Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của Microsoft

Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của Microsoft Tính ứng dụng Các yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của Microsoft DPR áp dụng cho tất cả các nhà cung cấp của Micro

Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của Microsoft

Tính ứng dụng

Các yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của Microsoft (DPR) áp dụng cho tất cả các nhà cung cấp của Microsoft chịu trách nhiệm thu thập, sử dụng, phân phối, truy cập hoặc lưu trữ Thông tin Cá nhân của Microsoft hoặc Thông tin Nhạy cảm của Microsoft Việc này là một phần của việc thực hiện dịch vụ đang được cung cấp theo các điều khoản của đơn mua hàng hoặc hợp đồng với Microsoft

 Trong trường hợp có xung đột giữa các yêu cầu có ở đây và các yêu cầu được chỉ định trong thỏa thuận theo hợp đồng giữa nhà cung cấp và Microsoft, các điều khoản của hợp đồng sẽ được ưu tiên

 Trong trường hợp có xung đột giữa các yêu cầu có ở đây và bất kỳ yêu cầu theo luật hoặc pháp lý nào thì các yêu cầu theo luật hoặc pháp lý đó sẽ được

ưu tiên

"Không có giới hạn về các nghĩa vụ khác, nhà cung cấp phải tuân thủ các yêu cầu bảo vệ dữ liệu của mọi điều khoản tiêu chuẩn theo hợp đồng, quy tắc ràng buộc của công ty hoặc kế hoạch khác do bất kỳ cơ quan bảo vệ dữ liệu nào, Ủy ban Bảo vệ Dữ liệu Châu Âu hoặc Ủy ban Châu Âu phê duyệt và được Microsoft chấp nhận hoặc đồng ý, bao gồm nhưng không giới hạn ở Khuôn khổ Bảo vệ Quyền riêng tư của Liên minh Châu Âu - Hoa Kỳ Nhà cung cấp cũng phải đảm bảo rằng bất kỳ và mọi bên xử lý phụ (như được định nghĩa trong Điều 1(d) của các Điều khoản Tiêu chuẩn theo Hợp đồng năm 2010 được xuất bản dưới dạng Phụ lục cho Nghị quyết của Ủy ban Châu Âu C(2010)593) cũng tuân thủ.“

“Thông tin Nhạy cảm của Microsoft” là mọi thông tin, nếu bị vi phạm bằng cách bí mật hoặc chính trực, có thể gây ra thiệt hại về danh tiếng hoặc thiệt hại tài chính nghiêm trọng cho Microsoft Thông tin này bao gồm, nhưng không giới hạn ở: Sản phẩm phần cứng và phần mềm của Microsoft, ứng dụng dòng nghiệp vụ nội bộ, tài liệu tiếp thị trước phát hành, khóa cấp phép sản phẩm và tài liệu kỹ thuật liên quan đến các sản phẩm và dịch vụ của Microsoft

“Thông tin Cá nhân” nghĩa là mọi thông tin do Microsoft cung cấp hoặc do Nhà cung cấp thu thập cùng với Thỏa thuận này được quy định theo luật về quyền riêng tư hoặc bảo vệ dữ liệu trong quyền lực pháp lý hiện hành, bao gồm:

(i) Thông tin liên quan đến, nhận dạng hoặc xác định người mà thông tin đó có liên quan; hoặc

(ii) Có thể lấy thông tin nhận dạng hoặc thông tin cá nhân của một người từ đó

Cấu trúc của DPR

DPR căn cứ vào khuôn khổ do Viện Kế toán viên Công chứng Hoa Kỳ (AICPA) thiết kế để đo mức độ thực hiện quyền riêng tư Nguyên tắc Quyền riêng tư được Chấp nhận Chung (GAPP) được chia thành 10 phần bao gồm các tiêu chí đo lường liên quan đến việc bảo vệ và quản lý thông tin cá nhân Khuôn khổ này được

Phần GAPP A: Quản lý

Trước khi nhà cung cấp có thể thu thập, sử dụng, phân phối, truy

nhập hoặc lưu trữ Thông tin Cá nhân hoặc Nhạy cảm của Microsoft,

nhà cung cấp phải:

1 Ký hợp đồng hợp lệ với Microsoft, tuyên bố nhiệm vụ hoặc đơn đặt

hàng mua chứa ngôn ngữ bảo vệ dữ liệu bảo mật và quyền riêng tư

Nhà cung cấp phải xuất trình hợp đồng hợp lệ của Microsoft, tuyên bố nhiệm vụ hoặc đơn đặt hàng mua

2 Giao trách nhiệm và nghĩa vụ tuân thủ Yêu cầu Bảo vệ Dữ liệu dành

cho Nhà cung cấp của Microsoft cho một người hoặc nhóm được chỉ

định trong công ty

Nhà cung cấp phải xác định người hoặc nhóm chịu trách nhiệm đảm bảo nhà cung cấp tuân thủ Yêu cầu Bảo vệ Dữ liệu

Thẩm quyền và trách nhiệm giải trình của cá nhân hoặc nhóm này phải được ghi rõ ràng thành văn bản

3 Thiết lập, duy trì và thực hiện đào tạo về bảo mật cho nhân viên

hàng năm Microsoft đã công bố các tài liệu tại:

http://www.microsoft.com/about/companyinformation/procureme

nt/toolkit/en/us/privacymaterials.aspx

Nhà cung cấp đào tạo nhân viên lần đầu và định kỳ về các nguyên tắc bảo mật và quyền riêng tư cơ bản (Thông báo, Lựa chọn và Đồng thuận, Thu thập, Sử dụng & Sở hữu, Truy nhập, Chuyển giao & Tiết lộ, Bảo mật, Chất lượng, Giám sát & Thực thi)

Bằng chứng về việc thực hiện đào tạo đó có thể dưới dạng tài liệu đào tạo, biên bản tham gia, thông tin liên lạc (email, trang web, bản tin, v.v.) với nhân viên, v.v

4 Truyền đạt định kỳ các thông tin có liên quan về Yêu cầu Bảo vệ Dữ

liệu dành cho Nhà cung cấp của Microsoft với nhân viên và nhà thầu

phụ thực hiện các dịch vụ cho Microsoft

Nhà cung cấp đào tạo về Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của Microsoft cho nhân viên và các nhà thầu phụ tham gia vào việc cung cấp dịch vụ cho Microsoft Bằng chứng về việc thực hiện đào tạo ban đầu

và định kỳ đó có thể dưới dạng tài liệu đào tạo, biên bản tham gia, thông tin liên lạc (email, trang web, bản tin, v.v.) với nhân viên và nhà thầu phụ, v.v

Phần GAPP B: Thông báo

5 Nhà cung cấp phải gửi thông báo rõ ràng về quyền riêng tư cho các cá nhân khi thu thập Thông tin Cá nhân của Microsoft từ họ để giúp

họ quyết định có gửi thông tin cá nhân của mình cho nhà cung cấp

hay không

Thông báo về quyền riêng tư phải mô tả mục đính thu thập thông tin cá nhân và các trường hợp thông tin này

sẽ hoặc có thể được tiết lộ

Thông báo về quyền riêng tư phải sẵn có, ghi ngày tháng

rõ ràng và cung cấp trước hoặc tại thời điểm thu thập thông tin

Thông báo về quyền riêng tư phải được soạn thảo sao cho cá nhân có thể hiểu được mục đích sử dụng dữ liệu

6 Các nhà cung cấp lưu trữ trang web cho Microsoft phải hoàn tất Bản

đánh giá về Quyền riêng tư của Microsoft

Hãy liên hệ với chủ sở hữu cam kết Kinh doanh với Microsoft của

bạn để lên lịch thực hiện việc này hoặc liên hệ theo địa chỉ

7 Các nhà cung cấp thực hiện chiến dịch tiếp thị cho Microsoft phải

hoàn tất Bản đánh giá về Quyền riêng tư của Microsoft

Hãy liên hệ với chủ sở hữu cam kết Kinh doanh với Microsoft của

bạn để lên lịch thực hiện việc này hoặc liên hệ theo địa chỉ

8 Khi thu thập Thông tin Cá nhân của Microsoft bằng cách gọi điện

thoại trực tiếp, nhà cung cấp phải sẵn sàng thảo luận về các quy định

thu thập, xử lý, sử dụng và lưu giữ dữ liệu được áp dụng với khách

hàng

Nhà cung cấp chứng minh rằng việc thu thập, xử lý, sử dụng và lưu giữ dữ liệu được thảo luận với cá nhân khi thông tin cá nhân được thu thập qua điện thoại

Phần GAPP C: Lựa chọn và Đồng ý

9 Nhà cung cấp phải nhận được sự đồng ý và dẫn chứng bằng tài liệu sự đồng ý của một cá nhân trước khi thu thập thông tin cá nhân của

người đó

Nhà cung cấp giải thích quá trình để cá nhân đồng ý hoặc

từ chối cung cấp thông tin cá nhân và hậu quả của từng hành động

10 Nhà cung cấp đưa dẫn chứng bằng tài liệu về sự đồng ý trước hoặc

vào thời điểm thu thập thông tin cá nhân

Nhà cung cấp dẫn chứng bằng văn bản và quản lý tùy chọn liên hệ và

thực hiện cũng như quản lý các thay đổi đối với những tùy chọn đó

Nhà cung cấp đưa dẫn chứng bằng tài liệu về sự đồng ý trước hoặc vào thời điểm thu thập thông tin cá nhân

Nhà cung cấp xác nhận tùy chọn liên hệ bằng văn bản hoặc phương thức điện tử

Nhà cung cấp dẫn chứng bằng văn bản và quản lý tùy chọn liên hệ và thực hiện cũng như quản lý các thay đổi đối với những tùy chọn đó

Nhà cung cấp thông báo cho các cá nhân về việc sử dụng mới được đề xuất đối với thông tin cá nhân

12 Nhận được sự đồng ý và dẫn chứng bằng tài liệu sự đồng ý cho bất

kỳ lần sử dụng mới nào đối với thông tin cá nhân của cá nhân đó

Nhà cung cấp đảm bảo rằng nếu không nhận được sự đồng ý, thông tin sẽ không được sử dụng

Phần GAPP D: Thu thập

13 Nhà cung cấp phải giám sát việc thu thập Thông tin Cá nhân của

Microsoft nhằm đảm bảo thu thập được thông tin cần thiết phục vụ

việc thực hiện (các) dịch vụ mà Microsoft mua

Các hệ thống và quy trình tồn tại để xác định thông tin cá nhân cần thiết

Nhà cung cấp kiểm soát việc thu thập nhằm đảm bảo tính hiệu quả của hệ thống và quy trình

14 Nếu nhà cung cấp thay mặt cho Microsoft mua thông tin cá nhân từ

các bên thứ ba, nhà cung cấp phải xác nhận rằng các chính sách và

quy định bảo vệ dữ liệu của bên thứ ba phù hợp với hợp đồng của

nhà cung cấp với Microsoft và các yêu cầu DPR

Nhà cung cấp thực hiện khảo sát tính khả thi liên quan đến chính sách và quy định bảo vệ dữ liệu của bên thứ ba

15 Trước khi thu thập Thông tin Cá nhân nhạy cảm của Microsoft thông

qua cài đặt hoặc sử dụng phần mềm thực thi trên máy tính của một

cá nhân, nhu cầu thu thập thông tin này phải được ghi trong thỏa

thuận của nhà cung cấp được thực hiện với Microsoft

Nhà cung cấp nhận được sự đồng ý và dẫn chứng bằng tài liệu sự đồng ý của Microsoft khi sử dụng phần mềm thực thi trên máy tính của một cá nhân để thu thập thông tin

16 Trước khi thu thập Thông tin Cá nhân nhạy cảm của Microsoft chẳng

hạn như chủng tộc, nguồn gốc dân tộc, quan điểm chính trị, thành

viên công đoàn, tình trạng sức khỏe hoặc đời sống tình dục, nhu cầu

thu thập thông tin này phải được ghi trong thỏa thuận được thực

thi giữa nhà cung cấp với Microsoft

Nhà cung cấp nhận được sự đồng ý và dẫn chứng bằng tài liệu sự đồng ý của Microsoft trước khi thu thập thông tin

# Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của

Microsoft

Tiêu chí Đánh giá Được đề xuất Response:

Phần GAPP E: Duy trì

17 Đảm bảo rằng Thông tin Cá nhân và Nhạy cảm của Microsoft chỉ được

sử dụng để cung cấp các dịch vụ do Microsoft mua lại

Hệ thống và quy trình luôn sẵn có để giám sát việc sử dụng Thông tin Cá nhân và Nhạy cảm

Nhà cung cấp kiểm soát các hệ thống và quy trình nhằm đảo bảo tính hiệu quả của chúng

18 Đảm bảo rằng Thông tin Cá nhân và Nhạy cảm của Microsoft được

lưu giữ không quá thời gian cần có để cung cấp dịch vụ trừ khi luật

yêu cầu tiếp tục duy trì Thông tin Cá nhân của Microsoft

Nhà cung cấp tuân theo các chính sách lưu giữ hoặc yêu cầu lưu giữ đã lập thành văn bản do Microsoft chỉ định trong hợp đồng, báo cáo công việc hoặc đơn đặt hàng

19 Ghi lại việc duy trì hoặc xóa bỏ Thông tin Cá nhân và Nhạy cảm của

Microsoft Theo yêu cầu, nhà cung cấp phải cung cấp chứng nhận hủy

có chữ ký của nhân viên bên phía nhà cung cấp cho Microsoft

Nhà cung cấp lưu giữ hồ sơ sử dụng Thông tin Cá nhân

và Nhạy cảm của Microsoft (ví dụ: trả lại cho Microsoft hoặc hủy bỏ)

20 Đảm bảo rằng, theo quyết định riêng của Microsoft, Thông tin Cá

nhân và Nhạy cảm của Microsoft mà nhà cung cấp đang sở hữu hoặc

kiểm soát được trả lại cho Microsoft hoặc hủy bỏ khi hoàn thành các

dịch vụ hoặc theo yêu cầu của Microsoft

Phần GAPP F: Truy cập

Khi một cá nhân yêu cầu truy nhập vào Thông tin Cá nhân của

Microsoft, nhà cung cấp phải:

21 Hướng dẫn cho cá nhân các bước mà người đó cần phải thực hiện để

có được quyền truy nhập vào Thông tin Cá nhân của Microsoft

Nhà cung cấp thông báo các bước thực hiện để truy nhập vào thông tin cá nhân cũng như các phương pháp sẵn có

22 Xác thực danh tính của cá nhân yêu cầu quyền truy nhập Thông tin Cá

nhân của Microsoft

Nhà cung cấp không sử dụng mã định danh do chính phủ cấp để xác thực

23 Hạn chế sử dụng các thông tin nhận dạng do chính phủ ban hành (ví

dụ như số An sinh Xã hội) để xác thực, trừ khi không có lựa chọn hợp

Sau khi xác thực cá nhân đó, nhà cung cấp phải:

24 Xác định xem cá nhân đó nắm giữ hay kiểm soát Thông tin Nhận dạng

Cá nhân của Microsoft

Nhà cung cấp có các quy trình để xác định thông tin cá nhân có được lưu giữ hay không

<Compliant>

<Not Compliant>

<Does not Apply>

<Legal Conflict>

25 Thực hiện hành động hợp lý để định vị Thông tin Cá nhân của

Microsoft được yêu cầu và giữ đầy đủ hồ sơ để chứng minh rằng đã

tiến hành tra soát hợp lý

Nhà cung cấp luôn phản hồi các yêu cầu kịp thời <Compliant>

<Not Compliant>

<Does not Apply>

<Legal Conflict>

<Contract Conflict>

26 Ghi lại ngày và giờ yêu cầu quyền truy nhập và các hành động mà nhà

cung cấp đã thực hiện nhằm phản hồi lại các yêu cầu đó

Nhà cung cấp lưu giữ các biên bản về yêu cầu truy nhập và thay đổi tài liệu đối với thông tin cá nhân

Sau khi xác minh một cá nhân và sau khi nhà cung cấp xác nhận rằng

họ đã nhận được yêu cầu của Microsoft, nhà cung cấp phải:

28 Cung cấp Thông tin Cá nhân của Microsoft cho cá nhân bằng lời nói,

qua phương tiện điện tử hoặc ở định dạng in phù hợp

Nhà cung cấp cung cấp thông tin cá nhân cho cá nhân theo định dạng dễ hiểu và dưới hình thức thuận tiện cho cá nhân và nhà cung cấp

29 Nếu yêu cầu quyền truy nhập của họ bị từ chối, cung cấp cho cá nhân

đó văn bản giải thích nhất quán với bất kỳ hướng dẫn có liên quan

nào mà Microsoft đã cung cấp trước đó

31 Nếu cá nhân và nhà cung cấp không thống nhất về việc Thông tin Cá

nhân của Microsoft có đầy đủ và chính xác hay không, nhà cung cấp

phải thông báo với Microsoft về vấn đề này và hợp tác với Microsoft

để cùng giải quyết vấn đề này nếu cần

Nhà cung cấp dẫn chứng bằng tài liệu về các trường hợp không đồng ý và thông báo vấn đề này với Microsoft

# Yêu cầu Bảo vệ Dữ liệu dành cho Nhà cung cấp của

Microsoft

Tiêu chí Đánh giá Được đề xuất Responses:

Phần GAPP G: Tiết lộ cho Bên Thứ ba

Nếu nhà cung cấp định sử dụng một nhà thầu phụ để giúp thu thập,

sử dụng, phân phối, truy nhập hoặc lưu trữ Thông tin Cá nhân và

Nhạy cảm của Microsoft, nhà cung cấp phải:

32 Sử dụng nhà thầu phụ là những người tham gia có uy tín trong

Chương trình dành cho Nhà cung cấp của Microsoft hoặc nhận

được sự đồng ý rõ ràng bằng văn bản của Microsoft trước khi thầu

lại các dịch vụ

Nhà cung cấp xác thực rằng các nhà thầu phụ là những bên tham gia vào Chương trình dành cho Nhà cung cấp được Ưu tiên của Microsoft (MSP)

Nhà cung cấp nhận được sự cho phép bằng văn bản để

sử dụng các nhà cung cấp không tham gia MSP

33 Ghi lại bản chất và mức độ Thông tin Cá nhân và Nhạy cảm của

Microsoft được tiết lộ hoặc chuyển giao cho nhà thầu phụ

Nhà cung cấp lưu giữ tài liệu liên quan đến Thông tin Cá nhân và Nhạy cảm của Microsoft được tiết lộ hoặc chuyển giao cho nhà thầu phụ

34 Đảm bảo rằng nhà thầu phụ sử dụng Thông tin Cá nhân của

Microsoft theo tùy chọn liên hệ đã nêu của một cá nhân

Hệ thống và quy trình luôn sẵn có để đảm bảo nhà thầu phụ chỉ sử dụng Thông tin Cá nhân của Microsoft cho mục đích đã được chỉ định và theo tùy chọn liên hệ của

35 Nhà thầu phụ chỉ được sử dụng Thông tin Cá nhân của Microsoft

cho các mục đích cần thiết để hoàn thành hợp đồng của nhà cung

Nếu được phép, nhà cung cấp có thể chứng minh rằng Microsoft đã được liên hệ trước khi cho phép nhà thầu

<Compliant>

<Not Compliant>

37 Xem lại các khiếu nại để biết các dấu hiệu về việc sử dụng hoặc tiết

lộ trái phép Thông tin Cá nhân của Microsoft

Hệ thống và quy trình luôn sẵn có để giải quyết các khiếu nại về việc nhà thầu phụ sử dụng hoặc tiết lộ trái phép Thông tin Cá nhân của Microsoft

38 Thông báo ngay cho Microsoft khi biết rằng nhà thầu phụ đã sử

dụng hoặc tiết lộ Thông tin Cá nhân và Nhạy cảm của Microsoft vì

bất kỳ mục đích nào ngoài mục đích cung cấp các dịch vụ có liên

quan đến Microsoft cho Microsoft hoặc nhà cung cấp

Nhà cung cấp có thể chứng minh rằng Microsoft đã được thông báo khi nhà thầu phụ sử dụng Thông tin Cá nhân của Microsoft cho các mục đích trái phép

39 Hành động ngay để giảm thiểu bất kỳ thiệt hại thực sự hoặc tiềm ẩn

nào do nhà thầu phụ sử dụng hoặc tiết lộ trái phép Thông tin Cá

nhân và Nhạy cảm của Microsoft

Nhà cung cấp có thể chứng minh rằng họ đã thực hiện hành động thích hợp khi nhà thầu phụ sử dụng Thông tin

Cá nhân và Nhạy cảm của Microsoft vì các mục đích trái phép hoặc tiết lộ Thông tin Cá nhân hoặc Nhạy cảm

Quy trình luôn sẵn có để xác minh các hoạt động thu thập

dữ liệu của bên thứ ba