Вопросы и ответы о GDPR

Чтобы помочь вам и вашей организации обеспечить соответствие требованиям GDPR, мы составили список часто задаваемых вопросов и, что немаловажно, ответов на них.


|

Да. Согласно GDPR, контролеры данных (например, организации, использующие корпоративные веб-службы Майкрософт) должны пользоваться услугами только таких обработчиков (например, Майкрософт), которые дают достаточные гарантии соблюдения ключевых требований GDPR. Компания Майкрософт приняла профилактические меры и предоставила соответствующие гарантии всем клиентам программы корпоративного лицензирования в соответствующих договорах.

 

Договорные обязательства корпорации Майкрософт в связи с GDPR можно найти в разделе клиентских договоров на странице обзорных сведений о GDPR.

 

Майкрософт предлагает вам инструменты и документацию, которые помогут вам добиться соблюдения требований GDPR. Это включает поддержку в связи с правами субъектов данных, проведение вами собственной оценки влияния на защиту данных, а также совместную работу по устранению нарушений безопасности данных. Зайдите на страницу обзорных сведений о GDPR.

 

В Условиях GDPR корпорации Майкрософт отражены обязательства, которые должны брать на себя обработчики согласно статье 28. Согласно статье 28, обработчики должны быть на себя следующие обязательства:

  • использовать услуги субобработчиков только с согласия контролера и при этом нести ответственность за их действия;
  • обрабатывать персональные данные только согласно указаниям контролера, в том числе в связи с передачей;
  • связывать лиц, обрабатывающих персональные данные, обязательствами по соблюдению конфиденциальности;
  • принимать соответствующие технические и организационные меры для обеспечения безопасности данных на уровне, соответствующем степени риска;
  • оказывать контролерам содействие в исполнении теми своих обязательств по реагированию на запросы субъектов данных, желающих воспользоваться своими правами;
  • соблюдать требования к уведомлению о нарушениях безопасности данных и содействию в их устранении;
  • оказывать контролерам содействие в оценке влияния для защиты данных и консультациях с надзорными органами;
  • удалять или возвращать персональные данные после завершения предоставления услуг;
  • предоставлять контролерам доказательства соблюдения требований GDPR.

 

 

Корпорация Майкрософт уже давно использует стандартные договорные условия (их также называют модельными условиями) в качестве основания для передачи данных в своих корпоративных веб-службах. Стандартные договорные условия составлены Европейской комиссией и могут использоваться для передачи данных за пределы Европейской экономической зоны в соответствии с требованиями законодательства. Корпорация Майкрософт включила стандартные договорные условия во все свои договоры корпоративного лицензирования в составе Условий Online Services. Рабочая группа в соответствии со статьей 29 признала, что реализация стандартных договорных условий корпорацией Майкрософт соответствует требованиям законодательства.

 

А когда была введена в действие программа Privacy Shield по соглашению между ЕС и США, корпорация Майкрософт стала первой компанией, получившей сертификацию на соответствие ее требованиям. Ознакомьтесь с сертификацией Майкрософт на соответствие требованиям программы Privacy Shield и Условиями Online Services. Программа Privacy Shield по соглашению между ЕС и США помогает клиентам, желающим передать свои данные в США, сделать это в соответствии с их обязательствами по защите данных.

 

Будучи международной компанией с клиентами практически во всех странах мира, корпорация Майкрософт предлагает целый пакет решений, призванных помочь ее клиентам. Чтобы ознакомиться с полным списком наших решений для обеспечения соответствия требованиям, в том программы FedRamp, законов HIPAA/HITECH, стандартов ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud и множества других нормативных предписаний, загляните на эту страницу.

|

 

Информацию о функциях и возможностях служб Майкрософт, связанных с исполнением требований GDPR, можно найти на странице www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation.

 

GDPR устанавливает целый ряд требований к организациям, которые осуществляют сбор или обработку персональных данных, включая требование соблюдать шесть перечисленных ниже ключевых принципов.

  • Прозрачность, добросовестность и законность при обработке персональных данных. Вы обязаны сообщать физическим лицам о том, как вы используете их персональные данные, и вам необходимы "законные основания" для их обработки.
  • Обработка персональных данных исключительно с конкретными, явными и законными целями. Вы не имеете права повторно использовать или раскрывать персональные данные в целях, которые несовместимы с изначальными целями их сбора.
  • Сбор и хранение персональных данных исключительно в том объеме, в каком это целесообразно и необходимо с точки зрения заявленной цели.
  • Обеспечение точности персональных данных и предоставление возможности удалить или исправить их. Вы обязаны принять меры для того, чтобы обеспечить точность персональных данных и возможность при необходимости внести в них исправления.
  • Ограничение сроков хранения персональных данных. Вы имеете право хранить персональные данные только в течение срока, необходимого для достижения целей, с которыми они были собраны.
  • Обеспечение безопасности, целостности и конфиденциальности персональных данных. Ваша организация обязана принять все необходимые технические и организационные меры, чтобы обеспечить безопасность персональных данных.

Вы должны понять, в чем заключаются конкретные обязательства вашей организации в связи с GDPR и как вы планируете их исполнять, и корпорация Майкрософт готова помочь вам в этом.

Чтобы узнать больше об Общем регламенте по защите данных (GDPR), зайдите на страницу www.microsoft.com/gdpr, где также можно найти более подробную информацию о том, как конкретные продукты Майкрософт могут помочь вам подготовиться к соблюдению требований GDPR (в частности, в разделах, посвященных Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 и Windows 10).

GDPR предоставляет жителям ЕС возможность контролировать свои персональные данные посредством набора "прав субъектов данных". Этот набор включает права на:

  • доступ к информации о том, как используются персональные данные;
  • доступ к персональным данным, которые хранятся у организации;
  • удаление или исправление неверных персональных данных;
  • внесение изменений в персональные данные и их полную очистку в определенных ситуациях (т. н. "право на забвение");
  • ограничение или запрет автоматической обработки персональных данных;
  • получение копии персональных данных.

Контролер — физическое или юридическое лицо, орган государственной власти, государственное ведомство либо другое учреждение, которое самостоятельно или вместе с другими лицами определяет цели и способы обработки персональных данных. Обработчик — физическое или юридическое лицо, орган государственной власти, государственное ведомство либо другое учреждение, которое обрабатывает персональные данные по поручению контролера.

Да, действие GDPR распространяется как на контролеров, так и на обработчиков. Контролеры имеют право использовать услуги только тех обработчиков, которые соблюдают требования GDPR.

 

Согласно GDPR, для обработчиков по сравнению с Директивой о защите данных предусмотрены дополнительные обязанности и ответственность в случае несоблюдения требований либо совершения действий в нарушение инструкций контролера. Обработчик обязан, помимо прочего:

  • обрабатывать данные только в соответствии с инструкциями контролера;
  • принимать надлежащие технические и организационные меры для защиты персональных данных;
  • оказывать контролеру содействие в обработке запросов со стороны субъектов данных;
  • следить за соблюдением этих требований со стороны привлекаемых им субобработчиков.

За несоблюдение определенных требований GDPR на компанию может быть наложен штраф в размере до 20 млн евро либо 4 процентов от годового оборота (большей из этих сумм). В случае несоблюдения вами требований GDPR пострадавшие также могут воспользоваться индивидуальными средствами правовой защиты, что создает для вас дополнительные риски.

Это зависит от ряда факторов, которые предусмотрены в регламенте. В статье 37 GDPR указано, что контролеры и обработчики должны назначать инспектора по защите данных в любом из следующих случаев: а) обработка осуществляется органом государственной власти, кроме судов, действующих в рамках своих судебных полномочий; б) основным видом деятельности контролера или обработчика является обработка данных, которая по своему характеру либо в связи со своими объемами и/или целями требует регулярного и систематического мониторинга субъектов данных в больших масштабах; в) основным видом деятельности контролера или обработчика является обработка в больших масштабах данных особых категорий (согласно статье 9) и данных, связанных с уголовными делами и преступлениями (упоминаемых в статье 10).

Соблюдение GDPR требует от большинства организаций существенных денежных и временных затрат, хотя для компаний, которые используют облачные службы с хорошо продуманной архитектурой и у которых уже развернута эффективная программа управления данными, такой переход может быть относительно плавным.

|

GDPR регламентирует сбор, хранение, использование и раскрытие "персональных данных". Термин "персональные данные" имеет в GDPR весьма широкую трактовку и охватывает любые данные, которые связаны с идентифицированным или идентифицируемым физическим лицом.

 

Персональные данные могут включать ,помимо прочего, интернет-идентификаторы (например, IP-адреса), информацию о сотрудниках, базы данных с информацией о продажах, данные об обслуживании клиентов, формы обратной связи для клиентов, данные о местоположении, биометрические данные, записи с камер видеонаблюдения, данные о программах лояльности, медицинскую и финансовую информацию, а также многое другое. Сюда может относиться даже информация, которая не кажется персональной (например, фотографии пейзажей без людей), если она по номеру учетной записи или уникальному коду связана с идентифицируемым лицом. Персональными данными могут быть даже персональные данные под псевдонимом, если этот псевдоним можно связать с конкретным лицом.

 

Вы также должны понимать, что обработка некоторых "особых" категорий персональных данных (например, информации о расовом или этническом происхождении человека, состоянии его здоровья или сексуальной ориентации) подпадает под более строгие правила, чем "обычные" персональные данные.

 

Оценка персональных данных требует знания конкретных фактов, поэтому рекомендуем привлечь специалиста, который поможет вам с анализом вашей ситуации.

Да. Хотя в данном случае применяются несколько иные правила, действие GDPR распространяется как на организации, которые собирают и обрабатывают данные в собственных целях (контролеры), так и на организации, которые обрабатывают данные по поручению других компаний (обработчики). В этом заключается отличие нового регламента от прежней Директивы о защите данных, которая относится к контролерам.

Персональные данные — это любая информация, которая относится к идентифицированному или идентифицируемому лицу. Частный, публичный или рабочий характер роли конкретного человека не имеет значения. К персональным данным может относиться указанная ниже информация.

 

Вот некоторые примеры персональных данных.

 

Идентификационные данные

  • Имя
  • Домашний адрес
  • Рабочий адрес
  • Номер телефона
  • Номер мобильного телефона
  • Адрес электронной почты
  • Номер паспорта
  • Номер национального удостоверения личности
  • Номер социального страхования (или его эквивалент)
  • Водительское удостоверение
  • Физическая, физиологическая или генетическая информация
  • Медицинские сведения
  • Культурная принадлежность

Финансовая информация

  • Банковские реквизиты и номера счетов
  • Налоговый идентификатор
  • Рабочий адрес
  • Номера кредитных и дебетовых карт
  • Публикации в социальных сетях

Интернет-объекты

  • Публикации в социальных сетях
  • IP-адрес (для региона ЕС)
  • Местоположение и данные GPS
  • Файлы cookie

Да, однако при этом GDPR строго регламентирует передачу персональных данных жителей Европы за пределы Европейской экономической зоны. Для такой передачи вам может понадобиться разработать конкретный правовой механизм, например договор, или следовать процедуре сертификации. Подробные сведения об используемых корпорацией Майкрософт механизмах изложены в Условиях Online Services.

При наличии законных причин для дальнейшей обработки и хранения данных, таких как соблюдение юридических обязательств по обработке согласно законодательству страны-участницы ЕС, под действие которого подпадает субъект (статья 17(3)(b)), GDPR признает право организации на соблюдение требований по хранению данных. При этом вам следует обратиться к юристам, которые оценят ваши правовые основания для дальнейшего хранения информации в контексте прав и свобод субъектов данных, их ожиданий на этапе сбора данных и т. д.

Шифрование согласно GDPR относится к перечню мер по защите персональных данных в случае нарушения безопасности. Таким образом, факт использования или неиспользования шифрования может повлиять на требования к уведомлению о нарушениях безопасности персональных данных. Согласно GDPR, в определенных ситуациях в зависимости от степени риска шифрование также может считаться надлежащей технической или организационной мерой защиты. Шифрование также входит в число требований согласно стандарту PCI DSS и предусмотрено строгими правилами соответствия требованиям в отрасли финансовых услуг. Продукты и службы Майкрософт, такие как Azure, Dynamics 365, Enterprise Mobility + Security, Office 365, СУБД SQL Server/Azure SQL и Windows 10, обеспечивают надежное шифрование данных на этапах пересылки и хранения.

 

Узнать больше о продуктах и службах Майкрософт, которые помогут вам подготовиться к соблюдению требований GDPR, можно на этой странице.

GDPR вносит изменения в требования к защите информации и налагает более строгие обязательства на обработчиков и контролеров в связи с уведомлением о нарушении безопасности персональных данных. Согласно новому регламенту, обработчик обязан без необоснованной задержки уведомлять контролера о нарушении персональных данных, как только ему становится известно об этом. Получив информацию о нарушении, контролер обязан уведомить соответствующий орган по надзору за защитой данных в течение 72 часов. Если нарушение с большой вероятностью может поставить под серьезную угрозу права и свободы граждан, контролеры также обязаны без необоснованной задержки уведомлять затрагиваемых ситуацией лиц. Дополнительные правила и рекомендации на этот счет составляются рабочей группой ЕС согласно статье 29.

 

Продукты и службы Майкрософт, такие как Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 и Windows 10, предлагают готовые решения, которые помогут вам в обнаружении и оценке угроз и нарушений безопасности, а также в соблюдении обязательств по уведомлению о нарушениях согласно GDPR.

|

Microsoft FastTrack — услуга-преимущество*, наша служба успешного развертывания для клиентов, которая позволяет компаниям быстрее воспользоваться всеми преимуществами Microsoft Cloud. FastTrack помогает:

  • перенести электронную почту и контент и запустить службы Microsoft 365;
  • развернуть устройства и организовать безопасное управление ими;
  • расширить возможности компании и сделать новые технологии популярными среди конечных пользователей.

Услуги в рамках программы Microsoft FastTrack оказывают нашим клиентам и партнерам на текущей и регулярной основе инженеры и специалисты Майкрософт, которые помогают им в планировании, внедрении и популяризации новых технологий, а также в уверенном переходе на облачную платформу в удобном для клиентов и партнеров темпе.

 

Помогая клиентам провести развертывание и переход на наши веб-службы по собственной программе, Microsoft FastTrack отвечает всем требованиям GDPR на момент вступления этого регламента в действие 25 мая 2018 года. В рамках профессиональных услуг FastTrack мы также взаимодействуем с партнерами наших клиентов или предлагаем им услуги наших собственных партнеров по развертыванию и популяризации.

 

Дополнительные сведения см. на веб-сайте https://FastTrack.Microsoft.com.

 

* Услуга-преимущество — профессиональная услуга согласно нашим Условиям Online Services и MBSA.

Инженеры и специалисты FastTrack — эксперты в области планирования с учетом сценариев и бизнес-целей, которые хотят реализовать наши клиенты и партнеры, и их первоочередная задача — планирование, развертывание и популяризация продуктов и служб, которые помогут клиентам и партнерам выполнить поставленные задачи. Узнайте больше о том, как продукты и службы Майкрософт помогут вам обеспечить соблюдение GDPR, на нашем веб-сайте центра управления безопасностью. Мы рекомендуем клиентам и партнерам обсудить со специалистом по правовым вопросам сам регламент GDPR, его последствия для конкретной организации и оптимальные способы добиться его соблюдения.

Мы рекомендуем нашим клиентам воспользоваться услугами собственных юридических отделов и отделов обеспечения соответствия, чтобы определить применимые требования GDPR к шифрованию и общие требования данного регламента. Факторы, связанные с соблюдением GDPR, зависят от особенностей сбора данных, схем использования, отраслевых секторов и направлений деятельности конкретного клиента.

Microsoft FastTrack — служба успешного развертывания для клиентов, задача которой — ускорить развертывание и окупаемость, а также обеспечить популяризацию новых технологий среди ваших сотрудников или конечных пользователей продуктов и служб Майкрософт. С учетом этого мы и планируем процедуру надлежащего развертывания продуктов и услуг Майкрософт для наших клиентов и партнеров, обращающихся за соответствующей помощью в рамках программы Microsoft FastTrack.

 

В рамках профессиональных услуг FastTrack мы также взаимодействуем с партнерами наших клиентов или предлагаем им услуги наших собственных партнеров по развертыванию и популяризации. Подробные сведения о партнерах Майкрософт, которые специализируются на обеспечении соответствия GDPR и предлагают свою помощь, можно найти на посвященной GDPR странице центра управления безопасностью. Вы можете воспользоваться нашей веб-страницей о надежных облачных технологиях и GDPR, чтобы оценить свою готовность к введению GDPR и узнать, как максимально быстро обеспечить соответствие требованиям нового регламента с помощью Microsoft Cloud, а также обратиться за помощью в развертывании в рамках программы Microsoft FastTrack.


Дополнительные ресурсы

Graphic icon of two people with a plus sign representing partnerships

Найти партнера

Воспользуйтесь услугами одного из наших глобальных партнеров, предлагающих решения на базе технологий Майкрософт для обеспечения соответствия требованиям GDPR.

Graphic icon of two horizontal rectangles stacked with magnifying glass representing privacy policies

Методы обеспечения конфиденциальности в Майкрософт

Узнайте, как корпорация Майкрософт управляет вашими данными, где они расположены, у кого есть к ним доступ, ознакомьтесь с условиями и другой информацией.

Graphic icon of a shield with an exclamation point in the middle

Соглашение о правилах обмена конфиденциальной информацией между ЕС и США

Узнайте о том, как корпорация Майкрософт соблюдает условия рамочного соглашения о правилах обмена конфиденциальной информацией между ЕС и США.

Graphic icon representing an unlocked padlock with a white circle in the middle

Уведомление о нарушении безопасности данных

Принципы обнаружения нарушений персональных данных корпорацией Майкрософт, реагирования на них и уведомления вас о них согласно GDPR.