Skuldbindingar Microsoft samkvæmt Almennu Persónuverndarreglugerðinni (GDPR) gagnvart viðskiptavinum almennra hugbúnaðarvara okkar fyrir viðskiptalífið
Inngangur
Almenna persónuverndarreglugerð Evrópusambandsins (GDPR) setur nýjar og mikilvægar hnattrænar viðmiðanir um rétt til friðhelgi einkalífs, upplýsingaöryggi og reglufylgni. Við hjá Microsoft höfum trúum því að friðhelgi einkalífs sé grundvallarréttur og að GDPR sé áríðandi skref áfram til að vernda og virkja persónuréttindi einstaklinga.
Microsoft hefur einsett sér að fylgja GDPR sem og að leggja fram fjölda vara, eiginleika, gagna og aðfanga sem aðstoða viðskiptavini okkar við að uppfylla reglufylgniskyldur sínar samkvæmt GDPR. Hér á eftir er lýsing Microsoft á samningsskuldbindingum sínum til viðskiptavina hvað varðar persónuupplýsingar sem safnað er úr hugbúnaði fyrirtækja. (Frekari upplýsingar um hugbúnaðarleyfi samkvæmt leyfisáætlunum Microsoft Commercial er að finna í viðauka þjónustuskilmála fyrir vörur og þjónustu Microsoft á http://aka.ms/dpa)
Skuldbindur Microsoft sig til að fara eftir ákvæðum GDPR gagnvart viðskiptavinum sínum?
Já. GDPR krefst þess að ábyrgðaraðilar (t.d. fyrirtæki og þróunaraðilar sem nota fyrirtækjaþjónustu Microsoft á netinu) noti aðeins gagnavinnslu (t.d. Microsoft) sem fari með persónuupplýsingar f.h. ábyrgðaraðila og veiti nægar tryggingar til að uppfylla lykilskröfur GDPR. Microsoft stendur við allar slíkar skuldbindingar gagnvart öllum viðskiptavinum leyfisáætlana Microsoft Commercial samkvæmt viðauka þjónustuskilmálanna. Viðskiptavinir annars fyrirtækjahugbúnaðar sem notar leyfi Microsoft eða hlutdeildarfyrirtækja okkar njóta einnig góðs af skuldbindingum Microsoft hvað varðar GDPR, eins og lýst er í þessari yfirlýsingu, að því marki sem hugbúnaðurinn vinnur úr persónugögnum.
Hvar get ég fundið samningsbundnar skuldbindingar Microsoft gagnvart GDPR?
Þú getur skoðað samningsbundnar skuldbindingar Microsoft hvað almennu persónuverndarreglugerðina varðar (skilmálar persónuverndarreglugerðarinnar) í viðauka þjónustuskilmálanna sem ber heitið „Skilmálar persónuverndarreglugerðar Evrópusambandsins“. Fyrrnefndir skilmálar skuldbinda Microsoft við gildandi kröfur úrvinnsluaðila skv. 28. grein persónuverndarreglugerðarinnar og öðrum viðeigandi greinum persónuverndarreglugerðarinnar.
Microsoft býður öllum viðskiptavinum almennra viðskiptaforrita sem notuð eru með leyfi frá okkur eða hlutdeildarfélögum okkar skv. leyfisskilmálum Microsoft, sömu skilmála þegar kemur að GDPR, gildandi frá 25. maí 2018 án tillits til útgáfu viðskiptaforritsins, að því marki sem Microsoft er vinnsluaðili eða undirvinnsluaðili persónulegra upplýsinga í tengslum við slíkan hugbúnað og eins lengi og Microsoft heldur áfram að styðja þá útgáfu. Ýtarlegri upplýsingar má finna í lífsferilsstefnu Microsoft á https://support.microsoft.com/lifecycle.
Til skýringar geta aðrar og veigaminni skuldbindingar átt við um prófunar- eða skoðunarútgáfu hugbúnaðar, hugbúnað sem hefur áþreifanlega verið breytt eða hverjum þeim hugbúnaði sem er með leyfi frá Microsoft eða hlutdeildarfyrirtækjum okkar sem ekki er almennt í boði eða samræmist ekki á annan hátt leyfisskilmálum Microsoft-hugbúnaðar. Sumar vörur geta safnað og sent Microsoft fjarmælingar eða aðrar sjálfstilltar upplýsingar; í vörubæklingum er að finna upplýsingar og leiðbeiningar um það hvernig stillingum er breytt eða slökkt er á söfnun slíkra fjarmælinga.
Hvaða skuldbindingar eru í GDPR-skilmálunum?
GDPR-skilmálar Microsoft endurspegla þær skuldbindingar sem krafist er af vinnsluaðilum í 28. grein GDPR. 28. grein skuldbindur vinnsluaðila til að:
- nota aðeins þá undirvinnsluaðila sem samþykktir eru af ábyrgðaraðila og bera ábyrgð á undirvinnsluaðilum;
- vinna úr persónugögnum einungis samkvæmt fyrirmælum ábyrgðaraðila, þ.m.t. með tilliti til flutnings;
- tryggja að einstaklingar sem vinni úr persónulegum gögnum séu bundnir trúnaði;
- gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að öryggi persónuupplýsinga sé í réttu hlutfalli við áhættu;
- hjálpa ábyrgðaraðila við að standa við skuldbindingar sínar til að svara beiðnum gagnaviðfanga, leiti þeir GDPR-réttar síns;
- uppfylla kröfur GDPR um brotatilkynningar og aðstoðarþörf;
- aðstoða ábyrgðaraðila að meta áhrif gagnavarnar og veita honum ráðgjöf hvað varðar eftirlitsyfirvöld;
- eyða eða skila persónugögnum við lok þjónustutíma; og
- styðja ábyrgðaraðila með sönnunum um reglufylgni við GDPR.