Microsoftovo zavzemanje za varstvo osebnih podatkov strank, ki uporabljajo Microsoftove splošno razpoložljive programske izdelke za poslovna okolja, vključuje skladnost z določbami Splošne uredbe o varstvu podatkov
Uvod
Evropska unija je s Splošno uredbo o varstvu podatkov (GDPR) postavila pomembne globalne zahteve v zvezi s pravicami do zasebnosti, varnostjo informacij in skladnostjo s predpisi. Pri Microsoftu menimo, da je zasebnost temeljna pravica in da je Splošna uredba o varstvu podatkov pomemben korak k zaščiti in zagotavljanju pravic do zasebnosti za vsakega posameznika.
Microsoft se zavzema za izvajanje svojih obveznosti v skladu s Splošno uredbo o varstvu podatkov, in hkrati dela na izdelavi serije izdelkov, funkcij, dokumentacije in virov, ki lahko Microsoftovim strankam zagotavljajo podporo pri izpolnjevanju obveznosti, ki jih strankam nalaga Splošna uredba o varstvu podatkov. V nadaljevanju so opisane Microsoftove pogodbene obveznosti do strank v zvezi z zbiranjem osebnih podatkov, ki jih zbere programska oprema za poslovna okolja. (Za programsko opremo, licencirano v okviru Microsoftovih programov za komercialno licenciranje, si neposredno oglejte dodatek o varstvu podatkov za Microsoftove izdelke in storitve (DPA) na strani http://aka.ms/dpa).
Ali je Microsoft prevzel obveznosti do strank, ki jih določa Splošna uredba o varstvu podatkov?
Da. Splošna uredba o varstvu podatkov zahteva, da nadzorniki (kot so organizacije ali razvijalci, ki uporabljajo Microsoftove spletne storitve za poslovno okolje), uporabljajo samo obdelovalce podatkov (kot je Microsoft), ki obdelujejo osebne podatke v imenu nadzornika in zagotavljajo zadostno jamstvo, da izpolnjujejo ključne zahteve Splošne uredbe o varstvu podatkov. Microsoftove zaveze glede tega veljajo za vse stranke Microsoftovih programov za komercialno licenciranje v dodatku o varstvu podatkov. Izpolnitev obveznosti, ki jih je prevzel Microsoft po Splošni uredbi o varstvu podatkov, omogoča, da tudi stranke, ki imajo licence za splošno razpoložljivo programsko opremo za poslovna okolja, ki so jih pridobile od Microsofta ali njegovih lastniško povezanih podjetij, uživajo ugodnosti v obsegu uporabe programske opreme pri obdelavi osebnih podatkov.
Kje lahko najdem Microsoftove pogodbene obveznosti, ki jih je prevzel na podlagi zahtev Splošne uredbe o varstvu podatkov?
Microsoftove pogodbene obveznosti, ki jih je prevzel na podlagi zahtev Splošne uredbe o varstvu podatkov (Določbe Splošne uredbe o varstvu podatkov) so v prilogi dodatka o varstvu podatkov z naslovom »Pogoji Splošne uredbe Evropske unije o varstvu podatkov«. Ti pogoji zavezujejo Microsoft k zahtevam za obdelovalce v 28. členu uredbe GDPR in drugih ustreznih členih uredbe GDPR.
Microsoft je razširil področje veljavnosti določb Splošne uredbe o varstvu podatkov na vse stranke, ki imajo licenco za splošno razpoložljive programske izdelke za poslovna okolja, izdano pri Microsoftu ali pri Microsoftovih lastniško povezanih podjetjih, pod licenčnimi pogoji za Microsoftovo programsko opremo, ki so stopili v veljavo s 25. majem 2018, ne glede na različico uporabljene programske opreme za poslovna okolja, kar velja do obsega udeležbe Microsofta v vlogi obdelovalca ali podobdelovalca osebnih podatkov, ki so povezani s to programsko opremo, in traja, dokler Microsoft ponuja to različico na trgu ali dokler za to različico zagotavlja tehnično podporo. Podrobnosti o zagotavljanju podpore lahko najdete na povezavi: Microsoftova politika glede življenjske dobe izdelkov https://support.microsoft.com/lifecycle.
Pripomniti je treba, da za nekatere izdelke morda veljajo različne ali manj zahtevne obveznosti; to so na primer beta različica ali predogled programske opreme, programska oprema, ki je bila pomembno spremenjena, ali vsaka programska oprema, za katero je licenco izdal Microsoft ali njegovo lastniško povezano podjetje, vendar ta ni bila splošno razpoložljiva javnosti ali iz drugih razlogov, ni bila licencirana na podlagi licenčnih pogojev za Microsoftovo programsko opremo. Nekateri izdelki so morda prednastavljeni tako, da zbirajo podatke in jih pošiljajo Microsoftu kot telemetrične ali druge podatke; dokumentacija, priložena k izdelku, zagotavlja informacije in navodila za izklop ali za konfiguracijo tega telemetričnega zbiranja.
Katere obveznosti so navedene v določbah Splošne uredbe o varstvu podatkov?
Microsoftove določbe Splošne uredbe o varstvu podatkov kažejo obveznosti obdelovalcev podatkov, ki jih zahteva 28. člen Splošne uredbe o varstvu podatkov. Zahteve 28. člena glede obveznosti, ki jih prevzema obdelovalec podatkov:
- podobdelovalce lahko vključite samo, ko pridobite soglasje nadzornika in prevzamete odgovornost za podobdelovalce;
- osebne podatke lahko obdelujete samo po navodilih nadzornika, kar velja tudi za prenose podatkov;
- preverite in zagotovite, da so osebe, ki obdelujejo osebne podatke, prevzele obveznost varovanja tajnosti;
- izvajajte ustrezne tehnične in organizacijske ukrepe, da zagotovite raven varnosti osebnih podatkov, ki ustreza ravni tveganosti;
- pomagajte nadzorniku pri njegovi dolžnosti, da odgovori osebam, na katere se podatki nanašajo, ko vložijo zahtevek za uveljavljanje pravic po določbah Splošne uredbe o varstvu podatkov;
- izpolnite zahteve Splošne uredbe o varstvu podatkov glede obveščanja in pomoči ob kršitvah;
- zagotovite pomoč nadzorniku pri presoji vpliva zaščite podatkov in pri posvetovanju z nadzornimi organi;
- po končanem izvajanju storitev izbrišite ali vrnite osebne podatke stranki; in
- zagotovite podporo nadzorniku pri dokazilu skladnosti s Splošno uredbo o varstvu podatkov.