Vilkår for Personvern og Sikkerhet
Generelt
Disse personvern- og sikkerhetsvilkårene var tidligere innhold i vedlegg 1 til vilkårene for Elektroniske Tjenester.
Tillegget om personvern, eller DPA-en (definert i Ordlisten) angir partenes forpliktelser knyttet til behandlingen og sikkerheten av kundedata, Faglig tjenestedata, og personopplysninger med Produktene. Tillegget om personvern kan lastes ned her https://aka.ms/DPA. I tilfelle konflikt eller inkonsekvens mellom vilkårene i DPA-en og andre vilkår i Kundens lisensavtale (inkludert disse vilkårene), skal DPA-en ha forrang.
Online-tjenester som er ekskludert fra DPA
Bortsett fra det som er angitt i de produktspesifikke vilkårene, gjelder ikke vilkårene i DPA-en for: Bing Maps Mobile Asset Management Platform, Bing Maps Transactions og Brukere, Bing søketjenester, Azure AI-tjenester i containere installert på Kundens dedikerte maskinvare, Microsoft Copilot med kommersiell databeskyttelse (tidligere kjent som Bing Chat Enterprise), GitHub-tilbud, LinkedIn Sales Navigator, Microsoft Defender for IoT (unntatt skytilkoblede funksjoner), Azure SQL Edge, Azure Stack HCI, Azure Stack Hub, Microsoft Graph data connect for ISV-er, Microsoft Genomics og Visual Studio App Center Test. Hver av disse Elektroniske Tjenestene er underlagt personvern- og sikkerhetsvilkårene i de gjeldende produktspesifikke vilkårene.
Programvareprodukter som er ekskludert fra DPA-en
Bortsett fra det som er angitt i de produktspesifikke vilkårene, gjelder ikke vilkårene i DPA-en for: Internettbaserte funksjoner i programvareproduktene, operativsystemer for Windows-skrivebord, Windows-server og disse programvareproduktene som en del av andre produkter. Hver av disse produktene er underlagt personvern- og sikkerhetsvilkårene i de gjeldende produktspesifikke vilkårene.
Ikke-Microsoft-produkter
Separate vilkår, inkludert andre personvern- og sikkerhetsvilkår, gjelder for Kundens bruk av Ikke-Microsoft produkter (slik dette er definert i de generelle lisensvilkårene for Elektroniske Tjenester).
DPA-betingelser geografiske utelukkelser
For elektroniske tjenester fra Dynamics 365 og Power Platform er de spesifikke vilkårene for DPA-en som nevnt i vedlegg A som sier "Microsoft lagrer kopier av fremgangsmåter for Kundedata og datagjenoppretting på et annet sted enn der det primære datautstyret som behandler kundedataene befinner seg." gjelder ikke for følgende områder: De forente arabiske emirater og Sør-Afrika.
Online-kjernetjenester
Termen "Elektroniske kjernetjenester" gjelder bare på tjenestene i tabellen nedenfor, unntatt Forhåndsvisninger.
| Elektroniske Tjenester | |
|---|---|
| Microsoft Dynamics 365-kjernetjenester | Følgende tjenester, hver som en frittstående tjeneste eller inkludert i en Dynamics 365-merket plan eller applikasjon: Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations og Dynamics 365 Sales. Dynamics 365-kjernetjenester inkluderer ikke (1) Dynamics 365-tjenester for støttede tjenester eller programvare, som inkluderer, men er ikke begrenset til Dynamics 365 for apper, nettbrett, telefoner eller hvilken som helst av; (2) LinkedIn Sales Navigator; eller (3) med mindre annet er uttrykkelig definert i lisensvilkårene for tilhørende tjeneste, enhver annen separat merket tjeneste som er tilgjengelig med eller koblet til Dynamics 365-kjernetjenester. |
| Office 365-tjenester | Følgende tjenester, hver som en frittstående tjeneste eller inkludert i en Office 365- eller Microsoft 365-merket plan eller serie: Cortana, Customer Lockbox, Exchange Online Archiving, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (Classic), Microsoft Teams, Microsoft To-Do, Microsoft Defender for Office 365, Office for the web, OneDrive for Business, Project, SharePoint, Sway, Viva Insights, Whiteboard, Yammer Enterprise og Microsoft Copilot for Microsoft 365. Office 365-tjenestene inkluderer ikke Microsoft 365-apper for foretak, noen del av en PSTN-tjeneste som opererer utenfor Microsofts kontroll, klientprogramvare eller noen separat merketjeneste gjort tilgjengelig med en Office 365- eller Microsoft 365-merket plan eller suite, for eksempel en Bing eller en tjeneste merket "for Office 365". |
| Microsoft 365 F5 Compliance-tjenester | Følgende tjenester, hver som en frittstående tjeneste eller inkludert i en Microsoft Office 365-merket plan eller serie: Microsoft Purview Customer Lockbox, Microsoft Purview Data Loss Prevention, Microsoft Purview Customer Key, Microsoft Purview Data Lifecycle Management, Microsoft Purview Information Barriers, Microsoft Purview Privileged Access Management, Microsoft Purview Compliance Manager, Microsoft Purview Information Protection, Microsoft Information Governance, Microsoft Purview-Insider Risk Management, Microsoft Purview Communication Compliance, Microsoft Purview Records Management, Microsoft Purview eDiscovery, and Microsoft Purview Audit, Microsoft Priva Privacy Risk Management og Microsoft Priva Subject Rights Request. |
| Microsoft Azure-kjernetjenester | Azure AI, Azure Active Directory B2C, Anomaly Detector, API Management, App Service (API Apps, Logic Apps, Mobile Apps, WebJobs, Functions), Lab Services, Application Gateway, Azure Monitor, Automation, Azure API for FHIR, Azure App Configuration, Azure AI Bot Service, Azure Cache for Redis, Azure AI Search, Azure Communication Services, Azure Container Apps, Azure Container Instances, Azure Container Registry (ACR), Azure Cosmos DB, Azure Data Explorer, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Databricks, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Azure Firewall, Azure AI Document Intelligence, Azure Health Data Services, Azure AI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure AI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Microsoft Purview Data Map, Microsoft Purview Data Catalog, Microsoft Purview Data Estate Insights, Microsoft Purview Data Policies, Microsoft Purview Data Sharing, Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure AI Video Indexers, Azure Web PubSub, Backup, Batch, Cloud Services, Computer Vision, Content Moderator, Azure AI Custom Vision, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, HDInsight, Import/Export, IoT Hub, Key Vault, Language Understanding, Load Balancer, Azure Machine Learning Studio (classic), Media Services, Microsoft Azure Portal, Notification Hubs, Azure AI Personalizer, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Service Bus, Service Connector, Service Fabric, Azure SignalR Service, Site Recovery, Speech Services, SQL Database, SQL Managed Instance, SQL Server Stretch Database, Storage, StorSimple, Stream Analytics, Synapse Analytics, Text Analytics, Traffic Manager, Azure AI Translator, Virtual Machines, Virtual Machine Scale Sets, Virtual Network og VPN Gateway. |
| Microsoft Defender for Cloud Apps | Skytjenestedelen av Microsoft Defender for Cloud Apps (tidligere Microsoft Cloud App Security). |
| Elektroniske Tjenester i Microsoft Intune | Skytjenestene i Microsoft 365 Intune. |
| Kjernetjenester i Microsoft Power Platform | Følgende tjenester, hver som en frittstående tjeneste eller inkludert i en Office 365- eller Microsoft Dynamics 365-merket plan eller serie: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages og Microsoft Copilot Studio. Microsoft Power Platform-kjernetjenester inkluderer ikke klientprogramvare, inkludert, men ikke begrenset til Power BI-rapportserver, Power BI, PowerApps eller Microsoft Power Automate mobilapplikasjoner, Power BI Desktop eller Power Apps Studio. |
| Microsoft Defender for endepunkt-tjenester | Skytjenestene i Microsoft Defender for endepunkt. |
| Microsoft Defender for Identitet | Skytjenestene i Microsoft Defender for Identitet. |
| Microsoft Defender XDR | Skytjenestene i Microsoft Defender XDR. |
| Windows 365 | Skytjenestedelen av Windows 365, unntatt Windows-operativsystemet som kjører på Windows 365 Cloud-PCer. |
Sikkerhetspraksis og retningslinjer for online-kjernetjenester
I tillegg til sikkerhetspraksis og retningslinjer for onlinetjenester i DPA, overholder også hver Core Onlinetjeneste kontrollstandardene og rammene som er vist i tabellen nedenfor, og implementerer og opprettholder sikkerhetstiltakene angitt i vedlegg A til DPA for beskyttelse av kundedata.
| Elektronisk Tjeneste | SSAE 18 SOC 1 Type II | SSAE 18 SOC 2 Type II |
|---|---|---|
| Office 365-tjenester | Ja | Ja |
| Microsoft 365 F5 Compliance-tjenester | Ja | Ja |
| Microsoft Dynamics 365-kjernetjenester | Ja | Ja |
| Microsoft Azure-kjernetjenester | Varierer* | Varierer* |
| Microsoft Defender for Cloud Apps | Ja | Ja |
| Elektroniske Tjenester i Microsoft Intune | Ja | Ja |
| Kjernetjenester i Microsoft Power Platform | Ja | Ja |
| Microsoft Defender for endepunkt-tjenester | Ja | Ja |
| Microsoft Defender for Identitet | Ja | Ja |
| Microsoft Defender XDR | Ja | Ja |
| Windows 365 | Ja | Ja |
*Nåværende omfang er detaljert i revisjonsrapporten og oppsummert i Microsoft Trust Center.
Plassering av Kundedata i minnet for online-kjernetjenester
Når det gjelder Elektroniske Kjernetjenester, skal Microsoft lagre inaktive Kundedata innenfor visse viktige geografiske områder (hvert av disse et Geo) på følgende måte med mindre noe annet fremgår i de onlinetjenestespesifikke vilkårene:
- Office 365-tjenester. Hvis Kunden leverer til leietaker i Australia, Brasil, Canada, Den europeiske union, Frankrike, Tyskland, India, Japan, Norge, Qatar, Sør-Afrika, Sør-Korea, Sverige, Sveits, Storbritannia, De forente arabiske emirater eller USA, skal Microsoft lagre følgende Kundedata i minnet bare innenfor det geo-området: (1) Exchange Online-postboksinnhold (e-posttekst, kalenderoppføringer og innholdet i e-postvedlegg), (2) SharePoint Online-nettstedinnhold og filene som er lagret på dette nettstedet, (3) filer lastet opp til OneDrive for Forretning, (4) Microsoft Teams chatmeldinger (inkludert private meldinger, kanalmeldinger, møtemeldinger og bilder brukt i chatter), og for kunder som bruker Microsoft Stream (Classic) (på SharePoint), møteopptak og (5) alt lagret innhold av interaksjoner med Microsoft Copilot for Microsoft 365 i den grad det ikke er inkludert i de foregående forpliktelsene. Hvis Kunden kjøper et Advanced Data Residency-abonnement, vil Microsoft lagre visse Kundedata i hvile i gjeldende Geo i samsvar med denne delen og delen "Oversikt over Advanced Data Residency og Commitments" i produktdokumentasjonen på https://aka.ms/adroverview.
- Elektroniske Tjenester i Microsoft Intune. Når Kunden leverer en Microsoft Intune-leietakerkonto som skal distribueres i en tilgjengelig Geo, vil Microsoft for den tjenesten lagre Kundedata i minnet i den spesifiserte Geo, bortsett fra som nevnt i Microsoft Intune Trust Center.
- Kjernetjenester i Microsoft Power Platform. Hvis Kunden leverer en Power Platform-kjernetjeneste til distribusjon i et tilgjengelig Område, skal Microsoft for den aktuelle tjenesten lagre inaktive Kundedata innenfor det angitte Området, med unntak som beskrevet i Klareringssenteret for Microsoft Power Platform Trust Center.
- Microsoft Azure-kjernetjenester. Hvis Kunden konfigurerer at en bestemt tjeneste skal distribueres innenfor et bestemt Område, skal Microsoft lagre inaktive Kundedata innenfor Området som er angitt. Enkelte tjenester kan ikke gjøre det mulig for Kunden å konfigurere distribusjon i en bestemt Geo eller utenfor USA og kan lagre sikkerhetskopier på andre steder. Se Microsoft Trust Center (som Microsoft kan oppdatere fra tid til annen, men Microsoft vil ikke legge til unntak for eksisterende tjenester i generell utgave) for mer informasjon.
- Microsoft Defender for Cloud Apps. Hvis kunden leverer til leietakeren sin i EU eller USA, vil Microsoft lagre kundedata i minnet bare innenfor den geoen, bortsett fra som beskrevet i Microsoft Defender for Cloud Apps Trust Center.
- Microsoft Dynamics 365-kjernetjenester. Hvis Kunden leverer en Dynamics 365-kjernetjeneste til distribusjon i et tilgjengelig Område, skal Microsoft for den aktuelle tjenesten lagre inaktive Kundedata innenfor det angitte Området, med unntak som beskrevet i Klareringssenteret for Microsoft Dynamics 365.
- Microsoft Defender for endepunkt-tjenester. Når Kunden leverer en Microsoft Defender for endepunkt-leietakerkonto som skal distribueres i en tilgjengelig Geo, vil Microsoft for den tjenesten lagre Kundedata i minnet i den spesifiserte Geo, bortsett fra som nevnt i Microsoft Defender for endepunkt Trust Center.
- Microsoft Defender for Identitet. Når Kunden leverer en Microsoft Defender for Identitet-leietakerkonto som skal distribueres i en tilgjengelig Geo, vil Microsoft for den tjenesten lagre Kundedata i minnet i den spesifiserte Geo, bortsett fra som nevnt i Microsoft Defender for Identitet Trust Center.
- Microsoft Defender XDR. Når Kunden leverer en Microsoft Defender XDR-leietakerkonto som skal distribueres i en tilgjengelig Geo, vil Microsoft for den tjenesten lagre Kundedata i minnet i den spesifiserte Geo, bortsett fra som nevnt i Microsoft Defender XDR Trust Center.
- Windows 365. Når en Windows 365-leietaker er distribuert innenfor en tilgjengelig Geo, vil Microsoft, for denne leietakeren, lagre inaktive Kundedata i den spesifiserte Geo. Hvis kunden forsyner Windows 365 Cloud-PC-er innenfor samme leietaker til ulike tilgjengelige Geoer, vil Microsoft, for hver Cloud PC, lagre inaktive Cloud PC Kundedata i den spesifiserte Geo.
EUs datagrensetjenester
Begrepet "EUs datagrense" betyr Microsofts datamaskiner, datamiljø og fysiske datasentre som utelukkende er lokalisert i EU og Det europeiske frihandelsforbundet (EFTA). Termen "EUs datagrensetjenester" gjelder bare de Elektroniske Tjenestene i tabellen nedenfor, unntatt Forhåndsvisninger.
| EUs datagrensetjenester | |
|---|---|
| Azure | Azure-tjenester som muliggjør distribusjon i en region innenfor EUs datagrense og de følgende ikke-regionale tjenestene: Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, Azure-kommunikasjonstjenester, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Azure Kubernetes Service på Azure Stack HCI, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager, Translator |
| Dynamics 365 | Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management |
| Microsoft 365 | Cortana, Customer Lockbox, Exchange Online, Exchange Online Archiving for Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (klassisk) (på SharePoint), Microsoft Teams, Microsoft To-Do, Office for the web, Elektroniske Tjenester levert som en del av Microsoft 365 Apps, OneDrive for Business, SharePoint Online, Sway, Whiteboard, Yammer Enterprise, Microsoft for Microsoft 365, Communications Compliance, eDiscovery og Audit, Insider Risk Management, Information Barriers, Microsoft Purview Data Loss Prevention, Microsoft Intune, Priva Privacy Risk Management, Priva Subject Rights Management, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft Copilot for salg og Microsoft Viva Topics |
| Power Platform | Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio |
Plassering av Kundedata for EUs datagrensetjenester
Når det gjelder EUs datagrensetjenester, vil Microsoft lagre og behandle Kundedata og Personopplysninger innenfor EUs datagrense som beskrevet nedenfor.
Kunden må konfigurere EUs datagrensetjenester som følger:
- For Azure, må Kunden distribuere tjenesten i en Azure-region innenfor EUs datagrense. Se Datalagring i Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency) for mer informasjon. For tjenester som ikke kan distribueres til en spesifisert Azure-region, må Kunden følge instruksjonene beskrevet i Konfigurering av ikke-regionale Azure-tjenester for EUs datagrense (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
- For Dynamics 365 og Power Platform, hvis Kunden gir en leietaker en faktureringsadresse i EU eller EFTA, vil denne leietakeren være innenfor EUs datagrense hvis kunden også oppretter alle sine miljøer innenfor en geo innenfor EUs datagrense.
- Når det gjelder Microsoft 365: hvis Kunden gir en leietaker en faktureringsadresse i EU eller EFTA, vil denne leietakeren være innenfor EUs datagrense, bortsett fra de leietakerne der Kunden også har kjøpt Microsoft 365 Multi-Geo-funksjoner -tillegget som gjør det mulig for kunder å utvide Microsoft 365-leietakers tilstedeværelse til flere geografiske regioner eller land (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).
Bruk av EUs datagrensetjenester kan føre til begrensede overføringer av Kundedata eller Personopplysninger utenfor EUs datagrense, som beskrevet nedenfor og i større detalj i åpenhetsdokumentasjonen for EUs datagrense som ligger på https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn eller etterfølgende plassering. Alle slike overføringer vil bli utført i samsvar med Databeskyttelsestillegget og Produktvilkårene.
- Ekstern pålogging. Microsoft-personell utenfor EUs datagrense kan eksternt få tilgang til databehandlingssystemer i EUs datagrense etter behov for å betjene, feilsøke og sikre EUs datagrensetjenester.
- Kunde-initierte overføringer. Kunder kan starte overføringer utenfor EUs datagrense, for eksempel ved å få tilgang til EUs datagrensetjenester fra steder utenfor EUs datagrense, sende en e-post til en mottaker utenfor EUs datagrense, eller bruk av EUs datagrensetjenester i kombinasjon med andre tjenester som ikke er innenfor EUs datagrense.
- Beskytte Kunder. Microsoft overfører begrensede data utenfor EUs datagrense etter behov for å oppdage og beskytte kunder mot sikkerhetstrusler.
- Katalogdata. Microsoft kan kopiere begrensede Microsoft Entra katalogdata fra Microsoft Entra ID (inkludert brukernavn og e-postadresse) utenfor EUs datagrense for å tilby tjenesten.
- Nettverkstransport. For å redusere rutingforsinkelse og opprettholde rutingmotstandsdyktighet, bruker Microsoft variable nettverksbaner som av og til kan føre til overføring av data utenfor EUs datagrense.
- Tjeneste- og plattformkvalitet og administrasjon. Når det kreves for å overvåke og opprettholde tjenestekvalitet eller for å sikre nøyaktigheten av statistiske mål knyttet til tjenestebruk eller -ytelse, kan pseudonymiserte Personopplysninger overføres utenfor EUs datagrense.
- Tjenestespesifikke overføringer. Se dokumentasjonen om åpenhet referert til ovenfor for informasjon om overføringer som gjelder spesifikke EU-datagrensetjenester.