המחויבויות של Microsoft כלפי לקוחות של מוצרים עסקיים הזמינים בדרך כלל לציבור, בכפוף לתקנות ה-GDPR
מבוא
התקנה הכללית להגנה על נתונים (GDPR) של האיחוד האירופי קובעת רף גלובלי חשוב בנושאי זכויות פרטיות, אבטחת מידע ועמידה בדרישות הרגולציה. ב-Microsoft, אנו מאמינים שהפרטיות היא זכות יסודית ושתקנות ה-GDPR הן צעד חשוב קדימה בכיוון של ההגנה והמימוש של זכויות הפרטיות של אנשים פרטיים.
Microsoft מחויבת בעצמה לעמידה בדרישות תקנות ה-GDPR, וכן לספק סדרה של מוצרים, תכונות, תיעוד ומשאבים על מנת לתמוך בלקוחותינו בעמידה במחויבות שלהם בדרישות של תקנות ה-GDPR. להלן תיאור של המחויבויות החוזיות של Microsoft כלפי לקוחותיה בהתייחס למידע אישי הנאסף מתוך תוכנות עסקיות. (לתוכנות הכפופות לרישיון במסגרת תוכנית הרישוי המסחרי של Microsoft, עיין ישירות בתוספת להגנה על נתונים (DPA) של המוצרים והשירותים של Microsoft בכתובת http://aka.ms/dpa)
האם יש ל-Microsoft מחויבויות כלפי לקוחותיה באשר לתקנות ה-GDPR?
כן. בכפוף לתקנות ה–GDPR, גורמים מבקרים (כגון ארגונים ומפתחים המשתמשים בשירותים המקוונים של Microsoft) נדרשים להשתמש רק במעבדים (כדוגמת Microsoft) המעבדים מידע אישי מטעם הגורם המבקר ולספק ערובות מספיקות על מנת לעמוד בדרישות היסודיות של תקנות ה-GDPR. Microsoft מספקת התחייבויות אלה לכל הלקוחות של תוכניות הרישוי המסחרי של Microsoft ב- DPA. לקוחות של תוכנות עסקיות אחרות הזמינות בדרך כלל לציבור, הכפופות לרישיון מטעם Microsoft או מטעם חברות המסונפות לה, נהנים גם הם מיתרונות המחויבויות של Microsoft לתקנות ה-GDPR, כפי שהדבר מתואר בהודעה זו, בנוגע לעיבוד מידע אישי על ידי התוכנה.
היכן ניתן למצוא את המחויבויות החוזיות של Microsoft באשר לתקנות ה-GDPR?
ניתן למצוא את ההתחייבויות החוזיות של Microsoft ביחס ל- GDPR (תנאי GDPR) בקובץ המצורף ל- DPA בעל התווית 'תנאי התקנה הכללית של האיחוד האירופי להגנה על נתונים'. תנאים אלה משקפים את המחויבות של Microsoft לעמידה בדרישות המעבדים על פי סעיף 28 ל- GDPR וסעיפים רלוונטיים אחרים של תקנת ה- GDPR.
Microsoft מרחיבה את תנאי ה-GDPR לכל הלקוחות של מוצרי תוכנה עסקיים הזמינים בדרך כלל לציבור, הכפופים לרישיון מטעמנו או מטעם החברות המסונפות לנו בהתאם לתנאי הסכם הרישיון של Microsoft, בתוקף החל מ-25 במאי 2018, ללא קשר לגרסה הספציפית של התוכנה העסקית, כל עוד Microsoft משמשת כמעבדת או כמעבדת משנה של מידע אישי בנוגע לתוכנה כזאת, וכל עוד Microsoft ממשיכה להציע את הגרסה או לתמוך בה. ניתן למצוא פרטים בנוגע לתמיכה במדיניות מחזור החיים של Microsoft (Microsoft Lifecyle Policy) בכתובת https://support.microsoft.com/lifecycle.
מובהר כי ייתכן שיחולו מחויבויות פחותות או שונות על תוכנות ביתא או על תוכנות להתנסות מוקדמת, תוכנות שעברו שינויים מהותיים, או על כל תוכנה ברישיון מטעם Microsoft או מטעם החברות המסונפות לה שאינה זמינה בדרך כלל לציבור או שאינה כפופה באופן אחר לתנאי רישיון התוכנה של Microsoft. ייתכן כי מוצרים מסוימים יאספו וישלחו ל-Microsoft נתוני מדידת שימוש או נתונים אחרים כברירת מחדל. בתיעוד המוצרים מפורטים מידע והוראות להפסקה או לשינוי התצורה של איסוף נתוני מדידת שימוש כאלה.
אילו מחויבויות מופיעות בתנאי ה-GDPR?
תנאי ה-GDPR של Microsoft משקפים את המחויבויות הנדרשות ממעבדים על פי סעיף 28 ל-GDPR. בסעיף 28 נדרשים המעבדים להתחייב:
- לעשות שימוש במעבדי משנה רק בהסכמת הגורם המבקר ולהישאר מחויבים לגבי מעבדי המשנה;
- לעבד מידע אישי רק על פי הנחיות הגורם המבקר, כולל בהתייחס להעברות;
- להבטיח כי האנשים העוסקים בעיבוד מידע אישי מחויבים לשמירת סודיות;
- לנקוט באמצעים טכניים וארגוניים הולמים על מנת להבטיח רמת אבטחת מידע אישי ההולמת לסיכון;
- לסייע לגורם המבקר במחויבויותיו להשיב לבקשות מצד נשואי מידע למימוש הזכויות המגיעות להם על פי תקנות ה-GDPR;
- לעמוד בדרישות ה-GDPR בנוגע להתראות על הפרות וסיוע;
- לסייע לגורם המבקר בביצוע הערכת השפעה של הגנה על נתונים ובהתייעצויות עם רשויות הפיקוח;
- למחוק או להחזיר מידע אישי בסוף תקופת מתן השירותים; וכן
- לסייע לגורם המבקר בהוכחת העמידה בתנאי ה-GDPR.