Polityka prywatności dotycząca rozwiązań Bitdefender dla firm, wersja 5.0 przyjęta w dniu 20.07.2021 r.
Dokument ten wyjaśnia, jakie dane osobowe gromadzimy, w jaki sposób i gdzie możemy je wykorzystywać, jak je chronimy, kto ma do nich wgląd, komu je udostępniamy oraz jak osoba, której dane dotyczą, może je skorygować. Ta polityka prywatności dotyczy tylko rozwiązań Bitdefender dla firm zarządzanych przez Bitdefender.
Usługi w zakresie zapobiegania kradzieżom i zapewnienia bezpieczeństwa objęte są oddzielnymi politykami prywatności, które zostały szczegółowo opisane w rozdziałach 7 i 8. Użytkownikom, którzy korzystają z naszych rozwiązań lub stron internetowych w warunkach domowych, zaleca się zapoznanie się z naszą publiczną polityką prywatności dostępną na naszej stronie internetowej, w której można znaleźć informacje na temat tego, jakie dane osobowe możemy przetwarzać: https://www.bitdefender.com/site/view/legal-privacy.html
1. Informacje ogólne
S.C. Firma BITDEFENDER S.R.L. („Bitdefender”) z siedzibą w Bukareszcie pod adresem Sektor 6, 15A Sos. Orhideelor, Orhideea Towers Building, piętra 9-12, zarejestrowana w Rejestrze Handlowym w Bukareszcie pod numerem J40/20427/2005, numer ewidencji podatkowej RO18189442, adres e-mail privacy@bitdefender.com, przetwarza dane osobowe zgodnie z rumuńskimi przepisami o ochronie danych osobowych oraz unijnym rozporządzeniem o ochronie danych (rozporządzenie 2016/679).
Aby skontaktować się z naszym inspektorem ds. ochrony danych osobowych, należy skorzystać z następujących danych kontaktowych: inspektor ds. ochrony danych osobowych Bitdefender – dpo@bitdefender.com, numer telefonu: 4021 -206.34.70. Bitdefender oferuje usługi i rozwiązania w zakresie ochrony danych. Naszym głównym celem jest zapewnienie bezpieczeństwa informacji i sieci poprzez dostarczanie wysokiej jakości rozwiązań i usług w tych obszarach przy jednoczesnym poszanowaniu prywatności i danych osobowych klientów, użytkowników Internetu i partnerów biznesowych.
Pojęcie „danych osobowych” zgodnie z europejską definicją prawną (rozporządzenie 2016/679) oznacza: „wszelkie informacje dotyczące określonej lub możliwej do zidentyfikowania osoby fizycznej („osoby, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio za pomocą elementu identyfikującego, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość takiej osoby;” W tym kontekście Bitdefender przetwarza dane osobowe pozyskane za pośrednictwem swoich rozwiązań Bitdefender dla firm wyłącznie w celu zapewnienia bezpieczeństwa sieci i informacji w następujący sposób:
- poprzez zapewnienie poprawnego i wydajnego działania rozwiązań Bitdefender dla firm zgodnie ze specyfikacjami technicznymi i szczegółami licencji oraz w celu ich ulepszenia, w tym analizowanie zgłoszonych problemów związanych z bezpieczeństwem w sferze IT, dostarczanie i dostosowywanie powiązanych usług do potrzeb osób, których dane dotyczą oraz rozwijanie nowych technologii;
- jeżeli umowa z Klientem biznesowym obejmuje taką funkcję, oferując wsparcie lub doradztwo dla osób, których dane dotyczą, korzystających z rozwiązań Bitdefender dla firm na wyraźne żądanie takich osób.
2. Zgromadzone dane osobowe
Wszystkie dane osobowe gromadzone przez Bitdefender są rejestrowane, przechowywane, wykorzystywane i zarządzane za pośrednictwem chronionych serwerów oraz innych urządzeń, które umożliwiają wykonywanie takich działań przy zachowaniu środków bezpieczeństwa, będących standardem w branży. Dodatkowo wszystkie strony internetowe Bitdefender są utrzymywane na serwerach chronionych przy pomocy środków bezpieczeństwa, będących standardem w branży. Bitdefender może gromadzić dane osobowe osób, których dane dotyczą, będących użytkownikami rozwiązań Bitdefender dla firm. Zakres takich informacji ogranicza się do danych technicznych i licencyjnych, które czasami mogą zawierać następujące dane osobowe:
- dane osobowe przekazane bezpośrednio przez Partnerów / Klientów podczas tworzenia konta;
- dane techniczne, wysyłane przez rozwiązania Bitdefender dla firm zainstalowane na urządzeniach Partnerów / Klientów.
2.1 Dane osobowe przekazywane bezpośrednio przez Partnera/Użytkownika
– w momencie dostarczania użytkownikowi licencji jego pracodawca lub partner biznesowy może udostępnić nam dane kontaktowe miejsca pracy takiego użytkownika, w tym między innymi adres e-mail lub numer telefonu, aby umożliwić nam kontakt w sprawie aktualizacji, powiadomień oraz zapewnienia wsparcia. Gdy użytkownik chce uzyskać dostęp do Centrum Wsparcia, możemy poprosić go o podanie ważnego adresu e-mail lub numeru telefonu oraz innych informacji technicznych w celu prowadzenia komunikacji dotyczącej świadczenia usług pomocy technicznej. Wszystkie takie dane są wykorzystywane, aby zapewnić danemu użytkownikowi dostęp do licencji na korzystanie z rozwiązań Bitdefender dla firm, aby odpowiadać na prośby i skargi użytkownika, które do nas skieruje oraz oferować usługi wsparcia technicznego. Bitdefender może również prosić o inne dane, które mogą zostać uznane za osobowe, jeśli jest to konieczne do rozwiązania problemu w zakresie bezpieczeństwa informacji zgłoszonego przez użytkownika. Więcej szczegółów na ten temat można uzyskać, kontaktując się z nami przy pomocy jednego ze wskazanych sposobów komunikacji. Dane wykorzystywane do zapewnienia dostępu do licencji są przechowywane przez okres obowiązywania umowy i przez pięć lat po jej wygaśnięciu w celu ochrony przed ewentualnymi zarzutami dotyczącymi kwestii umownych. Okres przechowywania danych wykorzystywanych do świadczenia usług wsparcia może różnić się w zależności od tego, czy problem został rozwiązany, oraz metody komunikacji używanej przez użytkownika do korzystania z usług wsparcia w celu ochrony przed ewentualnymi zarzutami dotyczącymi kwestii umownych, ale w żadnym przypadku nie może on wynosić dłużej, niż pięć lat od momentu ostatniego kontaktu.
2.2 Dane techniczne przesyłane przez rozwiązania Bitdefender dla firm
– podczas korzystania z rozwiązań Bitdefender dla firm możemy gromadzić pewne informacje techniczne, takie jak dane służące do identyfikacji urządzenia (UDID), zgłoszony przez użytkownika zainfekowany adres URL lub adresy IP. Użytkownicy, którzy korzystają z narzędzi Bitdefender dla firm połączonych z serwerem poczty e-mail, mogą automatycznie udostępniać nam pewne dane techniczne dotyczące zainfekowanych plików, takie jak nadawca pliku, jego odbiorca oraz załącznik. W większości przypadków takie dane techniczne nie mogą prowadzić do bezpośredniej lub pośredniej identyfikacji użytkownika, ale w niektórych bardzo szczególnych sytuacjach eksperci w obszarze technologii mogą być w stanie zidentyfikować na ich podstawie konkretny komputer. Z tego powodu traktujemy takie informacje jak dane osobowe i odpowiednio je chronimy. Informacje te są wykorzystywane wyłącznie w celu zabezpieczenia danych i sieci poprzez prawidłowe i sprawne działanie naszych rozwiązań i usług zgodnie ze specyfikacją techniczną oraz ich doskonalenie, w tym poprzez analizę zgłoszonych problemów bezpieczeństwa. Obejmuje to świadczenie i personalizację usług powiązanych. Możemy również korzystać z tych informacji do celów statystycznych i z myślą o doskonaleniu jakości naszych rozwiązań. Dane takie przechowywane są przez ograniczony okres, a jego długość zależy od ich przydatności do celów ochrony. Bazując na obecnym tempie rozwoju technologii szacujemy, że będą nam one potrzebne nie dłużej, niż przez 10 lat od dnia ich uzyskania.
3. Podstawy prawne przetwarzania danych osobowych
Bitdefender przetwarza dane osobowe uzyskane za pośrednictwem rozwiązań Bitdefender dla firm w oparciu o uzasadniony interes Bitdefender oraz interes osób, których dane dotyczą w celu zapewnienia bezpieczeństwa sieci i informacji, jak wyjaśniono w punkcie 47 RODO. Sposób prowadzenia takiego przetwarzania nie wpływa na interesy oraz podstawowe prawa i wolności osób, których dane dotyczą, wymagających ochrony swoich danych. Jak wyjaśniono powyżej w stosunku do zgromadzonych informacji stosujemy zasadę „minimalizacji danych”, co oznacza, że wszystkie zgromadzone dane są domyślnie anonimizowane. Nasza firma jest liderem w branży usług bezpieczeństwa informacyjnego, dlatego poufność i ochrona danych mają dla nas szczególne znaczenie. Dostęp do zgromadzonych danych osobowych mają wyłącznie pracownicy Bitdefender i podmioty przetwarzające dane, które potrzebują dostępu do takich informacji w celach objaśnionych poniżej. Polityki w zakresie bezpieczeństwa informacyjnego Bitdefender są zgodne ze standardami ISO 27001 i SOC2 Typ 2.
4. Kto ma dostęp do danych osobowych
Co do zasady Bitdefender nie ujawnia żadnych danych osobowych osób, których dane dotyczą, stronom trzecim za wyjątkiem sytuacji podanych poniżej i opisanych w rozdziale 6.
Bitdefender okazjonalnie korzysta z usług w zakresie przetwarzania zebranych danych osobowych świadczonych przez firmy zewnętrzne. Ma to miejsce wyłącznie w koniecznych przypadkach i tylko w celu umożliwienia dalszej działalności Bitdefender. Firmy takie są uważane za administratorów danych, świadczących usługi ich przetwarzania i są zobowiązane do zachowania poufności przetwarzanych informacji oraz do oferowania co najmniej takiego samego poziomu bezpieczeństwa jak Bitdefender na mocy podpisanej umowy. Obowiązkiem administratorów danych jest niedopuszczenie osób trzecich do przetwarzania danych osobowych w imieniu firmy Bitdefender bez jej wcześniejszej pisemnej zgody, uniemożliwienie dostępu do takich danych w celach innych, niż te jasno określone w instrukcjach przekazanych przez firmę Bitdefender oraz zapewnienie, że dane takie będą używane i przechowywane w sposób bezpieczny i poufny.
Bitdefender może przechowywać lub przekazywać dane osobowe w Rumunii, Irlandii, a także w Unii Europejskiej i w innych jurysdykcjach, które zapewniają odpowiedni poziom ochrony danych osobowych zgodnie ze standardami Unii Europejskiej (art. 45 RODO) lub inne odpowiednie zabezpieczenia, w tym Standardowe klauzule umowne (art. 46.2 RODO).
W przypadku rozwiązań Bitdefender dla firm większość danych przechowywana i zarządzana jest wewnętrznie. W określonych przypadkach jednak możemy korzystać z usług następujących administratorów danych z UE i USA:
- w przypadku komunikacji za pośrednictwem kanałów na żywo możemy korzystać z usług administratorów danych z UE i USA w zakresie wsparcia, czatu na żywo i call center; • w przypadku komunikacji za pośrednictwem kanałów offline – z usług administratorów danych z UE i USA w zakresie wsparcia i przechowywania danych;
- w przypadku niektórych usług związanych z bezpieczeństwem poczty elektronicznej – z usług administratorów danych z UE i Wielkiej Brytanii.
Ze względu na obowiązek zachowania poufności szczegółowe informacje dotyczące korzystania z usług administratorów danych przekazywane będą tylko właściwym organom. Bitdefender może ujawnić dane osobowe właściwym organom na ich żądanie zgodnie z obowiązującym prawem lub gdy jest to niezbędne do ochrony praw i interesów naszych klientów i firmy.
5. Prawa użytkowania w zakresie danych osobowych
Zgodnie z RODO osoby, których dane dotyczą, mają prawo dostępu do swoich danych, ich sprostowania, usunięcia oraz prawo do niepodlegania procesowi indywidualnego podejmowaniu decyzji. Osoby, których dane dotyczą, mają również prawo do ograniczenia przetwarzania danych osobowych, żądania ich usunięcia oraz przenoszenia.
W przypadku przetwarzania danych na podstawie udzielonej zgody, osoba, której dane dotyczą, ma prawo do wycofania takiej zgody w dowolnym momencie.
Aby skorzystać ze swoich praw, należy wysłać pisemny wniosek z datą i podpisem do inspektora ds. ochrony danych osobowych Bitdefender pocztą tradycyjną lub elektroniczną na adres: privacy@bitdefender.com
Osoby, których dane dotyczą, nie podlegają zautomatyzowanemu procesowi podejmowania decyzji, w tym profilowaniu, które może wywołać skutki prawne lub w podobny sposób istotnie na takie osoby wpłynąć.
Osoby, których dane dotyczą, mają również prawo do wniesienia skargi do instytucji odpowiedzialnej za ochronę danych osobowych oraz prawo do zwrócenia się do sądu.
6. Inne wspólne dane
– administratorzy danych W przypadku użytkowników, korzystających z rozwiązań Bitdefender dla firm, może zdarzyć się, że inna firma (zazwyczaj pracodawca użytkownika, będący klientem Bitdefender lub Partner biznesowy, który pomaga nam w świadczeniu usług) wspólnie z Bitdefender będzie administrować niektórymi informacjami, gromadzonymi przez rozwiązania Bitdefender dla firm, zwłaszcza danymi dostępnymi w konsoli Bitdefender GravityZone w celu zapewnienia bezpieczeństwa informacji. Zgodnie z zawartą z nami umową o wspólnym administrowaniu danymi, firmy takie ponoszą pełną odpowiedzialność za przetwarzane przez nie dane osobowe i muszą informować użytkownika o wszystkich aspektach przetwarzania jego danych osobowych, w tym o podstawach prawnych dotyczących takiego przetwarzania i wszystkich celach, w jakich dane są gromadzone, również tych związanych z bezpieczeństwem informacji.
7. Dodatkowe informacje dotyczące zbierania danych osobowych w ramach usług zapobiegania kradzieżom przez rozwiązania Bitdefender dla firm
Ten rozdział stanowi uzupełnienie polityki prywatności o konkretne informacje dotyczące przetwarzania informacji, które mogą być danymi osobowymi i które są zbierane przez Bitdefender w związku z usługami zapobiegania kradzieżom w sytuacjach, gdy użytkownik korzysta z takich usług w ramach swoich rozwiązań Bitdefender dla firm. Niektóre z rozwiązań Bitdefender dla firm zawierają opcjonalne usługi zapobiegania kradzieżom przeznaczone zarówno dla telefonów komórkowych, jak i dla tabletów i laptopów. Po aktywacji i skonfigurowaniu takie usługi zapobiegania kradzieżom umożliwiają śledzenie zgubionego lub skradzionego urządzenia w czasie rzeczywistym poprzez funkcję geolokalizacji. Ta usługa Bitdefender oferuje możliwość lokalizacji, zdalnego blokowania urządzenia, usuwania całej zawartości urządzenia czy zrobienia zdjęć osobie, która u uzyskała nieautoryzowany dostęp do telefonu. Więcej informacji na ten temat można znaleźć tutaj. W przypadku aktywacji usług zapobiegania kradzieżom, Bitdefender może gromadzić dane osobowe, takie jak dane geolokalizacyjne i GPS, dane GSM z telefonów komórkowych, informacje związane z korzystaniem z sieci Wi-Fi czy adres IP. Jedynym celem przetwarzania tych danych jest zapewnienie bezpieczeństwa informacji pozyskiwanych za pośrednictwem usług zapobiegania kradzieżom Bitdefender. W celu określenia dokładnej lokalizacji możemy korzystać z usług zewnętrznych firm przetwarzających dane. W większości przypadków dane przechowywane są na terytorium UE. Niektóre dane mogą być jednak przechowywane także na terytorium USA przez firmy przetwarzające dane, które oferują odpowiedni poziom ochrony danych osobowych zgodnie ze standardami Unii Europejskiej (art. 45 RODO) lub inne odpowiednie zabezpieczenia, w tym Standardowe klauzule umowne (art. 46.2 RODO). Wszystkie dane geolokalizacyjne są przechowywane tak długo, jak długo aktywna jest usługa zapobiegania kradzieżom. Dane zostaną usunięte, gdy usługa taka zostanie wyłączona. W związku z powyższym administrator rozwiązania Bitdefender może posiadać także prawo do zarządzania usługami i rozwiązaniami Bitdefender, co oznacza, że na urządzeniach, na których zainstalowane są usługi zapobiegania kradzieżom, może on zdalnie wydawać niektóre polecenia. Z tego względu na administratorze spoczywa obowiązek upewnienia się, że wykonywanie takich czynności, gromadzenie danych lokalizacyjnych, zdalne wykonywanie zdjęć, blokowanie lub usuwanie zawartości urządzenia oraz wchodzenie z nim jakiekolwiek interakcje jest zgodne z prawem.
8. Dodatkowe informacje dotyczące zbierania danych osobowych w ramach usług zapewnienia bezpieczeństwa przez rozwiązania Bitdefender dla firm
Ten rozdział stanowi uzupełnienie polityki prywatności o konkretne informacje dotyczące przetwarzania informacji, które mogą być danymi osobowymi i które są zbierane przez Bitdefender w związku z usługami zapewnienia bezpieczeństwa w sytuacjach, gdy korzysta on z takich usług w ramach swoich rozwiązań Bitdefender dla firm. Jedynym celem zbierania tych danych jest pomoc w identyfikacji działań i zachowań użytkownika, które stanowią zagrożenie dla bezpieczeństwa organizacji. Cel ten jest realizowany z uwzględnieniem konieczności zachowania prywatności poprzez przetwarzanie danych wyłącznie na lokalnych punktach końcowych z myślą o identyfikacji potencjalnych działań ludzkich, stanowiących zagrożenie dla bezpieczeństwa organizacji. Wyniki tych działań wyświetlane są w konsoli GravityZone dostępnej tylko dla administratora rozwiązania wraz z ogólną punktacją działań ludzkich, zagrażających bezpieczeństwu. Dane te nie są wykorzystywane przez Bitdefender w żadnych innych celach. Więcej informacji technicznych na temat przetwarzanych danych można znaleźć w dokumentacji technicznej rozwiązań Bitdefender dla firm oraz na naszej stronie internetowej.
9. Data publikacji
Ta polityka prywatności została przyjęta w dniu wskazanym w tytule dokumentu. Jej treść może ulegać zmianom, które będą publikowane gdy będzie to konieczne, bez powiadomienia. Nowa wersja dokumentu zyska moc prawną po opublikowaniu na stronie i odpowiednim oznaczeniu. Aktualna wersja polityki prywatności dostępna jest na stronie: https://www.bitdefender.com/site/view/legal-privacy.html.