Microsofts GDPR-relaterade åtaganden inför kunder med våra allmänt tillgängliga programprodukter för företag

Inledning

EU:s allmänna dataskyddsförordning (GDPR) upprättar nya globala regler för rätten till integritet, informationssäkerhet och efterlevnad. Hos Microsoft anser vi att integritet är en grundläggande rättighet och att GDPR är ett viktigt steg framåt på vägen mot att värna om och främja enskilda personers rätt till integritet.

Microsoft arbetar för sin egen efterlevnad av GDPR, såväl som för att tillhandahålla ett urval av produkter, funktioner, dokumentation och resurser för att stödja våra kunders strävan att uppfylla deras efterlevnadsförpliktelser inom ramen för GDPR. Det följande är en beskrivning av Microsofts avtalsmässiga åtaganden inför sina kunder med avseende på personuppgifter som samlas in via företagsprogramvara:

Ger Microsoft sina kunder löften med avseende på GDPR?

Ja. GDPR kräver att personuppgiftsansvariga (t.ex. organisationer och utvecklare som använder Microsofts online-tjänster för företag) endast använder personuppgiftsbiträden (t.ex. Microsoft) som behandlar personuppgifter för den personuppgiftsansvariges räkning och tillhandahåller tillräckliga garantier om att uppfylla nyckelkraven i GDPR. Microsoft har vidtagit proaktiva åtgärder för att göra dessa åtaganden inför alla kunder med online-tjänster för företag som en del av deras abonnemangsavtal och inför volymlicenskunder som en del av deras företagsavtal. Kunder med annan allmänt tillgänglig företagsprogramvara som licensieras av Microsoft och våra närstående företag kan också dra fördel av förmånerna med Microsofts GDPR-åtaganden som beskrivs i detta meddelande, i den utsträckning programvaran behandlar personuppgifter.

Var kan jag hitta Microsofts avtalsmässiga åtaganden med avseende på GDPR?

Microsofts avtalade åtaganden avseende GDPR finns i Dataskyddstillägget för Onlinetjänster, som innehåller Microsofts åtaganden avseende integritet och säkerhet, databehandlingsvillkor och GDPR-villkor för Microsoft-värdbaserade tjänster som kunder prenumererar på enligt ett volymlicensieringsavtal. Dessa villor förbinder Microsoft till kraven på personuppgiftsbiträden i GDPR Artikel 28 och andra relevanta artiklar i GDPR.

Microsoft framför GDPR-villkoren till alla kunder med allmänt tillgängliga programprodukter för företag som licensieras av oss eller våra närstående företag enligt Microsofts programlicensvillkor, från och med den 25 maj 2018, oavsett tillämplig version av företagsprogramvaran, i den utsträckning Microsoft är ett personuppgiftsbiträde eller ett underordnat personuppgiftsbiträde i samband med sådan programvara och så länge Microsoft fortsätter att erbjuda eller ge support för versionen. Supportinformation finns tillgänglig i Microsofts livscykelpolicy på https://support.microsoft.com/en-us/lifecycle.

För tydlighets skull är det viktigt att påpeka att andra eller mindre omfattande åtaganden kan gälla för beta- eller förhandsversioner av programvara med väsentliga ändringar eller för programvara som har licensierats av Microsoft eller våra närstående företag och som inte har gjorts allmänt tillgänglig för allmänheten eller på annat sätt inte har licensierats enligt Microsofts programlicensvillkor. Vissa produkter kan som standard samla in telemetri eller andra uppgifter till Microsoft. Produktdokumentationen innehåller information och anvisningar om hur sådan insamling kan stängas av eller konfigureras.

Vilka åtaganden ingår i GDPR-villkoren?

Microsofts GDPR-villkor framställer de åtaganden som krävs av personuppgiftsbiträden enligt artikel 28 i GDPR. Artikel 28 kräver att personuppgiftsbiträden åtar sig att:

  • endast anlita underordnade personuppgiftsbiträden med den personuppgiftsansvariges samtycke och förbli ansvarig för underordnade personuppgiftsbiträden,
  • endast behandla personuppgifter enligt den personuppgiftsansvariges anvisningar, inklusive med avseende på överföringar,
  • säkerställa att personer som behandlar personuppgifter åtar sig att upprätthålla sekretessen,
  • implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå för personuppgifter som är lämplig i förhållande till risken,
  • hjälpa den personuppgiftsansvarige med dennes förpliktelser att besvara registrerades förfrågningar om att utöva sina GDPR-rättigheter,
  • uppfylla GDPR-kraven avseende anmälan av överträdelser och hjälp,
  • bistå den personuppgiftsansvarige med konsekvensbedömningar avseende dataskydd och konsultationer med tillsynsmyndigheter,
  • radera och återlämna personuppgifter när leveransen av tjänster har avslutats, samt
  • stödja den personuppgiftsansvarige med bevis på efterlevnad av GDPR.