A Microsoft GDPR szerinti kötelezettségei az általánosan elérhető nagyvállalati szoftvertermékeket használó ügyfeleinkkel szemben

Bevezetés

Az Európai Unió általános adatvédelmi rendelete (General Data Protection Regulation, a továbbiakban „GDPR”) fontos normát határoz meg az adatvédelmi jogok, az információbiztonság és a megfelelőség szempontjából. A Microsoft az adatvédelmet alapvető jognak, a GDPR-t pedig fontos előrelépésnek tekinti az egyének adatvédelmi jogainak védelme és érvényesítése szempontjából.

A Microsoft elkötelezett amellett, hogy megfeleljen a GDPR-nek, valamint hogy termékek, funkciók, dokumentációk és források olyan kínálatát nyújtsa, amely támogatja ügyfeleinket is abban, hogy teljesíthessék a GDPR szerinti kötelezettségeiket. A következőkben a Microsoft ügyfeleivel szembeni, a nagyvállalati szoftverek által gyűjtött személyes adatokkal kapcsolatos szerződéses kötelezettségeinek leírása található. (A Microsoft Kereskedelmi Licencprogramjai keretében licencelt szoftvereket illetően közvetlenül a Microsoft Termékek és Szolgáltatások – Adatvédelmi Kiegészítés (a továbbiakban „DPA”) című dokumentumot nézze meg a http://aka.ms/dpa) webhelyen.

A Microsoft vállal kötelezettségeket ügyfelei felé a GDPR vonatkozásában?

Igen. A GDPR előírja, hogy az adatkezelők (például a szervezetek és fejlesztők, akik a Microsoft nagyvállalati online szolgáltatásokat használják) csak olyan adatfeldolgozókat vehetnek igénybe (például Microsoft), amelyek a személyes adatokat az adatkezelő nevében kezelik, és a biztosítják a GDPR alapvető követelményeinek megfelelő garanciákat. A Microsoft a Microsoft Kereskedelmi Licencprogramjaiban részt vevő minden ügyfelével szemben vállalja a DPA-beli jelen kötelezettségvállalásainak teljesítését. A Microsoft vagy a társvállalataink által licencelt, egyéb általánosan elérhető nagyvállalati szoftverek ügyfelei szintén élvezhetik a Microsoft GDPR kötelezettségvállalásainak előnyeit, a jelen értesítésben leírtak szerint, amennyiben a szoftver személyes adatokat kezel.

Hol találhatom meg a Microsoft GDPR-rel kapcsolatos szerződéses kötelezettségeit?

A Microsoft GDPR-rel kapcsolatban tett szerződéses kötelezettségvállalásai (a továbbiakban „GDPR-feltételek”) a DPA „Az Európai Unió Általános adatvédelmi rendeletének feltételei” című mellékletében találhatók. Ezekben a feltételekben a Microsoft vállalja a GDPR 28. cikkében és más vonatkozó cikkeiben az adatfeldolgozókat illetően megfogalmazott követelmények teljesítését.

A Microsoft kiterjeszti a GDPR-feltételeket az általunk vagy a társvállalataink által a Microsoft szoftverlicenc feltételei alapján licencelt, általánosan elérhető nagyvállalati szoftvertermékek ügyfeleire, 2018. május 25. napjától kezdődő hatállyal, tekintet nélkül a nagyvállalati szoftver alkalmazandó verziójára, amennyiben a Microsoft a személyes adatok adatfeldolgozója vagy további adatfeldolgozója az ilyen szoftverhez kapcsolódóan, és amíg a Microsoft kínálja vagy támogatja az adott verziót. A támogatás részletei a Microsoft életciklus-szabályzatában, a https://support.microsoft.com/lifecycle webhelyen találhatók.

Az egyértelműség kedvéért: eltérő vagy kisebb mértékű kötelezettségvállalások vonatkozhatnak a béta- vagy kibocsátás előtti szoftverekre, a lényeges mértékben módosított szoftverekre, illetve a Microsoft vagy a társvállalataink által licencelt olyan szoftverekre, amelyek nem általánosan elérhetők, vagy amelyek licencelésére egyébként nem a Microsoft szoftverlicenc-feltételei vonatkoznak. Egyes termékek alapértelmezés szerint telemetriai és más adatokat gyűjthetnek és küldhetnek a Microsoftnak; a termékdokumentáció információkat és utasításokat ad arra vonatkozóan, hogy miként lehet kikapcsolni vagy beállítani az ilyen telemetriai adatok gyűjtést.

Milyen kötelezettségvállalások találhatók a GDPR-feltételekben?

A Microsoft GDPR feltételei tartalmazzák az adatfeldolgozókkal szembeni, GDPR 28. cikke szerinti kötelezettségeket. A 28. cikk előírja, hogy az adatfeldolgozók:

  • kizárólag az adatkezelő hozzájárulásával alkalmazhatnak további adatfeldolgozókat és kötelesek felelősséget vállalni a további adatfeldolgozókért;
  • csak az adatkezelő utasításai alapján kezelhetnek személyes adatokat, ideértve az adattovábbítást is;
  • kötelesek biztosítani, hogy azok a személyek, akik személyes adatokat kezelnek, titoktartási kötelezettség hatálya alatt állnak;
  • kötelesek megfelelő technikai és szervezési intézkedéseket végrehajtani a személyes adatok kockázatoknak megfelelő biztonsági szintjének biztosítása érdekében;
  • kötelesek támogatni az adatkezelőt az érintettek GDPR szerinti jogaik gyakorlásával kapcsolatos válaszadási kötelezettsége tekintetében;
  • kötelesek teljesíteni a GDPR adatvédelmi incidensekre és segítségnyújtásra vonatkozó követelményeit;
  • kötelesek támogatni az adatkezelőt az adatvédelmi hatásvizsgálatok és a felügyeleti hatóságokkal való konzultációk során;
  • kötelesek a szolgáltatások nyújtásának befejezését követően a személyes adatokat törölni vagy visszajuttatni; és
  • kötelesek támogatni az adatkezelőt a GDPR szerinti kötelezettségek teljesítésének igazolásával.