Zavezani smo preglednosti, da bi vam olajšali spoštovanje zakonov in predpisov.
Za naše stranke po svetu veljajo različni zakoni in predpisi. Zakonske zahteve v eni državi ali industrijski panogi se utegnejo razlikovati od zakonskih zahtev drugod. Kot ponudnik storitev v oblaku za ves svet moramo te storitve izvajati v skladu z enotnimi operativnimi postopki in funkcijami za različne stranke in pravne oblasti. Da bi strankam olajšali spoštovanje zakonov in predpisov, storitve razvijamo ob upoštevanju enotnih zahtev glede zasebnosti in varnosti. Kljub vsemu pa morajo stranke same oceniti, ali naša ponudba ustreza njihovim zahtevam, in se odločiti, ali so naše storitve v skladu z njihovimi regulativnimi potrebami. Zavezani smo temu, da strankam posredujemo podrobne informacije o svojih storitvah v oblaku, da jim pomagamo pri oceni skladnosti z zakoni in predpisi.
Informacije o certifikatih, ki utegnejo biti v pomoč pri skladnosti z zakoni in predpisi, so na voljo v razdelku Varnost, pregledi in certifikati.
Vaša dolžnost je, da poskrbite za spoštovanje zakonov in predpisov, mi pa vam posredujemo informacije, da bi vam pri tem pomagali. Zavezani smo skladnosti z zakonodajo o varstvu podatkov in zasebnosti, ki se v splošnem uporablja za ponudnike storitev IT. Če ste dolžni izpolniti posebne zahteve za industrijsko panogo ali sodno oblast, boste morali sami oceniti, ali ste zmožni zagotoviti skladnost, četudi so stranke v številnih panogah in na geografskih območjih ugotovile, da lahko storitve Microsoft Online Services uporabljajo na način, skladen z veljavnimi predpisi, če jih uporabljajo tako, kot ustreza njihovim posebnim okoliščinam.
Organizacije, za katere se uporablja direktiva EU o varstvu podatkov, morajo na primer imeti lastne pravilnike, varnostne zahteve in program usposabljanja, kar zagotavlja, da njihovi zaposleni storitev Microsoft Online Services ne uporabljajo način, ki bi kršil direktivo. Pri storitvah Microsoft Online Services bomo naredili vse, da bi izpolnili dane obljube in vam pomagali pri zagotavljanju skladnosti.
Za primer: stranka iz Evropske unije lahko shrani seznam strank, vključno z njihovimi podatki za stik. Pri storitvah Microsoft Online Services imamo varnostne postopke, ki zagotavljajo, da zaposleni v podjetju Microsoft ne bodo na neprimeren način dostopali do teh informacij ali jih razkrili. Kljub vsemu lahko kateri od uslužbencev stranke, ki je uporabnik storitve Microsoft Exchange Online, to storitev uporabi za pošiljanje takšnega seznama tržniku brez poprejšnjega soglasja. Za vse morebitne kršitve zahtev EU glede varstva podatkov, ki bi nastale zato, ker smo pri storitvah Microsoft Online Services izvedli navodilo stranke – namreč omogočili pošiljanje e-pošte v okviru običajnega zagotavljanja storitve – je odgovorna stranka.
V skladu za zakonodajo EU o varstvu podatkov in našo pogodbo o storitvah je Microsoft Online Services skrbnik vaših podatkov, v bistvu podizvajalec (po zakonodaji »obdelovalec podatkov«). Vi kot stranka ste končni lastnik podatkov in ste po zakonu dolžni zagotoviti, da spoštujemo pravila, in se prepričati, ali je v skladu z zakonom, če nam posredujete osebne podatke (po zakonodaji ste »upravljavec podatkov«). Sami morate torej ugotoviti, ali lahko vaše podjetje v danih okoliščinah uporablja naše storitve za obdelovanje in shranjevanje osebnih podatkov.
Pri razvoju in izvajanju svojih storitev za običajno uporabo smo upoštevali zahteve direktive EU o varstvu podatkov, redno pa spremljamo tudi spremembe na tem področju, ki zadevajo razvoj storitev.
Microsoft je član programa ZDA za varni pristan, kot je dogovorjen med EU in ministrstvom ZDA za trgovino. To nas neposredno obvezuje k spoštovanju zahtev iz direktive EU o varstvu podatkov in nam omogoča prenos podatkov iz EU za izvajanje storitev Microsoft Online Services. Microsoft je pridobil certifikat ministrstva ZDA za trgovino v okviru programa varnega pristana za EU in skoraj enak certifikat za švicarski varni pristan. Certifikate Microsoft za varni pristan najdete na naslovu http://safeharbor.export.gov/. Več informacij o prenosu podatkov iz EU najdete v razdelku o geografskih mejah središča zaupanja.
V nekaterih državah spoštujemo tudi varnostne zahteve za shranjevanje občutljivih osebnih podatkov, določene z zakonodajo.
Če ste v skrbeh zaradi pravil v vaši državi ali zaradi vrste podatkov, ki jih shranjujete, oziroma želite izvedeti več o postopkih in podprtih funkcijah storitev Microsoft Online Services, se lahko obrnete na podporo, če vam teh informacij ni uspelo najti v dokumentaciji storitve. V kolikor to ne ogroža naših varnostnih ukrepov pri razkritju koristnih informacij, vam bomo te informacije posredovali, da boste lažje ocenili, ali je uporaba storitev Microsoft Online Services v skladu z vašimi zahtevami sprejemljiva.
Preberite tudi zgornje vprašanje, kjer je pojasnjeno, da storitve Microsoft Online Services sicer vaši organizaciji pomagajo izpolniti zahteve iz zakonodaje o zasebnosti, vendar to še ne pomeni, da vaša organizacija to zakonodajo spoštuje – morda boste morali uvesti dodatne ukrepe, na primer sprejeti ustrezne pravilnike podjetja in izobraževati zaposlene o postopkih varovanja zasebnosti. Med dodatnimi ukrepi za spoštovanje lokalne zakonodaje utegne biti tudi arhiviranje podatkov pri agenciji za varstvo podatkov, odvisno od države.
Več o tem najdete v razdelku s pogostimi vprašanji o HIPAA/HITECH.
Storitve Microsoft Online Services strankam pomagajo pri izpolnjevanju varnostnih zahtev iz zakona GLBA, tako da ponujajo tehnična in organizacijska varovala, kar strankam olajša zagotavljanje varnosti in preprečevanje nepooblaščene uporabe. Microsoft lahko na zahtevo posreduje poročilo neodvisnega revizorja o pridobljenem certifikatu tretje osebe.
Storitve Microsoft Online Services ne podpirajo obdelave, posredovanja in shranjevanja podatkov za obdelavo plačilnih kartic, kot so številke kreditnih kartic. Standard PCI se za storitve Microsoft Online Services ne uporablja, ker te storitve ne ponujajo obdelave kreditnih kartic in shranjevanja podatkov o njih. Storitve Microsoft Online Services so v skladu z vsemi upoštevnimi varnostnimi pravilniki in kontrolami, opredeljenimi v najboljših praksah panoge, kot je standard ISO 27001 in drugi.
Sistemi storitev Microsoft Online Services za naročanje, izdajanje faktur in plačilo, ki obdelujejo podatke o kreditnih karticah, pa so skladni s standardom PCI na ravni ena, tako da lahko stranke brez strahu uporabljajo kreditne kartice za plačilo teh storitev.
Ne, storitve Microsoft Online Services kot obdelovalec podatkov podatkov strank, ki jih obdelujejo v imenu teh strank, ne registrirajo pri organih EU.