Integritets- och säkerhetsvillkor
Allmänt
Integritets- och säkerhetsvillkoren har tidigare ingått i Bilaga 1 till villkoren för Onlinetjänster.
Dataskyddstillägget, eller DPA (definieras i ordlistan) anger parternas skyldigheter beträffande behandling av och säkerhet för kunddata, data i professionella tjänster och personuppgifter med produkterna. Dataskyddstillägget kan hämtas här https://aka.ms/DPA. I händelse av konflikt eller bristande överensstämmelse mellan DPA och andra villkor i Kundens licensieringsavtal (inbegripet dessa villkor) ska DPA gälla.
Onlinetjänster som utesluts från DPA
Med undantag för vad som anges i de produktspecifika villkoren gäller villkoren i DPA inte för: Bing Maps Mobile Asset Management Platform, Bing Maps Transactions and Users, Bing-sökningstjänster, Azure AI-tjänster i containers som installeras på maskinvara reserverad för Kunden, Microsoft Copilot med skydd av kommersiella data (kallades tidgare Bing Chat Enterprise, GitHub-erbjudanden, LinkedIn Sales Navigator, Microsoft Defender for IoT (exklusive molnanslutna funktioner), Azure SQL Edge, Azure Stack HCI, Azure Stack Hub, Microsoft Graph data connect for ISVs, Microsoft Genomics och Visual Studio App Center Test. Var och en av dessa Onlinetjänster regleras av sekretess- och säkerhetsvillkoren i tillämpliga produktspecifika villkor.
Programvaruprodukter som är uteslutna från DPA
Med undantag för vad som anges i de produktspecifika villkoren gäller villkoren i DPA inte för: Internetbaserade funktioner i programvaruprodukter, Windows desktop-operativsystem, Windows Server och dessa programvaruprodukter som del av andra produkter. Var och en av dessa produkter regleras av integritets- och säkerhetsvillkoren i tillämpliga produktspecifika villkor.
Produkter som inte härrör från Microsoft
Separata villkor, inklusive olika integritets- och säkerhetsvillkor, reglerar Kundens användning av produkter som inte härrör från Microsoft (enligt definitionen i Universella licensvillkor för Onlinetjänster).
Geografiska undantag för DPA-villkor
För Dynamics 365 och Power Platform-Onlinetjänster gäller inte de specifika DPA-villkoren såsom anges i Tillägg A med lydelsen ”Microsoft lagrar kopior av kunddata och dataåterställningsrutinerna på ett annat ställe än där den primära datorutrustningen som behandlar kunddata finns.” i följande geografiska områden: Förenade Arabemiraten och Sydafrika.
Centrala Onlinetjänster
Villkoret ”Centrala Onlinetjänster” gäller endast tjänsterna i tabellen nedan, utom eventuella förhandsversioner.
| Onlinetjänster | |
|---|---|
| Microsoft Dynamics 365 Core-tjänster | Följande tjänster, som fristående tjänst eller om de ingår i en Dynamics 365-plan eller Dynamics 365-applikation: Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations och Dynamics 365 Sales. Dynamics 365 Core-tjänster innefattar inte (1) Dynamics 365 Services för enheter eller programvara som stöds, inklusive, men inte begränsat till, Dynamics 365 för appar, surfplattor, telefoner, eller något av följande: (2) LinkedIn Sales Navigator, (3) andra separata tjänstvarumärken som görs tillgängliga med eller i anslutning till Dynamics 365 Core-tjänster, med undantag för vad som uttryckligen definieras i licensvillkoren för respektive tjänst. |
| Office 365-tjänster | Följande tjänster, vardera som fristående tjänst eller som del av en Office 365- eller Microsoft 365-plan eller -svit: Cortana, Customer Lockbox, Exchange Online Archiving, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (klassisk), Microsoft Teams, Microsoft To-Do, Microsoft Defender för Office 365, Office på webben, OneDrive för företag, Project, SharePoint, Sway, Viva Insights, Whiteboard och Viva Engage och Microsoft Copilot for Microsoft 365. Office 365-tjänster innefattar inte Microsoft 365-appar för företag, någon del av en PSTN-tjänst som används utanför Microsofts kontroll, någon klientprogramvara eller tjänster under separata varumärken som görs tillgängliga med en Office 365- eller Microsoft 365-plan eller -svit, t.ex. en Bing-tjänst eller en tjänst märkt ”för Office 365”. |
| Microsoft 365 Compliance Services | Följande tjänster, vardera som fristående tjänst eller som en del av en Microsoft 365-plan eller -svit: Microsoft Purview Customer Lockbox, Microsoft Purview Data Loss Prevention, Kundnyckel i Microsoft Purview, Livscykelhantering av data i Microsoft Purview, Microsoft Purview Information Barriers, Microsoft Purview Privileged Access Management, Microsoft Purview Compliance Manager, Microsoft Purview Information Protection, Microsoft Information Governance, Microsoft Purview-Insider Risk Management, Microsoft Purview Communication Compliance, Hantering av arkivhandlingar i Microsoft Purview, Microsoft Purview eDiscovery och Microsoft Purview Granskning, Priva hantering av sekretessrisker och Priva begäranden från registrerad person. |
| Microsoft Azure Core Services | Azure AI, Azure Active Directory B2C, Anomaly Detector, API Management, App Service (API-appar, Logic-appar, Mobilappar, WebJobs, Functions), Lab Services, Application Gateway, Azure Monitor, Automation, Azure API for FHIR, Azure App Configuration, Azure Bastion, Azure AI Bot Service, Azure Cache för Redis, Azure AI Search, Azure Communication Services, Azure Container-appar, Azure Container-instanser, Azure-containerregister (ACR), Azure Cosmos DB, Azure Data Explorer, Azure Database för MySQL, Azure Database för PostgreSQL, Azure Databricks, Azure DDOS Protection, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Azure Firewall, Azure AI Document Intelligence, Azure Health Data Services, Azure AI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure AI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Microsoft Purview Data Map, Microsoft Purview Data Catalog, Microsoft Purview Data Estate Insights, Microsoft Purview Data Policies, Microsoft Purview Data Sharing, Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure AI Video Indexers, Azure Web PubSub, Backup, Batch, Cloud Services, Computer Vision, Content Moderator, Azure AI Custom Vision, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, HDInsight, Import/Export, IoT Hub, Key Vault, Language Understanding, Load Balancer, Azure Machine Learning Studio (classic), Media Services, Microsoft Azure Portal, Notification Hubs, Azure AI Personalizer, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Service Bus, Service Connector, Service Fabric, Azure SignalR Service, Site Recovery, Speech Services, SQL Database, SQL Managed Instance, SQL Server Stretch Database, Storage, StorSimple, Stream Analytics, Synapse Analytics, Text Analytics, Traffic Manager, Azure AI Translator, Virtual Machines, Virtual Machine Scale Sets, Virtual Network och VPN Gateway. |
| Microsoft Defender for Cloud Apps | Molntjänstdelen av Microsoft Defender for Cloud Apps (tidigare Microsoft Cloud App Security). |
| Microsoft Intune Onlinetjänster | Molntjänstdelen av Microsoft Intune. |
| Microsoft Power Platform Core Services | Följande tjänster, vardera som fristående tjänst eller som del av en Office 365- eller Microsoft Dynamics 365-plan eller -svit: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages och Microsoft Copilot Studio. Microsoft Power Platform Core Services omfattar ingen klientprogramvara, inklusive, men inte begränsat till, Power BI Report Server, Power BI, PowerApps eller Microsoft Power mobilappar, Power BI Desktop eller Power Apps Studio. |
| Microsoft Defender for Endpoint Services | Molntjänstdelen av Microsoft Defender for Endpoint. |
| Microsoft Defender for Identity | Molntjänstdelen av Microsoft Defender for Identity. |
| Microsoft Defender XDR | Molntjänstdelen av Microsoft Defender XDR. |
| Microsoft Sentinel | Molntjänstdelen av Microsoft Sentinel. |
| Windows 365 | Molntjänstdelen i Windows 365, exklusive Windows-operativsystemet som körs på Windows 365 Molnbaserade datorer. |
Säkerhetsförfaranden och säkerhetspolicyer för Centrala Onlinetjänster
Utöver de säkerhetsrelaterade metoder och policyer för Onlinetjänster som anges i DPA uppfyller varje central Onlinetjänst dessutom de kontrollstandarder och ramverk som visas i tabellen nedan, och inför och upprätthåller de säkerhetsåtgärderna som anges i bilaga A i DPA för skydd av kunddata.
| Onlinetjänst | SSAE 18 SOC 1 Typ II | SSAE 18 SOC 2 Typ II |
|---|---|---|
| Office 365-tjänster | Ja | Ja |
| Microsoft 365 Compliance Services | Ja | Ja |
| Microsoft Dynamics 365 Core-tjänster | Ja | Ja |
| Microsoft Azure Core Services | Varierar* | Varierar* |
| Microsoft Defender for Cloud Apps | Ja | Ja |
| Microsoft Intune Onlinetjänster | Ja | Ja |
| Microsoft Power Platform Core Services | Ja | Ja |
| Microsoft Defender for Endpoint Services | Ja | Ja |
| Microsoft Defender for Identity | Ja | Ja |
| Microsoft Defender XDR | Ja | Ja |
| Microsoft Sentinel | Ja | Ja |
| Windows 365 | Ja | Ja |
*Aktuell omfattning beskrivs i granskningsrapporten och sammanfattas i Microsoft Trust Center.
Plats för vilande kunddata för Centrala Onlinetjänster
Vad gäller centrala Onlinetjänster ska Microsoft lagra vilande kunddata inom vissa större geografiska områden (vardera ett geografiskt område) enligt följande, såvida inget annat anges i de särskilda villkoren för Onlinetjänsten:
- Office 365-tjänster. Om Kunden förser sin klientorganisation i Australien, Brasilien, Kanada EU, Frankrike, Tyskland, Indien, Japan, Norge, Qatar, Sydafrika, Sydkorea, Sverige, Schweiz, Storbritannien, Förenade Arabemiraten eller USA ska Microsoft lagra följande vilande kunddata endast inom det geografiska området: (1) Exchange Online-postlådeinnehåll (e-postinnehåll, kalenderposter och innehållet i e-postbilagor), (2) SharePoint Online-webbplatsinnehåll och filer som lagras inom den webbplatsen, (3) filer som överförs till OneDrive for Business, (4) Microsoft Teams-chattmeddelanden (inklusive privata meddelanden, kanalmeddelanden, mötesmeddelanden och bilder som används i chattar), och för kunder som använder Microsoft Stream (Klassisk) (på SharePoint), inspelningar av möten, och (5) eventuellt lagrat innehåll från interaktioner med Microsoft Copilot for Microsoft 365 i den utsträckning som inte omfattas av föregående åtaganden. Om Kunden köper en Advanced Data Residency-prenumeration lagrar Microsoft vissa vilande Kunddata i tillämpligt Geografiskt område i enlighet med detta avsnitt och avsnittet ”Advanced Data Residency-åtaganden” i produktdokumentationen på https://aka.ms/adroverview.
- Microsoft Intune Onlinetjänster. När Kunden tillhandahåller ett klientorganisationskonto för Microsoft Intune för distribution inom ett tillgängligt geografiskt område ska Microsoft för den tjänsten lagra vilande kunddata i det angivna geografiska området, med undantag för vad som anges i Microsoft Intune Trust Center.
- Microsoft Power Platform Core Services. När Kunden tillhandahåller en Power Platform Core-tjänst för distribution inom ett tillgängligt geografiskt område ska Microsoft för den tjänsten lagra vilande kunddata i det angivna geografiska området, med undantag för vad som anges i Microsoft Power Platform Trust Center.
- Microsoft Azure Core Services. Om Kunden konfigurerar en särskild tjänst som ska distribueras inom ett geografiskt område ska Microsoft för den tjänsten lagra vilande kunddata inom det angivna geografiska området. Med vissa tjänster kan det hända att Kunden inte kan konfigurera distributionen i ett särskilt geografiskt område eller utanför USA, och att säkerhetskopior lagras på andra platser. Se Microsoft Trust Center (som Microsoft får uppdatera från tid till annan, men Microsoft ska däremot inte lägga till undantag för befintliga Tjänster som är allmänt tillgängliga) för mer information.
- Microsoft Defender for Cloud Apps. Om Kunden förser sin klient i EU eller USA kommer Microsoft att lagra vilande kunddata endast inom det geografiska området, med undantag för vad som beskrivs i Microsoft Defender for Cloud Apps Trust Center.
- Microsoft Dynamics 365 Core-tjänster. När Kunden tillhandahåller en Dynamics 365 Core-tjänst för distribution inom ett tillgängligt geografiskt område ska Microsoft för den tjänsten lagra vilande kunddata i det angivna geografiska området, med undantag för vad som anges i Microsoft Dynamics 365 Trust Center.
- Microsoft Defender for Endpoint Services. När Kunden förser en klientorganisation för Microsoft Defender for Endpoint för distribution inom ett tillgängligt geografiskt område ska Microsoft för den tjänsten lagra vilande kunddata i det angivna geografiska området, med undantag för vad som anges i Microsoft Defender for Endpoint Trust Center.
- Microsoft Defender for Identity. När Kunden förser en klientorganisation för Microsoft Defender for Identity för distribution inom ett tillgängligt geografiskt område ska Microsoft för den tjänsten lagra vilande kunddata i det angivna geografiska området, med undantag för vad som anges i Microsoft Defender for Identity Trust Center.
- Microsoft Defender XDR. När kunden tillhandahåller en Microsoft Defender XDR-klientorganisation som ska distribueras inom ett tillgängligt geografiskt område ska Microsoft lagra vilande kunddata för den tjänsten i det angivna geografiska området, med undantag för vad som anges i Microsoft Defender XDR Trust Center.
- Windows 365. När en Windows 365-klientorganisation distribueras inom ett tillgängligt geografiskt område ska Microsoft för den klientorganisationen lagra vilande kunddata inom det specifika geografiska området. Om Kunden tillhandahåller Windows 365 molnbaserade datorer inom samma klientorganisation i olika tillgängliga geografiska områden ska Microsoft lagra molnbaserade datorers vilande kunddata inom det specifika geografiska området.
EU-datagränstjänster
Termen ”EU-datagräns” avser de Microsoft-datorer, databehandlingsmiljöer och fysiska datacenter som enbart är belägna inom Europeiska unionen (EU) och Europeiska frihandelssammanslutningen (EFTA). Termen ”EU-datagränstjänster” gäller endast Onlinetjänsterna i tabellen nedan, utom eventuella förhandsversioner.
| EU-datagränstjänster | |
|---|---|
| Azure | Azure-tjänster som möjliggör distribution inom EU-datagränsen och följande icke regionala tjänster: Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, Azure Communication Services, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Azure Kubernetes Service på Azure Stack HCI, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager, Translator |
| Dynamics 365 | Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management |
| Microsoft 365 | Cortana, Customer Lockbox, Exchange Online, Exchange Online Archiving för Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (Classic) (på SharePoint), Microsoft Teams, Microsoft To-Do, Office på webben, Onlinetjänster tillhandahållna som del av Microsoft 365 Apps, OneDrive for Business, SharePoint Online, Sway, Whiteboard, Viva Engage, Microsoft Copilot för Microsoft 365, Communications Compliance, eDiscovery och Audit, Insider Risk Management, Information Barriers, Microsoft Purview Data Loss Prevention, Microsoft Intune, Priva Privacy Risk Management, Priva Subject Rights Management, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft Copilot for Sales och Microsoft Viva Topics |
| Power Platform | Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio |
Plats för kunddata för EU-datagränstjänster
För EU-datagränstjänster kommer Microsoft att lagra och bearbeta kunddata och personuppgifter inom EU-datagränsen enligt vad som anges nedan.
Kunden måste konfigurera EU-datagränstjänster enligt följande:
- För Azure måste Kunden distribuera tjänsten till en Azure-region som är belägen inom EU-datagränsen. Mer information finns i Datahemvist i Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency). För tjänster som inte möjliggör distribution till en viss Azure-region måste kunden följa instruktionerna i Configuring Azure non-regional services for the EU Data Boundary (eng) (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
- För Dynamics 365 och Power Platform, om Kunden förser en klientorganisation med faktureringsadress inom EU eller EFTA omfattas den klientorganisationen av EU-datagränsen om Kunden också skapar alla sina miljöer i ett geo-område innanför EU-datagränsen.
- Om kunden tillhandahåller en klientorganisation i EU eller EFTA för Microsoft 365 ingår den klientorganisationen inom EU-datagränsen utom för klientorganisationer där kunden också har köpt Microsoft 365 med Multi-Geo Capabilities-tillägget som ger kunder möjlighet att expandera Microsoft 365-klientorganisationen till flera geografiska regioner eller länder (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).
Användning av tjänster inom EU-datagränsen kan medföra begränsad överföring av kunddata eller personuppgifter utanför EU-datagränsen såsom anges nedan och vidare beskrivs i transparensdokumentationen om EU-datagränsen på https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn eller en plats som anges senare. Sådana eventuella överföringar kommer ske i enlighet med dataskyddstillägget och produktvillkoren.
- Fjärråtkomst. Microsoft-personal belägen utanför EU-datagränsen får med fjärråtkomst tillgå databehandlingssystem inom EU-datagränsen efter behov för att driva, felsöka och hålla EU-datagränstjänsterna säkra.
- Kundinitierade överföringar. Kunder får initiera överföringar utanför EU-datagränsen, exempelvis genom att tillgå EU-datagränstjänster från platser utanför EU-datagränsen, skicka ett e-postmeddelande till en mottagare belägen utanför EU-datagränsen, eller använda EU-datagränstjänster i kombination med andra tjänster som inte befinns inom EU-datagränsen.
- Skydda kunder. Microsoft överför begränsade data utanför EU-datagränsen efter behov för att detektera och skydda kunder mot säkerhetshot.
- Katalogdata. Microsoft får replikera begränsade Microsoft Entra ID-katalogdata från Microsoft Entra ID (inbegripet användarnamn och e-postadress) utanför EU-datagränsen för att tillhandahålla tjänsten.
- Nätverkstransit. För att reducera routningssvarstid och bibehålla routningsåterhämtning använder Microsoft variabla nätverkssökvägar som emellanåt kan medföra överföring av data utanför EU-datagränsen.
- Kvalitet i och hantering av tjänster och plattform. Vid behov av övervakning och underhåll av kvalitet i tjänsten, eller för att säkerställa exaktheten i statistiska mått på tjänstens användning eller prestanda, kan pseudonymiserade personuppgifter överföras utanför EU-datagränsen.
- Tjänstspecifika överföringar. Se ovan nämnda transparensdokumentation för information om överföringar tillämpliga på specifika EU-datagränstjänster.