Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Общий регламент по защите данных (GDPR) обязывает организации, предоставляющие товары и услуги в Европейском союзе или занимающиеся сбором и анализом данных резидентов ЕС, соблюдать новые правила независимо от того, где находитесь вы или ваше предприятие. Дополнительные сведения см. в статье Сводка по GDPR. В этом документе вы можете получить сведения относительно оценки влияния на защиту данных (DPIA) в рамках GDPR при использовании продуктов и служб Майкрософт.
Определения терминов GDPR см. в разделе Общий регламент по защите данных.
Примечание.
Корпорация Майкрософт не предоставляет никаких юридических консультаций в этом документе. Этот документ предоставляется исключительно в информационных целях. Клиентам рекомендуется сотрудничать со своими сотрудниками по вопросам конфиденциальности и юридическим консультантом, чтобы определить необходимость и содержание любых DPIA, связанных с использованием ими продуктов и служб Майкрософт.
Что такое DPIA?
Общий регламент по защите данных (GDPR) требует, чтобы управляющие подготовили оценку влияния на защиту данных (DPIA) для операций, которые "с высокой вероятностью могут повлечь значительный риск для прав и свобод физических лиц". Продукты и службы Майкрософт не требуют создания DPIA. Однако это продукты и службы с широкими возможностями настройки, поэтому иногда конфигурация Майкрософт может требовать DPIA. Корпорация Майкрософт не контролирует такие данные и практически не имеет соответствующих аналитических сведений. Управляющим данными необходимо определить, какое использование данных является надлежащим.
Выполнение DPIA
Руководство по DPIA относится к Office 365, Microsoft Azure, Microsoft Dynamics 365, а также служба поддержки Майкрософт и профессиональным службам. В этом руководстве рассматриваются следующие вопросы:
Когда требуется DPIA?
Статья 35 GDPR требует от контролера данных создать оценку влияния на защиту данных: "[w] здесь тип обработки, в частности с использованием новых технологий, и с учетом характера, область, контекста и целей обработки, скорее всего, приведет к высокому риску для прав и свобод физических лиц". Далее в статье приводятся конкретные факторы, указывающие на такой высокий риск. Рассматривая вопрос о необходимости DPIA, следует учесть перечисленные ниже факторы риска. Другие потенциальные факторы и дополнительные сведения см. в части 1 каждого из рекомендаций, относящихся к конкретному продукту.
- Систематическая расширенная оценка данных на основе автоматизированной обработки.
- Масштабная обработка определенных категорий данных (данные, используемые для уникальной идентификации физического лица) или персональных данных о судимостях и преступлениях.
- Масштабное систематическое отслеживание общедоступной области.
GDPR поясняет: "Обработка персональных данных не должна рассматриваться в большом масштабе, если обработка касается персональных данных пациентов или клиентов отдельным врачом, другим работником здравоохранения или адвокатом. В таких случаях оценка влияния на защиту данных не должна быть обязательной.
Что требуется для выполнения DPIA?
Статья 35(7) GDPR предписывает, что оценка влияния на защиту данных определяет цели обработки и систематическое описание предполагаемой обработки. Системное описание всесторонней оценки DPIA может включать такие факторы, как типы обрабатываемых данных, продолжительность хранения данных, места размещения и передачи данных и третьи стороны, которым может быть предоставлен доступ к этим данным. Кроме того, DPIA должна включать:
- Оценка необходимости и пропорциональности операций обработки по отношению к целям.
- Оценка рисков для прав и свобод физических лиц.
- Меры для устранения рисков, включая гарантии безопасности, меры предосторожности и механизмы для обеспечения защиты персональных данных и демонстрации соблюдения настоящего GDPR с учетом прав и законных интересов субъектов данных и других заинтересованных лиц.
В руководстве по конкретному продукту, приведенном в части 2, также рассматриваются следующие элементы обработки:
- Цели обработки
- Категории обрабатываемых персональных данных
- Хранение данных
- Размещение и передача персональных данных
- Предоставление данных сторонним субобработчикам
- Предоставление данных независимым третьим сторонам
- Права субъектов данных
Дополнительные рекомендации
Конкретные сведения, которые могут быть важны для вашей реализации Майкрософт, см. ниже.
- Office 365. Этот документ относится к приложениям и службам Office 365, включая, помимо прочего, Exchange Online, SharePoint, Viva Engage, Skype для бизнеса и Power BI. Дополнительные сведения см. в таблицах 1 и 2.
- Azure. Клиентам рекомендуется сотрудничать с уполномоченными по защите личных данных и юрисконсультами, чтобы определить необходимость выполнения DPIA и ее содержимое в связи с использованием Microsoft Azure.
- Dynamics 365. Содержимое DPIA может отличаться в зависимости от того, какие Dynamics 365 средства вы используете. Конкретные сведения см. в части 2 "Содержимое DPIA".
- Windows. Этот документ относится к конфигурации обработчика диагностических данных Windows. Клиентам рекомендуется взаимодействовать со своими сотрудниками, отвечающими за конфиденциальность, и юрисконсультами, чтобы определить необходимость выполнения DPIA и ее содержимое в связи с использованием конфигурации обработчика диагностических данных Windows.
- служба поддержки Майкрософт и профессиональных услуг. Профессиональные службы не выполняют определенную рутинную или автоматическую обработку данных, а также не предназначены для обработки специальных категорий или задач, которые упрощают или требуют мониторинга общедоступных данных. Дополнительные сведения см. в разделе Часть 1. Определение необходимости выполнения DPIA. Управляющие данными должны рассматривать описанные выше элементы DPIA, а также любые другие важные факторы в контексте конкретной реализации и использования профессиональных услуг. Сведения о профессиональных услугах см. в разделе Часть 2. Содержимое DPIA.