Wynikające z RODO zobowiązania Microsoft wobec klientów, którzy nabyli powszechnie dostępne oprogramowanie Microsoft dla przedsiębiorstw

Wprowadzenie

Przyjęte przez Unię Europejską ogólne rozporządzenie o ochronie danych (RODO) wyznacza ważny globalny standard w zakresie praw do prywatności, bezpieczeństwa informacji i zgodności z przepisami. Zdaniem Microsoft prywatność jest prawem podstawowym a RODO stanowi ważny krok na drodze do ochrony i umożliwienia wykonywania przysługujących osobom fizycznym praw do prywatności.

Microsoft przestrzega swoich zobowiązań wynikających z RODO oraz oferuje szeroką gamę produktów, funkcji, dokumentów i innych materiałów, aby pomóc swoim klientom w realizacji ich zobowiązań wynikających z RODO. Poniżej zamieszczono opis zobowiązań umownych firmy Microsoft wobec jej klientów w zakresie danych osobowych zbieranych za pośrednictwem oprogramowania dla przedsiębiorstw. W przypadku oprogramowania licencjonowanego w ramach programów licencjonowania komercyjnego firmy Microsoft bezpośrednie zastosowanie ma dodatek dotyczący ochrony danych w ramach produktów i usług firmy Microsoft, zamieszczony pod adresem http://aka.ms/dpa)

Czy firma Microsoft ma jakieś zobowiązania wobec swoich klientów w zakresie Rozporządzenia RODO?

Tak. RODO wymaga od administratorów (np. organizacji i deweloperów używających świadczonych przez Microsoft usług online dla przedsiębiorstw) korzystania wyłącznie z usług podmiotów przetwarzających (takich jak Microsoft), które przetwarzają dane osobowe w imieniu administratora i zapewniają wystarczające gwarancje przestrzegania kluczowych wymogów RODO. Firma Microsoft podejmuje te zobowiązania wobec wszystkich klientów korzystających z programów licencjonowania komercyjnego firmy Microsoft w ramach dodatku dotyczącego ochrony danych. Klientom, którzy nabyli inne powszechnie dostępne oprogramowanie dla przedsiębiorstw licencjonowane przez Microsoft lub podmioty stowarzyszone Microsoft, także przysługują opisane w tym dokumencie korzyści wynikające ze zobowiązań Microsoft związanych z RODO w zakresie, w jakim oprogramowanie to przetwarza dane osobowe.

Gdzie mogę znaleźć zobowiązania umowne Microsoft dotyczące RODO?

Zobowiązania umowne firmy Microsoft dotyczące RODO (postanowienia dotyczące RODO) można znaleźć w załączniku do dodatku dotyczącego ochrony danych w punkcie „Postanowienia wynikające z unijnego ogólnego rozporządzenia o ochronie danych (RODO)”. Postanowienia te wiążą Microsoft wymogami dla podmiotów przetwarzających określonymi w artykule 28 i innych stosownych artykułach RODO.

Microsoft obejmuje Postanowieniami wynikającymi z RODO wszystkich klientów, którzy nabyli powszechnie dostępne oprogramowanie dla przedsiębiorstw licencjonowane przez Microsoft lub podmioty stowarzyszone Microsoft na podstawie postanowień licencyjnych dotyczących oprogramowania Microsoft, ze skutkiem na dzień 25 maja 2018 r., niezależnie od stosownej wersji oprogramowania dla przedsiębiorstw w zakresie, w jakim Microsoft jest podmiotem przetwarzającym lub podmiotem podprzetwarzającym dane osobowe związane z takim oprogramowaniem, oraz przez okres, w jakim Microsoft oferuje lub wspiera taką wersję. Szczegóły dotyczące tego wsparcia można znaleźć w Zasadach dotyczących cyklu życia produktów Microsoft pod adresem https://support.microsoft.com/lifecycle.

W przypadku oprogramowania w wersji beta lub w wersji zapoznawczej, oprogramowania istotnie zmodyfikowanego lub oprogramowania licencjonowanego przez Microsoft lub podmioty stowarzyszone Microsoft, które nie jest udostępniane powszechnie lub na innej podstawie nie jest licencjonowane zgodnie z postanowieniami licencyjnymi dotyczącymi oprogramowania Microsoft, mogą jednak mieć zastosowanie inne lub mniej rygorystyczne zobowiązania. Niektóre produkty mogą w sposób domyślny zbierać i wysyłać do Microsoft dane telemetryczne lub inne dane. W takim przypadku w dokumentacji takich produktów podano informacje i instrukcje dotyczące sposobu wyłączania lub konfigurowania funkcji zbierania danych telemetrycznych.

Jakie zobowiązania są ujęte w Postanowieniach wynikających z RODO?

W przyjętych przez Microsoft Postanowieniach wynikających z RODO ujęto zobowiązania podmiotu przetwarzającego określone w art. 28 RODO. Art. 28 wymaga, aby podmiot przetwarzający:

  • korzystał z usług podmiotów podprzetwarzających wyłącznie za zgodą administratora oraz ponosił odpowiedzialność za takie podmioty podprzetwarzające;
  • przetwarzał, w tym przekazywał, dane osobowe wyłącznie na polecenie administratora;
  • zapewnił, by osoby przetwarzające dane osobowe zobowiązały się do zachowania tajemnicy;
  • wdrożył odpowiednie środki techniczne i organizacyjne w celu zapewnienia stopnia ochrony danych osobowych odpowiedniego do istniejącego ryzyka;
  • pomagał administratorowi wywiązywać się z jego obowiązków i odpowiadać na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw wynikających z RODO;
  • spełniał wynikające z RODO wymogi w zakresie powiadamiania o naruszeniach i udzielania pomocy;
  • pomagał administratorowi w zakresie ocen skutków dla ochrony danych i konsultacji z organami nadzorczymi;
  • usuwał lub zwracał dane osobowe z chwilą zakończenia świadczenia usług oraz
  • wspierał administratora w dokumentowaniu przestrzegania postanowień RODO.