微软对市面有售的企业软件产品客户的 GDPR 承诺

简介

欧盟的一般数据保护条例 (GDPR) 为全球隐私权、信息安全和合规性设立了重要标准。 在微软，我们认为隐私是一项基本权利，而 GDPR 是保护和实现个人隐私权的重要一步。

微软致力于自身遵守 GDPR，并提供一系列产品、功能、文档和资源，以支持我们的客户根据 GDPR 履行他们的合规义务。 以下是 Microsoft 对客户做出的有关从企业软件收集个人数据的合同承诺的描述： (对于从 Microsoft 商业许可计划许可的软件，请直接参阅 Microsoft 产品和服务数据保护附录 (DPA) http://aka.ms/dpa) )

Microsoft 是否就 GDPR 向其客户做出承诺？

是的。 GDPR 要求控制者（例如使用微软企业在线服务的组织和开发人员）仅使用代表控制者处理个人数据的处理者（如微软），并提供足够的保证以满足 GDPR 的关键要求。 Microsoft 向 DPA 中 Microsoft Commerical Licensing 计划的所有客户提供这些承诺。 在软件处理个人数据的范围内，微软或我们的关联公司许可的其他市面有售的企业软件的客户也可受益于微软的 GDPR 承诺（如本通知所述）。

我在哪里可以找到 Microsoft 关于 GDPR 的合同承诺？

您可以在标记为“欧盟通用数据保护条例条款”的 DPA 附件中找到 Microsoft 关于 GDPR 的合同承诺（GDPR 条款）。 根据此类条款，Microsoft 需遵守 GDPR 第 28 条以及 GDPR 其他相关条款中的处理者要求。

自 2018 年 5 月 25 日起，无论企业软件的适用版本是多少，只要微软是与此类软件相关的个人数据的处理者或子处理者，并且只要微软继续提供或支持该版本，微软将 GDPR 条款扩展到我们或我们的关联公司根据微软软件许可条款许可的市面有售的企业软件产品的所有客户。 支持详细信息可在 https://support.microsoft.com/lifecycle 中的 Microsoft 生命周期政策中找到。

为清楚起见，对测试版或预览版软件、经过重大修改的软件，或微软或我们的关联公司许可的通常不向公众提供，或者未根据微软软件许可条款获得许可的任何软件做出的承诺可能有所不同或较少。 某些产品默认收集并将遥测或其他数据发送给微软；产品文档提供有关如何关闭或配置此类遥测收集的信息和说明。

GDPR 条款中有哪些承诺？

微软的 GDPR 条款反映了 GDPR 第 28 条中要求处理者做出的承诺。 第 28 条要求处理者承诺：

• 仅在控制者同意的情况下使用子处理者并对子处理者负责；
• 仅根据控制者的指令处理个人数据，包括与转移有关的数据处理；
• 确保处理个人数据的人员承诺保密；
• 实施适当的技术和组织措施，确保实现适合风险的个人数据安全水平；
• 协助控制者履行其回应数据主体请求行使其 GDPR 权利的义务；
• 符合 GDPR 的违规通知和协助要求；
• 协助控制者进行数据保护影响评估和监管机构咨询；
• 结束提供服务时删除或退回个人数据；及
• 通过提供遵守 GDPR 的证据支持控制者。