Zavázali jsme se zajišťovat maximální transparentnost, abychom vám pomohli splnit požadavky předpisů, jimž podléháte.
Naši zákazníci na celém světě podléhají řadě různých zákonů a předpisů. Zákonné požadavky v jedné zemi či jednom odvětví se mohou lišit od zákonných požadavků platných jinde. Jako poskytovatel globálních cloudových služeb musíme provozovat své služby se společnými provozními postupy a funkcemi u více zákazníků a ve více jurisdikcích. Ve snaze pomoci zákazníkům dodržet požadavky, kterým podléhají, vytváříme své služby se zohledněním společných požadavků na ochranu osobních údajů a zabezpečení. Nakonec je však na našich zákaznících, aby vyhodnotili naše nabídky oproti svým vlastním požadavkům a aby zjistili, zda naše služby splňují požadavky předpisů, jimž podléhají. Zavázali jsme se poskytovat zákazníkům podrobné informace o cloudových službách, abychom jim tak umožnili provést vlastní vyhodnocení dodržování předpisů.
Informace týkající se certifikací, které mohou pomoci při dodržování předpisů, naleznete v části Zabezpečení, audity a certifikace.
Dodržování vašich povinností vyplývajících z předpisů je vaší povinností. Námi poskytované informace vám při tom mohou pomoci. Zavázali jsme se dodržovat zákony na ochranu osobních údajů a dat, které jsou obecně platné pro poskytovatele služeb v oblasti IT. Pokud podléháte požadavkům platným v určitém odvětví či jurisdikci, budete muset sami posoudit, zda jste schopni tyto požadavky splnit, avšak Zákazníci v mnoha průmyslových odvětvích a zeměpisných oblastech zjistili, že mohou používat služby Microsoft Online Services takovým způsobem, aby i nadále byli v souladu s platnými předpisy, a to za předpokladu, že služby používají způsobem odpovídajícím jejich konkrétní situaci.
Například organizace podléhající Směrnici EU o ochraně dat by měli mít zavedeny své vlastní zásady, zabezpečení a školicí program s cílem zajistit, aby jejich zaměstnanci nepoužívali služby Microsoft Online Services způsobem porušujícím tuto směrnici. Služby Microsoft Online Services k tomu přispějí tím, že dodrží veškeré své sliby, a pomohou vám tak i nadále zajistit dodržování předpisů.
Pojďme si uvedené informace osvětlit pomocí příkladu: zákazník z Evropské unie smí uložit seznam zákazníků, včetně kontaktních údajů. Služby Microsoft Online Services uplatňují bezpečnostní postupy, které zajišťují, aby zaměstnanci společnosti Microsoft neměli k těmto údajům nevhodný přístup ani tyto údaje nezveřejnili. Je však možné, že jeden ze zaměstnanců Zákazníka, který je uživatelem systému Microsoft Exchange Online, využije služby k odeslání tohoto seznamu zákazníků subjektu provádějícímu marketing, a to bez příslušného svolení. Jakékoli výsledné porušení požadavků EU na ochranu dat vyplývající ze skutečnosti, že se služby Microsoft Online Services řídily pokyny zákazníka - a to tím, že v rámci běžného poskytování služeb způsobily odeslání e-mailu - je na odpovědnosti zákazníka.
Na základě zákonů EU o ochraně dat a našeho smluvního vztahu působí služby Microsoft Online Services jako správce dat, v podstatě tedy jako subdodavatel (dle zákona jsme „zpracovatelem údajů“). Vy, jako zákazník, jste konečným vlastníkem dat a podle zákona máte konečnou odpovědnost se ujistit, že dodržujeme pravidla a že je pro vás legální posílat nám osobní údaje (dle zákona jste „správcem údajů“ ). Jste povinni za svůj podnik a ve své konkrétní situaci stanovit, zda můžete naše služby používat ke zpracování a ukládání svých osobních údajů.
Požadavky Směrnice EU o ochraně dat byly zahrnuty do návrhu a provozu našich služeb pro běžné používání, a tuto oblast neustále sledujeme, abychom podchytili změny důležité pro vývoj služeb.
Společnost Microsoft je také členem programu USA Safe Harbor, jak byl sjednán mezi EU a Ministerstvem obchodu USA. To nás přímo zavazuje dodržovat požadavky Směrnice EU o ochraně dat a umožňuje nám to přenášet data mimo EU v rámci poskytování služeb Microsoft Online Services. Společnost Microsoft provedla vlastní certifikaci podle pravidel EU Safe Harbor Ministerstva obchodu USA a téměř identických pravidel Switzerland Safe Harbor. Certifikace společnosti Microsoft v rámci programu Safe Harbor je k dispozici na adrese http://safeharbor.export.gov/. Další informace týkající se přenosu dat mimo EU naleznete v Centru zabezpečení v části Geografické hranice.
V některých zemích rovněž dodržujeme zákonem stanovené bezpečnostní požadavky na ukládání citlivých osobních údajů.
Máte-li obavy týkající se pravidel platných ve vaší zemi nebo typu uložených dat nebo máte-li zájem o další informace týkající se postupů a podporovaných funkcí služeb Microsoft Online Services, můžete se obrátit na podporu, pokud jste příslušné informace nenalezli v servisní dokumentaci. Poskytneme vám užitečné informace v takovém rozsahu, v jakém to neoslabí naši bezpečnost, abychom vám pomohli při vašem stanovení přijatelnosti implementace služeb Microsoft Online Services oproti vašim požadavkům.
Měli byste si přečíst výše uvedené časté dotazy a dále byste si měli být vědomi, že služby Microsoft Online Services vaší organizaci umožňují dodržovat zákony na ochranu osobních údajů, avšak to ještě neznamená, že vaše organizace tyto zákony dodržuje - mohou existovat další kroky, které musíte podstoupit, například zavést správné zásady společnosti a školit zaměstnance v řádných postupech ochrany osobních údajů. V závislosti na zemi mohou existovat další kroky, které je třeba v rámci splnění místních zákonů učinit, například předkládání informací agentuře ochrany dat.
Další informace naleznete v části Časté dotazy týkající se zákona HIPAA a HITECH.
Služby Microsoft Online Services pomáhají zákazníkům dodržovat bezpečnostní požadavky zákona GLBA tím, že poskytují technická a organizační bezpečnostní opatření, která pomáhají zákazníkům zajistit zabezpečení a zabránit neoprávněnému užívání. Společnost Microsoft může na vyžádání poskytnout souhrnnou sestavu o certifikaci třetí stranou realizovanou nezávislým auditorem.
Služby Microsoft Online Services nepodporují zpracování, přenos ani ukládání dat podléhajících standardu PCI, jako jsou například čísla kreditních karet. Standard PCI se na služby Microsoft Online Services nevztahuje, protože zpracování kreditních karet a ukládání dat nepatří mezi funkce nabízené službami Microsoft Online Services. Služby Microsoft Online Services uplatňují platné zásady a řídící prvky zabezpečení definované nejlepšími postupy odvětví, jako je ISO 27001 a další.
Upozorňujeme však, že systémy objednávání, fakturace a plateb služeb Microsoft Online Services, které zpracovávají údaje o kreditních kartách, dodržují první úroveň standardu PCI, a zákazníci mohou s důvěrou použít kreditní karty k platbě za služby.
Ne, služby Microsoft Online Services jako zpracovatel údajů neregistrují zákaznické údaje, které jménem svých zákazníků zpracovávají, u orgánů EU.