Microsofts GDPR-relaterade åtaganden inför kunder med våra allmänt tillgängliga programprodukter för företag
Introduktion
EU:s allmänna dataskyddsförordning (GDPR) utgör en viktig standard för nya globala regler angående rätten till integritet, informationssäkerhet och efterlevnad. Hos Microsoft anser vi att integritet är en grundläggande rättighet och att GDPR är ett viktigt steg framåt på vägen mot att värna om och främja enskilda personers rätt till integritet.
Microsoft arbetar för sin egen efterlevnad av GDPR, såväl som för att tillhandahålla ett urval av produkter, funktioner, dokumentation och resurser för att stödja våra kunders strävan att uppfylla deras efterlevnadsförpliktelser inom ramen för GDPR. Det följande är en beskrivning av Microsofts avtalsenliga åtaganden gentemot sina kunder med avseende på personuppgifter som samlas in via företagsprogramvara. (För programvara som licensieras från Microsoft Commercial Licensing-program, gå direkt till Dataskyddstillägg för Microsofts produkter och tjänster (DPA) på http://aka.ms/dpa)
Gör Microsoft åtaganden gentemot sina kunder med avseende på GDPR?
Ja. GDPR kräver att personuppgiftsansvariga (t.ex. organisationer och utvecklare som använder Microsofts online-tjänster för företag) endast använder personuppgiftsbiträden (t.ex. Microsoft) som behandlar personuppgifter för den personuppgiftsansvariges räkning och tillhandahåller tillräckliga garantier om att uppfylla nyckelkraven i GDPR. Dessa åtaganden tillhandahåller Microsoft alla kunder i Microsoft Commerical Licensing-program i DPA. Kunder med annan allmänt tillgänglig företagsprogramvara som licensieras av Microsoft och våra närstående företag kan också dra fördel av förmånerna med Microsofts GDPR-åtaganden som beskrivs i detta meddelande, i den utsträckning programvaran behandlar personuppgifter.
Var kan jag hitta Microsofts avtalsmässiga åtaganden med avseende på GDPR?
Microsofts avtalsenliga åtaganden vad gäller dataskyddsförordningen (GDPR-villkor) finns i bilagan till DPA som är märkt ”Villkor för Europeiska unionens allmänna dataskyddsförordning”. Dessa villor förbinder Microsoft till kraven på personuppgiftsbiträden i GDPR Artikel 28 och andra relevanta artiklar i GDPR.
Microsoft framför GDPR-villkoren till alla kunder med allmänt tillgängliga programprodukter för företag som licensieras av oss eller våra närstående företag enligt Microsofts programlicensvillkor, från och med den 25 maj 2018, oavsett tillämplig version av företagsprogramvaran, i den utsträckning Microsoft är ett personuppgiftsbiträde eller ett underordnat personuppgiftsbiträde i samband med sådan programvara och så länge Microsoft fortsätter att erbjuda eller ge support för versionen. Supportinformation är tillgänglig i Microsofts livscykelpolicy på https://support.microsoft.com/lifecycle.
För tydlighets skull är det viktigt att påpeka att andra eller mindre omfattande åtaganden kan gälla för beta- eller förhandsversioner av programvara med väsentliga ändringar eller för programvara som har licensierats av Microsoft eller våra närstående företag och som inte har gjorts allmänt tillgänglig för allmänheten eller på annat sätt inte har licensierats enligt Microsofts programlicensvillkor. Vissa produkter kan som standard samla in telemetri eller andra uppgifter till Microsoft. Produktdokumentationen innehåller information och anvisningar om hur sådan insamling kan stängas av eller konfigureras.
Vilka åtaganden ingår i GDPR-villkoren?
Microsofts GDPR-villkor framställer de åtaganden som krävs av personuppgiftsbiträden enligt artikel 28 i GDPR. Artikel 28 kräver att personuppgiftsbiträden åtar sig att:
- endast anlita underordnade personuppgiftsbiträden med den personuppgiftsansvariges samtycke och förbli ansvarig för underordnade personuppgiftsbiträden,
- endast behandla personuppgifter enligt den personuppgiftsansvariges anvisningar, inklusive med avseende på överföringar,
- säkerställa att personer som behandlar personuppgifter åtar sig att upprätthålla sekretessen,
- implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå för personuppgifter som är lämplig i förhållande till risken,
- hjälpa den personuppgiftsansvarige med dennes förpliktelser att besvara registrerades förfrågningar om att utöva sina GDPR-rättigheter,
- uppfylla GDPR-kraven avseende anmälan av överträdelser och hjälp,
- bistå den personuppgiftsansvarige med konsekvensbedömningar avseende dataskydd och konsultationer med tillsynsmyndigheter,
- radera och återlämna personuppgifter när leveransen av tjänster har avslutats, samt
- stödja den personuppgiftsansvarige med bevis på efterlevnad av GDPR.