Maj 2021 r.
Produkt F‑Secure Elements for Microsoft 365 to usługa zabezpieczeń oparta na chmurze, która redukuje zagrożenia związane z firmową pocztą e-mail używaną w organizacjach. Produkt chroni wiadomości e-mail przetwarzane w rozwiązaniu Microsoft Office 365 przez atakami wewnętrznymi opartymi na poczcie e-mail, zaawansowanymi atakami phishingowymi oraz złośliwymi treściami i adresami URL. Oprócz skanowania wiadomości e-mail produkt wykrywa złośliwe treści i adresy URL w innych elementach przetwarzanych przez serwer Exchange, takich jak zadania, terminy kalendarza, kontakty i notatki.
Te charakterystyczne dla usługi zasady dotyczą przede wszystkim elementów, które naszym zdaniem są najistotniejsze dla użytkownika. Są to w szczególności: 1) typ danych osobowych i prywatnych gromadzonych przez usługę; 2) cele ich wykorzystywania; 3) nasze uzasadnienie; 4) typowe ujawnienia; oraz 5) czas przechowywania danych. Więcej informacji o tym oraz na temat innych aspektów (praw podmiotów danych, informacji kontaktowych itp.) przetwarzania danych osobowych udostępniono za pośrednictwem wbudowanych łączy.
Produkt F‑Secure Elements for Microsoft 365 przetwarza zawartość taką jak wiadomości e-mail, terminy w kalendarzu, zadania, kontakty i grupy w skrzynkach pocztowych Microsoft 365 pracowników, które wskazano w zasadach zabezpieczeń i do których przydzielono prawidłową licencję.
Podczas przetwarzania danych rozwiązanie analizuje załączniki do plików, łącza internetowe (adresy URL) z treści wiadomości oraz fragmenty nagłówków wiadomości. Załączniki do plików i adresy URL są wysyłane do usługi F‑Secure Security Cloud w celu wykrywania zagrożeń bezpieczeństwa, sprawdzania reputacji oraz badania zagrożeń zaawansowanych.
Usługa F‑Secure Security Cloud to oparty na chmurze system analizowania zagrożeń i określania reputacji. Skanuje on dane w poszukiwaniu wszelkiej złośliwej lub szkodliwej zawartości. Dane wysyłane do usługi Security Cloud są zawsze pozbawiane cech umożliwiających identyfikację osób (anonimizowane), tak aby nie można ich było skojarzyć z konkretnymi użytkownikami.
W przypadku wykrycia złośliwej zawartości (na przykład załącznika lub adresu URL) rozwiązanie przenosi lub kopiuje cały taki obiekt lub jego naruszone części do ukrytego folderu kwarantanny, który znajduje się na dzierżawcy Office 365 klienta. Wymagane właściwości elementów w kwarantannie, takie jak skrzynka pocztowa użytkownika, adresy nadawcy i odbiorcy, temat, nazwa folderu oraz nazwa i adres URL szkodliwego załącznika, są zapisywane w bazie danych kwarantanny.
W przypadku użytkowników administrujących rozwiązaniem za pośrednictwem portalu F‑Secure Elements for Microsoft 365 są przechowywane dane kontaktowe (adres e-mail) i poświadczenia (nazwa użytkownika i hasło), które służą do zarządzania dostępem administratora do portalu.
Dane wynikowe skanowania są udostępniane użytkownikom administrującym rozwiązaniem przy użyciu portlu F‑Secure Elements for Microsoft 365. Wyniki te mogą obejmować następujące elementy:
Firma F‑Secure przetwarza dane w celu ochrony sieci objętych usługami (wraz z urządzeniami i danymi w tych sieciach). W szczególności:
Portal F‑Secure Elements for Microsoft 365 zapisuje dane telemetryczne (bez danych identyfikacyjnych) związane z używaniem jego funkcji. Te informacje pomagają w ulepszaniu naszej usługi. Administrator może wyłączyć ich wysyłanie, zmieniając ustawienia odpowiednich zasad.
Firma F‑Secure regularnie sprawdza, czy Twój adres e-mail wystąpił w wyciekach danych. Firma F‑Secure korzysta z usług dostawcy zewnętrznego do wykrywania i gromadzenia informacji na temat wycieków danych związanych z sprawdzanym adresem e-mail.
Przetwarzanie prywatnych danych osób kontaktowych firmy klienta wyjaśniono w zasadach ochrony prywatności dotyczących działalności korporacyjnej.
Firma F‑Secure oraz poszczególne firmy klientów mają niezależną kontrolę nad swoimi zbiorami danych i sposobami ich przetwarzania w ramach świadczonych usług.
W zakresie, w jakim dane przetwarzane przez firmę F‑Secure w usługach umożliwiają zidentyfikowanie osoby fizycznej, usługi przetwarzają dane w celu ochrony następujących uzasadnionych interesów:
Przetwarzanie danych przez usługę jest niezbędne do zapewnienia skutecznej ochrony danych firmy klienta w oprogramowaniu Microsoft 365. Choć ustawienia poszczególnych usług mogą pozwolić administratorom systemów informatycznych lub oprogramowania Microsoft 365 na ograniczenie przetwarzania danych zabezpieczeń przez firmę F‑Secure, takie modyfikacje nie są zalecane, ponieważ mogą uniemożliwić realizowanie wymienionych powyżej celów tych usług.
Dane prezentowane w portalu usługi są widoczne dla firmowego administratora IT (wewnętrznego lub zewnętrznego). Jeśli administratorem IT firmy jest podmiot zewnętrzny, dane są też dostępne dla tego partnera świadczącego usługi administracyjne („partnera dystrybucji” firmy F‑Secure), aby umożliwić mu oferowanie pomocy technicznej do naszych usług i powiązanych usług informatycznych.
Niektórymi Twoimi danymi osobowymi wymieniamy się (ujawniamy je i otrzymujemy) z naszymi partnerami w zakresie dystrybucji (sprzedawcami firmowych usług informatycznych, operatorami, sklepami internetowymi itp.), którzy reklamują i rozpowszechniają nasze usługi, administrują nimi oraz świadczą do nich pomoc. Takie firmy mają dostęp wyłącznie do danych osobowych, które są niezbędne do wykonywania odpowiednich zadań, takich jak zarządzanie klientami, świadczenie pomocy związanej z usługami, zarządzanie incydentami, rozwiązywanie problemów, marketing bezpośredni czy fakturowanie. Podejmujemy takie działania, aby utworzyć spójne środowisko dla użytkownika.
Nasi partnerzy w zakresie dystrybucji prawdopodobnie mają już wcześniej istniejące relacje z użytkownikiem jako klientem, a w przypadku naszych usług korporacyjnych — z pracodawcą użytkownika. Tacy partnerzy i klienci korporacyjni przetwarzają dane osobowe użytkownika jako niezależne podmioty na podstawie ich odpowiednich zasad ochrony prywatności. Niezależnie od tego, nasi partnerzy w zakresie dystrybucji i klienci korporacyjni muszą również przestrzegać umów i przepisów dotyczących przetwarzania danych osobowych użytkownika. Każdy taki podmiot jest domyślnie niezależnie odpowiedzialny za realizowaną przez siebie obsługę danych osobowych do własnych celów.
Dane osobowe użytkownika mogą zostać przez nas udostępnione firmom należącym do grupy F‑Secure lub podwykonawcom pomagającym nam tworzyć usługi.
Gdy dane osobowe naszych klientów muszą zostać ujawnione naszym podwykonawcom lub im przekazane, wymagamy od tych podwykonawców, w oparciu o wzajemne umowy, aby takie informacje były używane wyłącznie na potrzeby świadczenia usług (na przykład w celu rozwiązania zgłoszonego problemu technicznego, przesłania do partnerów logistycznych na potrzeby dostawy produktu lub wysłania w naszym imieniu reklamowych wiadomości e‑mail). Od podwykonawców wymagamy przetwarzania danych dotyczących użytkowników zgodnie z niniejszymi oświadczeniami.
F‑Secure działa na całym świecie. W związku z tym niektóre nasze oddziały i niektórzy z naszych podwykonawców, dystrybutorów i partnerów znajdują się poza Europejskim Obszarem Gospodarczym, aby zapewnić globalny zasięg i dostępność naszych usług. Ich lokalizacje można sprawdzić na publicznych stronach internetowych F‑Secure.
Podczas przekazywania danych osobowych poza Europejski Obszar Gospodarczy zabezpieczamy takie przeniesienia danych osobowych zgodnie z wymaganiami przepisów obowiązującego prawa. W tym celu stosujemy odpowiednie zabezpieczenia techniczne i prawne (umowy) w odniesieniu do odpowiednich podwykonawców i firm z grupy F‑Secure, na przykład korzystamy z zatwierdzonych przez Unię Europejską klauzul dotyczących przekazywania danych — stała treść tych klauzul jest dostępna tutaj.
Globalne i transgraniczne przenoszenie danych realizujemy tylko z ważnych powodów i po ocenie wynikającego z nich ryzyka dla prywatności.
Najbardziej poufne dane klientów przechowujemy w Finlandii i w Europejskim Obszarze Gospodarczym, dzięki czemu mamy je pod kontrolą.
Występują okoliczności nieuwzględnione w niniejszych zasadach ochrony prywatności, w przypadku których użycie lub ujawnienie danych osobowych może być uzasadnione i dozwolone, bądź w których możemy zostać zobowiązani do ujawnienia takich informacji zgodnie z obowiązującym prawem bez zgody użytkownika lub niezależnie od świadczenia usługi.
Przykładem tego jest wypełnienie nakazu sądowego lub nakazu wydanego przez władze w odpowiedniej jurysdykcji w celu wyegzekwowania przedstawienia informacji.
Podobnie mogą zaistnieć inne okoliczności, w których ujawnienie ograniczonych zestawów informacji stronie trzeciej będzie uzasadnione. Przykłady takich ujawnień obejmują przypadki, w których musimy zabezpieczyć się przed odpowiedzialnością lub zapobiec nielegalnym działaniom, kiedy analizujemy korzystanie z naszych produktów, aby upewnić się, że działają one zgodnie z oczekiwaniami, i że jesteśmy w stanie reagować na niekorzystne doświadczenia, albo sytuacje, gdy jest to niezbędne do rozwiązania istniejącego problemu lub zapobiegnięcia jego występowaniu bądź gdy musimy spełnić uzasadnione wymagania informacyjne naszych ubezpieczycieli lub państwowych organów regulacyjnych. Każde z takich działań będzie przeprowadzane zgodnie z przepisami obowiązującego prawa.
Możemy również być zmuszeni do przeniesienia danych osobowych użytkownika w ramach transakcji korporacyjnej, takiej jak sprzedaż, fuzja, wyodrębnienie lub inna forma reorganizacji firmy F‑Secure, w ramach której normalne procedury biznesowe obejmują przekazanie informacji nowemu podmiotowi kontrolującemu. Grupa F‑Secure ujawnia i przekazuje dane wewnętrznie zgodnie z wymaganiami naszego obecnego na daną chwilę modelu działania. Ograniczamy jednak ujawnienia wewnętrzne tylko do tych należących do grupy firm, jednostek, zespołów i osób, które muszą znać te informacje na potrzeby przetwarzania ich w celach, do jakich je zgromadzono.
Dokładnie rozważamy każde żądanie ujawnienia informacji i uwzględniamy możliwość takich wniosków o ujawnienie przy podejmowaniu decyzji o tym, gdzie i jak przechowujemy dane osobowe użytkowników.
Większość opisanych powyżej danych uzyskujemy bezpośrednio od użytkownika lub z jego urządzenia. Dane otrzymujemy też od naszych oddziałów, partnerów dystrybucji (takich jak operatorzy i sprzedawcy) i jednostek korporacyjnych pośredniczących w zakupie usług przez użytkownika. Te podmioty mogą obejmować naszych sprzedawców, a także zewnętrznych partnerów obsługujących sklepy internetowe. Gromadzimy też niektóre podstawowe dane osobowe (dane dotyczące zamówień) i zbiorcze dane analityczne ze sklepów z aplikacjami, w których nasze usługi są sprzedawane. Inne źródła mogą obejmować podwykonawców świadczących pomoc do naszych usług i partnerskie agencje reklamowe asystujące w prowadzeniu naszych działań marketingowych.
Podejmujemy takie działania, aby utworzyć spójne środowisko dla użytkownika i zebrać informacje niezbędne do rozwiązywania zgłaszanych problemów.
Typowe przykłady „źródeł zewnętrznych”:
Nasze usługi są świadczone wspólnie z naszymi partnerami. Ponadto nasze usługi i witryny mogą zawierać usługi innych firm. Niniejszy dokument dotyczący prywatności ma zastosowanie wyłącznie do danych osobowych, które pozostają pod kontrolą firmy F‑Secure. Jeśli dane osobowe użytkownika są przetwarzane przez inne podmioty na potrzeby ich niezależnych celów, to te podmioty są odpowiedzialne za przetwarzanie danych osobowych użytkownika w sposób uzasadniony i zgodnie z ich zasadami, a także za realizację praw użytkownika wynikających z przepisów o ochronie danych.
Najczęstsze tego typu przypadki to:
Dane pod kontrolą klienta
Elementy objęte kwarantanną i związane z nimi właściwości są usuwane zgodnie z zasadami określonymi przez klienta.
Dane pod kontrolą firmy F‑Secure
Dane są przechowywane i widoczne przez czas niezbędny do świadczenia usługi firmie klienta. Przez ten sam czas są one widoczne w portalu Elements Endpoint F‑Secure Elements for Microsoft 365. Po zakończeniu umowy albo licencji klienta dane są przechowywane w magazynach firmy F‑Secure przez 4 miesiące, a następnie trwale usuwane lub pozbawiane cech umożliwiających identyfikację użytkowników (anonimizowane).
Anonimizowane dane zabezpieczeń i statystyczne przechowywane na serwerach firmy F‑Secure nie mają daty ważności. Są one używane tak długo, jak długo pozostają przydatne do celów, do których je zgromadzono.
Pozostałe wymienione powyżej typy danych (np. dane pomocy technicznej i kontaktowe) są przechowywane przez czas podany w związanych z nimi zasadach zachowania prywatności. Po tym czasie są one usuwane lub anonimizowane.
Ten tekst stanowi uzupełnienie informacji o czasach przechowywania dla konkretnych usług. Zgodnie z wskazaną przez prawo zasadą podstawową dane osobowe powinny być usuwane lub anonimizowane, gdy nie są już potrzebne do realizacji celu, w którym je zgromadzono.
Jednak niektóre dane osobowe muszą być przechowywane przez dłuższe okresy o różnej długości z różnych powodów.
Przykłady typowych powodów, dla których odstępujemy od podstawowych czasów przechowywania:
Ostateczne usunięcie konta może zostać opóźnione, aby uniknąć zakłócenia innych interakcji użytkownika z nami. Dzieje się tak, gdy użytkownik ma konto F‑Secure (np. subskrybuje nasze usługi konsumenckie za pomocą swojego adresu e‑mail), a także i) ma konto społeczności F‑Secure lub ii) nadal subskrybuje nasze wiadomości marketingowe. Zasady usuwania kont społeczności F‑Secure określono w warunkach użytkowania. W każdej chwili możesz zrezygnować z naszych wiadomości marketingowych.
Jeśli klient kupił usługę za pośrednictwem naszych partnerów-operatorów, odpowiedzialność za usunięcie konta spoczywa na danym operatorze. Gdy partner powiadamia nas o zakończeniu subskrypcji, firma F‑Secure usuwa konto. Skutkuje to usunięciem lub anonimizacją wszystkich danych osobowych powiązanych z tym kontem.
Jeśli otrzymaliśmy informacje użytkownika, świadcząc mu pomoc techniczną, informacje te są przechowywane tak długo, jak długo dany przypadek pomocy technicznej pozostaje nierozstrzygnięty. Po rozstrzygnięciu informacje są stopniowo usuwane lub anonimizowane w ciągu dwóch lat od zamknięcia przypadku.
Dane analityczne zbierane za zgodą użytkownika są przechowywane do celów statystycznych. Nie zostaną one usunięte wraz z danymi osobowymi ani kontem użytkownika. Gdy konto zostanie usunięte, danych analitycznych nie można powiązać z konkretnym użytkownikiem.
Informacje, które nie zawierają danych osobowych (na przykład dane zabezpieczeń i zbiorcze dane analityczne), są przechowywane tak długo, jak długo są potrzebne do celów, dla których zostały zgromadzone.
Informacje na temat praktyk bezpieczeństwa, za pomocą których zapewniamy bezpieczeństwo danych.
Podczas przesyłania, przechowywania i przetwarzania danych osobowych użytkownika stosujemy rygorystyczne metody ochrony poufności, nienaruszalności i dostępności tych danych.
W celu zminimalizowania ryzyka utraty, nadużycia, ujawnienia i modyfikacji danych osobowych oraz zapobiegania nieupoważnionemu dostępowi do tych danych stosujemy fizyczne, administracyjne i techniczne środki zabezpieczeń.
Wszystkie dane osobowe są przechowywane na bezpiecznych serwerach obsługiwanych przez firmę F‑Secure lub naszych partnerów z dostępem ograniczonym wyłącznie do upoważnionego personelu.
Informacje na temat praw ustawowych i sposobu kontaktowania się z nami.
W stosunku do danych, które zgromadziliśmy na Twój temat, masz określone prawa. Poniżej opisaliśmy Twoje prawa do związanych z Tobą danych osobowych, które zostały przez nas zapisane:
Użytkownik może skorzystać ze swoich praw za pośrednictwem naszej funkcji obsługi klienta. Łącza umożliwiające kontakt z nami znajdują się w sekcji „Informacje kontaktowe”.
Warto przy tym zaznaczyć, że mogą wystąpić sytuacje, w których nasze zobowiązania do zachowania poufności, prawa do zachowania tajemnicy handlowej i/lub nasze zobowiązania do świadczenia usług (np. Tobie lub Twojemu pracodawcy) mogą uniemożliwiać nam ujawnianie lub usuwanie Twoich danych osobowych albo w inny sposób uniemożliwiać Ci korzystanie z Twoich praw. Twoje prawa są też zależne od podstaw prawnych, na bazie których przetwarzamy Twoje dane osobowe.
W przypadku jakichkolwiek skarg dotyczących sposobu przetwarzania przez nas danych osobowych lub chęci uzyskania dodatkowych informacji w dowolnym momencie można się z nami skontaktować. W razie przeświadczenia, że nie przestrzegamy praw ustawowych użytkownika, ma on prawo złożyć skargę do organu nadzorczego. W większości przypadków będzie to fiński rzecznik ds. ochrony danych (www.tietosuoja.fi).
W razie jakichkolwiek pytań lub wątpliwości związanych z niniejszymi zasadami ochrony prywatności należy użyć następujących informacji kontaktowych:
F‑Secure Corporation
Tammasaarenkatu 7
PL 24
00181 Helsinki
Finlandia
Jak się z nami skontaktować:
Informacje o definicjach i zarządzaniu zmianami.
Tutaj opisaliśmy terminologię używaną w niniejszych zasadach.
Pojęcia „klient”, „użytkownik” oznaczają osoby, firmy i dowolne inne podmioty kupujące nasze usługi, rejestrujące się w celu korzystania z naszych usług bądź korzystające z naszych usług, których urządzenia i ruch danych są chronione za pomocą naszych usług lub które mogły udostępnić nam informacje umożliwiające identyfikację. Takie informacje mogły zostać udostępnione w ramach korzystania z naszych usług, witryn internetowych, rozmów telefonicznych, wiadomości e‑mail, formularzy rejestracyjnych oraz podobnych kanałów komunikacyjnych.
„Dane osobowe” to wszelkie informacje dotyczące osób prywatnych, które umożliwiają identyfikację tych osób, ich rodzin bądź członków gospodarstw domowych. Takie informacje mogą obejmować imiona i nazwiska, adresy e‑mail, adresy zamieszkania, numery telefonów, informacje dotyczące rozliczeń i kont, a także inne bardziej techniczne informacje, które mogą zostać powiązane z użytkownikiem, jego urządzeniem lub ich działaniami i są przetwarzane w ramach świadczenia tych usług.
„Usługi” oznaczają wszelkie usługi i produkty opracowywane lub dostarczane przez firmę F‑Secure, z uwzględnieniem oprogramowania, rozwiązań internetowych, narzędzi i powiązanych usług pomocy technicznej.
„Witryna internetowa” oznacza witrynę internetową dostępną pod adresem f-secure.com oraz każdą inną witrynę internetową obsługiwaną lub administrowaną przez firmę F‑Secure, z uwzględnieniem podwitryn i portali usług obsługiwanych w przeglądarkach internetowych.
Ta wersja zasad uściśla, aktualizuje i zastępuje poprzednią wersję. Aby zapewnić ciągłą aktualność tego dokumentu, również w przyszłości będziemy od czasu do czasu wprowadzać zmiany i rozszerzenia.
W przypadku jakichkolwiek zmian dokumentu zasad ochrony prywatności opublikujemy aktualną wersję w naszej witrynie internetowej i w innych miejscach, w których był on dotychczas dostępny. Jeśli wprowadzone zmiany będą istotne, możemy dodatkowo powiadomić użytkownika za pomocą innych metod. Wszelkie zmiany obowiązują od dnia opublikowania poprawionego dokumentu.