Dažnai užduodami klausimai apie BDAR

Norėdami padėti jums ir jūsų organizacijai pasirengti BDAR, sudarėme dažnai užduodamų klausimų ir, svarbiausia, atsakymų sąrašą.


|

Taip. Pagal BDAR, valdytojai (pvz., organizacijos, naudojančios „Microsoft“ įmonėms skirtas internetines tarnybas) turi bendradarbiauti tik su tokiais tvarkytojais (pvz., „Microsoft“), kurie suteikia pakankamas garantijas dėl pagrindinių BDAR reikalavimų atitikimo. „Microsoft“ ėmėsi aktyvių veiksmų, kad šie įsipareigojimai būtų įtraukti į visų bendrojo licencijavimo klientų sutartis.

 

„Microsoft“ sutartinius įsipareigojimus, susijusius su BDAR, galite rasti dalyje Klientų sutartys BDAR apžvalgos puslapis.

 

„Microsoft“ teikia priemones ir dokumentus, kad palaikytų jūsų BDAR atskaitomybę. Tai apima duomenų subjekto teisių palaikymą, savo duomenų apsaugos poveikio vertinimų atlikimą ir bendradarbiavimą sprendžiant asmens duomenų pažeidimus. Apsilankykite BDAR apžvalgos puslapis.

 

„Microsoft“ BDAR sąlygose atsispindi 28 straipsnyje nurodyti įsipareigojimai, kurių reikalaujama iš tvarkytojų. 28 straipsnyje reikalaujama, kad tvarkytojai įsipareigotų:

  • su antriniais tvarkytojais bendradarbiauti tik gavę valdytojo sutikimą ir išlikti atsakingais už antrinius tvarkytojus;
  • asmens duomenis tvarkyti tik gavę valdytojo nurodymus, įskaitant susijusius su perdavimais;
  • užtikrinti, kad asmens duomenis tvarkantys asmenys laikytųsi konfidencialumo;
  • įgyvendinti reikiamas technines ir organizacines priemones, kad būtų užtikrintas riziką atitinkantis asmens duomenų saugos lygis;
  • padėti valdytojams vykdyti savo įsipareigojimus, atsakant į duomenų subjektų prašymus pasinaudoti savo BDAR teisėmis;
  • atitikti pranešimo apie pažeidimus ir pagalbos reikalavimus;
  • padėti valdytojams vykdyti duomenų apsaugos vertinimus ir konsultacijas su priežiūros institucijomis;
  • panaikinti arba grąžinti asmens duomenis baigus teikti paslaugas;
  • palaikyti valdytoją pateikiant įrodymus dėl BDAR atitikties.

 

 

Kaip duomenų perdavimo pagrindą savo įmonių internetinėms tarnyboms „Microsoft“ jau seniai naudoja Standartines sutarčių nuostatas (dar vadinamas pavyzdinėmis nuostatomis). Standartinės sutarčių nuostatos – tai standartinės Europos Komisijos pateiktos sąlygos, kurias galima naudoti perduodant duomenis už Europos ekonominės erdvės ribų nepažeidžiant reikalavimų. „Microsoft“ Standartines sutarčių nuostatas yra įtraukusi į visas mūsų bendrojo licencijavimo sutartis per internetinių tarnybų naudojimo sąlygos. 29 straipsnio darbo grupė nustatė, kad „Microsoft“ tinkamai įgyvendina Standartines sutarčių nuostatas.

 

Kai tapo prieinama ES-JAV privatumo apsaugos sistema, „Microsoft“ tapo pirmąja sertifikuota įmone. Žr. „Microsoft“ Privatumo apsaugos sertifikatas ir skaitykite internetinių tarnybų sąlygos. ES-JAV privatumo apsauga padeda klientams, norintiems perduoti savo duomenis į JAV taip, kad tai nepažeistų jų duomenų apsaugos įsipareigojimų.

 

„Microsoft“, kaip pasaulinė įmonė, turinti klientų beveik kiekvienoje pasaulio šalyje, turi didelį atitikties pasiūlymų paketą, kad galėtų padėti klientams. Norėdami peržiūrėti visą mūsų atitikties pasiūlymų (įskaitant „FedRamp“, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, „UK G-Cloud“ ir daugelį kitų) sąrašą, apsilankykite mūsų atitikties pasiūlymų sąrašas.

|

 

Norėdami rasti informacijos apie „Microsoft“ paslaugų galimybes, naudojamas BDAR reikalavimams tenkinti, apsilankykite www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation.

 

BDAR nustato įvairius reikalavimus organizacijoms, renkančioms arba tvarkančioms asmens duomenis, įskaitant reikalavimą laikytis šešių pagrindinių principų.

  • Skaidrumas, teisingumas ir teisėtumas tvarkant bei naudojant asmens duomenis. Turėsite aiškiai nurodyti asmenims, kaip naudojate asmens duomenis, bei užtikrinti, kad turite „teisėtą pagrindą“ tiems duomenims tvarkyti.
  • Asmens duomenys turi būti tvarkomi tik nurodytais, aiškiais ir teisėtais tikslais. Negalėsite pakartotinai naudoti arba atskleisti asmens duomenų tikslais, kurie nėra suderinami su tikslu, kuriuo duomenys buvo iš pradžių renkami.
  • Asmens duomenų rinkimo ir saugojimo mažinimas, kad jų būti tik tiek ir tokių, kokių reikia numatytam tikslui.
  • Asmens duomenų tikslumo  ir galimybės juos ištrinti arba taisyti užtikrinimas. Turėsite imtis veiksmų užtikrinti, kad jūsų turimi asmens duomenys yra tikslūs ir gali būti pataisyti, atsiradus klaidai.
  • Asmens duomenų saugojimo apribojimas. Turėsite užtikrinti, kad asmens duomenys saugote tik tiek laiko, kiek reikia, kad būtų pasiekti tikslai, dėl kurių duomenys buvo surinkti.
  • Asmens duomenų saugumo, vientisumo ir konfidencialumo užtikrinimas. Jūsų organizacija turi imtis veiksmų, kad apsaugotų asmens duomenis techninėmis ir organizacinėmis saugos priemonėmis.

Turėsite suprasti, kokie yra jūsų organizacijos su BDAR susiję įsipareigojimai ir kaip jie bus įgyvendinami, nors „Microsoft“ bus čia, kad padėtų jums pasirengti BDAR.

Norėdami sužinoti daugiau apie Bendrasis duomenų apsaugos reglamentas (BDAR), apsilankykite www.microsoft.com/gdpr, kur taip pat galite daugiau sužinoti apie tai, kaip tam tikri „Microsoft“ produktai gali padėti jums pasirengti BDAR atitikčiai. Žr. skyrius apie „Azure“, „Dynamics 365“, „Enterprise Mobility + Security“, „Office 365“ ir „Windows 10“.

BDAR suteikia ES gyventojams galimybę valdyti savo asmens duomenis, pasinaudojant „duomenų subjektų teisių“ rinkiniu. Jis apima teisę:

  • pasiekti informaciją apie tai, kaip naudojami asmens duomenys;
  • pasiekti organizacijos turimus asmens duomenis;
  • panaikinti arba pataisyti neteisingus asmens duomenis;
  • tam tikromis aplinkybėmis pataisyti ir ištrinti asmens duomenis (kartais tai vadinama „teise būti pamirštam“);
  • apriboti automatizuotą asmens duomenų tvarkymą arba jam prieštarauti;
  • gauti asmens duomenų kopiją.

Valdytojas yra fizinis arba juridinis asmuo, valstybės valdžios institucija, agentūra ar kitas organas, kuris atskirai arba kartu su kitais nustato asmens duomenų tvarkymo tikslus ir būdus. Tvarkytojas yra fizinis arba juridinis asmuo, valstybės valdžios institucija, agentūra ar kitas organas, kuris tvarko asmens duomenis valdytojo vardu.

Taip, BDAR taikomas ir valdytojams, ir tvarkytojams. Valdytojai turi bendradarbiauti tik su tais tvarkytojais, kurie stengiasi atitikti BDAR reikalavimus.

 

Pagal BDAR, lyginant su Duomenų apsaugos direktyva, tvarkytojams taikomos papildomos pareigos ir atsakomybė už reikalavimų nesilaikymą arba už veiksmus, atliekamus ne pagal valdytojo pateiktus nurodymus. Tvarkytojo pareigos apima (tuo neapsiribojant):

  • duomenų tvarkymą tik kaip nurodo valdytojas;
  • atitinkamų techninių ir organizacinių priemonių naudojimą asmens duomenims apsaugoti;
  • pagalbą valdytojui su duomenų subjektų užklausomis;
  • užtikrinimą, kad antriniai tvarkytojai, su kuriais bendradarbiaujama, laikytųsi šių reikalavimų.

Dėl tam tikrų BDAR reikalavimų nevykdymo įmonėms gali būti skirtos baudos iki 20 mln. eurų arba 4 proc. metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Jei nesilaikysite BDAR reikalavimų, papildomi teisės gynimo būdai gali padidinti jūsų riziką.

Tai priklauso nuo kelių reglamente nurodytų veiksnių. BDAR 37 straipsnyje nurodyta, kad valdytojai ir tvarkytojai turi paskirti duomenų apsaugos pareigūną visais atvejais, kai: (a) tvarkymą atlieka valstybės valdžios institucija ar įstaiga, išskyrus teismus, kurie veikia pagal savo teisminę kompetenciją; (b) pagrindinę valdytojo arba tvarkytojo veiklą sudaro tvarkymo operacijos, kurias atliekant, dėl jų pobūdžio, taikymo srities ir (arba) tikslų, reikia reguliariai ir sistemingai stebėti duomenų subjektus plačiu mastu; arba (c) pagrindinę valdytojo arba tvarkytojo veiklą sudaro specialiųjų kategorijų duomenų (9 straipsnis) ir asmens duomenų, susijusių su apkaltinamaisiais nuosprendžiais ir nusikaltimais, nurodytais 10 straipsnyje, tvarkymas plačiu mastu.

Daugumai organizacijų atitikimas BDAR kainuos laiko ir pinigų, tačiau sklandžiau pereis tie, kurie veikia gerai parengtame debesies paslaugų modelyje ir turi efektyvią duomenų valdymo programą.

|

BDAR reguliuoja asmens duomenų rinkimą, saugojimą, naudojimą ir bendrinimą. BDAR asmens duomenys yra labai plačiai apibrėžiami kaip bet kokie duomenys, susiję su fiziniu asmeniu, kurio tapatybė yra arba gali būti nustatyta.

 

Asmens duomenys gali apimti (tuo neapsiribojant) internetinius identifikatorius (pvz., IP adresus), darbuotojų informaciją, pardavimo duomenų bazes, klientų paslaugų duomenis, klientų atsiliepimų formas, vietos duomenis, biometrinius duomenis, CCTV filmuotą medžiagą, lojalumo schemų įrašus, sveikatos ir finansinę informaciją ir dar daugiau. Jie netgi gali apimti informaciją, kuri neatrodo asmeninė (pvz., kraštovaizdžio nuotrauka be žmonių), tačiau kuri pagal paskyros numerį arba unikalų kodą yra susieta su identifikuojamu asmeniu. Be to, net į pseudonimą pakeisti asmens duomenys gali būti laikomi asmens duomenimis, jei pseudonimą galima susieti su konkrečiu asmeniu.

 

Taip pat turėtumėte žinoti, kad tam tikrų „specialiųjų“ kategorijų asmens duomenų (pvz., asmens duomenų, kurie atskleidžia asmens rasinę ar etninę kilmę arba jo sveikatos būklę ar lytinę orientaciją) tvarkymui taikomos griežtesnės taisyklės nei „įprastų“ asmens duomenų tvarkymui.

 

Šis asmens duomenų įvertinimas itin priklauso nuo faktų, todėl rekomenduojame specifinėms aplinkybėms įvertinti paskirti ekspertą.

Taip. Nors taisyklės šiek tiek skiriasi, BDAR taikoma organizacijoms, kurios renka ir tvarko duomenis savo reikmėms (valdytojai), ir organizacijoms, kurios tvarko duomenis kitų vardu (tvarkytojai). Tai yra skirtumas nuo esamos Duomenų apsaugos direktyvos, kuri taikoma valdytojams.

Asmens duomenys – tai bet kokia informacija, susijusi su asmeniu, kurio tapatybė yra arba gali būti nustatyta. Skirtumo tarp asmens asmeninių, viešųjų arba darbo vaidmenų nėra. Asmens duomenys gali apimti:

 

Asmens duomenų pavyzdžiai:

 

Tapatybė

  • Vardas, pavardė
  • Namų adresas
  • Darbo adresas
  • Telefono numeris
  • Mobiliojo telefono numeris
  • El. pašto adresas
  • Paso numeris
  • Asmens tapatybės kortelė
  • Socialinio draudimo numeris (arba atitikmuo)
  • Vairuotojo pažymėjimas
  • Fizinė, fiziologinė arba genetinė informacija
  • Medicininė informacija
  • Kultūrinė tapatybė

Finansai

  • Banko rekvizitai / sąskaitų numeriai
  • Mokesčių mokėtojo numeris
  • Darbo adresas
  • Kredito / debeto kortelių numeriai
  • Socialinės medijos įrašai

Internetiniai artefaktai

  • Socialinės medijos įrašai
  • IP adresas (ES regionas)
  • Vieta / GPS duomenys
  • Slapukai

Taip, tačiau BDAR griežtai reguliuoja Europos gyventojų asmens duomenų perdavimą į vietas už Europos ekonominės erdvės ribų. Jei norite atlikti tokius perdavimus, jums gali tekti nustatyti konkretų teisinį mechanizmą (pvz., sutartis) arba laikytis sertifikavimo mechanizmo. „Microsoft“ išsamiai aprašo mechanizmus, kuriuos naudojame internetinių paslaugų sąlygose.

Jei yra teisėtas pagrindas tęsti tvarkymą ir duomenų saugojimą, pvz., „siekiant laikytis Sąjungos ar valstybės narės teise, kuri taikoma duomenų valdytojui, nustatytos teisinės prievolės, kuria reikalaujama tvarkyti duomenis“ (17 straipsnio 3 dalies b punktas), BDAR pripažįsta, kad organizacijoms gali reikėti saugoti duomenis. Tačiau turėtumėte su savo teisės patarėju užtikrinti, kad saugojimo pagrindai būtų svarūs, atsižvelgiant į duomenų subjektų teises ir laisves, jų lūkesčius tuo metu, kai duomenys buvo surinkti, ir t. t.

Šifravimas identifikuojamas BDAR kaip apsaugos priemonė, dėl kurios asmens duomenys tampa nesuprantami, kai jie yra pažeidžiami. Todėl, nesvarbu, ar naudojamas šifravimas, reikalavimai pranešimui apie asmens duomenų pažeidimą gali būti paveikti. BDAR taip pat nurodo, kad tam tikrais atvejais, priklausomai nuo rizikos, šifravimas yra tinkama techninė arba organizacinė priemonė. Šifravimas taip pat yra mokėjimo kortelių rinkos duomenų saugos standarto reikalavimas ir griežtų finansinių paslaugų rinkos atitikties taisyklių dalis. „Microsoft“ produktai ir paslaugos (pvz., „Azure“, „Dynamics 365“, „Enterprise Mobility + Security“, „Office 365“, „SQL Server“ / „Azure SQL“ duomenų bazė ir „Windows 10“) užtikrina patikimą duomenų tiek perduodamų, tiek saugomų šifravimą.

 

Norėdami sužinoti daugiau apie tai, kaip „Microsoft“ produktai ir paslaugos gali padėti jums pasirengti laikytis BDAR kaip mūsų produktai padeda atitikti BDAR reikalavimus.

BDAR pakeis duomenų apsaugos reikalavimus ir sugriežtins tvarkytojų bei valdytojų prievoles dėl pranešimo apie asmens duomenų pažeidimus. Pagal naująjį reglamentą tvarkytojas turi pranešti duomenų valdytojui apie asmens duomenų pažeidimą, kai apie tai sužino, nepagrįstai nedelsdamas. Sužinojęs apie asmens duomenų pažeidimą, valdytojas turi apie tai pranešti atitinkamai duomenų apsaugos institucijai per 72 valandas. Jei dėl pažeidimo gali kilti didelis pavojus asmenų teisėms ir laisvėms, valdytojai taip pat turės nedelsdami pranešti paveiktiems asmenims. Papildomas rekomendacijas šia tema rengia ES 29 straipsnio darbo grupė.

 

„Microsoft“ produktai ir paslaugos (pvz., „Azure“, „Dynamics 365“, „Enterprise Mobility + Security“, „Office 365“ ir „Windows 10“) šiandien turi sprendimų, kurie padės aptikti ir įvertinti saugos grėsmes bei pažeidimus ir įgyvendinti BDAR pranešimo apie pažeidimus įsipareigojimus.

|

„Microsoft FastTrack“ – tai paslaugos privilegija*, mūsų klientų sėkmės paslauga, padedanti įmonėms greičiau suprasti verslo vertę naudojant „Microsoft“ debesį. „FastTrack“ padeda:

  • perkelti el. paštą, turinį ir teikia informacijos apie „Microsoft 365“ tarnybas;
  • įdiegti ir saugiai valdyti įrenginius;
  • suteikti daugiau galimybių jūsų įmonei ir užtikrinti sklandžią galutinio vartotojo naudojimo pradžią.

„Microsoft FastTrack“ – tai nuolatinė ir kartotinė paslaugos privilegija, teikiama klientams „Microsoft“ inžinierių ir specialistų, kad padėtų klientams arba partneriams planuoti, pasirengti ir paskatinti naudotis, taip pat padėti užtikrintai pereiti į debesį ir klientų ir partnerių tempu.

 

Kai mes padedame klientams atlikti tam tikrus diegimus ir perkėlimą į mūsų internetines tarnybas, „Microsoft FastTrack“ užtikrina, kad 2018 m. gegužės 25 d. įsigaliojus BDAR, būtų laikomasi jo reikalavimų. Mes ne tik teikiame „FastTrack“ profesionalios paslaugos privilegiją, bet taip pat bendradarbiaujame su kliento esamu (-ais) partneriu (-iais) arba rekomenduojame Partnerius, jei reikia diegimo ir naudojimo pradžios pagalbos.

 

Jei reikia daugiau informacijos, https://FastTrack.Microsoft.com.

 

*„Paslaugos privilegija“ yra laikoma „profesionalia paslauga“, kaip apibrėžta mūsų OST ir MBSA.

„FastTrack“ inžinieriai ir specialistai yra rinkos ekspertai planuojant scenarijus ir verslo vertę, kurią nori pasiekti klientai arba partneriai, ir jie orientuojasi į produktų bei paslaugų planavimą, diegimą ir naudojimo pradžią, kad padėtų klientams arba partneriams pasiekti šiuos tikslus. Sužinokite daugiau apie tai, kaip „Microsoft“ produktai ir paslaugos palaiko jūsų BDAR atitiktį, apsilankę mūsų Patikimumo centro svetainėje. Raginame savo klientus ir partnerius bendradarbiauti su kvalifikuotu teisės profesionalu ir aptarti, kaip BDAR konkrečiai taikomas jų organizacijai ir kaip geriausiai užtikrinti atitiktį.

Rekomenduojame klientams bendradarbiauti su savo teisės ir atitikties komandoms, kad būtų nustatyti BDAR šifravimo ir bendrieji reikalavimai. BDAR atitiktis priklauso nuo surinktų kliento duomenų, naudojimo scenarijų ir rinkos sektorių ar vektorių.

„Microsoft FastTrack“ yra klientų sėkmės paslauga, skirta sparčiau diegti, IG ir užtikrinti sklandesnę jūsų darbuotojų ar galutinių „Microsoft“ produktų ir paslaugų vartotojų naudojimo pradžią. Atsižvelgiant į tai, kai klientai arba partneriai pateiks pagalbos prašymą per „Microsoft FastTrack“, pradėsime tinkamo „Microsoft“ produktų ir paslaugų diegimo klientams arba partneriams procesą.

 

Mes ne tik teikiame savo „FastTrack“ profesionalios paslaugos privilegiją, bet taip pat bendradarbiaujame su kliento esamu (-ais) partneriu (-iais) arba rekomenduojame Partnerius, jei reikia diegimo ir naudojimo pradžios pagalbos. Daugiau apie partnerius, kurie specializuojasi BDAR ir gali padėti „Microsoft“ partneriams laikytis reikalavimų, kaip aprašyta patikimumo centro BDAR puslapyje, galite sužinoti čia. Norėdami įvertinti savo pasirengimą BDAR ir sužinoti, kaip galite paspartinti BDAR ir „Microsoft“ debesies atitiktį, galite eiti į Patikimas debesies / BDAR tinklalapis , o jei reikia diegimo pagalbos, naudokite „Microsoft FastTrack“.


Papildomi ištekliai

Raskite partnerį

Tenkinkite savo su BDAR susijusius poreikius bendradarbiaudami su vienu iš mūsų pasaulinių partnerių, siūlančiu „Microsoft“ pagrįstus sprendimus.

„Microsoft“ privatumo praktika

Sužinokite, kaip „Microsoft“ tvarko jūsų duomenis, kur jie yra, kas gali juos pasiekti ir kokiomis sąlygomis ir t. t.

ES-JAV privatumo apsauga

Sužinokite, kaip „Microsoft“ laikosi ES-JAV privatumo apsaugos sistemos principų.

Pranešimas apie duomenų pažeidimą

Kaip „Microsoft“ aptinka ir reaguoja į asmens duomenų pažeidimą ir kaip praneša jums vadovaudamasi BDAR.