Поделиться через


Оценка влияния на защиту данных: руководство для управляющих данными, использующих профессиональные услуги Майкрософт

Общие сведения о профессиональных услугах Майкрософт

Служба профессиональных услуг Майкрософт включает группу различных технических архитекторов, инженеров, консультантов и специалистов по поддержке, призванных помогать клиентам Майкрософт достигать большего. Дополнительные сведения о Профессиональных услугах Майкрософт представлены на странице безопасности Профессиональных услуг Майкрософт.

В профессиональных службах Майкрософт со всей серьезностью относятся к своим обязательствам, налагаемым Общим регламентом по защите данных (GDPR). Сведения в этом документе предназначены для предоставления сведений о поддержке и консультационных предложениях Корпорации Майкрософт, которые клиенты могут использовать при подготовке оценок влияния на защиту данных (DPIA) в соответствии с GDPR.

Общие сведения об оценке влияния на защиту данных (DPIA)

В соответствии с Общим регламентом по защите данных (GDPR) управляющие данными должны подготовить DPIA для операций обработки, которые "могут привести к высокому риску для прав и свобод физических лиц". В профессиональных службах Майкрософт нет ничего, что обязательно потребует создания DPIA с помощью контроллера данных. Скорее, требуется ли DPIA, зависит от сведений и контекста типа служб и того, как контролер данных использует профессиональные услуги.

Цель этого документа — предоставить управляющим данными информацию о профессиональных услугах, которая поможет им определить, требуется ли оценка DPIA, и если да, то какие сведения необходимо в нее включить.

Часть 1. Определение необходимости DPIA

Статья 35 GDPR требует от контролера данных создать оценку влияния на защиту данных: "[w] здесь тип обработки, в частности с использованием новых технологий, и с учетом характера, область, контекста и целей обработки, скорее всего, приведет к высокому риску для прав и свобод физических лиц. Далее в ней указаны конкретные факторы, которые указывают на такой высокий риск, который рассматривается в следующей таблице: При определении того, требуется ли DPIA, контролер данных должен учитывать эти факторы, а также любые другие соответствующие факторы в свете конкретных реализаций и использования профессиональных услуг контролером данных.

Фактор риска Важная информация о профессиональных услугах
Системная и подробная оценка личных характеристик физического лица, которая основана на автоматизированной обработке, в том числе составлении психологического портрета, и на которой основаны решения, порождающие юридические последствия в отношении этого лица или влияющие на него похожим образом. Служба профессиональных услуг выполняет определенную процедуру или автоматическую обработку данных, например поддержку при сбоях или устранении проблем (например, помощь клиентам при поломках компьютеров), миграцию учетных записей и анализ уязвимостей системы. Решения профессиональных услуг, за исключением разработки клиентов, описанных в примечании ниже в этой таблице, не предназначены для обработки решений, которые основаны на решениях, которые оказывают юридическое или аналогичное существенное воздействие на отдельных лиц.
Масштабная обработка 1 особых категорий данных (персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах и обработка генетических и биометрических данных с целью однозначной идентификации физического лица, данных о здоровье или данных, касающихся его сексуальной жизни или ориентации) или персональных данных, касающихся судимости или правонарушений. Профессиональные услуги не предназначены для использования в работе, требующей обработки особых категорий персональных данных, за исключением клиентской разработки, описанной в примечании ниже в этой таблице.

Однако контролер данных может использовать консультационные решения Professional Services для обработки перечисленных специальных категорий данных. Например, профессиональные услуги предлагают разработку баз данных в сфере здравоохранения, которые могут использоваться контролером данных для обработки персональных данных, связанных с состоянием здоровья. Контроллер отвечает за оценку и ограничение или документирование этого использования соответствующим образом.
Масштабное систематическое отслеживание общедоступной области Профессиональные услуги не предназначены для использования в работе, которая требует или облегчает такой мониторинг, за исключением разработки клиентов, описанной в примечании ниже в этой таблице.

Если управляющий данными использовал профессиональные услуги для разработки системы такого типа или использовал ИТ-системы для обработки данных, собранных в ходе такого отслеживания, ответственность ложится на управляющего данными, как описано ниже в этой таблице.

Примечание.

1 Относительно условия о необходимости "масштабной обработки" в пункте 91 декларативной части GDPR поясняется: "Обработка персональных данных не должна считаться масштабной, если обработка относится к персональным данным пациентов или клиентов, обрабатываемым отдельным врачом, другим специалистом в области здравоохранения или адвокатом. В таких случаях оценка влияния на защиту данных не должна быть обязательной".

[Заметка о пользовательской разработке] Профессиональные услуги предлагают широкий спектр консультационных решений. Управляющий данными может потенциально запросить решение, которое в соответствии с указанными выше критериями было бы решением с высоким риском. Например, контролер данных может попросить профессиональные службы создать решение для разработки подсистемы бизнес-аналитики для принятия решений о приеме на работу или кредитных приложений или решение, которое включает отслеживание пользователей, специализированное использование искусственного интеллекта (ИИ) или аналитики или обработку специальных категорий персональных данных.

При применении профессиональных услуг сначала выполняется обработка для оценки и рассмотрения решений с высокой степенью риска, для работы над которыми к ним могли обратиться. В рамках этого процесса службе профессиональных услуг могут потребоваться гарантии от управляющего данными о соответствии GDPR (например, условия договора), план для разработки DPIA или другие условия (например, согласованные инструкции по работе), требующиеся от управляющего данными в соответствии с положениями GDPR. Однако, независимо от действий корпорации Майкрософт, ответственность за разработку DPIA с вводом, если это применимо, от обработчика данных клиента, лежит на контролере данных.

Часть 2. Содержимое DPIA

Статья 35(7) требует, чтобы оценка влияния на защиту данных определяла цели и системное описание предполагаемой обработки. Системное описание всесторонней оценки DPIA может включать такие факторы, как типы обрабатываемых данных, продолжительность хранения данных, места размещения и передачи данных и третьи стороны, которым может быть предоставлен доступ к этим данным. Кроме того, DPIA должна включать:

  • оценку необходимости и пропорциональности операций обработки по отношению к целям;
  • оценку рисков для прав и свобод физических лиц; и
  • меры разрешения этих рисков, включая гарантии безопасности, меры предосторожности и механизмы для обеспечения защиты персональных данных и демонстрации соблюдения настоящих Правил с учетом прав и законных интересов субъектов данных и других заинтересованных лиц.

В следующей таблице содержатся сведения о профессиональных службах, относящиеся к каждому из этих элементов. Как и в части 1, контроллеры данных должны учитывать сведения, указанные в таблице, а также любые другие соответствующие факторы в контексте конкретных реализаций и использования профессиональных услуг контролера.

Элемент DPIA Важная информация о профессиональных услугах
Цели обработки Цели обработки данных с помощью профессиональных услуг определяет управляющий, который реализует, настраивает и использует их.

В соответствии с Дополнительным приложением майкрософт по защите данных профессиональных служб (MPSDPA), корпорация Майкрософт, как обработчик данных, обрабатывает данные поддержки и консультаций только для предоставления запрошенных услуг нашему клиенту, контроллеру данных. Корпорация Майкрософт не будет использовать данные службы поддержки и консультаций или информацию, полученную из нее, для рекламы или аналогичных коммерческих целей.
Цели обработки данных с помощью профессиональных услуг определяет управляющий, который реализует, настраивает и использует их. В соответствии с Дополнительным приложением майкрософт по защите данных профессиональных служб (MPSDPA), корпорация Майкрософт, как обработчик данных, обрабатывает данные поддержки и консультаций только для предоставления запрошенных услуг нашему клиенту, контроллеру данных. Корпорация Майкрософт не будет использовать данные службы поддержки и консультаций или информацию, полученную из нее, для рекламы или аналогичных коммерческих целей.
Категории обрабатываемых персональных данных Данные службы поддержки и консультаций — это все данные, включая все текстовые, звуковые, видео, файлы изображений или программное обеспечение, которые предоставляются корпорации Майкрософт клиентом или от его имени (или которые Клиент разрешает корпорации Майкрософт получить из веб-службы) через взаимодействие с корпорацией Майкрософт для получения профессиональных услуг или поддержки. Это может быть информация, собираемая по телефону, чату, электронной почте или веб-форме. Он может включать описание проблем, файлы, переданные в корпорацию Майкрософт для устранения проблем со службой поддержки, автоматизированные средства устранения неполадок или удаленный доступ к клиентским системам с разрешения клиента.

Данные о клиентах и данные поддержки не включают данные о контактах или выставлении счетов клиентов, такие как сведения о подписке и платежные данные, которые корпорация Майкрософт собирает и обрабатывает в качестве управляющего данными и которые находятся вне область этого документа.
Хранение данных Корпорация Майкрософт хранит данные для поддержки и консультирования в течение срока взаимодействия с клиентом и дополнительного периода хранения после завершения взаимодействия, необходимого для обеспечения качества и непрерывности обслуживания. Например, после закрытия обращения в службу поддержки данные обычно хранятся в течение определенного времени для обеспечения возможности их использования, если проблема возникнет снова с повторным обращением в службу поддержки.

Когда профессиональные службы предоставляют поддержку, продолжительность взаимодействия определяется при закрытии обращения в службу поддержки. Когда профессиональные услуги предоставляют консультационные услуги, продолжительность взаимодействия часто определяется заказом на работу. В других случаях длительность взаимодействия определяется обслуживанием бизнес-отношений. Во всех случаях данные поддержки и консультаций будут удалены или возвращены по запросу или в соответствии с инструкциями клиента без неоправданной задержки с использованием возможностей, описанных в руководстве по правам субъекта данных профессиональных услуг.
Размещение и передача персональных данных В связи с характером профессиональных услуг, включая необходимость предоставления круглосуточной поддержки, данные могут передаваться по всему миру. Список расположений, в которых работает корпорация Майкрософт, доступен по запросу. Для консультационных услуг данные могут храниться в стране, если это согласовано в рамках заказа на работу.

Для персональных данных из Европейской экономической зоны, Швейцарии и Соединенного Королевства корпорация Майкрософт гарантирует, что передача персональных данных в третью страну или международную организацию подпадает под соответствующие меры предосторожности, описанные в статье 46 GDPR. В дополнение к своим обязательствам по стандартным контрактным условиям для обработчиков и другим типовым договорам корпорация Майкрософт продолжает соблюдать условия соглашения о правилах обмена конфиденциальной информацией, но больше не использует его в качестве основы при передаче персональных данных из ЕС/ЕЭЗ в США.
Предоставление данных третьим сторонам Корпорация Майкрософт предоставляет данные третьим сторонам, выступающим в качестве ее субобработчиков для обеспечения таких функций, как поддержка пользователей и техническая поддержка, сервисное обслуживание и другие операции. Все субподрядчики, которым корпорация Майкрософт передает данные поддержки и консультаций, будут заключать с корпорацией Майкрософт письменные соглашения, которые не менее защитные, чем условия защиты данных MPSDPA. Все сторонние субобработчики, которым предоставляется доступ к данным службы поддержки и консультаций в рамках MPSDPA , включены в список подрядчиков коммерческой поддержки Майкрософт.

Корпорация Майкрософт не будет раскрывать данные о поддержке и консультации правоохранительным органам, если это не требуется по закону. Если правоохранительные органы обращаются к корпорации Майкрософт с запросом на поддержку и консультационные данные, корпорация Майкрософт пытается перенаправить правоохранительное учреждение для запроса данных непосредственно у клиента. Если корпорация Майкрософт обязана раскрыть данные о поддержке и консультации правоохранительным органам, корпорация Майкрософт незамедлительно уведомит клиента и предоставит копию запроса, если это не запрещено законом.

После получения любого другого стороннего запроса на поддержку и консультационные данные корпорация Майкрософт незамедлительно уведомит клиента, если это не запрещено законом. Корпорация Майкрософт отклоняет запрос, если только это не требуется по закону. Если запрос действителен, корпорация Майкрософт пытается перенаправить стороннее лицо для запроса данных непосредственно у клиента.
Права субъектов данных При работе в качестве обработчика корпорация Майкрософт предоставляет клиенту (контроллерам данных) персональные данные своих субъектов данных и возможность выполнять запросы субъектов данных, когда они осуществляют свои права в соответствии с GDPR. Мы предоставляем эти возможности в соответствии с функциональностью продукта и нашей ролью обработчика данных.  Если мы получаем запрос от субъекта данных клиента на осуществление одного или нескольких его прав в соответствии с GDPR, мы перенаправляем субъект данных на выполнение запроса непосредственно к контроллеру данных.

В документации GDPR по запросам субъектов данных профессиональных услуг описывается, как клиент может выполнять свои обязательства по правам субъектов данных при использовании профессиональных услуг.
Оценка необходимости и пропорциональности операций обработки по отношению к целям Такая оценка зависит от потребностей и целей обработки контроллера.

Что касается обработки, выполняемой корпорацией Майкрософт, она необходима и пропорциональна с целью предоставления услуг управляющему данными. Корпорация Майкрософт фиксирует это в MPSDPA.
Оценка рисков для прав и свобод субъектов данных Основные риски для прав и свобод субъектов данных, связанные с использованием профессиональных услуг, связаны с тем, как и в каком контексте контролер данных реализует, настраивает и использует профессиональные услуги и любые решения, предоставляемые профессиональными службами.

Однако, как и в любой другой службе, персональные данные, хранящиеся в службе, могут подвергаться риску несанкционированного доступа или непреднамеренного раскрытия. Меры, принятые корпорацией Майкрософт для устранения таких рисков, рассматриваются далее в этой статье.
Меры для устранения рисков, включая гарантии безопасности, меры предосторожности и механизмы для обеспечения защиты персональных данных и демонстрации соблюдения настоящего GDPR с учетом прав и законных интересов субъектов данных и других заинтересованных лиц. Корпорация Майкрософт обеспечивает защиту личных данных клиента. В соответствии с положениями статьи 32 GDPR, корпорация Майкрософт внедрила соответствующие технические и организационные меры, направленные на защиту Данных о поддержке и консультировании от случайного, несанкционированного или незаконного доступа, раскрытия, изменения, утраты или уничтожения.

Кроме того, Майкрософт соблюдает все остальные обязательства по GDPR, которые применяются к обработчикам данных, включая оценки влияния на защиту данных и ведение учета.

Подробнее