Odredbe o zaštiti privatnosti i sigurnosti
Općenito
Odredbe o zaštiti privatnosti i sigurnosti prethodno su se nalazile u Prilogu 1 Odredbi o online uslugama.
Dopuna o zaštiti osobnih podataka ili DPA (definiran u Pojmovniku) određuje obveze strana s obzirom na način na koji Proizvodi obrađuju i štite Korisničke podatke, Podatke profesionalnih usluga i Podataka koji otkrivaju identitet osobe. Dopuna o zaštiti osobnih podataka može se preuzeti ovdje: https://aka.ms/DPA. U slučaju nepodudaranja ili nedosljednosti između Dopune DPA i bilo kojih drugih odredbi u Klijentovom ugovoru o licenciranju (uključujući ove odredbe) primjenjivat će se odredbe iz Dopune DPA.
Osnovne online usluge
Pojam „Osnovne Online usluge” odnosi se na usluge u tablici u nastavku, isključujući bilo kakve Pretpreglede.
Online usluge | |
---|---|
Microsoft Dynamics 365 Core Services | Sljedeće usluge, svaka kao samostalna usluga ili kao dio plana ili aplikacije marke Dynamics 365: Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations i Dynamics 365 Sales. Usluga Dynamics 365 Core Services ne uključuje (1) usluge sustava Dynamics 365 za podržane uređaje ili softver, koje uključuju, između ostalog, sustav Dynamics 365 za aplikacije, tablete, telefone ili bilo što od toga, (2) LinkedIn Sales Navigator ili (3) osim kako je izričito definirano u licencnim odredbama za odgovarajuću uslugu, bilo koju drugu uslugu zasebne marke koja postaje dostupna u okviru usluga Dynamics 365 Core Services ili je s njima povezana. |
Office 365 Services | Sljedeće usluge, svaka kao samostalna usluga ili kao dio plana ili paketa marke Office 365 ili Microsoft 365: Customer Lockbox, Exchange Online Archiving, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (Classic), Microsoft Teams, Microsoft To-Do, Microsoft Defender za Office 365, Office za web, OneDrive za tvrtke, Project, SharePoint, Sway, Viva Insights, Whiteboard, Viva Engage i Microsoft 365 Copilot. Usluge sustava Office 365 ne uključuju aplikacije Microsoft 365 Apps za velike tvrtke, bilo koji dio usluge PSTN-a koji radi izvan kontrole tvrtke Microsoft, bilo koji klijentski softver ni bilo koju uslugu zasebne marke koja postaje dostupna u okviru plana ili paketa marke Office 365 ili Microsoft 365, kao što su usluge Bing ili usluga s oznakom „za Office 365”. |
Usluge usklađenosti okruženja Microsoft 365 | Sljedeće usluge, kao samostalne usluge ili kako je obuhvaćeno planom ili paketom marke Microsoft 365: Microsoft Purview Customer Lockbox, Sprječavanje gubitka podataka za Microsoft Purview, Korisnički ključ za Microsoft Purview, Upravljanje životnim ciklusom usluge Microsoft Purview, Informacijske prepreke za Microsoft Purview, Microsoft Purview Privileged Access Management, Upravitelj usklađenosti za Microsoft Purview, Microsoft Purview Information Protection, Upravljanje podacima za Microsoft, Upravljanje internim rizicima za Microsoft Purview, Usklađenost komunikacije za Microsoft Purview, Upravljanje zapisima za Microsoft Purview, Obaveza predočavanja elektroničkih dokumenata za Microsoft Purview, Nadzor za Microsoft Purview, Microsoft Priva – upravljanje rizicima zaštite privatnosti i Microsoft Priva – zahtjevi ispitanika. |
Microsoft Azure Core Services | Azure AI, Sigurnost sadržaja za Azure AI, Azure Active Directory B2C, Anomaly Detector, API Management, App Service (API Apps, Logic Apps, Mobile Apps, WebJobs i Functions), Lab Services, Application Gateway, Azure Monitor, Automatizacija, Azure API za FHIR, Azure App Configuration, Azure Bastion, Azure AI Bot Service, Azure Cache for Redis, Azure AI Search, Komunikacijske usluge Azure, Azure Container Apps, Azure Container Instances. Azure Container Registry (ACR), Azure Cosmos DB, Azure Data Explorer, Baza podataka Azure Database za MySQL, Baza podataka Azure za PostgreSQL, Azure Databricks, Azure DDOS Protection, Azure DevOps, Azure DNS, Microsoft Entra ID, rešetka događaja platforme Azure, Microsoft Fabric, Azure Firewall, Azure AI Document Intelligence, Azure Health Data Services, Azure AI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure AI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Mapa podataka za Microsoft Purview, katalog podataka za Microsoft Purview, Microsoft Purview Data Estate Insights (Classic), Microsoft Purview Data Policies (Classic), Microsoft Purview Data Sharing, Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure AI Video Indexers, Azure Web PubSub, Sigurnosne kopije, Serija, Servisi u oblaku, Computer Vision, Content Moderator, Azure AI Custom Vision, Data Factory, Data Lake Analytics, Data Lake Store, Središta događaja, Express Route, Face, HDInsight, Uvoz/izvoz, IoT Hub, Sef za ključeve, Language Understanding, Load Balancer, Azure Machine Learning Studio (classic), Media Services, portal platforme Microsoft Azure, Središta za obavijesti, Azure AI Personalizer, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Sabirnica servisa, Poveznik za servise, Service Fabric, Azure SignalR Service, Site Recovery, Speech Services, SQL baza podataka, SQL upravljana instanca, rastezljiva baza podataka sustava SQL Server, Pohrana, StorSimple, Stream Analytics, Synapse Analytics, Text Analytics, Traffic Manager, Azure AI Translator, Virtualna računala, Virtual Machine Scale Sets, Virtualna mreža i VPN Gateway. |
Microsoft Intune Online Services | Dio o uslugama u oblaku za Microsoft Intune. |
Osnovne usluge za Microsoft Power Platform | Sljedeće usluge, svaka kao samostalna usluga ili kako je obuhvaćeno planom ili paketom marke Office 365 ili Microsoft Dynamics 365: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages i Microsoft Copilot Studio. Osnovne usluge za Microsoft Power Platform ne uključuju nijedan klijentski softver, uključujući, ali ne ograničavajući se na mobilne aplikacije Power BI Report Server, Power BI, PowerApps ili Microsoft Power Automate te Power BI Desktop ili Power Apps Studio. |
Microsoft Copilot | Microsoft Copilot koji se upotrebljava s poslovnim ili školskim računom. |
Microsoft Defender Experts | Dio usluge Microsoft Defender Experts u oblaku. |
Microsoft Defender for Cloud Apps | Usluga u oblaku koja je dio značajke Microsoft Defender for Cloud Apps (stari naziv: Microsoft Cloud App Security). |
Usluge Microsoft Defender za krajnju točku | Dio o uslugama u oblaku za Microsoft Defender za krajnju točku. |
Microsoft Defender for Identity | Dio o uslugama u oblaku za Microsoft Defender for Identity. |
Microsoft Defender XDR | Dio o uslugama u oblaku zaštite Microsoft Defender XDR. |
Microsoft Sentinel | Dio o uslugama u oblaku za Microsoft Sentinel. |
Windows 365 | Usluge u oblaku koje su dio sustava Windows 365, isključujući operacijski sustav Windows koji se izvršava na Windows 365 PC-jevima u oblaku. |
Sigurnosni postupci i pravila za Osnovne online usluge
Osim sigurnosnih postupaka i pravila za Online usluge navedenih u DPA-u, svaka Osnovna online usluga mora biti u skladu i s kontrolnim standardima i okvirima prikazanim u tablici u nastavku te implementira i održava sigurnosne mjere navedene u Dodatku A DPA-a radi zaštite Korisničkih podataka.
Online usluga | SSAE 18 SOC 1 Vrsta II | SSAE 18 SOC 2 Vrsta II |
---|---|---|
Office 365 Services | Da | Da |
Usluge usklađenosti okruženja Microsoft 365 | Da | Da |
Microsoft Dynamics 365 Core Services | Da | Da |
Microsoft Azure Core Services | Varira* | Varira* |
Microsoft Intune Online Services | Da | Da |
Osnovne usluge za Microsoft Power Platform | Da | Da |
Microsoft Copilot | Da | Da |
Microsoft Defender Experts | Varira* | Varira* |
Microsoft Defender for Cloud Apps | Da | Da |
Usluge Microsoft Defender za krajnju točku | Da | Da |
Microsoft Defender for Identity | Da | Da |
Microsoft Defender XDR | Da | Da |
Microsoft Sentinel | Da | Da |
Windows 365 | Da | Da |
*Trenutačni opseg detaljno je opisan u revizijskom izvješću i ukratko naveden u Microsoftovu centru za pouzdanost.
Mjesto Korisničkih podataka u mirovanju za Osnovne online usluge
Za Osnovne Online usluge Microsoft će Korisničke podatke pohraniti u mirovanje unutar određenih velikih zemljopisnih područja (pojedinačno, „Zemljopisno područje”) kao što je navedeno u nastavku, osim ako drukčije nije određeno u Posebnim odredbama za Online usluge:
- Office 365 Services. Ako Klijent pruža usluge svojem korisniku u Australiji, Brazilu, Europskoj uniji, Francuskoj, Indiji, Japanu, Južnoafričkoj Republici, Južnoj Koreji, Kanadi, Kataru, Norveškoj, Njemačkoj, Švedskoj, Švicarskoj, Ujedinjenom Kraljevstvu, Ujedinjenim Arapskim Emiratima ili Sjedinjenim Američkim Državama, Microsoft će pohraniti sljedeće Korisničke podatke u mirovanje samo u tom Zemljopisnom području: (1) sadržaj poštanskog sandučića za Exchange Online (tijelo poruke e-pošte, unosi kalendara i sadržaj privitaka poruka e-pošte), (2) sadržaj web-mjesta SharePoint Online i datoteke pohranjene na tom web-mjestu, (3) datoteke prenesene na servis OneDrive za tvrtke, (4) poruke čavrljanja servisa Microsoft Teams (uključujući privatne poruke, poruke kanala, poruke sastanaka i slike upotrijebljene u čavrljanjima) te, za klijente koji upotrebljavaju Microsoft Stream (Classic) (na servisu SharePoint), snimke sastanaka i (5) sav pohranjen sadržaj interakcija s uslugom Microsoft 365 Copilot u mjeri u kojoj nije uključen u prethodne obveze. Ako klijent kupi pretplatu na Naprednu pohranu podataka, Microsoft će pohraniti određene Korisničke podatke u mirovanju na primjenjivoj geografskoj lokaciji u skladu s ovim odjeljkom i odjeljkom „Obaveze napredne pohrane podataka” dokumentacije proizvoda na web-mjestu https://aka.ms/adroverview.
- Microsoft Intune Online Services. Ako Klijent pruža korisnički račun usluge Microsoft Intune za implementaciju unutar dostupnog Zemljopisnog područja, onda će za tu uslugu Microsoft pohraniti Korisničke podatke u mirovanje unutar tog određenog Zemljopisnog područja, osim kako je navedeno u Centru za pouzdanost za Microsoft Intune.
- Osnovne usluge za Microsoft Power Platform. Ako Klijent pruža Osnovne usluge za Power Platform za implementaciju unutar dostupnog Zemljopisnog područja, onda će za tu uslugu Microsoft pohraniti Korisničke podatke u mirovanje unutar tog određenog Zemljopisnog područja, osim kako je opisano u Centru za pouzdanost za Microsoft Power Platform.
- Microsoft Azure Core Services. Ako Klijent konfigurira određenu uslugu za primjenu unutar jednog Zemljopisnog područja, Microsoft će, za tu uslugu, pohraniti Korisničke podatke u mirovanju u tom navedenom Zemljopisnom području. Za određene usluge Klijent možda neće moći konfigurirati implementaciju na određenom Zemljopisnom području ili izvan Sjedinjenih Američkih Država, a sigurnosne kopije možda će se pohranjivati na drugim lokacijama. Više pojedinosti potražite u Microsoftovu centru za pouzdanost (koji Microsoft može povremeno ažurirati, no neće dodavati iznimke za postojeće Usluge u općem izdanju).
- Microsoft Defender for Cloud Apps. Ako Klijent pruža klijentske usluge u Europskoj uniji ili Sjedinjenim Američkim Državama, Microsoft će pohraniti Korisničke podatke u mirovanju samo u tom Zemljopisnom području, osim kako je opisano u Centru za pouzdanost za Microsoft Defender for Cloud Apps.
- Microsoft Dynamics 365 Core Services. Ako Klijent pruža Dynamics 365 Core Service za implementaciju unutar dostupnog Zemljopisnog područja, onda će za tu uslugu Microsoft pohraniti Korisničke podatke u mirovanje unutar tog određenog Zemljopisnog područja, osim kako je opisano u Centru za pouzdanost Microsoft Dynamics 365.
- Usluge Microsoft Defender za krajnju točku. Ako Klijent pruža klijent za uslugu Microsoft Defender za krajnju točku za implementaciju unutar dostupnog Zemljopisnog područja, onda će za tu uslugu Microsoft pohraniti Korisničke podatke u mirovanje unutar tog određenog Zemljopisnog područja, osim kako je navedeno u Centru za pouzdanost za Microsoft Defender za krajnju točku.
- Microsoft Defender for Identity. Ako Klijent pruža klijent za uslugu Microsoft Defender for Identity za implementaciju unutar dostupnog Zemljopisnog područja, onda će za tu uslugu Microsoft pohraniti Korisničke podatke u mirovanje unutar tog određenog Zemljopisnog područja, osim kako je navedeno u Centru za pouzdanost za Microsoft Defender for Identity.
- Microsoft Defender XDR. Ako Klijent pruža klijenta za uslugu Microsoft Defender XDR za implementaciju unutar dostupnog Zemljopisnog područja, onda će za tu uslugu Microsoft pohraniti Korisničke podatke u mirovanje unutar tog određenog Zemljopisnog područja, osim kako je navedeno u Centru za pouzdanost za Microsoft Defender XDR.
- Windows 365. Kada se klijent sustava Windows 365 implementira unutar dostupne geografske lokacije, tada će za tog klijenta Microsoft pohraniti korisničke podatke u mirovanju unutar te navedene geografske lokacije. Ako Klijent dodijeli resurse PC-jeva u oblaku sustava Windows 365 unutar istog klijenta drugim dostupnim geografskim lokacijama, tada će Microsoft za svaki PC u oblaku pohraniti korisničke podatke PC-ja u oblaku u mirovanju unutar te navedene geografske lokacije.
Usluge podatkovne granice EU-a
Pojam „Podatkovna granica EU-a” označava računala, računalna okruženja i fizičke podatkovne centre tvrtke Microsoft koji se nalaze isključivo unutar Europske unije (EU) i Europskog udruženja za slobodnu trgovinu (EFTA). Pojam „Usluge podatkovne granice EU-a” odnosi se na Online usluge u tablici u nastavku, isključujući bilo kakve Pretpreglede.
Usluge podatkovne granice EU-a | |
---|---|
Azure | Usluge Azure koje omogućuju implementaciju u regiji unutar Podatkovne granice EU-a i sljedeće usluge koje nisu regionalne: Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, komunikacijske usluge Azure, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, uslugu Azure Kubernetes na Azure Stack HCI-ju, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager i Translator |
Dynamics 365 | Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Vodiči za Dynamics 365, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management |
Microsoft 365 | Customer Lockbox, Exchange Online, Exchange Online Archiving for Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (Classic) (na platformi SharePoint), Microsoft Teams, Microsoft To-Do, Office za web, Online usluge koje se pružaju u sklopu aplikacija sustava Microsoft 365, OneDrive za tvrtke, SharePoint Online, Sway, Whiteboard, Viva Engage, Microsoft 365 Copilot, Usklađenost komunikacija, eDiscovery and Audit, Insider Risk Management, Information Barriers, Sprječavanje gubitka podataka za Microsoft Purview, Microsoft Intune, Priva upravljanje rizikom za privatnost, Priva upravljanje pravima ispitanika, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft 365 Copilot for Sales i Microsoft Viva Topics |
Power Platform | Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages i Microsoft Copilot Studio |
Mjesto Korisničkih podataka u Uslugama podatkovne granice EU-a
Za Usluge podatkovne granice EU-a, Microsoft će Korisničke podatke i Podatke koji otkrivaju identitet osobe pohranjivati i obrađivati unutar Podatkovne granice EU-a kao što je navedeno u nastavku.
Klijent mora konfigurirati Usluge podatkovne granice EU-a na sljedeći način:
- Za Azure, Klijent mora implementirati uslugu u regiju Azure koja se nalazi unutar Podatkovne granice EU-a. Više informacija potražite u Mjestu pohrane podataka na platformi Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency). Za usluge koje ne omogućuju implementaciju u određenu regiju Azure, Klijent mora pratiti upute za Konfiguriranje usluga Azure koje nisu regionalne za Podatkovnu granicu EU-a (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
- Za Dynamics 365 i Power Platform, ako Klijent pripremi klijenta s adresom naplate unutar EU-a ili EFTA-e, na tog će se klijenta odnositi Podatkovna granica EU-a ako Klijent izradi i sva svoja okruženja unutar geografskog područja unutar Podatkovne granice EU-a.
- Za Microsoft 365, ako Klijent pripremi klijenta s adresom naplate unutar EU-a ili EFTA-e, na tog će se klijenta odnositi Podatkovna granica EU-a, osim za one klijente za koje je Klijent kupio i dodatak Microsoft 365 Multi-Geo Capabilities koji klijentima omogućuje proširenje prisutnosti klijenta Microsoft 365 na više geografskih regija i zemalja (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).
Upotreba Usluga podatkovne granice EU-a može rezultirati ograničenim prijenosima Korisničkih podataka ili Podataka koji otkrivaju identitet osobe izvan Podatkovne granice EU-a, kako je navedeno u nastavku i detaljnije objašnjeno u dokumentaciji o transparentnosti za Podatkovnu granicu EU-a koja se nalazi na web-mjestu https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn ili web-mjestu koje ga naslijedi. Svi će se takvi prijenosi izvršiti u skladu s Dopunom o zaštiti osobnih podataka i Odredbama za proizvod.
- Daljinski pristup. Microsoftovo osoblje koje se nalazi izvan Podatkovne granice EU-a može na daljinu pristupiti sustavima unutar Podatkovne granice EU-a, po potrebi za upravljanje, pronalaženje i rješavanje grešaka (engl. troubleshooting) i osiguranje Usluga podatkovne granice EU-a.
- Prijenosi koje aktivira Klijent. Klijenti mogu aktivirati prijenose izvan Podatkovne granice EU-a, primjerice pristupom Uslugama podatkovne granice EU-a s lokacija izvan Podatkovne granice EU-a, slanjem poruke e-pošte primatelju koji se nalazi izvan Podatkovne granice EU-a ili upotrebom Usluge podatkovne granice EU-a zajedno s drugim uslugama koje se ne nalaze unutar Podatkovnih granica EU-a.
- Zaštita Klijenata. Microsoft po potrebi prenosi ograničene podatke izvan Podatkovne granice EU-a za otkrivanje sigurnosnih prijetnji i zaštitu Klijenata od istih.
- Podaci direktorija. Microsoft može replicirati ograničene podatke direktorija Microsoft Entra iz Microsoft Entra ID-ja (uključujući korisničko ime i adresu e-pošte) izvan Podatkovne granice EU-a radi pružanja usluge.
- Mrežni prijenos. Kako bi se smanjilo vrijeme kašnjenja i održala otpornost usmjeravanja, Microsoft upotrebljava varijabilne mrežne putove koji povremeno mogu rezultirati prijenosom podataka izvan Podatkovne granice EU-a.
- Upravljanje kvalitetom usluga i platforme. Kada je to potrebno za nadzor kvalitete i održavanje usluge kako bi se osigurala točnost statističkih mjera upotrebe i performansi usluge, pseudonimizirani Podaci koji otkrivaju identitet osobe mogu se prenijeti izvan podatkovne granice EU-a.
- Prijenosi spеcifični za Uslugе. Pogledajte ranije spomenutu dokumentaciju transparentnosti kako biste saznali više o prijenosima koji se primjenjuju na određene Usluge podatkovne granice EU-a.