RODO — Często zadawane pytania
Aby pomóc Tobie i Twojej organizacji w osiągnięciu zgodności z rozporządzeniem RODO, utworzyliśmy listę często zadawanych pytań i, co ważniejsze, odpowiedzi na nie.
Pytania dotyczące firmy Microsoft i rozporządzenia RODO
Tak. Rozporządzenie RODO wymaga, aby podmioty kontrolujące dane (takie jak organizacje używające usług online dla przedsiębiorstw firmy Microsoft) korzystały z usług tylko takich podmiotów przetwarzających dane (takich jak firma Microsoft), które zapewniają gwarancje wystarczające do spełnienia kluczowych wymagań rozporządzenia RODO. Firma Microsoft proaktywnie dostarcza te zobowiązania wszystkich klientom licencjonowania zbiorowego w ramach ich umów.
Zobowiązania umowne firmy Microsoft dotyczące rozporządzenia RODO można znaleźć w obszarze umów klientów na stronie z omówieniem rozporządzenia RODO.
Firma Microsoft dostarcza narzędzia i dokumentację do obsługi obowiązków związanych z RODO. Obejmuje to obsługę praw podmiotu danych, przeprowadzanie własnych ocen skutków dla ochrony danych oraz współpracę nad rozwiązaniem naruszeń zabezpieczeń danych osobowych. Odwiedź stronę omówienia rozporządzenia RODO.
Warunki realizacji RODO firmy Microsoft odzwierciedlają zobowiązania wymagane od podmiotów przetwarzających dane w Artykule 28. Artykuł 28 wymaga, aby podmioty przetwarzające dane zobowiązały się do:
- korzystania z usług podmiotów podrzędnych przetwarzających dane tylko za zgodą podmiotu kontrolującego dane i przyjęcie odpowiedzialności za te podmioty podrzędne;
- przetwarzania danych osobowych tylko po otrzymaniu instrukcji od podmiotu kontrolującego dane, również z uwzględnieniem transferów;
- zapewnienia, że osoby przetwarzające dane osobowe zostały zobowiązane do zachowania poufności;
- zaimplementowania odpowiednich rozwiązań technicznych i organizacyjnych w celu zapewnienia poziomu zabezpieczeń danych osobowych adekwatnego do ryzyka;
- pomocy podmiotom kontrolującym dane w spełnianiu zobowiązań do odpowiadania na żądania podmiotu danych w celu realizacji ich praw wynikających z rozporządzenia RODO;
- spełniania wymagań dotyczących pomocy i powiadomień o naruszeniu zabezpieczeń;
- pomocy podmiotom kontrolującym dane w ocenach skutków dla ochrony danych oraz podczas konsultacji z władzami nadzorującymi;
- usunięcia lub zwrócenia danych osobowych wraz z końcem świadczenia usług;
- dostarczenia podmiotowi kontrolującemu dane dowodu zgodności z rozporządzeniem RODO.
Firma Microsoft od dawna używa standardowych klauzul umownych (nazywanych też klauzulami wzorcowymi) jako podstawy dla transferu danych w swoich usługach online dla przedsiębiorstw. Standardowe klauzule umowne to standardowe warunki opracowane przez Komisję Europejską, które można stosować, aby przesyłać dane poza Europejski Obszar Gospodarczy w sposób zgodny z przepisami. Firma Microsoft włączyła standardowe klauzule umowne do wszystkich umów licencjonowania zbiorowego za pośrednictwem Postanowień dotyczących usług online. Zespół roboczy ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych zatwierdził implementację standardowych klauzul umownych przez firmę Microsoft jako zgodną z przepisami.
Natomiast kiedy Tarcza Prywatności UE-USA stała się dostępna, firma Microsoft jako pierwsza uzyskała certyfikat. Zobacz certyfikat Tarczy Prywatności firmy Microsoft i przeczytaj Postanowienia dotyczące usług online. Tarcza Prywatności UE-USA pomaga klientom, którzy chcą przesłać swoje dane do Stanów Zjednoczonych, w przeprowadzeniu tego procesu w sposób zgodny z ich zobowiązaniami dotyczącymi ochrony danych.
Jako globalna firma posiadająca klientów w niemal każdym kraju na świecie, Microsoft oferuje swoim klientom rozbudowane portfolio rozwiązań do zapewniania zgodności. Aby wyświetlić pełną listę naszej oferty rozwiązań do zapewniania zgodności, m.in. z takimi regulacjami jak FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud i wiele innych, odwiedź naszą stronę z listą ofert rozwiązań do zapewniania zgodności.
Pytania ogólne
Aby znaleźć informacje o funkcjach usług firmy Microsoft, używanych do spełniania wymogów rozporządzenia RODO, odwiedź stronę www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation.
Rozporządzenie RODO nakłada szeroki zakres wymogów na organizacje, które gromadzą lub przetwarzają dane osobowe, w tym wymóg przestrzegania sześciu kluczowych zasad:
- Przejrzystość, uczciwość i praworządność w zakresie obsługi i używania danych osobowych. Należy dokładnie poinformować osoby indywidualne, jak są używane ich dane osobowe, oraz przetwarzać je z zachowaniem „podstaw prawnych”.
- Ograniczenie przetwarzania danych osobowych do określonych, jawnych i legalnych celów. Nie można używać ponownie ani ujawniać danych osobowych w celach, które nie są zgodne z celami, na potrzeby których dane zostały pierwotnie zgromadzone.
- Zminimalizowanie gromadzenia i przechowywania danych osobowych adekwatnie i odpowiednio do zamierzonego celu.
- Zapewnienie dokładności danych osobowych i umożliwienie ich usunięcia lub poprawienia. Trzeba wdrożyć procedury zapewniające dokładność przechowywanych danych osobowych oraz możliwość ich poprawienia w przypadku wystąpienia błędów.
- Ograniczenie przechowywania danych osobowych. Należy zapewnić, że dane osobowe są przechowywane tylko przez czas potrzebny do osiągnięcie celów, w jakich te dane zostały zgromadzone.
- Zapewnienie bezpieczeństwa, integralności i poufności danych osobowych. Twoja organizacja musi podjąć kroki w celu zapewnienia bezpieczeństwa danych za pośrednictwem technicznych i organizacyjnych mechanizmów zabezpieczeń.
Należy dokładnie dowiedzieć się, jakie są zobowiązania organizacji względem RODO i jak można się z nich wywiązać — firma Microsoft oferuje rozwiązania, które ułatwiają organizacjom osiągnięcie zgodności z RODO.
Aby dowiedzieć się więcej o Ogólnym rozporządzeniu o ochronie danych osobowych (RODO), odwiedź stronę www.microsoft.com/gdpr, gdzie możesz także dowiedzieć się więcej o tym, jak określone produkty firmy Microsoft mogą pomóc w przygotowaniu się do RODO. Warto zapoznać się z sekcjami dotyczącymi platformy Azure, usługi Dynamics 365, rozwiązania Enterprise Mobility + Security, usługi Office 365 i systemu Windows 10.
Rozporządzenie RODO zapewnia mieszkańcom Unii Europejskiej kontrolę nad ich danymi osobowymi za pośrednictwem „praw podmiotu danych”. Obejmują one prawa do:
- dostępu do informacji o tym, jak są używane dane osobowe;
- dostępu do danych osobowych przechowywanych przez organizację;
- usunięcia lub poprawienia nieprawidłowych danych;
- skorygowania i wymazania danych osobowych w pewnych okolicznościach (nazywane jest to czasami „prawem do bycia zapomnianym”);
- ograniczenia lub niewyrażenia zgody na automatyczne przetwarzanie danych osobowych;
- otrzymania kopii danych osobowych.
Podmiot kontrolujący dane to osoba fizyczna lub prawna, organ władzy publicznej, agencja lub inny podmiot, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych osobowych. Podmiot przetwarzający dane to osoba fizyczna lub prawna, organ władzy publicznej, agencja lub inny podmiot, który przetwarza dane osobowe w imieniu podmiotu kontrolującego.
Tak, rozporządzenie RODO ma zastosowanie zarówno do podmiotów kontrolujących, jak i przetwarzających dane. Podmioty kontrolujące dane mogą korzystać z usług tylko tych podmiotów przetwarzających dane, które spełniają wymagania RODO.
Rozporządzenie RODO, w porównaniu z Dyrektywą o ochronie danych, nakłada na podmioty przetwarzające dane dodatkowe obowiązki i odpowiedzialność za niezachowanie zgodności lub działanie niezgodne z instrukcjami dostarczonymi przez podmiot kontrolujący. Obowiązki podmiotu przetwarzającego dane są m.in. następujące:
- Przetwarzanie danych tylko zgodnie z instrukcjami otrzymanymi od pomiotu kontrolującego dane.
- Stosowanie odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych.
- Pomoc podmiotowi kontrolującemu w obsłudze żądań osób, których dane dotyczą.
- Zapewnienie, że zatrudniane podrzędne podmioty przetwarzające spełniają te wymagania.
Za niespełnienie niektórych wymogów RODO na firmę może zostać nałożona kara w wysokości do 20 mln Euro lub 4% rocznego światowego zysku, w zależności od tego, która wartość jest większa. W przypadku niezachowania zgodności z RODO mogą być też zastosowane dodatkowe indywidualne środki naprawcze.
Zależy to od kilku czynników określonych w rozporządzeniu. Artykuł 37 rozporządzenia RODO mówi, że podmioty kontrolujące i przetwarzające dane powinny wyznaczyć inspektora ochrony danych w każdym przypadku, w którym: (a) przetwarzanie jest przeprowadzane przez organ władzy państwowej z wyłączeniem sądów działających w ramach swoich kompetencji sądowych; (b) podstawowa działalność podmiotu kontrolującego lub przetwarzającego składa się z operacji przetwarzania, które ze względu na swój charakter, zakres i/lub cele, wymagają regularnego i systematycznego monitorowania na dużą skalę osób, których dane dotyczą; lub (c) podstawowa działalność podmiotu kontrolującego lub przetwarzającego polega na przetwarzaniu na dużą skalę specjalnych kategorii danych na mocy Artykułu 9 oraz danych osobowych dotyczących wyroków skazujących i przestępstw, o których mowa w Artykule 10.
Zapewnienie zgodność z RODO będzie dla większości organizacji związane z nakładami czasu i pieniędzy, jednak w przypadku firm, które działają w dobrze opracowanym modelu usług chmurowych i mają wdrożony efektywny program zarządzania danymi, ten proces może być łagodniejszy.
Pytania dotyczące danych osobowych
Rozporządzenie RODO reguluje gromadzenie, przechowywanie, używanie i udostępnianie „danych osobowych”. Dane osobowe zostały w rozporządzeniu RODO zdefiniowane bardzo szeroko jako jakiekolwiek dane, które odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Dane osobowe mogą obejmować m.in. identyfikatory internetowe (np. adresy IP), informacje o pracownikach, sprzedażowe bazy danych, dane obsługi klienta, formularze opinii klientów, dane lokalizacji, dane biometryczne, materiały z zapisu kamer przemysłowych, rekordy programów lojalnościowych, informacje zdrowotne i finansowe oraz wiele innych. Mogą nawet obejmować informacje, które nie wydają się być osobowe — na przykład zdjęcie krajobrazu bez ludzi — jeśli te informacje są połączone numerem konta lub unikatowym kodem z możliwą do zidentyfikowania osobą. Nawet dane, które są pseudonimizowane, mogą być danymi osobowymi, jeśli pseudonim można połączyć z określoną osobą.
Należy także pamiętać, że przetwarzanie niektórych „specjalnych” kategorii danych osobowych — takich jak dane ujawniające rasowe lub etniczne pochodzenie osoby bądź dotyczące jej zdrowia lub orientacji seksualnej — podlegają bardziej rygorystycznym regułom, niż przetwarzanie „zwykłych” danych osobowych.
Ocena danych osobowych w bardzo dużym stopniu zależy od konkretnej sytuacji, dlatego zalecamy zatrudnienie eksperta, który oceni specyficzne okoliczności organizacji.
Tak. Mimo że reguły się nieco różnią, RODO dotyczy organizacji, które gromadzą i przetwarzają dane do własnych celów („podmioty kontrolujące”), jak i organizacji, które przetwarzają dane w imieniu innych („podmioty przetwarzające”). Jest to zmiana w stosunku do Dyrektywy o ochronie danych, która dotyczy tylko podmiotów kontrolujących dane.
Dane osobowe to wszelkie informacje związane ze zidentyfikowaną lub możliwą do zidentyfikowania osobą. Nie ma rozróżnienia między prywatną, publiczną i służbową rolą osoby. Dane osobowe mogą obejmować następujące informacje:
Przykłady danych osobowych:
Tożsamość
- Imię i nazwisko
- Adres domowy
- Adres służbowy
- Numer telefonu
- Numer telefonu komórkowego
- Adres e-mail
- Numer paszportu
- Państwowa karta identyfikacyjna
- Numer PESEL (lub równoważny)
- Prawo jazdy
- Informacje fizyczne, fizjologiczne lub genetyczne
- Informacje medyczne
- Tożsamość kulturowa
Finanse
- Informacje bankowe/numery kont
- Numer identyfikacji podatkowej
- Adres służbowy
- Numery kart kredytowych/debetowych
- Posty w mediach społecznościowych
Artefakty online
- Posty w mediach społecznościowych
- Adres IP (region UE)
- Lokalizacja/dane GPS
- Pliki cookie
Tak, jednak rozporządzenie RODO ściśle reguluje transfer danych osobowych mieszkańców Unii Europejskiej do miejsc docelowych poza Europejskim Obszarem Gospodarczym. W celu umożliwienia tych transferów może być wymagane wdrożenie określonego mechanizmu prawnego, takiego jak umowa, lub zastosowanie mechanizmu certyfikacji. Mechanizmy stosowane przez firmę Microsoft zostały wymienione w Postanowieniach dotyczących usług online.
Tam, gdzie istnieją prawne podstawy do ciągłego przetwarzania i przechowywania danych, tak jak w przypadku „wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega podmiot kontrolujący” (Artykuł 17(3)(b)), rozporządzenie RODO stwierdza, że od organizacji może być wymagane przechowywanie danych. Należy jednak skonsultować się z doradcą prawnym, aby upewnić się, że podstawy do przechowywania są zrównoważone z prawami i wolnościami osób, których dane dotyczą, ich oczekiwaniami w czasie gromadzenia danych itd.
Szyfrowanie jest zdefiniowane w rozporządzeniu RODO jako metoda ochrony, która powoduje, że dane osobowe są nierozpoznawalne w przypadku naruszenia zabezpieczeń. Z tego względu to, czy szyfrowanie jest używane, czy nie, może mieć wpływ na wymóg powiadamiania o naruszeniu danych osobowych. RODO wskazuje także, że szyfrowanie jest odpowiednim środkiem technicznym lub organizacyjnym w niektórych przypadkach, w zależności od ryzyka. Szyfrowanie jest również wymagane przez standard Payment Card Industry Data Security Standard (standard bezpieczeństwa danych kart płatniczych) oraz stanowi część ścisłych wskazówek dotyczących zgodności specyficznych dla branży usług finansowych. Produkty firmy Microsoft, takie jak platforma Azure, usługa Dynamics 365, rozwiązanie Enterprise Mobility + Security, usługi Office 365, SQL Server i Azure SQL Database oraz system Windows 10, oferują niezawodne szyfrowanie danych przesyłanych i przechowywanych.
Aby dowiedzieć się więcej o tym, jak produkty i usługi firmy Microsoft mogą pomóc Ci przygotować się do zachowania zgodności z RODO, zobacz jak nasze produkty pomagają w spełnianiu wymagań rozporządzenia RODO.
Rozporządzenie RODO zmieni wymagania dotyczące ochrony danych i wprowadzi ściślejsze zobowiązania dla podmiotów przetwarzających i kontrolujących dane w zakresie powiadamiania o naruszeniu danych osobowych. Zgodnie z nową regulacją podmiot przetwarzający dane musi powiadomić podmiot kontrolujący dane o naruszeniu danych osobowych jak tylko się o tym dowie, bez zbędnego opóźnienia. Po uzyskaniu informacji o naruszeniu danych osobowych podmiot kontrolujący dane musi powiadomić odpowiedni organ ds. ochrony danych w ciągu 72 godzin. Jeśli naruszenie stanowi wysokie ryzyko dla praw i wolności osób fizycznych, podmiot kontrolujący dane musi także bez zbędnego opóźnienia powiadomić osoby, których to naruszenie dotyczy. Dodatkowe wskazówki opracowuje zespół roboczy ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych Unii Europejskiej.
Usługi i produkty firmy Microsoft — takie jak platforma Azure, usługa Dynamics 365, rozwiązanie Enterprise Mobility + Security, usługa Office 365 i system Windows 10 — oferują rozwiązania pomocne w wykrywaniu i ocenianiu zagrożeń i naruszeń bezpieczeństwa oraz w realizowaniu zobowiązań w zakresie powiadamiania o naruszeniu określonych w rozporządzeniu RODO.
Pytania dotyczące usługi FastTrack dla Microsoft 365
Microsoft FastTrack to korzyść usługi*, nasza usługa zapewniania sukcesu klientów, która ma pomóc firmom szybciej zrealizować wartość biznesową za pomocą platformy Microsoft Cloud. Usługa FastTrack pomaga:
- migrować pocztę e-mail i zawartość oraz uruchamiać usługi platformy Microsoft 365;
- wdrażać urządzenia i bezpiecznie nimi zarządzać;
- zwiększać możliwości firmy i adaptację wśród użytkowników końcowych.
Microsoft FastTrack to ciągła i powtarzalna korzyść usługi dostępna dla klientów i dostarczana przez inżynierów i specjalistów firmy Microsoft, którzy ułatwiają klientom i partnerom planowanie, wdrażanie i przeprowadzanie adaptacji oraz pomagają im w przeniesieniu się do chmury bez obaw i we własnym tempie.
Podczas gdy pomagamy klientom przy określonych wdrożeniach i migracji do naszych usług online, zapewniamy, że usługa Microsoft FastTrack będzie zgodna z RODO do czasu, gdy to rozporządzenie zacznie obowiązywać, czyli do 25 maja 2018 r. W ramach profesjonalnej korzyści usługi FastTrack współpracujemy także z dotychczasowymi partnerami naszych klientów lub polecamy partnerów, którzy pomagają we wdrożeniu i adaptacji.
Odwiedź stronę https://FastTrack.Microsoft.com, aby uzyskać dodatkowe informacje.
*„Korzyść usługi” to „profesjonalna usługa” według definicji naszych OST i MBSA.
Inżynierowie i specjaliści usługi FastTrack to branżowi eksperci w zakresie planowania na potrzeby scenariuszy i wartości biznesowych, które klienci lub partnerzy chcą osiągnąć, i są skoncentrowani na planowaniu, wdrażaniu i adaptowaniu produktów i usług, które pomogą klientom lub partnerom osiągnąć te cele. Więcej informacji o tym, jak produkty i usługi firmy Microsoft wspierają osiągnięcie zgodności z RODO, można uzyskać w witrynie Centrum zaufania. Zachęcamy naszych klientów i partnerów do nawiązania współpracy z uprawnionymi specjalistami w celu omówienia rozporządzenia RODO i tego, w jakim zakresie stosuje się ono do określonej organizacji, oraz jak najlepiej zapewnić zgodność.
Zalecamy, aby nasi klienci współpracowali z własnymi zespołami prawnymi i ds. zgodności, aby określić ogólne wymagania RODO oraz wymagania w zakresie szyfrowania. Zapewnienie zgodności z RODO jest specyficzne dla gromadzonych danych klientów, scenariuszy użycia oraz sektorów i kierunków branżowych.
Microsoft FastTrack to usługa zapewniania sukcesu klientów mająca na celu przyśpieszenie wdrożenia, zwrotu z inwestycji i adaptacji produktów i usług firmy Microsoft wśród pracowników i użytkowników końcowych. Mając to na uwadze, kiedy klient lub partner prześle żądanie pomocy za pośrednictwem usługi Microsoft FastTrack, rozpoczniemy proces poprawnego wdrożenia u niego produktów i usług firmy Microsoft.
W ramach profesjonalnej korzyści usługi FastTrack współpracujemy także z dotychczasowymi partnerami naszych klientów lub polecamy partnerów, którzy pomagają we wdrożeniu i adaptacji. Więcej informacji o partnerach wyspecjalizowanych w zakresie RODO, którzy są dostępni, aby pomóc partnerom firmy Microsoft w osiągnięciu zgodności, znajduje się na stronie Centrum zaufania poświęconej RODO tutaj. Możesz skorzystać z naszej strony Centrum zaufania/RODO, aby ocenić swoją gotowość na RODO i dowiedzieć się, jak możesz przyśpieszyć osiągnięcie zgodności z RODO dzięki platformie Microsoft Cloud, a następnie możesz skorzystać z usługi Microsoft FastTrack w celu uzyskania pomocy z wdrożeniem.