Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В соответствии с Общим регламентом по защите данных (GDPR) контролер данных должен подготовить оценку влияния на защиту данных (DPIA) для операций обработки, которые "могут привести к высокому риску для прав и свобод физических лиц". В самой microsoft Azure не существует ничего, что обязательно требует создания DPIA контролером данных. Вместо этого, требуется ли DPIA, зависит от сведений и контекста развертывания, настройки и использования Azure Microsoft контроллером данных. В любом случае запустите DPIA в начале жизненного цикла проекта и запустите его параллельно с процессом планирования и разработки.
Этот документ предоставляет контроллерам данных сведения о microsoft Azure, которые помогают им определить, требуется ли DPIA и, если да, какие сведения следует включить.
Примечание.
Корпорация Майкрософт не предоставляет никаких юридических консультаций в этой статье. Эта статья предназначена только для информационных целей. Клиенты должны сотрудничать со своими сотрудниками по вопросам конфиденциальности (и (или) сотрудником по защите данных (DPO), если они назначены) и (или) юридическим консультантом и /или консультантами, чтобы определить необходимость и содержание любых DPIA, связанных с использованием ими microsoft Azure или любой другой веб-службы Майкрософт.
Часть 1. Определение необходимости DPIA
Статья 35 GDPR требует от контролера данных создать оценку влияния на защиту данных (DPIA) "[w] здесь тип обработки, в частности с использованием новых технологий, и с учетом характера, область, контекста и целей обработки, скорее всего, приведет к высокому риску для прав и свобод физических лиц". Далее в статье приводятся конкретные факторы, указывающие на такой высокий риск. Чтобы определить, требуется ли DPIA, контролер данных должен учитывать эти факторы, а также любые другие соответствующие факторы в свете конкретных реализаций и использования microsoft Azure.
| Фактор высокого риска | Важная информация о Microsoft Azure |
|---|---|
| Систематическая и обширная оценка личных аспектов, связанных с физическими лицами, которые основаны на автоматизированной обработке, включая профилирование, и на том, какие решения основаны на юридических последствиях в отношении физического лица или аналогичным образом существенно влияют на физическое лицо. | Службы Microsoft Azure не предназначены для обработки решений, которые имеют юридическое или аналогичное влияние на физических лиц. Тем не менее, поскольку Azure является службой с высокой степенью настройки, контроллер данных может настроить Azure службы, которые будут использоваться для такой обработки. Контроллеры должны определять это на основе использования Azure. |
| Обработка в большом масштабе специальных категорий данных (персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профсоюзах, а также обработка генетических данных, биометрические данные для уникальной идентификации физического лица, данные о здоровье или данные, касающиеся половой жизни или сексуальной ориентации физического лица), или персональные данные, связанные с уголовными преступлениями и преступлениями. | Microsoft Azure не предназначена для обработки специальных категорий персональных данных в большом масштабе. Однако контроллер данных может использовать microsoft Azure для обработки перечисленных специальных категорий данных. Microsoft Azure — это настраиваемая служба, которая позволяет клиенту отслеживать или иным образом обрабатывать персональные данные, включая специальные категории персональных данных. Однако корпорация Майкрософт как обработчик данных не имеет контроля над таким использованием и имеет слабое представление о нем либо не имеет его вообще. Ответственность за надлежащее использование данных контроллера данных лежит на контролера данных. |
| Систематическое отслеживание общедоступной области в большом масштабе. | Microsoft Azure не предназначена для проведения или упрощения такого мониторинга в большом масштабе. Однако контролер данных может использовать Azure для обработки данных, собранных с помощью такого мониторинга. Microsoft Azure — это настраиваемая служба, которая позволяет клиенту отслеживать или иным образом обрабатывать данные любого типа, включая данные мониторинга. Однако корпорация Майкрософт как обработчик данных не имеет контроля над таким использованием и имеет слабое представление о нем либо не имеет его вообще. Ответственность за надлежащее использование данных контроллера данных лежит на контролера данных. |
Часть 2. Содержимое DPIA
Статья 35(7) GDPR предписывает, что оценка влияния на защиту данных определяет цели обработки и систематическое описание предполагаемой обработки. Систематическое описание комплексного DPIA может включать такие факторы, как типы обработанных данных, срок хранения данных, расположение и передача данных, а также то, какие третьи стороны могут иметь доступ к данным и поддерживаться схемой потока данных. Кроме того, DPIA должна включать:
- Оценка необходимости и пропорциональности операций обработки по отношению к целям;
- Оценка рисков для прав и свобод физических лиц; И
- Меры, предусмотренные для устранения рисков, включая меры безопасности, меры безопасности и механизмы для обеспечения защиты персональных данных и демонстрации соблюдения настоящего Регламента с учетом прав и законных интересов субъектов данных и других заинтересованных лиц.
В следующей таблице содержатся сведения о microsoft Azure, относящиеся к каждому из этих элементов. Как и в части 1, контроллеры данных должны учитывать сведения, указанные в таблице, а также любые другие соответствующие факторы в контексте конкретных реализаций контроллера и использования Microsoft Azure.
| Элемент DPIA | Важная информация о Microsoft Azure |
|---|---|
| Цели обработки | Контроллер, который реализует, настраивает и использует Microsoft Azure определяет назначение обработки данных с помощью microsoft Azure. Как указано в соглашении о продуктах и продуктах и услугах по защите данных (DPA), корпорация Майкрософт, как обработчик данных, обрабатывает Данные клиента для предоставления Клиенту веб-служб в соответствии с документированных инструкций Клиента. Как описано в стандартных условиях использования продуктов и дополнениях по защите данных о продуктах и услугах (DPA), корпорация Майкрософт также использует персональные данные для поддержки ограниченного набора бизнес-операций. Корпорация Майкрософт является контролером обработки персональных данных для поддержки этих конкретных бизнес-операций. Как правило, корпорация Майкрософт объединяет персональные данные, прежде чем использовать их для наших бизнес-операций, что устраняет возможность корпорации Майкрософт идентифицировать конкретных лиц и использует персональные данные в наименее идентифицируемой форме, которая будет поддерживать обработку, необходимую для бизнес-операций. Корпорация Майкрософт не будет использовать данные клиента или полученные от нее данные для профилирования, рекламы или аналогичных коммерческих целей. Примечание. Microsoft Azure — это облачная платформа, которая состоит из нескольких дискретных веб-службы, каждая из которых имеет определенные цели обработки. Описания каждой службы Microsoft Azure можно найти здесь. Microsoft Azure обрабатывает персональные данные только для предоставления клиентам своих веб-службы включая цели, совместимые с предоставлением таких служб, как персонализация, безопасность, защита от мошенничества и вредоносных программ, устранение неполадок и улучшение. |
| Категории обрабатываемых персональных данных |
Данные клиента. Все данные, включая все текстовые, звуковые, видеофайлы или файлы изображений, а также программное обеспечение, которые предоставляются корпорации Майкрософт клиентом или от его имени в рамках использования корпоративной службы. Данные клиента включают (1) идентифицируемую информацию конечных пользователей (например, имена пользователей и контактные данные в Microsoft Entra ID), а также содержимое клиента, которое клиент загружает в определенные службы или создает в определенных службах (например, содержимое клиента в учетной записи хранения Azure, содержимое клиента базы данных Azure SQL или образ виртуальной машины клиента в Azure Виртуальные машины). Данные, созданные службой. Эти данные создаются или извлекаются корпорацией Майкрософт в результате работы службы, например данных об использовании или производительности. Большая часть этих данных содержит идентификаторы-псевдонимы, создаваемые корпорацией Майкрософт. Данные поддержки. Эти данные предоставляются корпорации Майкрософт клиентом или от его имени (или который Клиент разрешает корпорации Майкрософт получать из веб-службы) через взаимодействие с корпорацией Майкрософт для получения технической поддержки веб-служб. Дополнительные сведения о данных, обрабатываемых Azure, см. в разделе Условия использования продуктов, включая [Соглашение об обработке данных о продуктах и услугах (DPA)] (https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA) и Центр управления безопасностью Майкрософт. |
| Хранение данных | Корпорация Майкрософт сохраняет и обрабатывает Данные клиента во время предоставления клиенту права на использование веб-службы и до тех пор, пока все данные клиента не будут извлечены клиентом или удалены в соответствии с условиями дополнения позащите данных о продуктах и продуктах и услугах (DPA). В течение срока действия подписки клиента клиент может получать доступ к данным клиента, хранящимся в каждой веб-службе, и извлекать их. За исключением бесплатных пробных версий и служб LinkedIn, корпорация Майкрософт сохраняет данные клиента, хранящиеся в веб-службе, в учетной записи ограниченной функции в течение 90 дней после истечения срока действия или прекращения действия подписки Клиента, чтобы клиент мог извлечь данные. По истечении 90-дневного срока хранения корпорация Майкрософт отключает учетную запись клиента и удаляет данные клиента. Клиент может удалить персональные данные в соответствии с запросом субъекта данных, используя возможности, описанные в документации по GDPR для запроса субъекта данных Azure. |
| Размещение и передача персональных данных | Клиенты могут подготавливать неактивные данные клиента в указанных географических регионах с учетом определенных исключений, изложенных в Условиях использования продукта и в дополнение к защите данных о продуктах и службах Майкрософт (DPA). Дополнительные сведения о развертывании служб и месте расположения данных также можно найти в дополнительном приложении Microsoft Data Protection (DPA) к условиям продукта и на веб-странице глобальной инфраструктуры Azure. Для персональных данных, передаваемых за пределы Европейской экономической зоны, Швейцарии и Соединенного Королевства, корпорация Майкрософт гарантирует, что передача персональных данных в третью страну или регион или международную организацию подпадает под соответствующие меры предосторожности, как описано в статье 46 GDPR. В дополнение к обязательствам корпорации Майкрософт в соответствии с Standard договорными положениями для обработчиков и других типовых контрактов, корпорация Майкрософт соблюдает условия Платформы конфиденциальности данных. |
| Предоставление данных сторонним субобработчикам | Корпорация Майкрософт предоставляет данные третьим лицам, выступающим в качестве наших субобработчиков (как определено в GDPR), для поддержки таких функций, как клиентская и техническая поддержка, обслуживание и другие операции. Все субобработчики, которым корпорация Майкрософт передает данные клиента, данные поддержки или персональные данные, заключают с корпорацией Майкрософт письменные соглашения, которые не являются менее защитными, чем надстройка по защите данных продуктов и служб Майкрософт. Все сторонние субобработчики, которым предоставлен общий доступ к клиентским данным из основных веб-служб Майкрософт, включены в список подпроцессоров веб-служб. Все сторонние субобработчики, которые могут получать доступ к данным поддержки (включая данные клиентов, которыми клиенты предпочитают делиться во время взаимодействия со службой поддержки), включаются в список подпроцессоров веб-служб. |
| Права субъектов данных | Выступая в качестве обработчика, корпорация Майкрософт предоставляет клиентам (называемых также управляющим данными) персональные данные их субъектов данных, а также возможность отвечать на запросы субъектов данных, когда они пользуются своими правами в рамках GDPR. Майкрософт предоставляет эти возможности в соответствии с функциональностью продукта и своей ролью обработчика данных. Если корпорация Майкрософт получает запрос от субъектов данных клиента на осуществление одного или нескольких своих прав в соответствии с GDPR, запрос перенаправляется в контроллер данных. Руководство по запросам субъектов данных Azure описывает для управляющего данными, как поддерживать права субъектов данных с помощью возможностей Azure. Запросы от субъекта данных на осуществление прав в соответствии с GDPR в отношении персональных данных, обработанных для поддержки законных бизнес-процессов, должны направляться в корпорацию Майкрософт, как указано в заявлении корпорации Майкрософт о конфиденциальности. Корпорация Майкрософт обычно объединяет персональные данные, прежде чем использовать его для наших бизнес-операций, и не в состоянии идентифицировать персональные данные конкретного лица в статистической совокупности. Это действие снижает риск конфиденциальности для человека. Если корпорация Майкрософт не в состоянии идентифицировать человека, она не может поддерживать права субъекта данных на доступ, стирание, переносимость, ограничение или возражение против обработки. Документация GDPR по запросам субъектов данных в Azure описывает, как поддерживать права субъектов данных с помощью возможностей Azure. |
| Оценка необходимости и пропорциональности операций обработки по отношению к целям | Такая оценка зависит от потребностей и целей обработки данных контролера. Корпорация Майкрософт принимает такие меры, как агрегирование персональных данных, используемых корпорацией Майкрософт для поддержки бизнес-операций для поддержки предоставления услуг, сводя к минимуму риск такой обработки для субъектов данных, которые используют службу. Что касается обработки, выполняемой корпорацией Майкрософт, то такая обработка необходима и пропорциональна для предоставления услуг контролеру данных. |
| Оценка рисков для прав и свобод субъектов данных | Основные риски для прав и свобод субъектов данных, связанные с использованием Microsoft Azure зависят от того, как и в каком контексте контроллер данных реализует, настраивает и использует microsoft Azure. Корпорация Майкрософт принимает такие меры, как агрегирование персональных данных, используемых корпорацией Майкрософт для поддержки бизнес-операций для поддержки предоставления услуг, сводя к минимуму риск такой обработки для субъектов данных, которые используют службу. Однако, как и в случае с любой службой, несанкционированный доступ или непреднамеренное раскрытие могут поставить под угрозу персональные данные. Меры, принятые корпорацией Майкрософт для устранения таких рисков, рассматриваются в Условиях использования продукта, как описано далее в этой статье. |
| Меры для устранения рисков, включая гарантии безопасности, меры предосторожности и механизмы для обеспечения защиты персональных данных и демонстрации соблюдения настоящего GDPR с учетом прав и законных интересов субъектов данных и других заинтересованных лиц | Корпорация Майкрософт стремится обеспечить защиту данных клиентов. Меры безопасности, принятые корпорацией Майкрософт, подробно описаны в условиях использования продукта. Корпорация Майкрософт соответствует строгим стандартам и лидирующим отраслевым методам защиты данных. Корпорация Майкрософт постоянно улучшает свои системы для борьбы с новыми угрозами. Дополнительные сведения об управлении облаком и политиках конфиденциальности см . в разделе Управление соответствием требованиям центра управления на облачной странице. Корпорация Майкрософт принимает разумные и адекватные технические и организационные меры для защиты обрабатываемых персональных данных. Эти меры включают, помимо прочего, внутренние политики и практики конфиденциальности, договорные обязательства и международные и региональные стандартные сертификаты. Дополнительные сведения см. на странице конфиденциальности центра управления безопасностью. Корпорация Майкрософт предоставляет важные прозрачные материалы по обеспечению безопасности и конфиденциальности для клиентов, которые помогут объяснить использование и обработку персональных данных корпорацией Майкрософт. По любым вопросам клиентам обращайтесь в Майкрософт. Кроме того, когда корпорация Майкрософт выступает в качестве обработчика данных, она соблюдает применимые положения GDPR, применимые к обработчикам данных. Если корпорация Майкрософт обрабатывает персональные данные для своих бизнес-операций, она соответствует обязательствам GDPR, которые применяются к контроллерам данных. |