Изучение GDPR
Европейский парламент опубликовал Общий регламент по защите данных (GDPR) Европейского Союза (ЕС) в апреле 2016 г. Этот регламент был разработан для согласования законов о конфиденциальности данных в Европе. Он применяется как к управляющим данными (в основном потребительские службы), так и к обработчикам данных (корпоративные службы), которые обрабатывает персональные данные человека, находящегося в ЕС.
Для веб-служб Майкрософт мы являемся обработчиком данных:
- Корпорация Майкрософт представляет заявление о конфиденциальности управляющего данными своим субъектам данных.
- Корпорация Майкрософт разрабатывает изменения существующих компонентов служб и новых компонентов в соответствии с правами субъекта данных.
- Корпорация Майкрософт уведомляет о нарушении безопасности данных, если это нарушение может "привести к риску для прав или свободы людей". Мы обязуемся уведомлять соответствующие стороны в течение 72 часов о нарушении безопасности данных.
В соответствии с положениями GDPR для реализации надлежащих и эффективных технических и организационных мер корпорация Майкрософт соблюдает требования к средствам контроля ISO 27001 и ISO 27018, а также расширяет соответствие стандарту ISO 27701 в своих службах.
Запросы субъектов данных (DSR)
GDPR предоставляет отдельным лицам (или субъектам данных) определенные права в связи с обработкой их персональных данных, включая право исправлять неточные данные, стирать данные или ограничивать их обработку, получать их данные и выполнять запрос на передачу своих данных другому контроллеру. Управляющий отвечает за предоставление своевременного ответа в соответствии с GDPR. Корпорация Майкрософт (обработчик данных) помогает своим клиентам (управляющим данными) путем предоставления функций, которые упрощают и обеспечивают их соответствие требованиям и реагирование на запросы DSR.
Корпорация Майкрософт предоставляет клиентам средства администрирования для поиска персональных данных и принятия мер в ответ на запросы DSR:
- Обнаружение. Использование средств поиска и обнаружения, чтобы находить данные клиента, которые могут быть предметом DSR.
- Доступ. Получение персональных данных, размещенных в службе Майкрософт, и предоставление копии этих данных субъекту данных.
- Уточнение. Внесение изменений или выполнение других запрошенных действий с персональными данными (если это возможно).
- Ограничить. Ограничьте обработку персональных данных, удалив лицензии на различные службы Майкрософт или отключив нужные службы, где это возможно. Клиенты также могут удалять данные из облака Майкрософт и хранить их в локальной среде или в другом расположении.
- Удаление. Безвозвратное удаление персональных данных, хранящихся в службе Майкрософт.
- Экспорт и получение (переносимость). Предоставление электронной копии персональных данных или личных сведений (в машиночитаемом формате) субъекту данных.
Оценка влияния на защиту данных
GDPR требует от контролер подготовить оценку влияния на защиту данных (DPIA) для операций, которые "могут привести к высокому риску для прав и свобод физических лиц". В продуктах и службах Майкрософт нет ничего, что требует создания DPIA. Однако продукты и службы Майкрософт обладают широкими возможностями настройки, поэтому DPIA может быть требоваться в зависимости от деталей ситуации клиента. Корпорация Майкрософт не контролирует такие данные и практически не имеет соответствующих аналитических сведений. Управляющим данными необходимо определить, какое использование данных является надлежащим. Однако корпорация Майкрософт понимает большой объем усилий, необходимых для выполнения DPIA, поэтому предоставляет некоторые ресурсы, чтобы помочь клиентам выполнять их обязательства по DPIA в рамках GDPR, если им это требуется.