Microsofti kohustused Microsofti vabalt kättesaadavate tarkvaratoodete kasutajate ees isikuandmete kaitse üldmääruse kohaselt

Sissejuhatus

Euroopa Liidu isikuandmete kaitse üldmääruses (GDPR) on sätestatud olulised eraelu puutumatuse, infoturbe ja isikuandmete kaitse nõuded. Microsoft on veendunud, et eraelu puutumatus on põhiõigus ning isikuandmete kaitse üldmäärus on samm edasi inimeste eraelu puutumatuse kaitsmisel.

Microsoft on võtnud kohustuse järgida isikuandmete kaitse üldmäärust ning kavatseb pakkuda hulgaliselt tooteid, funktsioone, dokumente ja muid materjale, et aidata klientidel täita määruses sätestatud kohustusi. Alljärgnevalt kirjeldatakse Microsofti lepingulisi kohustusi klientide ees seoses meie suurettevõttetarkvara abil kogutavate isikuandmetega. (Microsofti ärilitsentsiprogrammide kaudu litsentsitud tarkvara korral leiate teavet Microsofti toodete ja teenuste andmekaitselisast (DPA) aadressil http://aka.ms/dpa))

Kas Microsoft võtab endale klientide ees kohustusi seoses isikuandmete kaitse üldmäärusega?

Jah. Isikuandmete kaitse üldmäärus sätestab, et vastutav töötleja (näiteks Microsofti võrguteenuseid kasutavad organisatsioonid ja tarkvaraarendajad) kasutab ainult selliseid volitatud töötlejaid (näiteks Microsoft), kes töötlevad isikuandmeid vastutava töötleja nimel ja annavad piisavad tagatised, et nad suudavad täita isikuandmete kaitse üldmääruse põhinõudeid. Kõigi Microsofti ärilitsentsiprogrammide klientide jaoks esitab Microsoft need kohustused DPA-s. Siin kirjeldatud Microsofti kohustused kooskõlas isikuandmete kaitse üldmäärusega kehtivad ka Microsofti või meie sidusettevõtjate tarkvaralitsentside omanikele, kui tarkvara kasutatakse isikuandmete töötlemiseks.

Kust leian isikuandmete kaitse üldmäärusega seotud Microsofti lepingulised kohustused?

Isikuandmete kaitse üldmäärusega seotud Microsofti lepingulised kohustused leiate DPA manusest nimega „Euroopa Liidu isikuandmete kaitse üldmääruse tingimused“. Need tingimused kohustavad Microsofti täitma isikuandmete kaitse üldmääruse (GDPR) artiklis 28 ja muudes asjakohastes artiklites sätestatud nõudeid volitatud töötlejatele.

Microsoft laiendab alates 25. maist 2018 isikuandmete kaitse üldmäärusega seotud tingimused kõikidele, kes kasutavad Microsofti või sidusettevõtete tarkvaratooteid litsentsi alusel, olenemata tarkvara versioonist, kui Microsoft on sellise tarkvaraga seoses isikuandmete volitatud töötleja või alamtöötleja ning kui Microsoft jätkab selle versiooni toetamist. Tugiteenuste kohta vt täpsemalt Microsoft Lifecyle Policy’st aadressil https://support.microsoft.com/lifecycle.

Selguse huvides täpsustame, et beetaversioonile või tarkvara eelvaatele, oluliselt muudetud tarkvarale või Microsofti või meie sidusettevõtjate tarkvarale, mis ei ole mõeldud avalikuks kasutamiseks või millel puudub Microsofti litsents, kehtivad erinevad või vähendatud kohustused. Mõni toode võib koguda ja saata Microsoftile vaikimisi telemeetria- ja muid andmeid; toote dokumentatsioonis on esitatud teave ja juhised, kuidas telemeetriaandmete kogumise funktsioon välja lülitada või seda konfigureerida.

Millised on isikuandmete kaitse üldmäärusega seotud kohustused?

Microsofti isikuandmete kaitse üldmäärusega seotud kohustused on määruse artiklis 28 kindlaks määratud volitatud töötlejate kohustused. Artikliga 28 nõutakse, et volitatud töötleja kohustused on järgmised:

  • volitatud töötleja ei kaasa teist volitatud töötlejat ilma vastutava töötleja eelneva loata ning on täielikult vastutav teise volitatud töötleja kohustuste täitmise eest;
  • volitatud töötleja töötleb isikuandmeid ainult vastutava töötleja juhiste alusel, sealhulgas seoses isikuandmete edastamisega;
  • volitatud töötleja tagab, et isikuandmeid töötlevad isikud järgivad konfidentsiaalsusnõuet;
  • volitatud töötleja võtab asjakohased tehnilised ja korralduslikud meetmed, et tagada riskile vastav isikuandmete kaitse tase;
  • volitatud töötleja aitab vastutaval töötlejal täita kohustust vastata andmesubjektide taotlustele isikuandmete kaitse üldmääruses sätestatud andmesubjekti õiguste kasutamiseks;
  • volitatud töötleja täidab isikuandmete kaitse üldmääruse rikkumistest teatamise ja asjakohase abi andmise kohustust;
  • volitatud töötleja abistab vastutavat töötlejat andmekaitsealaste mõjuhinnangute koostamisel ja järelevalveasutusega konsulteerimisel;
  • pärast andmetöötlusteenuste osutamise lõppu kustutab või tagastab volitatud töötleja vastutavale töötlejale kõik isikuandmed; ning
  • volitatud töötleja teeb vastutavale töötlejale kättesaadavaks kogu teabe, mis on vajalik selles artiklis esitatud kohustuste täitmise tõendamiseks.