Общий регламент по защите персональных данных (GDPR)

Введение

Общий регламент Европейского союза по защите данных (General Data Protection Regulation, GDPR) устанавливает важный стандарт в области обеспечения конфиденциальности, информационной безопасности и соблюдения прочих установленных требований в масштабе всего мира. Microsoft считает, что конфиденциальность является основополагающим правом, а GDPR является важным шагом вперед в сфере защиты и создания необходимых условий для соблюдения прав на неприкосновенность частной жизни людей.

Microsoft соблюдает требования GDPR, а также предоставляет широкий диапазон продуктов, функций, документации и ресурсов для помощи нашим клиентам в выполнении ими обязательств по соблюдению правил, установленных в рамках GDPR. Ниже приведено описание договорных обязательств Microsoft перед клиентами в отношении персональных данных, собираемых из корпоративного программного обеспечения. (Информацию о программном обеспечении, лицензируемом в рамках программ коммерческого лицензирования Microsoft, см. непосредственно в Дополнении по защите данных продуктов и услуг Microsoft (Data Protection Addendum, DPA) на странице http://aka.ms/dpa)

Существуют ли у Microsoft обязательства перед ее клиентами в отношении GDPR?

Да. GDPR требует, чтобы контролеры (такие как организации и разработчики, использующие корпоративные веб-службы Microsoft) использовали только тех обработчиков (например, Microsoft), которые обрабатывают персональные данные от имени контролера и предоставляют достаточные гарантии, соответствующие ключевым требованиям GDPR. Microsoft придерживается этих обязательств в отношении всех клиентов, использующих программы коммерческого лицензирования Microsoft, в DPA. Клиенты другого общедоступного корпоративного программного обеспечения, лицензированного Microsoft или нашими аффилированными лицами, также пользуются преимуществами обязательств Microsoft по GDPR, как описано в этом уведомлении, если такое программное обеспечение обрабатывает персональные данные.

Где можно найти договорные обязательства Microsoft в рамках GDPR?

Договорные обязательства Microsoft в отношении GDPR (Условия GDPR) можно найти в приложении к DPA под названием «Условия Общего регламента Европейского союза по защите данных». Эти условия обязывают Microsoft выполнять требования к обработчикам данных, описанные в статье 28 и других соответствующих статьях GDPR.

Microsoft применяет Условия GDPR ко всем клиентам общедоступных корпоративных программных продуктов, лицензированных нами или нашими аффилированными лицами в соответствии с условиями лицензии на программное обеспечение Microsoft, начиная с 25 мая 2018 г., независимо от применяемой версии корпоративного программного обеспечения, если Microsoft является обработчиком или дополнительным обработчиком персональных данных в связи с таким программным обеспечением, при условии что Microsoft продолжает предлагать или поддерживать эту версию продукта. Сведения о поддержке можно найти в Политике жизненного цикла Microsoft на странице https://support.microsoft.com/lifecycle.

Во избежание сомнений, иные или меньшие по объему обязательства могут применяться к бета-версиям или предварительным сборкам программного обеспечения, модифицированному программному обеспечению или к любому программному обеспечению, лицензированному Microsoft или нашими аффилированными лицами, которое не является общедоступным или иным образом не лицензировано в соответствии с условиями лицензирования программного обеспечения Microsoft. Некоторые продукты могут по умолчанию собирать и отправлять Microsoft телеметрические или иные данные. Документация продукта содержит информацию и инструкции по отключению или настройке сбора телеметрических данных.

Какие обязательства содержатся в Условиях GDPR?

Условия GDPR корпорации Microsoft отражают обязательства, предъявляемые к обработчикам в статье 28 GDPR. Статья 28 требует, чтобы обработчики брали на себя обязательства:

использовать дополнительных обработчиков только с согласия контролера и нести ответственность за дополнительных обработчиков;
обрабатывать персональные данные только согласно указаниям контролера, в том числе в отношении передачи;
обеспечивать, чтобы лица, обрабатывающие персональные данные, взяли на себя обязательства по соблюдению конфиденциальности;
внедрить соответствующие технические и организационные меры для обеспечения уровня безопасности персональных данных, соответствующих рискам;
помогать контролеру в выполнении им обязательств по ответу на запросы субъектов данных для осуществления их прав в рамках GDPR;
соблюдать требования GDPR и оказывать помощь в отношении уведомления о нарушениях;
оказывать помощь контролеру в оценке воздействия защиты данных и в консультировании с органами надзора;
удалять или возвращать персональные данные по окончании предоставления услуг; и
оказывать поддержку контролеру, предъявляя документы, подтверждающие соблюдение требований GDPR.

Обязательства корпорации Microsoft в рамках GDPR перед клиентами наших общедоступных корпоративных программных продуктов