Obveze Microsofta prema korisnicima općenito dostupnih poslovnih softverskih proizvoda u skladu s GDPR-om
Uvod
Opća uredba Europske unije o zaštiti podataka (GDPR) postavlja važna globalna pravila u vezi s pravima na privatnost, sigurnosti informacija i usklađenosti. Mi u Microsoftu vjerujemo kako je privatnost osnovno pravo i da je GDPR važan korak ka zaštiti i omogućavanju prava na privatnost pojedinaca.
Microsoft je posvećen vlastitoj usklađenosti s GDPR-om, kao i pružanju niza proizvoda, funkcija, dokumentacije i resursa kojima pomaže svojim korisnicima ispuniti svoje obveze u pogledu usklađenosti s GDPR-om. U nastavku se nalazi opis Microsoftovih ugovornih obveza prema našim korisnicima vezano uz osobne podatke prikupljene putem poslovnog softvera. (Za softver licenciran putem Microsoftovih programa za komercijalno licenciranje pogledajte izravno Dodatak o zaštiti osobnih podataka za Microsoftove proizvode i usluge (DPA) na web-mjestu http://aka.ms/dpa)
Obvezuje li se Microsoft prema svojim korisnicima na poštivanje zahtjeva iz GDPR-a?
Da. GDPR zahtijeva da kontrolori (kao što su organizacije i programeri koji koriste poslovne online usluge Microsofta) upotrebljavaju samo izvršitelje obrada (kao što je Microsoft) koji obrađuju osobne podatke u ime kontrolora i garantiraju ispunjavanje ključnih zahtjeva GDPR-a. Microsoft se na to obvezuje prema svim korisnicima Microsoftovih programa za komercijalno licenciranje u DPA-u. Korisnici drugih općenito dostupnih poslovnih softvera pod licencom Microsofta ili naših povezanih tvrtki također uživaju u prednostima Microsoftove posvećenosti GDPR-u, kao što je opisano u ovoj obavijesti, u mjeri u kojoj softver obrađuje osobne podatke.
Gdje mogu pronaći Microsoftove ugovorne obveze kada je u pitanju GDPR?
Microsoftove ugovorne obveze u vezi s GDPR-om (u nastavku „Odredbe GDPR-a”) možete pronaći u privitku DPA-a pod nazivom „Odredbe Opće uredbe Europske unije o zaštiti podataka”. Te odredbe obvezuju Microsoft na ispunjavanje zahtjeva obrađivača iz Članka 28. GDPR-a i drugih relevantnih članaka GDPR-a.
Uvjetima GDPR-a Microsoft obuhvaća sve korisnike općenito dostupnih poslovnih softvera koje licenciramo mi ili naša povezana društva prema uvjetima licenciranja softvera tvrtke Microsoft, a koji su stupili na snagu 25. svibnja 2018. godine, bez obzira na primjenjivu verziju poslovnog softvera, u mjeri u kojoj je Microsoft izvršitelj obrade ili podizvršitelj obrade osobnih podataka u vezi takvog softvera, i sve dok Microsoft nastavlja nuditi ili podržavati tu verziju. Podatke o podršci možete pronaći u Microsoftovim pravilima o životnom ciklusu proizvoda na https://support.microsoft.com/lifecycle.
Radi jasnoće, različite ili manje značajne obveze mogu se primjenjivati na beta verziju ili verziju pregleda softvera, softver koji je materijalno izmijenjen ili bilo koji softver koji licencira Microsoft ili naša povezana društva, a koji nije općenito dostupan za javnost ili nije licenciran prema uvjetima licenciranja softvera tvrtke Microsoft. Prema zadanim postavkama, neki proizvodi mogu prikupljati i slati telemetrijske ili druge podatke tvrtki Microsoft; dokumentacija o proizvodu sadrži informacije i upute o tome kako možete isključiti ili konfigurirati prikupljanje telemetrijskih podataka.
Koje obveze su sadržane u Uvjetima GDPR-a?
Uvjeti GDPR-a tvrtke Microsoft sadržani u 28. članku GDPR-a prikazuju obveze za koje se očekuje da ih izvršitelji obrade moraju poštivati. Članak 28 zahtijeva od izvršitelja obrade da:
- podizvršitelje upotrebljavaju samo uz pristanak kontrolora i ostaju odgovorni za podizvršitelje;
- obrađuju osobne podatke samo prema uputama kontrolora, uključujući prijenose podataka;
- provjeravaju osobe koje obrađuju osobne podatke u tome brinu li o očuvanju povjerljivosti;
- implementiraju odgovarajuće tehničke i organizacijske mjere kojima će osigurati razinu sigurnosti osobnih podataka koji odgovaraju riziku;
- pomažu kontroloru prilikom ispunjavanja obveza odgovaranja na zahtjeve subjekata podataka o ostvarivanju njihovih prava koja proizlaze iz GDPR-a;
- ispunjavanju zahtjeva GDPR-a vezano za obavijest o kršenju podataka i pomoći;
- pomažu kontroloru podataka u vezi procjene utjecaja na zaštitu podataka i konzultacije s nadzornim tijelima;
- brišu ili vraćanju osobne podatke na kraju razdoblja pružanja usluga i
- pružaju dokaze o usklađenosti s GDPR-om kontroloru.