Polityka Prywatności GravityZone

Polityka prywatności dotycząca rozwiązań Bitdefender dla firm, wersja 5.2, zaktualizowana 05.03.2024

Niniejsza polityka prywatności ma zastosowanie do danych zbieranych przez Bitdefender jako administratora lub współadministratora w celu świadczenia rozwiązań Bitdefender Business Solutions. Niektóre rozwiązania i usługi Bitdefender mogą mieć dodatkowe, specyficzne klauzule prywatności, jak opisano niżej. W przypadku konfliktu takie szczegółowe klauzule mają pierwszeństwo przed niniejszą polityką ogólną.

Dokument wyjaśnia, w jaki sposób Bitdefender gromadzi, przechowuje, wykorzystuje i ujawnia Twoje dane osobowe oraz jak i gdzie możemy ich używać, jak je chronimy, kto ma do nich dostęp, z kim je udostępniamy oraz jak możesz je poprawić w ramach Bitdefender Business Solutions.

Wyłączenia / Zastrzeżenie

NIE DOTYCZY:

1. Jeżeli jesteś klientem rozwiązań domowych Bitdefender (Home) — ta polityka nie ma do Ciebie zastosowania. Sprawdź: Bitdefender Privacy Policy for Home Users Solutions.
2. Jeżeli jesteś odwiedzającym strony internetowe Bitdefender — właściwa jest Privacy Policy for Bitdefender websites.
3. Jeżeli jesteś osobą, której dane dotyczą, w kontekście Bitdefender Business Solutions, gdzie Bitdefender działa jako podmiot przetwarzający (np. Bitdefender GravityZone Security for Mobile, GravityZone Integrity Monitoring, GravityZone Cloud Security), a administratorem jest Twój pracodawca lub dostawca usługi — zapoznaj się z ich polityką prywatności. Bitdefender przetwarza dane osobowe w tym kontekście zgodnie z umową powierzenia przetwarzania zawartą z tą firmą.
4. Jeżeli jesteś pracownikiem lub kandydatem do pracy w Bitdefender — obowiązują polityki właściwe dla tych relacji.

1. Informacje ogólne

1.1. S.C. BITDEFENDER S.R.L. („Bitdefender”), z siedzibą w Bukareszcie, sektor 6, 15A Sos. Orhideelor, budynek Orhideea Towers, piętra 10–12, wpisana do Rejestru Handlowego w Bukareszcie pod nr J40/20427/2005, NIP RO18189442, e-mail: [email protected], przetwarza dane osobowe zgodnie z rumuńskimi przepisami o ochronie danych oraz RODO (rozporządzenie 2016/679). Inspektor Ochrony Danych: [email protected], tel. +4021-206.34.70. Bitdefender SRL oraz spółki stowarzyszone/córki („Bitdefender”) cenią bezpieczeństwo i prywatność Twoich danych. Odniesienia „my”, „nas”, „nasz” oznaczają Bitdefender.

1.2. Bitdefender jest liderem cyberbezpieczeństwa, dostarczającym najwyższej klasy rozwiązania prewencji, wykrywania i reagowania na zagrożenia na całym świecie. Jako strażnik milionów użytkowników indywidualnych, przedsiębiorstw i instytucji publicznych, Bitdefender jest zaufanym ekspertem w eliminowaniu zagrożeń, ochronie prywatności, tożsamości cyfrowej i danych oraz budowaniu cyberodporności. Firma jest pionierem innowacji w zakresie antymalware, bezpieczeństwa IoT, analityki behawioralnej i sztucznej inteligencji.

1.3. Naszym głównym celem jest zapewnienie cyberbezpieczeństwa klientom — w tym bezpieczeństwa punktów końcowych, sieci i chmury — oraz prowadzenie działań wsparcia w tym zakresie, a w szczególnych przypadkach (gdy przewiduje to umowa) także identyfikacja błędów i rozwiązywanie problemów, doskonalenie rozwiązań i usług, analizy statystyczne i trendów — przy jednoczesnym poszanowaniu prywatności klientów, innych użytkowników Internetu i partnerów biznesowych — oraz wypełnianie obowiązków prawnych, gdy przepisy wymagają przetwarzania danych osobowych („Cel”).

1.4. Przy zbieraniu i przetwarzaniu danych dokładamy starań, aby stosować odpowiednie środki techniczne do ich anonimizacji lub co najmniej pseudonimizacji. Zbieramy wyłącznie niezbędne dane techniczne i dążymy do ich anonimizacji, aby przetwarzać je dla określonego Celu.

1.5. Gdy pełna anonimizacja nie jest technicznie możliwa, potencjalna identyfikacja użytkownika jest skrajnie mało prawdopodobna. „Dane osobowe” wg RODO to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W tym kontekście Bitdefender przetwarza dane osobowe z Bitdefender Business Solutions dla Celu poprzez:
(i) zapewnienie prawidłowego i wydajnego działania rozwiązań zgodnie ze specyfikacją i dokumentacją oraz ich ulepszanie (w tym analizę zgłoszonych zagrożeń), dostarczanie i dostosowywanie rozwiązań do potrzeb cyberbezpieczeństwa oraz rozwój nowych technologii;
(ii) oferowanie wsparcia lub konsultacji osobom, których dane dotyczą — jeżeli dana osoba o to wyraźnie poprosi i jeżeli dane rozwiązanie obejmuje taką funkcję lub usługę.

2. Zgromadzone dane osobowe

2.1. Wszystkie dane osobowe gromadzone przez Bitdefender są rejestrowane, przechowywane, używane i zarządzane na chronionych serwerach oraz innych urządzeniach z branżowymi środkami bezpieczeństwa. Serwisy Bitdefender są hostowane na serwerach z branżowymi środkami bezpieczeństwa. Bitdefender może gromadzić dane osobowe użytkowników rozwiązań biznesowych — ograniczone do danych technicznych i licencyjnych, które czasem mogą obejmować dane osobowe: (i) dane podane bezpośrednio przez osoby/klientów/partnerów przy tworzeniu konta; (ii) dane techniczne zbierane przez Business Solutions.

2.2. Dane osobowe mogą obejmować: identyfikatory i dane kontaktowe (imię, stanowisko, firma, dane kontaktowe, adres dostawy/fakturowania, telefon, e-mail, preferencje kontaktu), aktywność w sieci/elektroniczną (domena, URL, adres IP), dane logowania (login/hasło), informacje przekazywane nam w celu uzyskania wsparcia technicznego lub podczas kontaktu z obsługą, zainteresowania, demografię, doświadczenie z naszymi produktami, preferencje, treści wpisane w polach „dowolny tekst”, informacje handlowe (dane transakcyjne i historia), dane ujawnione przez Ciebie na forach, czatach, blogach i innych usługach lub platformach (w tym zewnętrznych). W zakresie dozwolonym prawem możemy nagrywać rozmowy lub inną komunikację.

2.2.1. Dane przekazywane bezpośrednio przez osoby/klientów/partnerów

Gdy przyznawana jest licencja, Twój pracodawca lub partner może udostępnić nam służbowe dane kontaktowe (e-mail, telefon), aby kontaktować się w sprawie aktualizacji, powiadomień lub wsparcia. Przy dostępie do Centrum Wsparcia możemy poprosić o ważny adres e-mail/telefon i/lub inne dane techniczne do komunikacji ws. wsparcia. Dane te służą udzieleniu licencji, obsłudze zgłoszeń/skarg oraz świadczeniu wsparcia. Bitdefender może poprosić o inne dane — jeśli niezbędne do rozwiązania zgłoszonego problemu bezpieczeństwa.

Retencja: dane licencyjne — przez czas trwania umowy + nie więcej niż 5 lat po wygaśnięciu (obrona roszczeń). Dane wsparcia — różne okresy zależnie od rozwiązania problemu i kanału komunikacji, nie dłużej niż 5 lat od ostatniego kontaktu.

2.2.2. Dane techniczne wysyłane przez Business Solutions

Podczas użycia Business Solutions możliwe jest przesłanie danych technicznych, takich jak UDID, zgłoszony zainfekowany URL, adresy IP. Jeżeli rozwiązanie integruje się z serwerem poczty, pewne dane techniczne dotyczące zainfekowanych plików mogą być przesłane (np. nadawca, odbiorca, temat, załącznik). Zwykle dane te nie pozwalają na identyfikację, ale w szczególnych przypadkach eksperci mogliby zidentyfikować konkretne urządzenie — dlatego traktujemy je jako dane osobowe i odpowiednio chronimy. Informacje są używane wyłącznie dla Celu: prawidłowego działania rozwiązań i usług, ich ulepszania (w tym analiza zgłoszeń), dostarczania i personalizacji usług. Możemy także wykorzystywać je do celów statystycznych i poprawy jakości rozwiązań.

Retencja: dane przechowywane przez ograniczony okres w zależności od przydatności dla bieżących potrzeb bezpieczeństwa — nie dłużej niż 10 lat od zebrania.

Gdy używasz konsoli Bitdefender do zarządzania i ustawień rozwiązań biznesowych, zbieramy dane użycia (np. użyte funkcje, napotkane błędy, czasy ładowania, urządzenie, logi dostępu) powiązane z identyfikatorami użytkownika, aby zapewnić bezpieczeństwo tych usług, identyfikować błędy, rozwiązywać problemy i ulepszać usługi. W większości przypadków dane te wykorzystywane są w formie zagregowanej do analiz statystycznych i trendów.

Retencja (dane użycia konsoli): maksymalnie 12 miesięcy od zebrania.

3. Podstawy prawne przetwarzania danych osobowych

3.1. Bitdefender przetwarza dane osobowe z Business Solutions na podstawie prawnie uzasadnionych interesów Bitdefender oraz osób, których dane dotyczą (ochrona przed cyberatakami i malware) dla Celu, zgodnie z motywem 47 RODO. Przetwarzanie nie narusza interesów ani podstawowych praw i wolności osób, których dane dotyczą.

3.2. W pewnych przypadkach zbieramy dane za Twoją zgodą. Zgodę możesz wycofać w dowolnym momencie, korzystając z narzędzi preferencji dostępnych w komunikacji lub interfejsach produktów/usług, a w razie braku — kontaktując się z nami (poniżej). Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania sprzed wycofania.

3.3. W sprawie podstaw prawnych dla konkretnego rozwiązania zapoznaj się z uzupełniającą klauzulą prywatności tego rozwiązania lub skontaktuj się z nami.

3.4. Stosujemy zasadę minimalizacji danych — dane są domyślnie anonimizowane. Dostęp do danych mają wyłącznie pracownicy Bitdefender i podmioty przetwarzające, które muszą mieć dostęp do tych informacji. Polityki bezpieczeństwa informacji Bitdefender są certyfikowane ISO 27001 oraz SOC2 Type 2.

4. Kto ma dostęp do danych osobowych

4.1. Zasadniczo Bitdefender nie ujawnia danych osobowych osobom trzecim, poza wyjątkami wskazanymi poniżej oraz w rozdziale 6. Bitdefender czasami korzysta z innych firm jako podmiotów przetwarzających (wyłącznie, gdy to konieczne dla Celu i do prowadzenia działalności), z obowiązkiem zachowania poufności i zapewnienia co najmniej równoważnych zabezpieczeń oraz bez prawa dalszego powierzenia bez zgody Bitdefender.

4.2. Ujawnienie zgodnie z niniejszą polityką:

• Spółki powiązane/córki: w określonych sytuacjach możemy ujawnić ograniczone dane podmiotom powiązanym.
• Dostawcy usług/technologii: podwykonawcy Bitdefender (procesorzy) wspierający świadczone rozwiązania.
• Transfery biznesowe: dane mogą być przeniesione w ramach fuzji/przejęcia.
• Za zgodą: w każdym innym celu — gdy wyrazisz zgodę.
• Obowiązki prawne i prawa: uprawnionym odbiorcom (i) w związku z ustalaniem, dochodzeniem lub obroną roszczeń; (ii) dla zgodności z prawem/na podstawie prawnie wiążących wezwań; (iii) w celach monitoringu nadużyć i bezpieczeństwa (np. wykrywanie i zapobieganie cyberatakom); (iv) dla ochrony praw Bitdefender lub pracowników; (v) w innych przypadkach dopuszczonych przepisami.

W miarę możliwości wymagamy od odbiorców odpowiednich wymogów prywatności/poufności oraz standardów bezpieczeństwa.

4.3. Bitdefender może hostować lub transferować dane w Rumunii, Irlandii, innych państwach UE lub w innych jurysdykcjach zapewniających odpowiedni poziom ochrony (art. 45 RODO) bądź z zastosowaniem odpowiednich zabezpieczeń, w tym Standardowych Klauzul Umownych (art. 46.2 RODO).

W przypadku Business Solutions większość danych hostujemy i zarządzamy wewnętrznie. Dla niektórych danych możemy używać następujących typów podmiotów przetwarzających zlokalizowanych w UE, USA i regionie APAC:

• dla komunikacji „na żywo” — dostawcy z UE i USA (wsparcie, live chat, call center);
• dla komunikacji offline — dostawcy z UE i USA (wsparcie, hosting danych);
• dla niektórych usług bezpieczeństwa — dostawcy z UE, USA, Singapuru i Wielkiej Brytanii; dla rozwiązań pocztowych możliwe centra danych także w EAU.

Ze względu na obowiązek poufności szczegółowe informacje nt. podmiotów przetwarzających przekazujemy wyłącznie właściwym organom. Bitdefender może ujawnić dane osobowe organom na ich żądanie zgodnie z prawem lub gdy jest to konieczne do ochrony praw i interesów naszych klientów oraz Bitdefender.

5. Prawa w zakresie danych osobowych

Zgodnie z RODO osobom, których dane dotyczą, przysługują: prawo dostępu do danych, prawo sprostowania, usunięcia, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych oraz prawo do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu), wywołującym skutki prawne lub podobnie istotne.

W przypadku przetwarzania danych na podstawie zgody — masz prawo do jej wycofania w dowolnym momencie.

Aby skorzystać z praw, wyślij wniosek do IOD: [email protected] lub na [email protected].

Masz także prawo wnieść skargę do organu nadzorczego oraz prawo do sądu.

6. Inni współadministratorzy danych

6.1. Jeżeli korzystasz z Bitdefender Business Solutions, możliwe, że inna firma (zwykle Twój pracodawca jako nasz klient lub partner, który włącza nasze usługi) jest również współadministratorem niektórych danych gromadzonych przez Business Solutions — zwłaszcza danych dostępnych w konsoli Bitdefender GravityZone — w celu zapewnienia bezpieczeństwa informacji.

6.2. Zgodnie z naszymi ustaleniami o współadministrowaniu, podmioty te ponoszą pełną odpowiedzialność za przetwarzane przez nie dane osobowe i muszą informować Cię o wszystkich aspektach przetwarzania, w tym podstawach prawnych i celach (w tym celu bezpieczeństwa informacji).

7. Dodatkowe informacje dotyczące niektórych rozwiązań Bitdefender

7.1. Usługi Anti-theft (zapobieganie kradzieżom)

Niektóre rozwiązania obejmują opcjonalne usługi anti-theft dla telefonów, tabletów i laptopów. Po aktywacji i konfiguracji anti-theft może śledzić urządzenie w czasie rzeczywistym (geo-lokalizacja) oraz umożliwia: zdalną blokadę, wymazanie danych, wykonanie zdjęć osoby uzyskującej nieautoryzowany dostęp. W ramach anti-theft Bitdefender może otrzymywać dane geolokalizacyjne z GPS, komórek GSM, użycia Wi-Fi lub adresu IP. Jedynym celem przetwarzania jest bezpieczeństwo informacji. Dla precyzyjnej lokalizacji możemy używać podmiotów przetwarzających. Dane hostowane są głównie na terenie UE; niektóre dane mogą być hostowane w USA w oparciu o art. 45/46 RODO. Dane geolokalizacyjne są przechowywane tak długo, jak aktywna jest usługa, i usuwane po jej dezaktywacji. Administrator rozwiązania może zdalnie wydawać komendy; to jego odpowiedzialność prawna, by mieć do tego uprawnienia.

7.2. Usługi Human Risk (Human Risk Analytics)

Celem jest identyfikacja działań i zachowań użytkowników stwarzających ryzyko bezpieczeństwa dla organizacji. Rozwiązanie działa w sposób przyjazny dla prywatności — przetwarzanie odbywa się wyłącznie lokalnie na punktach końcowych. Wynik (łączny wskaźnik ryzyka) jest prezentowany w konsoli GravityZone wyłącznie administratorowi. Dane nie są wykorzystywane przez Bitdefender do innych celów. Dane techniczne i zakres opisano w dokumentacji rozwiązań biznesowych i na stronie internetowej.

7.3. GravityZone Security for Email

Do świadczenia GravityZone Security for Email wykorzystujemy dostawcę klasy enterprise (w tym Censornet). Jest to brama bezpieczeństwa w chmurze chroniąca dowolne usługi e-mail przed wieloma wektorami zagrożeń. Lokalizacje centrów danych zależą od lokalizacji klienta i obejmują m.in. UK, UE, USA, EAU. Wiadomości e-mail przepływają przez infrastrukturę w wybranych centrach danych i są sprawdzane pod kątem spamu, wirusów i innej zawartości. Jeżeli wiadomość zostanie uznana za „czystą”, jest logowana i dostarczana na serwer pocztowy klienta.

Logi e-mail obejmują adresy IP, pola „Do”, „Od” (adresy e-mail) i „Temat”, pełne wiadomości — jeżeli zostały oznaczone jako spam i trafiły do kwarantanny — odpowiedzi serwera oraz inne dane nagłówkowe (bez treści wiadomości i załączników, poza przypadkami spamu). Logi przechowywane są w tym samym centrum danych. Podczas przetwarzania wiadomość jest chwilowo zapisywana na dysku; po dostarczeniu na serwer klienta — natychmiast usuwana (zwykle w ciągu kilku sekund). Wiadomości uznane za „spam” mogą trafić do kwarantanny na 30 dni (klient może wybrać usuwanie zamiast kwarantanny). Retencja logów: 90 dni do 12 miesięcy (archiwum).

8. Data publikacji

Niniejsza polityka została przyjęta w dacie wskazanej w tytule i będzie modyfikowana w razie potrzeby bez uprzedzenia. Nowa wersja obowiązuje po publikacji na stronie i odpowiednim oznaczeniu. Bieżąca wersja dokumentu dostępna jest pod adresem: https://www.bitdefender.com/site/view/eula-business-solutions.html.