Обзор общего регламента по защите данныхGeneral Data Protection Regulation Summary

Общий регламент по защите данных (GDPR) обязывает организации, предоставляющие товары и услуги в Европейском союзе или занимающиеся сбором и анализом данных резидентов ЕС, соблюдать новые правила независимо от того, где находитесь вы или ваше предприятие.The General Data Protection Regulation (GDPR) introduces new rules for organizations that offer goods and services to people in the European Union (EU), or that collect and analyze data for EU residents no matter where you or your enterprise are located. В этом документе вы сможете получить сведения для соблюдения прав и выполнения обязательств в рамках GDPR при использовании продуктов и служб Майкрософт.This document guides you to information to help you honor rights and fulfill obligations under the GDPR when using Microsoft products and services. Дополнительными ресурсами по оценке и обеспечению соответствия требованиям GDPR являются рекомендуемый план действий для GDPR и контрольные списки готовности к подотчетности.A Recommended action plan for GDPR and Accountability Readiness Checklists provide additional resources for assessing and implementing GDPR compliance.

ТерминологияTerminology

Полезные определения терминов GDPR, используемых в этом документе:Helpful definitions for GDPR terms used in this document:

  • Управляющий данными (управляющий) — юридическое лицо, орган государственной власти, агентство или другое лицо, которое отдельно от других или вместе с ними определяет цели и средства обработки персональных данных.Data Controller (Controller): A legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data.
  • Персональные данные и субъект данных — все сведения, относящиеся к определенному или определяемому физическому лицу ("субъект данных"). Определяемым физическим лицом считается лицо, которого можно прямо или косвенно определить.Personal data and data subject: Any information relating to an identified or identifiable natural person (data subject); an identifiable natural person is one who can be identified, directly or indirectly.
  • Обработчик — физическое или юридическое лицо, орган государственной власти, агентство или другое лицо, которое обрабатывает персональные данные от лица управляющего.Processor: A natural or legal person, public authority, agency, or other body, which processes personal data on behalf of the controller.
  • Данные клиента — это данные, которые создаются и хранятся в ходе повседневной работы компании.Customer Data: Data produced and stored in the day-to-day operations of running your business.

Что такое GDPR?What is the GDPR?

GDPR предоставляет людям права по управлению персональными данными, собранными организацией.The GDPR gives rights to people to manage personal data collected by an organization. Эти права можно реализовать с помощью запроса субъекта данных (DSR).These rights can be exercised through a Data Subject Request (DSR). Организация должна своевременно предоставлять информацию о запросах субъектов данных и нарушениях безопасности данных, а также выполнять оценку влияния на защиту данных (DPIA).The organization is required to provide timely information regarding DSRs and data breaches, and perform Data Protection Impact Assessments (DPIAs).

При реализации или оценке требований GDPR следует учитывать несколько моментов:Several points should be considered when implementing or assessing GDPR requirements:

  • Разработка или оценка политики конфиденциальности данных в соответствии с GDPR.Developing or evaluating your GDPR-compliance data privacy policy.
  • Оценка безопасности данных в организации.Assessing the data security of your organization.
  • Кто является управляющим данными?Who is your data controller?
  • Какие процессы защиты данных может потребоваться выполнить?What data security processes may you have to perform?

Рекомендуемый план действий для GDPR и контрольные списки готовности к подотчетности могут предоставить дополнительные сведения для рассмотрения.The Recommended action plan for GDPR and Accountability Readiness Checklists may prompt additional thinking points.

Указанные ниже задачи относятся к выполнению стандартов GDPR.The following tasks are involved to meet GDPR standards. Подробные сведения о реализации см. по ссылкам в списке.Follow the links in the list for details regarding your implementation.

  • Запросы субъектов данных (DSR).Data subject requests (DSR). Официальный запрос от субъекта данных к управляющему, требующий выполнения некоторых действий (изменение, ограничение, доступ) с персональными данными этого субъекта.A formal request by a data subject to a controller to take an action (change, restrict, access) regarding their personal data.
  • Уведомление о нарушении.Breach notification. Согласно GDPR, нарушение персональных данных является «нарушением безопасности, ведущим к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к передаваемым, сохраняемым или иным образом обрабатываемым персональным данным».Under GDPR, a personal data breach is 'a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored, or otherwise processed.'
  • Оценка влияния на защиту данных (DPIA).Data protection impact assessment (DPIA). Контроллеры данных обязаны в рамках GDPR подготовить DPIA для операций с данными, которые «могут привести к высокому риску для прав и свобод физических лиц».Data controllers are required under GDPR to prepare a DPIA for data operations that are 'likely to result in a high risk to the rights and freedoms of natural persons.'

Как указано выше, рекомендуемый план действий для GDPR и контрольные списки готовности к подотчетности предоставляют руководство по обеспечению или оценке соответствия требованиям GDPR при использовании продуктов и служб Майкрософт.As mentioned above, the Recommended action plan for GDPR and Accountability Readiness Checklists provide a guide to implementing or assessing GDPR conformance using Microsoft products and services.

Запрос субъекта данных (DSR)Data Subject Request (DSR)

GDPR предоставляет отдельным лицам (или субъектам данных) определенные права в связи с обработкой их персональных данных, включая право исправлять неточные данные, стирать данные или ограничивать их обработку, получать их данные и выполнять запрос на передачу своих данных другому контроллеру.The GDPR grants individuals (or data subjects) certain rights in connection with the processing of their personal data, including the right to correct inaccurate data, erase data or restrict its processing, receive their data and fulfill a request to transmit their data to another controller. Управляющий отвечает за предоставление своевременного ответа в соответствии с GDPR.The controller is responsible for providing a timely, GDPR consistent reply. Для технических деталей, обратитесь к Запросам Темы Данных.For technical details, refer to Data Subject Requests.

Вопросы и ответы по DSRDSR FAQs

Какие действия потребуются для завершения DSR?What actions will be required to complete a DSR?

DSR включают шесть действий: обнаружение, доступ, исправление, ограничение, экспорт и удаление.DSRs involve six activities: Discovery, Access, Rectification, Restriction, Export, and Deletion.

Каковы ваши источники данных?What are your data sources?

Значительная часть данных организации создается в приложениях Office, таких как Excel и Outlook.A large fraction of an organization's data is generated in Office applications such as Excel and Outlook. Данные, относящиеся к DSR, также можно найти в аналитике, создаваемой продуктами и службами Майкрософт, а также в системных журналах.You may also find data relevant to a DSR in Insights generated by Microsoft products and services, and system-generated logs.

Какие виды данных нужно искать?What kinds of data need to be searched?

Персональные данные могут быть найдены в данных клиентов, аналитических данных, созданных продуктами и услугами Microsoft, а также в системных журналах.Personal data may be found in customer data, insights generated by Microsoft products and services, and system-generated logs.

Как будут искаться личные данные?How will personal data be searched?

Поиск личных данных может варьироваться в зависимости от продуктов и услуг Microsoft.Searching for personal data may vary across Microsoft products and services. Средства поиска включают поиск контента и возможность поиска в приложении.Search tools include Content Search, or in-app search capacity. Администраторы могут получать доступ к системным журналам, связанным с действиями пользователя.Administrators may access system-generated logs associated with a user's activity.

В каких форматах должны быть доступны личные данные?In what formats should personal data be made available?

«Переносимость данных» GDPR позволяет субъекту данных запрашивать копию личных данных в «структурированном, широко используемом, машиночитаемом формате» и запрашивать, чтобы ваша организация передала эти файлы другому контроллеру данных.The GDPR 'right of data portability' allows a data subject to request a copy of personal data in a 'structured, commonly used, machine-readable format', and to request that your organization transmit these files to another data controller.

Что требует GDPR и каковы мои обязанности в качестве контролера?What does the GDPR require and what are my responsibilities as the controller?

В соответствии с GDPR управляющие должны:As controller, the GDPR requires you to be able to:

  • Предоставьте субъектам данных копию своих персональных данных вместе с объяснением категорий обрабатываемых ими данных, целей такой обработки и категорий третьих лиц, которым могут быть переданы их данные.Give data subjects a copy of their personal data, together with an explanation of the categories of their data that are being processed, the purposes of that processing, and the categories of third parties to whom their data may be disclosed.
  • Помогите каждому человеку реализовать свое право исправлять неточные личные данные, удалять данные или ограничивать их обработку, получать свои данные в удобочитаемой форме и, где это применимо, выполнять запрос на передачу своих данных другому контроллеру.Help every individual exercise their right to correct inaccurate personal data, erase data or restrict its processing, receive their data in a readable form, and where applicable, fulfill a request to transmit their data to another controller.

Что требует GDPR и каковы обязанности Microsoft как процессора?What does the GDPR require and what are the responsibilities of Microsoft as processor?

Мы должны реализовать надлежащие технические и организационные меры, чтобы помочь вам отвечать на запросы от субъектов данных, пользующихся вышеописанными правами.We must implement the appropriate technical and organizational measures to assist you in responding to requests from data subjects exercising their rights as discussed above.

Где можно найти информацию, связанную с GDPR, для локальных серверов?Where can I find GDPR-related information for on-premises servers?

Вы можете найти ряд статей, посвященных GDPR.You can find a series of GDPR-related articles here. Разработанные Microsoft, они предоставляют рекомендуемые подходы для локальной рабочей нагрузки для SharePoint Server, Exchange Server, Project Server, сервера Office Web Apps, Office Online Server и локальных общих файловых ресурсов.Produced by Microsoft, they provide recommended approaches for on-premises workload for SharePoint Server, Exchange Server, Project Server, Office Web Apps Server, Office Online Server, and on-premises file shares.

Как Microsoft позволяет вам отвечать на запросы субъектов данных?How does Microsoft enable you to respond to data subject requests?

Веб-службы предоставляют вам как управляющему множество возможностей для реагирования на запросы субъектов данных.Online Services offers a host of capabilities to enable you, as a controller, to respond to a data subject's request. Веб-службы Майкрософт и средства административного контроля помогают вам выполнять действия с персональными данными в соответствии с надлежащими запросами субъектов данных, позволяя обнаруживать, корректировать, ограничивать, удалять и экспортировать персональные данные, хранящиеся в облаке Майкрософт и подконтрольные управляющему, а также получать доступ к таким данным.Microsoft enterprise online services and administrative controls help you act on personal data responsive to data subject rights requests, allowing you to discover, access, rectify, restrict, delete, and export personal data that resides in the controller-managed data stored in Microsoft's cloud. Онлайн-сервисы также предоставляют данные в машиночитаемой форме, если вам это нужно.Online Services also provides data in machine-readable form should you need it.

Оценка воздействия на защиту данныхData Protection Impact Assessment

В соответствии с GDPR контролеры данных должны подготовить Оценку воздействия на защиту данных (DPIA) для операций обработки, которые «могут привести к высокому риску для прав и свобод физических лиц».Under GDPR, data controllers are required to prepare a Data Protection Impact Assessment (DPIA) for processing operations that are 'likely to result in a high risk to the rights and freedoms of natural persons.' Продукты и службы Майкрософт не имеют характеристик, требующих DPIA.There is nothing inherent in Microsoft products and services that need the creation of a DPIA. Это зависит скорее от деталей вашей конфигурации Майкрософт.Rather, it depends on the details of your Microsoft configuration. Список деталей, которые необходимо учитывать в Office, можно найти в разделе Содержимое DPIAA list of details that must be considered in Office can be found in Contents of DPIA

Часто задаваемые вопросы по DPIADPIA FAQs

Когда нужно провести DPIA?When should you conduct a DPIA?

Управляющие должны проводить DPIA при рассмотрении рисков для безопасности персональных данных, или в результате нарушения безопасности данных.Controllers are required to perform a DPIA addressing risks to personal data security or as a result of a data breach. Конкретные примеры факторов риска в Office рассмотрены в разделе Определение необходимости DPIA.Specific examples of risk factors in Office are addressed in Determining Whether a DPIA is Needed.

Что требуется для выполнения DPIA?What is required to complete a DPIA?

Регламент GDPR требует, чтобы оценка DPIA включала следующее:The GDPR mandates that a DPIA includes:

  • Оценка необходимости и пропорциональности операций обработки данных по отношению к целям DPIA.Assessment of the necessity, and proportionality of data processing in relation to the DPIA's purpose.
  • Оценка рисков для прав и свобод субъектов данных.An assessment of the risks to the rights and freedoms of data subjects.
  • Специальные меры для устранения рисков, гарантии безопасности, меры предосторожности и механизмы для обеспечения защиты персональных данных и демонстрации соблюдения GDPR.Intended measures to address the risks, safeguards, security measures, and mechanisms to ensure the protection of personal data and demonstrate compliance with the GDPR.

Каковы мои обязанности в качестве контролера?What are my responsibilities as a Controller?

Согласно GDPR управляющему требуется выполнить DPIA до обработки данных, в результате которой может появиться высокий риск нарушения прав и свобод физических лиц (в частности, до обработки с помощью новых технологий).Under the GDPR, as a controller you are required to undertake DPIAs prior to data processing that is likely to result in a high risk to the rights and freedoms of individuals—in particular, processing using new technologies. В GDPR приведен следующий неполный список случаев, в которых необходимо проводить DPIA:The GDPR provides the following non-exhaustive list of cases in which DPIAs must be carried out:

  • Автоматическая обработка для целей профилирования и аналогичных действий, которая имеет юридические последствия или аналогичным образом существенно влияет на субъекты данных;Automated processing for the purposes of profiling and similar activities that has legal effects or similarly significantly affects data subjects;
  • Обработка в широком масштабе специальных категорий персональных данных, например данных, раскрывающих расовое или этническое происхождение, политические убеждения и т. п., или данных, касающихся уголовных приговоров и преступлений;Processing on a large scale of special categories of personal data – data revealing racial or ethnic origin, political opinion, and the like—or of data relating to criminal convictions and offenses;
  • Масштабное систематическое отслеживание общедоступной области.Systematic monitoring of a publicly accessible area on a large scale.

GDPR также требует, чтобы вы проконсультировались с вашим органом по защите данных (DPA) перед началом какой-либо обработки, если вы не можете определить достаточные процессы, чтобы минимизировать высокие риски для субъектов данных.The GDPR also requires that you must consult with your Data Protection Authority (DPA) before you begin any processing if you cannot identify sufficient processes to minimize high risks to data subjects.

Каковы обязательства Microsoft?What are the responsibilities of Microsoft?

Microsoft обеспечивает конфиденциальность путем разработки и обеспечения конфиденциальности по умолчанию в своих технических и бизнес-функциях.Microsoft practices privacy by design and privacy by default in its engineering and business functions. В рамках этих усилий Microsoft проводит всесторонние проверки конфиденциальности операций обработки данных, которые могут оказать влияние на права и свободы субъектов данных.As part of these efforts, Microsoft performs comprehensive privacy reviews on data processing operations that have the potential to cause impacts to the rights and freedoms of data subjects. Рабочие группы, которые несут ответственность за обеспечение конфиденциальности и входят в группы, занимающиеся службами, проверяют разработку и реализацию служб, чтобы обеспечить надлежащий способ обработки персональных данных, который соответствует международным законам, ожиданиям пользователей и нашим обязательствам.Privacy teams embedded in the service groups review the design and implementation of services to ensure that personal data is processed in a respectful manner that accords with international law, user expectations, and our express commitments.

Эти обзоры конфиденциальности, как правило, носят гранулярный характер - конкретная служба может получить десятки или сотни отзывов.These privacy reviews tend to be granular — a particular service may receive dozens or hundreds of reviews. Microsoft объединяет эти детальные проверки конфиденциальности в Оценки воздействия на защиту данных (DPIA), которые охватывают основные группы обработки, которые затем проверяет сотрудник по защите данных Microsoft (DPO).Microsoft rolls up these granular privacy reviews into Data Protection Impact Assessments (DPIAs) that cover major groupings of processing, which the Microsoft EU Data Protection Officer (DPO) then reviews. DPO оценивает риски, связанные с обработкой данных, чтобы обеспечить принятие надлежащих мер по их предотвращению или снижению.The DPO assesses the risks related to the data processing to ensure that sufficient mitigations are in place. Если DPO обнаруживает неосуществленные риски, изменения рекомендуются обратно в инженерную группу.If the DPO finds unmitigated risks, changes are recommended back to the engineering group. DPIA будут пересматриваться и обновляться по мере изменения рисков защиты данных.DPIAs will be reviewed and updated as data protection risks change.

Microsoft, как процессор, обязана помогать контролерам в обеспечении соответствия требованиям DPIA, изложенным в GDPR.Microsoft, as a processor, has a duty to assist controllers in ensuring compliance with the DPIA requirements laid out in the GDPR. Чтобы помочь клиентам, корпорация Майкрософт предоставит абстрагированные части своих процессов DPIA в этом разделе в будущих обновлениях, чтобы позволить управляющим, опираясь на службы Майкрософт, использовать эти части для создания собственных процессов DPIA.To support our customers, relevant sections of Microsoft's DPIAs are abstracted and will be provided through this section in future updates with the intent of allowing controllers relying on Microsoft services to leverage the abstracts in order to create their own DPIAs.

Уведомление о нарушенииBreach Notification

GDPR предписывает требования к уведомлениям для контроллеров и процессоров данных в случае нарушения личных данных.The GDPR mandates notification requirements for data controllers and processors for a breach of personal data. В качестве обработчика данных корпорация Майкрософт предоставляет клиентам возможности для соблюдения требований GDPR, предъявляемым к уведомлениям о нарушении безопасности данных.As a data processor, Microsoft ensures that customers are able to meet the GDPR's breach notification requirements. Управляющие данными несут ответственность за оценку риска для конфиденциальности данных и определение необходимости уведомления DPA клиента о нарушении безопасности данных.Data controllers are responsible for assessing risks to data privacy and determining whether a breach requires notification of a customer's DPA. Корпорация Майкрософт предоставляет сведения, необходимые для этой оценки.Microsoft provides the information needed to make that assessment. Дополнительную информацию о том, как Майкрософт обнаруживает нарушения безопасности персональных данных и реагирует на них, см. в статье Уведомление о нарушениях безопасности данных согласно требованиям GDPR.More information about how Microsoft detects and responds to a breach of personal data in Data Breach Notification Under the GDPR.

Часто задаваемые вопросы про уведомление о нарушенииBreach notification FAQs

Что составляет нарушение личных данных в GDPR?What constitutes a breach of personal data under the GDPR?

Персональные данные — это любые сведения, касающиеся физического лица, которые могут быть использованы для прямой или косвенной идентификации.Personal data means any information related to an individual that can be used to identify them directly or indirectly. Нарушение персональных данных - это «нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным, передаваемым, хранящимся или иным образом обрабатываемым».A personal data breach is 'a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored, or otherwise processed.'

Каковы ваши обязательства в качестве контроллера?What are your responsibilities as the controller?

Если происходит нарушение личных данных, которое может привести к высокому риску для прав и свобод отдельных лиц (таких как дискриминация, кража личных данных, мошенничество, финансовые потери или повреждение их репутации), GDPR требует от вас:If a breach of personal data that is likely to result in a high risk to the rights and freedoms of individuals (such as discrimination, identity theft, fraud, financial loss, or damage to their reputation) occurs, the GDPR requires you to:

  • Уведомите соответствующий орган защиты данных (DPA) в течение 72 часов после того, как о нем узнают, например, после того, как Microsoft уведомит вас.Notify the appropriate Data Protection Authority (DPA) within 72 hours of becoming aware of it—for example, after Microsoft notifies you. Если вы не сделаете этого в течение указанного срока, вам потребуется сообщить DPA причину такого поведения.If you don't notify the DPA within that time period, you'll need to explain why to the DPA. Уведомить DPA требуется даже в том случае, если риск для физических лиц невысокий;This notice to the DPA is required even where there is a risk to individuals that is not likely to result in a high risk.
  • уведомить субъектов данных о нарушении без неоправданной задержки;Notify the data subjects of the breach without undue delay.
  • задокументировать нарушение с указанием его сути (количества затронутых людей, числа затронутых записей данных, последствий нарушения, возможных мер по устранению, которые ваша организация рекомендует принять или приняла).Document the breach including a description of the nature of the breach—such as how many people were impacted, the number of data records affected, the consequences of the breach, and any remedial action your organization is proposing or took.

Каковы обязанности Microsoft как процессора?What are the responsibilities of Microsoft as the processor?

Если выявим нарушение безопасности персональных данных, согласно GDPR мы должны уведомить вас об этом без неоправданной задержки.After we become aware of a personal data breach, the GDPR requires us to notify you without undue delay. Там, где Microsoft является процессором, наши обязательства отражают как требования GDPR, так и наши стандартные договорные положения по всему миру.Where Microsoft is a processor our obligations reflect both GDPR requirements and our standard, worldwide contractual provisions. Абсолютно все подтвержденные случаи нарушения безопасности персональных данных мы рассматриваем как требующие вмешательства.We consider that all confirmed personal data breaches are in scope; there is no risk of harm threshold. Мы уведомим наших клиентов о том, была ли утечка данных перенесена непосредственно Microsoft или любым из наших подпроцессоров.We will notify our customers whether the data breach was suffered by Microsoft directly or by any of our sub-processors. Мы подготовили способы быстрого определения сотрудников, ответственных за безопасность в вашей организации, и способы связи с ними.We have processes in place to quickly identify and contact security incident personnel you've identified in your organization. Кроме того, все субпроцессоры по контракту обязаны сообщать о своих собственных нарушениях в Microsoft и предоставлять гарантии на этот счет.In addition, all sub-processors are contractually obliged to report their own breaches to Microsoft, and provide guarantees to that effect.

Как корпорация Майкрософт обнаружит нарушение данных?How will MIcrosoft detect a data breach?

Все наши службы и сотрудники выполняют внутренние процедуры контроля безопасности во избежание нарушений безопасности данных.All our services and personnel follow internal incident management procedures to ensure that we take proper precautions to avoid data breaches in the first place. Однако, кроме того, онлайн-сервисы имеют специальные средства контроля безопасности на наших платформах для обнаружения нарушений данных в редких случаях, когда они происходят.However, in addition, Online Services have specific security controls in place across our platforms to detect data breaches in the rare event that they occur.

Как корпорация Майкрософт ответит на нарушение данных?How will Microsoft respond to a data breach?

Чтобы поддержать вас за нарушение персональных данных, Microsoft имеет:To support you for a breach of personal data Microsoft has: - сотрудников службы безопасности, обученных специальным процедурам;Security personnel trained on the specific procedures to follow. - Наличие политик, процедур и средств контроля, чтобы гарантировать, что Microsoft ведет подробные записи.Has policies, procedures, and controls in place to ensure that Microsoft maintains detailed records. Этот ответ включает в себя документацию, которая фиксирует факты инцидента, его последствия и меры по исправлению положения, а также отслеживает и хранит информацию в наших системах управления инцидентами.This response includes documentation that captures the facts of the incident, its effects, and remedial action, as well as tracking and storing information in our incident management systems.

Как корпорация Майкрософт сообщит мне о нарушении данных?How will Microsoft notify me in the event of a data breach?

В Microsoft действуют политики и процедуры, позволяющие своевременно уведомлять вас.Microsoft has policies and procedures in place to notify you promptly. Для соблюдения требований по уведомлению DPA мы предоставим описание того, как было обнаружено нарушение безопасности персональных данных, а также укажем суть нарушения и меры, принятые для его нивелирования.To satisfy your notice requirements to the DPA, we will provide a description of the process we used to determine if a breach of personal data has occurred, a description of the nature of the breach and a description of the measures we took to mitigate the breach.

Контрольные списки готовности к подотчетности в рамках GDPRAccountability Readiness Checklists for the GDPR

Эти контрольные списки позволяют получить доступ к информации, необходимой для поддержки регламента GDPR при использовании продуктов Майкрософт.These checklists provide a convenient way to access information you may need to support the GDPR using Microsoft products. Вы можете управлять элементами контрольного списка в рейтинге соответствия требованиям (Майкрософт), ориентируясь на идентификаторы и названия контрольных точек в списке "Средства контроля в ведении клиента" на плитке GDPR.You can manage checklist items with Microsoft Compliance Score by referencing the Control ID and Control Title under Customer Managed Controls in the GDPR tile.

Часто задаваемые вопросы о GDPRGDPR FAQs

Делает ли Microsoft обязательства перед своими клиентами в отношении GDPR?Does Microsoft make commitments to its customers with regard to the GDPR?

Да.Yes. Согласно GDPR управляющие (например, организации, использующие корпоративные веб-службы) должны пользоваться услугами только таких обработчиков (например, Майкрософт), которые предоставляют достаточные гарантии соблюдения ключевых требований GDPR.The GDPR requires controllers (such as organizations using Microsoft's enterprise online services) only use processors (such as Microsoft) that provide sufficient guarantees to meet key requirements of the GDPR. Microsoft предприняла упреждающий шаг, предоставив эти обязательства всем клиентам корпоративного лицензирования в рамках своих соглашений.Microsoft has taken the proactive step of providing these commitments to all Volume Licensing customers as part of their agreements.

Как Microsoft помогает мне соответствовать?How does Microsoft help me comply?

Microsoft предоставляет инструменты и документацию для поддержки вашей подотчетности GDPR.Microsoft provides tools and documentation to support your GDPR accountability. Это включает в себя поддержку прав субъекта данных, выполнение ваших собственных оценок воздействия защиты данных и совместную работу по устранению нарушений персональных данных.This includes support for Data Subject Rights, performing your own Data Protection Impact Assessments, and working together to resolve personal data breaches.

Какие обязательства содержатся в Условиях GDPR?What commitments are in the GDPR Terms?

Условия корпорации Майкрософт в отношении GDPR отражают обязательства, требуемые от обработчиков в статье 28.Microsoft's GDPR Terms reflect the commitments required of processors in Article 28. Статья 28 требует, чтобы процессоры обязались:Article 28 requires that processors commit to:

  • Используйте подпроцессоры только с согласия контроллера и несите ответственность за подпроцессоры.Only use subprocessors with the consent of the controller and remain liable for subprocessors.
  • Обрабатывать персональные данные только по указанию контроллера, в том числе в отношении переводов.Process personal data only on instructions from the controller, including with regard to transfers.
  • Убедитесь, что лица, которые обрабатывают личные данные, соблюдают конфиденциальность.Ensure that persons who process personal data are committed to confidentiality.
  • Внедрить соответствующие технические и организационные меры для обеспечения уровня безопасности персональных данных, соответствующего риску.Implement appropriate technical and organizational measures to ensure a level of personal data security appropriate to the risk.
  • Помогать управляющим в их обязательствах по реагированию на запросы субъектов данных при реализации ими своих прав в рамках GDPR.Assist controllers in their obligations to respond to data subjects' requests to exercise their GDPR rights.
  • Соблюдайте требования по уведомлению о нарушении и помощи.Meet the breach notification and assistance requirements.
  • Помощь контролерам в оценке воздействия на защиту данных и консультации с надзорными органами.Assist controllers with data protection impact assessments and consultation with supervisory authorities.
  • Удалите или верните личные данные в конце предоставления услуг.Delete or return personal data at the end of provision of services.
  • Поддержите контролера с подтверждением соответствия GDPR.Support the controller with evidence of compliance with the GDPR.

На каком основании Microsoft облегчает передачу личных данных за пределы ЕС?Under what basis does Microsoft facilitate the transfer of personal data outside of the EU?

Microsoft долгое время использовала Стандартные договорные условия (также известные как Типовые положения) в качестве основы для передачи данных для своих корпоративных онлайн-сервисов.Microsoft has long used the Standard Contractual Clauses (also known as the Model Clauses) as a basis for transfer of data for its enterprise online services. Стандартные условия договора - это стандартные условия, предоставленные Европейской комиссией, которые могут использоваться для передачи данных за пределы Европейской экономической зоны в соответствии с требованиями.The Standard Contractual Clauses are standard terms provided by the European Commission that can be used to transfer data outside the European Economic Area in a compliant manner. Microsoft включила Стандартные договорные условия во все наши соглашения о корпоративном лицензировании через Условия онлайн-услуг.Microsoft has incorporated the Standard Contractual Clauses into all of our Volume Licensing agreements via the Online Services Terms. Рабочая группа по статье 29 пришла к выводу, что реализация корпорацией Майкрософт стандартных договорных условий соответствует требованиям.The Article 29 Working Party has found Microsoft's implementation of the Standard Contractual Clauses are compliant. И когда стал доступным «Щит конфиденциальности ЕС-США», Microsoft стала первой компанией, получившей сертификат.And when the EU-US Privacy Shield became available, Microsoft was the first company to certify. См. сертификацию Майкрософт на соответствие соглашению о правилах обмена конфиденциальной информацией и ознакомьтесь с условиями использования веб-служб.See Microsoft's certification to the Privacy Shield, and read the Online Services Terms. Щит конфиденциальности ЕС-США помогает клиентам, желающим перевести свои данные в США, в соответствии с их обязательствами по защите данных.The EU-US Privacy Shield helps customers that want to transfer their data to the US do so in a manner consistent with their data protection obligations.

Каковы другие предложения, связанные с обеспечением соответствия требованиям Майкрософт?What are the other Microsoft compliance offerings?

Как глобальная компания, имеющая клиентов почти во всех странах мира, Microsoft обладает обширным портфелем решений для обеспечения соответствия, который помогает нашим клиентам.As a global company with customers in nearly every country in the world, Microsoft has a robust compliance portfolio to assist our customers. Чтобы просмотреть полный список наших предложений по соответствию, включая FedRamp, HIPAA / HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud и многие другие, посетите наши темы по соответствию.To view a complete list of our compliance offerings including FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud, and many others visit our compliance offering topics.

Как GDPR повлияет на мою компанию?How will GDPR affect my company?

GDPR предъявляет широкий спектр требований к организациям, которые собирают или обрабатывают личные данные, включая требование соблюдать шесть ключевых принципов:The GDPR imposes a wide range of requirements on organizations that collect or process personal data, including a requirement to comply with six key principles:

  • Прозрачность, справедливость и законность в обработке и использовании персональных данных.Transparency, fairness, and lawfulness in the handling and use of personal data. Вам нужно будет уточнить у отдельных лиц, как вы используете личные данные, а также потребуется «законная основа» для обработки этих данных.You will need to be clear with individuals about how you are using personal data and will also need a "lawful basis" to process that data.
  • Ограничение обработки персональных данных указанными, явными и законными целями.Limiting the processing of personal data to specified, explicit, and legitimate purposes. Вы не сможете повторно использовать или раскрывать личные данные в целях, которые не «совместимы» с целью, для которой эти данные были первоначально собраны.You will not be able to reuse or disclose personal data for purposes that are not "compatible" with the purpose for which the data was originally collected.
  • Минимизация сбора и хранения персональных данных до уровня, который является адекватным и соответствующим назначению.Minimizing the collection and storage of personal data to that which is adequate and relevant for the intended purpose.
  • Обеспечение точности личных данных и возможность их удаления или исправления.Ensuring the accuracy of personal data and enabling it to be erased or rectified. Вам нужно будет предпринять шаги, чтобы убедиться, что ваши личные данные точны и могут быть исправлены в случае возникновения ошибок.You will need to take steps to ensure that the personal data you hold is accurate and can be corrected if errors occur.
  • Ограничение хранения личных данных.Limiting the storage of personal data. Вам нужно будет гарантировать, что вы сохраняете личные данные только столько времени, сколько необходимо для достижения целей, для которых эти данные были собраны.You will need to ensure that you retain personal data only for as long as necessary to achieve the purposes for which the data was collected.
  • Обеспечение безопасности, целостности и конфиденциальности личных данных.Ensuring security, integrity, and confidentiality of personal data. Ваша организация должна принять меры для обеспечения безопасности личных данных с помощью технических и организационных мер безопасности.Your organization must take steps to keep personal data secure through technical and organizational security measures.

Вам требуется определить, каковы обязательства вашей организации по GDPR и как их выполнять, и корпорация Майкрософт готова помочь вам в этом.You will need to understand what your organization's specific obligations are to the GDPR are and how you will meet them, though Microsoft is here to help you on your GDPR journey.

Какие права должны предоставлять компании в рамках GDPR?What rights must companies enable under GDPR?

GDPR предоставляет жителям ЕС контроль над своими личными данными через набор «прав субъекта данных».The GDPR provides EU residents with control over their personal data through a set of 'data subject rights'. Это включает в себя право:This includes the right to:

  • Доступ к информации о том, как используются личные данные.Access information about how personal data is used.
  • Доступ к личным данным, хранящимся в организации.Access personal data held by an organization.
  • Удалите или исправьте неверные личные данные.Have incorrect personal data deleted or corrected.
  • Исправить и стереть личные данные при определенных обстоятельствах (иногда их называют «право быть забытым»).Have personal data rectified and erased in certain circumstances (sometimes referred to as the "right to be forgotten").
  • Ограничить или возразить против автоматической обработки персональных данных.Restrict or object to automated processing of personal data.
  • Получите копии личных данных.Receive a copy of personal data.

Кто такие обработчики и контролеры?What are Processors and Controllers?

Контролер — это физическое или юридическое лицо, орган государственной власти, государственное ведомство или другое учреждение, которое самостоятельно или вместе с другими лицами определяет цели и способы обработки персональных данных.A controller is a natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data. Обработчик - это физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера.A processor is a natural or legal person, public authority, agency, or other body, which processes personal data on behalf of the controller.

Применяется ли GDPR к процессорам и контроллерам?Does the GDPR apply to Processors and Controllers?

Да, GDPR распространяется как на контроллеры, так и на процессоры.Yes, the GDPR applies to both controllers and processors. Контроллеры должны использовать только процессоры, принимающие меры в соответствии с требованиями для GDPR.Controllers must only use processors that take measures to meet the requirements of the GDPR. В соответствии с GDPR процессоры несут дополнительные обязанности и несут ответственность за несоответствие или действия вне инструкций, предоставленных контроллером, по сравнению с Директивой о защите данных.Under the GDPR, processors face additional duties and liability for noncompliance, or acting outside of instructions provided by the controller, as compared to the Data Protection Directive. Обязанности процессора включают, но не ограничиваются:Processor duties include, but are not limited to:

  • Обработка данных только в соответствии с инструкциями контроллера.Processing data only as instructed by the controller.
  • Использование соответствующих технических и организационных мер для защиты персональных данных.Using appropriate technical and organizational measures to protect personal data.
  • Помощь контроллеру с запросами субъекта данных.Assisting the controller with data subject requests.
  • Гарантируя, что задействованные подпроцессоры отвечают этим требованиям.Обеспечение соответствия требованиям.Ensuring subprocessors it engages meet these requirements.

Какой штраф предусмотрен для компаний за несоблюдение требований?How much can companies be fined for noncompliance?

За несоблюдение определенных требований GDPR компании могут быть оштрафованы на сумму до 20 млн € или 4% общего годового оборота, в зависимости от того, что больше.Companies can be fined up to €20m or 4% of annual global turnover, whichever is greater, for failure to meet certain GDPR requirements. Дополнительные индивидуальные средства могут увеличить ваш риск, если вы не соблюдаете требования GDPR.Additional individual remedies could increase your risk if you fail to adhere to GDPR requirements.

Нужно ли моему бизнесу назначать сотрудника по защите данных (DPO)?Does my business need to appoint a Data Protection Officer (DPO)?

Это зависит от нескольких факторов, определенных в нормативных актах.It depends on several factors identified within the regulation. В статье 37 GDPR говорится, что контролеры и обработчики должны назначать сотрудника по защите данных в любом случае, когда: (а) обработка осуществляется государственным органом или органом, за исключением судов, действующих в качестве судей; (b) основная деятельность контроллера или процессора состоит из операций обработки, которые в силу своего характера, их объема и / или их целей требуют регулярного и систематического мониторинга субъектов данных в больших масштабах; или (c) основная деятельность контролера или обработчика состоит из обработки в широком масштабе специальных категорий данных в соответствии со статьей 9 и персональных данных, касающихся уголовных обвинительных приговоров и преступлений, указанных в статье 10.Article 37 of the GDPR states that controllers and processors shall designate a data protection officer in any case where: (a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity; (b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or (c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and personal data relating to criminal convictions and offenses referred to in Article 10.

Сколько это будет стоить, чтобы соответствовать требованиям GDPR?How much will it cost to meet compliance with the GDPR?

Соблюдение соответствия GDPR будет стоить времени и денег для большинства организаций, хотя это может быть более плавным переходом для тех, кто работает по хорошо спроектированной модели облачных сервисов и имеет эффективную программу управления данными.Meeting compliance with the GDPR will cost time and money for most organizations, though it may be a smoother transition for those who are operating in a well-architected cloud services model and have an effective data governance program in place.

Как я узнаю, что данные, обрабатываемые моей организацией, охватываются GDPR?How do I know if the data that my organization is processing is covered by the GDPR?

GDPR регулирует сбор, хранение, использование и совместное использование персональных данных.The GDPR regulates the collection, storage, use, and sharing of 'personal data'. Персональные данные в широком смысле определяются под GDPR как любые данные, относящиеся к идентифицированному или идентифицируемому физическому лицу.Personal data is defined broadly under the GDPR as any data that relates to an identified or identifiable natural person.

Персональные данные могут включать, но не ограничиваются ими, сетевые идентификаторы (например, IP-адреса), информацию о сотрудниках, базы данных о продажах, данные обслуживания клиентов, формы обратной связи с клиентами, данные о местоположении, биометрические данные, видеоматериалы CCTV, записи схем лояльности, состояние здоровья, и финансовая информация и многое другое.Personal data can include, but is not limited to, online identifiers (for example, IP addresses), employee information, sales databases, customer services data, customer feedback forms, location data, biometric data, CCTV footage, loyalty scheme records, health, and financial information and much more. Он может даже включать информацию, которая не является личной - например, фотографию ландшафта без людей - где эта информация связана с номером счета или уникальным кодом с идентифицируемым лицом.It can even include information that does not appear to be personal – such as a photo of a landscape without people – where that information is linked by an account number or unique code to an identifiable individual. И даже личные данные, которые были псевдонимами, могут быть личными данными, если псевдоним может быть связан с конкретным человеком.And even personal data that has been pseudonymized can be personal data if the pseudonym can be linked to a particular individual.

Обработка определенных «специальных» категорий персональных данных - таких как персональные данные, которые раскрывают расовое или этническое происхождение человека или касается его здоровья или сексуальной ориентации - подчиняется более строгим правилам, чем обработка «обычных» персональных данных.Processing of certain "special" categories of personal data – such as personal data that reveals a person's racial or ethnic origin, or concerns their health or sexual orientation – is subject to more stringent rules than the processing of "ordinary" personal data. Эта оценка персональных данных в значительной степени зависит от фактов, поэтому мы рекомендуем привлекать эксперта для оценки ваших конкретных обстоятельств.This evaluation of personal data is highly fact-specific, so we recommend engaging an expert to evaluate your specific circumstances.

Моя организация обрабатывает данные только от имени других. Нужно ли все еще соблюдать GDPR?My organization is only processing data on behalf of others. Does it still need to comply with the GDPR?

Да.Yes. Хотя правила несколько различаются, GDPR применяется к организациям, которые собирают и обрабатывают данные для своих собственных целей («контроллеры»), а также к организациям, которые обрабатывают данные от имени других («процессоры»).Although the rules differ somewhat, the GDPR applies to organizations that collect and process data for their own purposes ('controllers') as well as to organizations that process data on behalf of others ('processors'). Это требование является отходом от существующей Директивы о защите данных, которая применяется к контроллерам.This requirement is a shift from the existing Data Protection Directive, which applies to controllers.

Что конкретно считается персональными данными?What specifically is deemed personal data?

Персональные данные - это любая информация, касающаяся идентифицированного или идентифицируемого лица.Personal data is any information relating to an identified or identifiable person. Нет различия между личными, общественными или рабочими ролями человека.There is no distinction between a person's private, public, or work roles. Личные данные могут включать:Personal data can include:

  • ИмяName
  • Домашний адресHome address
  • Рабочий адресWork address
  • Номер телефонаTelephone number
  • Номер мобильного телефонаMobile number
  • Адрес электронной почтыEmail address
  • Номер паспортаPassport number
  • Номер национального удостоверения личностиNational ID card
  • Номер социального страхования (или его эквивалент)Social Security Number (or equivalent)
  • Водительское удостоверениеDriver's license
  • Физическая, физиологическая или генетическая информацияPhysical, physiological, or genetic information
  • Медицинские сведенияMedical information
  • Культурная принадлежностьCultural identity
  • Банковские реквизиты и номера счетовBank details / account numbers
  • Номер налогоплательщикаTax file number
  • Рабочий адресWork address
  • Номера кредитных и дебетовых картCredit/Debit card numbers
  • публикации в социальных сетях;Social media posts
  • IP-адрес (для региона ЕС)IP address (EU region)
  • Местоположение и данные GPSLocation / GPS data
  • Файлы cookieCookies

Могу ли я передавать данные за пределы ЕС?Am I allowed to transfer data outside of the EU?

Да, однако GDPR строго регулирует передачу персональных данных европейских жителей в пункты назначения за пределами Европейского экономического пространства.Yes, however the GDPR strictly regulates transfers of personal data of European residents to destinations outside the European Economic Area. Вам может понадобиться установить определенный правовой механизм, например, контракт, или придерживаться механизма сертификации, чтобы разрешить эти передачи.You may need to set up a specific legal mechanism, such as a contract, or adhere to a certification mechanism in order to enable these transfers. Microsoft подробно описывает механизмы, которые мы используем в Условиях онлайн-услуг.Microsoft details the mechanisms we use in the Online Services Terms.

У меня есть требования к хранению данных через соответствие. Отменяют ли эти требования право на удаление?I have data retention requirements through compliance. Do these requirements override the right to erasure?

При наличии законных оснований для дальнейшей обработки и хранения данных, таких как «на соответствие юридическому обязательству, которое требует обработки в соответствии с законодательством Союза или государства-члена, которому подчиняется контролер» (Статья 17 (3) (b)), GDPR признает, что организации могут быть обязаны хранить данные.Where there are legitimate grounds for continued processing and data retention, such as 'for compliance with a legal obligation, which requires processing by Union or Member State law to which the controller is subject' (Article 17(3)(b)), the GDPR recognizes that organizations may be required to retain data. Однако вам следует убедиться, что вы привлекаете своего юрисконсульта для обеспечения того, чтобы основания для удержания были сопоставлены с правами и свободами субъектов данных, их ожиданий на момент сбора данных и т. д.You should, however, make sure you engage your legal counsel to ensure that the grounds for retention are weighed against the rights and freedoms of the data subjects, their expectations at the time the data was collected, etc.

GDPR занимается шифрованием?Does the GDPR deal with encryption?

Шифрование идентифицируется в GDPR как защитная мера, которая делает личные данные неразборчивыми, когда они нарушаются.Encryption is identified in the GDPR as a protective measure that renders personal data unintelligible when it is affected by a breach. Следовательно, использование шифрования может повлиять на требования к уведомлению о нарушении личных данных.Therefore, whether or not encryption is used may impact requirements for notification of a personal data breach. GDPR также указывает на шифрование в качестве соответствующей технической или организационной меры в некоторых случаях, в зависимости от риска.The GDPR also points to encryption as an appropriate technical or organizational measure in some cases, depending on the risk. Шифрование также является обязательным требованием стандарта безопасности данных индустрии платежных карт и частью строгих правил соответствия, характерных для отрасли финансовых услуг.Encryption is also a requirement through the Payment Card Industry Data Security Standard and part of the strict compliance guidelines specific to the financial services industry. Продукты и сервисы Microsoft, такие как Azure, Dynamics 365, Enterprise Mobility + Security, Office Microsoft 365, SQL Server / База данных SQL Azure и Windows 10, предлагают надежное шифрование для передаваемых данных и данных в покое.Microsoft products and services such as Azure, Dynamics 365, Enterprise Mobility + Security, Office Microsoft 365, SQL Server/Azure SQL Database, and Windows 10 offer robust encryption for data in transit and data at rest.

Как GDPR меняет реакцию организации на утечку персональных данных?How does the GDPR change an organization's response to personal data breaches?

GDPR изменит требования к защите данных и установит более строгие обязательства для процессоров и контроллеров в отношении уведомления о нарушениях персональных данных.The GDPR will change data protection requirements and make stricter obligations for processors and controllers regarding notice of personal data breaches. В соответствии с новым регламентом процессор должен уведомить контроллер данных о нарушении персональных данных, после того, как ему стало известно, без неоправданной задержки.Under the new regulation, the processor must notify the data controller of a personal data breach, after having become aware of it, without undue delay. Узнав о нарушении персональных данных, контроллер должен уведомить соответствующий орган по защите данных в течение 72 часов.Once aware of a personal data breach, the controller must notify the relevant data protection authority within 72 hours. Если нарушение может привести к высокому риску для прав и свобод отдельных лиц, контролеры также должны будут уведомить пострадавших лиц без неоправданной задержки.If the breach is likely to result in a high risk to the rights and freedoms of individuals, controllers will also need to notify impacted individuals without undue delay. Дополнительное руководство по этой теме разрабатывается Рабочей группой ЕС по статье 29.Additional guidance on this topic is being developed by the EU's Article 29 Working Party.

Продукты и службы Майкрософт, такие как Azure, Dynamics 365, Enterprise Mobility + Security, Microsoft Office 365 и Windows 10, имеют доступные уже сегодня решения для обнаружения и оценки угроз и нарушений безопасности, а также для выполнения обязательств по уведомлению о нарушениях GDPR.Microsoft products and services—such as Azure, Dynamics 365, Enterprise Mobility + Security, Microsoft Office 365, and Windows 10—have solutions available today to help you detect and assess security threats and breaches and meet the GDPR's breach notification obligations.

Дополнительные ресурсыAdditional resources