Yleiseen tietoturva-asetukseen perustuvat Microsoftin velvoitteet yleisesti saatavilla olevien yritysohjelmistotuotteiden asiakkaita kohtaan
Johdanto
Euroopan unionin yleinen tietosuoja-asetus (GDPR) määrittää maailmanlaajuisesti tärkeän yksityisyydensuojan, tietoturvan ja ehtojen noudattamisen vertailukohdan. Microsoft katsoo tietosuojan kuuluvan perusoikeuksiin ja uskoo, että yleinen tietosuoja-asetus on tärkeä edistysaskel ihmisten tietosuojaoikeuksien suojelemisessa ja edistämisessä.
Microsoft on sitoutunut noudattamaan yleistä tietosuoja-asetusta sekä tarjoamaan tuotteita, ominaisuuksia, materiaaleja ja resursseja, jotka auttavat asiakkaita täyttämään omat yleiseen tietosuoja-asetukseen perustuvat velvoitteensa. Seuraavassa on kuvaus yritysohjelmistosta kerättyihin henkilötietoihin liittyvistä Microsoftin sopimusvelvoitteista asiakkaitaan kohtaan. (Jos ohjelmiston käyttöoikeus on hankittu Microsoftin kaupallisten käyttöoikeuksien ohjelmista, lisätietoja on Microsoftin tuotteiden ja palveluiden tietosuojatäydennyksessä osoitteessa http://aka.ms/dpa)
Onko Microsoftilla yleiseen tietosuoja-asetukseen perustuvia velvoitteita asiakkaitaan kohtaan?
Kyllä. Yleinen tietosuoja-asetus edellyttää, että rekisterinpitäjät (kuten organisaatiot ja kehittäjät, jotka käyttävät Microsoftin yritysverkkopalveluita) käyttävät ainoastaan sellaisia henkilötietojen käsittelijöitä (kuten Microsoft), jotka käsittelevät henkilötietoja rekisterinpitäjän puolesta ja antavat riittävät takuut yleisen tietosuoja-asetuksen keskeisten vaatimusten täyttämisestä. Microsoft sitoutuu tuotteiden ja palveluiden tietosuojatäydennyksen ehtoihin kaikissa Microsoftin kaupallisten käyttöoikeuksien ohjelmien asiakassuhteissaan. Microsoft täyttää edellä kuvatut yleistä tietosuoja-asetusta koskevat velvoitteensa myös muiden Microsoftin tai sen konserniyhtiöiden lisensoimien yleisesti saatavilla olevien yritysohjelmistojen asiakkaiden kohdalla siltä osin kuin ohjelmisto käsittelee henkilötietoja.
Mistä löydän yleistä tietosuoja-asetusta koskevat Microsoftin sopimusvelvoitteet?
Microsoftin tietosuoja-asetuksen mukaiset sopimusvelvoitteet (tietosuoja-asetuksen ehdot) ovat tietosuojatäydennyksen liitteessä, jonka otsikko on ”EU:n yleisen tietosuoja-asetuksen ehdot”. Kyseiset ehdot sitovat Microsoftin tietosuoja-asetuksen kohdan 28 vaatimuksiin ja muihin tietosuoja-asetuksen asiaankuuluviin kohtiin.
Yleiseen tietosuoja-asetukseen liittyvät Microsoftin ehdot koskevat 25. toukokuuta 2018 alkaen kaikkia asiakkaita, joilla on yleisesti saatavilla olevia yritysohjelmistotuotteita, jotka Microsoft tai sen konserniyhtiöt ovat lisensoineet Microsoftin ohjelmistojen käyttöoikeusehtojen mukaisesti. Ehtoja sovelletaan siltä osin kuin Microsoft toimii kyseiseen ohjelmistoon liittyvien henkilötietojen käsittelijänä tai alihankkijana toimivana käsittelijänä ja niin kauan kuin Microsoft tarjoaa tai tukee kyseistä versiota. Tukea koskevat tiedot löytyvät Microsoftin elinkaarikäytännöstä osoitteesta https://support.microsoft.com/lifecycle.
Erilaiset tai vähäisemmät velvoitteet saattavat koskea beeta- tai esiversio-ohjelmistoja, merkittävällä tavalla muokattuja ohjelmistoja tai mitä tahansa Microsoftin tai sen konserniyhtiöiden lisensoimia ohjelmistoja, jotka eivät ole yleisesti saatavilla tai joita ei muuten ole lisensoitu Microsoftin ohjelmistojen käyttöoikeusehtojen mukaisesti. Jotkin tuotteet saattavat kerätä ja lähettää Microsoftille telemetriatietoja ja muita tietoja oletusarvoisesti; tuotedokumentaatio sisältää tietoja ja ohjeita siitä, kuinka telemetriatietojen keruu poistetaan käytöstä tai määritetään.
Mitä velvoitteita yleiseen tietosuoja-asetukseen liittyviin ehtoihin sisältyy?
Microsoftin yleiseen tietosuoja-asetukseen liittyvät ehdot vastaavat velvoitteita, joita yleisen tietosuoja-asetuksen 28 artikla henkilötietojen käsittelijöiltä edellyttää. Artikla 28 edellyttää, että henkilötietojen käsittelijät sitoutuvat
- käyttämään alihankkijoina toimivia käsittelijöitä ainoastaan rekisterinpitäjän suostumuksella ja ovat vastuussa alihankkijoina toimivista käsittelijöistä
- käsittelemään henkilötietoja ainoastaan rekisterinpitäjän ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtoja
- varmistamaan, että henkilöt, jotka käsittelevät henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta
- toteuttamaan asianmukaiset tekniset ja organisatoriset toimenpiteet riskiä vastaavan henkilötietojen turvallisuustason varmistamiseksi
- avustamaan rekisterinpitäjää täyttämään rekisterinpitäjän velvollisuuden vastata rekisteröityjen henkilöiden pyyntöihin, jotka koskevat heidän oikeuksiensa käyttämistä
- täyttämään yleisen tietosuoja-asetuksen vaatimukset, jotka koskevat rikkomuksista ilmoittamista ja avunantoa
- avustamaan rekisterinpitäjää tietosuojaa koskevassa vaikutustenarvioinnissa ja valvontaviranomaisten kuulemisissa
- poistamaan tai palauttamaan henkilötiedot palveluiden tarjoamisen päätyttyä
- tukemaan rekisterinpitäjää yleisen tietoturva-asetuksen noudattamisen osoittamisessa.