Bieži uzdotie jautājumi par VDAR

Lai palīdzētu jums un jūsu organizācijai ceļā uz atbilstību VDAR prasībām, esam apkopojuši sarakstu ar bieži uzdotiem jautājumiem, uz kuriem sniegtas atbildes.


|

Jā. VDAR paredz, ka pārziņi (piemēram, organizācijas, kas izmanto Microsoft uzņēmumiem paredzētos tiešsaistes pakalpojumus) drīkst izmantot tikai tādu apstrādātāju (piemēram, Microsoft) pakalpojumus, kas nodrošina pietiekamu garantiju VDAR galveno prasību ievērošanai. Korporācija Microsoft ir veikusi proaktīvu darbību, iekļaujot šīs saistības visu lielapjoma licencēšanas klientu līgumos.

 

Microsoft līgumsaistības attiecībā uz VDAR ir pieejamas klientu līgumu sadaļā VDAR pārskata lapā.

 

Microsoft nodrošina rīkus un dokumentāciju, kas palīdz nodrošināt atbilstību VDAR prasībām. Tas ietver datu subjektu tiesību atbalstu, iespēju patstāvīgi veikt datu aizsardzības ietekmes novērtējumus, kā arī kopīgu darbu personas datu drošības pārkāpumu gadījumā. Apmeklējiet VDAR pārskata lapu.

 

Microsoft VDAR nosacījumos atspoguļotas apstrādātāju saistības, kas norādītas 28. pantā. 28. pantā norādītas tālāk aprakstītās saistības.

  • Apakšapstrādātāju pakalpojumus drīkst izmantot tikai ar pārziņa atļauju, kā arī jāatbild par apakšapstrādātāju darbībām.
  • Personas datus drīkst apstrādāt tikai atbilstoši pārziņa norādījumiem, tostarp attiecībā uz pārsūtīšanu.
  • Jāgādā, lai personas, kuras apstrādā personas datus, būtu apņēmušās ievērot konfidencialitāti.
  • Jāīsteno pienācīgi tehniski un organizatoriski pasākumu, lai nodrošinātu riskam atbilstošu personas datu aizsardzību.
  • Jāpalīdz pārziņiem pildīt saistības, atbildot uz datu subjektu pieprasījumiem īstenot viņu tiesības saskaņā ar VDAR.
  • Jānodrošina atbilstība prasībām par paziņošanu par drošības pārkāpumiem un palīdzības sniegšanu.
  • Jāpalīdz pārziņiem veikt datu aizsardzības ietekmes novērtējumus un apspriesties ar uzraudzības iestādēm.
  • Jāizdzēš vai jāatgriež personas dati pakalpojumu sniegšanas beigās.
  • Jāatbalsta pārzinis ar informāciju, kas pierāda atbilstību VDAR prasībām.

 

 

Microsoft jau ilgstoši izmanto līguma standartklauzulas (dēvētas arī par modeļklauzulām) kā pamatu savu uzņēmumiem paredzēto tiešsaistes pakalpojumu datu pārsūtīšanai. Līguma standartklauzulas ir standarta noteikumi, ko nodrošina Eiropas Komisija un ko var izmantot, lai atbilstīgā veidā pārsūtītu datus ārpus Eiropas Ekonomikas zonas. Korporācija Microsoft ir iekļāvusi līguma standartklauzulas visos savos lielapjoma licencēšanas līgumos, izmantojot tiešsaistes pakalpojumu noteikumus. 29. panta darba grupa ir konkrēti konstatējusi, ka Microsoft ieviestās līguma standartklauzulas atbilst prasībām.

 

Kad kļuva pieejams ES–ASV Privātuma vairogs, Microsoft bija pirmais uzņēmums, kas ieguva tam atbilstošu sertifikātu. Skatiet Microsoft piešķirto Privātuma vairoga sertifikātu un izlasiet tiešsaistes pakalpojumu nosacījumus. ES–ASV Privātuma vairogs palīdz klientiem, kuri vēlas pārsūtīt datus uz ASV, to paveikt veidā, kas atbilst viņu saistībām attiecībā uz datu aizsardzību.

 

Microsoft ir globāls uzņēmums ar klientiem gandrīz visās pasaules valstīs, tādēļ piedāvā apjomīgu atbilstības portfeli, lai palīdzētu klientiem. Lai skatītu pilnu sarakstu ar mūsu atbilstības piedāvājumiem, tostarp FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud un daudziem citiem, apmeklējiet mūsu atbilstības piedāvājumu sarakstu.

|

 

Lai atrastu informāciju par Microsoft pakalpojumu iespējām, kas tiek izmantotas, lai nodrošinātu atbilstību VDAR prasībām, apmeklējiet vietni www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation.

 

VDAR izvirza dažādas prasības organizācijām, kas apkopo vai apstrādā personas datus, tostarp prasību ievērot sešus pamatprincipus, kas aprakstīti tālāk.

  • Pārredzamība, godprātība un likumīgums attiecībā uz personas datu apstrādi un izmantošanu. Jums skaidri jāinformē personas par to, kā izmantojat personas datus, kā arī nepieciešams “likumīgs pamats” attiecīgo datu apstrādei.
  • Personas datu apstrāde jāierobežo līdz konkrētiem, skaidriem un leģitīmiem nolūkiem. Jūs nevarēsit atkārtoti izmantot vai izpaust personas datus nolūkiem, kas nav “saderīgi” ar nolūku, kuram dati sākotnēji tika apkopoti.
  • Personas datu apkopošana un glabāšana tādā minimālajā apjomā, kas ir pietiekams un atbilstošs paredzētajam nolūkam.
  • Personas datu precizitātes nodrošināšana un nodrošināta iespēja tos izdzēst vai labot. Jums jāveic nepieciešamās darbības, lai gādātu par jūsu rīcībā esošo personas datu precizitāti un iespēju tos labot kļūdu gadījumā.
  • Personas datu glabāšanas ierobežošana. Jums jāgādā par to, lai personas dati tiktu glabāti tikai tik ilgi, cik nepieciešams, lai īstenotu mērķus, saistībā ar kuriem šie dati tika apkopoti.
  • Gādāšana par personas datu aizsardzību, integritāti un konfidencialitāti. Jūsu organizācijai jāgādā par personas datu aizsardzību, īstenojot tehniskus un organizatoriskus aizsardzības pasākumus.

Jums jāsaprot, kādas ir jūsu organizācijas konkrētās saistības attiecībā uz VDAR un kā tās izpildīsit, tomēr Microsoft jums palīdzēs ceļā uz atbilstības nodrošināšanu VDAR prasībām.

Lai iegūtu papildinformāciju par Vispārīgā datu aizsardzības regula (VDAR), lūdzu, apmeklējiet www.microsoft.com/gdpr, kur varat arī uzzināt vairāk par to, kā noteikti Microsoft produkti var jums palīdzēt sagatavoties nodrošināt atbilstību VDAR; lūdzu, skatiet sadaļas par Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 un Windows 10.

VDAR nodrošina ES iedzīvotājiem kontroli pār saviem personas datiem, izmantojot “datu subjektu tiesību” kopu. Tas ietver tiesības:

  • piekļūt informācijai par to, kā personas dati tiek izmantoti;
  • piekļūt konkrētas organizācijas glabātajiem personas datiem;
  • lūgt kļūdainu personas datu izdzēšanu vai labošanu;
  • lūgt personas datu labošanu un dzēšanu konkrētos apstākļos (tos dēvē par “tiesībām tikt aizmirstam”);
  • ierobežot personas datu automātisku apstrādi vai iebilst pret šādu apstrādi;
  • saņemt personas datu kopiju.

Pārzinis ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas atsevišķi vai kopā ar citām fiziskām vai juridiskām personām nosaka personas datu apstrādes nolūkus un līdzekļus. Apstrādātājs ir fiziska vai juridiska persona, publiska iestāde, aģentūra vai cita struktūra, kas apstrādā personas datus pārziņa vārdā.

Jā, VDAR attiecas gan uz pārziņiem, gan uz apstrādātājiem. Pārziņi drīkst izmantot tikai tādu apstrādātāju pakalpojumus, kuri īsteno pasākumus, lai nodrošinātu atbilstību VDAR prasībām.

 

Saskaņā ar VDAR uz apstrādātājiem attiecas papildu pienākumi un atbildība neatbilstības gadījumā vai par darbību ārpus pārziņa nodrošinātajiem norādījumiem, salīdzinājumā ar datu aizsardzības direktīvu. Tālāk aprakstīti daži apstrādātāja pienākumi.

  • Datu apstrāde tikai atbilstoši pārziņa norādījumiem.
  • Atbilstošu tehnisko un organizatorisko pasākumu īstenošana, lai aizsargātu personas datus.
  • Palīdzības sniegšana pārzinim saistībā ar datu subjektu pieprasījumiem.
  • Pārliecināšanās par to, vai iesaistītie apakšapstrādātāji atbilst šīm prasībām.

Par konkrētu VDAR prasību neievērošanu uzņēmumi var tikt sodīti ar naudassodu līdz pat 20 miljonu eiro apmērā vai 4% apmērā no uzņēmuma ikgadējā globālā apgrozījuma (atkarībā no tā, kuras summas apmērs ir lielāks). Papildu individuālie līdzekļi var palielināt jūsu risku, ja neizpildīsit VDAR prasības.

Tas ir atkarīgs no vairākiem regulā norādītiem faktoriem. Vispārīgās datu aizsardzības regulas 37. pantā noteikts, ka pārziņiem un apstrādātājiem ir jāieceļ datu aizsardzības speciālists visos gadījumos, kad: (a) apstrādi veic publiska iestāde vai struktūra, izņemot tiesas, kas rīkojas saskaņā ar savu tiesas spēju; (b) pārziņa vai apstrādātāja pamatdarbības sastāv no apstrādes darbībām, kurām pēc būtības, tvēruma un/vai nolūka ir nepieciešama regulāra un sistemātiska datu subjektu pārraudzīšana lielā apjomā, vai (c) pārziņa vai apstrādātāja pamatdarbības sastāv no īpašu kategoriju datu, uz kurām attiecas 9. pants, un ar notiesājošiem spriedumiem krimināllietās vai pārkāpumiem saistītu datu, kas minēti 10. pantā, liela apjoma datu apstrādes.

Lai nodrošinātu atbilstību Vispārīgajai datu aizsardzības regulai, vairākumam organizāciju būs jātērē laiks un nauda, kaut gan šī pāreja var būt vienmērīgāka tiem, kas darbojas mākoņpakalpojumu modelī ar labu arhitektūru un jau ir ieviesuši efektīvu datu pārvaldības programmu.

|

VDAR nosaka “personas datu” apkopošanu, uzglabāšanu, lietošanu un kopīgošanu. Personas dati VDAR ietvaros tiek ļoti plaši definēti kā visi dati, kas attiecas uz identificētu vai identificējamu fizisko personu.

 

Personas dati var ietvert, bet ne tikai, identifikatorus tiešsaistē (piem., IP adreses), darbinieku informāciju, pārdošanas datu bāzes, klientu apkalpošanas dienestu datus, klientu atsauksmju veidlapas, atrašanās vietas datus, biometriskus datus, videonovērošanas kameru videomateriālus, lojalitātes programmu ierakstus, veselības un finanšu informāciju un vēl daudz ko citu. Tie var ietvert pat informāciju, kas nešķiet personiska — piemēram, ainavas fotoattēls, kurā nav redzami cilvēki, — ja šī informācija ar konta numura vai unikāla koda starpniecību ir saistīta ar identificējamu personu. Un pat pseidonimizēti personas dati var būt personas dati, ja šo pseidonīmu var saistīt ar konkrētu personu.

 

Jums arī jāzina, ka uz noteiktu “īpašo” personas datu kategoriju — piemēram, tādu personas datu, kas atklāj personas rasi vai etnisko izcelsmi, vai attiecas uz veselību vai seksuālo orientāciju — apstrādi attiecas vēl stingrākas kārtulas nekā uz “parasto” personas datu apstrādi.

 

Personas datu novērtēšana ir ļoti atkarīga no faktiem, tāpēc mēs iesakām piesaistīt ekspertu, lai novērtētu jūsu konkrētos apstākļus.

Jā. Kaut gan kārtulas ir nedaudz atšķirīgas, VDAR attiecas uz organizācijām, kas apkopo un apstrādā datus savos nolūkos (“pārziņi”), kā arī organizācijām, kas apstrādā datus citu pušu labā (“apstrādātāji”). Šī ir atšķirība no esošās Datu aizsardzības direktīvas, kas tiek piemērota pārziņiem.

Personas dati ir visa informācija, kas attiecas uz identificētu vai identificējamu personu. Nav atšķirības starp personas privāto, publisko vai darba lomu. Personas dati var būt tālāk minētie.

 

Tālāk sniegti personas datu piemēri.

 

Identitāte

  • Vārds
  • Mājas adrese
  • Darba adrese
  • Tālruņa numurs
  • Mobilā tālruņa numurs
  • E-pasta adrese
  • Pases numurs
  • Valsts izsniegts identifikācijas dokuments
  • Sociālās drošības numurs (vai ekvivalents)
  • Autovadītāja apliecība
  • Fiziska, fizioloģiska vai ģenētiska informācija
  • Medicīniska informācija
  • Kultūras identitāte

Finanses

  • Bankas dati/kontu numuri
  • Nodokļu maksātāja kods
  • Darba adrese
  • Kredītkartes/debetkartes numuri
  • Sociālo tīklu ziņas

Tiešsaistes artefakti

  • Sociālo tīklu ziņas
  • IP adrese (ES reģions)
  • Atrašanās vieta/GPS dati
  • Sīkfaili

Jā, tomēr VDAR strikti reglamentē Eiropas iedzīvotāju personas datu pārsūtīšanu uz galamērķiem ārpus Eiropas Ekonomikas zonas. Iespējams, jums būs jāievieš īpašs juridisks mehānisms, piemēram, līgums, vai jāievēro sertifikācijas mehānisms, lai drīkstētu veikt šādu pārsūtīšanu. Detalizēta informācija par Microsoft izmantotajiem mehānismiem sniegta tiešsaistes pakalpojumu noteikumos.

Ja ir likumīgs pamats turpmākai apstrādei un datu saglabāšanai, piemēram, “lai izpildītu juridisku pienākumu, kas prasa veikt apstrādi, kā paredzēts Savienības vai dalībvalsts tiesību aktos, kuri piemērojami pārzinim” (17. panta 3.(b) daļa), VDAR atzīst, ka organizācijām var būt nepieciešamība saglabāt datus. Tomēr jums ir jāpiesaista juridiskais konsultants, lai izsvērtu saglabāšanas pamatu attiecībā pret datu subjektu tiesībām un brīvībām, viņu gaidām datu apkopošanas brīdī u.tml.

Vispārīgajā datu aizsardzības regulā šifrēšana ir noteikta kā aizsardzības līdzeklis, kas padara personas datus nesaprotamus, ja tos ietekmē datu drošības pārkāpums. Tātad šifrēšanas izmantošana vai neizmantošana var ietekmēt pienākumus, kas attiecas uz paziņošanu par personas datu drošības pārkāpumu. VDAR arī norāda uz šifrēšanu kā uz piemērotu tehnisko vai organizatorisku līdzekli dažos gadījumos atkarībā no riska. Šifrēšana ir arī Payment Card Industry Data Security Standard (Maksājumu karšu nozares datu drošības standarts) prasība un ietilpst arī stingrajās atbilstības vadlīnijās, kas raksturīgas finanšu pakalpojumu nozarei. Microsoft produkti un pakalpojumi, piemēram, Azure, Dynamics 365, Enterprise Mobility + Security, Office 365, SQL Server/Azure SQL Database un Windows 10 piedāvā efektīvu šifrēšanu pārsūtītiem un miera stāvoklī esošiem datiem.

 

Lai iegūtu papildinformāciju par to, kā Microsoft produkti un pakalpojumi var palīdzēt jums nodrošināt atbilstību GDPR, lūdzu, skatiet, kā mūsu produkti palīdz jums izpildīt VDAR prasības.

VDAR mainīs datu aizsardzības prasības un izvirzīs stingrākus pienākumus apstrādātājiem un pārziņiem saistībā ar paziņošanu par personas datu drošības pārkāpumiem. Atbilstoši jaunajai regulai apstrādātājam ir jāpaziņo datu pārzinim par personas datu drošības pārkāpumu pēc uzzināšanas par to bez nepamatotas kavēšanās. Kad pārzinis uzzina par personas datu drošības pārkāpumu, pārzinim ir jāinformē attiecīgā datu aizsardzības iestāde 72 stundu laikā. Ja drošības pārkāpuma rezultātā varētu rasties augsts risks personu tiesībām un brīvībām, pārziņiem bez nepamatotas kavēšanās ir jāpaziņo arī ietekmētajām personām. Papildu norādījumus par šo tematu izstrādā ES 29. panta darba grupa.

 

Microsoft produktiem un pakalpojumiem, piemēram, Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 un Windows 10, jau šodien ir pieejami risinājumi, lai palīdzētu jums noteikt un novērtēt drošības apdraudējumus un pārkāpumus un izpildīt pienākumus saistībā ar ziņošanu par VDAR pārkāpumiem.

|

Microsoft FastTrack ir pakalpojuma priekšrocība*, mūsu klientu panākumu pakalpojums, kas palīdz uzņēmumiem realizēt uzņēmējdarbības vērtību ātrāk, izmantojot Microsoft Cloud. FastTrack palīdz veikt tālāk minētās darbības.

  • E-pasta un satura migrēšana un Microsoft 365 pakalpojumu iedzīvināšana.
  • Ierīču ieviešana un droša pārvaldība.
  • Uzņēmuma iespēju nodrošināšana un lietotāju pieņemšanas panākšana.

Microsoft FastTrack ir pastāvīga un atkārtojama pakalpojuma priekšrocība, kas pieejama klientiem un ko nodrošina Microsoft inženieri un speciālisti, lai palīdzētu klientiem vai partneriem plānot, īstenot un virzīt pieņemšanu/lietošanu, kā arī palīdzētu klientiem un partneriem sākt mākoņpakalpojumu izmantošanu pārliecināti un savām vajadzībām atbilstošā gaitā.

 

Tā kā mēs palīdzam klientiem veikt konkrētu ieviešanu un migrāciju uz mūsu platformu Online Services, pakalpojums Microsoft FastTrack ir apņēmies nodrošināt atbilstību Vispārīgajai datu aizsardzības regulai līdz tās spēkā stāšanās laikam 2018. gada 25. maijā. FastTrack profesionālā pakalpojuma priekšrocības ietvaros mēs arī sadarbojamies ar sava klienta esošo partneri vai partneriem vai novirzām partnerus pie tiem, kas sniedz ieviešanas un pieņemšanas palīdzību.

 

Papildinformāciju skatiet lapā https://FastTrack.Microsoft.com.

 

*“Pakalpojuma priekšrocība” tiek uzskatīta par “profesionālu pakalpojumu” saskaņā ar mūsu Tiešsaistes pakalpojumu nosacījumiem (Online Services Terms — OST) un Microsoft Business and Services Agreement (MBSA).

FastTrack inženieri un speciālisti ir nozares eksperti tādu scenāriju un uzņēmējdarbības vērtību plānošanā, ko klienti vai partneri vēlas sasniegt, un pievēršas produktu un pakalpojumu plānošanai, ieviešanai un pieņemšanas veicināšanai, lai palīdzētu klientiem vai partneriem sasniegt šos mērķus. Iegūstiet papildinformāciju par to, kā Microsoft produkti un pakalpojumi atbalsta jūsu VDAR, apmeklējot mūsu drošības kontroles centra tīmekļa vietnē. Mēs mudinām klientus un partnerus sadarboties ar juridiski kvalificētu profesionāli, lai apspriestu VDAR, tās piemērojamību tieši viņu organizācijai un labākajām atbilstības nodrošināšanas iespējām.

Mēs iesakām klientiem sadarboties ar savām juridiskajām un atbilstības darba grupām, lai noteiktu VDAR prasības par šifrēšanu un vispārīgās VDAR prasības. Atbilstība Vispārīgajai datu aizsardzības regulai ir atkarīga no klienta apkopotajiem datiem, lietojuma scenārijiem un nozares sektoriem vai vektoriem.

Microsoft FastTrack ir klientu panākumu pakalpojums, kas apņēmies panākt Microsoft produktu un pakalpojumu ātrāku ieviešanu, ROI un efektīvāku pieņemšanu jūsu darbinieku vai lietotāju labā. Ņemot to vērā, kad klienti vai partneri iesniedz palīdzības pieprasījumu ar Microsoft FastTrack starpniecību, mēs sāksim savu procesu, lai atbilstoši ieviestu Microsoft produktus un pakalpojumus savu klientu vai partneru labā.

 

Mūsu FastTrack profesionālā pakalpojuma priekšrocības ietvaros mēs arī sadarbojamies ar sava klienta esošo partneri vai partneriem vai novirzām partnerus pie tiem, kas sniedz ieviešanas un pieņemšanas palīdzību. Jūs varat iegūt papildinformāciju par partneriem, kuru specializācija ir VDAR un kuri ir pieejami, lai palīdzētu Microsoft partneriem nodrošināt atbilstību, kā aprakstīts drošības kontroles centra VDAR lapā šeit. Jūs varat apmeklēt mūsu tīmekļa lapu uzticamā mākoņa/VDAR tīmekļa lapa, lai noteiktu savu gatavību VDAR un uzzinātu par iespējām veicināt atbilstību Vispārīgajai datu aizsardzības regulai, izmantojot Microsoft Cloud, kā arī izmantot Microsoft FastTrack ieviešanas palīdzības saņemšanai.


Papildu resursi

Partnera atrašana

Nodrošiniet savam uzņēmumam nepieciešamo atbilstību Vispārīgās datu aizsardzības regulas (VDAR) prasībām, sadarbojoties ar kādu no mūsu globālajiem partneriem, kas piedāvā Microsoft risinājumus.

Microsoft konfidencialitātes prakse

Uzziniet, kā Microsoft pārvalda jūsu datus, kur tie atrodas, kas var piekļūt jūsu datiem un nosacījumiem, kā arī citu informāciju.

ES–ASV Privātuma vairogs

Uzziniet, kā Microsoft ievēro ES–ASV Privātuma vairoga principus.

Paziņošana par datu drošības pārkāpumu

Kā Microsoft nosaka personas datu drošības pārkāpumu un reaģē uz to, un informē jūs saskaņā ar VDAR.