Зобов’язання Microsoft згідно з GDPR щодо загальнодоступних корпоративних програмних продуктів
Вступ
Генеральний регламент Європейського Союзу із захисту персональних даних (General Data Protection Regulation або GDPR) установлює важливий глобальний стандарт захисту прав на таємницю особистого життя, інформаційної безпеки та дотримання нормативно-правових вимог. Корпорація Майкрософт вважає, що недоторканість приватного життя є фундаментальним правом і що GDPR – це важливий крок уперед у захисті й забезпеченні прав фізичних осіб.
Корпорація Майкрософт прагне дотримуватися вимог GDPR, а також надавати широкий спектр продуктів, функцій, документів і ресурсів із метою допомогти нашим клієнтам виконувати їхні зобов’язання за GDPR. Нижче наведено опис договірних зобов’язань компанії Майкрософт перед клієнтами щодо персональних даних, які збираються з корпоративного програмного забезпечення. (Стосовно програмного забезпечення, ліцензованого за програмами комерційного ліцензування компанії Майкрософт, дивіться безпосередньо Додаток із захисту даних (Data Protection Addendum, DPА) для продуктів і послуг компанії Майкрософт за адресою http://aka.ms/dpa)
Чи корпорація Майкрософт бере на себе зобов’язання щодо GDPR перед своїми клієнтами?
Так. GDPR вимагає, щоб контролери (як-от організації та розробники, що використовують корпоративні онлайнові служби Microsoft) залучали лише тих процесорів (як-от Майкрософт), які обробляють особисті дані від імені контролера й мають достатні засоби для виконання головних вимог GDPR. Компанія Майкрософт описує ці зобов’язання для всіх клієнтів, що користуються програмами комерційного ліцензування компанії Майкрософт, у DPA. Клієнти іншого загальнодоступного корпоративного програмного забезпечення, наданого корпорацією Майкрософт або її афілійованими особами за ліцензію, також користуються перевагами зобов’язань Microsoft щодо GDPR, як це описано в цьому повідомленні, якщо програмне забезпечення обробляє особисті дані.
Де знайти договірні зобов’язання Майкрософт щодо GDPR?
Договірні зобов’язання компанії Майкрософт щодо GDPR (Умови GDPR) можна знайти в доповненні до DPA під назвою «Умови Генерального регламенту із захисту персональних даних, ухваленого Європейським Союзом». Ці умови зобов’язують компанію Майкрософт дотримуватися вимог до обробників, зазначених у статті 28 GDPR та інших відповідних статтях GDPR.
Корпорація Майкрософт застосовує Положення GDPR до всіх клієнтів загальнодоступних корпоративних програмних продуктів, ліцензованих нами або нашими афілійованими особами згідно з Умовами ліцензії на програмний продукт Microsoft, що набрали чинності 25 травня 2018 року, незалежно від версії корпоративного програмного забезпечення, якщо корпорація Майкрософт є процесором або субпроцесором особистих даних у зв’язку із цим програмним забезпеченням та поки корпорація Майкрософт пропонує або підтримує версію. Детальну інформацію про підтримку можна знайти в Політиці життєвого циклу продуктів Microsoft тут: https://support.microsoft.com/lifecycle.
Для ясності: до бета-версії програмного забезпечення або версії програмного забезпечення для попереднього перегляду, програмного забезпечення, яке було істотно змінене, або будь-якого програмного забезпечення, ліцензованого корпорацією Майкрософт або нашими афілійованими особами, яке не є загальнодоступним або іншим чином не було ліцензовано відповідно до умов ліцензії на програмне забезпечення Microsoft, можуть застосовуватись інші або менш суворі зобов’язання. Деякі продукти можуть збирати й відправляти до корпорації Майкрософт дані телеметрії або інші дані за замовчуванням. Документація продуктів містить інформацію та інструкції щодо вимкнення та налаштування телеметричного збирання.
Які зобов’язання зазначено в Положеннях GDPR?
У Положеннях GDPR відображені зобов’язання корпорації Майкрософт, яких процесори зобов’язані дотримуватися згідно зі статтею 28 GDPR. Стаття 28 вимагає, щоб процесори:
- використовували субпроцесорів виключно за згодою контролера й несли відповідальність за дії субпроцесорів;
- обробляли особисті дані виключно за вказівками контролера, зокрема щодо передачі;
- забезпечували, аби особи, які обробляють особисті дані, зберігали їхню конфіденційність;
- уживали відповідних технічних й організаційних заходів для забезпечення належної безпеки особистих даних, що відповідає ризику;
- допомагали контролеру виконувати зобов’язання щодо відповіді на запити суб’єктів даних стосовно здійснення їхніх прав згідно з GDPR;
- виконували вимоги GDPR щодо повідомлення про порушення та надання допомоги;
- допомагали контролеру проводити оцінку впливу на захист даних та консультувалися з органами регулювання;
- видаляли або повертали особисті дані наприкінці надання послуг;
- допомагали контролеру в підтвердженні дотримання вимог GDPR.