Microsoft'un Genel Olarak Kullanıma Sunulan Kurumsal Yazılım Ürünleri Müşterilerine GDPR Taahhütleri

Giriş

Avrupa Birliği'nin Genel Veri Koruma Mevzuatı (GDPR), gizlilik hakları, bilgi güvenliği ve uyumluluk konusunda önemli bir global standart belirliyor. Microsoft olarak biz, gizliliğin temel bir hak olduğuna ve GDPR'nin bireylerin gizlilik haklarının korunmasında ve etkinleştirilmesinde ileriye doğru atılmış önemli bir adım olduğuna inanıyoruz.

Microsoft kendisi GDPR’ye uyumun yanı sıra müşterilerimizin GDPR kapsamındaki kendi uyumluluk yükümlülüklerini yerine getirmelerini desteklemek için bir dizi ürün, özellik, belge ve kaynak sağlamayı taahhüt ediyor. Aşağıda Microsoft’un kurumsal yazılımından elde edilen kişisel verilerle ilgili müşterilerine verdiği sözleşmeye dayalı taahhütlerin bir açıklaması yer almaktadır. (Microsoft Ticari Lisans programları kapsamında lisanslanan yazılımlar için doğrudan http://aka.ms/dpa) adresindeki Microsoft Ürün ve Hizmetleri Veri Koruma Eki'ne (DPA) bakın.)

Microsoft’un müşterilerine GDPR ile ilgili taahhütleri var mı?

Evet. GDPR, veri sorumlularının (Microsoft’un kurumsal çevrimiçi hizmetlerini kullanan kuruluşlar ve geliştiriciler gibi) yalnız sorumlu adında kişisel verileri işleyen işleyenler (Microsoft gibi) kullanmalarını ve GDPR’nin kilit gerekliliklerini karşılamak için yeterli garantiler sağlamalarını gerektirir. Microsoft, bu taahhütleri DPA'daki Microsoft Ticari Lisans programlarının tüm müşterilerine sağlar. Microsoft veya iştiraklerimiz tarafından lisanslanan diğer genel olarak kullanıma sunulan kurumsal yazılımların müşterileri de, bu bildirimde belirtildiği şekilde, yazılımın kişisel verileri işlediği ölçüde Microsoft’un GDPR taahhütlerinin avantajlarından yararlanır.

Microsoft’un GDPR ile ilgili sözleşmeye bağlanmış taahhütlerine nereden ulaşabilirim?

Microsoft'un GDPR (GDPR Koşulları) ile ilgili sözleşme taahhütlerini "Avrupa Birliği Genel Veri Koruma Yönetmeliği Koşulları" etiketli DPA ekinde bulabilirsiniz. Bu koşullar, Microsoft’u GDPR Madde 28’deki ve GDPR'nin ilgili diğer maddelerindeki gerekliliklere bağlı kılar.

Microsoft, kurumsal yazılımın geçerli sürümüne bakılmaksızın Microsoft söz konusu yazılım ile bağlantılı olarak kişisel verileri işleyen veya alt işleyen olması halinde ve Microsoft sürümü sunmayı veya desteklemeyi sürdürdüğü müddetçe GDPR Koşullarını 25 Mayıs 2018 tarihinden itibaren geçerli olmak üzere, Microsoft yazılım lisansı şartları kapsamında biz veya iştiraklerimiz tarafından lisanslanmış genel olarak kullanıma sunulan kurumsal yazılım ürünlerinin tüm müşterilerini de kapsayacak şekilde genişletmektedir. Destekle ilgili ayrıntıları https://support.microsoft.com/lifecycle adresinde yer alan Microsoft Yaşam Döngüsü Politikasında görebilirsiniz.

Açıklık sağlamak için, beta veya ön izleme yazılımları, önemli ölçüde değiştirilmiş yazılımlar veya Microsoft veya iştiraklerimiz tarafından lisanslanmış olan, kamuya açık olmayan veya Microsoft yazılım lisans koşulları altında başka şekilde lisanslanmamış olan yazılımlar için farklı veya daha az taahhüt geçerli olabilir. Bazı ürünler telemetri verilerini veya diğer verileri varsayılan olarak toplayıp Microsoft’a gönderebilir; ürün dokümantasyonu söz konusu telemetri toplama işleminin nasıl kapatılacağı ve yapılandırılacağı hakkında bilgi ve talimatlar sunar.

GDPR Koşulları kapsamında neler taahhüt ediliyor?

Microsoft’un GDPR Koşulları, 28. Maddede veri işleyenlerden istenen taahhütleri yansıtır. Madde 28 veri işleyenlerin aşağıda belirtilenleri taahhüt etmelerini ister:

  • sadece veri sorumlusunun onayıyla alt işleyenler kullanmak ve alt işleyenlerden sorumlu olmaya devam etmek;
  • kişisel verileri, aktarımlar da dahil olmak üzere, sadece veri sorumlusunun talimatlarına göre işlemek;
  • kişisel verileri işleyen kişilerin gizliliğe bağlı kalmalarını güvence altına almak;
  • riske uygun olan bir kişisel veri güvenlik düzeyi sağlamak için uygun teknik ve kurumsal önlemler uygulamak;
  • veri sahiplerinin GDPR haklarını kullanma taleplerine karşılık verme yükümlülüklerinde veri sorumlusuna destek olmak;
  • GDPR’nin ihlal bildirimi ve destek gerekliliklerini karşılamak;
  • veri koruma etki değerlendirmesinde ve denetleyici kurumlara danışma konusunda veri sorumlusuna destek olmak;
  • hizmetlerin sağlanması sona erdiğinde kişisel verileri silmek veya iade etmek ve
  • GDPR’ye uyumluluğun delilleri ile ilgili olarak veri sorumlusuna destek olmak.