是。GDPR 要求控管者 (例如使用 Microsoft 企業線上服務的組織) 僅使用提供足夠保證的處理者 (例如 Microsoft)，以符合 GDPR 的主要要求。Microsoft 已主動跨出一大步，在所有大量授權客戶的合約中向他們提供這些承諾。

您可以在 GDPR 概觀頁面 (英文) 的客戶合約底下找到 Microsoft 的 GDPR 相關合約承諾。

Microsoft 提供工具和文件，支援您承擔 GDPR 課責。這包括支援資料主體權利、執行您自己的資料保護影響評定，以及合作解決個人資料外洩問題。瀏覽 GDPR 概觀頁面 (英文)。

Microsoft 的 GDPR 條款反映第 28 條對處理者要求的承諾。第 28 條要求處理者做出下列承諾：

• 僅在獲得控管者同意的前提下使用次要處理者，並持續為次要處理者負責。
• 僅根據控管者的指示處理個人資料，包括相關傳輸。
• 確保處理個人資料的人員承諾遵守保密條款。
• 實作適當的技術和組織措施，以確保風險適用的個人資料安全性層級。
• 協助控管者遵守其義務，因應資料主體要求，以行使其 GDPR 權利。
• 符合外洩通知和協助要求。
• 協助控管者進行資料保護影響評定，以及與監督機構進行諮詢。
• 在服務佈建結束時刪除或歸還個人資料。
• 支援控管者提出符合 GDPR 的相關證據。

Microsoft 已長期使用標準合約條款 (又稱為「示範條款」) 做為其企業線上服務的資料傳輸基礎。標準合約條款是歐盟執行委員會 (European Commission) 所提供的標準條款，可用來以符合合規性的方式在歐洲經濟區境外傳輸資料。Microsoft 已透過線上服務條款 (英文)，將標準合約條款納入所有大量授權合約。第 29 條工作小組已特別發現 Microsoft 的標準合約條款的實作符合合規性。

而在歐盟美國隱私盾推出時，Microsoft 是第一間通過認證的公司。請參閱 Microsoft 的隱私盾認證 (英文)，並參閱線上服務條款 (英文)。歐盟美國隱私盾可透過符合其資料保護義務的方式，協助客戶將其資料傳輸到美國。

身為在全世界每個國家/地區幾乎都有客戶的全球公司，Microsoft 擁有可協助客戶的強大合規性組合。若要檢視我們的合規性方案的完整清單 (包括 FedRamp、HIPAA/HITECH、ISO 27001、ISO 27002、ISO 27018、NIST 800-171、UK G-Cloud 以及其他諸多項目)，請瀏覽我們的合規性方案清單 (英文)。

若要尋找 Microsoft 服務中用來處理 GDPR 要求之功能的相關資訊，請瀏覽 www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation (英文)。

GDPR 會對收集或處理個人資料的組織施加各式各樣的要求，包括符合六大主要原則的要求：

• 處理和使用個人資料的透明度、公平性和合法性。您將需要讓個人清楚了解您如何使用個人資料，也需要處理該資料的「合法基礎」。
• 將個人資料處理限制為指定、明確和合法用途。您將無法根據與原本收集資料之預定用途不相符的用途重複使用或揭露個人資料。
• 將個人資料的收集和儲存最小化到足夠並與預定用途相關的程度。
• 確保個人資料的正確性，並且能夠刪除或更正。您將需要採取相關步驟，確保您保留之個人資料的正確性，並且能夠在發生錯誤時進行修正。
• 限制個人資料儲存。您將需要確保您保留之個人資料的期限為達成收集資料的預定用途所需的時間。
• 確保個人資料的安全性、完整性和機密性。貴組織必須採取相關步驟，透過技術和組織安全性措施保護個人資料。

雖然 Microsoft 會隨時在您邁向 GDPR 的過程中提供協助，但您將需要了解貴組織對於 GDPR 有哪些具體義務，以及如何符合這些義務。

若要深入了解一般資料保護規定 (GDPR)，請瀏覽 www.microsoft.com/gdpr (英文)，您也可以在這裡深入了解特定 Microsoft 產品如何協助您為符合 GDPR 做好準備，請參閱 Azure、Dynamics 365、Enterprise Mobility + Security、Office 365 和 Windows 10 的相關區段。

GDPR 提供歐盟居民透過一組「資料主體權利」控制其個人資料的權利。這包括下列權利：

• 存取如何使用個人資料的相關資訊。
• 存取組織保留的個人資料。
• 刪除或修正不正確的個人資料。
• 在某些情況下更正和刪除個人資料 (有時稱為「被遺忘的權利」)。
• 限制或反對個人資料的自動化處理。
• 接收個人資料複本。

控管者是獨自或與其他人共同判斷處理個人資料之用途和方法的自然人或法人、公務機關、局處或其他機構。處理者是代表控管者處理個人資料的自然人或法人、公務機關、局處或其他機構。

是，GDPR 同時適用於控管者和處理者。控管者必須僅使用採取措施符合 GDPR 要求的處理者。

相較於資料保護指導方針，依據 GDPR，處理者需要面對不符合合規性或在控管者提供的指示之外行動的其他義務和責任。處理者義務包括但不限於：

• 僅根據控管者的指示處理資料。
• 使用適當的技術和組織措施來保護個人資料。
• 協助控管者因應資料主體要求。
• 確保參與其中的次要處理者符合這些要求。

如果無法符合某些 GDPR 要求，公司最多會被處以 2 千萬歐元或 4% 的每年全球營業額的罰鍰 (以兩者中較高者為準)。如果您無法符合 GDPR 要求，其他個人補救可能會使風險增加。

這取決於規定內確認的多項因素。GDPR 的第 37 條聲明控管者和處理者應在下列任何情況下指定資料保護官：(a) 處理作業是由公務機關或機構實行，除了行使司法能力的法院以外；(b) 控管者或處理者的核心活動憑藉其本質、其範圍和/或其用途，包含需要大規模定期和系統化監控資料主體的處理作業，或 (c) 控管者或處理者的核心活動包含依據第 9 條處理的大規模特殊資料類別，以及第 10 條之與犯罪記錄和罪行有關的個人資料。

雖然對以完善架構雲端服務模型進行營運且已備妥有效資料控管計劃的組織來說，這可能會是比較順暢的轉換，但對大多數組織來說，符合 GDPR 合規性需要投入時間與金錢。

GDPR 規範「個人資料」的收集、儲存、使用和共用。依據 GDPR，個人資料的定義非常廣泛，包括與已識別或可識別自然人有關的任何資料。

個人資料可包括但不限於線上識別碼 (例如 IP 位址)、員工資訊、銷售資料庫、客戶服務資料、客戶意見反應表單、位置資料、生物特徵辨識資料、CCTV 影片、忠誠度計劃記錄、健康和財務資訊等諸多項目。甚至可能包括似乎不是個人的資訊，例如沒有人的風景相片，其中資訊是由可識別個人的帳戶號碼或唯一代碼所連結。而在匿名可連結到特定個人的情況下，甚至已匿名化的個人資料可能也是個人資料。

您也應注意某些「特殊」個人資料類別的處理作業 (例如揭露個人的種族或族裔或關於其健康或性取向的個人資料)，須受比處理「一般」個人資料更嚴格的規定拘束。

此個人資料評估取決於特定事實情況，因此建議您邀請專家參與，以評估您的具體情況。

是。雖然規定可能稍有不同，但 GDPR 適用於根據其各自用途收集和處理資料的組織 (「控管者」)，以及代表其他人處理資料的組織 (「處理者」)。這是來自適用於控管者的現有資料保護指導方針的轉變。

個人資料是任何與已識別或可識別個人相關的資訊。個人的私人、公開或公司角色之間沒有區別。個人資料可包括：

個人資料的範例包括：

身分識別

• 名稱
• 住家地址
• 公司地址
• 電話號碼
• 手機號碼
• 電子郵件地址
• 護照號碼
• 國民身分證
• 社會安全號碼 (或等同項目)
• 駕照
• 身體、生理或遺傳資訊
• 醫療資訊
• 文化身分識別

財務

• 銀行詳細資料/帳戶號碼
• 稅號
• 公司地址
• 信用卡/轉帳卡號碼
• 社交媒體貼文

線上成品

• 社交媒體貼文
• IP 位址 (歐盟地區)
• 位置/GPS 資料
• Cookie

可以，不過 GDPR 嚴格規範目的地在歐洲經濟區境外的歐盟居民個人資料傳輸。您可能需要建立特定法律機制 (例如合約) 或符合認證機制，才能實現這些傳輸。Microsoft 在線上服務條款中詳細說明我們使用的機制。

在有合法理由進行持續處理和資料保留的情況下，例如「符合法律義務的合規性，需要控管者依據須遵守的歐盟或成員國法律進行處理」(第 17(3)(b) 條)，GDPR 則認可組織可能需要保留資料。不過，請務必洽詢您的法律顧問，確保已根據資料主體的權利和自由、其收集資料時的期望等考量衡量保留的理由。

加密在 GDPR 中會識別為一種保護措施，能使個人資料在受到外洩影響時變得無法理解。因此，是否使用加密可能會影響個人資料外洩通知的需求。視風險而定，GDPR 在某些情況下也將加密視為適當的技術或組織措施。加密也是透過「支付卡產業資料安全標準」(Payment Card Industry Data Security Standard) 的一項要求，而且屬於金融服務產業專屬的嚴格合規性指導方針的一部分。Microsoft 產品和服務 (例如 Azure、Dynamics 365、Enterprise Mobility + Security、Office 365、SQL Server/Azure SQL Database 和 Windows 10) 可為傳輸中的資料和待用資料提供強大的加密。

若要深入了解 Microsoft 產品和服務如何協助您為符合 GDPR 做好準備，請參閱我們的產品如何協助您符合 GDPR 要求 (英文)。

GDPR 將改變資料保護要求，並讓處理者和控管者在有關個人資料外洩通知方面承擔更嚴格的義務。依據新規定，處理者在察覺外洩後，必須在不過度延遲的前提下通知個人資料外洩的資料控管者。一旦察覺個人資料外洩，控管者必須在 72 小時內通知相關資料保護機構。如果外洩可能會對個人的權利和自由造成高風險，控管者也將須在不過度延遲的前提下通知受影響的個人。歐盟第 29 條工作小組正在針對此主題研擬額外的指導方針。

Microsoft 產品和服務 (例如 Azure、Dynamics 365、Enterprise Mobility + Security、Office 365 和 Windows 10) 擁有立即可用的解決方案，可協助您偵測並評定安全性威脅和外洩，以及符合 GDPR 的外洩通知義務。

Microsoft FastTrack 是一種服務權益*，我們提供這種客戶成功服務，協助企業透過 Microsoft Cloud 加快實現企業價值的速度。FastTrack 可協助您：

• 移轉電子郵件、內容和啟用 Microsoft 365 服務。
• 部署和安全地管理裝置。
• 支援您的業務並提升使用者採用率。

Microsoft FastTrack 是一種持續且可重複的服務權益，由 Microsoft 工程師和專家提供給客戶，協助客戶或合作夥伴規劃、安排上線和推動採用率/使用量，並協助客戶和合作夥伴依照自己的步調安心無虞地移轉到雲端。

在我們協助客戶進行特定部署並移轉到線上服務的同時，Microsoft FastTrack 承諾會在 2018 年 5 月 25 日開始強制實行 GDPR 合規性。做為 FastTrack 專業服務權益的一部分，我們也與客戶的現有合作夥伴合作，或請合作夥伴參與部署和採用協助。

如需詳細資訊，請參閱 https://FastTrack.Microsoft.com。

*根據我們 OST 和 MBSA 的定義，「服務權益」視為「專業服務」。

FastTrack 工程師和專家是一群領先業界的專家，擅長規劃案例和客戶或合作夥伴想要達成的企業價值，且專注於規劃、部署和推動產品和服務的採用率，協助客戶或合作夥伴達成其目標。深入了解 Microsoft 的產品和服務如何透過「信任中心」網站支援您符合 GDPR 合規性 (英文)。建議客戶和合作夥伴與合格法律專業人員合作，探討 GDPR 相關事宜、如何具體應用於其組織，以及確保符合合規性的最佳做法。

我們建議客戶應與其各自的法律和合規性團隊合作，判斷加密的 GDPR 要求和整體 GDPR 要求。GDPR 合規性僅適用於客戶收集到的資料、使用案例和產業面或媒介。

Microsoft FastTrack 是一種客戶成功服務，致力於提供更快速的部署、ROI，以及提高員工或使用者對 Microsoft 產品和服務的採用率。基於這樣的理念，在客戶或合作夥伴透過 Microsoft FastTrack 提交協助要求時，我們將展開程序，為客戶或合作夥伴適當地部署 Microsoft 產品和服務。

做為 FastTrack 專業服務權益的一部分，我們也與客戶的現有合作夥伴合作，或請合作夥伴參與部署和採用協助。您可以前往這裡如「信任中心」的 GDPR 頁面所述，深入了解專精於 GDPR 的合作夥伴，他們能協助 Microsoft 合作夥伴達成合規性。您可以參考我們的信任雲端/GDPR 網頁 (英文)，評定您的 GDPR 整備程度，以及如何透過 Microsoft Cloud 加速 GDPR 合規性，並使用 Microsoft FastTrack 取得部署協助。