Microsoft’s GDPR Forpligtigelser til Kunder, der bruger vores Generelt Tilgængelige Virksomhedssoftwareprodukter

Introduktion

Den Europæiske Unions generelle forordning om databeskyttelse (GDPR) sætter en vigtig standard globalt for rettigheder ifm. beskyttelse af personlige oplysninger, informationssikkerhed og overholdelse. Hos Microsoft mener vi, at beskyttelse af personlige oplysninger er en fundamental rettighed, og at GDPR er et vigtigt fremadrettet skridt i forhold til at beskytte og gøre det muligt at opretholde beskyttelse af enkeltpersoners personlige oplysninger.

Microsoft er forpligtet på deres egen overholdelse af GDPR, såvel som at levere en lang række produkter, funktioner, dokumentation og ressourcer for at støtte vores kunder i at overholde deres forpligtelser i forbindelse med GDPR. Følgende er en beskrivelse af Microsofts kontraktmæssige forpligtelser over for kunderne angående private oplysninger indsamlet via virksomhedssoftware. (I forbindelse med licenseret software fra Microsofts kommercielle licenseringsprogrammer henvises der direkte til Microsoft DPA (Products and Services Data Protection Addendum) på http://aka.ms/dpa)

Har Microsoft en forpligtelse over for deres kunder i forhold til GDPR?

Ja. GDPR kræver, at de dataansvarlige (såsom organisationer og udviklere der bruger Microsoft’s online servicer til virksomheder) kun bruger databehandlere (såsom Microsoft), der behandler personlige data på vegne af den dataansvarlige og leverer tilstrækkelige garantier for at opfylde centrale krav i GDPR. Microsoft påtager sig disse forpligtelser over for alle kunderne med Microsofts kommercielle licenseringsprogrammer i DPA'en. Kunder til andre almindeligvis tilgængeligt virksomhedssoftware licenseret af Microsoft eller vores associerede virksomheder kan også drage fordel af Microsoft’s GDPR-forpligtigelser, som beskrevet i denne meddelelse, i det omfang at softwaren behandler personlige data.

Hvor kan jeg finde Microsofts kontraktmæssige forpligtelser med hensyn til GDPR?

Du kan finde Microsofts kontraktmæssige forpligtelser angående GDPR (GDPR-vilkår) i bilaget til DPA'en, der kaldes "Vilkår i EU's generelle forordning om databeskyttelse". Disse vilkår forpligter Microsoft i forhold til kravene for databehandlere i artikel 28 i GDPR og andre relevante artikler i GDPR.

Microsoft lader GDPR-vilkårene gælde for alle kunder, der bruge de almindeligt tilgængelige virksomhedsoftwareprodukter licenseret af os eller vores associerede virksomheder under Microsoft-softwarelicensvilkår, gældende fra 25. maj 2018, uanset om den gældende version af virksomhedssoftwaren, i det omfang at Microsoft er en databehandler eller sub-databehandler af personlige data i forbindelse med sådan software, og så længe Microsoft fortsætter med at tilbyde eller understøtte versionen. Oplysninger om support findes i Microsoft livscykluspolitik på https://support.microsoft.com/lifecycle.

Af hensyn til klarhed kan andre eller færre forpligtigelser gælde til beta- eller forhåndsvisningssoftware, som er blevet materielt modificeret eller enhver anden software licenseret af Microsoft eller vores associerede virksomheder, som ikke almindeligvis er tilgængelig for offentligheden eller på anden måde licenseret under Microsoft-softwarelicensvilkår. Nogle produkter kan indsamle og sende til Microsoft-telemetri eller anden data som standard, produktdokumentation leverer information og instruktion om hvordan man slår sådan telemetri-indsamling fra eller konfigurerer den.

Hvilke forpligtelser er der i GDPR-vilkårene?

Microsoft’s GDPR-vilkår afspejler de forpligtigelser, der er krævet af databehandlere i Artikel 28 i GDPR. Artikel 28 kræver at databehandlere forpligter sig på:

  • kun at bruge sub-databehandlere med tilladelse fra den dataansvarlige og forsat være ansvarlige for sub-databehandler;
  • kun at behandle personlig data efter instruktioner fra den dataansvarlige inklusive overførsler;
  • at sikre at den person, som behandler personlige data forpligter sig på fortrolighed;
  • at implementere de passende tekniske og organisatoriske foranstaltninger for at sikre et niveau af sikkerhed omkring de personlige data svarende til risikoen;
  • at assistere den dataansvarlige med dennes forpligtigelse på at svare på anmodninger fra registrerede, som udøver deres GDPR-rettigheder;
  • at opfylde GDPR’s overtrædelsesmeddelelse og krav om assistance;
  • at assistere den dataansvarlige med konsekvensvurderinger af databeskyttelse og konsultation med de tilsynsførende myndigheder;
  • at slette og returnere personlige data ved afslutningen på servicen; og
  • hjælpe den dataansvarlige med dokumentation for overholdelse af GDPR.