Závazky společnosti Microsoft vůči zákazníkům v souvislosti s nařízením GDPR a běžně dostupnými softwarovými produkty společnosti pro firemní použití
Úvod
Obecné nařízení Evropské unie o ochraně osobních údajů (GDPR) nastavuje v celosvětovém měřítku důležitou laťku pro práva na ochranu soukromí, zabezpečení informací a dodržování předpisů. Ve společnosti Microsoft se domníváme, že ochrana soukromí je jedno ze základních práv a že nařízení GDPR představuje důležitý krok vpřed v oblasti ochrany a zajištění práv jednotlivců na ochranu soukromí.
Společnost Microsoft se ze své strany zavázala dodržovat nařízení GDPR a současně poskytovat škálu produktů, funkcí, dokumentace a prostředků, jejichž prostřednictvím pomáhá dodržovat povinnosti stanovené nařízením GDPR i svým zákazníkům. Níže popisujeme smluvní závazky společnosti Microsoft vůči jejím zákazníkům, pokud jde o osobní údaje shromážděné z firemního softwaru. (V případě softwaru licencovaného v rámci komerčních licenčních programů společnosti Microsoft se obraťte přímo na Dodatek o ochraně osobních údajů služeb a produktů (DPA) společnosti Microsoft na adrese http://aka.ms/dpa)
Činí společnost Microsoft vůči svým zákazníkům nějaké závazky, pokud jde o nařízení GDPR?
Ano. Nařízení GDPR vyžaduje, aby správci údajů (jako například organizace a vývojáři využívající online služby společnosti Microsoft pro firemní použití) využívali pouze takové zpracovatele (jako například společnost Microsoft), kteří provádějí zpracování osobních údajů jménem správce a poskytují dostatečnou záruku splnění klíčových požadavků nařízení GDPR. Společnost Microsoft poskytuje tyto závazky v dodatku DPA všem zákazníkům komerčních licenčních programů společnosti Microsoft. Z výhod, které plynou ze závazků společnosti Microsoft v souvislosti s nařízením GDPR a které jsou uvedeny v tomto oznámení, se za předpokladu, že v rámci takového softwaru dochází ke zpracování osobních údajů, těší i zákazníci využívající jiné běžně dostupné softwarové produkty pro firemní použití licencované společností Microsoft nebo subjekty k ní přidruženými.
Kde mohu najít smluvní závazky společnosti Microsoft týkající se nařízení GDPR?
Smluvní závazky společnosti Microsoft týkající se GDPR (podmínky GDPR) najdete v příloze k dodatku DPA označené jako „Podmínky obecné úpravy ochrany osobních údajů v Evropské unii“. Tyto podmínky zavazují společnost Microsoft plnit povinnosti, které zpracovatelům ukládá článek 28 a další relevantní články nařízení GDPR.
S účinností od 25. května 2018 společnost Microsoft rozšiřuje platnost podmínek nařízení GDPR na všechny zákazníky využívající běžně dostupné softwarové produkty pro firemní použití licencované naší společností nebo subjekty k ní přidruženými na základě podmínek licencovaného softwaru, a to bez ohledu na platnou verzi softwaru pro firemní použití, za předpokladu, že zpracovatelem nebo dílčím zpracovatelem osobních údajů v souvislosti s takovým softwarem je společnost Microsoft, a dokud bude společnost Microsoft takovou verzi nabízet, případně pro ni poskytovat podporu. Podrobnosti poskytované podpory naleznete v zásadách životního cyklu Microsoftu na adrese https://support.microsoft.com/lifecycle.
Pro srozumitelnost – na beta verze nebo zkušební verze softwaru, software, který byl výrazně pozměněn, a jakýkoliv software licencovaný společností Microsoft nebo k ní přidruženými subjekty, který není běžně dostupný veřejnosti, případně nebyl jinak licencován na základě podmínek softwarové licence společnosti Microsoft, se mohou vztahovat odlišné nebo mírnější závazky. Některé produkty mohou standardně shromažďovat telemetrické a jiné údaje a odesílat je společnosti Microsoft; informace a pokyny k vypnutí nebo nakonfigurování shromažďování takových telemetrických údajů jsou uvedeny v dokumentaci k produktu.
Jaké závazky obsahují podmínky nařízení GDPR?
Podmínky nařízení GDPR stanovené společností Microsoft odrážejí požadavky kladené na zpracovatele v článku 28 nařízení GDPR. Článek 28 vyžaduje, aby se zpracovatelé zavázali:
- používat dílčí zpracovatele pouze se souhlasem správce a převzít za ně odpovědnost;
- provádět zpracování osobních údajů pouze na základě pokynů správce, a to včetně případů souvisejících s převody údajů;
- zajistit, aby se osoby, které zpracování osobních údajů provádějí, zavázaly dodržovat zásady důvěrnosti;
- zavést příslušná technická a organizační opatření k zajištění bezpečnosti osobních údajů v míře odpovídající riziku;
- spolupracovat se správcem při plnění jeho povinnosti odpovídat na požadavky subjektů údajů uplatňujících svá práva v souvislosti s nařízením GDPR;
- plnit požadavky týkající se oznamování porušení nařízení GDPR a spolupráce v takových případech;
- spolupracovat se správcem při hodnocení dopadu na ochranu údajů a konzultacích s dohledovými orgány;
- odstranit případně vrátit osobní údaje po ukončení poskytování služeb a
- poskytnout správci podporu ve formě dokladu o dodržování nařízení GDPR.