Microsoft 對一般可取得企業軟件產品客戶的 GDPR 承諾

引言

通用數據保障條例 (GDPR) 為全球私隱權、資訊安全及合規性設立重要標準。 Microsoft 認為私隱權是基本權利,而 GDPR 則是保護並實現個人私隱權的重要措施。

Microsoft 致力遵守 GDPR,同時提供一系列產品、功能、文件和資源,協助我們的客戶履行 GDPR 規定的義務。 以下說明 Microsoft 針對企業軟件收集的個人資料,對其客戶做出的合約承諾。 (若是由 Microsoft 商業授權方案授權的軟件,請參閱 Microsoft 產品和服務資料保護增訂條款 (DPA) ,網址為 http://aka.ms/dpa)

Microsoft 是否就 GDPR 向其客戶作出承諾?

是的。 GDPR 要求控制者 (例如使用 Microsoft 企業線上服務的組織和開發人員) 僅使用代表控制者處理個人資料並提供充分保證可符合 GDPR 重點要求的處理者 (例如 Microsoft)。 Microsoft 會為 DPA 中的所有 Microsoft 商業授權方案客戶提供這些承諾。 經 Microsoft 或我們的聯屬企業授權的其他一般可取得企業軟件的客戶,在該軟件處理個人資料的範圍內,也享有本聲明所述的 Microsoft GDPR 承諾權益。

我可以在哪裡找到 Microsoft 有關 GDPR 的合約承諾?

貴用戶可以在標示為「通用數據保障條例」的 DPA 附件中,找到 Microsoft 對 GDPR 的合約承諾 (GDPR 條款)。 這些條款承諾 Microsoft 遵循 GDPR 第 28 條以及 GDPR 其他相關條款對處理者的規定。

無論企業軟件的適用版本,只要 Microsoft 持續供應或支援該版本,且 Microsoft 透過此軟件作為個人資料的處理者或輔助處理者,Microsoft 將 GDPR 條款延伸至所有經我們或我們聯屬企業授權、適用 Microsoft 軟件授權條款的一般可取得企業軟件產品的客戶,並於 2018 年 5 月 25 日生效。 請參閱載於 https://support.microsoft.com/lifecycle 的 Microsoft 生命週期原則,了解支援詳情。

為清晰起見,Beta 或預覽軟件、實質上經過修改的軟件、任何未正式發行給公眾的 Microsoft 或聯屬企業授權軟件,或其他未經 Microsoft 軟件授權條款授權的軟件,可能適用不同或較低層級的承諾。 某些產品可能預設收集遙測及其他資料並將之傳給 Microsoft。產品文件提供關閉或設定此類遙測收集的相關資訊和指示。

GDPR 條款中有哪些承諾?

Microsoft GDPR 條款反映 GDPR 第 28 條規定處理者應履行的承諾。 第 28 條規定處理者承諾:

  • 僅在控制者同意的情況下使用輔助處理者,並為輔助處理者負責;
  • 僅在控制者的指示下處理個人資料,包括處理資料傳輸;
  • 確保處理個人資料的人員承諾保密;
  • 實行適當的技術與組織措施,確保個人資料安全層級能恰當應對有關風險;
  • 協助控制者履行義務,回應資料當事人行使 GDPR 權利的要求;
  • 符合 GDPR 的違反通知及協助規範;
  • 協助控制者執行資料保護影響評估及諮詢監管機關;
  • 於提供服務結束時移除或傳回個人資料;並
  • 支援控制者時具備符合 GDPR 之證明。