探索 GDPR
歐洲議會於 2016 年 4 月發佈歐盟 (EU) 一般資料保護規定 (也稱為 GDPR)。 此法規的設計旨在統一整個歐洲的資料隱私權法。 其同時適用於處理居住在歐盟人員個人資料的資料控制者 (主要是消費者服務) 和資料處理者 (企業服務)。
對於 Microsoft 線上服務,我們就是資料處理者:
- Microsoft 向資料控制者提供其資料主體的隱私權聲明。
- Microsoft 會設計對現有服務功能和新功能的變更,以配合資料主體權利。
- Microsoft 會在數據外泄可能「造成個人權力或自由的風險」時,提供通知。我們承諾在宣告數據外洩的 72 小時內通知適當的合作物件。
為了配合 GDPR 規定,以實施適當且有效的技術和組織措施,Microsoft 會配合 ISO 27001 和 ISO 27018 控制需求,並且正在我們的服務中與 ISO 27701 保持一致。
資料主體要求 (DSR)
GDPR 會授予使用者 (或資料主體) 關於處理其個人資料的特定權限,包括修正錯誤資料、清除資料或限制其處理、接收其資料及滿足將其資料傳送至另一個控制者的要求等權限。 控制者會負責提供即時且 GDPR 合規性的回覆。 Microsoft (資料處理者) 會協助其客戶 (控制者),提供可協助及啟用其合規性和 DSR 回應的功能。
Microsoft 為客戶提供系統管理工具,協助尋找個人資料並採取行動以回應 DSR:
- 探索:使用搜尋和探索工具,尋找可能成為 DSR 主體的客戶資料。
- 存取:擷取在 Microsoft 服務中常駐的個人資料,並在要求時製作可供資料主體使用的副本。
- 修正:在適用情況下,對個人資料進行變更或實行其他要求的動作。
- 限制:藉由移除各種 Microsoft 服務的授權,或盡可能關閉所需的服務,來限制個人資料的處理。 客戶也可以從 Microsoft 雲端移除數據,並將數據保留在內部部署或另一個位置。
- 刪除:永久移除 Microsoft 服務中常駐的個人資料。
- 匯出/接收 (可攜性):將個人資料或個人資訊以電子複本 (以電腦可讀取的格式) 提供給資料主體。
資料保護影響評估
GDPR 要求控制者針對「可能會對自然人的權利和自由造成高風險」的作業,準備數據保護影響評估 (DPIA) 。Microsoft 產品和服務中沒有任何需要建立 DPIA 的固有專案。 不過,由於 Microsoft 產品和服務的高度可自訂性,根據客戶情況設定的詳細資料可能因此會需要 DPIA。 Microsoft 無法控制,並對這些資訊沒有任何了解。 資料控制者必須決定資料的正確使用。 不過,Microsoft 會認可執行 DPIA 所需的大量工作,因此提供了一些資源,可協助客戶在 GDPR 的 DPIA 中履行義務 (如果需要這樣做)。