Microsoft sine GDPR-forpliktelser overfor kunder av våre generelt tilgjengelige programvareprodukter for bedrifter
Innledning
EUs personvernforordning (GDPR) setter en ny viktig standard for personvernrettigheter, informasjonssikkerhet og forskriftssamsvar. I Microsoft mener vi at personvern er en grunnleggende rettighet og at personvernforordningen er et viktig steg fremover for å beskytte og legge til rette for enkeltpersoners personvernrettigheter.
Microsoft er forpliktet til etterlevelse av personvernforordningen, samt levere en lang rekke produkter, funksjoner, dokumentasjon og ressurser for å støtte våre kunder i oppfyllelsen av deres etterlevelsesforpliktelser etter personvernforordningen. I det følgende gis en beskrivelse av Microsofts kontraktsforpliktelser overfor kundene vedrørende personopplysninger som innhentes fra foretakets programvare. (For programvare lisensiert fra Microsoft Commercial Licensing-programmer, se Tillegg for databeskyttelse (DPA) direkte på produktene og tjenestene fra Microsoft på http://aka.ms/dpa)
Forplikter Microsoft seg overfor kundene med hensyn til personvernforordningen?
Ja. Personvernforordningen krever at dataansvarlige (så som organisasjoner og utviklere som bruker Microsoft sine nettjenester for bedrifter) kun bruker databehandlere (som Microsoft) som behandler personopplysninger på den dataansvarliges vegne og gir tilstrekkelige garantier for å oppfylle de sentrale kravene i personvernforordningen. Microsoft leverer disse forpliktelsene til alle kunder av Microsoft Commercial Licensing-programmer i DPA-en. Kunder av annen generelt tilgjengelig bedriftsprogramvare som er lisensiert av Microsoft eller våre datterselskaper nyter også fordelene av Microsofts GDPR-forpliktelser, som beskrevet i denne meldingen, i den utstrekning programvaren behandler personopplysninger.
Hvor kan jeg finne Microsofts kontraktsforpliktelser med hensyn til personvernforordningen?
Du finner Microsofts kontraktsforpliktelser med hensyn til GDPR (GDPR-vilkårene) i vedlegget til DPA merket «European Union General Data Protection Regulation Terms». Disse vilkårene forplikter Microsoft til kravene for prosessorer i GDPR-artikkel 28 og andre relevante artikler i GDPR.
Microsoft utvider GDPR-vilkårene til alle kunder av generelt tilgjengelige programvareprodukter for bedrifter som lisensieres av oss eller våre datterselskaper etter Microsofts vilkår for programvarelisenser, gjeldende fra og med 25. mai 2018, uavhengig av gjeldende versjon av bedriftsprogramvaren, i den utstrekning Microsoft er en databehandler eller underbehandler av personopplysninger i forbindelse med slik programvare, og så lenge Microsoft fortsetter å tilby eller støtte versjonen. Detaljer om støtte er beskrevet i Microsofts retningslinjer for produktlivssyklus på https://support.microsoft.com/lifecycle.
For ordens skyld, ulike eller mindre grad av forpliktelser kan gjelde for beta- eller forhåndsvisningsprogramvare, programvare som er blitt vesentlig modifisert, eller enhver programvare som er lisensiert av Microsoft eller våre datterselskaper som ikke er gjort generelt tilgjengelig for allmennheten eller for øvrig ikke er lisensiert i henhold til Microsofts vilkår for programvarelisenser. Enkelte produkter kan hente inn og sende til Microsofts telemetri eller andre data som standard; produktdokumentasjon gir informasjon og instruksjoner om hvordan du skal skru av eller konfigurere slik telemetri-innhenting.
Hvilke forpliktelser finnes i GDPR-vilkårene?
Microsofts GDPR-vilkår gjenspeiler de forpliktelser som kreves av behandlere i artikkel 28 av personvernforordningen. Artikkel 28 krever at behandlere forplikter seg til:
- kun å bruke underbehandlere med samtykke fra den dataansvarlige og at de forblir ansvarlige for underbehandlerne;
- å behandle personopplysninger kun på instruks fra den dataansvarlige, inkludert med hensyn til overføringer;
- å sørge for at personer som behandler personopplysninger er forpliktet til konfidensialitet;
- å iverksette egnede tekniske og organisatoriske tiltak for å sikre et nivå av personopplysningssikkerhet som er riktig for risikoen;
- å bistå den dataansvarlige i sine forpliktelser om å svare på de registrertes anmodninger om å utøve sine GDPR-rettigheter;
- å oppfylle personvernforordningens krav til opplysningsplikt og hjelp ved brudd;
- å bistå den ansvarlige med konsekvensvurderinger for personvern og konsultasjon med tilsynsmyndigheter;
- å slette eller levere tilbake personopplysninger ved avslutning av tjenesteytelse, og
- å støtte den dataansvarlige med bevis for etterlevelse av personvernforordningen.