Integritets- och säkerhetsvillkor

Allmänt

Integritets- och säkerhetsvillkoren har tidigare ingått i Bilaga 1 till villkoren för Onlinetjänster.

Dataskyddstillägget, eller DPA (definieras i ordlistan) anger parternas skyldigheter beträffande behandling av och säkerhet för kunddata, data i professionella tjänster och personuppgifter med produkterna. Dataskyddstillägget kan hämtas här https://aka.ms/DPA. I händelse av konflikt eller bristande överensstämmelse mellan DPA och andra villkor i Kundens licensieringsavtal (inbegripet dessa villkor) ska DPA gälla.

Undantag för DPA

Integritets- och säkerhetsvillkoren i tabellen nedan ändrar eller kompletterar DPA för vardera av de angivna produkterna.

Produktfamilj	Onlinetjänst	Integritets- och säkerhetsvillkor
Microsoft Azure	Azure AI-tjänster	Tjänster i behållare Eftersom operativsystemmiljön för behållare som är installerade på Kundens reserverade maskinvara inte står under Microsofts kontroll gäller villkoren i DPA inte dessa behållare, utom i den mån a) personuppgifter samlas in i samband med en faktureringsslutpunkt, b) kunddata tillhandahålls Microsoft för anpassad modellutbildning före nedladdning av tjänsten som används i behållaren.
	Azure AI-tjänster	Konfigurationer och anpassade modeller för inaktiva tjänster För ändamålen datakvarhållning och -radering kan en konfiguration eller anpassad modell för tjänster som har varit inaktiv efter Microsofts eget gottfinnande behandlas som en Onlinetjänst för vilken Kundens prenumeration har upphört att gälla. En konfiguration eller en anpassad modell är inaktiv om följande gäller för en period på 90 dagar (1) inga samtal görs till den, (2) den har inte ändrats och har ingen aktuell nyckel tilldelad sig (3) Kunden har inte loggat in på den.
	Multimolnskanningskopplingar för Microsoft Purview	För att möjliggöra interoperabilitet med Kundens distributioner hos andra molnleverantörer kan Microsoft i sådana andra moln ha vissa frivilliga och diskreta dataskanningsfunktioner för Kundens data som sådana moln är värd för (”Multimolnskanningskopplingar för Microsoft Purview”). Microsoft ska i sin dokumentation ange hur Kunden kan aktivera och använda Multimolnskanningskopplingar för Microsoft Purview. För tydlighets skull är Multimolnskanningskopplingar för Microsoft Purview ett separat tillägg till Microsoft Purview. Multimolnskanningskopplingar för Microsoft Purview är inte en Microsoft Azure Core-tjänst, och följande avsnitt i DPA gäller inte för Multimolnskanningskopplingar för Microsoft Purview: "Utbildningsinstitutioner", "CJIS-kundavtal", "HIPAA Business" och "Bilaga A – Säkerhetsåtgärder". Vad avser endast Multimolnskanningskopplingar för Microsoft Purview är följande ändringar i DPA tillämpliga: Dataåtkomst: Microsoft använder åtkomstmekanismer med lägsta behörighet för att kontrollera åtkomst till kunddata (inklusive eventuella personuppgifter som dessa innehåller). Microsoft tillämpar rollbaserade åtkomstkontroller för att säkerställa att Microsofts åtkomst till kunddata som är nödvändiga för drift av tjänster har ett tillämpligt syfte och har godkänts under ledningens uppsikt. Granskning av efterlevnad: Microsofts åtaganden i avsnittet Granskning av efterlevnad i DPA omfattar inte datorer, datormiljöer eller fysiska datacenter tillhörande tredje man som används av multimolnskanningskopplingarna för Microsoft Purview. Standardvillkor för dataskydd som erbjuds av dessa andra molnleverantörer reglerar din användning av Multimolnskanningskopplingar för Microsoft Purview medan dessa andra moln är värd för tillägget.
	Visual Studio App Center	Sekretesspolicyn som finns på https://aka.ms/actestprivacypolicy är tillämplig på Kundens användning av Visual Studio App Center-test. Kunden får inte använda Visual Studio App Center-test för lagring eller behandling av personuppgifter.
	SQL-hanterad instans aktiverad av Azure Arc	Villkoren i DPA är inte tillämpliga på databehandling i SQL-hanterad instans aktiverad av Azure Arc som körs i en miljö som Microsoft inte råder över, utom i den mån personuppgifter samlas in för att möjliggöra Azure-hanteringstjänster och för mätning av användning för faktureringsändamål.
	Microsoft Genomics	Microsofts sekretesspolicy som finns på https://aka.ms/privacy är tillämplig på Kundens användning av Microsoft Genomics och inte DPA, med undantaget att detta Microsoft Genomics-avsnitt har företräde i den utsträckning det står i konflikt med Microsofts sekretesspolicy. Licensvillkor för Broad Microsoft Genomics innefattar åtkomst till Genetic Analysis Toolkit (GATK) från Broad Institute, Inc. (”Broad”). Användning av GATK och eventuell tillhörande dokumentation som en del av Microsoft Genomics är också underkastad Broads GATK-slutanvändarlicensavtal (”Broad EULA” som finns här https://software.broadinstitute.org/gatk/eula/index?p=Azure). Microsoft får samla in och till Broad lämna ut viss statistisk och teknisk information avseende Kundens användning av GATK. Kunden ger Microsoft behörighet att till Broad rapportera Kundens status som användare av GATK i Microsoft Genomics.
	Azure SQL Edge	Villkoren i DPA är inte tillämpliga på Azure SQL Edge som är installerat på Kundens IoT-enhet, utom i den mån eventuella personuppgifter samlas in för att möjliggöra Azure-hanteringstjänster och för mätning av användning för faktureringsändamål, eftersom driftmiljön för sådana IoT-enheter inte står under Microsofts kontroll.
	Azure Local	Microsoft är personuppgiftsansvarig för personuppgifter när kunder aktiverar insamling av Windows-diagnostikdata enligt beskrivningen i produktdokumentationen. När Microsoft är personuppgiftsansvarig hanterar Microsoft dessa personuppgifter enligt Microsofts sekretesspolicy på aka.ms/privacy, och villkoren i DPA är inte tillämpliga.
	Azure Stack Hub	Microsoft är personuppgiftsbiträde för personuppgifter när kunder aktiverar insamling av Windows-diagnostikdata enligt beskrivningen i produktdokumentationen. När Microsoft är personuppgiftsansvarig hanterar Microsoft dessa personuppgifter enligt Microsofts sekretesspolicy på aka.ms/privacy, och villkoren i DPA är inte tillämpliga. Om en Microsoft Cloud- eller Microsoft Customer-avtalskund använder programvara eller tjänster för Microsoft Azure Stack Hub som en Återförsäljare är värd för är sådan användning underkastad Återförsäljarens integritetspraxis, som kan skilja sig från Microsofts.
	Azure VMware Solution	Överföring av Data i professionella tjänster till VMware Om kunden kontaktar Microsoft för teknisk support för Azure VMware Solution och Microsoft måste anlita VMware för att få hjälp med problemet, överför Microsoft Data i professionella tjänster och de Personuppgifter som supportärendet innehåller till VMware. Överföringen sker enligt villkoren i Överföringsavtalet för support mellan VMware och Microsoft, som fastställer Microsoft och VMware som oberoende behandlare av Data i professionella tjänster. Innan någon överföring av Data i professionella tjänster sker till VMware kommer Microsoft att erhålla och registrera samtycke till överföringen från kunden. Databehandlingsavtal för VMware När Data i professionella tjänster har överförts till VMware (enligt avsnittet ovan) kommer behandlingen av Data i professionella tjänster, inklusive Personuppgifterna som supportärendet innehåller, från VMware som en oberoende behandlare att regleras av Databehandlingsavtal för VMware för Microsoft AVS Kunder överförda för L3-support (https://docs.broadcom.com/doc/global-customers-dpa). Kunden auktoriserar också sin(a) representant(er) som begär teknisk support för Azure VMware Solution att ge Microsoft samtycke för sin räkning till överföring av Data i professionella tjänster till VMware.
Bing	Bing	Dataskyddstillägget är inte tillämpligt på Bing söktjänster eller annan användning av Bing inom en produkt. För eventuella komponenter i en produkt som drivs av Bing, enligt vad framgår av produktdokumentationen, är Microsofts sekretesspolicy (https://privacy.microsoft.com/privacystatement) tillämplig.
Bing	Bing Maps	Integritetsskydd för Bing Maps Microsofts integritetspolicy (finns på https://go.microsoft.com/fwlink/?LinkId=521839) och integritetsvillkor i Villkor för användning för Microsoft Bing Maps Platform API gäller för Kundens användning av Bing Maps och Bing Maps Mobile Asset Management Platform.
GitHub	GitHub-utbud	Utan hinder av något motsatt som anges i Kundens volymlicensieringsavtal (inklusive dessa produktvillkor och DPA) gäller GitHubs sekretesspolicy som finns på https://aka.ms/github_privacy och GitHubs Dataskyddsavtal som finns på https://aka.ms/github_dpa för Kundens användning av GitHub-erbjudanden, inbegripet GitHub Enterprise-licensierad fristående eller som Visual Studio Enterprise eller Professional med GitHub Enterprise.
Office 365-tjänster	Office 365 Education	Om Kunden är bosatt utanför EU eller EFTA, och Kunden har ett Office 365 Education-prenumeration, men inte har köpt tillägg med Advanced Data Residency för Education, får Microsoft utan hinder av avsnittet om ”Plats för vilande kunddata för centrala Onlinetjänster” i produktvillkoren tillhandahålla Kundens Office 365 Education-klientorganisation i, överföra kunddata till, samt lagra vilande kunddata till valfri plats i Europeiska unionen eller Nordamerika. Om Kunden är bosatt inom EU eller EFTA och Kunden har en Office 365 Education-prenumeration, men inte har köpt tillägg med Advanced Data Residency för Education, får Microsoft utan hinder av avsnittet ”Plats för vilande kunddata i centrala Onlinetjänster” i produktvillkoren tillhandahålla kundens Office 365 Education-klientorganisation i, överföra kunddata till, samt lagra vilande kunddata till valfri plats inom Europeiska unionen.
Microsoft Dynamics 365-tjänster	Dynamics 365 Business Central och Dynamics 365 Finance i Danmark	Bokföringslagar och -bestämmelser Dessa villkor är endast tillämpliga på Kunder som har en organisation i Danmark, enligt krav i bokföringslagen. DPA reglerar hur Microsoft hanterar Kunddata i Dynamics 365 Business Central och Dynamics 365 Finance, utom för kvarhållning, borttagning och utlämnande av bokföringsmaterial. I händelse av konflikt eller bristande överensstämmelse mellan DPA och andra villkor i Kundens licensieringsavtal ska dessa villkor gälla. Definitioner Med ”bokföringsmaterial” avses alla dokument som omfattar bokföring, inbegripet eventuella registrerade transaktioner samt kvitton och andra data (inklusive personuppgifter) för en organisation som Kunden tillhandahåller eller som tillhandahålls för Kundens räkning i ett digitalt bokföringssystem av standardtyp, enligt krav i bokföringslagen. Med ”bokföringslagen” avses den danska bokföringslagen av den 24 maj 2022, och eventuella utfärdade direktiv som reglerar organisationers bokförings- och redovisningsskyldigheter samt leverantörer av digitala bokföringssystem av standardtyp i Danmark. Med ”Dansk myndighet” avses en (i) dansk offentlig myndighet som äger rätt att granska en organisation och begära dennas bokföringsmaterial enligt bokföringslagen eller andra relevanta lagar, (ii) likvidator, konkursförvaltare eller rekonstruktör som har övertagit ledningen av organisationen. Med ”digitalt bokföringssystem av standardtyp” avses en digital tjänst eller programvara som innehåller funktioner som ger organisationer möjlighet att bokföra och lagra bokföringsmaterial, eller åtminstone en komplett säkerhetskopia av detta på en server som leverantören eller annan tredje man är värd för enligt bokföringslagens bestämmelser och normer. Lagring och borttagning av bokföringsmaterial Genom att använda Dynamics 365 Business Central eller Dynamics 365 Finance godkänner Kunden att Microsoft eller dess koncernbolag i enlighet med deras rättsliga skyldigheter får kopiera, lagra och kvarhålla Kundens bokföringsmaterial i fem år från slutet av räkenskapsåret för de relaterade bokförda transaktionerna och kvittona (”kvarhållningsperiod”), även om Kunden byter bokföringssystem, går i konkurs eller likvideras, enligt krav i bokföringslagen. Microsoft ska lagra Kundens vilande bokföringsmaterial i ett Microsoft-administrerat lagringsutrymme på samma ställe som den primära datorutrustningen som behandlar kunddata för dessa tjänster eller Europeiska unionen. Under kvarhållningsperioden får Kunden inte tillgå, göra utdrag ur eller radera något av dennas bokföringsmaterial från detta lagringsutrymme. Microsoft ska tillämpa samma säkerhetsåtgärder för att skydda Kundens bokföringsmaterial som de som tillämpas för att skydda andra kunddata. Efter kvarhållningsperiodens slut ska Microsoft radera Kundens bokföringsmaterial. Microsoft ansvarar inte för raderingen av Kundens bokföringsmaterial. Utlämnande av bokföringsmaterial Microsoft ska till danska myndigheter lämna ut eller ge tillgång till Kundens bokföringsmaterial om nödvändigt för att tillgodose begäran om sådant utlämnande, enligt krav i bokföringslagen. Andra data som en kund lagrar i dessa digitala bokföringssystem av standardtyp är inte underkastade utlämnande. Danska myndigheter har endast rätt att begära bokföringsmaterial från leverantörer av digitala bokföringssystem av standardtyp om informationen inte kan inhämtas direkt från organisationen. Microsoft ansvarar inte för utlämnandet av Kundens bokföringsmaterial till dansk myndighet.
Microsoft Dynamics 365-tjänster	Microsoft Relationship Sales	LinkedIn Sales Navigator LinkedIn Sales Navigator tillhandahålls av LinkedIn Corporation. Kunden får endast använda tjänsten LinkedIn Sales Navigator för att generera säljleads. Varje användare av LinkedIn Sales Navigator måste vara LinkedIn-medlem och godkänna att bindas av LinkedIn-användaravtalet som finns på https://www.linkedin.com/legal/preview/user-agreement. Oavsett om något motsatt anges i Kundens volymlicensieringsavtal (inklusive dessa produktvillkor) är LinkedIns sekretesspolicy som finns på https://www.linkedin.com/legal/privacy-policy tillämplig på Kundens användning av tjänsten LinkedIn Sales Navigator. LinkedIn Corporation (som personuppgiftsbiträde) och Kunden (som personuppgiftsansvarig) ska efterleva villkoren i LinkedIn-databehandlingsavtalet som finns på https://legal.linkedin.com/dpa.
Microsoft 365	Gamla Glint-tjänster	Kundens åtkomst till och användning av gamla Glint-tjänster regleras av de villkor som anges i Kundens senast aktiva LinkedIn-beställningsformulär för gamla Glint-tjänster. Inga Microsoft-villkor, inklusive, men inte begränsat till, Microsoft Produktvillkor, DPA eller avtal mellan Kunden och Microsoft är tillämpliga på gamla Glint-tjänster.
Andra Onlinetjänster	Microsoft Intune	Om appen Intune-företagsportal används för att hantera enheter är de villkor som är tillämpliga på Microsoft Intune-onlinetjänster (enligt definitionen i tabellen Centrala Onlinetjänster i dessa säkerhets- och integritetsvillkor) tillämpliga på användningen av appen Intune-företagsportal. Microsofts åtaganden avseende Intune Company Portal App omfattar inte tredjepartsleverantörers databehandling, policyer eller metoder för deras mobilplattformar på vilka Intune Company Portal App körs (t.ex. Apple eller Google).
Andra Onlinetjänster	Hanterade enheter och program	Microsoft Hanterat skrivbord (MMD) integrerar data (däribland kunddata) mellan andra Microsoft-produkter, däribland Windows, Microsoft Entra ID, Microsoft Intune, Microsoft Defender for Endpoint, Office och Onlinetjänster enligt Kundens konfiguration, om tillämpligt (benämns gemensamt ”MMD Integrated Services” i detta villkor). Data som har överförts mellan MMD Integrated Services regleras av de produktvillkor som är tillämpliga på den tjänst de finns i.

Produktfamilj	Programvaruprodukt	Integritets- och säkerhetsvillkor
Infrastruktur och andra servrar	Azure FXT Edge Filer	Datainsamling Dataskyddstillägget gäller för produkten med undantag för (1) uttalandet i DPA om efterlevnad av ISO 27001, ISO 27002, och ISO 27018 gäller inte, och (2) användning av alla data som behandlas av Internetbaserade funktioner regleras av Microsofts sekretesspolicy (aka.ms/privacy) och inte DPA, såvida inte andra villkor medföljer sådana Internetbaserade funktioner.
SQL Server	SQL Server	Datainsamling Dataskyddstillägget gäller för produkten med undantag för (1) uttalandet i DPA om efterlevnad av ISO 27001, ISO 27002, och ISO 27018 gäller inte, och (2) användning av alla data som behandlas av Internetbaserade funktioner regleras av Microsofts sekretesspolicy (aka.ms/privacy) och inte DPA, såvida inte andra villkor medföljer sådana Internetbaserade funktioner.
Visual Studio	Visual Studio-prenumerationer	Datainsamling Dataskyddstillägget gäller för produkten med undantag för (1) uttalandet i DPA om efterlevnad av ISO 27001, ISO 27002, och ISO 27018 för behandlade data gäller inte, och (2) användning av alla data som behandlas av Internetbaserade funktioner regleras av Microsofts integritetspolicy (aka.ms/privacy) och inte DPA, såvida inte andra villkor medföljer sådana Internetbaserade funktioner. Information om anslutna funktioner i Visual Studio, däribland hur sådana funktioner inaktiveras, finns här: https://docs.microsoft.com/visualstudio/ide/reference/connected-experiences?view=vs-2019.
Windows desktop-operativsystem	Windows desktop-operativsystem	Konfiguration av personuppgiftsbiträde för Windows-diagnostikdata För versioner av Windows 10/11 Enterprise, Pro och Education som har stöd för en konfiguration av personuppgiftsbiträde för Windows-diagnostikdata är Microsoft personuppgiftsbiträde för Windows-diagnostikdata som samlas in från en enhet där sådan konfiguration ställs in. Denna konfiguration ställs in genom att ansluta ett Microsoft Entra ID-konto till enheten och vidta andra eventuella åtgärder som anges i produktdokumentationen (www.aka.ms/wddprocessor). Med undantag för det som anges ovan fortsätter Microsoft att vara Personuppgiftsansvarig för uppgifter som behandlas i samband med din användning av Windows, inklusive uppgifter som behandlas av Microsoft i samband med Kundens användning av tjänstebaserade resurser. När Microsoft är personuppgiftsansvarig hanterar Microsoft personuppgifterna enligt Microsofts sekretesspolicy (www.aka.ms/privacy), och villkoren i Dataskyddstillägget (www.aka.ms/DPA) gäller inte.
Windows Server	Windows Multipoint Server, Windows Server Standard, Datacenter och Essentials	Databehandling i Windows Server-produkter Microsoft är personuppgiftsansvarig för de personuppgifter som behandlas i samband med din användning av Windows Server-produkter. När Microsoft är personuppgiftsansvarig hanterar de dessa personuppgifter enligt Microsofts sekretesspolicy (aka.ms/privacy), och villkoren i Dataskyddstillägget gäller inte. Se produktdokumentationen för information om eventuell behandling av personuppgifter i samband med Windows Server-produkter och Kundens konfigurationsalternativ.

Programvaruprodukter som är uteslutna från DPA

Med undantag för vad som anges i de produktspecifika villkoren gäller villkoren i DPA inte för: Internetbaserade funktioner i programvaruprodukter, Windows desktop-operativsystem, Windows Server och dessa programvaruprodukter som del av andra produkter. Var och en av dessa produkter regleras av sekretess- och säkerhetsvillkoren i tillämpliga produktspecifika villkor.

Produkter som inte härrör från Microsoft

Separata villkor, inklusive olika sekretess- och säkerhetsvillkor, reglerar Kundens användning av produkter som inte härrör från Microsoft (enligt definitionen i Universella licensvillkor för Onlinetjänster).

Geografiska undantag för DPA-villkor

För Dynamics 365 och Power Platform-Onlinetjänster gäller inte de specifika DPA-villkoren såsom anges i Tillägg A med lydelsen ”Microsoft lagrar kopior av kunddata och dataåterställningsrutinerna på ett annat ställe än där den primära datorutrustningen som behandlar kunddata finns.” i följande geografiska områden: Förenade Arabemiraten och Sydafrika.

Centrala Onlinetjänster

Termen ”centrala Onlinetjänster” avser endast tjänsterna i tabellen nedan, utom eventuella förhandsversioner.

Onlinetjänster
Microsoft Dynamics 365 Core-tjänster	Följande tjänster, som fristående tjänst eller som ingår i en Dynamics 365-plan eller en Dynamics 365-applikation: Dynamics 365 Contact Center, Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations och Dynamics 365 Sales. Dynamics 365 Core-tjänster innefattar inte (1) Dynamics 365 Services för enheter eller programvara som stöds, inklusive, men inte begränsat till, Dynamics 365 för appar, surfplattor, telefoner, eller något av följande: (2) LinkedIn Sales Navigator, (3) andra separata tjänstvarumärken som görs tillgängliga med eller i anslutning till Dynamics 365 Core-tjänster, med undantag för vad som uttryckligen definieras i licensvillkoren för respektive tjänst.
Office 365-tjänster	Följande tjänster, vardera som fristående tjänst eller som del av en Office 365- eller Microsoft 365-plan eller -svit: Customer Lockbox, Exchange Online Archiving, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (klassisk), Microsoft Teams, Microsoft To-Do, Microsoft Defender för Office 365, Office på webben, OneDrive för företag, Project, SharePoint, Sway, Viva Insights, Whiteboard, Viva Engage och Microsoft 365 Copilot. Office 365-tjänster innefattar inte Microsoft 365-appar för företag, någon del av en PSTN-tjänst som används utanför Microsofts kontroll, någon klientprogramvara eller tjänster under separata varumärken som görs tillgängliga med en Office 365- eller Microsoft 365-plan eller -svit, t.ex. en Bing-tjänst eller en tjänst märkt ”för Office 365”.
Microsoft 365 Compliance Services	Följande tjänster, vardera som fristående tjänst eller som en del av en Microsoft 365-plan eller -svit: Microsoft Purview Customer Lockbox, Microsoft Purview Data Loss Prevention, Kundnyckel i Microsoft Purview, Livscykelhantering av data i Microsoft Purview, Microsoft Purview Information Barriers, Microsoft Purview Privileged Access Management, Microsoft Purview Compliance Manager, Microsoft Purview Information Protection, Microsoft Information Governance, Microsoft Purview-Insider Risk Management, Microsoft Purview Communication Compliance, Hantering av arkivhandlingar i Microsoft Purview, Microsoft Purview eDiscovery och Microsoft Purview Granskning, Priva hantering av sekretessrisker och Priva begäranden från registrerad person.
Microsoft Azure Core-tjänster	Azure AI, Azure AI Content Safety, Azure Active Directory B2C, Anomaly Detector, API Management, App Service (API-appar, Logic-appar, Mobilappar, WebJobs, Functions), Lab Services, Application Gateway, Azure Monitor, Automation, Azure API for FHIR, Azure App Configuration, Azure Bastion, Azure AI Bot Service, Azure Cache för Redis, Azure AI Search, Azure Communication Services, Azure Container-appar, Azure Container-instanser, Azure-containerregister (ACR), Azure Cosmos DB, Azure Data Explorer, Azure Database för MySQL, Azure Database för PostgreSQL, Azure Databricks, Azure DDOS Protection, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Azure Firewall, Azure AI Document Intelligence, Azure Health Data Services, Azure AI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure AI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Microsoft Purview Data Map (klassisk), Microsoft Purview Data Catalog (klassisk), Microsoft Purview Data Estate Insights (klassisk), Microsoft Purview Data Policies (klassisk), Microsoft Purview Data Sharing, Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure AI Video Indexers, Azure Web PubSub, Backup, Batch, Cloud Services, Computer Vision, Content Moderator, Azure AI Custom Vision, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, HDInsight, Import/Export, IoT Hub, Key Vault, Language Understanding, Load Balancer, Azure Machine Learning Studio (classic), Media Services, Microsoft Azure Portal, Notification Hubs, Azure AI Personalizer, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Service Bus, Service Connector, Service Fabric, Azure SignalR Service, Site Recovery, Speech Services, SQL Database, SQL Managed Instance, SQL Server Stretch Database, Storage, StorSimple, Stream Analytics, Synapse Analytics, Text Analytics, Traffic Manager, Azure AI Translator, Virtual Machines, Virtual Machine Scale Sets, Virtual Network och VPN Gateway.
Microsoft Intune Onlinetjänster	Molntjänstdelen av Microsoft Intune.
Microsoft Power Platform Core-tjänster	Följande tjänster, vardera som fristående tjänst eller som del av en Office 365- eller Microsoft Dynamics 365-plan eller -svit: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages och Microsoft Copilot Studio. Microsoft Power Platform Core-tjänster omfattar ingen klientprogramvara, inklusive, men inte begränsat till, Power BI Report Server, Power BI, PowerApps eller Microsoft Power Automate-mobilappar, Power BI Desktop eller Power Apps Studio.
Microsoft 365 Copilot Chat	Microsoft 365 Copilot Chat, som används med ett arbets- eller skolkonto.
Microsoft 365 Copilot for Sales	Microsoft 365 Copilot för försäljning.
Microsoft Defender Experts	Molntjänstdelen av Microsoft Defender Experts.
Microsoft Defender for Cloud Apps	Molntjänstdelen av Microsoft Defender for Cloud Apps (tidigare Microsoft Cloud App Security).
Microsoft Defender for Endpoint Services	Molntjänstdelen av Microsoft Defender for Endpoint.
Microsoft Defender for Identity	Molntjänstdelen av Microsoft Defender for Identity.
Microsoft Defender XDR	Molntjänstdelen av Microsoft Defender XDR.
Microsoft Sentinel	Molntjänstdelen av Microsoft Sentinel.
Windows 365	Molntjänstdelen i Windows 365, exklusive Windows-operativsystemet som körs på Windows 365 Molnbaserade datorer.

Säkerhetsförfaranden och säkerhetspolicyer för Centrala Onlinetjänster

Utöver de säkerhetsrelaterade metoder och policyer för Onlinetjänster som anges i DPA uppfyller varje central Onlinetjänst dessutom de kontrollstandarder och ramverk som visas i tabellen nedan, och inför och upprätthåller de säkerhetsåtgärderna som anges i bilaga A i DPA för skydd av kunddata.

Onlinetjänst	SSAE 18 SOC 1 Typ II	SSAE 18 SOC 2 Typ II
Office 365-tjänster	Ja	Ja
Microsoft 365 Compliance Services	Ja	Ja
Microsoft Dynamics 365 Core-tjänster	Ja	Ja
Microsoft Azure Core-tjänster	Varierar*	Varierar*
Microsoft Intune Onlinetjänster	Ja	Ja
Microsoft Power Platform Core-tjänster	Ja	Ja
Microsoft 365 Copilot Chat	Ja	Ja
Microsoft 365 Copilot for Sales	Ja	Ja
Microsoft Defender Experts	Varierar*	Varierar*
Microsoft Defender for Cloud Apps	Ja	Ja
Microsoft Defender for Endpoint Services	Ja	Ja
Microsoft Defender for Identity	Ja	Ja
Microsoft Defender XDR	Ja	Ja
Microsoft Sentinel	Ja	Ja
Windows 365	Ja	Ja

*Aktuell omfattning beskrivs i granskningsrapporten och sammanfattas i Microsoft Trust Center.

Plats för vilande kunddata för Centrala Onlinetjänster

Vad gäller centrala Onlinetjänster ska Microsoft lagra vilande kunddata inom vissa större geografiska områden (vardera ett geografiskt område) enligt följande, såvida inget annat anges i de särskilda villkoren för Onlinetjänsten:

Office 365-tjänster. Om Kunden förser sin klientorganisation i Australien, Brasilien, Kanada EU, Frankrike, Tyskland, Indien, Japan, Norge, Qatar, Sydafrika, Sydkorea, Sverige, Schweiz, Storbritannien, Förenade Arabemiraten eller USA ska Microsoft lagra följande vilande kunddata endast inom det geografiska området: (1) Exchange Online-postlådeinnehåll (e-postinnehåll, kalenderposter och innehållet i e-postbilagor), (2) SharePoint Online-webbplatsinnehåll och filer som lagras inom den webbplatsen, (3) filer som överförs till OneDrive for Business, (4) Microsoft Teams-chattmeddelanden (inklusive privata meddelanden, kanalmeddelanden, mötesmeddelanden och bilder som används i chattar), och för kunder som använder Microsoft Stream (Klassisk) (på SharePoint), inspelningar av möten, och (5) eventuellt lagrat innehåll från interaktioner med Microsoft 365 Copilot i den utsträckning som inte omfattas av föregående åtaganden. Om Kunden köper en Advanced Data Residency-prenumeration lagrar Microsoft vissa vilande Kunddata i tillämpligt Geografiskt område i enlighet med detta avsnitt och avsnittet ”Advanced Data Residency-åtaganden” i produktdokumentationen på https://aka.ms/adroverview.
Microsoft Intune Onlinetjänster. När Kunden tillhandahåller ett klientorganisationskonto för Microsoft Intune för distribution inom ett tillgängligt geografiskt område ska Microsoft för den tjänsten lagra vilande kunddata i det angivna geografiska området, med undantag för vad som anges i Microsoft Intune Trust Center.
Microsoft Power Platform Core Services. När Kunden tillhandahåller en Power Platform Core-tjänst för distribution inom ett tillgängligt geografiskt område ska Microsoft för den tjänsten lagra vilande kunddata i det angivna geografiska området, med undantag för vad som anges i Microsoft Power Platform Trust Center.
Microsoft Azure Core Services. Om Kunden konfigurerar en särskild tjänst som ska distribueras inom ett geografiskt område ska Microsoft för den tjänsten lagra vilande kunddata inom det angivna geografiska området. Med vissa tjänster kan det hända att Kunden inte kan konfigurera distributionen i ett särskilt geografiskt område eller utanför USA, och att säkerhetskopior lagras på andra platser. Se Microsoft Trust Center (som Microsoft får uppdatera från tid till annan, men Microsoft ska däremot inte lägga till undantag för befintliga Tjänster som är allmänt tillgängliga) för mer information.
Microsoft 365 Copilot för försäljning. När Microsoft 365 Copilot för försäljning genererar kunddata, och om en Kund tilldelar en Dynamics 365 Core-tjänst för distribution inom ett tillgängligt geografiskt område, lagras dessa kunddata vilande i det angivna geografiska området, med undantag för vad som anges i Microsoft Dynamics 365 Trust Center. När Microsoft 365 Copilot för försäljning genererar kunddata, och en Kund använder ett system från tredje man för hantering av kundrelationer, lagrar Microsoft 365 Copilot för försäljning dessa kunddata vilande i enlighet med var Kunden har tilldelat sin klientorganisation enligt beskrivningen ovan, i Office 365-tjänster. Underliggande kunddata med anknytning till Office 365-tjänster och Microsoft Dynamics 365 (och som inte genererats av Microsoft 365 Copilot för försäljning) är alltjämt underkastade respektive uttalanden ovan angående dessa tjänster.
Microsoft Defender for Cloud Apps. Om Kunden förser sin klient i EU eller USA kommer Microsoft att lagra vilande kunddata endast inom det geografiska området, med undantag för vad som beskrivs i Microsoft Defender for Cloud Apps Trust Center.
Microsoft Dynamics 365 Core-tjänster. När Kunden tillhandahåller en Dynamics 365 Core-tjänst för distribution inom ett tillgängligt geografiskt område ska Microsoft för den tjänsten lagra vilande kunddata i det angivna geografiska området, med undantag för vad som anges i Microsoft Dynamics 365 Trust Center.
Microsoft Defender for Endpoint Services. När Kunden förser en klientorganisation för Microsoft Defender for Endpoint för distribution inom ett tillgängligt geografiskt område ska Microsoft för den tjänsten lagra vilande kunddata i det angivna geografiska området, med undantag för vad som anges i Microsoft Defender for Endpoint Trust Center.
Microsoft Defender for Identity. När Kunden förser en klientorganisation för Microsoft Defender for Identity för distribution inom ett tillgängligt geografiskt område ska Microsoft för den tjänsten lagra vilande kunddata i det angivna geografiska området, med undantag för vad som anges i Microsoft Defender for Identity Trust Center.
Microsoft Defender XDR. När Kunden förser en Microsoft Defender XDR-klientorganisation som ska distribueras inom ett tillgängligt geografiskt område ska Microsoft för den tjänsten lagra vilande kunddata i det angivna geografiska området, med undantag för vad som anges i Microsoft Defender XDR Trust Center.
Windows 365. När en Windows 365-klientorganisation distribueras inom ett tillgängligt geografiskt område ska Microsoft för den klientorganisationen lagra vilande kunddata inom det specifika geografiska området. Om Kunden tillhandahåller Windows 365 molnbaserade datorer inom samma klientorganisation i olika tillgängliga geografiska områden ska Microsoft lagra molnbaserade datorers vilande kunddata inom det specifika geografiska området.

EU-datagränstjänster

Termen ”EU-datagräns” avser de Microsoft-datorer, databehandlingsmiljöer och fysiska datacenter som enbart är belägna inom Europeiska unionen (EU) och Europeiska frihandelssammanslutningen (EFTA). Termen ”EU-datagränstjänster” gäller endast Onlinetjänsterna i tabellen nedan, utom eventuella förhandsversioner.

EU-datagränstjänster
Azure	Azure-tjänster som möjliggör distribution inom EU-datagränsen och följande icke regionala tjänster: Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, Azure Communication Services, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Azure Kubernetes Service på Azure Local, Azure Lighthouse, Azure Managed Applications, Azure Migrate, Azure Monitor, Azure Resource Manager, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Local, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager, Translator
Dynamics 365	Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management
Microsoft 365	Cloud PC, Customer Lockbox, Exchange Online, Exchange Online Archiving för Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (Klassisk) (på SharePoint), Microsoft Teams, Microsoft To-Do, Office på webben, Onlinetjänster som ingår i Microsoft 365-applikationer, OneDrive for Business, SharePoint Online, Sway, Whiteboard, Viva Engage, Microsoft 365 Copilot, Microsoft 365 Copilot Chat, Communications Compliance, eDiscovery och Audit, Insider Risk Management, Information Barriers, Dataförlustskydd i Microsoft Purview, Microsoft Intune, Priva Privacy Risk Management, Priva Subject Rights Management, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning och Microsoft Viva Pulse
Microsoft 365 Copilot for Sales	Microsoft 365 Copilot for Sales
Power Platform	Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio

Platsen för kunddata, personuppgifter och professionella tjänster för EU-datagränstjänster

För EU-datagränstjänster ska Microsoft lagra och behandla kunddata och personuppgifter, samt lagra data i Professionella tjänster som är vilande inom EU-datagränsen enligt vad som anges nedan.

Kunden måste konfigurera EU-datagränstjänster enligt följande:

För Azure måste Kunden distribuera tjänsten till en Azure-region som är belägen inom EU-datagränsen. Se Data Residency in Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency) för närmare information. För tjänster som inte möjliggör distribution till en viss Azure-region måste Kunden följa instruktionerna i Configuring Azure non-regional services for the EU Data Boundary (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services). För lagring av data i Professionella tjänster inom EU-datagränsen för Azure måste Kunden konfigurera Azure Resource Manager till EU-datagränsen enligt beskrivningen i https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services.
För Dynamics 365 och Power Platform, om Kunden förser en klientorganisation med faktureringsadress inom EU eller EFTA omfattas den klientorganisationen av EU-datagränsen om Kunden också skapar alla sina miljöer i ett geo-område innanför EU-datagränsen.
För Microsoft 365, om Kunden förser en klientorganisation med faktureringsadress inom EU eller EFTA omfattas den klientorganisationen av EU-datagränsen, utom de klientorganisationer där Kunden också har köpt Microsoft 365 Multi-Geo Capabilities -tillägget som ger kunder möjlighet att expandera Microsoft 365-klientorganisationsnärvaro till flera geografiska regioner eller länder (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).
För Microsoft 365 Copilot för försäljning-kunder som använder Dynamics 365, och där Microsoft 365 Copilot för försäljning genererar kunddata, är uttalandena ovan angående Dynamics 365 och Power Platform tillämpliga på lagring och behandling av sådana kunddata. För Microsoft 365 Copilot för försäljning-kunder som använder system från tredje man för hantering av kundrelationer, och där Microsoft 365 Copilot för försäljning genererar kunddata, är uttalandena ovan angående Microsoft 365 tillämpliga på lagring och behandling av sådana kunddata. Underliggande kunddata och personuppgifter med anknytning till Microsoft 365 och Dynamics 365 och Power Platform (och som inte genererats av Microsoft 365 Copilot för försäljning) är alltjämt underkastade respektive uttalanden ovan angående Microsoft 365 och Dynamics 365 och Power Platform.

Användning av EU-datagränstjänster kan medföra begränsad överföring av kunddata, personuppgifter eller data i professionella tjänster utanför EU-datagränsen såsom anges nedan och vidare beskrivs i transparensdokumentationen för EU-datagränsen på https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn eller senare ersättningsplats. Sådana eventuella överföringar kommer ske i enlighet med Dataskyddstillägget och Produktvillkoren.

Fjärråtkomst. Microsoftpersonal belägen utanför EU-datagränsen får med fjärråtkomst tillgå databehandlingssystem inom EU-datagränsen efter behov för att driva, felsöka, ge support för och hålla EU-datagränstjänsterna säkra.
Kundinitierade överföringar. Kunder får initiera överföringar utanför EU-datagränsen, exempelvis genom att tillgå EU-datagränstjänster från platser utanför EU-datagränsen, skicka ett e-postmeddelande till en mottagare belägen utanför EU-datagränsen, eller använda EU-datagränstjänster i kombination med andra tjänster som inte befinns inom EU-datagränsen.
Skydda kunder. Microsoft överför begränsade data utanför EU-datagränsen efter behov för att detektera och skydda kunder mot säkerhetshot.
Katalogdata. Microsoft får replikera begränsade Microsoft Entra ID-katalogdata från Microsoft Entra ID (inbegripet användarnamn och e-postadress) utanför EU-datagränsen för att tillhandahålla tjänsten.
Nätverkstransit. För att reducera routningssvarstid och bibehålla routningsåterhämtning använder Microsoft variabla nätverkssökvägar som emellanåt kan medföra överföring av data utanför EU-datagränsen.
Tjänsters och plattformars kvalitet, återhämtning och hantering. Vid behov av övervakning och underhåll av kvalitet i tjänsten, eller för att säkerställa korrektheten i statistiska mått på tjänstens användning eller prestanda, kan pseudonymiserade personuppgifter och data i professionella tjänster överföras utanför EU-datagränsen.
Tjänstspecifika överföringar. Se ovan nämnda transparensdokumentation för information om överföringar tillämpliga på specifika supportaktiviteter och EU-datagränstjänster.