Pogoji za zasebnost in varnost
Splošno
Pogoji glede zasebnosti in varnosti so bili prej v prilogi 1 pogojev za spletne storitve.
Dodatek o varstvu podatkov ali DPA (opredeljen v glosarju) določa obveznosti pogodbenih strank glede obdelave in varnosti podatkov strank, podatkov za strokovne storitve in osebnih podatkov v izdelkih. Dodatek o varstvu podatkov lahko prenesete tukaj: https://aka.ms/DPA. V primeru navzkrižja ali nedoslednosti med DPA in morebitnimi drugimi pogoji v strankini pogodbi o licenciranju (vključno s temi pogoji) se uporablja DPA.
Spletne storitve, ki niso vključene v DPA
Razen kot je določeno v pogojih za posamezen izdelek, pogoji DPA ne veljajo za: platformo Bing Maps Mobile Asset Management, Bing Maps Transactions and Users, storitve iskanja Bing, storitve Azure AI v vsebnikih, nameščenih v strankini namenski strojni opremi, Microsoft Copilot s komercialnim varstvom podatkov (prej imenovanim Bing Chat Enterprise), ponudbe v storitvi GitHub, LinkedIn Sales Navigator, Microsoft Defender for IoT (razen morebitnih storitev, povezanih z oblakom), Azure SQL Edge, Azure Stack HCI, Azure Stack Hub, podatkovno povezavo programa Microsoft Graph za neodvisne razvijalce programske opreme, Microsoft Genomics in Visual Studio App Center Test. Za vsako od teh spletnih storitev veljajo pogoji glede zasebnosti in varnosti v upoštevnih pogojih za posamezen izdelek.
Izdelki programske opreme, ki niso vključeni v DPA
Razen kot je določeno v pogojih za posamezen izdelek, pogoji DPA ne veljajo za: Internetne funkcije v izdelkih programske opreme, namizni operacijski sistem Windows, Windows Server in ti izdelki programske opreme v okviru drugih izdelkov. Za vsakega od teh izdelkov veljajo pogoji glede zasebnosti in varnosti v upoštevnih pogojih za posamezen izdelek.
Izdelki, ki niso Microsoftovi
Strankino uporabo izdelkov, ki niso Microsoftovi (kot so opredeljeni v razdelku Univerzalni licenčni pogoji za spletne storitve), urejajo ločeni pogoji, vključno z drugačnimi pogoji za zasebnost in varnost.
Pogoji DPA za izključitve zemljepisnih območij
Za spletne storitve Dynamics 365 in Power Platform na teh zemljepisnih območjih ne veljajo posebni pogoji DPA, kot je navedeno v dodatku A, in sicer »Microsoft shrani kopije podatkov strank in postopke za obnovitev podatkov na drugem kraju od tistega, kjer je primarna računalniška oprema, ki obdeluje podatke strank«): Združeni arabski emirati in Južna Afrika.
Osnovne spletne storitve
Izraz »osnovne spletne storitve« velja samo za storitve v spodnji tabeli z izjemo morebitnih predogledov.
| Spletne storitve | |
|---|---|
| Microsoft Dynamics 365 Core Services | Naslednje storitve, od katerih je vsaka samostojna storitev ali vključena v paket ali program znamke Dynamics 365: Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations in Dynamics 365 Sales. Osnovne storitve Dynamics 365 ne vključujejo (1) storitev Dynamics 365 za podprte naprave ali programsko opremo, ki med drugim vključuje Dynamics 365 za aplikacije, tablične računalnike in/ali telefone; (2) LinkedIn Sales Navigator; ali (3) katere koli druge storitve z ločeno blagovno znamko, ki je na voljo z osnovnimi storitvami Dynamics 365 ali povezana z njimi, razen kot je izrecno določeno v licenčnih pogojih za ustrezno storitev. |
| Storitve Office 365 | Naslednje storitve, od katerih je vsaka samostojna storitev ali storitev, vključena v paket ali zbirko znamke Office 365 ali Microsoft 365: Cortana, Customer Lockbox, Exchange Online Archiving, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (Classic), Microsoft Teams, Microsoft To-Do, Microsoft Defender za Office 365, Office za splet, OneDrive za podjetja, Project, SharePoint, Sway, Viva Insights, Whiteboard, Yammer Enterprise in Microsoft Copilot za Microsoft 365. Storitve Office 365 ne vključujejo aplikacij Microsoft 365 za podjetja, katerega koli dela storitve PSTN, ki deluje zunaj Microsoftovega nadzora, morebitne odjemalske programske opreme ali morebitnih storitev ločene blagovne znamke, ki so na voljo v okviru paketa ali zbirke blagovne znamke Office 365 ali Microsoft 365, kot je Bing ali storitev, ki v imenu vsebuje »za Office 365«. |
| Storitve za skladnost okolja Microsoft 365 | Naslednje storitve, od katerih je vsaka samostojna storitev ali vključena v paket ali zbirko znamke Microsoft 365: Microsoft Purview Customer Lockbox, Microsoft Purview Data Loss Prevention, Microsoft Purview Customer Key, Microsoft Purview Data Lifecycle Management, Microsoft Purview Information Barriers, Microsoft Purview Privileged Access Management, Microsoft Purview Compliance Manager, Microsoft Purview Information Protection, Microsoft Information Governance, Microsoft Purview-Insider Risk Management, Microsoft Purview Communication Compliance, Microsoft Purview Records Management, Microsoft Purview eDiscovery in Microsoft Purview Audit, Microsoft Priva Privacy Risk Management, in Microsoft Priva Subject Rights Request. |
| Osnovne storitve Microsoft Azure | Azure AI, Azure Active Directory B2C, Anomaly Detector, API Management, App Service (API Apps, Logic Apps, Mobile Apps, WebJobs, Functions), Lab Services, Application Gateway, Azure Monitor, Automation, Azure API for FHIR, Azure App Configuration, Azure AI Bot Service, Azure Cache for Redis, Azure AI Search, komunikacijske storitve Azure, Azure Container Apps, Azure Container Instances, Azure Container Registry (ACR), Azure Cosmos DB, Azure Data Explorer, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Databricks, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Azure Firewall, Azure AI Document Intelligence, Azure Health Data Services, Azure AI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure AI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Microsoft Purview Data Map, Microsoft Purview Data Catalog, Microsoft Purview Data Estate Insights, Microsoft Purview Data Policies, Microsoft Purview Data Sharing, Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure AI Video Indexers, Azure Web PubSub, Backup, Batch, Cloud Services, Computer Vision, Content Moderator, Azure AI Custom Vision, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, HDInsight, Import/Export, IoT Hub, Key Vault, Language Understanding, Load Balancer, Azure Machine Learning Studio (klasična različica), Media Services, Microsoft Azure Portal, Notification Hubs, Azure AI Personalizer, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Service Bus, Service Connector, Service Fabric, Azure SignalR Service, Site Recovery, Speech Services, SQL Database, SQL Managed Instance, SQL Server Stretch Database, Storage, StorSimple, Stream Analytics, Synapse Analytics, Text Analytics, Traffic Manager, Azure AI Translator, Virtual Machines, Virtual Machine Scale Sets, Virtual Network in VPN Gateway. |
| Microsoft Defender for Cloud Apps | Del storitve v oblaku za Microsoft Defender for Cloud Apps (prej imenovano Microsoft Cloud App Security). |
| Spletne storitve Microsoft Intune | Del storitve v oblaku za Microsoft Intune. |
| Microsoft Power Platform Core Services | Naslednje storitve, od katerih je vsaka samostojna storitev ali storitev, vključena v paket ali zbirko znamke Office 365 ali Microsoft Dynamics 365: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages in Microsoft Copilot Studio. Storitve Microsoft Power Platform Core Services ne vključujejo nobene odjemalske programske opreme, med drugim tudi ne programske opreme Power BI Report Server, aplikacij Power BI, PowerApps ali Microsoft Power Automate za mobilne naprave, Power BI Desktop ali Power Apps Studio. |
| Storitve Microsoft Defender za končno točko | Razdelek storitve Microsoft Defender za končno točko za storitve v oblaku. |
| Microsoft Defender za identiteto | Razdelek storitve Microsoft Defender za končno točko za identiteto. |
| Microsoft Defender XDR | Del storitve v oblaku za Microsoft Defender XDR. |
| Windows 365 | Del ponudbe Windows 365 s storitvami v oblaku, ki ne vključuje operacijskega sistema Windows, ki se izvaja v računalnikih v oblaku Windows 365. |
Varnostni postopki in pravilniki za osnovne spletne storitve
Poleg varnostnih postopkov in pravilnikov za spletne storitve v DPA je vsaka osnovna spletna storitev tudi skladna s standardi za nadzor in ogrodji, prikazanimi v spodnji tabeli, ter uvaja in vzdržuje varnostne ukrepe, določene v prilogi A k DPA za varstvo podatkov strank.
| Spletna storitev | SSAE 18 SOC 1 vrsta II | SSAE 18 SOC 2 vrsta II |
|---|---|---|
| Storitve Office 365 | Da | Da |
| Storitve za skladnost okolja Microsoft 365 | Da | Da |
| Microsoft Dynamics 365 Core Services | Da | Da |
| Osnovne storitve Microsoft Azure | Se razlikuje* | Se razlikuje* |
| Microsoft Defender for Cloud Apps | Da | Da |
| Spletne storitve Microsoft Intune | Da | Da |
| Microsoft Power Platform Core Services | Da | Da |
| Storitve Microsoft Defender za končno točko | Da | Da |
| Microsoft Defender za identiteto | Da | Da |
| Microsoft Defender XDR | Da | Da |
| Windows 365 | Da | Da |
*Trenutni obseg je podrobno opisan v revizijskem poročilu in povzet v Microsoftovem središču zaupanja.
Mesto nedejavnih podatkov strank za osnovne spletne storitve
Za osnovne spletne storitve bo Microsoft nedejavne podatke strank shranil na določenih večjih geografskih območjih (s skupnim imenom »geografsko območje), kot je navedeno v nadaljevanju, razen kot je drugače navedeno v pogojih posebej za spletne storitve:
- Storitve Office 365. Če stranka svojega najemnika nastavi in omogoči v Avstraliji, Braziliji, Kanadi, Evropski uniji, Franciji, Nemčiji, Indiji, na Japonskem, Norveškem, v Katarju, Južni Afriki, Južni Koreji, na Švedskem, v Švici, Združenem kraljestvu, Združenih arabskih emiratih ali ZDA, bo Microsoft naslednje nedejavne podatke strank hranil samo na zadevnem geografskem območju: (1) vsebino nabiralnika v storitvi Exchange Online (telo e-poštnega sporočila, koledarski vnosi in vsebina e-poštnih prilog), (2) vsebino mesta v storitvi SharePoint Online ter datoteke, shranjene na tem mestu, (3) datoteke, naložene v OneDrive za podjetja, (4) klepetna sporočila v storitvi Microsoft Teams (vključno z zasebnimi sporočili, sporočili v kanalih, sporočili v srečanjih in slikami, uporabljenimi v klepetih), za stranke, ki uporabljajo Microsoft Stream (Classic) (v storitvi SharePoint), pa posnetke srečanj, (5) morebitna shranjena vsebina interakcij z orodjem Microsoft Copilot za Microsoft 365, če ni vključena v prej navedenih zavezah. Če stranka kupi naročnino za Advanced Data Residency, bo Microsoft nekatere nedejavne podatke stranke shranil na upoštevnem zemljepisnem območju v skladu s tem razdelkom in razdelkom »Zaveze Advanced Data Residency« v dokumentaciji izdelka na strani https://aka.ms/adroverview.
- Spletne storitve Microsoft Intune. Če stranka račun odjemalca za Microsoft Intune pripravi za uporabo za uvajanje na razpoložljivem geografskem območju, bo Microsoft za to storitev shranil nedejavne podatke strank na izbranem geografskem območju, razen kot je navedeno v središču zaupanja za Microsoft Intune.
- Microsoft Power Platform Core Services. Če stranka osnovno storitev Power Platform pripravi za uporabo za uvajanje na razpoložljivem geografskem območju, bo Microsoft za to storitev shranil nedejavne podatke strank na izbranem geografskem območju, razen kot je opisano v središču zaupanja za Microsoft Power Platform.
- Osnovne storitve Microsoft Azure. Če stranka konfigurira določeno storitev in jo uvede na geografskem območju, bo Microsoft za to storitev nedejavne podatke strank shranil na določenem geografskem območju. Nekatere storitve stranki morda ne omogočajo konfiguracije uvedbe na določenem geografskem območju zunaj Združenih držav in lahko shranjujejo varnostne kopije na drugih lokacijah. Več podrobnosti je v Microsoftovem središču zaupanja (ki ga lahko Microsoft občasno posodobi, vendar ne bo dodal izjem za splošno izdane obstoječe storitve).
- Microsoft Defender for Cloud Apps. Če stranka svojega najemnika nastavi in omogoči v Evropski uniji ali Združenih državah, bo Microsoft strankine podatke v mirovanju shranil samo na tem geografskem območju. razen kot je opisano v središču zaupanja za Microsoft Defender for Cloud Apps.
- Microsoft Dynamics 365 Core Services. Če stranka osnovno storitev Dynamics 365 pripravi za uporabo za uvajanje na razpoložljivem geografskem območju, bo Microsoft za to storitev shranil nedejavne podatke strank na izbranem geografskem območju, razen kot je opisano v središču zaupanja za Microsoft Dynamics 365.
- Storitve Microsoft Defender za končno točko. Če stranka najemnika za Microsoft Defender za končno točko pripravi za uporabo za uvajanje na razpoložljivem geografskem območju, potem bo Microsoft za to storitev shranjeval podatke stranke, ki niso v uporabi, za to določeno geografsko območje, razen kot je navedeno v središču zaupanja za Microsoft Defender za končno točko.
- Microsoft Defender za identiteto. Če stranka najemnika za Microsoft Defender za končno točko pripravi za uporabo za uvajanje na razpoložljivem geografskem območju, potem bo Microsoft za to storitev shranjeval podatke stranke, ki niso v uporabi, za to določeno geografsko območje, razen kot je navedeno v središču zaupanja za Microsoft Defender za identiteto.
- Microsoft Defender XDR Če stranka najemnika Microsoft Defender XDR pripravi za uporabo za uvajanje na razpoložljivem geografskem območju, bo Microsoft za to storitev shranil nedejavne podatke strank na izbranem geografskem območju, razen kot je navedeno v središču zaupanja za Microsoft Defender XDR.
- Windows 365. Ko je najemnik za Windows 365 uveden na razpoložljivem geografskem območju, bo Microsoft nedejavne podatke stranke za tega najemnika shranil v navedenem geografskem območju. Če stranka v istem najemniku omogoči uporabo računalnikov v oblaku Windows 365 na različnih razpoložljivih geografskih območjih, bo Microsoft nedejavne podatke stranke za računalnik v oblaku shranil na navedenem geografskem območju.
Storitve za podatkovno mejo v EU
Izraz »podatkovna meja v EU« pomeni Microsoftove računalnike, računalniško okolje in fizična podatkovna središča, ki so izključno znotraj Evropske unije (EU) in/ali Evropskega združenja za prosto trgovino (EFTA). Izraz »storitve za podatkovno mejo v EU« velja samo za spletne storitve v spodnji tabeli z izjemo morebitnih predogledov.
| Storitve za podatkovno mejo v EU | |
|---|---|
| Azure | Storitve Azure, ki omogočajo uvajanje v regiji znotraj podatkovne meje za EU, in naslednje neregionalne storitve: Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, Azure Communication Services, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Azure Kubernetes Service on Azure Stack HCI, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager, Translator |
| Dynamics 365 | Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management |
| Microsoft 365 | Cortana, Customer Lockbox, Exchange Online, Exchange Online Archiving for Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (klasična različica) (na podlagi SharePointa), Microsoft Teams, Microsoft To-Do, Office za splet, spletne storitve, ki se zagotavljajo v okviru aplikacij Microsoft 365 Apps, OneDrive za podjetja, SharePoint Online, Sway, Whiteboard, Yammer Enterprise, Microsoft Copilot za Microsoft 365, Communications Compliance, eDiscovery and Audit, Insider Risk Management, Informacijske ovire, Preprečitev izgube podatkov Microsoft Purview, Microsoft Intune, Upravljanje tveganja za varstvo zasebnosti Priva, Priva Subject Rights Management, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft Copilot for Sales in Microsoft Viva Topics |
| Power Platform | Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio |
Mesto podatkov strank za storitve za podatkovno mejo v EU
Za storitve za podatkovno mejo v EU bo Microsoft podatke strank in osebne podatke shranil in obdelal znotraj podatkovne meje v EU, kot je podrobno opisano v nadaljevanju.
Stranka mora storitve za podatkovno mejo v EU konfigurirati na naslednji način:
- Za Azure mora stranka storitev uvesti v regiji za Azure, ki je znotraj podatkovne meje v EU. Več informacij je v razdelku o lokaciji podatkov v storitvi Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency). Za storitve, ki ne omogočajo uvajanja v navedeni regiji za Azure, mora stranka upoštevati navodila za konfiguriranje neregijskih storitev Azure za podatkovno mejo v EU (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
- Za Dynamics 365 in Power Platform velja, da bo v primeru, da stranka nastavi in omogoči najemnika z naslovom plačnika v EU ali EFTA, ta najemnik v obsegu za podatkovno mejo v EU, če stranka tudi vsa svoja okolja ustvari znotraj podatkovne meje v EU.
- Za Microsoft 365 velja, da bo v primeru, da stranka nastavi in omogoči najemnika v EU ali EFTA, ta najemnik v obsegu za podatkovno mejo v EU razen pri najemnikih, za katere je stranka kupila tudi dodatek Microsoft 365 Multi-Geo Capabilities, ki strankam omogoča širitev prisotnosti najemnika za storitve Microsoft 365 na več zemljepisnih območij ali držav (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).
Uporaba storitve za podatkovno mejo v EU lahko ima za posledico omejene prenose podatkov strank ali osebnih podatkov zunaj podatkovne meje v EU, kot je določeno spodaj in podrobneje opisano v preglednostni dokumentaciji za podatkovno mejo v EU na strani https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn ali na naslovu, ki jo nadomesti. Vsi taki prenosi se izvajajo skladno z dodatkom o varstvu podatkov in pogoji za izdelke.
- Oddaljen dostop Microsoftovo osebje, ki je zunaj podatkovne meje v EU, lahko na daljavo dostopa do sistemov za obdelavo podatkov znotraj podatkovne meje v EU, kot je potrebno za upravljanje in zaščito storitev za podatkovno mejo v EU ter odpravljanje težav z njimi.
- Prenosi, ki jih sproži stranka Stranke lahko sprožijo prenose zunaj podatkovne meje v EU, na primer z dostopom do storitev za podatkovno mejo v EU z lokacij zunaj podatkovne meje v EU, s pošiljanjem e-poštnega sporočila prejemniku zunaj podatkovne meje v EU ali z uporabo storitev za podatkovno mejo v EU skupaj z drugimi storitvami, ki niso znotraj podatkovne meje v EU.
- Zaščita strank Microsoft prenese omejene podatke zunaj podatkovne meje v EU, kot je potrebno za odkrivanje varnostnih groženj in zaščito strank pred njimi.
- Imeniški podatki Microsoft lahko omejene imeniške podatke storitve Microsoft Entra ID iz Microsoft Entra ID-ja (vključno z uporabniškim imenom in e-poštnim naslovom) podvoji zunaj podatkovne meje v EU za zagotavljanja storitve.
- Omrežni prehod Zaradi zmanjšanja omrežnih zakasnitev in ohranjanje odpornosti usmerjanja Microsoft uporablja različne omrežne poti, ki lahko občasno povzročijo prehod podatkov zunaj podatkovne meje v EU.
- Kakovost in upravljanje storitev in platforme Ko je to potrebno za spremljanje in vzdrževanje kakovosti storitev ali za zagotavljanje točnosti statističnih meritev uporabe ali učinkovitosti delovanja, se lahko psevdonimizirani osebni podatki prenesejo zunaj podatkovne meje v EU.
- Prenosi, značilni za posamezne storitve Informacije o prenosih, ki veljajo za posamezne storitve za podatkovno mejo v EU, so v preglednostni dokumentaciji, omenjeni zgoraj.