了解 GDPR
欧洲政府于 2016 年 4 月发布了《欧盟 (EU) 常用数据保护条例》(也称为 GDPR)。 本条例旨在在整个欧洲制定数据隐私法。 适用于处理居住在欧盟国家人员的个人数据,包括数据控制器(主要针对消费者服务)和数据处理器(企业服务)。
对于 Microsoft 联机服务,我们是数据处理者:
- Microsoft 向其数据主体提供数据控制器的隐私声明。
- Microsoft 根据数据主体权限,对现有服务功能和新功能的进行涉及更改。
- 如果数据泄露可能“导致个人权利或自由受到风险”,Microsoft 会发出通知。我们承诺在宣布数据泄露的 72 小时内通知相关方。
为了符合 GDPR 惯有实施适当有效的技术和组织措施的规定,Microsoft 要符合 ISO 27001 和 ISO 27018 控制要求,并且在服务中与 ISO 27701 保持一致。
数据主体请求 (DSR)
GDPR 授予个人(或数据主体)与处理个人数据相关的某些权限,包括有权更正不准确数据、清除数据或限制数据处理、接收数据,以及满足将数据传输给另一个控制者的请求。 控制者负责提供及时的 GDPR 一致回复。 Microsoft(数据处理者)通过提供功能来帮助其客户(控制者)实现符合性和对 DSR 的响应。
Microsoft 为客户提供管理工具,以帮助查找个人数据并采取措施来响应 DSR:
- 发现:使用搜索和发现工具,查找可能是 DSR 主体的客户数据。
- 访问:检索驻留在 Microsoft 服务中的个人数据,如果提出请求,还制作可供数据主体使用的个人数据副本。
- 纠正:更改或实施个人数据的其他请求操作(如果适用)。
- 限制:通过删除各种 Microsoft 服务的许可证或尽可能关闭所需服务来限制个人数据的处理。 客户还可以从 Microsoft 云中删除数据,并将其保留在本地或其他位置。
- 删除:永久移除保留在 Microsoft 服务中的个人数据。
- 导出/接收(可移植性):向数据主体提供个人数据或个人信息的电子副本(采用机器可读格式)。
数据保护影响评估
GDPR 要求控制者为“可能给自然人的权利和自由带来高风险”的操作准备数据保护影响评估 (DPIA) 。Microsoft 产品和服务中没有任何固有的东西需要创建 DPIA。 不过,由于 Microsoft 产品和服务可高度自定义,因此是否需要创建 DPIA 具体视客户情况的详细信息而定。 Microsoft 无法控制此类信息,几乎或根本不了解此类信息。 数据控制者确定此类数据的正确使用。 但是,Microsoft 确实认识到执行 DPIA 所需的大量工作,因此提供了一些资源来帮助客户在 DPIA 中履行 GDPR 的义务(如果需要这样做)。