Уведомление о нарушении GDPR

Общий регламент по защите данных (GDPR) вводит новые правила для организаций, предоставляющих товары и услуги жителям Европейского союза (ЕС) или занимающихся сбором и анализом данных резидентов ЕС, независимо от того, где находитесь вы или ваше предприятие. Дополнительные сведения можно найти в разделе Сводка по GDPR. В этом документе вы сможете получить сведения об уведомлениях о нарушении согласно требованиям GDPR при использовании продуктов и служб Майкрософт.

Что считается нарушением безопасности персональных данных согласно GDPR?

Персональные данные — это любые сведения, касающиеся физического лица, которые могут быть использованы для прямой или косвенной идентификации. Нарушение безопасности персональных данных — это "нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным, передаваемым, хранящимся или иным образом обрабатываемым".

Терминология

Полезные определения терминов GDPR, используемых в этом документе:

  • Управляющий данными (управляющий) — юридическое лицо, орган государственной власти, агентство или другое лицо, которое отдельно от других или вместе с ними определяет цели и средства обработки персональных данных.
  • Персональные данные и субъект данных — все сведения, относящиеся к определенному или определяемому физическому лицу ("субъект данных"). Определяемым физическим лицом считается лицо, которого можно прямо или косвенно определить.
  • Обработчик — физическое или юридическое лицо, орган государственной власти, агентство или другое лицо, которое обрабатывает персональные данные от лица управляющего.
  • Данные клиента — это данные, которые создаются и хранятся в ходе повседневной работы компании.

Майкрософт и уведомление о нарушении

Майкрософт со всей серьезностью относится к своим обязательствам, налагаемым Общим регламентом по защите данных (GDPR). К инциденту безопасности/нарушению безопасности данных относят такие действия, как незаконный доступ к данным клиента, хранящимся на оборудовании Майкрософт или в помещениях Майкрософт, или несанкционированный доступ к таким данным, что может привести к потере, раскрытию или изменению данных клиента.

Как обработчик данных, корпорация Майкрософт предоставляет клиентам возможность соблюдения требований, предъявляемых к уведомлениям о нарушении GDPR, в качестве управляющих данными. Наши уведомления предоставляют сведения, необходимые для проведения такой оценки. Майкрософт уведомляет клиентов о любых нарушениях безопасности личных данных, за исключением тех случаев, когда личные данные являются нечитаемыми (например, зашифрованные данные при подтверждении целостности ключей).

Управляющие данными несут ответственность за оценку риска для конфиденциальности данных и определение необходимости уведомления DPA клиента о нарушении безопасности данных. Корпорация Майкрософт предоставляет сведения, необходимые для проведения такой оценки, наряду с политикой соответствия требованиям GDPR.

Начальное уведомление содержит описание характера нарушения, приблизительных последствий для пользователя и, в соответствующих случаях, действий по устранению риска. Если анализ не будет завершен к моменту начального уведомления, мы укажем следующие шаги и сроки очередного сообщения. Дополнительные информацию о том, как Майкрософт обнаруживает нарушения безопасности персональных данных и реагирует на них, см. в статье Уведомление о нарушениях безопасности данных согласно требованиям GDPR на портале Service Trust Portal.

Подробные сведения об уведомлениях о нарушении для определенных продуктов и услуг Майкрософт приведены ниже.

  1. Office 365
    Корпорация Майкрософт активно инвестирует в системы, процессы и персонал, чтобы снизить вероятность нарушения безопасности личных данных, а также быстро определять и устранять их последствия. Дополнительные сведения см. в статье Инвестиции Office 365 в безопасность данных.

    Заказчик может узнать о нарушении и захотеть обратиться в корпорацию Майкрософт. В этом случае уведомите службу поддержки Майкрософт, она свяжется с технической службой для получения дополнительной информации.

  2. Azure, Dynamics 365 и Windows. В корпорации Майкрософт круглосуточно действует глобальная служба реагирования на инциденты, чьей задачей является смягчение последствий атак на Microsoft Azure, Dynamics 365 и конфигурацию обработчика диагностических данных Windows.

    • Обнаружение нарушений: поскольку и у корпорации Майкрософт, и у клиента есть обязательства по обеспечению безопасности, службы Azure используют модель общей ответственности в отношении безопасности и функционирования в целом. Корпорация Майкрософт не отслеживает нарушения безопасности в рамках сферы ответственности клиента и не реагирует на них. Реакция клиента на инцидент может включать сотрудничество со Службой поддержки клиентов Azure при наличии соответствующих контрактов на обслуживание. Microsoft Azure также предлагает различные службы (например, Центр безопасности Azure), которые клиенты могут использовать для разработки мер реагирования на инциденты безопасности и управления такими мерами.

      Список событий, которые вызывают анализ нарушений в Microsoft Azure, см. в разделе Обнаружение потенциальных нарушений. В статье Azure и уведомление о нарушениях согласно требованиям GDPR содержится дополнительная информация о том, как Майкрософт анализирует, управляет и реагирует на нарушения безопасности в Azure.

    • Реагирование на нарушения безопасности данных: Корпорация Майкрософт определяет применимые уровни приоритета и серьезности нарушения путем изучения функционального воздействия, возможности восстановления и информационного воздействия инцидента. Приоритет и серьезность могут изменяться в процессе анализа по мере появления новых фактов и заключений. Команда Майкрософт по реагированию на угрозы безопасности тесно сотрудничает с международными консультантами по правовым вопросам, помогая обеспечить проведение судебной экспертизы в соответствии с юридическими обязанностями и обязательствами перед клиентами. Эти процессы описаны в разделе Реагирование на нарушения безопасности данных в Azure.

    • Уведомление клиента: Microsoft Azure уведомляет клиентов и регулирующие органы о нарушении безопасности данных в соответствии с установленными требованиями. Уведомление клиенту доставляется в срок до 72 часов с момента заявления о нарушении, за исключением следующих обстоятельств:

      • Майкрософт считает, что отправка уведомления увеличивает риск для других клиентов.
      • При 72-часовом сроке некоторые сведения об инциденте могут оставаться доступными. Эти сведения будут вам предоставлены по мере проведения анализа.

      Дополнительные сведения можно найти в разделе Уведомление клиента.

  3. Служба поддержки и профессиональные услуги Майкрософт
    Существование профессиональных услуг означает, что некоторые инциденты, связанные с защитой данных, могут подпадать под сферу ответственности клиента. Когда Профессиональные услуги Майкрософт определяют инцидент, связанный с защитой данных, они действуют согласно документально установленному стандартному производственному плану реагирования, как указано в статье Область и ограничения процесса реагирования на инциденты защиты данных.

Средства администрирования уведомлений о нарушении

  • Укажите контактное лицо по вопросам конфиденциальности: на портале администрирования Azure Active Directory администраторы клиентов могут определить, к какому сотруднику организации следует обращаться по вопросам конфиденциальности, если Майкрософт это понадобится.

Дополнительные сведения