Pogosta vprašanja v zvezi z GDPR

Da bi vam in vaši organizaciji pomagali na vaši poti doseganja skladnosti z GDPR, smo sestavili seznam pogostih vprašanj, in kar je pomembneje, odgovorov.


|

Da. GDPR določa, da upravljavci (kot so organizacije, ki uporabljajo Microsoftove spletne storitve za poslovna okolja) vključujejo le obdelovalce (kot je Microsoft), ki zagotavljajo dovolj zagotovil, da izpolnjujejo bistvene zahteve iz uredbe GDPR. Microsoft je sprejel proaktiven korak za zagotavljanje teh obvez za vse stranke količinskega licenciranja kot del njihovih pogodb.

 

Microsoftove pogodbene obveznosti v zvezi z GDPR lahko najdete v razdelku Pogodbe strank na strani »Pregled GDPR«.

 

Microsoft zagotavlja orodja in dokumentacijo kot podporo za vašo odgovornost v skladu z GDPR. To vključuje podporo za pravice posameznikov, na katere se osebni podatki nanašajo, izvajanje lastnih ocen učinka na varstvo podatkov in sodelovanje z namenom odpravljanja kršitev v zvezi z osebnimi podatki. Obiščite stran »Pregled GDPR«.

 

Microsoftovi Pogoji GDPR odražajo obveze, ki so v členu 28 določene za obdelovalce. V členu 28 je določeno, da se morajo obdelovalci podatkov zavezati naslednjemu:

  • Podobdelovalci so uporabljeni le na podlagi soglasja upravljavca in obdelovalec ostane odgovoren za podobdelovalce.
  • Osebni podatki so obdelovani le na podlagi navodil upravljavca, vključno s prenosi.
  • Zagotoviti je treba, da so osebe, ki obdelujejo osebne podatke, zavezane zaupnosti.
  • Izvajani so ustrezni tehnični in organizacijski ukrepi, da je zagotovljena ustrezna raven varnosti osebnih podatkov glede na tveganje.
  • Zagotovi se pomoč upravljavcem pri izpolnjevanju obveznosti v zvezi z odzivanjem na zahteve posameznikov, na katere se podatki nanašajo, v okviru uveljavljanja njihovih pravic v skladu z GDPR.
  • Izpolnjevati je treba zahteve glede obveščanja o kršitvah in zagotavljanja pomoči.
  • Upravljavcem je treba zagotoviti pomoč z ocenami učinka na varstvo podatkov in s posvetovanjem z nadzornimi organi.
  • Izbrisati ali vrniti je treba osebne podatke ob zaključku zagotavljanja storitev.
  • Upravljavcu je treba zagotoviti podporo z dokazili o skladnosti z GDPR.

 

 

Microsoft že dolgo uporablja standardna pogodbena določila (znana tudi kot standardna določila) kot podlago za prenos podatkov za svoje spletne storitve za poslovna okolja. Standardna pogodbena določila so standardni pogoji, ki jih je določila Evropska komisija in jih je mogoče uporabiti za prenos podatkov izven Evropskega gospodarskega prostora na skladen način. Microsoft je vključil standardna pogodbena določila v vse pogodbe o količinskem licenciranju prek Pogojev spletnih storitev. Delovna skupina iz člena 29 je zlasti ugotovila, da je Microsoftova implementacija standardnih pogodbenih določil skladna.

 

Ko je bil dan na voljo Zasebnostni ščit EU–ZDA je bil Microsoft prvo podjetje, ki je pridobilo potrdilo. Oglejte si Microsoftovo potrdilo, pridobljeno v okviru zasebnostnega ščita, in preberite Pogoje spletnih storitev. Zasebnostni ščit EU–ZDA pomaga strankam, ki želijo svoje podatke prenesti v ZDA, da to naredijo na način, ki je skladen z njihovimi obveznostmi v zvezi z varstvom podatkov.

 

Kot globalno podjetje s strankami v praktično vseh državah na svetu ima Microsoft robusten portfelj skladnosti za zagotavljanje pomoči strankam. Če si želite ogledati popoln seznam naših ponudb za zagotavljanje skladnosti, vključno s programom FedRamp, zakonom HIPAA/HITECH, standardi ISO 27001, ISO 27002, ISO 27018, NIST 800-171, pobudo UK G-Cloud in številnimi drugimi ponudbami, obiščite našo stran s seznamom ponudb za zagotavljanje skladnosti.

|

 

Če želite pridobiti informacije o zmogljivostih Microsoftovih storitev, ki se uporabljajo za obravnavanje zahtev iz uredbe GDPR, obiščite www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation.

 

GDPR uvaja številne zahteve za organizacije, ki zbirajo ali obdelujejo osebne podatke, vključno z zahtevo za doseganje skladnosti s šestimi ključnimi načeli:

  • Preglednost, poštenost in zakonitost pri ravnanju z osebnimi podatki in njihovi uporabi. Posameznikom boste morali razložiti načine uporabe osebnih podatkov, poleg tega boste morali imeti tudi »pravno podlago« za obdelovanje tovrstnih podatkov.
  • Omejitev obdelave osebnih podatkov na  določene, izrecne in zakonite namene. Osebnih podatkov ne boste mogli znova uporabiti ali jih razkriti v skladu z nameni, ki niso »združljivi« z namenom, v skladu s katerim so bili podatki sprva zbrani.
  • Minimiziranje zbiranja in shranjevanja osebnih podatkov na raven, ki je primerna in relevantna za predvideni namen.
  • Zagotavljanje točnosti osebnih podatkov in omogočanje brisanja ali popravljanja. Morali boste sprejeti ukrepe, s katerimi boste zagotovili točnost hranjenih podatkov in možnost popravljanja, če pride do napak.
  • Omejevanje hrambe osebnih podatkov. Morali boste zagotoviti hrambo osebnih podatkov, a le, dokler je to potrebno za doseganje namenov, v skladu s katerimi so bili podatki zbrani.
  • Zagotavljanje varnosti, celovitosti in zaupnosti osebnih podatkov. Vaša organizacija mora sprejeti korake za zagotavljanje varnosti osebnih podatkov na podlagi tehničnih in organizacijskih varnostnih ukrepov.

Razumeti boste morali, katere specifične obveznosti obstajajo za vašo organizacijo glede na GDPR in kako boste zahteve izpolnili. Microsoft pa je tu, da vam pomaga na poti do doseganja skladnosti z GDPR.

Če želite izvedeti več o Splošna uredba o varstvu podatkov (GDPR), obiščite www.microsoft.com/gdpr na kateri lahko ugotovite več o tem, kako vam lahko specifični Microsoftovi izdelki pomagajo pri pripravi na doseganje skladnosti z GDPR. Oglejte si razdelke o storitvah Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 in Windows 10.

GDPR zagotavlja prebivalcem EU nadzor nad svojimi osebnimi podatki na podlagi niza »pravic za posameznike, na katere se osebni podatki nanašajo«. To vključuje pravico do:

  • dostopa do informacij o tem, kako so osebni podatki uporabljeni;
  • dostopa do osebnih podatkov, ki jih organizacija hrani;
  • izbrisa ali popravka nepravilnih osebnih podatkov;
  • popravka in izbrisa osebnih podatkov v določenih okoliščinah (včasih poimenovano »pravica biti pozabljen«);
  • omejitve avtomatizirane obdelave osebnih podatkov ali ugovora zoper obdelavo;
  • prejetja kopije osebnih podatkov.

Upravljavec je fizična ali pravna oseba, javni organ, agencija ali kateri koli drugi organ, ki sam ali skupaj z drugimi določa namene in sredstva za obdelovanje osebnih podatkov. Obdelovalec je fizična ali pravna oseba, javni organ, agencija ali kateri koli drugi organ, ki obdeluje osebne podatke v imenu upravljavca.

Da, GDPR velja tako za upravljavce kot tudi za obdelovalce. Upravljavci smejo najemati le obdelovalce, ki sprejmejo ukrepe za izpolnjevanje zahtev iz GDPR.

 

V skladu z GDPR obstajajo za obdelovalce dodatne dajatve in odgovornosti na podlagi neskladnosti ali delovanja izven navodil, ki jih zagotovi upravljavec, v primerjavi z Direktivo o varstvu podatkov. Obveznosti obdelovalcev vključujejo, med drugim, naslednje:

  • Podatke je dovoljeno obdelovati le v skladu z navodili upravljavca.
  • Za zaščito osebnih podatkov je treba izvajati ustrezne tehnične in organizacijske ukrepe.
  • Upravljavcu je treba zagotoviti pomoč pri zahtevah posameznikov, na katere se osebni podatki nanašajo.
  • Zagotoviti je treba, da najeti podobdelovalci izpolnjujejo te zahteve.

Podjetja lahko doletijo kazni do 20 mio. € ali v višini 4 % letnega globalnega prometa, kar koli je višje, če ne izpolnijo določenih zahtev iz GDPR. Dodatna posamezna sredstva bi lahko povečala vaše tveganje, če ne izpolnite zahtev iz GDPR.

To je odvisno od številnih dejavnikov, določenih v uredbi. V členu 37 GDPR je navedeno, da bodo upravljavci in obdelovalci v vsakem primeru določili odgovorno osebo za varstvo podatkov, če: (a) obdelovanje izvaja javni organ ali telo, razen pri sodiščih, ki delujejo v okviru svojih sodnih zmogljivosti; (b) temeljne dejavnosti upravljavca ali obdelovalca sestavljajo postopki obdelave, ki zaradi svoje narave, obsega in/ali namenov določajo obsežno redno in sistematično nadziranje posameznikov, na katere se podatki nanašajo; ali (c) temeljne dejavnosti upravljavca ali obdelovalca sestavljajo obsežne obdelave posebnih kategorij podatkov v skladu s členom 9 in osebnih podatkov, povezanih s kazenskimi obsodbami in kaznivimi dejanji, navedenimi v členu 10.

Za doseganje skladnosti z GDPR bo večina organizacij potrebovala čas in denar, čeprav je to lahko lažji prehod za tiste, ki delujejo v modelu storitev v oblaku z dobro arhitekturo in imajo uveden učinkovit program upravljanja podatkov.

|

GDPR ureja zbiranje, hrambo, uporabo in posredovanje »osebnih podatkov«. V GDPR so osebni podatki zelo ohlapno opredeljeni kot kakršni koli podatki, ki se nanašajo na določeno ali določljivo fizično osebo.

 

Osebni podatki lahko vključujejo, med drugim, spletne identifikatorje (npr. naslove IP), informacije o zaposlenih, zbirke podatkov o prodaji, podatke o storitvah za stranke, obrazce za pridobivanje povratnih informacij strank, lokacijske podatke, biometrične podatke, videoposnetke CCTV, zapise o programih zvestobe, zdravstvene in finančne informacije ter še marsikaj. Vključujejo lahko celo informacije, ki niso videti kot osebni podatki, npr. fotografijo pokrajine brez ljudi, če so te informacije povezane prek številke računa ali enolične kode z določljivim posameznikom. Osebni podatki so lahko celo osebni podatki, ki so bili psevdonimizirani, če je mogoče psevdonim povezati z določenim posameznikom.

 

Zavedati se morate tudi, da veljajo za obdelovanje določenih »posebnih« kategorij osebnih podatkov, kot so osebni podatki, ki razkrivajo rasno ali etnično pripadnost, ali podatki, ki se nanašajo na zdravje ali spolno usmerjenost posameznikov, strožja pravila kot za obdelovanje »navadnih« osebnih podatkov.

 

Ta ocena osebnih podatkov se zelo osredotoča na dejstva, zato priporočamo, da najamete strokovnjaka za ocenjevanje vaših specifičnih okoliščin.

Da. Čeprav se pravila nekoliko razlikujejo, velja GDPR za organizacije, ki zbirajo in obdelujejo podatke za lastne namene (»upravljavce«), in za organizacije, ki podatke obdelujejo po naročilu drugih (»obdelovalce«). To pomeni odmik od obstoječe Direktive o varstvu podatkov, ki se nanaša na upravljavce.

Osebni podatki so kakršni koli podatki, ki se nanašajo na določeno ali določljivo osebo. Ni razlikovanja med zasebnimi, javnimi ali službenimi vlogami osebe. Osebni podatki lahko vključujejo naslednje:

 

Primeri osebnih podatkov vključujejo naslednje:

 

identiteta,

  • ime,
  • domači naslov,
  • službeni naslov,
  • telefonska številka,
  • številka mobilnega telefona,
  • e-poštni naslov,
  • številka potnega lista,
  • osebna izkaznica,
  • številka socialnega zavarovanja (ali enakovredna številka),
  • vozniško dovoljenje,
  • informacije o fizični, fiziološki ali genetski identiteti,
  • zdravstvene informacije,
  • kulturna identiteta,

finance,

  • bančni podatki/številke računov,
  • številka davčne dokumentacije,
  • službeni naslov,
  • številke kreditnih/debetnih kartic,
  • objave v družabnih medijih,

spletni artefakti,

  • objave v družabnih medijih,
  • naslov IP (regija EU),
  • podatki o lokaciji/GPS,
  • piškotki.

Da, toda GDPR strogo ureja prenose osebnih podatkov evropskih prebivalcev na cilje zunaj Evropskega gospodarskega prostora. Morda boste morali določiti specifičen pravni mehanizem, kot je pogodba, ali pa upoštevati mehanizem certificiranja, če želite te prenose omogočiti. Microsoft podrobno opredeljuje mehanizme, ki jih uporablja, v Pogojih spletnih storitev.

Kadar obstaja zakonita podlaga za nadaljnje obdelovanje in hrambo podatkov, npr. »za skladnost s pravno obveznostjo, ki določa obdelovanje v skladu z zakonom Unije ali države članice, ki velja za upravljavca« (člen 17(3)(b)), je v GDPR priznano, da imajo organizacije morda obveznost hrambe podatkov. Vendar morate najeti pravnega svetovalca, da zagotovite, da so podlage za hrambo usklajene s pravicami in svoboščinami posameznikov, na katere se osebni podatki nanašajo, njihovimi pričakovanji v času zbiranja podatkov itd.

Šifriranje je v GDPR določeno kot zaščitni ukrep, s katerim je poskrbljeno, da osebnih podatkov ni mogoče brati, ko jih prizadene kršitev. Na podlagi tega, ali je uporabljeno šifriranje ali ne, lahko pride do vpliva na zahteve glede obveščanja o kršitvi v zvezi z osebnimi podatki. GDPR izpostavi šifriranje tudi kot primeren tehnični ali organizacijski ukrep v nekaterih primerih, kar je odvisno od tveganja. Šifriranje je poleg tega določeno kot zahteva v Standardu varnosti podatkov kartičnega poslovanja (Payment Card Industry Data Security Standard oz. PCI DSS) in delu strogih smernic glede skladnosti, specifičnih za industrijo finančnih storitev. Microsoftovi izdelki in storitve, kot so Azure, Dynamics 365, Enterprise Mobility + Security, Office 365, SQL Server/zbirka podatkov Azure SQL in Windows 10, ponujajo robustno šifriranje za podatke v prenosu in mirujoče podatke.

 

Če želite izvedeti več o tem, kako vam lahko Microsoftovi izdelki in storitve pomagajo pri pripravi na skladnost z GDPR, si oglejte, kako vam naši izdelki pomagajo pri izpolnitvi zahtev iz GDPR.

Uredba GDPR bo spremenila zahteve glede varstva podatkov in določila strožje obveznosti za obdelovalce in upravljavce glede obveščanj o kršitvah v zvezi z osebnimi podatki. V skladu z novo uredbo mora obdelovalec upravljavca podatkov obvestiti o kršitvi v zvezi z osebnimi podatki, ko ugotovi kršitev, in sicer brez nepotrebnega odlašanja. Ko ugotovi kršitev v zvezi z osebnimi podatki, mora upravljavec v 72 urah obvestiti relevantne organe za varstvo podatkov. Če obstaja verjetnost, da bo kršitev povzročila visoko tveganje za pravice in svoboščine posameznikov, bodo morali upravljavci poleg tega obvestiti prizadete posameznike brez nepotrebnih zamud. Delovna skupina EU iz člena 29 oblikuje dodatne smernice glede te teme.

 

Microsoftovi izdelki in storitve – na primer Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 in Windows 10 – vključujejo rešitve, ki so dandanes na voljo in vam bodo v pomoč pri zaznavi in ocenjevanju varnostnih groženj in kršitev ter pri izpolnjevanju obveznosti glede obveščanja o kršitvi iz uredbe GDPR.

|

Microsoft FastTrack je prednost storitve*, naše storitve za zagotavljanje uspešnosti strank, ki pomaga podjetjem doseči vrednost podjetja hitreje z rešitvijo Microsoft Cloud. FastTrack pomaga pri naslednjem:

  • selitev e-pošte, vsebine in zagotovitev pomoči storitvam Microsoft 365, da se izkažejo;
  • uvajanje in varno upravljanje naprav;
  • omogočanje poslovanja in izvedba uvedbe s strani končnega uporabnika.

Microsoft FastTrack je neprekinjena in ponovljiva prednost storitve, ki je na voljo strankam, zagotavljajo pa jo Microsoftovi inženirji in strokovnjaki, da zagotovijo pomoč strankam ali partnerjem pri načrtovanju, zagonu in spodbujanju uvedbe/uporabe ter da zagotovijo pomoč pri zanesljivi selitvi v oblak v skladu s tempom strank ali partnerjev.

 

Ker strankam pomagamo pri specifičnih uvedbah in selitvah v naše spletne storitve, se Microsoft FastTrack zavezuje skladnosti z GDPR do začetka veljavnosti uredbe dne 25. maja 2018. Kot del prednosti strokovne storitve FastTrack poleg tega sodelujemo z obstoječimi partnerji naših strank ali pa partnerje napotimo na pravi naslov glede pomoči pri uvedbi in izvedbi uvajanja.

 

Za dodatne informacije glejte https://FastTrack.Microsoft.com.

 

*»Prednost storitve« je obravnavana kot »strokovna storitev«, kot je opredeljeno v naših pogodbah OST in MBSA.

Inženirji in strokovnjaki FastTrack so panožni strokovnjaki za načrtovanje scenarijev in vrednosti podjetij, ki jih stranke ali partnerji želijo doseči, ter se osredotočajo na načrtovanje, uvajanje in izvajanje uvedbe izdelkov in storitev kot pomoč strankam ali partnerjem pri doseganju teh ciljev. Izvedite več o tem, kako Microsoftovi izdelki in storitve podpirajo vašo skladnost z GDPR prek našega spletnega mesta »Središče zaupanja«. Naše stranke in partnerje spodbujamo k sodelovanju s pravnimi strokovnjaki glede obravnave GDPR in glede tega, kako uredba velja posebej za njihovo organizacijo ter kateri način zagotavljanja skladnosti je najboljši.

Strankam svetujemo, da se najprej posvetujejo s svojimi pravnimi oddelki in oddelki za skladnost ter tako ugotovijo, katere zahteve iz GDPR glede šifriranja in splošne zahteve iz GDPR so zanje veljavne. Skladnost z GDPR je specifična za zbrane podatke o stranki, scenarije uporabe in panožne sektorje ali vektorje.

Microsoft FastTrack je storitev za spodbujanje uspešnosti stranke, ki je zavezana zagotavljanju hitrejših uvedb, donosnosti naložb in spodbujanje obsežnejše uvedbe za zaposlene ali končne uporabnike Microsoftovih izdelkov in storitev. Ob upoštevanju tega bomo začeli naš postopek za ustrezno uvedbo Microsoftovih izdelkov in storitev za naše stranke ali partnerje, ko stranke ali partnerji pošljejo zahtevo za pomoč prek storitve Microsoft FastTrack.

 

Kot del prednosti naše strokovne storitve FastTrack poleg tega sodelujemo z obstoječimi partnerji naših strank ali pa partnerje napotimo na pravi naslov glede pomoči pri uvedbi in izvedbi uvajanja. Več informacij o partnerjih, specializiranih za GDPR, ki so na voljo za zagotavljanje pomoči Microsoftovim partnerjem pri doseganju skladnosti, kot je opisano na strani Središča zaupanja o GDPR, lahko najdete tukaj. Uporabite lahko našo spletno stran »Zaupanja vreden oblak/GDPR« za oceno vaše pripravljenosti na GDPR in načinov za pospešitev skladnosti rešitve Microsoft Cloud z GDPR. Za pomoč pri uvajanju lahko uporabite Microsoft FastTrack.


Dodatni viri

Poiščite partnerja

Obravnavajte svoje potrebe v zvezi z GDPR z enim od naših globalnih partnerjev, ki ponuja Microsoftove rešitve.

Microsoftove zasebnostne prakse

Ugotovite, kako Microsoft upravlja vaše podatke, kje jih hrani, kdo lahko do njih dostopa in kakšni so pogoji za dostop ter še marsikaj.

Zasebnostni ščit EU–ZDA

Ugotovite, kako Microsoft upošteva načela okvirja Zasebnostni ščit EU–ZDA.

Obveščanje o kršitvah v zvezi s podatki

Ugotovite, kako Microsoft zazna kršitve v zvezi z osebnimi podatki in kako se nanje odzove ter vas obvesti v skladu z GDPR.