Informazioni sui requisiti aggiuntivi del sottoprocessore per le business unit Microsoft
Mentre il programma Microsoft SSPA offre un programma completo per la governance e la gestione della nostra base di fornitori, le singole business unit possono mantenere requisiti aggiuntivi per i fornitori. Ad esempio, Microsoft 365 si impegna a notificare ai clienti quando vengono approvati nuovi subprocessori e applica controlli aggiuntivi quando si contrae con nuovi fornitori. I requisiti aggiuntivi delle business unit sono progettati per integrare i requisiti SSPA e allinearsi ai requisiti normativi e agli obblighi contrattuali.
Requisito di comunicazione
In base all'addendum per la protezione dei dati (DPA) di Prodotti e servizi, Microsoft si impegna ulteriormente per quanto riguarda i periodi di preavviso per l'aggiunta di qualsiasi subprocessore. Si noti che gli intervalli di tempo dipendono dal tipo di dati che il sub-responsabile del trattamento elaborerà per conto di Microsoft.
Per riepilogare quanto indicato nel DPA, Microsoft si impegna a fornire un avviso ai clienti con almeno sei mesi di anticipo su qualsiasi nuovo subprocessore che elabora i dati dei clienti. Per qualsiasi altro dato personale, Microsoft fornirà almeno 30 - giorni di preavviso.
Ulteriori controlli per l'aggiunta di nuovi fornitori
A causa dell'impegno di limitare il numero di subprocessori con accesso ai dati personali e dei clienti e di fornire informazioni ai clienti al di sopra e al di là dei requisiti SSPA, sono stati introdotti ulteriori controlli dei fornitori durante l'acquisto di fornitori che hanno bisogno di accedere ai dati personali aziendali. Fino a quando un subprocessore non è stato approvato, a un fornitore non verrà concesso l'accesso ai dati personali o del cliente. Questi includono requisiti quali:
- Requisiti di contratto aggiuntivi
- Requisiti di controllo aggiuntivi
- Avviso appropriato per i nostri clienti