A Microsoft GDPR szerinti kötelezettségei az általánosan elérhető nagyvállalati szoftvertermékeket használó ügyfeleinkkel szemben
Bevezetés
Az Európai Unió általános adatvédelmi rendelete (General Data Protection Regulation, a továbbiakban „GDPR”) fontos normát határoz meg az adatvédelmi jogok, az információbiztonság és a megfelelőség szempontjából. A Microsoft az adatvédelmet alapvető jognak, a GDPR-t pedig fontos előrelépésnek tekinti az egyének adatvédelmi jogainak védelme és érvényesítése szempontjából.
A Microsoft elkötelezett amellett, hogy megfeleljen a GDPR-nek, valamint hogy termékek, funkciók, dokumentációk és források olyan kínálatát nyújtsa, amely támogatja ügyfeleinket is abban, hogy teljesíthessék a GDPR szerinti kötelezettségeiket. A következőkben a Microsoft ügyfeleivel szembeni, a nagyvállalati szoftverek által gyűjtött személyes adatokkal kapcsolatos szerződéses kötelezettségeinek leírása található. (A Microsoft Kereskedelmi Licencprogramjai keretében licencelt szoftvereket illetően közvetlenül a Microsoft Termékek és Szolgáltatások – Adatvédelmi Kiegészítés (a továbbiakban „DPA”) című dokumentumot nézze meg a http://aka.ms/dpa) webhelyen.
A Microsoft vállal kötelezettségeket az ügyfelei felé a GDPR vonatkozásában?
Igen. A GDPR előírja, hogy az adatkezelők (például azok a szervezetek és fejlesztők, akik a Microsoft nagyvállalati online szolgáltatásokat használják) csak olyan adatfeldolgozókat (például Microsoftot) vehetnek igénybe, amelyek a személyes adatokat az adatkezelő nevében kezelik, és garantálják a GDPR alapvető követelményeinek teljesítését. A Microsoft a Microsoft Kereskedelmi Licencprogramjaiban részt vevő minden ügyfelével szemben vállalja a DPA-beli jelen kötelezettségvállalásainak teljesítését. A Microsoft vagy a társvállalataink által licencelt, egyéb általánosan elérhető nagyvállalati szoftverek ügyfelei szintén élvezhetik a Microsoft GDPR kötelezettségvállalásainak előnyeit, a jelen értesítésben leírtak szerint, amennyiben a szoftver személyes adatokat kezel.
Hol találom a Microsoft GDPR-rel kapcsolatos szerződéses kötelezettségeit?
A Microsoft GDPR-rel kapcsolatban tett szerződéses kötelezettségvállalásai (a továbbiakban „GDPR-feltételek”) a DPA „Az Európai Unió Általános adatvédelmi rendeletének feltételei” című mellékletében találhatók. Ezekben a feltételekben a Microsoft vállalja a GDPR 28. cikkében és más vonatkozó cikkeiben az adatfeldolgozókat illetően megfogalmazott követelmények teljesítését.
A Microsoft kiterjeszti a GDPR-feltételeket az általunk vagy a társvállalataink által a Microsoft szoftverlicenc feltételei alapján licencelt, általánosan elérhető nagyvállalati szoftvertermékek ügyfeleire, 2018. május 25. napjától kezdődő hatállyal, tekintet nélkül a nagyvállalati szoftver alkalmazandó verziójára, amennyiben a Microsoft a személyes adatok adatfeldolgozója vagy további adatfeldolgozója az ilyen szoftverhez kapcsolódóan, és amíg a Microsoft kínálja vagy támogatja az adott verziót. A támogatás részletei megtalálhatók a Microsoft életciklus-szabályzatában: https://support.microsoft.com/lifecycle.
Az egyértelműség kedvéért: eltérő vagy kisebb mértékű kötelezettségvállalások vonatkozhatnak a béta- vagy kibocsátás előtti szoftverekre, a lényeges mértékben módosított szoftverekre, illetve a Microsoft vagy a társvállalataink által licencelt olyan szoftverekre, amelyek nem általánosan elérhetők, vagy amelyek licencelésére egyébként nem a Microsoft szoftverlicenc-feltételei vonatkoznak. Egyes termékek alapértelmezés szerint telemetriai és más adatokat gyűjthetnek és küldhetnek a Microsoftnak; a termékdokumentáció információkat és utasításokat ad arra vonatkozóan, hogy miként lehet kikapcsolni vagy beállítani az ilyen telemetriai adatok gyűjtést.
Milyen kötelezettségvállalások szerepelnek a GDPR-feltételek között?
A Microsoft GDPR-feltételei tartalmazzák az adatfeldolgozókkal szembeni, a GDPR 28. cikke szerinti kötelezettségeket. A 28. cikk előírja, hogy az adatfeldolgozók:
- kizárólag az adatkezelő hozzájárulásával alkalmazhatnak további adatfeldolgozókat, és kötelesek felelősséget vállalni a további adatfeldolgozókért;
- csak az adatkezelő utasításai alapján kezelhetnek személyes adatokat, ideértve az adattovábbítást is;
- kötelesek biztosítani, hogy azok a személyek, akik személyes adatokat kezelnek, titoktartási kötelezettség hatálya alatt állnak;
- kötelesek megfelelő technikai és szervezeti intézkedéseket végrehajtani a személyes adatok kockázatnak megfelelő biztonsági szintjének biztosítása érdekében;
- kötelesek támogatni az adatkezelőt az érintettek GDPR szerinti jogaik gyakorlásával kapcsolatos válaszadási kötelezettsége tekintetében;
- kötelesek teljesíteni a GDPR adatvédelmi incidensekre és segítségnyújtásra vonatkozó követelményeit;
- kötelesek támogatni az adatkezelőt az adatvédelmi hatásvizsgálatok és a felügyeleti hatóságokkal való konzultációk során;
- kötelesek a szolgáltatások nyújtásának befejezését követően a személyes adatokat törölni vagy visszaadni; és
- kötelesek támogatni az adatkezelőt a GDPR szerinti kötelezettségek teljesítésének igazolásával.