Zasady zachowania prywatności w produkcie Protection Service for Business

Podsumowanie

Produkt Protection Service for Business obejmuje funkcje sieci VPN, zarządzania urządzeniami przenośnymi i aktualizacjami oprogramowania, a także zabezpieczenia stacji roboczych i serwerów — wszystkie z tych funkcji można kontrolować w portalu zarządzania. Podstawowe aspekty dotyczące ochrony prywatności w tej usłudze są następujące:

  • gromadzone dane nie dotyczą Ciebie, ale Twojego urządzenia i naszej usługi;
  • większość z gromadzonych danych jest dostępna dla administratora w Twojej firmie, co pozwala usprawniać zarządzanie firmowymi urządzeniami i aplikacjami;
  • zbieramy anonimowe dane dotyczące zabezpieczeń, aby chronić Twoje urządzenie;

Usługa nie umożliwia firmie F-Secure ani administratorowi w Twojej firmie obserwowania Twojego położenia, przeglądania Twoich zdjęć, wyświetlania listy osób, z którymi się komunikujesz, ani witryn internetowych otwieranych przy użyciu usługi.

Pełna treść

Napisaliśmy ten dokument, aby wyjaśnić, jakie dane osobowe i prywatne gromadzimy w tej usłudze oraz jak ich używamy. Wierzymy, że te zagadnienia są dla Ciebie najważniejsze, dlatego skupiamy się w nich w tych zasadach. Inne kwestie związane z danymi osobowymi (przesyłanie danych za granice kraju, prawa dotyczące danych, informacje kontaktowe itd.) opisujemy w „oświadczeniu firmy F-Secure dotyczącym prywatności". Ma ono zastosowanie do wszystkich naszych usług. Niniejsze zasady dotyczące konkretnej usługi są dodatkiem do tego oświadczenia.

Informacje o użytkowniku

Dane użytkowników w portalu zarządzania

Usługa gromadzi i udostępnia w portalu zarządzania następujące dane dotyczące Ciebie, Twojego urządzenia i sposobu, w jaki korzystasz z usługi:

  • Nazwa użytkownika, adres e-mail, nazwa komputera i dane identyfikacyjne urządzenia (np. numer IMEI, nazwa WINS, adres IP) oraz numer telefonu, które służą do identyfikowania danych użytkownika w systemie.
  • Numer wersji usługi, klucz subskrypcji, data i godzina instalacji oraz aktualizacji, informacje o zablokowanych zagrożeniach (mogą zawierać nazwę i ścieżkę pliku), wersja systemu operacyjnego i stan funkcji.
  • Zainstalowane aplikacje jako część oferty usługi.
  • W przypadku składnika Freedome for Business dla urządzeń przenośnych zapoznaj się z zasadami zachowania prywatności produktu Freedome for Business.
  • Inne wyraźnie podobne dane.

Gromadzone dane mogą być inne w przypadku różnych urządzeń i używanych usług.

Korzystamy z tych danych do obsługi naszych usług, zarządzania nimi (między innymi do identyfikowania autoryzowanych użytkowników, zarządzania licencjami i wysyłania powiadomień), pomiarów wydajności oraz dalszego rozwijania, ulepszania i wzbogacania usługi. Zgromadzone dane mogą być też używane do zapewniania pomocy technicznej i rozwiązywania problemów.

Te dane są widoczne dla firmowego administratora IT, aby umożliwić mu wykonywanie podobnych czynności. Są też dostępne dla firmy F-Secure i widoczne w portalu. Jeśli administratorem IT firmy jest podmiot zewnętrzny, dane są też dostępne dla tego partnera zewnętrznego („partnera dystrybucji" firmy F-Secure), aby umożliwić mu oferowanie pomocy technicznej i powiązanych usług informatycznych.

Dane użytkownika w systemach firmy F-Secure

Oprócz danych udostępnianych w portalu firma F-Secure gromadzi też opisane poniżej informacje bezpośrednio przy użyciu usługi. Te dane nie są udostępniane firmie klienta ani partnerom dystrybucyjnym.

  • język ustawiony na urządzeniu, aby komunikaty usługi wyświetlane na urządzeniu były w tym języku;
  • W przypadku klientów mobilnych poziom naładowania baterii, ilość wewnętrznej pamięci, rozmiar karty SD i lista zainstalowanych aplikacji.
  • W przypadku produktu Password Protection hasła użytkownika są przechowywane w zaszyfrowanej postaci. Hasło główne jest znane tylko dla użytkownika — firma F-Secure nie przechowuje tego hasła.

Te dane są używane do świadczenia usługi, rozwiązywania problemów, pomiarów wydajności, generowania statystyk i rozwijania usługi.

Ujawnianie informacji

Dane użytkownika z portalu zarządzania są widoczne dla firmowego administratora IT, aby umożliwić mu wykonywanie podobnych czynności. Są też dostępne dla firmy F-Secure i widoczne w portalu. Jeśli administratorem IT firmy jest podmiot zewnętrzny, dane są też dostępne dla tego partnera świadczącego usługi administracyjne („partnera dystrybucji" firmy F-Secure), aby umożliwić mu oferowanie pomocy technicznej i powiązanych usług informatycznych.

Firma F-Secure zatrudnia podmioty stowarzyszone i podwykonawców zgodnie z zasadami określonymi w sekcji „Przesyłanie informacji" w tym oświadczeniu dotyczącym prywatności.

Role

Twoja firma wybiera pracowników, którym należy przydzielić usługę, i określa działania realizowane zależnie od wyników użycia usługi. Oznacza to, że Twoja firma jest podmiotem kontrolującym wprowadzone przez nią nazwy użytkowników, adresy e-mail i numery telefonów (określane ogólnie jako „informacje identyfikacyjne"), które są przetwarzanie w celach opisanych powyżej. Te informacje są związane z przydziałem klientów usług Freedome for Business i/lub Password Protection for Business. Nie służą do zarządzania klientami komputerowymi PSB.

Firma F-Secure jest natomiast podmiotem kontrolującym dane techniczne usługi, czyli dane niezależne od opisanych powyżej informacji identyfikacyjnych (należących do Twojej firmy), które są wymagane do prawidłowego działania rozwiązania. To firma F-Secure decyduje o tym, jak są przetwarzane dane techniczne usługi, dlatego jest ich podmiotem kontrolującym. Dane techniczne usługi są gromadzone automatycznie i są konieczne do zapewnienia działania usługi zgodnie z oczekiwaniami.

Podstawy prawne

Firma F-Secure przetwarza powyższe dane na potrzeby swoich uzasadnionych interesów:

i) w celu ochrony sieci i urządzeń klientów firmy F-Secure oraz zapewniania poufności i dostępności zawartych w nich danych;

ii) w celu wykrywania powstających zagrożeń i trendów związanych z zabezpieczeniami wśród wszystkich klientów, tak aby na bieżąco dostosowywać usługi firmy F-Secure do rozwoju zagrożeń;

iii) w celu oferowania przez firmę F-Secure centralnej platformy usług zabezpieczeń obejmującej wielu partnerów.

W celu ulepszania produktów firmy F-Secure są stosowane analizy internetowe.

Jeśli dane nie są koniecznie wymagane do udostępniania usług, ale chcesz nam pomóc w oferowaniu lepszych usług w przyszłości, gromadzimy takie dane za Twoją zgodą.

Firma, która Cię zatrudnia, niezależnie definiuje podstawy prawne przetwarzania informacji identyfikacyjnych w celach opisanych powyżej.

Przechowywanie

Dane są przechowywane i widoczne w portalu przez czas niezbędny do świadczenia usługi firmie klienta. Przez ten sam czas są widoczne w portalu usługi Protection Service for Business. Po unieważnieniu lub wygaśnięciu umowy lub licencji na świadczenie usługi dane są przechowywane w magazynach firmy F-Secure przez określoną liczbę miesięcy, a następnie zostają trwale usunięte lub pozbawione cech umożliwiających identyfikację użytkowników.

Oprócz powyższych danych przez trzy lata są przechowywane dzienniki inspekcji zawierające informacje o użytkownikach, którzy uzyskali dostęp do portalu. Dzienniki usług, które zawierają informacje o działaniach wykonywanych w portalu, są przechowywane przez rok. Dotyczą one między innymi odnawiania subskrypcji, tworzenia użytkowników, zmian profilów oraz rejestracji nowych urządzeń.

Wyjątki i uzupełnienia powyższych zasad opisano w oświadczeniu firmy F-Secure dotyczącym prywatności.

Dane dotyczące zabezpieczeń

Usługa czasami kontaktuje się z produktem Security Cloud, aby pobrać aktualne informacje o pliku lub lokalizacji sieciowej. Jest to element zabezpieczeń oferowanych przez nasze rozwiązanie, który zazwyczaj wymaga przesłania tylko odniesienia do pliku lub lokalizacji — nie całej zawartości. Administratorzy portalu otrzymują podsumowanie wyników (na przykład informacje o tym, czy plik jest zainfekowany). Firma F-Secure otrzymuje takie zapytania w formie anonimowej; nie możemy ich w żaden sposób powiązać z konkretnymi użytkownikami. Więcej informacji o usłudze Security Cloud można znaleźć w jej zasadach zachowania poufności.

Jeśli jednak usługa wykryje złośliwe oprogramowanie, w portalu zostanie wyświetlone podsumowanie tego zdarzenia, które pozwala osobom z dostępem do portalu skojarzyć wykryte zagrożenie z określonym urządzeniem.

Gromadzenie danych na potrzeby składnika VPN

Naszą główną zasadą jest to, że nie śledzimy treści Twojej prywatnej komunikacji. Analizujemy ruch sieciowy w celu świadczenia usługi i dbania o bezpieczeństwo przesyłania danych. Dokładniej oznacza to, że:

  • przetwarzamy niektóre metadane (takie jak ilość danych, znaczniki czasu, adresy IP) w ruchu sieciowym użytkownika;
  • docelowe adresy IP, numery portów i adresy URL w ruchu przekazywanym przez sieć VPN nie są przechowywane w sposób, który pozwala na skojarzenie tych danych z użytkownikiem;
  • analizujemy też ruch sieciowy w poszukiwaniu podejrzanych lub złośliwych plików oraz miejsc docelowych (np. adresów URL);
  • automatycznie analizujemy ruch sieciowy w celu wykrywania działań, które naruszają nasze zasady dozwolonego użytkowania.

Analiza

Oprócz danych widocznych w portalu usługa korzysta też z części zgromadzonych danych w celu analizowania swojego działania. Dzięki temu możemy tworzyć usługi przydatne dla Ciebie i innych klientów. Stosowane przez nas metody analizy są szczegółowo opisane w sekcji poświęconej analizom w oświadczeniu dotyczącym prywatności.

Kwiecień 2018