Microsofts GDPR-forpligtigelser over for kunder, der bruger vores generelt tilgængelige softwareprodukter til virksomheder

Introduktion

Den Europæiske Unions generelle forordning om databeskyttelse (GDPR) sætter en vigtig standard globalt for rettigheder ifm. beskyttelse af personlige oplysninger, informationssikkerhed og overholdelse. Hos Microsoft mener vi, at beskyttelse af personlige oplysninger er en fundamental rettighed, og at GDPR er et vigtigt fremadrettet skridt i forhold til at beskytte og gøre det muligt at opretholde beskyttelse af enkeltpersoners personlige oplysninger.

Microsoft er forpligtet til vores egen overholdelse af GDPR, såvel som til at levere en lang række produkter, funktioner, dokumentation og ressourcer for at støtte vores kunder i at overholde deres forpligtelser i forbindelse med GDPR. Følgende er en beskrivelse af Microsofts kontraktmæssige forpligtelser over for kunderne angående private oplysninger indsamlet via virksomhedssoftware. (I forbindelse med licenseret software fra Microsofts kommercielle licenseringsprogrammer henvises der direkte til Microsoft DPA (Products and Services Data Protection Addendum) på http://aka.ms/dpa)

Har Microsoft en forpligtelse over for deres kunder i forhold til GDPR?

Ja. GDPR kræver, at de dataansvarlige (såsom organisationer og udviklere der bruger Microsofts onlinetjenester til virksomheder) kun bruger databehandlere (såsom Microsoft), der behandler personlige data på vegne af den dataansvarlige og leverer tilstrækkelige garantier for at opfylde centrale krav i GDPR. Microsoft påtager sig disse forpligtelser over for alle kunderne med Microsofts kommercielle licenseringsprogrammer i DPA'en. Kunder, der anvender anden generelt tilgængelig virksomhedssoftware, der er licenseret af Microsoft eller vores associerede virksomheder, kan også drage fordel af Microsofts GDPR-forpligtigelser, som beskrevet i denne meddelelse, i det omfang at softwaren behandler personlige data.

Hvor kan jeg finde Microsofts kontraktmæssige forpligtelser med hensyn til GDPR?

Du kan finde Microsofts kontraktmæssige forpligtelser angående GDPR (GDPR-vilkår) i bilaget til DPA'en, der kaldes "Vilkår i EU's generelle forordning om databeskyttelse". Disse vilkår forpligter Microsoft i forhold til kravene for databehandlere i artikel 28 i GDPR og andre relevante artikler i GDPR.

Microsoft lader GDPR-vilkårene gælder for alle kunder, der bruger de almindeligt tilgængelige softwareprodukter til virksomheder, som er licenseret af os eller vores associerede virksomheder under Microsofts licensbetingelser for software gældende fra 25. maj 2018, uanset den gældende version af virksomhedssoftwaren, i det omfang at Microsoft er en databehandler eller sub-databehandler af persondata i forbindelse med sådan software, og så længe Microsoft fortsætter med at tilbyde eller understøtte den pågældende version. Oplysninger om support findes i Microsofts livscykluspolitik på https://support.microsoft.com/lifecycle.

Af hensyn til klarhed kan andre eller færre forpligtigelser gælde for beta- eller forhåndsvisningssoftware, som er blevet materielt modificeret, eller enhver anden software, der er licenseret af Microsoft eller vores associerede virksomheder, som ikke er generelt tilgængelig for offentligheden eller på anden måde licenseret under Microsofts licensbetingelser for software. Nogle produkter kan som standard indsamle og sende telemetri eller andre data til Microsoft. Produktdokumentationen indeholder oplysninger og instruktioner om, hvordan man konfigurerer eller slår indsamlingen af telemetri fra.

Hvilke forplugelser er der i GDPR-vilkårene?

Microsofts GDPR-vilkår afspejler de forpligtigelser, der kræves af databehandlere i paragraf 28 i GDPR. Paragraf 28 kræver, at databehandlere forpligter sig til:

  • kun at bruge sub-databehandlere med tilladelse fra den dataansvarlige og forsat være ansvarlige for sub-databehandlere
  • kun at behandle persondata i henhold til instruktioner fra den dataansvarlige i forbindelse med overførsler
  • at sikre, at den person, som behandler persondata, forpligter sig til fortrolighed
  • at implementere de relevante tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau for persondata i forhold til risikoen
  • at assistere den dataansvarlige med dennes forpligtigelse til at svare på anmodninger fra registrerede personer, som udøver deres GDPR-rettigheder
  • at opfylde GDPR-kravene til meddelelser i forbindelse med overtrædelser samt hjælp
  • at assistere den dataansvarlige med konsekvensvurderinger i forbindelse med databeskyttelse samt konsultation med de tilsynsførende myndigheder
  • at slette og returnere persondata ved ophør med levering af tjenesten samt
  • at støtte den dataansvarlige med bevis på overholdelse af GDPR.