Обязательства Microsoft в рамках GDPR перед клиентами наших общедоступных корпоративных программных продуктов
Введение
Общий регламент Европейского союза по защите данных (General Data Protection Regulation, GDPR) устанавливает важный стандарт в области обеспечения конфиденциальности, информационной безопасности и соблюдения прочих установленных требований в масштабе всего мира. Microsoft считает, что конфиденциальность является основополагающим правом, а GDPR является важным шагом вперед в сфере защиты и создания необходимых условий для соблюдения прав на неприкосновенность частной жизни людей.
Microsoft соблюдает требования GDPR, а также предоставляет широкий диапазон продуктов, функций, документации и ресурсов для помощи нашим клиентам в выполнении ими обязательств по соблюдению правил, установленных в рамках GDPR. Ниже приведено описание договорных обязательств Microsoft перед клиентами в отношении персональных данных, собираемых из корпоративного программного обеспечения. (Информацию о программном обеспечении, лицензируемом в рамках программ коммерческого лицензирования Microsoft, см. непосредственно в Дополнении по защите данных продуктов и услуг Microsoft (Data Protection Addendum, DPA) на странице http://aka.ms/dpa)
Существуют ли у корпорации Майкрософт обязательства перед ее клиентами в отношении GDPR?
Да. GDPR требует, чтобы контролеры (такие как организации и разработчики, использующие корпоративные веб-службы Microsoft) использовали только тех обработчиков (например, Microsoft), которые обрабатывают персональные данные от имени контролера и предоставляют достаточные гарантии, соответствующие ключевым требованиям GDPR. Microsoft предоставляет эти обязательства всем клиентам программ коммерческого лицензирования Microsoft в DPA. Клиенты другого общедоступного корпоративного программного обеспечения, лицензированного Microsoft или нашими аффилированными лицами, также пользуются преимуществами обязательств Microsoft по GDPR, как описано в этом уведомлении, если такое программное обеспечение обрабатывает персональные данные.
Где можно найти договорные обязательства Майкрософт в рамках GDPR?
Вы можете найти договорные обязательства Microsoft в отношении GDPR (Условия GDPR) в приложении к DPA с пометкой «Общие правила защиты данных Европейского Союза». Эти условия обязывают Microsoft выполнять требования к обработчикам данных, описанные в статье 28 и других соответствующих статьях GDPR.
Microsoft применяет Условия GDPR ко всем клиентам общедоступных корпоративных программных продуктов, лицензированных нами или нашими аффилированными лицами в соответствии с условиями лицензии на программное обеспечение Microsoft, начиная с 25 мая 2018 г., независимо от применяемой версии корпоративного программного обеспечения, если Microsoft является обработчиком или дополнительным обработчиком персональных данных в связи с таким программным обеспечением, при условии что Microsoft продолжает предлагать или поддерживать эту версию продукта. Сведения о поддержке можно найти в Политике жизненного цикла Microsoft: https://support.microsoft.com/lifecycle.
Во избежание сомнений, иные или меньшие по объему обязательства могут применяться к бета-версиям или предварительным сборкам программного обеспечения, модифицированному программному обеспечению или к любому программному обеспечению, лицензированному Microsoft или нашими аффилированными лицами, которое не является общедоступным или иным образом не лицензировано в соответствии с условиями лицензирования программного обеспечения Microsoft. Некоторые продукты могут по умолчанию собирать и отправлять Microsoft телеметрические или иные данные. Документация продукта содержит информацию и инструкции по отключению или настройке сбора телеметрических данных.
Какие обязательства содержатся в Условиях GDPR?
Принятые Microsoft условия GDPR отражают обязательства, предъявляемые к обработчикам в статье 28 GDPR. Статья 28 требует, чтобы обработчики брали на себя обязательства:
- использовать дополнительных обработчиков только с согласия контролера и нести ответственность за дополнительных обработчиков;
- обрабатывать персональные данные только согласно указаниям контролера, в том числе в отношении передачи;
- обеспечивать, чтобы лица, обрабатывающие персональные данные, взяли на себя обязательства по соблюдению конфиденциальности;
- внедрить соответствующие технические и организационные меры для обеспечения уровня безопасности персональных данных, соответствующих рискам;
- помогать контролеру в выполнении им обязательств по ответу на запросы субъектов данных для осуществления их прав в рамках GDPR;
- соблюдать требования GDPR и оказывать помощь в отношении уведомления о нарушениях;
- оказывать помощь контролеру в оценке воздействия защиты данных и в консультировании с органами надзора;
- удалять или возвращать персональные данные по окончании предоставления услуг; и
- оказывать поддержку контролеру, предъявляя документы, подтверждающие соблюдение требований GDPR.