隐私策略
自 2024 年 5 月 29 日起生效
保护个人数据对作为数据控制者的 ESET, spol. s r. o.(注册办公室位于 Einsteinova 24, 851 01 Bratislava, Slovak Republic,业务识别号:31333532,以下简称“ESET”或“我们”)而言尤为重要。我们希望遵守依据《欧盟一般数据保护条例》(“GDPR”)作为法律上所规定的透明度要求。为了达到上述目的,我们发布此隐私政策,唯一目的是告知我们的客户(即作为数据主体的“最终用户”或“您”)有关以下个人数据保护主题的信息:
- 个人数据处理的法律依据、
- 数据共享和机密性、
- 数据安全性、
- 作为数据主体的权利、
- 个人数据的处理,
- 联系人信息。
个人数据处理的法律依据
在数据处理方面,我们根据与个人数据保护有关的适用法律框架所用到的法律依据较少。ESET 处理个人数据主要是为了履行 使用条款 (“条款”)(针对最终用户,GDPR 第 6 (1) (b) 款),这适用于提供 ESET 产品或服务,除非另有明确说明,例如:
- 合法权益法律依据(GDPR 第 6 (1) (f) 款),使我们可以处理有关客户如何使用我们的服务及其满意度的数据,从而为用户提供我们所能提供的最佳保护、支持和体验。甚至营销也被适用法律确认为合法权益,因此我们通常据此与客户沟通营销。
- 同意(GDPR 第 6 (1) (a) 款),当我们认为此法律依据是最适合的法律依据或法律所要求时,我们可能会在特定情形下向您提出要求。
- 遵守法律义务(GDPR 第 6 (1) (c) 款),例如订立电子通信、发票或账单文件保留的要求。
数据共享和机密性
我们不会与第三方共享您的数据。但是,ESET 是一家通过附属公司或合作伙伴(作为我们销售、服务和支持网络的一部分)在全球运营的公司。出于履行最终用户许可协议的目的(例如,提供服务或支持),ESET 所处理的许可、计费和技术支持信息可能会在附属公司或合作伙伴之间传输。
ESET 更愿意在欧盟 (EU) 内处理其数据。但是,根据您所在的位置(在欧盟以外使用我们的产品和/或服务)和/或您选择的服务,可能需要将您的数据传输到欧盟以外的国家/地区。例如,我们使用与云计算相关的第三方服务。在这些情况下,我们会仔细选择服务提供商,并确保通过合同以及技术和组织措施提供相应级别的数据保护。通常,我们同意欧盟标准合同条款,并在必要时提供补充合同规定。
对于欧盟以外的一些国家/地区(例如,英国和瑞士),欧盟已确定提供同等级别的数据保护。由于提供同等级别的数据保护,因此向这些国家/地区传输数据不需要任何特殊授权或协议。
我们依赖第三方服务并与外部处理者合作,来提供与云计算、计费等相关的服务。
数据安全性
ESET 会实施适当技术和组织措施来确保与潜在风险相称的安全级别。我们会尽最大努力来确保处理系统和服务的持续机密性、完整性、可用性和弹性。但当发生导致您的权利和自由有风险的数据泄漏时,我们会随时通知相关监管机构以及作为数据主体的受影响最终用户。
数据主体的权利
每个最终用户的权利都很重要,我们想告诉您, ESET 保证所有最终用户(来自任何欧盟或任何非欧盟国家/地区)都享有以下权利。要行使您数据主体的权利,可以通过支持表单或发送电子邮件至 dpo@eset.sk 与我们联系。出于识别目的,我们会要求您提供以下信息:姓名、电子邮件地址以及(如果有)许可证密钥或客户编号和所在公司。请勿向我们发送任何其他个人数据,例如出生日期。我们想指出的是,为了能够处理您的请求以及出于识别目的,我们将处理您的个人数据。
撤消同意的权利。撤消同意的权利仅适用于基于同意进行处理的情况。如果我们根据您的同意处理您的个人数据,则您有权随时撤消同意,而无需给出理由。撤消您的同意仅对将来处理有效,并不影响撤消之前所处理数据的合法性。
反对权。反对处理的权利适用于基于 ESET 或第三方合法权益的处理。如果我们处理您的个人数据是为了保护合法权益,则您作为数据主体有权随时反对我们指明的合法权益和对您个人数据的处理。您的反对仅对将来处理有效,并不影响反对之前所处理数据的合法性。如果我们出于直接营销目的处理您的个人数据,则无需给出您的反对理由。这也适用于资料收集,因为它与此类直接营销有关。在所有其他情况下,我们要求您简要告知我们针对 ESET 处理您个人数据的合法权益提出的投诉。
请注意,在某些情况下,尽管您撤消了同意或反对处理,但我们有权根据其他法律依据进一步处理您的个人数据(例如,为了履行合同)。
访问权。您作为数据主体,有权随时免费获取有关 ESET 存储您数据的信息。
纠正权。如果我们无意中处理了有关您的错误个人数据,您有权更正该数据。
删除权。您作为数据主体,有权要求删除或限制处理您的个人数据。如果我们处理您的个人数据(例如,在您同意的情况下),而您撤消同意并且没有其他法律依据(例如,合同),则我们会立即删除您的个人数据。一旦您的个人数据在我们的保留期结束时不再需要用于所述目的,它们也将被删除。
限制处理权。如果我们将您的个人数据用于直接营销的唯一目的,而您已撤消同意或反对 ESET 的潜在合法权益,则我们将限制对您个人数据的处理,以便将您的联系方式数据包括在我们的内部黑名单中,从而避免主动联系。否则,将删除您的个人数据。
请注意,我们可能需要存储您的数据,直到立法者或监管机构发布的保留义务和期限到期。保留义务和期限也可能源于斯洛伐克法律。其后,将例行删除相应的数据。
数据迁移。我们很乐意以数据主体的身份向您提供 ESET 处理的 xls 格式的个人数据。
提出投诉的权利。您作为数据主体,有权随时向监管机构提出投诉。ESET 遵守斯洛伐克法律的规定,并且我们受欧盟的数据保护法的约束。相关数据监管机构是斯洛伐克共和国个人数据保护办公室,具体地址为 Hraničná 12, 82007 Bratislava 27, Slovak Republic。
个人数据的处理
由 ESET 提供并在我们基于 Web 的产品中实现的服务都是根据使用条款(“ToU”)进行提供,但其中一些服务可能需要特别关注。我们希望为您提供与产品和服务提供有关的数据处理的更多详细信息。我们提供条款和产品文档中所述的各种服务。为了正常运行,我们需要收集以下信息:
ESET 充当处理者
- 受监视的端点设备和网络。ESET Inspect 收集并处理来自受监视的端点设备和网络的数据,并将其发送到云控制台。该产品属于扩展检测和响应 (EDR) 产品类型,用于在已部署它的端点上进行详细监视和异常检测,它收集以下相关信息:活动和操作系统事件(包括有关在计算机上找到的所有可执行模块的信息)、低级别事件(如进程创建、文件修改、注册表修改、网络连接)和所有发现的威胁(恶意软件、PUA、被阻止的网页等)。请注意,处理后的数据可能包含隐私敏感信息,如所有已修改文件的名称、所有进程的命令行以及所有受访页面的 URL。
- ESET Inspect 包含某些预定义的监视规则,但在您的基础架构中实际执行的监视范围以及收集的确切数据取决于您和您的管理员管理的规则、排除项和设置。因此,我们将根据本条款中包含的《数据处理协议》以您的数据处理者的身份处理此类数据,仅向您提供我们的服务。我们将按照我们的《日志保留政策》,在有限时间段内存储这些数据。
- ESET AI Advisor。如果您决定使用 ESET AI Advisor 处理与检测到的事件相关的查询,则您的查询以及受监视端点设备的相关数据和 ESET Inspect 中处理的网络信息将传输到在我们的 Azure 私有云中运行的生成式 AI 解决方案。只有解决查询所需的基本数据才会与 AI 解决方案共享,并且将经过专门处理以提供请求的服务。ESET 管理 AI 解决方案,确保您的数据在我们的控制范围内,不会被第三方处理。请注意,如上所述,处理后的数据可能包含隐私敏感信息。
- 我们鼓励您在设置 ESET Inspect 时检查和查看您所在国家/地区有关数据收集和处理的立法和法律要求。您可能需要向用户告知受监视的端点设备,或请求特定管辖范围内的特定权限以执行监视活动。
ESET 充当控制者
- 许可和计费数据。ESET 会收集和处理姓名、电子邮件地址、激活密钥以及(如果适用)地址、公司隶属关系和付款数据,以方便许可证激活、许可证密钥交付、到期提醒、支持请求、许可证真实性验证、提供我们的服务和其他通知(包括依据适用法律或在您同意的情况下发送营销邮件)。ESET 有法律义务将计费信息保留 10 年,但许可信息将在许可证到期后的 12 个月之内进行匿名化处理。
- 产品正常运行所需的数据。其他处理的信息可能包括:安装过程相关信息(包括安装产品的平台)以及我们产品或托管设备的操作和功能信息,例如产品的硬件指纹、安装 ID、许可证 ID、IP 地址、MAC 地址、使用的电子邮件地址或配置设置。
- 统计数据和遥测数据。为了增强我们基础架构的安全性、维护和改进我们的服务,需要处理有关服务使用情况的遥测信息。我们仅对这些信息进行汇总处理,包括数据库性能、运行状况统计信息、托管端点数量、端点系统操作系统、系统硬件、系统错误、策略、登录、任务、通知、托管设备、检测统计信息、事件处理率、规则引擎统计信息、排除项等数据以及 HTTP 标头。
- 技术支持。支持服务可能需要在您的支持请求中包含联系方式和许可信息及数据。根据您选择与我们联系的渠道,我们可能会收集您的电子邮件地址、电话号码、许可证信息、产品详细信息和支持案例的描述。为了便于提供支持服务,可能会要求您提供给我们其他信息。为技术支持而处理的数据存储 4 年。
请注意,如果使用我们产品和服务的用户不是已购买产品或服务并与我们签订条款的最终用户(例如,最终用户的雇员、家庭成员或最终用户依据条款向其授权使用产品或服务的用户),则 ESET 依据 GDPR 第 6 (1) (f) 款规定的合法权益执行数据处理,以使最终用户授权的用户能够使用我们依据条款提供的产品和服务。
联系人信息
如果您希望行使作为数据主体的权利或有疑问,请发送邮件至:
ESET, spol. s r.o.
Data Protection Officer
Einsteinova 24
85101 Bratislava
Slovak Republic
dpo@eset.sk