Microsoftovo zavzemanje za varstvo osebnih podatkov strank, ki uporabljajo Microsoftove splošno razpoložljive programske izdelke za poslovna okolja, vključuje skladnost z določbami GDPR

Uvod

Evropska unija je s Splošno uredbo o varstvu podatkov (General Data Protection Regulation, GDPR) postavila pomembne globalne zahteve v zvezi s pravicami do zasebnosti, informacijsko varnostjo in skladnostjo z zakonodajo. Pri Microsoftu menimo, da je zasebnost temeljna pravica in da je Splošna uredba o varstvu podatkov (GDPR) pomemben korak k zaščiti in zagotavljanju pravic do zasebnosti za vsakega posameznika.

Microsoft se zavzema za izvajanje svojih obveznosti v skladu s Splošno uredbo o varstvu podatkov (GDPR), in hkrati dela na izdelavi serije izdelkov, funkcij, dokumentacije in virov, ki lahko Microsoftovim strankam zagotavljajo podporo pri izpolnjevanju obveznosti, ki jih strankam nalaga GDPR. V nadaljevanju so opisane Microsoftove pogodbene obveznosti do strank v zvezi z zbiranjem osebnih podatkov, ki jih zbere programska oprema za poslovna okolja. (Za programsko opremo, licencirano v okviru Microsoftovih programov za komercialno licenciranje, si neposredno oglejte dodatek o varstvu podatkov za Microsoftove izdelke in storitve (DPA) na strani http://aka.ms/dpa)

Ali je Microsoft prevzel obveznosti do strank, ki jih določa Splošna uredba o varstvu podatkov (GDPR)?

Da. GDPR zahteva, da nadzorniki (kot so organizacije ali razvijalci, ki uporabljajo Microsoftove spletne storitve za poslovno okolje), uporabljajo samo obdelovalce podatkov (kot je Microsoft), ki obdelujejo osebne podatke v imenu nadzornika in zagotavljajo zadostno jamstvo, da izpolnjujejo ključne zahteve Splošne uredbe o varstvu podatkov (GDPR). Microsoftove zaveze glede tega veljajo za vse stranke Microsoftovih programov za komercialno licenciranje v dodatku o varstvu podatkov. Izpolnitev obveznosti, ki jih je prevzel Microsoft po Splošni uredbi o varstvu podatkov, omogoča, da tudi stranke, ki imajo licence za splošno razpoložljivo programsko opremo za poslovna okolja, ki so jih pridobile od Microsofta ali njegovih lastniško povezanih podjetij, uživajo ugodnosti v obsegu uporabe programske opreme pri obdelavi osebnih podatkov.

Kje si lahko ogledam Microsoftove pogodbene obveznosti, ki jih je prevzel na podlagi GDPR?

Microsoftove pogodbene obveznosti, ki jih je prevzel na podlagi zahtev Splošne uredbe o varstvu podatkov (Določbe Splošne uredbe o varstvu podatkov) so v prilogi dodatka o varstvu podatkov z naslovom »Pogoji Splošne uredbe Evropske unije o varstvu podatkov«. Ti pogoji Microsoft zavezujejo k zahtevam za obdelovalce v 28. členu GDPR in drugih relevantnih členih GDPR.

Microsoft je razširil področje veljavnosti Določb GDPR na vse stranke, ki imajo licenco za splošno razpoložljive programske izdelke za poslovna okolja, izdano pri Microsoftu ali pri Microsoftovih lastniško povezanih podjetjih, pod licenčnimi pogoji za Microsoftovo programsko opremo, ki so stopili v veljavo s 25. majem 2018, ne glede na različico uporabljene programske opreme za poslovna okolja, kar velja do obsega udeležbe Microsofta v vlogi obdelovalca ali podobdelovalca osebnih podatkov, ki so povezani s to programsko opremo, in traja, dokler Microsoft ponuja to različico na trgu ali dokler za to različico zagotavlja tehnično podporo. Podrobnosti o zagotavljanju podpore so na voljo v Microsoftovem pravilniku o življenjski dobi izdelkov na strani https://support.microsoft.com/lifecycle.

Pripomniti je treba, da za nekatere izdelke morda veljajo različne ali manj zahtevne obveznosti; to so na primer beta različica ali predogled programske opreme, programska oprema, ki je bila pomembno spremenjena, ali vsaka programska oprema, za katero je licenco izdal Microsoft ali njegovo lastniško povezano podjetje, vendar ta ni bila splošno razpoložljiva javnosti ali iz drugih razlogov, ni bila licencirana na podlagi licenčnih pogojev za Microsoftovo programsko opremo. Nekateri izdelki so morda prednastavljeni tako, da zbirajo podatke in jih pošiljajo Microsoftu kot telemetrične ali druge podatke; dokumentacija, priložena k izdelku, zagotavlja informacije in navodila za izklop ali za konfiguracijo tega telemetričnega zbiranja.

Katere obveznosti so navedene v določbah GDPR?

Microsoftove določbe Splošne uredbe o varstvu podatkov kažejo obveznosti obdelovalcev podatkov, ki jih zahteva 28. člen Splošne uredbe o varstvu podatkov. Zahteve 28. člena glede obveznosti, ki jih prevzema obdelovalec podatkov:

  • podobdelovalce lahko vključite samo, ko pridobite soglasje nadzornika in prevzamete odgovornost za podobdelovalce;
  • osebne podatke lahko obdelujete samo po navodilih nadzornika, kar velja tudi za prenose podatkov;
  • preverite in zagotovite, da so osebe, ki obdelujejo osebne podatke, prevzele obveznost varovanja tajnosti;
  • izvajajte ustrezne tehnične in organizacijske ukrepe, da zagotovite raven varnosti osebnih podatkov, ki ustreza ravni tveganosti;
  • pomagajte nadzorniku pri njegovi dolžnosti, da odgovori osebam, na katere se podatki nanašajo, ko vložijo zahtevek za uveljavljanje pravic po določbah GDPR;
  • izpolnite zahteve GDPR glede obveščanja in pomoči ob kršitvah;
  • zagotovite pomoč nadzorniku pri presoji vpliva zaščite podatkov in pri posvetovanju z nadzornimi organi;
  • po končanem izvajanju storitev izbrišite ali vrnite osebne podatke stranki; in
  • zagotovite podporo nadzorniku pri dokazilu skladnosti s Splošno uredbo o varstvu podatkov.