישה אליהם

(1) אבטחת אתרים.

מערכת האבטחה של חוות השרתים. חוות השרתים של Google מקיימות פעולותאבטחה באתר בנוגעלכל היבטי האבטחה הפיזית של חוות השרתים 24 שעות ביממה, 7 ימים בשבוע. כוח האדם האחראי על פעולות האבטחה באתר מנטר מצלמות אבטחה מעגל סגור ("מצלמות") ואת כל מערכות האזעקה. כוח האדם האחראי על פעולות האבטחה באתר מבצע סיורים פנימיים וחיצוניים בחוות השרתים באופן שוטף.

פרוצדורות לגישה למרכזי מידע. Google מקיימת פרוצדורות גישה פורמליות לצורך מתן גישה פיזית לחוות השרתים. חוות השרתים נמצאות במתקנים הדורשים כרטיסי גישה דיגיטליים, עם אזעקות שמחוברות למבצעי פעולות האבטחה באתר. כלל הנכנסים לחוות השרתים נדרשים להזדהות ולספק הוכחת זהות למבצעי פעולות האבטחה באתר. רק עובדים, ספקים ומבקרים מורשים רשאים להיכנס לחוות השרתים. רק עובדים וספקים מורשים רשאים לבקש כרטיסי גישה אלקטרוניים למתקנים אלו. בקשות לכרטיסי גישה אלקטרוניים לחוות השרתים צריכות להיות מוגשות מראש ובכתב, ודורשות את אישור המנהל של המבקש ואת אישורו של מנהל חוות השרתים. כל הנכנסים האחרים המבקשים גישה זמנים לחוות השרתים חייבים: (1) לקבל אישור מראש ממנהלי חוות השרתים לחוות השרתים המסוימת ולאזורים הפנימיים בהם הם מבקשים לבקר; (2) לחתום על כניסתם מול מבצע פעולות האבטחה באתר; ו-(3) להפנות לרשומת גישה מאושרת לחוות השרתים המזהה את האדם כפי שאושר.

אמצעי אבטחה של מרכזי המידע. חוות השרתים של Google מוגנות על ידי מערכת בקרת גישה המבוססת על כרטיסים אלקטרוניים וזיהוי ביומטרי ומחוברת למערכת אזעקה. מערכת בקרת הגישה מנטרת ומתעדת את הכרטיסים האלקטרוניים של כל אדם כאשר הוא ניגש לדלתות היקפיות, לאזור המשלוחים והקבלה ולאזורים רגישים אחרים. פעילות בלתי מורשית או ניסיונות גישה כושלים נשמרים ומתועדים על ידי מערכת בקרת הגישה ומתוחקרים בהתאם. גישה מורשית ברחבי הפעולות העסקיות וחוות השרתים מוגבלת על בסיס אזורים ודרישות התפקיד של האנשים. דלתות האש בחוות השרתים מגובות באזעקה. המצלמות נמצאות בפעולה בתוך ומחוץ לחוות השרתים. מיקומי המצלמות תוכננו כדי לחסות אזורים אסטרטגיים, לרבות היקף המתחם, דלתות המובילות לבניין חוות השרתים ואזור המשלוחים/קבלה. כוח האדם של מבצעי פעולות האבטחה באתר מנהל את ציוד הניטור ההקלטה והבקרה על המצלמות. כבלים מאובטחים ברחבי חוות השרתים מחברים את ציוד המצלמות. המצלמות מתעדות באתר באמצעות מקלטי וידאו דיגיטליים 24 שעות ביממה, 7 ימים בשבוע. תיעוד צילומי הפיקוח נשמרים לכל הפחות ל-7 ימים בהתאם לפעילות.

(2) בקרת גישה.

כוח האדם בתשתיות. Google מיישמת מדיניות אבטחה ביחס לכוח האדם שלה, ומחייבת קיום הדרכות אבטחת מידע כחלק מחבילת ההדרכות לכוח האדם. כוח האדם לאבטחת תשתיות של Google אחראי לניטור השוטף של תשתיות האבטחה של Google, לביקורת על שירותי עיבוד המידע ולתגובה לאירועי אבטחה.

בקשרת גישה וניהול הרשאות. מנהלים ומשתמשים של הלקוח חייבים לאמת את עצמם באמצעות מערכת אימות מרכזית או באמצעות מערכת התחברות יחידה (SSO) כדי להשתמש בשירותי עיבוד המידע.

תהליכים ומדיניות פנימיים גישה למידע – מדיניות גישה. התהליכים והמדיניות הפנימיים של Google לגישה למידע מעוצבים כדי למנוע מאנשים ו/או מערכות בלתי מורשים לקבל גישה למערכות המשמשות לעיבוד מידע אישי. Google פועלת לעיצוב מערכותיה כדי (1) לאפשר לאנשים מורשים בלבד גישה למידע שיש להם הרשאה לגשת אליו; ו-(2) להבטיח שלא ניתן לקרוא, להעתיק, לשנות או להסיר מידע אישי ללא הרשאה במהלך עיבוד, שימוש או לאחר הקלטה של המידע. המערכות מעוצבות כדי לזהות גישה בלתי מורשית. Google מקיימת מערכת ניהול גישה מרכזית כדי לשלוט בגישת כוח האדם לשרתי ייצור, ומעניקה גישה כאמור למספר מצומצם בלבד של עובדים מורשים. LDAP, Kerberos ומערכת קניינית שמשתמשת בתעודות SSH מעוצבים כדי לספק ל-Google מנגנוני גישה מאובטחים וגמישים. מנגנונים אלו מעוצבים כדי להעניק זכויות גישה מאושרות בלבד למארחי אתרים, ללוגים, למידע ולהגדרות. Google דורשת שימוש במזהי משתמש ייחודיים, סיסמאות חזקות, אימות דו-שלבי ורשימות גישה מנוטרות באופן קפדני כדי להפחית את פוטנציאל השימוש הבלתי מורשה בחשבונות. הענקה או שינוי של זכויות גישה מבוססת על: דרישות התפקיד של עובד מורשה; דרישות הכרחיות לביצוע משימות מורשות; ועל בסיס צורך לדעת. הענקה או שינוי של זכויות גישה צריכים גם להיעשות בהתאם למדיניות והדרכות הגישה למידע הפנימיות של Google. אישורים מנוהלים על ידי כלי תהליכי עבודה השומרים תיעוד של כל השינויים לצרכי ביקורת. גישה למערכות מתועדת כדי ליצור נתיב בקרה לצורכי אחריות. כאשר נעשה שימוש בסיסמאות לאימות (למשל, לצורך התחברות לתחנות עבודה), מוטמעת מדיניות סיסמאות המתאימה לכל הפחות לסטנדרט הנוהג בתעשייה. סטנדרט זה כולל הגבלה על שימוש חוזר בסיסמאות וחוזק סיסמא מספק.

3. מידע

(1) שמירת מידע, בידוד ואימות

Google מאחסנת מידע בסביבה רבת דיירים בשרתים בבעלותה של Google. המידע, מאגרי המידע של שירותי עיבוד המידע וארכיטקטורת קבצי המערכת משוכפלים בין מספר חוות שרתים מבוזרות גיאוגרפית. Google מבודדת באופן לוגי כל מידע של משתמש. מערכת אימות מרכזית אחת מיושמת בכל שירותי עיבוד המידע כדי להגביר את אחידות אבטחת המידע.

(2) דיסקים שהוצאו משירות והנחיות להשמדת דיסקים

דיסקים מסוימים המכילים מידע עלולים לחוות בעיות בביצועים, שגיאות או כשל חומרה שעשויים לגרום להם לצאת משירות ("דיסק שהוצא משירות"). כל דיסק שהוצא משירות כפוף לסדרת תהליכים להשמדת מידע ("הנחיות להשמדת דיסקים") לפני שהוא מוצא ממתחמי Google לשימוש חוזר או להשמדה. דיסקים שהוצאו משירות נמחקים בתהליך רב שלבי שמאומת על ידי לפחות שני מאמתים עצמאיים. תוצאות המחיקה מתועדות לפי המספר הסידורי של הדיסק שהוצא משירות לצורכי מעקב. לבסוף, הדיסק שהוצא משירות המחוק משוחרר למלאי עבור שימוש חוזר והפצה מחדש. אם, כתוצאה מכשל חומרה, הדיסק שהוצא משירות לא ניתן למחיקה, הוא נשמר באופן מאובטח עד שניתן יהיה להשמידו. כל מתקן מבוקר באופן שוטף על מנת לנטר את הציות להנחיות להשמדת דיסקים.

4. אבטחת כוח אדם

עובדי Googleנדרשים להתנהל בהתאם להנחיות החברה בקשר לסודיות, אתיקה עסקית, שימוש ראוי וסטנדרטים מקצועייםGoogle עורכת בדיקות רקע נאותות וסבירות, ככל שהדבר מותר לפי חוק ובהתאם לדיני העבודה המקומיים החלים ולתקנות אחרות.

העובדים נדרשים לחתום על הסכם סודיות ולאשר קבלה וציות למדיניות הסודיות והפרטיות של Google. העובדים עוברים הדרכות בנושא אבטחה. עובדים המטפלים במידע אישי של לקוח נדרשים להשלים דרישות נוספת בהתאם לתפקידם. העובדים של Google לא יעבדו מידע אישי של לקוח ללא הרשאה.

5. אבטחה של מעבדי משנה

לפני קבלת מעבדי משנה, Google עורכת ביקורת על פרקטיקות האבטחה והפרטיות של מעבדי המשנה על מנת לוודא שמעבדי המשנה מספקים רמת אבטחה ופרטיות נאותה בהתאם לגישתם למידע ולהיקף השירותים שהם מספקים. לאחר ש-Google מעריכה את הסיכונים שהוצגו על ידי מעבד המשנה, בכפוף לדרישות בסעיף 11.3 לעיל (דרישות עבור התקשרות עם מעבד משנה), מעבד המשנה נדרש לחתום על הסכם הכולל תנאים נאותים לשמירת סודיות, פרטיות ואבטחה.