Záväzky spoločnosti Microsoft na základe nariadenia GDPR voči zákazníkom využívajúcim naše všeobecne dostupné podnikové softvérové produkty

Úvod

Všeobecné nariadenie Európskej únie o ochrane údajov (GDPR) stanovuje dôležitý celosvetový rámec práv na ochranu osobných údajov, zabezpečenia informácií a dodržiavania predpisov. V spoločnosti Microsoft sa domnievame, že ochrana osobných údajov je základným právom a že nariadenie GDPR je dôležitým krokom vpred pri ochrane a umožnení poskytovania práv ochrany osobných údajov jednotlivcov.

Spoločnosť Microsoft sa zaviazala dodržiavať nariadenie GDPR, ako aj poskytovať ponuku produktov, funkcií, dokumentácie a zdrojov na podporu našich zákazníkov pri plnení ich záväzkov týkajúcich sa dodržiavania nariadenia GDPR. Ďalej uvádzame opis zmluvných záväzkov spoločnosti Microsoft voči svojim zákazníkom v súvislosti s osobnými údajmi zhromažďovanými z podnikového softvéru. (Informácie o softvéri licencovanom v rámci komerčných licenčných programov od spoločnosti Microsoft nájdete priamo v dodatku o ochrane údajov v produktoch a službách spoločnosti Microsoft (DOÚ) na stránke http://aka.ms/dpa)

Vydáva spoločnosť Microsoft záväzky voči svojim zákazníkom s ohľadom na nariadenie GDPR?

Áno. Nariadenie GDPR vyžaduje, aby prevádzkovatelia (ako napríklad organizácie a vývojári, ktorí používajú podnikové online služby spoločnosti Microsoft) využívali iba sprostredkovateľov (ako napríklad spoločnosť Microsoft), ktorí spracúvajú osobné údaje v mene prevádzkovateľa a poskytujú dostatočné záruky na splnenie kľúčových požiadaviek nariadenia GDPR. Spoločnosť Microsoft uvádza tieto záväzky týkajúce sa všetkých zákazníkov využívajúcich komerčného licenčné programy od spoločnosti Microsoft v DOÚ. Zákazníci využívajúci iný všeobecne dostupný podnikový softvér licencovaný spoločnosťou Microsoft alebo našimi afiláciami tiež využívajú výhody záväzkov spoločnosti Microsoft podľa nariadenia GDPR uvedené v tomto oznámení, a to v rozsahu, v akom daný softvér spracúva osobné údaje.

Kde nájdem zmluvné záväzky spoločnosti Microsoft s ohľadom na nariadenie GDPR?

Informácie o zmluvných záväzkoch spoločnosti Microsoft súvisiacich s nariadením GDPR (podmienky podľa nariadenia GDPR) môžete nájsť v prílohe k DOÚ s názvom „Podmienky všeobecného nariadenia Európskej únie o ochrane údajov“. Tieto podmienky zaväzujú spoločnosť Microsoft dodržiavať požiadavky stanovené na sprostredkovateľov v článku 28 a ostatných relevantných článkoch nariadenia GDPR.

Spoločnosť Microsoft rozširuje podmienky podľa nariadenia GDPR na všetkých zákazníkov využívajúcich všeobecne dostupné podnikové softvérové produkty, ktoré sú poskytované na základe licencie spoločnosťou Microsoft alebo našimi afiláciami v rámci licenčných podmienok pre softvér od spoločnosti Microsoft s účinnosťou od 25. mája 2018, a to bez ohľadu na príslušnú verziu podnikového softvéru, v rozsahu, v akom je spoločnosť Microsoft sprostredkovateľom alebo subsprostredkovateľom osobných údajov v súvislosti s takýmto softvérom a pokiaľ spoločnosť Microsoft naďalej ponúka alebo podporuje danú verziu. Podporné údaje sú uvedené v zásadách pre celý životný cyklus spoločnosti Microsoft na stránke https://support.microsoft.com/lifecycle.

Pre objasnenie uvádzame, že na verzie beta alebo verzie Preview softvéru, softvér, ktorý bol zásadne upravený, alebo akýkoľvek softvér poskytovaný na základe licencie spoločnosťou Microsoft alebo našimi afiláciami, ktorý nie je vo všeobecnosti verejne dostupný alebo inak nie je licencovaný na základe licenčných podmienok pre softvér od spoločnosti Microsoft, sa môžu vzťahovať odlišné alebo menšie záväzky. Niektoré produkty môžu v predvolenom nastavení zhromažďovať a odosielať do spoločnosti Microsoft telemetrické alebo iné údaje. Dokumentácia k príslušnému produktu poskytuje informácie a pokyny, ako vypnúť alebo nakonfigurovať takéto zhromažďovanie telemetrických údajov.

Aké záväzky sú uvedené v podmienkach podľa nariadenia GDPR?

Podmienky podľa nariadenia GDPR stanovené spoločnosťou Microsoft odrážajú záväzky vyžadované od sprostredkovateľov v článku 28 nariadenia GDPR. Článok 28 vyžaduje, aby sa sprostredkovatelia zaviazali:

  • využívať subsprostredkovateľov výhradne so súhlasom prevádzkovateľa a zostať zodpovední za subsprostredkovateľov,
  • spracúvať osobné údaje výhradne podľa pokynov od prevádzkovateľa vrátane prípadov týkajúcich sa prenosov,
  • zaistiť, aby osoby, ktoré spracúvajú osobné údaje, boli zaviazané zachovávať dôvernosť,
  • zaviesť vhodné technické a organizačné opatrenia na zaistenie úrovne ochrany osobných údajov zodpovedajúcej riziku,
  • pomôcť prevádzkovateľovi s jeho záväzkami pri reagovaní na žiadosti dotknutých osôb o uplatňovanie ich práv podľa nariadenia GDPR,
  • splniť požiadavky na poskytovanie oznámení o porušení nariadenia GDPR a pomoci podľa tohto nariadenia,
  • pomôcť prevádzkovateľovi pri hodnotení vplyvu na ochranu údajov a konzultácii s úradmi vykonávajúcimi dohľad,
  • vymazať alebo vrátiť osobné údaje na konci poskytovania služieb a
  • poskytnúť prevádzkovateľovi podporu pri dokladovaní dodržiavania nariadenia GDPR.