Komitmen GDPR Microsoft kepada Pelanggan Produk Perangkat Lunak Perusahaan yang Tersedia secara Umum

Pendahuluan

Peraturan Perlindungan Data Umum (General Data Protection Regulation/GDPR) Uni Eropa menetapkan standar penting secara global untuk hak privasi, keamanan informasi, dan kepatuhan. Di Microsoft, kami meyakini bahwa privasi merupakan hak yang mendasar dan bahwa GDPR merupakan langkah penting ke depan dalam melindungi dan memberikan hak privasi kepada individu.

Microsoft berkomitmen untuk mematuhi GDPR, serta menyediakan rangkaian produk, fitur, dokumentasi, dan sumber daya untuk mendukung pelanggan Anda dalam memenuhi kewajiban kepatuhan mereka berdasarkan GDPR. Berikut adalah keterangan komitmen kontraktual Microsoft kepada pelanggannya terkait data pribadi yang dikumpulkan dari perangkat lunak perusahaan. (Untuk perangkat lunak yang dilisensikan dari program Lisensi Komersial Microsoft, lihat langsung Adendum Perlindungan Data (DPA) Produk dan Layanan Microsoft di http://aka.ms/dpa))

Apakah Microsoft berkomitmen terhadap pelanggannya sehubungan dengan GDPR?

Ya. GDPR mewajibkan pengendali (seperti organisasi dan pengembang yang menggunakan layanan online perusahaan Microsoft) untuk hanya menggunakan pemroses (seperti Microsoft) yang memproses data pribadi atas nama pengendali dan memberikan jaminan yang memadai guna memenuhi persyaratan utama GDPR. Microsoft memberikan komitmen ini kepada semua pelanggan program Lisensi Komersial Microsoft di DPA. Pelanggan perangkat lunak perusahaan lain yang tersedia secara umum dan yang dilisensikan Microsoft atau afiliasi kami juga mendapatkan manfaat komitmen GDPR Microsoft, sebagaimana dijelaskan dalam pemberitahuan ini, selama perangkat lunak tersebut memproses data pribadi.

Di mana saya dapat menemukan komitmen kontraktual Microsoft sehubungan dengan GDPR?

Anda dapat menemukan komitmen kontraktual Microsoft terkait dengan GDPR (Ketentuan GDPR) di lampiran DPA dengan label "Ketentuan Peraturan Perlindungan Data Umum Uni Eropa." Persyaratan ini merupakan komitmen Microsoft untuk memenuhi persyaratan pemroses pada Pasal 28 GDPR dan pasal lainnya yang relevan dalam GDPR.

Microsoft menerapkan Ketentuan GDPR bagi semua pelanggan produk perangkat lunak perusahaan yang tersedia secara umum dan yang dilisensi oleh kami atau afiliasi kami sesuai dengan ketentuan lisensi perangkat lunak Microsoft, berlaku mulai 25 Mei 2018, tanpa memandang versi aplikasi perangkat lunak perusahaan, sejauh Microsoft bertindak sebagai pemroses atau subpemroses data pribadi sehubungan dengan perangkat lunak tersebut, dan selama Microsoft terus menawarkan atau mendukung versi tersebut. Perincian dukungan dapat ditemukan dalam Kebijakan Siklus Microsoft pada https://support.microsoft.com/lifecycle.

Demi kejelasan, komitmen yang berbeda atau lebih longgar mungkin diberlakukan terhadap perangkat lunak beta atau pratinjau, perangkat lunak yang telah modifikasi secara material, atau perangkat lunak yang dilisensikan oleh Microsoft atau afiliasi kami yang tidak disediakan secara umum atau yang tidak dilisensikan sesuai ketentuan dengan lisensi perangkat lunak Microsoft. Sejumlah produk dapat mengumpulkan dan mengirimkan telemetri atau data lain secara otomatis kepada Microsoft; dokumentasi produk memberikan informasi dan petunjuk cara mematikan atau mengonfigurasi pengumpulan telemetri tersebut.

Komitmen apa yang tercantum dalam Ketentuan GDPR?

Ketentuan GDPR Microsoft mencerminkan komitmen yang diperlukan pemroses pada Pasal 28 GDPR. Pasal 28 mewajibkan agar pemroses berkomitmen untuk:

  • hanya menggunakan subpemroses dengan persetujuan pengendali dan tetap bertanggung jawab atas subpemroses;
  • memproses data pribadi hanya sesuai petunjuk pengendali, termasuk sehubungan dengan transfer;
  • memastikan bahwa pihak pemroses data pribadi berkomitmen terhadap kerahasiaan;
  • menerapkan langkah teknis dan organisasi yang sesuai guna memastikan kesesuaian antara tingkat keamanan data pribadi dengan risikonya;
  • membantu pengendali menjalankan kewajibannya dalam menanggapi permintaan subjek data untuk melaksanakan hak GDPR mereka;
  • memenuhi persyaratan pemberitahuan dan bantuan terkait pelanggaran GDPR;
  • membantu pengendali dalam penilaian dampak perlindungan data dan konsultasi dengan otoritas pengawasan;
  • menghapus atau mengembalikan data pribadi saat penyediaan layanan berakhir; dan
  • membantu pengendali dengan memberikan bukti kepatuhan terhadap GDPR.