Vilkår for beskyttelse af personlige oplysninger og sikkerhed
Generelt
Beskyttelse af personlige oplysninger og Sikkerhedsvilkår blev tidligere indeholdt i Tillæg 1 til Vilkår for onlinetjenester.
Tillæg om databeskyttelse eller DPA (defineret i ordlisten) angiver disse parters forpligtelser, for så vidt angår behandlingen og sikkerheden af Kundedata, Data fra Professionelle tjenester og Persondata, i forhold til produkterne. Tillæg til databeskyttelse kan downloades her https://aka.ms/DPA. I tilfælde af konflikt eller uoverensstemmelse mellem Tillæg til databeskyttelse og andre vilkår i Kundens licensaftale (inklusive disse vilkår) har Tillæg til databeskyttelse forrang.
Onlinetjenesterne udelukket fra Tillæg til databeskyttelse
Medmindre andet fremgår i de Produktspecifikke vilkår, gælder vilkårene i Tillæg til databeskyttelse ikke for: Bing Maps Mobile Asset Management Platform, Bing Maps-transaktioner og -brugere, Bing Search Services, Azure AI-tjenester i beholdere, der er installeret på Kundens dedikerede hardware, Microsoft Copilot med kommerciel databeskyttelse (tidligere kendt som Bing Chat Enterprise), GitHub-produkter, LinkedIn Sales Navigator, Microsoft Defender for IoT (undtagen alle cloud-forbundne funktioner), Azure SQL Edge, Azure Stack HCI, Azure Stack Hub, Microsoft Graph-dataforbindelse til ISV'er, Microsoft Genomics og Visual Studio App Center Test. Hver af disse Onlinetjenester reguleres af vilkårene for beskyttelse af personlige oplysninger og sikkerhed i de gældende Produktspecifikke vilkår.
Softwareprodukter udelukket fra Tillæg til databeskyttelse
Medmindre andet fremgår i de Produktspecifikke vilkår, gælder vilkårene i Tillæg til databeskyttelse ikke for: Internetbaserede funktioner i Softwareprodukter, Windows-desktopoperativsystem, Windows Server og disse Softwareprodukter som del af andre Produkter. Hvert af disse Produkter reguleres af vilkårene for beskyttelse af personlige oplysninger og sikkerhed i de gældende Produktspecifikke vilkår.
Ikke-Microsoft produkter
Forskellige vilkår, herunder forskellige vilkår for beskyttelse af personoplysninger og sikkerhed, regulerer Kundens brug af ikke-Microsoft-produkter (som defineret i de Universelle Licensvilkår for Onlinetjenester).
Geografiske begrænsninger i Vilkår for tillæg for databeskyttelse
Ved Dynamics 365 og Power Platform onlinetjenester gælder de særlige vilkår for Tillæg for databeskyttelse, som er beskrevet i appendiks A, hvor det fremgår, at "Microsoft gemmer kopier af Kundedata og procedurer for genoprettelse af data forskellige steder, hvorfra det primære computerudstyr, der behandler Kundedataene, er placeret.", ikke for følgende geografiske områder: Forenede Arabiske Emirater og Sydafrika.
Kerneonlinetjenester
Ordet “Kerneonlinetjenester” gælder kun for tjenesterne i tabellen herunder, med undtagelse af eventuelle Eksempler.
| Onlinetjenester | |
|---|---|
| Microsoft Dynamics 365 Core Services | Følgende tjenester, hver som selvstændig tjeneste eller som indeholdt i et Dynamics 365-abonnement eller -program: Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations og Dynamics 365 Sales. Dynamics 365-kernetjenester omfatter ikke (1) Dynamics 365-tjenester til understøttede enheder eller understøttet software, hvilket omfatter, men ikke er begrænset til, Dynamics 365 til apps, tablets, telefoner eller nogen af disse; (2) LinkedIn Sales Navigator, eller (3) medmindre det udtrykkeligt er defineret i licensvilkårene for den tilhørende tjeneste, nogen tjeneste med separat brand, der er gjort tilgængelig med eller har forbindelse til Dynamics 365-kernetjenester. |
| Office 365-tjenester | Følgende tjenester, hver som selvstændig tjeneste eller som indeholdt i Office 365- eller Microsoft 365-abonnement eller -pakke: Customer Lockbox, Exchange Online Archiving, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (klassisk), Microsoft Teams, Microsoft To-Do, Microsoft Defender for Office 365, Office på internettet, OneDrive for Business, Project, SharePoint, Sway, Viva Insights, Whiteboard, Viva Engage og Microsoft Copilot for Microsoft 365. Office 365-tjenester omfatter ikke Microsoft 365 Apps for enterprise, nogen dele af en PSTN-tjeneste, der drives uden for Microsofts kontrol, klientsoftware eller tjenester af andet mærke, der er tilgængelige i Office 365- eller Microsoft 365-abonnement eller -pakke, f.eks. tjenesten Bing eller en tjeneste, der betegnes som værende “til Office 365" eller "for Office 365". |
| Microsoft 365-overholdelsestjenester | Følgende tjenester, hver som selvstændig tjeneste eller som indeholdt i Microsoft 365-abonnement eller -pakke: Microsoft Purview Customer Lockbox, Microsoft Purview Data Loss Prevention, Microsoft Purview Customer Key, Microsoft Purview Data Lifecycle Management, Microsoft Purview Information Barriers, Microsoft Purview Privileged Access Management, Microsoft Purview Compliance Manager, Microsoft Purview Information Protection, Microsoft Information Governance, Microsoft Purview-Insider Risk Management, Microsoft Purview Communication Compliance, Microsoft Purview Records Management, Microsoft Purview eDiscovery, and Microsoft Purview Audit, Microsoft Priva Privacy Risk Management og Microsoft Priva Subject Rights Request. |
| Microsoft Azure-kernetjenester | Azure AI, Azure AI Content Safety, Azure Active Directory B2C, Anomaly Detector, API Management, App Service (API Apps, Logic Apps, Mobile Apps, WebJobs, Functions), Lab Services, Application Gateway, Azure Monitor, Automation, Azure API for FHIR, Azure App Configuration, Azure Bastion, Azure AI Bot Service, Azure Cache for Redis, Azure AI Search, Azure Communication Services, Azure Container Apps, Azure Container Instances, Azure Container Registry (ACR), Azure Cosmos DB, Azure Data Explorer, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Databricks, Azure DDOS Protection, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Azure Firewall, Azure AI Document Intelligence, Azure Health Data Services, Azure AI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure AI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure VMware Solution, Microsoft Purview Data Map, Microsoft Purview Data Catalog, Microsoft Purview Data Estate Insights, Microsoft Purview Data Policies, Microsoft Purview Data Sharing, Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure AI Video Indexers, Azure Web PubSub, Backup, Batch, Cloud Services, Computer Vision, Content Moderator, Azure AI Custom Vision, Data Factory, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, HDInsight, Import/Export, IoT Hub, Key Vault, Language Understanding, Load Balancer, Azure Machine Learning Studio (klassisk), Media Services, Microsoft Azure Portal, Notification Hubs, Azure AI Personalizer, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Service Bus, Service Connector, Service Fabric, Azure SignalR Service, Site Recovery, Speech Services, SQL Database, SQL Managed Instance, SQL Server Stretch Database, Storage, StorSimple, Stream Analytics, Synapse Analytics, Text Analytics, Traffic Manager, Azure AI Translator, Virtual Machines, Virtual Machine Scale Sets, Virtual Network og VPN Gateway. |
| Microsoft Defender for Cloud Apps | Cloudtjenestedelen af Microsoft Defender for Cloud Apps (tidligere kaldt Microsoft Cloud App Security). |
| Microsoft Intune-Onlinetjenester | Cloud-tjenestedelen af Microsoft Intune. |
| Microsoft Power Platform-kernetjenester | Følgende tjenester, hver som selvstændig tjeneste eller som indeholdt i Office 365- eller Microsoft Dynamics 365-abonnement eller -pakke: Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages og Microsoft Copilot Studio. Microsoft Power Platform-kernetjenester omfatter ikke nogen klientsoftware, herunder – men ikke begrænset til – Power BI Report Server, Power BI, PowerApps eller Microsoft Power Automate-mobilprogrammer, Power BI Desktop eller Power Apps. |
| Microsoft Defender for Endpoint Services | Cloudtjenestedelen af Microsoft Defender for Endpoint. |
| Microsoft Defender for Identity | Cloudtjenestedelen af Microsoft Defender for Identity. |
| Microsoft Defender XDR | Cloudtjenestedelen af Microsoft Defender XDR. |
| Microsoft Sentinel | Cloud-tjenestedelen af Microsoft Sentinel. |
| Windows 365 | Cloud-tjenestedelen af Windows 365, eksklusive det Windows-operativsystem, der kører på Windows 365 Cloud-pc'er. |
Sikkerhedsforanstaltninger og -politikker for Kerneonlinetjenester.
Ud over sikkerhedsforanstaltningerne og politikkerne for Onlinetjenester i Tillæg til databeskyttelse skal hver enkelt Kerneonlinetjeneste også overholde de kontrolstandarder og frameworks, der er vist i tabellen herunder, og implementere og sikre de sikkerhedsforanstaltninger, der er angivet i Appendiks A i Tillæg til databeskyttelse vedrørende beskyttelsen af Kundedata.
| Online-service | SSAE 18 SOC 1 Type II | SSAE 18 SOC 2 Type II |
|---|---|---|
| Office 365-tjenester | Ja | Ja |
| Microsoft 365-overholdelsestjenester | Ja | Ja |
| Microsoft Dynamics 365 Core Services | Ja | Ja |
| Microsoft Azure-kernetjenester | Varierer* | Varierer* |
| Microsoft Defender for Cloud Apps | Ja | Ja |
| Microsoft Intune-Onlinetjenester | Ja | Ja |
| Microsoft Power Platform-kernetjenester | Ja | Ja |
| Microsoft Defender for Endpoint Services | Ja | Ja |
| Microsoft Defender for Identity | Ja | Ja |
| Microsoft Defender XDR | Ja | Ja |
| Microsoft Sentinel | Ja | Ja |
| Windows 365 | Ja | Ja |
*Aktuelt omfang er beskrevet i detaljer i kontrolrapporten og summeret i Microsoft Trust Center.
Placering af inaktive Kundedata for Kerneonlinetjenester:
Når det gælder Kerneonlinetjenester, gemmer Microsoft inaktive Kundedata inden for større geografiske områder (Geoer) på følgende måde, medmindre andet fremgår af de Specifikke Vilkår for Onlinetjenester:
- Office 365-tjenester. Hvis kunden har lejere i Australien, Brasilien, Canada, EU, Forenede Arabiske Emirater, Frankrig, Indien, Japan, Norge, Qatar, Storbritannien, Schweiz, Sydafrika, Sverige, Sydkorea, Tyskland eller USA, gemmer Microsoft kun følgende inaktive Kundedata inden for det pågældende Geo. (1) Indhold i Exchange Online-postkasse (mailbrødtekst, kalenderposter og indholdet af vedhæftede filer til mails), (2) indhold på SharePoint Online-websted og de filer, der er lagret på det pågældende websted, (3) filer, der er uploadet til OneDrive for Business, og 4) Microsoft Teams-chatmeddelelser (herunder private meddelelser, kanalmeddelelser, mødemeddelelser og billeder, der bruges i chat) og mødeoptagelser for kunder, der bruger Microsoft Stream (klassisk) (på SharePoint), og (5) ethvert lagret indhold fra interaktioner med Microsoft Copilot til Microsoft 365, i det omfang det ikke er inkluderet i de forudgående forpligtelser. Hvis Kunden køber et abonnement på Advanced Data Residency, lagrer Microsoft visse inaktive Kundedata i det pågældende Geo i overensstemmelse med dette afsnit og afsnittet "Advanced Data Residency Commitments" (Advanced Data Residency-forpligtelser) i produktdokumentationen på https://aka.ms/adroverview.
- Microsoft Intune-onlinetjenester. Når Kunden leverer en Microsoft Intune-lejerkonto, der skal installeres i et tilgængeligt Geo, så vil Microsoft for den pågældende Tjeneste lagre inaktive Kundedata inden for det angivne Geo, medmindre andet er angivet i Microsoft Intune Trust Center.
- Microsoft Power Platform-kernetjenester. Når Kunden leverer en Power Platform-kernetjeneste, der skal installeres i et tilgængeligt Geo, så vil Microsoft for den pågældende Tjeneste lagre inaktive Kundedata inden for det angivne Geo, medmindre andet er angivet i Microsoft Power Platform Trust Center.
- Microsoft Azure-kernetjenester. Hvis Kunden konfigurerer en bestemt tjeneste, der skal anvendes i en Geo, gemmer Microsoft inaktive Kundedata i den angivne Geo for den relevante tjeneste. Visse tjenester giver muligvis ikke Kunden mulighed for at konfigurere implementering i en bestemt Geo eller uden for USA og kan opbevare sikkerhedskopier på andre placeringer. Gå til Microsoft Trust Center (som Microsoft til enhver tid kan opdatere, men Microsoft tilføjer ikke undtagelser for eksisterende Tjenester i generel version) for at få flere oplysninger.
- Microsoft Defender for Cloud Apps. Hvis Kunden leverer tjenester til lejeren i EU eller USA, gemmer Microsoft kun inaktive Kundedata inden for det pågældende Geo, medmindre andet fremgår af Microsoft Defender for Cloud Apps Trust Center.
- Microsoft Dynamics 365 Core Services. Når Kunden leverer en Dynamics 365-kernetjeneste, der skal installeres i et tilgængeligt Geo, så vil Microsoft for den pågældende Tjeneste lagre inaktive Kundedata inden for det angivne Geo, medmindre andet er angivet i Microsoft Dynamics 365 Trust Center.
- Microsoft Defender for Endpoint Services. Når Kunden leverer en Microsoft Defender for Endpoint-lejer, der skal installeres i et tilgængeligt Geo, så vil Microsoft for den pågældende Tjeneste lagre inaktive Kundedata inden for det angivne Geo, medmindre andet er angivet i Microsoft Defender for Endpoint Trust Center.
- Microsoft Defender for Identity. Når Kunden leverer en Microsoft Defender for Identity-lejer, der skal installeres i et tilgængeligt Geo, så vil Microsoft for den pågældende Tjeneste lagre inaktive Kundedata inden for det angivne Geo, medmindre andet er angivet i Microsoft Defender for Identity Trust Center.
- Microsoft Defender XDR. Når Kunden leverer en Microsoft Defender XDR-lejer, der skal installeres i et tilgængeligt Geo, så vil Microsoft for den pågældende Tjeneste lagre inaktive Kundedata inden for det angivne Geo, medmindre andet er angivet i Microsoft Defender XDR Trust Center.
- Windows 365. Når en Windows 365-lejer installeres i et tilgængeligt Geo, gemmer Microsoft inaktive Kundedata for den pågældende lejer i den pågældende angivne Geo. Hvis Kunden klargør Windows 365 Cloud-pc'er inden for den samme lejer til forskellige tilgængelige Geoer, gemmer Microsoft inaktive Kundedata for hver Cloud-pc inden for den pågældende angivne Geo.
Tjenester inden for EU's datagrænse
Begrebet "EU's datagrænse" betyder Microsofts computere, computermiljø og fysiske datacentre, der udelukkende er placeret i EU og EFTA (European Free Trade Association). Begrebet "Tjenester inden for EU's datagrænse" gælder kun Onlinetjenesterne i tabellen herunder med undtagelse af eventuelle Eksempler.
| Tjenester inden for EU's datagrænse | |
|---|---|
| Azure | Azure-tjenester, der muliggør installation i et område inden for EU's datagrænse og følgende ikke områderelaterede tjenester: Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, Azure Communication Services, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Azure Kubernetes Service on Azure Stack HCI, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager, Translator |
| Dynamics 365 | Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management |
| Microsoft 365 | Customer Lockbox, Exchange Online, Exchange Online Archiving for Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (klassisk) (på SharePoint), Microsoft Teams, Microsoft To-Do, Office for the web, Onlinetjenester leveret som del af Microsoft 365 Apps, OneDrive for Business, SharePoint Online, Sway, Whiteboard, Viva Engage, Microsoft Copilot for Microsoft 365, Communications Compliance, eDiscovery and Audit, Insider Risk Management, Information Barriers, Microsoft Purview Data Loss Prevention, Microsoft Intune, Priva Privacy Risk Management, Priva Subject Rights Management, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft Copilot for Sales og Microsoft Viva Topics |
| Power Platform | Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio |
Placering af Kundedata for Tjenester inden for EU's datagrænser
For Tjenester inden for EU's datagrænse opbevarer og behandler Microsoft Kundeoplysninger og Personlige oplysninger inden for EU's datagrænse i henhold til nedenstående.
Kunde skal konfigurere Tjenester inden for EU's datagrænse på følgende måde:
- Når det gælder Azure, skal Kunden installere tjenesten i et Azure-område, der er placeret inden for EU's datagrænse. Se Placering af data i Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency) for at få yderligere oplysninger. Med hensyn til tjenester, der ikke muliggør installation i et bestemt Azure-område, skal kunden følge instruktionerne under Konfiguration af ikke-områderelaterede Azure-tjenester for EU's datagrænse (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
- Med hensyn til Dynamics 365 og Power Platform, gælder det, at hvis Kunden klargør en lejer med en faktureringsadresse i EU eller EFTA, vil den pågældende lejer være inden for omfanget af EU's datagrænse, hvis Kunden også opretter alle dennes miljøer i et geografiske område inden for EU's datagrænse.
- For Microsoft 365 gælder det, at hvis Kunden klargør en lejer i EU eller EFTA, vil den pågældende lejer være inden for omfanget af EU's datagrænse, med undtagelse af de lejere, hvor Kunden også har købt tillægsprogrammet Multi-Geo Capabilities til Microsoft 365, der giver kunder mulighed for at udvide tilstedeværelsen af Microsoft 365-lejeren til flere geografiske områder eller lande (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).
Brug af Tjenester inden for EU's datagrænse kan medføre begrænsede overførsler af Kundedata eller Personlige oplysninger uden for EU's datagrænse, sådan som det fremgår af nedenstående og som yderligere beskrevet i dokumentationen for transparens for EU's datagrænse, der findes på https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn eller en efterfølgerplacering. Sådanne overførsler udføres i overensstemmelse med Tillæg om databeskyttelse og Produktvilkår.
- Fjernadgang. Microsoft-personale, der er placeret uden for EU's datagrænse, kan via fjernadgang tilgå databehandlingssystemer inden for EU's datagrænse efter behov for at betjene, foretage fejlfinding af og beskytte Tjenester inden for EU's datagrænse.
- Kundeinitierede overførsler. Kunder kan initiere overførsler uden for EU's datagrænse, hvilket kan ske ved at tilgå Tjenester inden for EU's datagrænse fra placeringer uden for EU's datagrænse, sende en e-mail til en modtager, der er placeret uden for EU's datagrænse eller brug af Tjenester inden for EU's datagrænse sammen med andre tjenester, der ikke er inden for EU's datagrænse.
- Beskyttelse af Kunder. Microsoft overfører begrænsede data uden for EU's datagrænse efter behov for at registrere og beskytte Kunder mod sikkerhedstrusler.
- Vejviserdata. Microsoft kan replikere begrænsede Microsoft Entra-vejviserdata fra Microsoft Entra ID (herunder brugernavn og e-mailadresse) uden for EU's datagrænse for at levere tjenesten.
- Netværkstransit. For at reducere ventetiden under distribution og bevare fleksibiliteten i distributionen bruger Microsoft variable netværksstier, hvilket lejlighedsvist kan medføre, at der overføres data til steder uden for EU's datagrænse.
- Kvalitet og styring af Tjenesten og Platformen. I forbindelse med krav om overvågning og styring af tjenesternes kvalitet eller sikring af nøjagtigheden af de statistiske foranstaltninger for tjenestens brug og effektivitet overføres der muligvis pseudonymiserede Personlige oplysninger uden for EU's datagrænse.
- Tjenestespecifikke overførsler. Se dokumentationen om transparens, der henvises til herover, for at få oplysninger om overførsler, der gælder for specifikke Tjenester inden for EU's datagrænse.