Vanliga frågor och svar om GDPR

För att hjälpa dig och din organisation under resan till GDPR har vi sammanställt en lista över vanliga frågor och svar.


|

Ja. GDPR kräver att registeransvariga (till exempel organisationer som använder Microsofts onlinetjänster för företag) endast använder registerförare (till exempel Microsoft) som ger tillräcklig garanti för att uppfylla kraven i GDPR. Microsoft har vidtagit det proaktiva steget med att ge dessa åtaganden till alla volymlicensieringskunder som en del av deras avtal.

 

Microsofts avtalsmässiga åtaganden som rör GDPR finns under kundavtalen på sidan med översikt av GDPR.

 

Microsoft erbjuder verktyg och dokumentation som stöder ditt ansvarstagande för GDPR. Detta innefattar stöd för DSR (registrerades rättigheter), genomförande av dina egna konsekvensbedömningar av uppgiftsskydd och samarbete för att lösa överträdelser gällande personliga data. Besök sidan med översikt av GDPR.

 

Microsofts GDPR-villkor speglar de åtaganden som krävs för registerförare i Artikel 28. Artikel 28 kräver att registerförare åtar sig att göra följande:

  • Endast använda underregisteransvariga med den registeransvarigas samtycke och förblir ansvariga för underregisteransvariga.
  • Endast bearbeta personliga data på instruktion från den registeransvarige. Detta gäller även överföringar.
  • Säkerställa att de personer som bearbetar personliga data åtar sig att säkerställa konfidentialitet.
  • Implementera lämpliga tekniska och organisationsmässiga åtgärder för att säkerställa en säkerhetsnivå för personliga data som är lämplig med avseende på risken.
  • Hjälpa registeransvariga med deras skyldighet att svara på registrerades begäranden att utöva sina rättigheter som avser GDPR.
  • Uppfylla kraven för meddelande och hjälp vid överträdelser.
  • Hjälpa registeransvariga med utvärderingar av påverkan av dataskydd och konsultation med tillsynsmyndigheter.
  • Ta bort eller returnera personliga data vid slutet av tjänsternas tillhandahållande.
  • Ge stöd till registeransvariga med bevis för efterlevnad med GDPR.

 

 

Microsoft har länge använt standardavtalsklausulerna (även kallat typklausulerna) som basis för dataöverföring för sina onlinetjänster för företag. Standardavtalsklausulerna är standardvillkor som tillhandahålls av EU-kommissionen och kan användas för att överföra data utanför Europeiska ekonomiska samarbetsområdet på ett sätt som efterlever kraven. Microsoft har implementerat standardavtalsklausulerna i alla volymlicensieringsavtal via Villkor för onlinetjänster. Artikel 29-arbetsgruppen har uttryckligen kommit fram till att Microsofts implementering av standardavtalsklausulerna efterlever kraven.

 

När EU-USA:s Privacy Shield blev tillgänglig var Microsoft dessutom det första företaget som certifierades. Se Microsofts certifiering för Privacy Shield och läs Villkor för onlinetjänster. EU–USA:s Privacy Shield hjälper kunder som vill överföra sina data till USA att göra det på ett sätt som överensstämmer med deras skyldigheter vad gäller dataskydd.

 

Som globalt företag med kunder nästan överallt i världen har Microsoft en robust efterlevnadsportfölj som hjälper våra kunder. Du kan se en fullständig lista över våra efterlevnadserbjudanden, däribland FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud och många andra, genom att besöka vår lista över efterlevnadserbjudanden.

|

 

Information om funktioner i Microsoft-tjänster som används för att uppfylla kraven i GDPR finns på www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation.

 

GDPR ställer många olika krav på organisationer som samlar in eller bearbetar personliga data, däribland ett krav att följa sex huvudprinciper:

  • Transparens, rättvisa och lagenlighet vid hantering och användning av personliga data. Du behöver kommunicera tydligt om hur du använder personliga data, och du behöver även en ”rättslig grund” för att bearbeta sådana data.
  • Begränsa bearbetningen av personliga data till angivna, uttryckliga och legitima syften. Du kommer inte att kunna återanvända eller avslöja personliga data för syften som inte är ”kompatibla” med det syfte i vilket data ursprungligen samlades in.
  • Minimera insamling och lagring av personliga data till sådana som är tillräckliga och relevanta för det avsedda ändamålet.
  • Säkerställa riktighet för personliga data och göra så att de kan raderas eller korrigeras. Du behöver vidta åtgärder för att se till att de personliga data som du lagrar är korrekta och kan korrigeras om fel uppstår.
  • Begränsa lagringen av personliga data. Du kommer att behöva säkerställa att du endast behåller personliga data så länge som det är nödvändigt för att uppfylla det syfte i vilket data samlades in.
  • Säkerställa säkerhet, integritet och konfidentialitet för personliga data. Din organisation måste vidta åtgärder för att hålla personliga data säkra genom tekniska och organisationsmässiga säkerhetslösningar.

Du behöver förstå vilka specifika skyldigheter din organisation har gentemot GDPR och hur du kommer att följa dem. Du får dock hjälp från Microsoft under din GDPR-resa.

Läs mer om Allmänna dataskyddsförordningen (GDPR) genom att besöka www.microsoft.com/gdpr där du även kan lära dig om hur specifika Microsoft-produkter kan hjälpa dig med efterlevnaden med GDPR – se avsnitten om Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 och Windows 10.

GDPR ger EU-medborgare kontroll över sina personliga data genom en uppsättning ”registrerades rättigheter” (DSR, Data Subject Rights). Detta omfattar rätten att:

  • Få åt information om hur personliga data används.
  • Komma åt personliga data som lagras av en organisation.
  • Begära att felaktiga personliga data tas bort eller korrigeras.
  • Begära att personliga data korrigeras och raderas under vissa omständigheter (detta kallas ibland ”rätten att glömmas”).
  • Begränsa eller invända mot automatiserad bearbetning av personliga data.
  • Få en kopia av personliga data.

En registeransvarig är en fysisk eller juridisk person, offentlig myndighet, organisation eller annan grupp som, enskilt eller tillsammans med andra, avgör syfte och metod för bearbetning av personliga data. En registerförare är en fysisk eller juridisk person, offentlig myndighet, organisation eller annan grupp som bearbetar personliga data på uppdrag av den registeransvarige.

Ja, GDPR gäller för både registeransvariga och registerförare. Registeransvariga får endast använda registerförare som vidtar åtgärder för att uppfylla kraven för GDPR.

 

Under GDPR är registerförare föremål för ytterligare skyldigheter och ansvar för bristande efterlevnad eller handlingar utanför ramen för de instruktioner som tillhandahålls av den registeransvarige utöver det som anges av dataskyddsdirektivet. Registerförarens skyldigheter omfattar men är inte begränsade till att:

  • Endast bearbeta data enligt den registeransvariges instruktioner.
  • Använda lämpliga tekniska och organisationsmässiga åtgärder för att skydda personliga data.
  • Bistå den registeransvarige med begäranden gällande registrerade.
  • Garantera att underregisterförare som den engagerar uppfyller dessa krav.

Företag kan bötfällas upp till 20 miljoner euro eller 4 % av sin globala årsomsättning, varav det högsta beloppet gäller, om de underlåter att uppfylla vissa GDPR-krav. Ytterligare enskilda gottgörelser kan öka risken vid underlåtenhet att följa GDPR-kraven.

Detta beror på flera faktorer som identifieras i regelverket. Artikel 37 i GDPR anger att registeransvariga och registerförare ska utse ett dataskyddsombud i alla fall där: (a) bearbetningen genomförs av en offentlig myndighet eller organisation, med undantag för domstolar som agerar i sin juridiska kapacitet; (b) huvudaktiviteterna för den registeransvarige eller registerföraren består av bearbetningsverksamhet som av sin natur, sitt omfång och/eller sina syften kräver regelbunden och systematisk övervakning av registrerade i stor skala; eller (c) huvudaktiviteterna för den registeransvarige eller registerföraren består av bearbetning i stor skala av särskilda kategorier med data enligt Artikel 9 samt personliga data som relaterar till brottmålsdomar eller brott som hänvisas till i Artikel 10.

Efterlevnad med GDPR kostar tid och pengar för de flesta organisationer, men övergången kan vara smidigare för dem som har verksamhet i en väl utformad molntjänstmodell och som har ett effektivt datastyrningsprogram.

|

GDPR reglerar insamling, lagring, användning och delning av ”personliga data”. Personliga data definieras mycket brett under GDPR som alla data som relaterar till en identifierad eller identifierbar fysisk person.

 

Personliga data kan omfatta, men inte vara begränsade till, onlineidentifierare (till exempel IP-adresser), information om medarbetare, försäljningsdatabaser, kundtjänstdata, formulär med kundfeedback, platsdata, biometriska data, inspelningar från kameraövervakning, register över lojalitetsprogram, hälsorelaterad och ekonomisk information och mycket mer. De kan även omfatta information som inte förefaller vara personlig – till exempel ett landskapsfoto utan personer – där sådan information kopplas av ett kontonummer eller en unik kod till en identifierbar person. Till och med personliga data som har pseudonymiserats kan vara personliga data om pseudonymen kan kopplas till en enskild person.

 

Du bör även vara medveten om att bearbetningen av vissa ”särskilda” kategorier av personliga data – till exempel personliga data som avslöjar en persons etniska bakgrund, hälsa eller sexuella läggning – omfattas av strängare regler än bearbetningen av ”vanliga” personliga data.

 

Den här utvärderingen av personliga data är mycket faktaspecifik. Därför rekommenderar vi att du tar råd från en expert vid utvärderingen av dina särskilda omständigheter.

Ja. Även om reglerna skiljer sig något så gäller GDPR för organisationer som samlar in och bearbetar data för sina egna syften (”registeransvariga”) samt för organisationer som bearbetar data på uppdrag av andra (”registerförare”). Detta utgör en ändring från det befintliga dataskyddsdirektivet, som gäller för registeransvariga.

Personliga data är all information som rör en identifierad eller identifierbar person. Det görs ingen distinktion mellan en persons privata, offentliga eller yrkesmässiga roller. Personliga data kan omfatta:

 

Exempel på personliga data inbegriper:

 

Identitet

  • Namn
  • Hemadress
  • Arbetsadress
  • Telefonnummer
  • Mobilnummer
  • E-postadress
  • Passnummer
  • Nationellt ID-kort
  • Personnummer (eller motsvarande)
  • Körkort
  • Fysisk, fysiologisk eller genetisk information
  • Medicinsk information
  • Kulturell identitet

Ekonomi

  • Bankuppgifter/kontonummer
  • Skattedeklarationsnummer
  • Arbetsadress
  • Kredit-/bankkortsnummer
  • Inlägg på sociala medier

Onlineartefakter

  • Inlägg på sociala medier
  • IP-adress (EU-region)
  • Plats-/GPS-data
  • Cookies

Ja, men GDPR reglerar strikt överföring av personliga data som rör Europamedborgare till destinationer utanför Europeiska ekonomiska samarbetsområdet. Du kan behöva upprätta en särskild juridisk funktion, till exempel ett kontrakt, eller följa en certifieringsmekanism för att få göra sådana överföringar. Microsoft beskriver de mekanismer vi använder i villkoren för onlinetjänster.

Där det finns legitima skäl till fortsatt bearbetning och datakvarhållning, till exempel ”för att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av” (Artikel 17(3)(b)), konstaterar GDPR att organisationer kan vara tvungna att kvarhålla data. Du bör dock arbeta med en juridisk rådgivare för att se till att skälet till kvarhållning vägs mot de registrerades rättigheter och friheter, deras förväntningar vid den tid då data samlades in osv.

Kryptering identifieras i GDPR som en skyddsåtgärd som gör personliga data oläsliga när de påverkas av överträdelse. Huruvida kryptering används kan därför påverka kraven för meddelande om överträdelse gällande personliga data. GDPR nämner även kryptering som en lämplig teknisk eller organisationsmässig åtgärd i vissa fall, beroende på risken. Kryptering är även ett krav via Payment Card Industry Data Security Standard och ingår i de strikta efterlevnadsriktlinjerna som gäller särskilt för tjänster i finansbranschen. Microsofts produkter och tjänster såsom Azure, Dynamics 365, Enterprise Mobility + Security, Office 365, SQL Server/Azure SQL Database och Windows 10 erbjuder robust kryptering för data som överförs samt vilande data.

 

Om du vill veta mer om hur Microsofts produkter och tjänster kan hjälpa dig att förbereda för efterlevnad med GDPR kan du besöka så hjälper våra produkter dig att uppfylla GDPR-kraven.

GDPR ändrar dataskyddskraven och ålägger registerförare och registeransvariga större skyldigheter vad gäller meddelanden om överträdelser gällande personliga data. Enligt de nya reglerna måste registerförare meddela den registeransvarige om en överträdelse gällande personliga data efter att ha blivit varse om sådan utan oskäligt dröjsmål. När den registeransvarige har blivit varse om en överträdelse gällande personliga data måste den registeransvarige meddela relevant dataskyddsmyndighet inom 72 timmar. Om det är troligt att överträdelsen resulterar i en hög risk för personers rättigheter och friheter måste registeransvariga även meddela berörda personer utan oskäligt dröjsmål. Ytterligare vägledning om detta ämne utvecklas av EU:s Artikel 29-arbetsgrupp.

 

Microsofts produkter och tjänster – såsom Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 och Windows 10 – har lösningar tillgängliga i dag som hjälper dig att identifiera och utvärdera säkerhetshot och överträdelser samt att uppfylla skyldigheter gällande meddelanden om överträdelser enligt GDPR.

|

Microsoft FastTrack är en tjänstförmån*, vår specialiserade kundtjänst som hjälper företag att öka affärsvärdet snabbare med Microsoft Cloud. FastTrack hjälper till att:

  • Migrera e-post och innehåll samt etablera Microsoft 365-tjänster.
  • Distribuera och hantera enheter på ett säkert sätt.
  • Främja verksamheten och implementering av slutanvändare.

Microsoft FastTrack är en pågående och repeterbar tjänstförmån som är tillgänglig för kunder. Den levereras av Microsofts ingenjörer och specialister för att hjälpa kunder och partner planera, introducera och öka implementering/användning samt hjälpa till att säkert flytta molnet i den takt som kunder och partner föredrar.

 

I takt med att vi hjälper kunder med specifika distributioner och migrering till våra onlinetjänster åtar sig Microsoft FastTrack att efterleva GDPR då tillämpningen börjar 25 maj 2018. Som en del av den professionella FastTrack-tjänstförmånen arbetar vi även med våra kunders befintliga partner eller hänvisar till partner för hjälp med distribution och implementering.

 

Mer information finns på https://FastTrack.Microsoft.com.

 

*”Tjänstförmån” betrakta som en ”professionell tjänst” enligt definitionen i OST och MBSA.

FastTrack-ingenjörer och -specialister är branschexperter på planering för de scenarier och det affärsvärde som kunder och partner vill uppnå. De fokuserar på att främja planering, distribution och implementering av produkter och tjänster som hjälper kunder och partner att uppnå dessa mål. Lär dig mer om hur Microsofts produkter och tjänster stöder din efterlevnad med GDPR på vår webbplats för Säkerhetscenter. Vi rekommenderar våra kunder och partner att arbeta med ett juridiskt ombud för att diskutera GDPR, hur det gäller för just deras organisation samt hur de på bästa sätt bör säkerställa efterlevnad.

Vi rekommenderar att kunder arbetar med sina egna juridiska och efterlevnadsinriktade team för att fastställa GDPR-krav för kryptering samt allmänna GDPR-krav. Efterlevnad med GDPR är specifik för en kunds insamlade data, användningsscenarier samt branschsektorer eller -vektorer.

Microsoft FastTrack är en specialiserad kundtjänst som ger snabbare distributioner, avkastning på investeringar och starkare implementering för dina medarbetare eller slutanvändare av Microsofts produkter och tjänster. När kunder eller partner skickar en begäran om hjälp via Microsoft FastTrack påbörjar vi därför processen med att på ett lämpligt sätt distribuera Microsofts produkter och tjänster för våra kunder eller partner.

 

Som en del av vår professionella FastTrack-tjänstförmån arbetar vi även med våra kunders befintliga partner eller hänvisar till partner för hjälp med distribution och implementering. Du hittar mer information om partner som specialiserar sig på GDPR och som kan hjälpa Microsoft-partner med efterlevnad enligt beskrivningen på GDPR-sidan i Säkerhetscenter här. Du kan läsa vår webbplats för betrott moln/GDPR för att utvärdera din beredskap för GDPR samt hur du kan påskynda GDPR-efterlevnad med Microsoft Cloud, och du kan använda Microsoft FastTrack för att få hjälp med distribution.


Ytterligare resurser

Graphic icon of two people with a plus sign representing partnerships

Sök efter en partner

Ta hjälp med dina behov kring GDPR från någon av våra globala partner som erbjuder Microsoft-baserade lösningar.

Graphic icon of two horizontal rectangles stacked with magnifying glass representing privacy policies

Microsofts sekretesspraxis

Läs om hur Microsoft hanterar dina data, var de lagras, vem som har åtkomst, villkoren och mer.

Graphic icon of a shield with an exclamation point in the middle

EU–USA:s Privacy Shield

Läs om hur Microsoft följer principerna i EU–USA:s Privacy Shield-ramverk.

Graphic icon representing an unlocked padlock with a white circle in the middle

Meddelande om dataintrång

Så identifierar och åtgärdar Microsoft överträdelser gällande personliga data och meddelar dig enligt GDPR.