Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Общие сведения о профессиональных услугах Майкрософт
Служба профессиональных услуг Майкрософт включает группу различных технических архитекторов, инженеров, консультантов и специалистов по поддержке, призванных помогать клиентам Майкрософт достигать большего. Дополнительные сведения о профессиональных службах Майкрософт см. на странице "Доверие к профессиональным службам Майкрософт".
В профессиональных службах Майкрософт со всей серьезностью относятся к своим обязательствам, налагаемым Общим регламентом по защите данных (GDPR). В этом документе содержатся сведения о том, как поддержка и консультационные предложения Майкрософт могут помочь клиентам подготовить оценки влияния на защиту данных (DPIA) в соответствии с GDPR.
Общие сведения об оценке влияния на защиту данных (DPIA)
В соответствии с Общим регламентом по защите данных (GDPR) управляющие данными должны подготовить DPIA для операций обработки, которые "могут привести к высокому риску для прав и свобод физических лиц". Ничто, присущее профессиональным службам Майкрософт, не требует создания DPIA контролером данных. Вместо этого, требуется ли DPIA, зависит от сведений и контекста типа служб, а также от того, как контролер данных использует профессиональные услуги.
Этот документ предоставляет контроллерам данных сведения о профессиональных службах, которые помогают им определить, требуется ли DPIA и, если да, какие сведения следует включить.
Часть 1. Определение необходимости DPIA
Статья 35 GDPR требует от контролера данных создать оценку влияния на защиту данных: "[w] здесь тип обработки, в частности с использованием новых технологий, и с учетом характера, область, контекста и целей обработки, скорее всего, приведет к высокому риску для прав и свобод физических лиц. Далее в статье приводятся конкретные факторы, указывающие на такой высокий риск, которые рассматриваются в следующей таблице. Чтобы определить, требуется ли DPIA, контролер данных должен учитывать эти факторы, а также любые другие соответствующие факторы в свете конкретных реализаций и использования профессиональных услуг контролером данных.
| Фактор риска | Важная информация о профессиональных услугах |
|---|---|
| Системная и подробная оценка личных характеристик физического лица, которая основана на автоматизированной обработке, в том числе составлении психологического портрета, и на которой основаны решения, порождающие юридические последствия в отношении этого лица или влияющие на него похожим образом. | Служба профессиональных услуг выполняет определенную процедуру или автоматическую обработку данных, например поддержку при сбоях или устранении проблем (например, помощь клиентам при поломках компьютеров), миграцию учетных записей и анализ уязвимостей системы. Решения профессиональных услуг, за исключением разработки клиентов, описанных в примечании ниже в этой таблице, не предназначены для обработки решений, которые основаны на решениях, которые оказывают юридическое или аналогичное существенное воздействие на отдельных лиц. |
| Масштабная обработка 1 особых категорий данных (персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах и обработка генетических и биометрических данных с целью однозначной идентификации физического лица, данных о здоровье или данных, касающихся его сексуальной жизни или ориентации) или персональных данных, касающихся судимости или правонарушений. | Профессиональные услуги не предназначены для использования в работе, требующей обработки специальных категорий персональных данных, за исключением разработки клиентов, описанной в примечании ниже в этой таблице. Однако контролер данных может использовать консультационные решения Professional Services для обработки перечисленных специальных категорий данных. Например, профессиональные услуги предлагают разработку баз данных в сфере здравоохранения, которые могут использоваться контролером данных для обработки персональных данных, связанных с состоянием здоровья. Контроллер отвечает за оценку и ограничение или документирование этого использования соответствующим образом. |
| Масштабное систематическое отслеживание общедоступной области | Профессиональные услуги не предназначены для использования в работе, которая требует или облегчает такой мониторинг, за исключением разработки клиентов, описанной в примечании ниже в этой таблице. Если управляющий данными использовал профессиональные услуги для разработки системы такого типа или использовал ИТ-системы для обработки данных, собранных в ходе такого отслеживания, ответственность ложится на управляющего данными, как описано ниже в этой таблице. |
Примечание.
1 Что касается критериев, согласно которым обработка будет осуществляться в "крупном масштабе", в разделе 91 GDPR поясняется, что: "Обработка персональных данных не должна рассматриваться в большом масштабе, если обработка касается персональных данных пациентов или клиентов отдельным врачом, другим работником здравоохранения или адвокатом. В таких случаях оценка влияния на защиту данных не должна быть обязательной.
[Заметка о пользовательской разработке] Профессиональные услуги предлагают широкий спектр консультационных решений. Управляющий данными может запросить решение, которое в соответствии с указанными выше критериями представляет собой решение с высоким риском. Например, контролер данных может попросить профессиональные службы создать решение для разработки подсистемы бизнес-аналитики для принятия решений о приеме на работу или кредитных приложений или решение, которое включает отслеживание пользователей, специализированное использование искусственного интеллекта (ИИ) или аналитики или обработку специальных категорий персональных данных.
В начале взаимодействия профессиональные службы имеют процессы для оценки и решения решений с высоким риском, над чем может быть предложено работать. В рамках этой оценки профессиональным службам могут потребоваться гарантии от контролера данных о соответствии GDPR (например, договорные условия), план разработки DPIA или другие критерии (например, согласованные операционные рекомендации) в соответствии с требованиями обработчика данных в соответствии с GDPR. Однако, независимо от действий корпорации Майкрософт, ответственность за разработку DPIA с вводом, если это применимо, от обработчика данных клиента, лежит на контролере данных.
Часть 2. Содержимое DPIA
Статья 35(7) требует, чтобы оценка влияния на защиту данных определяла цели и системное описание предполагаемой обработки. Системное описание всесторонней оценки DPIA может включать такие факторы, как типы обрабатываемых данных, продолжительность хранения данных, места размещения и передачи данных и третьи стороны, которым может быть предоставлен доступ к этим данным. Кроме того, DPIA должна включать:
- оценку необходимости и пропорциональности операций обработки по отношению к целям;
- оценку рисков для прав и свобод физических лиц; и
- меры разрешения этих рисков, включая гарантии безопасности, меры предосторожности и механизмы для обеспечения защиты персональных данных и демонстрации соблюдения настоящих Правил с учетом прав и законных интересов субъектов данных и других заинтересованных лиц.
В следующей таблице содержатся сведения о профессиональных службах, относящиеся к каждому из этих элементов. Как и в части 1, контроллеры данных должны учитывать сведения, указанные в таблице, а также любые другие соответствующие факторы в контексте конкретных реализаций и использования профессиональных услуг контролера.
| Элемент DPIA | Важная информация о профессиональных услугах |
|---|---|
| Цели обработки | Цели обработки данных с помощью профессиональных услуг определяет управляющий, который реализует, настраивает и использует их. В соответствии с Дополнительным приложением майкрософт по защите данных профессиональных служб (MPSDPA), корпорация Майкрософт, как обработчик данных, обрабатывает данные поддержки и консультаций только для предоставления запрошенных услуг нашему клиенту, контроллеру данных. Корпорация Майкрософт не будет использовать данные службы поддержки и консультаций или информацию, полученную из нее, для рекламы или аналогичных коммерческих целей. |
| Цели обработки данных с помощью профессиональных услуг определяет управляющий, который реализует, настраивает и использует их. | В соответствии с Дополнительным приложением майкрософт по защите данных профессиональных служб (MPSDPA), корпорация Майкрософт, как обработчик данных, обрабатывает данные поддержки и консультаций только для предоставления запрошенных услуг нашему клиенту, контроллеру данных. Корпорация Майкрософт не будет использовать данные службы поддержки и консультаций или информацию, полученную из нее, для рекламы или аналогичных коммерческих целей. |
| Категории обрабатываемых персональных данных | Данные службы поддержки и консультаций — это все данные, включая все текстовые, звуковые, видео, файлы изображений или программное обеспечение, которые предоставляются корпорации Майкрософт клиентом или от его имени (или которые Клиент разрешает корпорации Майкрософт получить из веб-службы) через взаимодействие с корпорацией Майкрософт для получения профессиональных услуг или поддержки. Это может быть информация, собираемая по телефону, чату, электронной почте или веб-форме. Он может включать описание проблем, файлы, переданные в корпорацию Майкрософт для устранения проблем со службой поддержки, автоматизированные средства устранения неполадок или удаленный доступ к клиентским системам с разрешения клиента. Данные о клиентах и данные поддержки не включают данные о контактах или выставлении счетов клиентов, такие как сведения о подписке и платежные данные, которые корпорация Майкрософт собирает и обрабатывает в качестве управляющего данными и которые находятся вне область этого документа. |
| Хранение данных | Корпорация Майкрософт хранит данные для поддержки и консультирования в течение срока взаимодействия с клиентом и дополнительного периода хранения после завершения взаимодействия, необходимого для обеспечения качества и непрерывности обслуживания. Например, после закрытия обращения в службу поддержки данные обычно хранятся в течение определенного времени для обеспечения возможности их использования, если проблема возникнет снова с повторным обращением в службу поддержки. Когда профессиональные службы предоставляют поддержку, продолжительность взаимодействия определяется при закрытии обращения в службу поддержки. Когда профессиональные услуги предоставляют консультационные услуги, продолжительность взаимодействия часто определяется заказом на работу. В других случаях длительность взаимодействия определяется обслуживанием бизнес-отношений. Во всех случаях данные поддержки и консультаций будут удалены или возвращены по запросу или в соответствии с инструкциями клиента без неоправданной задержки с использованием возможностей, описанных в руководстве по правам субъекта данных профессиональных услуг. |
| Размещение и передача персональных данных | В связи с характером профессиональных услуг, включая необходимость предоставления круглосуточной поддержки, данные могут передаваться по всему миру. Список расположений, в которых работает корпорация Майкрософт, доступен по запросу. Для консультационных услуг данные могут храниться в стране или регионе, если это согласовано в рамках заказа на работу. Для персональных данных из Европейской экономической зоны, Швейцарии и Соединенного Королевства корпорация Майкрософт гарантирует, что передача персональных данных в третью страну или регион или международную организацию подпадает под соответствующие меры предосторожности, описанные в статье 46 GDPR. В дополнение к своим обязательствам по стандартным контрактным условиям для обработчиков и другим типовым договорам корпорация Майкрософт продолжает соблюдать условия соглашения о правилах обмена конфиденциальной информацией, но больше не использует его в качестве основы при передаче персональных данных из ЕС/ЕЭЗ в США. |
| Предоставление данных третьим сторонам | Корпорация Майкрософт предоставляет данные третьим сторонам, выступающим в качестве ее субобработчиков для обеспечения таких функций, как поддержка пользователей и техническая поддержка, сервисное обслуживание и другие операции. Все субподрядчики, которым корпорация Майкрософт передает данные поддержки и консультаций, будут заключать с корпорацией Майкрософт письменные соглашения, которые не менее защитные, чем условия защиты данных MPSDPA. Все сторонние субобработчики, которым предоставляется доступ к данным службы поддержки и консультаций в рамках MPSDPA , включены в список подрядчиков коммерческой поддержки Майкрософт. Корпорация Майкрософт не будет раскрывать данные о поддержке и консультации правоохранительным органам, если это не требуется по закону. Если правоохранительные органы обращаются к корпорации Майкрософт с запросом на поддержку и консультационные данные, корпорация Майкрософт пытается перенаправить правоохранительное учреждение для запроса данных непосредственно у клиента. Если корпорация Майкрософт обязана раскрыть данные о поддержке и консультации правоохранительным органам, корпорация Майкрософт незамедлительно уведомит клиента и предоставит копию запроса, если это не запрещено законом. После получения любого другого стороннего запроса на поддержку и консультационные данные корпорация Майкрософт незамедлительно уведомит клиента, если это не запрещено законом. Корпорация Майкрософт отклоняет запрос, если только это не требуется по закону. Если запрос действителен, корпорация Майкрософт пытается перенаправить стороннее лицо для запроса данных непосредственно у клиента. |
| Права субъектов данных | При работе в качестве обработчика корпорация Майкрософт предоставляет клиенту (контроллерам данных) персональные данные своих субъектов данных и возможность выполнять запросы субъектов данных, когда они осуществляют свои права в соответствии с GDPR. Мы предоставляем эти возможности в соответствии с функциональностью продукта и нашей ролью обработчика данных. Если мы получаем запрос от субъекта данных клиента на осуществление одного или нескольких его прав в соответствии с GDPR, мы перенаправляем субъект данных на выполнение запроса непосредственно к контроллеру данных. В документации GDPR по запросам субъектов данных профессиональных услуг описывается, как клиент может выполнять свои обязательства по правам субъектов данных при использовании профессиональных услуг. |
| Оценка необходимости и пропорциональности операций обработки по отношению к целям | Такая оценка зависит от потребностей и целей обработки контроллера. Что касается обработки, выполняемой корпорацией Майкрософт, она необходима и пропорциональна с целью предоставления услуг управляющему данными. Корпорация Майкрософт фиксирует это в MPSDPA. |
| Оценка рисков для прав и свобод субъектов данных | Основные риски для прав и свобод субъектов данных, связанные с использованием профессиональных услуг, связаны с тем, как и в каком контексте контролер данных реализует, настраивает и использует профессиональные услуги и любые решения, предоставляемые профессиональными службами. Однако, как и в любой другой службе, персональные данные, хранящиеся в службе, могут подвергаться риску несанкционированного доступа или непреднамеренного раскрытия. Меры, принятые корпорацией Майкрософт для устранения таких рисков, рассматриваются далее в этой статье. |
| Меры для устранения рисков, включая гарантии безопасности, меры предосторожности и механизмы для обеспечения защиты персональных данных и демонстрации соблюдения настоящего GDPR с учетом прав и законных интересов субъектов данных и других заинтересованных лиц. | Корпорация Майкрософт обеспечивает защиту личных данных клиента. В соответствии с положениями статьи 32 GDPR, корпорация Майкрософт внедрила соответствующие технические и организационные меры, направленные на защиту Данных о поддержке и консультировании от случайного, несанкционированного или незаконного доступа, раскрытия, изменения, утраты или уничтожения. Кроме того, Майкрософт соблюдает все остальные обязательства по GDPR, которые применяются к обработчикам данных, включая оценки влияния на защиту данных и ведение учета. |