POLITIQUE DE CONFIDENTIALITÉ

Phished BV s'engage à protéger vos données personnelles et à respecter la législation en vigueur.

1. Le responsable du traitement

Phished BV (ci-après Phished, « nous », « notre » ou « nos »), dont le siège social est situé Bondgenotenlaan 138, 3000 Leuven, Belgique, et dont le numéro d'immatriculation est le 0735.908.019, est le responsable du traitement de vos données personnelles.

2. Les données personnelles que nous traitons

En fonction de votre rôle, nous recueillons les données suivantes :

  • Clients : données d'identification générale (telles que nom, titre/fonction, adresse, téléphone portable ou numéro de téléphone, e-mail, données d'identification attribuées), données d'identification financière (telles que numéros d'identification et de compte bancaire), transactions financières (telles que montants payés ou à payer), compensations, activités professionnelles (y compris l'entreprise, la nature de l'activité, la nature des biens/services utilisés, les relations commerciales), contrats et accords avec Phished, toute autre donnée personnelle qu'ils ont légalement fournie à Phished. La source de ces données personnelles est vous ou votre employeur.
  • Partenaires : données d'identification générales (telles que nom, titre/fonction, adresse, téléphone portable ou numéro de téléphone, courriel, données d'identification attribuées), données d'identification financières (telles que numéros d'identification et de compte bancaire), transactions financières (telles que montants payés ou à payer), rémunérations, activités professionnelles (y compris la nature de l'activité, la nature des biens/services utilisés, les relations commerciales), contrats et accords avec Phished, toute autre donnée personnelle qu'ils ont légalement fournie à Phished. La source de ces données personnelles est vous ou votre employeur.
  • Prospects : données générales d'identification (telles que le nom, la fonction, l'adresse, le numéro de téléphone portable ou de téléphone, l'adresse électronique), activités professionnelles (y compris la nature de l'activité, la nature des biens/services utilisés, les relations d'affaires), toute autre donnée personnelle qu'ils ont légalement fournie à Phished. La source de ces données personnelles est vous ou votre employeur.
  • Fournisseurs : données d'identification générales (telles que nom, titre/fonction, adresse, téléphone portable ou numéro de téléphone, e-mail, données d'identification attribuées), données d'identification financières (telles que numéros d'identification et de compte bancaire), transactions financières (telles que montants payés ou à payer), rémunérations, activités professionnelles (y compris la nature de l'activité, la nature des biens/services fournis), contrats et accords avec Phished, toute autre donnée personnelle qu'ils ont légalement fournie à Phished. La source de ces données personnelles est vous ou votre employeur.
  • Candidats : toutes les données à caractère personnel qu'ils ont communiquées et légalement fournies à Phished (telles qu'un CV ou une lettre de motivation) ;
  • Visiteurs du site Web : données personnelles collectées par le biais de cookies (consultez notre politique en matière de cookies) ;
  • Utilisateurs de médias sociaux : publicité à travers les données personnelles qu'ils ont fournies aux médias sociaux.

Dans l'exercice de ses activités, Phished est également un sous-traitant de données à caractère personnel (par exemple lors de l'envoi d'une simulation de hameçonnage à l'audience spécifiée par le client). Le traitement des données personnelles par Phished, en tant que sous-traitant, fait partie des accords entre Phished et le(s) responsable(s) du traitement et ne constitue pas une partie de la présente politique de confidentialité.

Si vous nous fournissez des données personnelles d'un tiers, tel que votre personnel, vos indépendants, vos clients, vos fournisseurs, vos partenaires, vous garantissez à Phished que vous avez (a) obtenu légalement ces données personnelles du tiers et que vous les avez fournies légalement à Phished, (b) fourni à Phished des données personnelles qui sont exactes et à jour, (c) fourni à ladite personne des informations pertinentes sur l'existence et le contenu de cette politique.

3. Objectifs

Nous traitons les données personnelles aux fins suivantes :

  • 3.1. Exécution de l'accord : la création d'un compte personnel ou d'un profil, la bonne exécution et le respect des accords (y compris les communications), la facturation, le service à la clientèle et le soutien : afin que nous puissions vous aider en cas de questions ou de problèmes.
  • 3.2. Achats via le site Web : la bonne exécution et le respect des accords relatifs aux achats via le site Web (y compris les communications), le traitement des commandes et des éventuels services après-vente, la facturation.
  • 3.3. Marketing direct : envoi de notifications par e-mail ou de bulletins d'information. Si vous ne souhaitez plus recevoir ces communications, vous pouvez utiliser l'option de désabonnement prévue à cet effet. Ensuite, vous ne recevrez plus les communications de marketing direct non désirées, et nous ne traiterons plus vos données personnelles à ces fins de marketing direct.
  • 3.4. Gestion des candidats.
  • 3.5. Nécessaires au fonctionnement de notre entreprise : améliorer et optimiser nos services (y compris par le biais de cookies et de la publicité via les médias sociaux), maintenir et améliorer le site Web (y compris par le biais de cookies), assurer la sécurité de notre site Web et de nos services, prévenir les abus ou l'utilisation inappropriée de nos services, stocker les données personnelles comme preuve ou aux fins de procédures judiciaires, administratives ou extrajudiciaires, stocker les données personnelles pour obtenir ou maintenir une couverture d'assurance, gérer les risques ou obtenir des conseils d'experts, stocker les données personnelles pour assurer la présence/participation à des événements.
  • 3.6. Pour nous conformer à des obligations légales (par exemple dans le cadre de la législation sur la lutte contre le blanchiment d'argent et le terrorisme).
  • 3.7. En général : vous n'êtes pas obligé de partager vos données personnelles avec nous, mais si vous ne communiquez pas les données personnelles demandées, il est possible que nous ne puissions pas vous fournir les services ou produits souhaités.

4. Base juridique du traitement des données personnelles

Le traitement des données personnelles en vertu des sections 3.1 et 3.2 est fondé sur l'exécution d'un contrat auquel la personne concernée est partie ou afin de prendre des mesures à la demande de la personne concernée avant la conclusion d'un contrat.

Le traitement des données personnelles des prospects en vertu de la section 3.3 et le traitement des données personnelles par le biais de cookies (autres que les cookies strictement nécessaires et fonctionnels) en vertu de la section 3.5 sont fondés sur le consentement de la personne concernée.

Le traitement des données à caractère personnel des prospects en vertu de la section 3.3 pour les clients et le premier contact avec les prospects, ainsi que les autres traitements de données à caractère personnel en vertu de la section 3.4 et 3.5 sont fondés sur nos intérêts légitimes (uniquement lorsque l'intérêt légitime de notre entreprise l'emporte sur l'intérêt des personnes concernées). Ces intérêts sont exposés aux sections 3.3 à 3.5.

Le traitement des données personnelles des prospects en vertu de la section 3.6 est nécessaire pour se conformer à une obligation légale à laquelle nous sommes soumis.

5. Partage des données personnelles avec des tiers/transferts internationaux

Nous ne divulguons les aspects pertinents des données personnelles à des tiers que si ces parties sont contractuellement liées à Phished ou agissent au nom de Phished ou sous contrat avec Phished. Naturellement, nous avons conclu des accords avec ces parties concernant la protection de vos données personnelles.

Toutefois, nous pouvons divulguer vos données personnelles lorsque cette divulgation est nécessaire pour se conformer à une obligation légale à laquelle nous sommes soumis, ou pour protéger vos intérêts (vitaux). Nous pouvons également divulguer vos informations personnelles lorsque cette divulgation est nécessaire pour établir, exercer ou défendre des revendications légales, dans le cadre de procédures judiciaires ou de procédures administratives ou extrajudiciaires.

Nous ne fournissons pas de données personnelles à des entreprises situées en dehors de l'Espace économique européen, sauf s'il existe une décision d'adéquation, des dispositions standard, des garanties appropriées, des règles d'entreprise contraignantes ou des transferts visés à l'article 49 (1) du RGPD.

En cas de réorganisation totale ou partielle, de fusion, de scission, d'acquisition ou de vente d'actifs, nous sommes autorisés à transférer les données personnelles au tiers concerné.

Vous reconnaissez que les données personnelles que vous soumettez pour publication via notre site Web ou nos services peuvent être disponibles dans le monde entier via Internet. Nous ne pouvons pas empêcher l'utilisation (ou la mauvaise utilisation) de ces données personnelles par d'autres personnes.

6. Stockage et suppression des données personnelles

Nous ne conservons les données personnelles que pendant la durée nécessaire à la réalisation de la finalité exposée ci-dessus. Comme la durée de conservation dépend de la finalité, mais aussi du type de données personnelles, ces durées de conservation varient.

7. Vos droits

Nous avons résumé vos droits dans cette section. Comme certains de ces droits sont complexes, tous les détails ne sont pas inclus dans nos résumés. Vous devez donc lire les lois et les directives réglementaires pertinentes pour obtenir une explication complète de ces droits.

  • 7.1. Droit d'accès : vous avez le droit de confirmer si nous traitons ou non vos données personnelles et, lorsque nous le faisons, d'avoir accès aux données personnelles, ainsi qu'aux informations supplémentaires mentionnées à l'article 15 du RGPD. La sauvegarde des droits et libertés d'autrui n'étant pas affectée, nous vous fournirons une copie de vos données personnelles.
  • 7.2. Droit de rectification : vous avez le droit de faire rectifier ou compléter des données personnelles incorrectes ou incomplètes.
  • 7.3. Droit à l'effacement : vous avez le droit de faire effacer vos données personnelles dans les circonstances mentionnées à l'article 17 (1) du RGPD, comme lorsque vous retirez votre consentement pour un traitement basé sur le consentement ou que vous vous opposez au traitement à des fins de marketing direct. Phished supprimera alors vos données personnelles sans délai excessif, sauf si les exclusions mentionnées à l'article 17 (3) du RGPD s'appliquent. Par exemple, Phished n'aura pas besoin de supprimer vos données dans le cas où le traitement est nécessaire pour se conformer à une obligation légale.
  • 7.4. Droit de restreindre le traitement : vous avez le droit de restreindre le traitement de vos données personnelles dans les circonstances mentionnées à l'article 18 (1) du RGPD, comme dans le cas où vous contestez l'exactitude des données personnelles.
  • 7.5. Droit à la portabilité des données : vous avez le droit de recevoir les données à caractère personnel vous concernant, que vous nous avez fournies, dans un format structuré, couramment utilisé et lisible par machine et de transmettre ces données à un autre responsable si (a) le traitement est fondé sur le consentement ou nécessaire à l'exécution d'un contrat auquel vous êtes partie ou pour prendre des mesures à votre demande avant de conclure un contrat, et (b) ce traitement est automatisé. Toutefois, ce droit ne s'applique pas lorsqu'il porte atteinte aux droits et libertés d'autrui.
  • 7.6. Droit de retirer le consentement : dans la mesure où la base juridique de notre traitement de vos données personnelles est le consentement, vous avez le droit de retirer ce consentement à tout moment. Le retrait du consentement n'affecte pas la légalité du traitement avant son retrait.
  • 7.7. Droit de déposer une plainte auprès de l'autorité de contrôle : si vous pensez que notre traitement de vos données personnelles viole les lois sur la protection des données, si vous n'êtes pas d'accord avec la position de Phished ou si vous avez des commentaires concernant l'exercice de votre données personelles, vous avez le droit de déposer une plainte auprès de l'autorité de contrôle compétente.
  • 7.8. Droit d'opposition au traitement : vous avez le droit de vous opposer à tout moment à notre traitement de vos données personnelles à des fins de marketing direct. En pratique, vous pouvez le faire via l'option de désabonnement. Ensuite, vous ne recevrez plus les communications de marketing direct non désirées et nous ne traiterons plus vos données personnelles à ces fins de marketing direct. Bien entendu, il est possible que nous continuions à vous contacter dans le cadre de l'exécution de l'accord.

Vous avez également le droit de vous opposer à notre traitement de vos données personnelles sur la base de l'article 6 (e) ou (f) du RGPD pour des raisons liées à votre situation spécifique. Si vous vous y opposez, nous ne traiterons plus vos données personnelles, à moins que nous puissions démontrer des raisons légitimes impérieuses pour le traitement qui dépassent vos intérêts, vos droits et vos libertés, ou le traitement pour établir, exercer ou défendre des revendications légales.

En outre, vous avez le droit de vous opposer à ce que nous traitions vos données personnelles à des fins scientifiques, historiques ou statistiques (recherche) pour des raisons liées à votre situation spécifique, à moins que le traitement ne soit nécessaire à l'exécution d'une tâche effectuée pour des raisons d'intérêt public.

8. Contact

Si vous souhaitez nous contacter au sujet de cette politique, vous pouvez le faire par courrier à notre sous-traitant de données : [email protected].

Si vous nous contactez parce que vous voulez exercer l'un de vos droits (consultez la section 7), nous vous demandons d'indiquer clairement quel droit vous voulez exercer. Veuillez être aussi précis que possible lorsque vous exercez vos droits.

9. Cookies

Vous pouvez en savoir plus sur notre utilisation des cookies via le lien suivant.

PRIVACY POLICY FOR RECIPIENTS

Phished BV (hereinafter “Phished” , “we”, “us” or “our”) is committed to processing your personal data in compliance with the General Data Protection Regulation (EU) 2016/679 (hereinafter “GDPR”) and other applicable legislation.

Phished will process your personal data for and on behalf of its customer, the organisation who will be using our services. Phished therefore qualifies as the processor of your personal data; and the customer qualifies as the controller

The controller may have its own privacy policy regarding the processing of your personal data by Phished, in which case these policies should be read together. In case of contradiction, the policy of the Controller prevails (as certain specific agreements may have been made with the Controller).

1. The controller

Your organisation (hereinafter “the Controller” or “the Customer”) appointed you as part of the target audience for the performance of the following services (hereinafter “Services”) by Phished:

  • performing simulated phishing attacks on the logged employees of the Customer (in its broadest sense, hereinafter “Employees”) (and systems of the Customer);
  • training the Employees by means of e-learning;
  • the automatic delivery (via web portal) of detailed reports regarding the results hereof.

The Customer and Phished have concluded an agreement on the performance of these Services

2. The processor

Phished BV with registered office at Bondgenotenlaan 138, 3000 Leuven, Belgium and registered number 0735.908.019, is the processor for the processing of your personal data in order to execute the Services.

3. Contact

In case you want to contact us regarding this policy, you can contact us via mail to our DPO: [email protected].

If you want to exercise one of your rights (see section 8), we kindly request to contact the Customer.

4. The personal data we process

We process the following of your personal data:

  • name
  • email address;
  • language;
  • position at the company;
  • open/click/report behaviour and results.

Optional :

  • department within the company;
  • location within and/or of the company;
  • mobile phone or telephone number.
  • E-mail data (see below) (depending on settings in the Phished account).

This data is provided to us by the Customer, who (a) lawfully obtained such personal data from you and lawfully provided it to Phished, (b) provided Phished with personal data that is accurate and up to date, and (c) will provide you with relevant information about the processing activities.

5. Purposes

We process the personal data because it is necessary for the performance of the Services. In this regard we process your personal data for the following purposes on behalf of the Customer:

  • making the Phished software available in accordance with the agreements between Phished and the Customer (including, but not limited to, creating a recipient account for you and ensuring the proper functioning of the Phished software);
  • increasing the awareness level of the dangers of phishing via the Phished software and tracking the users of the software, including (but not limited to):
    • sending and receiving communications via email, text or voice message (depending on the settings) (e.g. notification of phishing simulation or a suspected real phishing e-mail).
      • These do not constitute direct marketing. Nevertheless, if you no longer wish to receive these communications, please contact the Customer, who may give its permission to stop these communications. However, we do not recommend this as you will no longer benefit from our training and the Customer benefits best from training when as many of its Employees as possible are participating.
      • If the Customer chose the option “handle reports in application” or “handle reports in application & forward reports to email” in the Phished account and possible phishing e-mails are reported:
        • via the Phished Report Button in Gmail: Phished will only process Gmail message bodies (incl. attachments), metadata, headers and settings, to identify a mail as a phishing simulation from Phished or as a potential phishing threat when reported via the Phished Report Button. This data is encrypted and the processing will also adhere to the Google API Services User Data Policy (Policy), incl. Limited Use requirements.
        • via the Phished Report Button in Outlook: Phished will only process Outlook message bodies (incl. attachments), metadata, headers and language settings, to identify a mail as a phishing simulation from Phished or as a potential phishing threat when reported via the Phished Report Button. This data is encrypted.
        • by forwarding them: Phished will only process the message bodies (incl. attachments) and headers to identify a mail as a phishing simulation from Phished or as a potential phishing threat when forwarded. This data is encrypted.
      • If the Customer chose the option “forward reports to email” in the Phished account and possible phishing e-mails are reported to Phished via the Phished Report Button in Gmail or Outlook or by forwarding, Phished will not process these e-mails..
    • organizing continuous performance management: keeping track of personal objectives, 1on1s and feedback for you.
    • measuring engagement on a continuous basis via the Phished Academy, using e.g. either PHISHED’s set of questions or a self-chosen set of questions.
    • storage of phishing results.
    • keeping phishing results available for the Customer via statistics.
    • adjustments of the phishing simulations.

Phished will not process your personal data for any other purpose than for the performance of the Services and/or for the fulfilment of the responsibilities laid down in the agreement entered into between Phished and the Customer. Phished will only process your personal data on behalf of the Customer and in accordance with the documented instructions of the Customer.

6. Sharing the personal data with others/international transfers

We only disclose relevant aspects of personal data to third parties if those parties are contractually bound to Phished or act on behalf of or under contract to Phished. Naturally, we have made agreements with these parties regarding the protection of your personal data.

Phished may disclose personal data when such disclosure is necessary to comply with a legal obligation to which we are subject, or to protect (vital) interests. We may also disclose the personal data when such disclosure is necessary to establish, exercise or defend legal claims, in court proceedings or in administrative or extra-judicial proceedings.

We do not provide personal data to companies outside the European Economic Area, unless there is an adequacy decision, standard provisions, appropriate safeguards, binding corporate rules or transfers referred to in Article 49 (1) GDPR.

In the event of a full or partial reorganisation, merger, demerger, acquisition or sale of assets, we are entitled to transfer the personal data to the relevant third party.

7. Storage and deletion of personal data

The personal data will be retained for the duration of the contract between Phished and the Customer and they will be deleted through e.g. anonymization, after 6 months of inactivity following termination of this contract. Unless otherwise agreed upon between Phished and the Customer, we are allowed to further use anonymized aggregated data, which does not constitute personal data, to improve our services.

In any case, you, as a data subject, or the Customer may contact us at any time regarding a request to anonymize or delete certain personal data (for example if you are no longer working for the Customer).

8. Your data protection rights

Your requests concerning the exercise of your data protection rights should be addressed to the Customer. Nevertheless, for clarity, we’ve summarised your rights in this section. As some of these rights are complex, not all details are included in this summary. Therefore, you can read the relevant laws and regulatory guidelines for a full explanation of these rights or contact the Customer .

8.1. Right of access and a copy of your personal data: you have the right to be informed on whether or not the Customer processes your personal data and, where it does, to have access to the personal data, together with the additional information mentioned in article 15 GDPR. Safeguarding the rights and freedoms of others is not affected, the Customer shall provide you with a copy of your personal data.

8.2. Right of rectification: you have the right to have incorrect and/or incomplete personal data corrected and/or completed.

8.3. Right to erase: you have the right to have your personal data deleted in the circumstances mentioned in article 17 (1) GDPR, such as when you withdraw your consent for consent-based processing.

8.4. Right to restrict processing: you have the right to restrict the processing of your personal data in the circumstances mentioned in article 18 (1) GDPR, such as in case you contest the accuracy of the personal data.

8.5. Right to data portability: you have the right to receive the personal data concerning you, which you provided to the Customer, in a structured, commonly used and machine-readable format and to transmit such data to another controller if (a) the processing is based on consent or necessary for the performance of a contract to which you are a party or in order to take steps at your request prior to entering into a contract, and (b) such processing is automated. However, this right does not apply where this would harm the rights and freedoms of others.

8.6. Right to withdraw consent: insofar as the legal basis for the processing of your personal data is consent, you have the right to withdraw this consent at any time. The withdrawal of consent does not affect the lawfulness of the processing before its withdrawal.

8.7. Right to lodge a complaint with the supervisory authority: if you believe that the processing of your personal data violates data protection laws, if you do not agree with the Customer’s position or if you have any comments regarding the exercise of your rights, you have the right to file a complaint with the competent supervisory authority.

8.8. Right to object to processing: you have the right to object to the processing of your personal data for direct marketing purposes at any time as long as the exclusions mentioned in article 17 (3) GDPR do not apply (for example if processing is necessary in order to comply with a legal obligation). As mentioned above, any communication you receive from Phished does not qualify as direct marketing.

You also have the right to object to the processing of your personal data based on Article 6 (e) or (f) GDPR for reasons relating to your specific situation. In addition, you have the right to object to the processing of your personal data for scientific, historical or statistical (research) purposes for reasons relating to your specific situation.

9. Cookies

You can read more about our use of cookies via the following link.

10. Updates

Phished reserves the right to make changes and / or updates to this Privacy Policy to reflect technological advancements, legal and regulatory changes and good business practices.