Microsoft 對我們一般可取得之企業軟體產品客戶的 GDPR 承諾

簡介

歐盟一般資料保護法規 (GDPR) 為全球隱私權、資訊安全及合規性設立重要標準。 在 Microsoft，我們相信隱私權是一項基本權利，而 GDPR 是保護並實現個人隱私權的重要措施。

Microsoft 致力於遵守 GDPR，同時提供一系列產品、功能、文件和資源，支援我們的客戶履行 GDPR 規定之義務。 以下說明 Microsoft 針對企業軟體蒐集的個人資料，對其客戶做出的合約承諾。 (如為 Microsoft 商業授權方案授權的軟體，請直接參閱 Microsoft 產品和服務資料保護增補條款 (DPA)，網址為：http://aka.ms/dpa)

Microsoft 是否為 GDPR 相關事宜對其客戶作出承諾？

是的。 GDPR 要求控制者 (例如使用 Microsoft 企業線上服務的組織和開發人員) 僅使用代表控制者處理個人資料並提供充分保證符合 GDPR 重點要求的處理者 (例如 Microsoft)。 Microsoft 會為 DPA 中的所有 Microsoft 商業授權方案客戶提供這些承諾。 經 Microsoft 或我們的關係企業授權的其他一般可取得之企業軟體客戶，在該軟體處理個人資料的範圍內，也享有本注意事項所述的 Microsoft GDPR 承諾權益。

哪裡可以找到 Microsoft 對於 GDPR 所做的合約承諾？

貴用戶可以在標示為「歐盟一般資料保護法規條款」的 DPA 附件中，找到 Microsoft 對 GDPR 的合約承諾 (GDPR 條款)。 這些條款承諾 Microsoft 遵循 GDPR 第 28 條以及 GDPR 其他相關條款對處理者的規定。

無論企業軟體的適用版本，惟 Microsoft 持續供應或支援該版本，且 Microsoft 透過此軟體做為個人資料的處理者或輔助處理者，Microsoft 將 GDPR 條款延伸至所有經我們或我們關係企業授權、適用 Microsoft 軟體授權條款的一般可取得之企業軟體產品客戶，並於 2018 年 5 月 25 日生效。 可於 https://support.microsoft.com/lifecycle 的 Microsoft 生命週期原則中找到支援詳細資訊。

為清楚起見，Beta 或預覽軟體、實質上經過修改的軟體、任何未正式發行給大眾的 Microsoft 或關係企業授權軟體，或其他未經 Microsoft 軟體授權條款授權的軟體，可能套用不同或較低層級的承諾。 某些產品可能預設蒐集遙測及其他資料並將之傳給 Microsoft。產品文件提供如何關閉或設定此類遙測蒐集的相關資訊和指示。

GDPR 條款中有哪些承諾？

Microsoft GDPR 條款反映 GDPR 第 28 條規定處理者應履行的承諾。 第 28 條規定處理者承諾：

• 僅在控制者同意的情況下使用輔助處理者，並為輔助處理者負責；
• 僅在控制者的指示下處理個人資料，包括涉及資料傳輸之情形；
• 確保處理個人資料的人員承諾保密；
• 實行適當的技術與組織措施，確保個人資料安全層級對該風險是恰當的；
• 協助控制者履行義務，回應資料主體行使 GDPR 權利的要求；
• 符合 GDPR 的違反通知及協助規範；
• 協助控制者執行資料保護影響評估及諮詢監理機關；
• 於提供服務結束時移除或傳回個人資料；且
• 支援控制者時具備符合 GDPR 之證明。