Postanowienia dotyczące prywatności i bezpieczeństwa

Postanowienia ogólne

Postanowienia dotyczące prywatności i bezpieczeństwa zostały poprzednio umieszczone w Załączniku 1 do Postanowień dotyczących Usług Online.

W Dodatku dotyczącym Ochrony Danych (zdefiniowanym w Słowniczku) określono zobowiązania stron w zakresie przetwarzania i zabezpieczania Danych Klienta, Danych dotyczących Usług Profesjonalnych i Danych Osobowych w ramach Produktów. Dodatek dotyczący Ochrony Danych można pobrać ze strony https://aka.ms/DPA. W przypadku sprzeczności lub niezgodności między postanowieniami Dodatku dotyczącego Ochrony Danych a innymi postanowieniami zawartej przez Klienta umowy licencyjnej (w tym niniejszymi postanowieniami) postanowienia Dodatku dotyczącego Ochrony Danych mają charakter rozstrzygający.

Wyjątki od Dodatku dotyczącego Ochrony Danych

Postanowienia dotyczące Prywatności i Bezpieczeństwa zawarte w poniższej tabeli modyfikują lub uzupełniają Dodatek dotyczący Ochrony Danych dla każdej ze wskazanych Usług Online.

Rodzina Produktów	Usługa Online	Postanowienia dotyczące & Prywatności i Bezpieczeństwa
Microsoft Azure	Usługi Azure AI Services	Usługi w kontenerach Ponieważ środowisko operacyjne kontenerów zainstalowanych na dedykowanym sprzęcie Klienta nie podlega kontroli Microsoft, postanowienia Dodatku dotyczącego Ochrony Danych nie mają zastosowania do tych kontenerów, z wyjątkiem sytuacji, gdy a) wszelkie Dane Osobowe są gromadzone w związku z punktem końcowym rozliczeń lub b) Dane Klienta są przekazywane Microsoft w celu przeprowadzenia szkolenia niestandardowego modelu przed pobraniem Usługi działającej w kontenerze.
	Usługi Azure AI Services	Nieaktywne konfiguracje i modele niestandardowe Usług Na potrzeby przechowywania i usuwania danych, konfiguracja Usług lub niestandardowy model, który jest nieaktywny, mogą być według uznania Microsoft traktowane jako Usługa Online, na którą subskrypcja Klienta wygasła. Konfiguracja lub model niestandardowy są nieaktywne, jeśli przez 90 dni (1) nie dokonano w związku z nimi żadnego wywołania; (2) nie zostały one zmodyfikowane i nie jest do nich przypisany bieżący klucz oraz (3) Klient nie dokonał w nich rejestracji.
	Wielochmurowe Łączniki Skanujące do usługi Microsoft Purview	Aby zapewnić współdziałanie z wdrożeniami Klienta u innych dostawców usług w chmurze, Microsoft może obsługiwać w ramach tych innych chmur pewne opcjonalne, odrębne funkcje skanera danych dla danych Klienta hostowanych w tych innych chmurach („Łączniki Skanujący wielu chmur do usługi Microsoft Purview”). Microsoft wyjaśni w odpowiedniej dokumentacji, jak Klient może włączyć Wielochmurowe Łączniki Skanujące do usługi Microsoft Purview i ich używać. Wielochmurowe Łączniki Skanujące do usługi Microsoft Purview to odrębny dodatek do usługi Microsoft Purview. Wielochmurowe Łączniki Skanujące do usługi Microsoft Purview nie są Podstawowymi Usługami Microsoft Azure i następujące punkty Dodatku dotyczącego Ochrony Danych nie mają do nich zastosowania: „Instytucje edukacyjne”, „Umowa kliencka z CJIS”, „Partner Biznesowy w Rozumieniu Ustawy HIPAA” oraz „Dodatek A — Środki bezpieczeństwa”. Wyłącznie w odniesieniu do Wielochmurowe Łączniki Skanujące do usługi Microsoft Purview mają zastosowanie następujące zmiany w postanowieniach Dodatku dotyczącego Ochrony Danych: Dostęp do danych: W celu kontroli dostępu do Danych Klienta (w tym wszelkich zawartych w nich Danych Osobowych) Microsoft stosuje mechanizmy dostępu oparte na zasadzie minimalnego uprzywilejowania. Microsoft stosuje kontrolę dostępu opartą na rolach, aby zagwarantować, że dostęp Microsoft do Danych Klienta wymaganych do realizacji usług służy właściwemu celowi i jest zatwierdzony pod nadzorem kierownictwa. Kontrola przestrzegania postanowień: Zobowiązania Microsoft zawarte w części Dodatku dotyczącego Ochrony Danych dotyczącej zgodności z audytem nie obejmują komputerów innych firm, środowisk obliczeniowych ani fizycznych centrów danych wykorzystywanych przez Wielochmurowych Łączników Skanujących do usługi Microsoft Purview. Używanie przez Klienta Wielochmurowych Łączników Skanujących do usługi Microsoft Purview hostowanych w chmurach innych dostawców podlega standardowym postanowieniom dotyczącym ochrony danych, przyjętym przez takich dostawców.
	Visual Studio App Center	Oświadczenie o ochronie prywatności znajduje się pod adresem https://aka.ms/actestprivacypolicy dotyczy korzystania przez Klienta z usługi Visual Studio App Center Test. Klient nie może używać usługi Visual Studio App Center Test do przechowywania ani przetwarzania Danych Osobowych.
	Wystąpienie zarządzane SQL włączone przez Azure Arc	Postanowienia Dodatku dotyczącego Ochrony Danych nie mają zastosowania do przetwarzania danych w wystąpieniu zarządzanym SQL włączonym przez usługę Azure Arc działającą w środowisku poza kontrolą Microsoft, z wyjątkiem przypadków, w których Dane Osobowe są gromadzone w celu włączenia usług zarządzania platformą Azure i pomiaru wykorzystania w celach rozliczeniowych
	Microsoft Genomics	Do korzystania przez Klienta z Microsoft Genomics ma zastosowanie Oświadczenie o ochronie prywatności Microsoft dostępne pod adresem https://aka.ms/privacy, nie w Dodatku dotyczącym Ochrony Danych, z tym wyjątkiem, że w zakresie, w jakim jest ono sprzeczne z Oświadczeniem o ochronie prywatności Microsoft, obowiązuje niniejszy punkt dotyczący Microsoft Genomics. Postanowienia Licencyjne Broad Usługa Microsoft Genomics obejmuje dostęp do oprogramowania Genetic Analysis Toolkit (GATK) opracowanego przez Broad Institute, Inc. („Broad”). Korzystanie z GATK i wszelkiej powiązanej dokumentacji w ramach rozwiązania Microsoft Genomics podlega również Umowie Licencyjnej Użytkownika Końcowego GATK Broad („Broad EULA” dostępnej pod adresem https://software.broadinstitute.org/gatk/eula/index?p=Azure). Microsoft może zbierać i udostępniać Broad określone dane statystyczne i techniczne dotyczące korzystania przez Klienta z narzędzia GATK. Klient upoważnia Microsoft do poinformowania Broad o swoim statusie jako użytkownika GATK w Microsoft Genomics.
	Azure SQL Edge	Postanowienia zawarte w Dodatku dotyczącym Ochrony Danych nie dotyczą Azure SQL Edge zainstalowanego na komputerze Klienta Urządzenia IoT z wyjątkiem przypadków, w którychDane Osobowe są gromadzone w celu umożliwienia działania usług zarządzania platformą Azure i pomiaru wykorzystania w celach rozliczeniowych, ponieważ środowisko operacyjne takich usług Urządzeń IoT nie podlega kontroli Microsoft.
	Azure Stack HCI	Microsoft będzie administratorem Danych Osobowych, gdy klienci włączą zbieranie danych diagnostycznych systemu Windows zgodnie z opisem w dokumentacji produktu. Jeśli Microsoft jest administratorem, Microsoft będzie się zajmować Danymi Osobowymi zgodnie z Oświadczeniem o Ochronie Prywatności Microsoft dostępnym pod adresem aka.ms/privacy, a postanowienia Dodatku dotyczącego Ochrony Danych nie mają zastosowania.
	Azure Stack Hub	Microsoft będzie administratorem Danych Osobowych, gdy klienci włączą zbieranie danych diagnostycznych systemu Windows zgodnie z opisem w dokumentacji Produktu. Jeśli Microsoft jest administratorem, Microsoft będzie się zajmować Danymi Osobowymi zgodnie z Oświadczeniem o Ochronie Prywatności Microsoft dostępnym pod adresem aka.ms/privacy, a postanowienia Dodatku dotyczącego Ochrony Danych nie mają zastosowania. Jeśli Klient, który zawarł Umowę Microsoft Cloud Agreement lub umowę Microsoft Customer Agreement, używa oprogramowania lub usług Microsoft Azure Hub obsługiwanych przez Odsprzedawcę, wówczas takie używanie podlega praktykom ochrony prywatności stosowanym przez tego Odsprzedawcę, które mogą różnić się od praktyk stosowanych przez Microsoft.
	Azure VMware Solution	Przeniesienie Danych dotyczących Usług Profesjonalnych do VMware Jeśli klient skontaktuje się z Microsoft w celu uzyskania pomocy technicznej dotyczącej usługi Azure VMware Solution, a Microsoft będzie potrzebować zaangażowania VMware do pomocy w rozwiązaniu problemu, Microsoft przekaże do VMware Dane dotyczące Usług Profesjonalnych oraz Dane Osobowe zawarte w zgłoszeniu pomocy technicznej. Przekazanie danych odbywa się zgodnie z postanowieniami Umowy dotyczącej przekazania danych w ramach usług pomocy technicznej zawartej między VMware i Microsoft, na mocy której Microsoft i VMware są odrębnymi podmiotami przetwarzającymi Dane dotyczące Usług Profesjonalnych. Przed przekazaniem Danych dotyczących Usług Profesjonalnych do VMware Microsoft uzyska i zarejestruje zgodę klienta na takie przekazanie. Umowa z VMware dotycząca przetwarzania danych Po przekazaniu Danych dotyczących Usług Profesjonalnych do VMware (zgodnie z powyższym punktem) VMware jako niezależny podmiot przetwarzający będzie przetwarzać Dane dotyczące Usług Profesjonalnych, w tym Dane Osobowe zawarte w zgłoszeniu pomocy technicznej, zgodnie z postanowieniami Umowy z VMware dotyczącej przetwarzania danych klientów Microsoft AVS przekazanych w ramach pomocy technicznej L3 (https://rc.portal.azure.com/verifyLink?href=https%3A%2F%2Fwww.vmware.com%2Fvmware-dpa-for-avs-customers.html&id=Microsoft_Azure_Marketplace). Klient wyraża również zgodę na to, aby jego przedstawiciele, którzy zwrócą się o pomoc techniczną dotyczącą usługi Azure VMware Solution, wyrazili w jego imieniu zgodę na przekazanie przez Microsoft Danych dotyczących Usług Profesjonalnych do VMware.
Bing	Bing	Dodatek dotyczący Ochrony Danych nie ma zastosowania do usług wyszukiwania Bing ani do jakiegokolwiek wykorzystania usługi Bing w ramach Produktu. W przypadku każdego komponentu Produktu obsługiwanego przez Bing, zgodnie z ujawnieniem w dokumentacji produktu, obowiązuje Oświadczenie o Ochronie Prywatności Microsoft (https://privacy.microsoft.com/privacystatement).
GitHub	Oferta usług GitHub	Niezależnie od wszelkich odmiennych postanowień umowy licencjonowania zbiorowego Klienta (w tym niniejszych Postanowień dotyczących Produktu i Dodatku dotyczący Ochrony Danych),Oświadczenie o ochronie prywatności GitHub dostępne na stronie https://aka.ms/github_privacy i Umowa o Ochronie Danych GitHub na stronie https://aka.ms/github_dpa będą dotyczyć korzystania przez Klienta z Oferty GitHub, w tym z licencji GitHub Enterprise udzielanej samodzielnie lub jako Visual Studio Enterprise, lub Professional z GitHub Enterprise.
Usługi Office 365	Office 365 Education	Jeśli Klient znajduje się poza UE lub EFTA i posiada subskrypcję Office 365 Education, lecz nie zakupił dodatku Advanced Data Residency for Education, wówczas niezależnie od zapisów punktu „Lokalizacja danych Klienta w spoczynku dla Podstawowych Usług Online” Postanowień dotyczących Produktu, Microsoft może udostępnić dzierżawę Office 365 Education Klientowi, przesłać do niej Dane Klienta oraz przechowywać Dane Klienta w spoczynku w dowolnym miejscu na terenie Unii Europejskiej lub Ameryki Północnej. Jeśli Klient znajduje się w UE lub EFTA i posiada subskrypcję Office 365 Education, lecz nie zakupił dodatku Advanced Data Residency for Education, wówczas niezależnie od zapisów punktu „Lokalizacja danych Klienta w spoczynku dla Podstawowych Usług Online” Postanowień dotyczących Produktu, Microsoft może udostępnić dzierżawę Office 365 Education Klientowi, przesłać do niej Dane Klienta oraz przechowywać Dane Klienta w spoczynku w dowolnym miejscu na terenie Unii Europejskiej.
Usługi Microsoft Dynamics 365	Dynamics 365 Business Central i Dynamics 365 Finance w Danii	Przepisy i regulacje dotyczące księgowości Niniejsze warunki mają zastosowanie wyłącznie do Klientów posiadających przedsiębiorstwo w Danii zgodnie z wymogami Ustawy o rachunkowości. Dodatek dotyczący Ochrony Danych reguluje sposób, w jaki Microsoft obsługuje Dane Klienta w Dynamics 365 Business Central i Dynamics 365 Finance, z wyjątkiem przechowywania, usuwania i ujawniania Materiałów Księgowych. W przypadku wystąpienia jakiegokolwiek konfliktu lub niespójności pomiędzy Dodatkiem dotyczącym Ochrony Danych a wszelkimi innymi postanowieniami umowy licencyjnej Klienta, pierwszeństwo mają niniejsze postanowienia. Definicje „Materiały Księgowe” oznaczają wszelkie dokumenty składające się na księgowość, w tym wszelkie zarejestrowane transakcje i wpływy oraz inne dane (w tym Dane Osobowe) dla przedsiębiorstwa, które Klient dostarcza lub są dostarczane w imieniu Klienta w Cyfrowym Standardowym Systemie Księgowym, zgodnie z wymogami Ustawy o księgowości. „Ustawa o księgowości” oznacza duńską ustawę o księgowości z dnia 24 maja 2022 r. oraz wszelkie wydane rozporządzenia wykonawcze regulujące obowiązki przedsiębiorstw w zakresie księgowości i rachunkowości, a także dostawców cyfrowych standardowych systemów księgowych w Danii. „Duński organ” oznacza każdy (i) duński organ publiczny posiadający niezbędne uprawnienia prawne do kontrolowania przedsiębiorstwa i żądania materiałów księgowych na mocy Ustawy o księgowości lub innych stosownych przepisów; lub (ii) likwidatora, syndyka masy upadłościowej lub reorganizatora, który przejął zarządzanie danym przedsiębiorstwem. „Cyfrowy Standardowy System Księgowy” oznacza cyfrową usługę lub oprogramowanie zawierające funkcje umożliwiające przedsiębiorstwom rejestrowanie i przechowywanie Materiałów Księgowych lub co najmniej ich pełnej kopii zapasowej na serwerze hostowanym przez dostawcę lub inną osobę trzecią zgodnie z przepisami i standardami Ustawy o Księgowości. Przechowywanie danych i usuwanie Materiałów Księgowych Korzystając z Dynamics 365 Business Central lub Dynamics 365 Finance, Klient wyraża zgodę na to, że Microsoft lub jego Podmioty Stowarzyszone, zgodnie ze swoimi obowiązkami prawnymi, mogą kopiować, przechowywać i zachowywać Materiały Księgowe Klienta przez 5 lat od końca roku obrotowego dla powiązanych zarejestrowanych transakcji i wpływów (dalej zwanym „Okresem Przechowywania”), nawet jeśli Klient zmieni swój system księgowy, zbankrutuje lub ulegnie likwidacji, zgodnie z wymogami Ustawy o księgowości. Microsoft będzie przechowywać Materiały Księgowe Klienta w stanie spoczynku w magazynie zarządzanym przez Microsoft, w tej samej lokalizacji, w której znajduje się główny sprzęt komputerowy przetwarzający Dane Klienta na potrzeby tych usług lub na terenie Unii Europejskiej. W Okresie Przechowywania Klient nie może uzyskać dostępu, wyodrębnić, poprawić ani usunąć żadnych swoich Materiałów Księgowych znajdujących się w wyżej wspomnianym magazynie. Microsoft będzie stosować takie same środki bezpieczeństwa w celu ochrony Materiałów Księgowych Klienta, jakich używa w celu ochrony innych Danych Klienta. Po zakończeniu Okresu Przechowywania Microsoft usunie Materiały Księgowe Klienta. Microsoft nie ponosi odpowiedzialności za usunięcie Materiałów Księgowych Klienta. Ujawnienie Materiałów księgowych Microsoft ujawni Materiały Księgowe Klienta lub udostępni je duńskim władzom w zakresie niezbędnym do spełnienia żądania wymagającego takiego ujawnienia zgodnie z wymogami Ustawy o księgowości. Inne dane, które Klient przechowuje w tych Standardowych Cyfrowych Systemach Księgowych, nie podlegają ujawnieniu. Władze duńskie są upoważnione do żądania Materiałów Księgowych od dostawców Standardowych Cyfrowych Systemów Księgowych wyłącznie w przypadku, gdy uzyskanie informacji bezpośrednio od danego przedsiębiorstwa nie jest możliwe. Microsoft nie ponosi odpowiedzialności za ujawnienie Materiałów Księgowych Klienta jakiemukolwiek duńskiemu organowi.
Usługi Microsoft Dynamics 365	Microsoft Relationship Sales	LinkedIn Sales Navigator Usługa LinkedIn Sales Navigator jest udostępniana przez LinkedIn Corporation. Klient może używać usługi LinkedIn Sales Navigator wyłącznie do nawiązywania kontaktów handlowych. Każdy użytkownik usługi LinkedIn Sales Navigator musi być użytkownikiem portalu LinkedIn i zgodzić się na związanie się postanowieniami Umowy użytkownika usług LinkedIn dostępnej pod adresem https://www.linkedin.com/legal/preview/user-agreement. Niezależnie od wszelkich odmiennych postanowień umowy licencjonowania zbiorowego Klienta (w tym niniejszych Postanowień dotyczących Produktu), Zasady Ochrony Prywatności LinkedIn dostępne na stronie https://www.linkedin.com/legal/privacy-policy będą miały zastosowanie do korzystania przez Klienta z usługi LinkedIn Sales Navigator. LinkedIn Corporation (jako podmiot przetwarzający dane) i Klient (jako administrator danych) zobowiązani są przestrzegać postanowień Umowy o Przetwarzaniu Danych LinkedIn, dostępnej na stronie https://legal.linkedin.com/dpa.
Microsoft 365	Starsze Wersje Usługi Glint	Dostęp Klienta do Starszych Wersji Usług Glint i korzystanie z nich podlega warunkom określonym w ostatnio aktywnym Formularzu lub Formularzach Zamówienia Klienta na Starsze Wersje Usługi Glint w serwisie LinkedIn. Do Starszych Wersji Usług Glint nie będą mieć zastosowania żadne postanowienia Microsoft, w tym Postanowienia dotyczące Produktów Microsoft, postawienia Dodatku dotyczącego Ochrony Danych ani postanowienia żadnych innych umów zawartych pomiędzy Klientem a Microsoft.
Inne Usługi Online	Microsoft Intune	Jeśli do zarządzania urządzeniami używana jest aplikacja Intune Company Portal, do korzystania z aplikacji Intune Company Portal stosuje się Postanowienia dotyczące Usług Online Microsoft Intune (zgodnie z definicją podaną w tabeli Podstawowych Usług Online w niniejszych Postanowieniach dotyczących &Prywatności i Bezpieczeństwa). Zobowiązania Microsoft dotyczące aplikacji Intune Company Portal nie mają zastosowania do zasad przetwarzania danych, polityk lub praktyk zewnętrznych operatorów platform do obsługi urządzeń przenośnych, w ramach których działa wspomniana aplikacja Intune Company Portal (np. Apple, Google).
Inne Usługi Online	Zarządzane urządzenia i aplikacje	Usługa Microsoft Managed Desktop (MMD) integruje dane (w tym Dane Klienta) pomiędzy innymi produktami Microsoft, w tym systemem Windows, identyfikatorem Microsoft Entra ID, usługą Microsoft Intune, programem Microsoft Defender for Endpoint, pakietem Office i Usługami Online, zgodnie z konfiguracją Klienta, o ile istnieje (łącznie na potrzeby niniejszego dokumentu określane jako „Zintegrowane Usługi MMD”). Po przekazaniu danych między Usługami Zintegrowanymi MMD dane te podlegają Postanowieniom dotyczącym Produktów mającym zastosowanie do usługi, w której się znajdują.

Produkty będące Oprogramowaniem wyłączone z Dodatku dotyczącego Ochrony Danych

O ile nie określono tego inaczej w Szczególnych postanowieniach dotyczących Produktów, postanowienia Dodatku dotyczącego Ochrony Danych nie mają zastosowania do: funkcji internetowych Produktów będących Oprogramowaniem, komputerowego systemu operacyjnego Windows, systemu Windows Server oraz Produktów będących Oprogramowaniem stanowiących część innych Produktów. Każdy z tych Produktów podlega postanowieniom dotyczącym prywatności i bezpieczeństwa zawartym w stosownych Szczególnych postanowieniach dotyczących Produktów.

Produkty Niepochodzące od Microsoft

Używanie przez Klienta Produktów Niepochodzących od Microsoft podlega innym postanowieniom, w tym innym postanowieniom dotyczącym prywatności i bezpieczeństwa, (zgodnie z definicją zawartą w dokumencie Powszechne postanowienia licencyjne dla Usług Online).

Wyłączenia geograficzne w postanowieniach Dodatku dotyczącego Ochrony Danych

W przypadku usług internetowych Dynamics 365 i Power Platform szczególne postanowienia Dodatku dotyczącego Ochrony Danych, o których mowa w Aneksie A, mówiące o tym, że „Microsoft przechowuje kopie Danych Klienta i procedury odzyskiwania danych w innej lokalizacji niż lokalizacja głównego sprzętu komputerowego służącego do przetwarzania Danych Klienta”, nie mają zastosowania w Zjednoczonych Emiratach Arabskich i Republice Południowej Afryki.

Podstawowe Usługi Online

Termin „Podstawowe Usługi Online” dotyczy tylko usług wymienionych w poniższej tabeli, z wyłączeniem wszelkich Wersji Zapoznawczych.

Usługi Online
Podstawowe Usługi Microsoft Dynamics 365	Następujące usługi (jako usługi samodzielne albo zawarte w planie lub aplikacji pod nazwą Dynamics 365): Dynamics 365 Customer Service, Dynamics 365 Customer Insights, Dynamics 365 Field Service, Dynamics 365 Business Central, Dynamics 365 Supply Chain Management, Dynamics 365 Intelligent Order Management, Dynamics 365 Finance, Dynamics 365 Commerce, Dynamics 365 Human Resources, Dynamics 365 Project Operations oraz Dynamics 365 Sales. Podstawowe Usługi Dynamics 365 nie obejmują następujących usług: (1) Dynamics 365 dla obsługiwanych urządzeń lub programów, w tym m.in. usług Dynamics 365 na aplikacje, tablety, telefony lub dowolne z nich; (2) LinkedIn Sales Navigator, a także, (3) o ile wyraźnie nie zdefiniowano inaczej w postanowieniach licencyjnych do danej usługi, innych występujących pod odrębnymi nazwami usług udostępnianych lub powiązanych z Podstawowymi Usługami Dynamics 365.
Usługi Office 365	Następujące usługi (jako usługi samodzielne albo zawarte w planie lub pakiecie udostępnianym pod nazwą Office 365 lub Microsoft 365): Customer Lockbox, Exchange Online Archiving, Exchange Online Protection, Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft Planner, Microsoft Stream (wersja klasyczna), Microsoft Teams, Microsoft To-Do, Microsoft Defender for Office 365, Office for the web, OneDrive for Business, Project, SharePoint, Sway, Viva Insights, Whiteboard, Viva Engage i Microsoft 365 Copilot. Usługi Office 365 nie obejmują Aplikacji Microsoft 365 dla przedsiębiorstw, usługi PSTN działającej poza kontrolą Microsoft, oprogramowania klienta ani jakiejkolwiek usługi udostępnianej pod odrębną nazwą razem z planem lub pakietem Office 365 lub Microsoft 365 (m.in. usługi Bing lub usług udostępnianych pod nazwą „for Office 365”).
Microsoft 365 Compliance Services (LS na Użytkownika)	Następujące usługi (jako usługi samodzielne albo zawarte w planie lub pakiecie oznaczonym marką Microsoft 365): Microsoft Purview Customer Lockbox, Microsoft Purview Data Loss Prevention, Microsoft Purview Customer Key, Microsoft Purview Data Lifecycle Management, Microsoft Purview Information Barriers, Microsoft Purview Privileged Access Management, Microsoft Purview Compliance Manager, Microsoft Purview Information Protection, Microsoft Information Governance, Microsoft Purview-Insider Risk Management, Microsoft Purview Communication Compliance, Microsoft Purview Records Management, Microsoft Purview eDiscovery, oraz Microsoft Purview Audit, Microsoft Priva Privacy Risk Management, i Microsoft Priva Subject Rights Request.
Podstawowe Usługi Microsoft Azure	Azure AI, Azure AI Content Safety, Azure Active Directory B2C, Anomaly Detector, API Management, App Service (aplikacje API, aplikacje logiki, aplikacje mobilne, WebJobs, funkcje), Lab Services, Application Gateway, Azure Monitor, automatyzacja, Azure API for FHIR, Azure App Configuration, Azure Bastion, Azure AI Bot Service, Azure Cache for Redis, Azure AI Search, Azure Communication Services, Azure Container Apps, Azure Container Instances, Azure Container Registry (ACR), Azure Cosmos DB, Azure Data Explorer, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Databricks, Azure DDOS Protection, Azure DevOps, Azure DNS, Microsoft Entra ID, Azure Event Grid, Microsoft Fabric, Azure Firewall, Azure AI Document Intelligence, Azure Health Data Services, Azure AI Immersive Reader, Azure Kubernetes Service, Azure Managed Grafana, Azure Machine Learning, Azure AI Metrics Advisor, Azure NetApp Files, Azure OpenAI Service, Azure Red Hat OpenShift, Azure Rozwiązanie VMware, Microsoft Purview Data Map (wersja klasyczna), Microsoft Purview Data Catalog (wersja klasyczna), Microsoft Purview Data Estate Insights (wersja klasyczna), Microsoft Purview Data Policies (wersja klasyczna), Azure Resource Manager, Azure Spring Apps, Azure Time Series Insights, Azure AI Video Indexers, Azure Web PubSub, kopia zapasowa, pakiet, usługi w chmurze, Computer Vision, Content Moderator, Azure AI Custom Vision, fabryka danych, Data Lake Analytics, Data Lake Store, Event Hubs, Express Route, Face, HDInsight, import/eksport, IoT Hub, Key Vault, Language Understanding, Load Balancer, Azure Machine Learning Studio (wersja klasyczna), usługi multimedialne, Microsoft Azure Portal, Notification Hubs, Azure AI Personalizer, Power BI Embedded, QnA Maker, Microsoft Defender for Cloud, Service Bus, Service Connector, Service Fabric, Azure SignalR Service, Site Recovery, Speech Services, SQL Database, SQL Managed Instance, SQL Server Stretch Database, Storage, StorSimple, Stream Analytics, Synapse Analytics, Text Analytics, Traffic Menedżer, Azure AI Translator, maszyny wirtualne, zestawy skalowania maszyn wirtualnych, sieć wirtualna i brama VPN.
Usługi Online Microsoft Intune	Część usługi Microsoft Intune właściwa dla usługi chmurowej.
Podstawowe Usługi Microsoft Power Platform	Następujące usługi (jako usługi samodzielne albo zawarte w planie lub pakiecie udostępnianym pod nazwą Office 365 lub Microsoft Dynamics 365): Microsoft Power BI, Microsoft Power Apps, Microsoft Power Automate, Microsoft Power Pages oraz Microsoft Copilot Studio. Podstawowe Usługi Microsoft Power Platform nie obejmują żadnego oprogramowania klienckiego, w tym między innymi aplikacji mobilnych Power BI Report Server, Power BI, PowerApps lub Microsoft Power Automate, Power BI Desktop ani Power Apps Studio.
Microsoft Copilot	Microsoft Copilot używany z kontem służbowym lub szkolnym.
Microsoft Defender Experts	Część usługi chmurowej Microsoft Defender Experts.
Microsoft Defender for Cloud Apps	Część usługi Microsoft Defender for Cloud Apps właściwa dla usługi chmurowej (dawniej Microsoft Cloud App Security).
Usługi Microsoft Defender for Endpoint	Część usługi Ochrona punktu końcowego w usłudze Microsoft Defender właściwa dla usług chmurowych.
Microsoft Defender for Identity	Część usług chmurowych Microsoft Defender XDR for Identity.
Microsoft Defender XDR	Część usługi chmurowej Microsoft Defender XDR.
Microsoft Sentinel	Część usługi chmurowej Microsoft Sentinel.
Windows 365	Część usługi Microsoft 365 właściwa dla usługi chmurowej, z wyłączeniem systemu operacyjnego Windows uruchomionego w ramach usługi Komputer w chmurze Windows 365.

Zasady i procedury bezpieczeństwa dotyczące Podstawowych Usług Online

W uzupełnieniu do określonych w Dodatku dotyczącym Ochrony Danych praktyk i zasad bezpieczeństwa dotyczących Usług Online każda Podstawowa Usługa Online jest także zgodna ze standardami kontroli i normami wskazanymi w poniższej tabeli oraz wdraża i stosuje zabezpieczenia określone w Załączniku A do Dodatku dotyczącego Ochrony Danych w celu ochrony Danych Klienta.

Usługa Online	SSAE 18 SOC 1 Type II	SSAE 18 SOC 2 Type II
Usługi Office 365	tak	tak
Microsoft 365 Compliance Services (LS na Użytkownika)	tak	tak
Podstawowe Usługi Microsoft Dynamics 365	tak	Tak
Podstawowe Usługi Microsoft Azure	Odbiega*	Odbiega*
Usługi Online Microsoft Intune	Tak	Tak
Podstawowe Usługi Microsoft Power Platform	Tak	Tak
Microsoft Copilot	Tak	Tak
Microsoft Defender Experts	Odbiega*	Odbiega*
Microsoft Defender for Cloud Apps	Tak	Tak
Usługi Microsoft Defender for Endpoint	Tak	Tak
Microsoft Defender for Identity	Tak	Tak
Microsoft Defender XDR	Tak	Tak
Microsoft Sentinel	Tak	Tak
Windows 365	Tak	Tak

*Obecny zakres został szczegółowo omówiony w raporcie z audytu i podsumowany w Centrum zaufania Microsoft.

Lokalizacja Danych magazynowanych Klienta w przypadku Podstawowych Usług Online

W przypadku Podstawowych Usług Online Microsoft będzie przechowywać Dane magazynowane Klienta w określonych obszarach geograficznych (z których każdy zwany jest dalej „Obszarem”) w następujący sposób, chyba że określono to inaczej w Szczególnych postanowieniach dotyczących Usług Online:

Usługi Office 365. Jeśli Klient przydziela zasoby swoim dzierżawcom w Australii, Brazylii, Francji, Indiach, Japonii, Kanadzie, Katarze, Korei Południowej, Niemczech, Norwegii, Republice Południowej Afryki, Stanach Zjednoczonych, Szwecji, Szwajcarii, Unii Europejskiej, Zjednoczonych Emiratach Arabskich lub Zjednoczonym Królestwie, Microsoft będzie przechowywać następujące Dane magazynowane Klienta tylko w ramach takiego Obszaru: (1) Zawartość skrzynki pocztowej usługi Exchange Online (treść wiadomości e-mail, wpisy kalendarza i zawartość załączników wiadomości e-mail), (2) Zawartość witryny usługi SharePoint Online i pliki przechowywane w tej witrynie, (3) pliki przesłane do usługi OneDrive dla Firm, (4) wiadomości czatu usługi Microsoft Teams (w tym wiadomości prywatne, wiadomości kanałowe, wiadomości ze spotkań i obrazy używane na czatach) oraz w przypadku klientów korzystających z usługi Microsoft Stream (wersja klasyczna) (w programie SharePoint) nagrania spotkań, a także (5) wszelka przechowywana zawartość interakcji z usługą Microsoft 365 Copilot w zakresie nieujętym w poprzednich zobowiązaniach. Jeśli Klient zakupi subskrypcję Advanced Data Residency, wówczas Microsoft będzie przechowywać określone Dane Klienta w magazynie w odpowiednim Obszarze zgodnie z postanowieniami tego punktu oraz punktu „Zobowiązania w ramach subskrypcji Advanced Data Residency” w dokumentacji produktu pod adresem https://aka.ms/adroverview.
Usługi Online Microsoft Intune. Jeśli Klient postanowi przydzielić konto dzierżawcy usługi Microsoft Intune w dostępnym Obszarze, wówczas Microsoft dla danej usługi będzie przechowywać Dane magazynowane Klienta w takim konkretnym Obszarze, z wyjątkiem przypadków przedstawionych w Centrum zaufania usługi Microsoft Intune.
Podstawowe Usługi Microsoft Power Platform. Jeśli Klient postanowi wdrożyć Podstawową Usługę Power Platform w dostępnym Obszarze, wówczas Microsoft dla danej usługi będzie przechowywać Dane magazynowane Klienta w takim konkretnym Obszarze, z wyjątkiem przypadków opisanych w Centrum zaufania usługi Microsoft Power Platform.
Podstawowe Usługi Microsoft Azure. Jeśli Klient skonfiguruje określoną usługę w celu jej wdrożenia w określonym Obszarze, w odniesieniu do tej usługi Microsoft zobowiązuje się przechowywać Dane magazynowane Klienta we wskazanym Obszarze. Niektóre usługi mogą nie umożliwiać Klientowi konfigurowania ich pod kątem ich wdrożenia w określonym Obszarze lub poza Stanami Zjednoczonymi i mogą przechowywać kopie zapasowe danych w innych lokalizacjach. Więcej informacji na ten temat można znaleźć w Centrum zaufania Microsoft (informacje te Microsoft może okresowo aktualizować, przy czym nie będzie dodawać tam wyjątków dla istniejących Usług w wersji ogólnej).
Microsoft Defender for Cloud Apps. Jeśli Klient przydziela zasoby swoim dzierżawcom w Unii Europejskiej albo Stanach Zjednoczonych, wówczas Microsoft będzie przechowywać Dane magazynowane Klienta wyłącznie w takim Obszarze, z wyjątkiem przypadków opisanych w Centrum zaufania usługi Microsoft Defender for Cloud Apps.
Podstawowe Usługi Microsoft Dynamics 365. Jeśli Klient postanowi wdrożyć Podstawową Usługę Microsoft Dynamics 365 w dostępnym Obszarze, wówczas Microsoft dla danej usługi będzie przechowywać Dane magazynowane Klienta w takim konkretnym Obszarze, z wyjątkiem przypadków opisanych w Centrum zaufania usługi Microsoft Dynamics 365.
Microsoft Defender for Endpoint Services. Jeśli Klient postanowi przydzielić konto dzierżawcy usługi Ochrona punktu końcowego w usłudze Microsoft Defender w dostępnym Obszarze, wówczas Microsoft dla danej usługi będzie przechowywać Dane magazynowane Klienta w takim konkretnym Obszarze, z wyjątkiem przypadków przedstawionych w Centrum zaufania usługi Ochrona punktu końcowego w usłudze Microsoft Defender.
Microsoft Defender for Identity. Jeśli Klient udostępni dzierżawę usługi Microsoft Defender for Identity do wdrożenia w dostępnym Obszarze, wówczas w przypadku tej usługi Microsoft będzie przechowywać Dane Klienta w określonym Obszarze, z wyjątkiem przypadków określonych w Centrum zaufania Microsoft Defender for Identity.
Microsoft Defender XDR. Jeśli Klient udostępni dzierżawę usługi Microsoft Defender XDR do wdrożenia w dostępnym Obszarze, wówczas w przypadku tej usługi Microsoft będzie przechowywać Dane Klienta w określonym Obszarze, z wyjątkiem przypadków określonych w Centrum zaufania Microsoft Defender XDR.
Windows 365. Jeśli w dostępnym Obszarze wdrożono dzierżawcę Windows 365, wówczas w przypadku danego dzierżawcy Microsoft będzie przechowywać Dane magazynowane Klienta w takim konkretnym Obszarze. Jeśli Klient w ramach tego samego dzierżawcy wdroży usługi Komputer w chmurze Windows 365 w różnych dostępnych Obszarach, wówczas w przypadku każdego komputera w chmurze Microsoft będzie przechowywać Dane magazynowane Klienta dotyczące takiego komputera w chmurze w danym konkretnym Obszarze.

Usługi Objęte Programem Geograficznego Ograniczenia Przetwarzania Danych z UE

Termin „Program Geograficznego Ograniczenia Przetwarzania Danych z UE” odnosi się do komputerów, środowiska informatycznego i fizycznych centrów przetwarzania danych Microsoft zlokalizowanych wyłącznie na terenie Unii Europejskiej (UE) lub w jednym z krajów Europejskiego Stowarzyszeniu Wolnego Handlu (EFTA). Termin „Usługi Objęte Programem Geograficznego Ograniczenia Przetwarzania Danych z UE” dotyczy tylko Usług Online wymienionych w poniższej tabeli, z wyłączeniem wszelkich Wersji Zapoznawczych.

Usługi Objęte Programem Geograficznego Ograniczenia Przetwarzania Danych z UE
Azure	Usługi Azure, których wdrożenie w regionie objętym Programem Geograficznego Ograniczenia Przetwarzania Danych z UE jest dozwolone, oraz następujące usługi, których wdrożenie nie jest związane z określonym regionem: Azure Active Directory B2C, Azure Advisor, Azure Bot Service, Cloud Shell, Azure Communication Services, Azure Data Box, Azure DNS, Microsoft Entra ID, Microsoft Fabric, Azure Kubernetes Service on Azure Stack HCI, Azure Lighthouse, Azure Migrate, Azure Monitor, Azure Resource Mover, Azure Service Health, Azure Sphere, Azure Stack Edge, Azure Stack HCI, Azure Stack Hub, Azure Virtual Desktop, Azure VM Image Builder, Power BI Embedded, Traffic Manager, Translator
Dynamics 365	Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights, Dynamics 365 Customer Service, Dynamics 365 Customer Voice, Dynamics 365 Field Service, Dynamics 365 Finance, Dynamics 365 Guides, Dynamics 365 Intelligent Order Management, Dynamics 365 Project Operations, Dynamics 365 Remote Assist, Dynamics 365 Sales, Dynamics 365 Supply Chain Management
Microsoft 365	Customer Lockbox, Exchange Online, Exchange Online Archiving for Exchange Online, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream (klasyczny) (w programie SharePoint), Microsoft Teams, Microsoft To-Do, Office dla sieci Web, Usługi online świadczone w ramach aplikacji Microsoft 365, OneDrive dla Firm, SharePoint Online, Sway, Whiteboard, Viva Engage, Microsoft 365 Copilot, Zgodność z komunikacją, eDiscovery and Audit, Insider Risk Management, Information Barriers, Microsoft Purview Data Loss Prevention, Microsoft Intune, Priva Privacy Risk Management, Priva Subject Rights Management, Microsoft Viva Answers, Microsoft Viva Connections, Microsoft Viva Engage, Microsoft Viva Glint, Microsoft Viva Goals, Microsoft Viva Insights, Microsoft Viva Learning, Microsoft Viva Pulse, Microsoft 365 Copilot for Sales i Microsoft Viva Topics
Power Platform	Microsoft Power Apps, Microsoft Power Automate, Microsoft Power BI, Microsoft Power Pages, Microsoft Copilot Studio

Lokalizacja Danych Klienta w przypadku Usług Objętych Programem Geograficznego Ograniczenia Przetwarzania Danych z UE

W przypadku Usług Objętych Programem Geograficznego Ograniczenia Przetwarzania Danych z UE firma Microsoft zobowiązana jest przechowywać i przetwarzać Dane Klienta i Dane Osobowe w ramach Programu Geograficznego Ograniczenia Przetwarzania Danych z UE, jak wyszczególniono poniżej.

Klient musi skonfigurować Usługi Objęte Programem Geograficznego Ograniczenia Przetwarzania Danych z UE zgodnie z poniższymi wytycznymi:

W przypadku usług Azure Klient musi wdrożyć usługę w regionie Azure objętym Programem Geograficznego Ograniczenia Przetwarzania Danych z UE. Więcej informacji znajduje się w Data Residency na platformie Azure (https://azure.microsoft.com/explore/global-infrastructure/data-residency). W przypadku usług, które nie umożliwiają wdrożenia w określonym regionie świadczenia usługi Azure, Klient musi postępować zgodnie z instrukcjami dotyczącymi konfigurowanie usług świadczonych poza regionem platformy Azure objętych Programem Geograficznego Ograniczenia Przetwarzania Danych z UE (https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services).
Jeśli w przypadku usług Dynamics 365 i Power Platform Klient przydziela dzierżawcy adres rozliczeniowy na obszarze UE lub EFTA, dzierżawca będzie objęty Programem Geograficznego Ograniczenia Przetwarzania Danych z UE, o ile Klient także utworzy wszystkie swoje środowiska w ramach Obszaru objętego Programem Geograficznego Ograniczenia Przetwarzania Danych z UE.
W przypadku Microsoft 365, jeśli Klient przydzieli dzierżawę w obszarze UE lub EFTA, dzierżawca taki będzie objęty Programem Geograficznym Ograniczenia Przetwarzania Danych z UE, z wyjątkiem tych dzierżawców, w przypadku których Klient zakupił również dodatek Microsoft 365 Multi-Geo Capabilities, który umożliwia klientom rozszerzanie obecności dzierżawy Microsoft 365 na wiele regionów geograficznych lub krajów (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide).

Korzystanie z Usług Objętych Programem Geograficznego Ograniczenia Przetwarzania Danych z UE może skutkować ograniczeniami przeniesienia Danych Klienta lub Danych Osobowych poza Program Geograficznego Ograniczenia Przetwarzania Danych z UE, jak określono poniżej i szczegółowo opisano w dokumentacji dotyczącej Programu Geograficznego Ograniczenia Przetwarzania Danych z UE zlokalizowanej https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn lub w następnej lokalizacji. Każde przeniesienie tych danych będzie przeprowadzane zgodnie z Dodatkiem dotyczącym Ochrony Danych oraz Postanowieniami dotyczącymi Produktów.

Dostęp zdalny. Członkowie personelu Microsoft spoza obszaru objętego Programem Geograficznego Ograniczenia Przetwarzania Danych z UE mogą uzyskać dostęp zdalny do systemów przetwarzania danych zlokalizowanych na terenie objętym tym programem, aby zapewnić bezpieczeństwo i działanie właściwych Usług lub rozwiązywać dotyczące ich problemy.
Przeniesienia danych z inicjatywy Klienta. Klienci mogą zainicjować przeniesienie danych poza obszar objęty Programem Geograficznego Ograniczenia Przetwarzania Danych z UE, uzyskując dostęp do Usług Objętych Programem Geograficznego Ograniczenia Przetwarzania Danych z UE z lokalizacji poza obszarem obowiązywania tego programu. W tym celu muszą wysyłać wiadomość e-mail na adres odbiorcy zlokalizowanego poza obszarem objętym Programem Geograficznego Ograniczenia Przetwarzania Danych z UE lub skorzystać z Usług Objętych Programem Geograficznego Ograniczenia Przetwarzania Danych z UE w połączeniu z usługami nieobjętymi tym programem.
Ochrona Klienta. Microsoft przesyła ograniczone ilości danych poza obszar objęty Programem Geograficznego Ograniczenia Przetwarzania Danych z UE, w zakresie w jakim jest to konieczne do wykrywania zagrożeń bezpieczeństwa i zapewnienia ochrony Klientom.
Dane z katalogu. W celu świadczenia usługi Microsoft może w ograniczonym zakresie tworzyć kopie danych katalogów Microsoft Entra ID (w tym nazwy użytkownika i adresu e-mail) poza obszarem obowiązywania Programu Geograficznego Ograniczenia Przetwarzania Danych z UE.
Przesyłanie danych w sieci. Aby ograniczyć opóźnienia routingu danych oraz zapewnić odporność odpowiednich systemów, Microsoft korzysta z różnych ścieżek sieciowych. W niektórych przypadkach może to spowodować przesłanie danych poza obszar obowiązywania Programu Geograficznego Ograniczenia Przetwarzania Danych z UE.
Zarządzanie jakością platformy i usług. Jeżeli jest to wymagane do monitorowania i utrzymywania jakości usług lub zapewnienia dokładności pomiarów statystycznych dotyczących korzystania z lub wydajności usług, spseudonimizowane Dane Osobowe mogą być przesyłane poza granicę Programu Geograficznego Ograniczenia Przetwarzania Danych z UE.
Przesyłanie danych w ramach określonych Usług. Aby zapoznać się z zasadami przesyłania danych w ramach określonych Usług Objętych Programem Geograficznego Ograniczenia Przetwarzania Danych z UE, należy zapoznać się ze wspomnianą powyżej dokumentacją dotyczącą przejrzystości.