Vanlige spørsmål om EUs personvernforordning (GDPR)

Vi har laget en liste over vanlige spørsmål, og enda viktigere, svarene, for å hjelpe deg og organisasjonen din på vei mot GDPR-overholdelse.


|

Ja. EUs personvernforordning (GDPR) krever at kontrollører (for eksempel organisasjoner som bruker Microsofts nettjenester for organisasjoner) bare bruker databehandlere (for eksempel Microsoft) som gir tilstrekkelige garantier, til å oppfylle nøkkelkravene i GDPR. Microsoft gir disse forpliktelsene til alle volumlisensieringskunder som en del av avtalene deres.

 

Du kan finne de kontraktsfestede forpliktelsene til Microsoft vedrørende GDPR under Kundeavtaler på oversiktssiden for EUs personvernforordning (GDPR).

 

Microsoft leverer verktøy og dokumentasjon for å støtte ansvarligheten din i samsvar med EUs personvernforordning (GDPR). Dette omfatter blant annet støtte for den registrertes rettigheter, å utøve din egen vurdering av effekten av databeskyttelse og å jobbe sammen for å løse innbrudd i personlige data. Gå til oversiktssiden for EUs personvernforordning (GDPR).

 

Microsofts GDPR-vilkår gjenspeiler forpliktelsene som kreves av behandlere i artikkel 28. Artikkel 28 krever at behandlere forpliktelser seg til:

  • Bare å bruke underbehandlere med godkjenning fra kontrolløren og fortsatt være ansvarlige for underbehandlerne.
  • Behandle personopplysninger bare ved instruksjoner fra kontrolløren, også når det gjelder overføringer.
  • Sikre at personer som behandler personopplysninger, er underlagt taushetsplikt.
  • Implementere riktige tekniske og organisasjonsmessige tiltak for å sikre et nivå av sikkerhet for personopplysninger som passer til risikoen.
  • Assistere kontrollører i plikten til å svare på de registrertes forespørsler om å utøve sine GDPR-rettigheter.
  • Oppfylle kravene om innbruddsvarsling og assistanse.
  • Assistere kontrollører med vurderinger av effekten av databeskyttelse og samråd med tilsynsmyndigheter.
  • Slette eller returnere personopplysninger på slutten av tjenesteleveransen.
  • Støtte kontrolløren med bevis på overholdelse av GDPR.

 

 

Microsoft har lenge brukt standard kontraktklausuler (også kjent som modellklausulene) som grunnlag for overføring av data for de nettbaserte tjenestene de tilbyr til organisasjoner. Standardklausulene for kontrakter er standardvilkår som gis av Europakommisjonen, som kan brukes til å overføre data utenfor EØS-området på en måte som overholder forordningen. Microsoft har inkludert standard kontraktvilkår i alle volumlisensieringsavtaler via Vilkår for Online Services. Arbeidsgruppen for artikkel 29 har funnet konkret at Microsofts implementering av standard kontraktsvilkårene samsvarer med forskriftene.

 

Og da Privacy Shield for EU-USA ble tilgjengelig, var Microsoft det første selskapet som sertifiserte. Se Microsofts sertifisering til Privacy Shield, og les de Vilkår for Online Services. Privacy Shield for EU-USA hjelper kunder som vil overføre dataene sine til USA, til å gjøre dette på en måte som samsvarer med pliktene de har når det gjelder databeskyttelse.

 

Som et globalt selskap med kunder i nesten alle land i verden har Microsoft en robust portefølje for overholdelse for å assistere kundene våre. Hvis du vil vise en fullstendig liste over tilbudene våre for overholdelse av regler og standarder, inkludert FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud og mange andre, kan du gå til vår liste over tilbud for overholdelse av regler og standarder.

|

 

Hvis du vil finne informasjon om funksjonaliteten i Microsoft-tjenestene som brukes i forbindelse med GDPR-krav, kan du gå til www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation.

 

GDPR stiller en lang rekke krav til organisasjoner som samler inn eller behandler personopplysninger, blant annet et krav om å overholde seks nøkkelprinsipper:

  • Gjennomsiktighet, rettferdighet og lovlighet i håndteringen og bruken av personopplysninger. Du må være tydelig med enkeltpersoner om hvordan du bruker personopplysningene deres, og du må også ha et «lovlig grunnlag» for å kunne behandle disse dataene.
  • Begrensning av behandlingen av personopplysninger til spesifiserte, uttrykkelige og legitime formål. Du vil ikke kunne bruke på nytt eller oppgi personopplysninger til formål som ikke er «kompatible» med det formålet som dataene opprinnelig ble samlet inn til.
  • Minimering av innsamling og lagring av personopplysninger til det som er tilstrekkelig og relevant til det tilsiktede formålet.
  • Sikre at personopplysningene er riktige , og sørge for at de kan slettes eller rettes. Du vil måtte gjøre tiltak for å sikre at personopplysningene du innehar, er riktige og kan rettes hvis det oppstår feil.
  • Begrense lagringen av personopplysninger. Du vil måtte sikre at du oppbevarer personopplysninger bare så lenge det er nødvendig, for å oppnå de hensiktene som dataene ble samlet inn for.
  • Sørge for sikkerhet, integritet og taushetsplikt for personopplysninger. Organisasjonen din må gjøre tiltak for å holde personopplysninger sikre gjennom tekniske og organisasjonsmessige sikkerhetstiltak.

Du må forstå hva som er din organisasjons bestemte plikter til GDPR, og hvordan du kan oppfylle disse. Microsoft vil imidlertid være tilgjengelig for å hjelpe deg på vei med GDPR.

Hvis du vil finne ut mer om den EUs personvernforordning (GDPR), kan du gå til www.microsoft.com/gdpr der du også kan finne ut mer om hvordan bestemte Microsoft-produkter kan hjelpe deg med å forberede deg på overholdelse av GDPR. Se inndelingene om Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 og Windows 10.

GDPR gir EU-innbyggere kontroll over sine personopplysninger gjennom et sett med «rettigheter for den registrerte». Dette omfatter retten til:

  • Å få tilgang til informasjon om hvordan personopplysninger brukes.
  • Å få tilgang til personopplysninger som oppbevares av en organisasjon.
  • Å få feilaktige personopplysninger slettet eller rettet.
  • Å få personopplysninger rettet og slettet i enkelte omstendigheter (dette kalles noen ganger for «retten til å bli glemt»).
  • Å begrense eller bestride automatisk behandling av personopplysninger.
  • Å få en kopi av personopplysningene.

En kontrollør er en fysisk eller juridisk person, en offentlig myndighet, et organ eller annen enhet som alene eller sammen med andre avgjør formålene med behandling av personopplysninger og måtene dette kan gjøres på. En databehandler er en fysisk eller juridisk person, en offentlig myndighet, et organ eller annen enhet som behandler personopplysninger på vegne av kontrolløren.

Ja, GDPR gjelder for både kontrollører og databehandlere. Kontrollører må bare bruke databehandlere som treffer tiltak for å oppfylle kravene i GDPR.

 

Databehandlere har flere plikter og mer ansvar under GDPR for manglende overholdelse eller for å handle utenom instruksjonene som gis av kontrolløren, sammenlignet med databeskyttelsesdirektivet. Databehandlernes plikter inkluderer, men er ikke begrenset til:

  • Behandling av data bare som instruert av kontrolløren
  • Bruk av riktige tekniske og organisasjonsmessige tiltak for å beskytte personopplysninger
  • Assistere kontrolløren med forespørsler fra den registrerte
  • Sikre at underbehandlerne den engasjerer, oppfyller disse kravene

Selskaper kan bøtelegges med opptil EUR 20 millioner eller 4 % av sin årlige omsetning, det som er størst, for manglende oppfyllelse av enkelte GDPR-krav. Det finnes flere enkeltvise beføyelser som kan øke risikoen ved manglende overholdelse av kravene i GDPR.

Det avhenger av flere faktorer som er identifisert i bestemmelsen. I artikkel 37 i GDPR står det at kontrollører og databehandlere skal utnevne en ansvarlig for databeskyttelse i alle tilfeller der: (a) behandlingen utføres av en offentlig myndighet eller enhet, bortsett fra domstoler som handler i juridisk egenskap; (b) kjerneaktivitetene til kontrolløren eller databehandleren består av behandlingsoperasjoner som på grunn av sin karakter, sitt omfang og/eller sine formål krever regelmessig og systematisk overvåkning av de registrerte i stor skala; eller (c) kjerneaktivitetene til kontrolløren eller databehandleren består av behandling i stor skala av spesielle kategorier av data i henhold til artikkel 9 og personopplysninger relatert til kriminelle dommer og lovbrudd referert til i artikkel 10.

Det vil kreve tid og penger for de fleste organisasjoner å oppnå overholdelse av GDPR, selv om det kan være en enklere overgang for de som opererer i en skytjenestemodell med god arkitektur og har et effektivt datastyringsprogram på plass.

|

GDPR regulerer innsamling, lagring, bruk og deling av «personopplysninger». Personopplysninger defineres veldig bredt under GDPR som alle data relatert til en identifisert eller identifiserbar fysisk person.

 

Personopplysninger kan inkludere, men er ikke begrenset til, identifikatorer på nettet (for eksempel IP-adresser), informasjon om ansatte, salgsdatabaser, kundeservicedata, tilbakemeldingsskjemaer fra kunder, plasseringsdata, biometriske data, TV-overvåkningsopptak, data fra bonusordninger, informasjon om helse og økonomi og mye mer. De kan også omfatte informasjon som ikke ser ut til å være personlig – for eksempel et bilde av et landskap uten mennesker – der den informasjonen kobles ved et kontonummer eller en unik kode til en identifiserbar enkeltperson. Også personopplysninger som har blitt anonymisert, kan regnes som personopplysninger hvis pseudonymet kan kobles til en bestemt enkeltperson.

 

Du bør også være klar over at behandlingen av enkelte «spesielle» kategorier av personopplysninger – for eksempel personopplysninger som oppgir en persons rase eller etniske opprinnelse eller som omhandler personens helse eller seksuelle legning – er underlagt strengere regler enn behandlingen av «ordinære» personopplysninger.

 

Denne evalueringen av personopplysninger er svært faktabestemt, så vi anbefaler å engasjere en ekspert til å evaluere din bestemte situasjon.

Ja. Selv om reglene til en viss grad varierer, gjelder EUs personvernforordning (GDPR) for organisasjoner som samler inn og behandler data til egne formål («kontrollører») så vel som for organisasjoner som behandler data på vegne av andre («databehandlere»). Dette er et skift fra det eksisterende databeskyttelsesdirektivet, som gjelder for kontrollører.

Personopplysninger er enhver informasjon knyttet til en identifisert eller identifiserbar person. Det er intet skille mellom en persons private, offentlige eller arbeidsrelaterte roller. Personopplysninger kan omfatte:

 

Eksempler på personopplysninger er blant annet:

 

Identitet

  • Navn
  • Adresse – hjem
  • Adresse – arbeid
  • Telefonnummer
  • Mobilnummer
  • E-postadresse
  • Passnummer
  • Nasjonalt ID-kort
  • Personnummer (eller tilsvarende)
  • Førerkort
  • Fysisk, psykisk eller genetisk informasjon
  • Medisinsk informasjon
  • Kulturell identitet

Økonomi

  • Bankinformasjon/kontonumre
  • Skattenummer
  • Adresse – arbeid
  • Kreditt-/debetkortnumre
  • Innlegg på sosiale medier

Artefakter på nettet

  • Innlegg på sosiale medier
  • IP-adresse (EU-området)
  • Plassering / GPS-data
  • Informasjonskapsler

Ja, men EUs personvernforordning har strenge regler for overføring av personopplysninger om europeiske innbyggere til destinasjoner utenfor EØS. Du må kanskje sette opp en bestemt juridisk mekanisme, for eksempel en kontrakt, eller overholde en sertifiseringsmekanisme for å utføre slike overføringer. Microsoft oppgir detaljer om mekanismene vi bruker, i vilkårene for Online Services.

Der det finnes legitimt grunnlag for fortsatt behandling og dataoppbevaring, for eksempel «til overholdelse av juridisk forpliktelse som krever behandling av EUs eller en medlemsstats lov som kontrolløren er underlagt» (artikkel 17(3)(b)), anerkjenner EUs personvernforordning at organisasjoner kan være nødt til å oppbevare data. Du bør imidlertid sørge for å engasjere juridisk rådgiver for å sikre at grunnlaget for oppbevaring veies mot rettighetene og frihetene til de registrerte, deres forventninger da dataene ble samlet inn og så videre.

Kryptering identifiseres i EUs personvernforordning som et beskyttelsestiltak som gjør personopplysninger uleselige når de påvirkes av et brudd. Derfor kan det være ulike krav til varsling om personopplysningsinnbrudd, avhengig av om kryptering er brukt eller ikke. GDPR peker også på kryptering som et passende teknisk eller organisasjonsmessig tiltak i noen tilfeller, avhengig av risikoen. Kryptering er også et krav gjennom Payment Card Industry Data Security Standard og en del av de strenge samsvarsretningslinjene spesielt for finanstjenestesektoren. Microsoft-produkter og -tjenester, for eksempel Azure, Dynamics 365, Enterprise Mobility + Security, Office 365, SQL Server/Azure SQL Database og Windows 10, gir robust kryptering for data under overføring og inaktive data.

 

Hvis du vil finne ut mer om hvordan Microsoft-produkter og -tjenester kan hjelpe deg med å overholde GDPR, kan du se hvordan produktene våre hjelper deg med å oppfylle kravene i EUs personvernforordning (GDPR).

EUs personvernforordning (GDPR) vil endre databeskyttelseskravene og stille strengere krav til databehandlere og kontrollører når det gjelder varsling om innbrudd i personopplysninger. Under den nye forordningen må databehandleren varsle datakontrolløren om innbrudd i personopplysninger etter at han/hun blir klar over dette, uten unødig opphold. Når kontrolløren blir klar over innbrudd i personopplysninger, må han/hun varsle den relevante databeskyttelsesmyndigheten innen 72 timer. Hvis det er sannsynlig at bruddet vil resultere i høy risiko for rettighetene og frihetene til enkeltpersoner, må kontrollører også varsle påvirkede enkeltpersoner uten unødig opphold. Videre veiledning om dette temaet er under utvikling av EUs arbeidsgruppe for artikkel 29.

 

Microsofts produkter og tjenester – for eksempel Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 og Windows 10 – har løsninger tilgjengelig i dag som kan hjelpe deg med å oppdage og vurdere sikkerhetstrusler og -brudd og oppfylle kravene i EUs personvernforordning (GDPR) om varsling om brudd.

|

Microsoft FastTrack er en tjenestefordel*, vår kundesuksesstjeneste for å hjelpe bedrifter med å oppnå forretningsverdi raskere med Microsoft-skyen. FastTrack hjelper til å:

  • Overføre e-post, innhold og lyse opp Microsoft 365-tjenester
  • Distribuere og sikkert administrere enheter
  • Aktivere bedriften og oppnå innføring av sluttbrukere

Microsoft FastTrack er en pågående og repeterbar tjenestefordel, tilgjengelig for kunder, og levert av Microsoft-teknikere og -spesialister for å hjelpe kunder eller partnere med å planlegge, inkludere og drive innføring/bruk og bidra til en trygg overflytting til skyen i kundenes og partnernes eget tempo.

 

Microsoft FastTrack er forpliktet til å overholde GDPR innen forordningen trer i kraft fra og med 25. mai 2018 under arbeidet vårt med å hjelpe kunder med bestemte distribusjoner og overføringer til de nettbaserte tjenestene våre. Som en del av fordelene ved den profesjonelle FastTrack-tjenesten jobber vi også med kundens eksisterende partner(e) eller refererer partnere for assistanse med distribusjon og innføring.

 

Referer til https://FastTrack.Microsoft.com for mer informasjon.

 

*«Tjenestefordel» anses som en «profesjonell tjeneste» som definert av vår OST og MBSA.

Teknikerne og spesialistene i FastTrack er bransjeeksperter i å planlegge for de scenarioene og den forretningsverdien som kunder og partnere ønsker å oppnå, og de har fokus på å planlegge, distribuere og drive innføring av produktene og tjenestene sine for å hjelpe kunder og partnere med å oppnå disse målsetningene. Finn ut mer om hvordan Microsofts produkter og tjenester støtter din overholdelse av EUs personvernforordning (GDPR) via nettstedet vårt for nbsp;Klareringssenter. Vi oppfordrer kundene og partnerne våre til å samarbeide med profesjonelle jurister når det gjelder GDPR, hvordan det gjelder for akkurat deres organisasjon, og hvordan de best sikrer overholdelse.

Vi råder kundene våre til å jobbe med sine egne jus- og overholdelsesteam for å fastslå GDPR-kravene til kryptering og GDPR-kravene generelt. GDPR-overholdelse er knyttet til en kundes innsamlede data, bruksscenarioer og bransjesektorer eller -vektorer.

Microsoft FastTrack er en kundesuksesstjeneste for levering av raskere distribusjoner, kapitalavkastning og å drive høyere innføring for dine ansatte og sluttbrukerne av Microsoft-produkter og -tjenester. Med dette i tankene starter vi behandlingen med riktig distribusjon av Microsoft-produkter og -tjenester til kundene og partnerne våre når de sender inn forespørsler om assistanse gjennom Microsoft FastTrack.

 

Som en del av fordelene ved den profesjonelle FastTrack-tjenesten jobber vi også med kundens eksisterende partner(e) eller refererer partnere for assistanse med distribusjon og innføring. Du kan finne ut mer om partnere som er spesialiserte innen GDPR, og som er tilgjengelige for å hjelpe Microsoft-partnere med å jobbe mot overholdelse som beskrevet på klareringssenterets GDPR-side her. Du kan referere til det klarerte nettstedet for skyen/GDPR for å vurdere hvorvidt du er klar for GDPR, og hvordan du kan akselerere GDPR-overholdelse med Microsoft-skyen og bruke Microsoft FastTrack for assistanse med distribusjon.


Flere ressurser

Finn en partner

Diskuter behovene dine rundt EUs personvernforordning (GDPR) med en av våre globale partnere som tilbyr Microsoft-baserte løsninger.

Microsofts personvernpraksiser

Finn ut hvordan Microsoft behandler dataene dine, hvor disse er plassert, hvem som har tilgang til dem, vilkårene og mer.

Privacy Shield for EU-USA

Finn ut hvordan Microsoft overholder prinsippene bak Privacy Shield for EU-USA.

Varsel om datainnbrudd

Slik oppdager og reagerer Microsoft på datainnbrudd i personlige data og informerer deg i samsvar med EUs personvernforordning.