Tietosuoja- ja tietoturvaehdot
Yleistä
Tietosuoja- ja tietoturvaehdot sisältyivät aiemmin Online-palveluiden ehtojen liitteeseen 1.
Osapuolet suostuvat siihen, että tässä Microsoft Online -palvelujen Tietojenkäsittelysopimuksessa, tai DPA (määritelty Sanastossa) määritetään velvollisuudet, jotka koskevat Tuotteisiin liittyvien Asiakastietojen, Professional Services -tietojen ja Henkilötietojen käsittelyä ja tietoturvaa. Tietosuojaa koskeva täydennys on ladattavissa täältä https://aka.ms/DPA. Jos Tietojenkäsittelysopimuksen ja Asiakkaan käyttöoikeussopimuksen (mukaan lukien nämä ehdot) muiden ehtojen välillä ilmenee ristiriitoja tai epäyhtenäisyyksiä, sovelletaan ensisijaisesti Tietojenkäsittelysopimusta.
Online-ydinpalvelut
Termi “Online-ydinpalvelut” koskee ainoastaan jäljempänä olevassa taulukossa olevia palveluita eikä sisällä mitään Esikatseluita.
Online-palvelut | |
---|---|
Microsoft Dynamics 365 -ydinpalvelut. | Seuraavat palvelut kukin erillisenä palveluna tai sellaisena kuin se on Dynamics 365 -nimisessä sopimuksessa tai sovelluksessa: Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations ja Dynamics 365 Sales. Dynamics 365 -ydinpalvelut eivät sisällä (1) Dynamics 365 -palveluita tuetuille laitteille tai ohjelmistolle, mikä sisältää rajoituksetta Dynamics 365:n sovelluksille, tableteille tai puhelimille; (2) LinkedIn Sales Navigator tai (3), ellei kyseisen palvelun käyttöoikeusehdoissa ole toisin määritetty, mikään muu erillisen tuotemerkin palvelu, joka on asetettu saataville Dynamics 365 -ydinpalveluissa tai liittyy niihin. |
Office 365 -palvelut | Seuraavat palvelut kukin erillisenä palveluna tai sellaisena kuin ne on sisällytetty Office 365- tai Microsoft 365 -sopimukseen tai -ohjelmistoon: Customer Lockbox, Exchange Online Archiving, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (Classic), Microsoft Teams, Microsoft To-Do, Microsoft Defender for Office 365, Office for the web, OneDrive for Business, Project, SharePoint, Sway, Viva Insights, Whiteboard, Viva Engage ja Microsoft 365 Copilot. Office 365 -palvelut eivät sisällä Microsoft 365 -sovellukset suuryrityksille -palvelua, Microsoftin hallinnan ulkopuolella toimivaa PSTN Service -palvelun osaa, asiakasohjelmistoa tai muuta erillisen tuotenimen palvelua, joka on saatavilla Office 365- tai Microsoft 365 -tuotemerkillä varustetussa palvelupaketissa tai ohjelmistossa, kuten Bing-palvelua tai palvelua, jonka tuotemerkissä on ”for Office 365”. |
Microsoft 365:n ehtojen noudattamispalvelut | Seuraavat palvelut kukin erillisenä palveluna tai sellaisena kuin se on Microsoft 365 -nimisessä sopimuksessa tai -ohjelmistossa: Microsoft Purview Customer Lockbox, Microsoft Purview Data Loss Prevention, Microsoft Purview Customer Key, Microsoft Purview Data Lifecycle Management, Microsoft Purview Information Barriers, Microsoft Purview Privileged Access Management, Microsoft Purview Compliance Manager, Microsoft Purview Information Protection, Microsoft Information Governance, Microsoft Purview-Insider Risk Management, Microsoft Purview Communication Compliance, Microsoft Purview Records Management, Microsoft Purview eDiscovery, Microsoft Purview Audit, Microsoft Priva Privacy Risk Management ja Microsoft Priva Subject Rights Request. |
Microsoft Azure -ydinpalvelut | Azure AI, Azure AI Content Safety, Azure Active Directory B2C, Anomaly Detector, API Management, App Service (API Apps, Logic Apps, Mobile Apps, WebJobs, Functions), Lab Services, Application Gateway, Azure Monitor, Automation, Azure API for FHIR, Azure App Configuration, Azure Bastion, Azure AI Bot Service, Azure Cache for Redis, Azure AI Search, Azure Communication Services, Azure Container Apps, Azure Container Instances, Azure Container Registry (ACR), Azure Cosmos DB, Azure Data Explorer, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Databricks, Azure DDOS Protection, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Azure Firewall, Azure AI Document Intelligence, Azure Health Data Services, Azure AI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure AI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Microsoft Purview Data Map (Classic), Microsoft Purview Data Catalog (Classic), Microsoft Purview Data Estate Insights (Classic), Microsoft Purview Data Policies (Classic), Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure AI Video Indexers, Azure Web PubSub, Backup, Batch, Cloud Services, Computer Vision, Content Moderator, Azure AI Custom Vision, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, HDInsight, Import/Export, IoT Hub, Key Vault, Language Understanding, Load Balancer, Azure Machine Learning Studio (classic), Media Services, Microsoft Azure Portal, Notification Hubs, Azure AI Personalizer, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Service Bus, Service Connector, Service Fabric, Azure SignalR Service, Site Recovery, Speech Services, SQL Database, SQL Managed Instance, SQL Server Stretch Database, Storage, StorSimple, Stream Analytics, Synapse Analytics, Text Analytics, Traffic Manager, Azure AI Translator, Virtual Machines, Virtual Machine Scale Sets, Virtual Network ja VPN Gateway. |
Microsoft Intune Online -palvelut | Microsoft Intunen pilvipalveluosio. |
Microsoft Power Platform -ydinpalvelut | Seuraavat palvelut kukin erillisenä palveluna tai sellaisena kuin ne on sisällytetty Office 365- tai Microsoft Dynamics 365 -sopimukseen tai -ohjelmistoon: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages ja Microsoft Copilot Studio. Microsoft Power Platform -ydinpalveluihin ei sisälly mitään asiakasohjelmistoa, kuten esimerkiksi Power BI -raporttipalvelin, Power BI, PowerApps tai Microsoft Power Automate -mobiilisovellukset, Power BI Desktop tai Power Apps Studio. |
Microsoft Copilot | Microsoft Copilot, jota käytetään työpaikan tai oppilaitoksen tilin kanssa. |
Microsoft Defender Experts | Microsoft Defender Expertsin pilvipalveluosio. |
Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Appsin pilvipalveluosio (aiemmin Microsoft Cloud App Security). |
Microsoft Defender for Endpoint Services | Microsoft Defender for Endpointin pilvipalveluosio. |
Microsoft Defender for Identity | Microsoft Defender for Identityn pilvipalveluosio. |
Microsoft Defender XDR | Microsoft Defender XDR:n pilvipalveluosio. |
Microsoft Sentinel | Microsoft Sentinelin pilvipalveluosio. |
Windows 365 | Windows 365:n pilvipalveluosio, lukuun ottamatta Windows 365 -pilvitietokoneissa suoritettavaa Windows-käyttöjärjestelmää. |
Online-ydinpalvelujen Tietosuojakäytännöt
Tietojenkäsittelysopimuksessa Online-palveluille kuvattujen tietosuojakäytäntöjen lisäksi kukin Online-ydinpalvelu noudattaa myös hallintastandardeja ja -periaatteita, jotka esitetään alla olevassa taulukossa, sekä toimeenpanee ja ylläpitää tietoturvatoimenpiteitä, jotka esitetään Asiakastietojen suojausta käsittelevän Tietojenkäsittelysopimuksen liitteessä B.
Online-palvelu | SSAE 18 SOC 1 Type II | SSAE 18 SOC 2 Type II |
---|---|---|
Office 365 -palvelut | Kyllä | Kyllä |
Microsoft 365:n ehtojen noudattamispalvelut | Kyllä | Kyllä |
Microsoft Dynamics 365 -ydinpalvelut. | Kyllä | Kyllä |
Microsoft Azure -ydinpalvelut | Vaihtelee* | Vaihtelee* |
Microsoft Intune Online -palvelut | Kyllä | Kyllä |
Microsoft Power Platform -ydinpalvelut | Kyllä | Kyllä |
Microsoft Copilot | Kyllä | Kyllä |
Microsoft Defender Experts | Vaihtelee* | Vaihtelee* |
Microsoft Defender for Cloud Apps | Kyllä | Kyllä |
Microsoft Defender for Endpoint Services | Kyllä | Kyllä |
Microsoft Defender for Identity | Kyllä | Kyllä |
Microsoft Defender XDR | Kyllä | Kyllä |
Microsoft Sentinel | Kyllä | Kyllä |
Windows 365 | Kyllä | Kyllä |
*Nykyinen laajuus on kuvattu tarkastusraportissa, ja siitä on lyhennelmä Microsoft Trust Centerissä.
Online-ydinpalvelujen Asiakastietojen tallennuspaikan sijainti
Online-ydinpalveluiden osalta Microsoft säilyttää Asiakastietoja tietyillä maantieteellisillä pääalueilla (”Geo”) seuraavasti, ellei Online-palveluiden ehdoissa muuta ole mainittu:
- Office 365 -palvelut. Jos Asiakas määrittää Australiassa Brasiliassa, Kanadassa, Euroopan unionissa, Ranskassa, Saksassa, Intiassa, Japanissa, Norjassa, Qatarissa, Etelä-Afrikassa, Etelä-Koreassa, Ruotsissa, Sveitsissä, Yhdistyneessä kuningaskunnassa, Yhdistyneissä arabiemiirikunnissa tai Yhdysvalloissa (jokainen edellä mainituista on Geo) sijaitsevan vuokralaisensa, Microsoft säilyttää seuraavia Asiakkaan tietoja vain kyseisen Geon alueella: (1) Exchange Online -postilaatikon sisältö (sähköpostin viestinosa, kalenterimerkinnät ja sähköpostin liitteiden sisältö), (2) SharePoint Online -sivuston sisältö ja sivustossa tallennetut tiedostot, (3) OneDrive for Businessiin ladatut tiedostot ja (4) Microsoft Teams -viestit (mukaan lukien yksityiset viestit, kanavaviestit, kokousviestit ja viesteissä käytetyt kuvat) ja Microsoft Stream (Classic) -ohjelmistoa (SharePointissa) käyttävien asiakkaiden osalta kokoustallenteet, sekä (5) kaikki tallennettu sisältö, joka liittyy vuorovaikutukseen Microsoft 365 Copilotin kanssa, mikäli se ei sisälly edellä mainittuihin velvoitteisiin. Jos Asiakas hankkii Advanced Data Residency -tilauksen, Microsoft säilyttää tiettyjä Asiakkaan tietoja soveltuvalla Geolla tämän kohdan ja tuotedokumentaation kohdan ”Advanced Data Residencyn Sitoumukset”, joka on luettavissa osoitteessa https://aka.ms/adroverview, mukaisesti.
- Microsoft Intune Online -palvelut. Jos Asiakas määrittää Microsoft Intune -vuokralaistilin käyttöönoton saatavilla olevan Geon alueella, Microsoft säilyttää Asiakastietoja kyseisen palvelun osalta kyseisen Geon alueella, lukuun ottamatta Microsoft Intune Trust Centerissä todettua.
- Microsoft Power Platform -ydinpalvelut. Jos Asiakas määrittää Power Platform -ydinpalveluiden käyttöönoton saatavilla olevan Geon alueella, Microsoft säilyttää Asiakastietoja kyseisen palvelun osalta kyseisen Geon alueella, lukuun ottamatta Microsoft Power Platform Trust Centerissä kuvattua.
- Microsoft Azure -ydinpalvelut. Jos Asiakas määrittää tietyn palvelun otettavaksi käyttöön tietyn Geon alueella, Microsoft säilyttää tämän palvelun Asiakastietoja kyseisen Geon alueella. Tietyt palvelut eivät anna Asiakkaan määrittää käyttöönottoa tietyllä Geolla tai Yhdysvaltain ulkopuolella ja voivat tallentaa varmuuskopioita muihin sijainteihin. Katso lisätiedot Microsoft Trust Centeristä (jota Microsoft saattaa toisinaan päivittää, mutta Microsoft ei lisää olemassa olevia Palveluita koskevia poikkeuksia yleisessä julkaisussa).
- Microsoft Defender for Cloud Apps. Jos Asiakas määrittää Euroopan unionin alueella tai Yhdysvalloissa sijaitsevan vuokralaisensa, Microsoft säilyttää Asiakastietoja vain tämän Geon alueella, lukuun ottamatta Microsoft Defender for Cloud Apps Trust Centerissä kuvattua.
- Microsoft Dynamics 365 -ydinpalvelut. Jos Asiakas määrittää Microsoft Dynamics 365 -ydinpalveluiden käyttöönoton saatavilla olevan Geon alueella, Microsoft säilyttää Asiakastietoja kyseisen palvelun osalta kyseisen Geon alueella, lukuun ottamatta Microsoft Dynamics 365 Trust Centerissä kuvattua.
- Microsoft Defender for Endpoint Services. Jos Asiakas määrittää Microsoft Defender for Endpoint -vuokralaistilin käyttöönoton saatavilla olevan Geon alueella, Microsoft säilyttää Asiakastietoja kyseisen palvelun osalta kyseisen Geon alueella, lukuun ottamatta Microsoft Defender for Endpoint Trust Centerissä todettua.
- Microsoft Defender for Identity. Jos Asiakas määrittää Microsoft Defender for Identity -vuokralaistilin käyttöönoton saatavilla olevan Geon alueella, Microsoft säilyttää Asiakastietoja kyseisen palvelun osalta kyseisen Geon alueella, lukuun ottamatta Microsoft Defender for Identity Trust Centerissä todettua.
- Microsoft Defender XDR. Jos Asiakas määrittää Microsoft Defender XDR -vuokralaistilin käyttöönoton saatavilla olevan Geon alueella, Microsoft säilyttää Asiakastietoja kyseisen palvelun osalta kyseisen Geon alueella, lukuun ottamatta Microsoft Defender XDR Trust Centerissä todettua.
- Windows 365. Jos Windows 365 -vuokraaja otetaan käyttöön saatavilla olevan Geon alueella, Microsoft säilyttää tämän vuokraajan Asiakastietoja kyseisen Geon alueella. Jos Asiakas provisioi Windows 365 -pilvitietokoneet saman vuokraajan sisällä eri käytettävissä oleville Geoille, Microsoft tallentaa kunkin pilvitietokoneen osalta pilvitietokoneen asiakastiedot määritetylle maantieteelliselle alueelle.
EU:n tietorajapalvelut
Termi ”EU:n tietoraja” tarkoittaa Microsoftin tietokoneita, tietojenkäsittely-ympäristöä ja fyysisiä datakeskuksia, jotka sijaitsevat yksinomaan Euroopan unionin (EU) ja Euroopan vapaakauppaliiton (EFTA) alueella. Termi ”EU:n tietorajapalvelut” koskee ainoastaan jäljempänä olevassa taulukossa olevia Online-palveluita eikä sisällä mitään Esikatseluita.
EU:n tietorajapalvelut | |
---|---|
Azure | Azure-palvelut, jotka mahdollistavat käyttöönoton EU:n tietorajojen sisällä, sekä seuraavat ei-alueelliset palvelut: Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, Azure Communication Services, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Azure Kubernetes Service on Azure Stack HCI, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager, Translator |
Dynamics 365 | Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management |
Microsoft 365 | Customer Lockbox, Exchange Online, Exchange Online Archiving for Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (Classic) (SharePointissa), Microsoft Teams, Microsoft To-Do, Office for the web, Online-palvelut osana Microsoft 365 -sovelluksia, OneDrive for Business, SharePoint Online, Sway, Whiteboard, Viva Engage, Microsoft 365 Copilot, Communications Compliance, eDiscovery and Audit, Insider Risk Management, Information Barriers, Microsoft Purview Data Loss Prevention, Microsoft Intune, Priva Privacy Risk Management, Priva Subject Rights Management, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft 365 Copilot for Sales ja Microsoft Viva Topics |
Power Platform | Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio |
EU:n tietorajapalveluiden asiakastietojen sijainti
EU:n tietorajapalveluiden osalta Microsoft tallentaa ja käsittelee asiakastietoja ja henkilötietoja) EU:n tietorajojen puitteissa alla kuvatulla tavalla.
Asiakkaan on määritettävä EU:n tietorajapalvelut seuraavasti:
- Azuren osalta Asiakkaan on otettava palvelu käyttöön Azure-alueella, joka sijaitsee EU:n tietorajojen sisällä. Lisätietoja on kohdassa Azure-tietojen säilytys (https://azure.microsoft.com/explore/global-infrastructure/data-residency). Palveluissa, jotka eivät mahdollista käyttöönottoa tietyllä Azure-alueella, Asiakkaan on noudatettava ohjeita, jotka ovat kohdassa Muiden kuin alueellisten Azure-palvelujen määrittäminen EU:n tietorajaa varten (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
- Mikäli Dynamics 365:n ja Power Platformin tapauksessa Asiakas provisioi vuokraajan, jonka laskutusosoite on EU:n tai EFTAn alueella, tämä vuokralainen on EU:n tietorajojen piirissä, jos Asiakas myös luo kaikki ympäristönsä EU:n tietorajojen sisällä olevaan maantieteelliseen sijaintiin.
- Mikäli Microsoft 365:n tapauksessa Asiakas provisioi vuokraajan, jonka laskutusosoite on EU:n tai EFTAn alueella, tämä vuokralainen on EU:n tietorajojen piirissä – pois lukien ne vuokraajat, joille Asiakas on myös ostanut Microsoft 365:n Multi-Geo Capabilities -lisäosan, jonka avulla asiakkaat voivat laajentaa Microsoft 365 -vuokraajaa useille maantieteellisille alueille tai useisiin maihin (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).
EU:n tietorajapalveluiden käyttö voi johtaa rajoitettuun asiakastietojen tai henkilötietojen siirtoon EU:n tietorajojen ulkopuolelle, kuten on kuvattu alla ja tarkemmin EU:n tietorajaa koskevassa avoimuusasiakirjassa osoitteessa https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn tai korvaavassa sijainnissa. Kaikki tällaiset siirrot suoritetaan Tietojenkäsittelysopimuksen ja Tuotteen ehtojen mukaisesti.
- Etäkäyttö. EU:n tietorajojen ulkopuolella sijaitseva Microsoftin henkilöstö voi etäkäyttää EU:n tietorajojen sisällä sijaitsevia tietojenkäsittelyjärjestelmiä, jos se on tarpeen EU:n datarajapalveluiden operoimista, vianmääritystä ja suojaamista varten.
- Asiakkaan aloittamat siirrot. Asiakkaat saattavat aloittaa siirtoja EU:n tietorajan ulkopuolelle mm. käyttämällä EU:n tietorajapalveluita EU:n tietorajan ulkopuolelta, lähettämällä sähköpostia EU:n tietorajan ulkopuolella sijaitsevalle vastaanottajalle tai käyttämällä EU:n tietorajapalveluita yhdessä muiden sellaisten palveluiden kanssa, jotka eivät sijaitse EU:n tietorajojen sisäpuolella.
- Asiakkaiden suojeleminen. Microsoft siirtää rajoitettuja tietoja EU:n tietorajojen ulkopuolelle tarpeen mukaan havaitakseen tietoturvauhkia ja suojellakseen Asiakkaita niiltä.
- Hakemistotiedot. Microsoft voi kopioida rajoitettuja Microsoft Entra -hakemistotietoja Microsoft Entra ID:stä (mukaan lukien käyttäjätunnus ja sähköpostiosoite) EU:n tietorajojen ulkopuolelle palvelun tarjoamiseksi.
- Verkkoliikenne. Reititysviiveen vähentämiseksi ja reititysresilienssin ylläpitämiseksi Microsoft käyttää vaihtelevia verkkopolkuja, jotka voivat toisinaan johtaa tietojen siirtämiseen EU:n tietorajojen ulkopuolelle.
- Palvelun ja alustan laatu ja valvonta. Jos sitä vaaditaan palvelun laadun tai palvelun käytön tai suorituskyvyn tilastollista mittaustarkkuutta varten, pseudonymisoidut henkilötiedot voidaan siirtää EU:n tietorajojen ulkopuolelle.
- Palvelukohtaiset siirrot. Katso edellä mainituista avoimuusasiakirjoista tietoa määrättyihin EU:n tietorajapalveluihin sovellettavista siirroista.