Запитання й відповіді про GDPR

Щоб допомогти вам і вашій організації з відповідністю GDPR, ми склали список частих запитань і відповідей на них.


|

Так. GDPR вимагає від контролерів (наприклад, організацій, що використовують корпоративні онлайн-послуги корпорації Майкрософт) використовувати лише такі обробники даних (як-от Microsoft), які надають достатні гарантії для задоволення ключових вимог GDPR. Microsoft уживає активних заходів щодо забезпечення таких зобов’язань перед усіма клієнтами корпоративного ліцензування в рамках угод із ними.

 

Ви можете знайти договірні зобов’язання корпорації Майкрософт стосовно GDPR в розділі клієнтських угод на сторінці загальних відомостей про GDPR.

 

Корпорація Майкрософт надає інструменти й документацію, щоб допомогти вам зі звітністю для GDPR. Вони охоплюють забезпечення прав суб’єкта даних, ваше власне оцінювання впливу на захист даних і співпрацю, яка має на меті усунути порушення безпеки персональних даних. Відвідайте сторінку загальних відомостей про GDPR.

 

Умови GDPR для Microsoft відображають зобов’язання, перераховані для обробників даних у статті 28. Згідно зі статтею 28, обробники зобов’язуються:

  • користуватися послугами помічників обробників даних лише за згодою контролера та нести відповідальність за їхні дії;
  • обробляти персональні дані лише згідно з інструкціями контролера, у тому числі щодо їх передачі;
  • переконуватися, що особи, які обробляють персональні дані, зберігають їх конфіденційність;
  • уживати достатніх технічних і організаційних заходів для забезпечення рівня безпеки персональних даних, що відповідає ризикам;
  • допомагати контролерам у їхніх зобов’язаннях реагувати на запити суб’єктів даних щодо дотримання прав, передбачених GDPR;
  • відповідати вимогам щодо сповіщень про порушення безпеки та надання допомоги;
  • допомагати контролерам оцінювати вплив на захист даних і проводити консультації з наглядовими органами;
  • видаляти або повертати персональні дані після завершення надання послуг;
  • надавати контролеру докази відповідності GDPR.

 

 

Корпорація Майкрософт уже давно використовує стандартні положення (так звані "типові договори") як основу для передачі даних для своїх корпоративних онлайн-служб. Стандартні положення – це надані Європейською комісією стандартні умови, які використовуються для передачі даних за межами Європейської економічної зони відповідно до вимог. Корпорація Майкрософт включила ці положення до всіх своїх угод про корпоративне ліцензування через Умови онлайнових служб. Робоча група статті 29 підкреслила, що стандартні положення Microsoft і їх реалізація відповідають вимогам.

 

Коли Угода щодо правил обміну конфіденційною інформацією між ЄС і США набула чинності, корпорація Майкрософт стала першою компанією, яка отримала її сертифікацію. Перегляньте Сертифікація Microsoft відповідно до Угоди щодо правил обміну конфіденційною інформацією між ЄС і США та прочитайте Умови онлайнових служб. Угода щодо правил обміну конфіденційною інформацією між ЄС і США допомагає користувачам, які хочуть перенести свої дані до США, зробити це відповідно до своїх зобов’язань щодо захисту даних.

 

Як глобальна компанія з клієнтами майже в кожній країні світу, корпорація Майкрософт має надійну систему відповідності вимогам, покликану допомогти усім, хто користується її послугами. Перегляньте наш повний список пропозицій щодо забезпечення відповідності, зокрема стандарти FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, стандарт G-Cloud Сполученого Королівства тощо.

|

 

Щоб знайти відомості про можливості в службах Microsoft, які допомагають забезпечувати відповідність GDPR, відвідайте сторінку www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation.

 

GDPR накладає широкий спектр вимог на організації, які збирають або обробляють персональні дані, зокрема вимагає дотримання шести ключових принципів.

  • Прозорість, справедливість і законність в обробці й використанні персональних даних. Ви маєте чітко визначити й пояснити користувачам, для чого використовуєте таку інформацію. Також вам потрібна "законна основа" для збирання даних.
  • Обробка персональних даних лише уnbsp;визначених, явних і законних цілях. Ви не зможете повторно використовувати або розкривати персональні дані для цілей, які не стосуються тих, для яких дані було зібрано спочатку.
  • Мінімізований обсяг зібраних і збережених персональних даних. Ви повинні використовувати лише адекватну кількість даних, яка відповідає передбаченій цілі.
  • Точність персональних даних і можливість їх видалення або виправлення. Вам потрібно буде вжити заходів, щоб переконатися, що зібрані персональні дані – точні та що їх можна виправити, якщо виникнуть помилки.
  • Обмежений час зберігання персональних даних. Ви повинні переконатися, що зберігаєте персональні дані лише протягом часу, потрібного, щоб досягнути цілей, для яких дані було зібрано.
  • Забезпечення безпеки, цілісності та конфіденційності персональних даних. Ваша організація повинна вжити заходів, щоб гарантувати безпеку персональних даних за допомогою технічних і організаційних засобів захисту.

Вам потрібно зрозуміти, які конкретні зобов’язання вашої організації стосуються GDPR та забезпечити їх відповідність, а корпорація Майкрософт завжди готова в цьому допомогти.

Щоб дізнатися більше про Генеральний регламент із захисту персональних даних (GDPR), відвідайте сайт www.microsoft.com/gdpr, де також можна прочитати про спеціальні продукти від Microsoft, які допоможуть забезпечити відповідність вимогам GDPR (див. розділи про Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 і Windows 10).

GDPR надає резидентам ЄС контроль над їхніми персональними даними за допомогою набору "прав суб’єкта даних". Він охоплює права на:

  • доступ до інформації про те, як використовуються персональні дані;
  • доступ до персональних даних, які зберігаються в організації;
  • видалення або виправлення помилкових персональних даних;
  • видалення або виправлення персональних даних за певних обставин (інколи його називають "правом на забуття");
  • обмеження або заборону автоматизованої обробки персональних даних;
  • отримання копії персональних даних.

Контролер – це фізична або юридична особа, державний орган, агентство чи інший орган, який самостійно або спільно з іншими визначає цілі та засоби обробки персональних даних. Обробник даних – це фізична або юридична особа, державний орган, агентство чи інший орган, який обробляє персональні дані від імені контролера.

Так, вимоги GDPR поширюються як на обробників даних, так і на контролерів. Контролери мусять залучати лише таких обробників даних, які вживають заходів для того, щоб відповідати вимогам GDPR.

 

Згідно з GDPR, на обробників даних покладаються додаткові обов’язки та більша відповідальність за недотримання вимог або діяльність поза інструкціями, наданими контролером, порівняно з Директивою із захисту даних. Обов’язки обробників даних включають нижченаведені, але не обмежуються ними:

  • обробка даних лише відповідно до інструкцій контролера;
  • використання відповідних технічних і організаційних засобів захисту персональних даних;
  • допомога контролеру із запитами суб’єктів даних;
  • забезпечення відповідності цим вимогам помічників обробників даних, яких залучають до роботи.

За невідповідність певним вимогам GDPR компанії можуть оштрафувати на суму до 20 млн євро або 4% від річного обороту в усьому світі (залежно від того, яка сума більша). Додаткові індивідуальні засоби захисту можуть збільшити ваші ризики, якщо ви не відповідаєте вимогам GDPR.

Це залежить від кількох факторів, описаних у регламенті. Стаття 37 GDPR визначає, що контролери й обробники даних повинні призначити співробітника із захисту даних, якщо: (а) обробка здійснюється державним органом або фізичною особою, за винятком судів, що працюють у власному судовому порядку; (б) основні дії контролера або обробника даних полягають в операціях обробки, які, через їх природу, обсяги та (або) цілі, потребують регулярного систематичного й масштабного моніторингу відповідних суб’єктів даних; або (в) основні дії контролера або обробника даних полягають у масштабній обробці особливих категорій даних, перерахованих у статті 9, а також персональних даних, які стосуються кримінальних переслідувань і правопорушень, визначених у статті 10.

Відповідність вимогам GDPR в більшості організацій вимагатиме часу та грошей, однак для тих компаній, які працюють із добре сформованими моделями хмарних послуг і мають ефективну програму керування даними, перехід буде плавнішим.

|

GDPR регулює збирання, збереження, використання та спільне використання персональних даних. У цьому регламенті персональні дані тлумачаться дуже широко, як і будь-які дані, пов’язані з ідентифікованою фізичною особою або такою, яку можна ідентифікувати.

 

Персональні дані охоплюють наступні дані (але не обмежуються ними): онлайнові ідентифікатори (наприклад, IP-адреси), відомості про працівників, бази даних продажів, дані служб підтримки, форми відгуків клієнтів, дані про розташування, біометричні дані, записи з камер відеоспостереження, записи схем лояльності, фінансову та медичну інформацію тощо. Вони можуть навіть містити інформацію, яка не вважається особистою, як-от фото пейзажу без людей, якщо вона пов’язана з номером рахунку або унікальним кодом для певного користувача. Навіть дані, які були псевдонімізовані, можуть вважатися персональними, якщо псевдонім пов’язаний із певною особою.

 

Ви також повинні знати, що обробка певних "особливих" категорій персональних даних – наприклад, тих, які виявляють расову чи етнічну приналежність людини або стосуються її здоров’я чи сексуальної орієнтації – підлягає жорсткішим правилам, ніж обробка "звичайних" персональних даних.

 

Таке розмежування персональних даних обумовлене конкретними обставинами, тому ми радимо залучати експерта, щоб їх оцінити.

Так. Хоча правила дещо відрізняються, вимоги GDPR стосуються як організацій, що збирають і обробляють дані для власних потреб ("контролери"), так і компаній, які обробляють дані від імені інших користувачів ("обробники даних"). Це перехід від існуючої Директиви із захисту даних, що застосовується до контролерів.

Персональні дані – це будь-які відомості, пов’язані з ідентифікованою особою або такою, яку можна ідентифікувати. Не існує різниці між приватним, публічним чи робочим життям людини. Нижче наведено дані, які вважаються персональними.

 

Приклади персональних даних:

 

ідентичність:

  • ім’я;
  • домашня адреса;
  • робоча адреса;
  • номер телефону;
  • номер мобільного телефону;
  • адреса електронної пошти;
  • номер паспорта;
  • національна ідентифікаційна картка;
  • номер соціального страхування (або рівноцінний документ);
  • водійське посвідчення;
  • фізична, фізіологічна або генетична інформація;
  • медична інформація;
  • культурна ідентичність;

дані, пов’язані з фінансовою діяльністю:

  • банківські реквізити або номери рахунків;
  • ідентифікаційний номер платника податків;
  • робоча адреса;
  • номери кредитних або дебетових карток;
  • дописи в соціальних мережах;

онлайнові артефакти:

  • дописи в соціальних мережах;
  • IP-адреса (регіон ЄС);
  • розташування та дані GPS;
  • файли cookie.

Так, проте GDPR суворо регулює передачу персональних даних жителів європейських країн до місця призначення за межами Європейської економічної зони. Можливо, вам знадобиться створити певний юридичний механізм, як-от договір, або пройти сертифікацію, щоб отримати дозвіл на такі передачі. Корпорація Майкрософт надає докладні відомості про механізми, які вона використовує, в Умовах онлайнових служб.

Якщо існують законні підстави для подальшої обробки та збереження даних, наприклад, "виконання юридичного зобов’язання, що вимагає обробки даних згідно із законодавством держави-члена, до якої належить контролер" (стаття 17 (3), пункт Б), GDPR визначає, що організаціям, можливо, потрібно буде зберегти дані. Проте ви повинні залучити свого радника з юридичних питань для того, щоб переконатися, що підстави для збереження даних зрівняні з правами та свободами суб’єктів даних, їхніми очікуваннями на момент, коли збиралися дані, тощо.

Шифрування в GDPR визначено як засіб захисту, який робить персональні дані незрозумілими в разі порушення їх безпеки. Таким чином, незалежно від того, чи використовується шифрування, воно може вплинути на сповіщення про порушення безпеки персональних даних. У певних випадках, залежно від ризику, GDPR також вважає шифрування технічним і організаційним засобом захисту, що відповідає вимогам. Крім того, шифрування – це обов’язкова умова згідно зі Стандартом захисту інформації в галузі платіжних карток і частина суворої відповідності специфічним вимогам у галузі фінансових послуг. Продукти й служби Microsoft, як-от Azure, Dynamics 365, Enterprise Mobility + Security, Office 365, SQL Server / Azure SQL Database і Windows 10, забезпечують надійне шифрування даних під час їх передавання та зберігання.

 

Щоб дізнатися більше про те, як продукти та служби Microsoft допоможуть забезпечити відповідність вимогам GDPR, відвідайте цю сторінку.

GDPR буде змінювати вимоги щодо захисту даних і накладати жорсткіші зобов’язання на обробників даних та контролерів стосовно повідомлення про порушення безпеки персональних даних. Відповідно до нового положення, обробник даних повинен сповіщати контролера про такі порушення, щойно йому про це стане відомо. Коли контролер отримує сповіщення про порушення, він повинен протягом 72 годин повідомити про нього у відповідний орган захисту даних. Якщо порушення може загрожувати правам і свободам окремих осіб, контролери також зобов’язані повідомити їм про це без зайвої затримки. Додаткові вказівки з цього питання розробляються робочою групою статті 29 Європейського Союзу.

 

Продукти й служби Microsoft, як-от Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 і Windows 10, містять рішення, які дають змогу виявляти й оцінювати загрози та порушення системи безпеки, а також виконувати зобов’язання, накладені GDPR, стосовно сповіщень про порушення.

|

Microsoft FastTrack – це послуга переходу* для наших клієнтів, яка допомагає компаніям швидше отримувати прибуток за допомогою Microsoft Cloud. FastTrack дає змогу:

  • переносити електронну пошту, вміст і покращувати роботу служб Microsoft 365;
  • розгортати програми й надійно керувати пристроями;
  • пожвавити свій бізнес і отримати визнання кінцевого споживача.

Microsoft FastTrack – це налагоджена послуга переходу, створена, щоб користувачі або партнери, залучившись постійною підтримкою інженерів і спеціалістів корпорації Майкрософт, могли планувати, прискорювати впровадження й заохочувати використання хмарних технологій, переходити на них упевнено й у власному темпі.

 

Оскільки ми допомагаємо клієнтам із конкретними розгортаннями та міграцією до наших онлайнових служб, Microsoft FastTrack зобов’язується забезпечити відповідність GDPR до початку виконання 25 травня 2018 року. У рамках професійної послуги переходу FastTrack ми також працюємо з наявними партнерами наших клієнтів або звертаємося до власних по допомогу з розгортання та впровадження.

 

Перейдіть на сторінку https://FastTrack.Microsoft.com, щоб дізнатися більше.

 

* "Послуга переходу" означає "професійне обслуговування", як визначено в наших документах OST та MBSA.

Інженери та фахівці FastTrack – експерти в галузі планування сценаріїв і прибутків, яких клієнти або партнери хочуть досягти, і тому орієнтовані на планування, розгортання та впровадження продуктів і послуг, які дадуть змогу користувачам досягти цих цілей. Дізнайтеся більше про те, як продукти та служби Microsoft забезпечують відповідність вимогам GDPR на веб-сайті Центру безпеки та відповідності. Ми закликаємо своїх клієнтів і партнерів працювати з юридично кваліфікованим фахівцем, який допоможе обговорити вимоги GDPR, як вони стосуються конкретно вашої організації і яким чином можна найкраще забезпечити відповідність.

Ми радимо, щоб наші клієнти працювали з власними юридичними командами та групами забезпечення відповідності, щоб визначати загальні вимоги GDPR й вимоги щодо шифрування. Відповідність GDPR відрізняється для зібраних даних клієнта, сценаріїв використання та галузей промисловості або векторів.

Microsoft FastTrack – це служба сприяння успіху клієнтів, покликана пришвидшувати розгортання, збільшувати показник ROI і проводити успішне впровадження для своїх користувачів або кінцевих користувачів продуктів і служб Microsoft. Саме тому, щойно клієнти або партнери надсилають запит на допомогу через Microsoft FastTrack, ми починаємо розгортати продукти й служби Microsoft для наших клієнтів або партнерів із врахуванням усіх особливостей.

 

У рамках професійної послуги переходу FastTrack ми також працюємо з наявними партнерами наших клієнтів або звертаємося до власних по допомогу щодо розгортання та впровадження. Ви можете дізнатися більше про партнерів, які спеціалізуються на GDPR. Вони допомагають партнерам Microsoft забезпечувати відповідність вимогам, як це описано на сторінці Центру безпеки та відповідності GDPR тут. Ви можете переглянути сторінку надійного хмарного середовища / GDPR, щоб перевірити свою відповідність GDPR або дізнатися, як досягнути її швидше з Microsoft Cloud, а також сторінку Microsoft FastTrack, щоб отримати допомогу з розгортання.


Додаткові ресурси

Graphic icon of two people with a plus sign representing partnerships

Пошук партнера

Спрямуйте свої потреби, пов’язані з GDPR, одному з наших глобальних партнерів, які пропонують рішення на основі Microsoft.

Graphic icon of two horizontal rectangles stacked with magnifying glass representing privacy policies

Заходи, які Microsoft вживає для забезпечення конфіденційності

Дізнайтеся, як корпорація Майкрософт керує вашими даними, де вони перебувають, хто та за яких умов може отримати доступ до них тощо.

Graphic icon of a shield with an exclamation point in the middle

Угода щодо правил обміну конфіденційною інформацією між ЄС і США

Дізнайтеся, як корпорація Майкрософт дотримується принципів Угоди щодо правил обміну конфіденційною інформацією між ЄС і США.

Graphic icon representing an unlocked padlock with a white circle in the middle

Сповіщення про порушення безпеки даних

Як корпорація Майкрософт виявляє та реагує на порушення безпеки персональних даних і повідомляє вам про це відповідно до GDPR.