西班牙皇家法令 1720/2007、西班牙組織法 15/1999 (LOPD)

西班牙皇家法令 1720/2007、西班牙組織法 15/1999 概觀

AEPD 是公開授權單位,其根據西班牙組織法 15/1999 監督個人資料保護的合規性 (Ley Orgánica 15/1999 de Protección de Datos或 LOPD),包括跨境資料傳輸。 在 2014 年,AEPD 審查了 Microsoft 的條款及條件適用於 EU 示範條款涵蓋的 Microsoft Azure、Dynamics 365、Office 365,並發行發佈一項決議,確定這些條款可為客戶移轉到這些服務的個人資料轉移提供充分保障。

皇家法令 1720/2007 第 VIII 條針對處理個人資料制定了嚴格的需求,其中包括必須實作的基本、中層級和高層級安全性措施的具體清單。 Microsoft 在西班牙保留了一家獨立的第三方稽核公司 BDO Auditores,以評估 Microsoft Azure 和 Office 365 是否符合皇家法令 1720/2007 中制定的高層級需求,以及 Microsoft Dynamics 365 是否符合中層級需求。 根據面談、參訪設施,以及對環境和實體安全性措施與控制的審查,稽核員判定 Microsoft Azure 和 Office 365 的資訊系統、設施和資料處理符合高標準,無需進行任何修正。

Microsoft 和西班牙皇家法令 1720/2007、西班牙組織法 15/1999

Microsoft 是第一個為客戶利益而獲得西班牙資料保護機構 (Agencia Española de Protección de Datos 或 AEPD) 授權的超大規模雲端服務提供者,因為它符合根據西班牙組織法 15/1999 (Ley Orgánica 15/1999 de Protección de Datos 或 LOPD) 的控管國際資料傳輸的高標準。 Microsoft 也是第一家獲得第三方稽核認證的超大規模雲端服務提供者,其線上服務符合皇家法令 1720/2007 第 VIII 條規定的安全性措施。 此授權會讓客戶傳輸到 Microsoft Azure、Dynamics 365 和 Office 365 服務的個人資料受歐盟示範條款規範。

Microsoft 範圍內雲端平台與服務

Office 365 和 LOPD

Office 365 雲端環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 雲端環境:

  • Office 365:全球都可使用的商業公用 Office 365 雲端服務。
  • Office 365 政府社群雲端 (GCC)Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
  • Office 365 政府社群雲端 - High (GCC High)Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
  • Office 365 DoD (DoD)Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性:

適用性 範圍內服務
Office 365 Azure Active Directory、Azure 資訊保護、Bookings、合規性管理員、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、適用於 Office 365 的 Defender、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 進階合規性附加元件、Office 365 雲端 App 安全性、Office 365 群組、Office 365 安全性與合規性中心、Office 365 影片、Office Online、Office 專業增強版、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、StaffHub、Stream、Sway、Yammer Enterprise

稽核、報告和憑證

Microsoft Azure

Microsoft Office 365

Microsoft Dynamics 365

常見問題集

滿足高標準如何使 Microsoft 客戶受益?

高標準適用於處理敏感性資料,例如健康資訊。 使用 Microsoft Azure 和 Office 365 客戶可以放心地根據皇家法令 1720/2007 處理其敏感性資料。

我是否可以在組織的憑證程序中使用 Microsoft 合規性?

是。 如果貴組織要求或尋求根據 LOPD 或皇家法令 1720/2007 的資格鑑定,您可以在合規性評定中使用 AEPD 的授權和安全性測量認證。 不過,您有責任雇用評估者來評估您部署在 Microsoft Azure、Dynamics 365 或 Office 365 的實作項目,以及組織中的控制和程序。

資源