”Kundinnehåll” (eller ”Ditt innehåll”) är allt innehåll som du, som kund, eller dina användare överför till en molntjänst för bearbetning, lagring eller värdlagring i samband med ditt konto. I samband med Supporttjänster är ”Kundinnehåll” allt innehåll som du tillhandahåller till VMware som ett led i Supporttjänster. Definitionen av ”Kundinnehåll” finns i VMwares allmänna villkor. Kundinnehåll omfattar till exempel data som du eller dina användare lagrar i Workspace ONE. Viktigt är att dina kontouppgifter som namn, användarnamn, telefonnummer och faktureringsinformation som är kopplade till ditt konto inte ingår i definitionen av ”Kundinnehåll”. Detta gäller även all information som VMware samlar in i samband med att du brukar företagets molntjänster. VMware hanterar i stället den informationen enligt företagets integritetsmeddelande.

Du behåller alltid äganderätten till Kundinnehåll. Du bestämmer vilka VMware Cloud-tjänster du använder för att bearbeta, lagra och värdlagra Kundinnehåll och vilken information du överför till molntjänsten som Kundinnehåll. VMware kommer inte att komma åt eller använda Kundinnehåll i något syfte utom när det är nödvändigt för att erbjuda dig molntjänsten eller enligt vad som framkommer och är tillåtet i VMware allmänna villkor som gäller dig. Slutligen använder VMware inte Kundinnehåll för marknadsföring eller reklam.

VMware erbjuder företag lösningar som gör det möjligt för kunderna att konstruera, hantera, säkra och köra appar i flera system och miljöer. Även om VMware anser att arten av de tjänster som företaget erbjuder sina kunder i allmänhet inte motiverar myndigheter att begära direkt tillgång till Kundinnehåll, vidtog VMware följande åtgärder för att följa Schrems II-utslaget och för att hjälpa kunder med deras egen efterlevnad i samband med de data som de behandlar som personuppgiftsansvariga:

Stärkta avtalsåtaganden i fråga om åtkomstförfrågningar från myndigheter
VMware ändrade avsnittet ”Obligatorisk redovisning” i VMwares allmänna villkor för att klargöra hur VMware hanterar åtkomstförfrågningar från myndigheter genom att lägga till följande åtaganden:

I de fall avisering till kunden inte är förbjudet enligt lag kommer VMware att

• Meddela kunden: meddela sina kunder om alla krav på redovisning av kundens innehåll.

• hänvisa myndigheten till kunden: informera den aktuella myndigheten om att VMware är en tjänsteleverantör som agerar å kundens räkning och att alla förfrågningar om tillgång till kundens innehåll ska riktas skriftligt till den kontaktperson som kunden har meddelat oss, eller kundens juridiska avdelning.

• begränsas åtkomsten: endast ge tillgång till kundens innehåll med kundens tillstånd. Om kunden begär det kommer vi, på kundens bekostnad, att vidta rimliga åtgärder för att bestrida eventuella krav.

Om VMware är förbjudet enligt lag att meddela kunden kommer VMware att

• utvärdera den juridisk giltigheten: VMware kommer att utvärdera kravet på redovisning för att avgöra om det är juridiskt giltigt och bindande.

• ifrågasätta olagliga förfrågningar: VMware kommer att ifrågasätta ordern om företaget med fog menar att ordern inte överensstämmer med tillämplig lag.

• Begränsa omfattningen av redovisningen: VMware kommer att begränsa omfattningen av all redovisning till enbart de uppgifter vi är skyldiga att avslöja och kommer att redovisa uppgifterna enligt tillämplig lag.

Insyn i processen för hanteringen av myndigheters åtkomstförfrågningar och amerikanska myndigheter

För att hjälpa kunder att förstå mer av VMwares åtaganden och processen för hantering av myndigheters åtkomstförfrågningar, däribland åtaganden som framkommer i VMwares bindande företagsbestämmelser, har VMware utarbetat VMwares principer för hantering av myndigheteters förfrågningar om åtkomst till kundinnehåll.

Vidare har VMware utarbetat ett utlåtande om tillämpningen av FISA Section 702 och Executive Order 12333 i samband med Schrems II för att ta itu med farhågor om att amerikanska underrättelsetjänster har tillgång till data som överförs från EU till USA och för att hjälpa kunder att förstå den sannolika tillämpningen av två amerikanska krav: Executive Order (EO) 12333 och Foreign Intelligence Surveillance Act (FISA) Section 702. VMware är övertygat om att risken är liten för att företaget skulle omfattas av Section 702 eller EO 12333 i samband med att det tillhandahåller tjänsterna med tanke på arten av de tjänster som företaget tillhandahåller.

Uppdaterade avtal med underordnade personuppgiftsbiträden för att säkerställa en rättslig grund för överföring av personuppgifter

Sedan skölden för skydd av privatlivet i EU och USA ogiltigförklarades har VMware implementerat standardavtalsklausuler med alla sina underordnade personuppgiftsbiträden som tidigare förlitade sig på skölden för skydd av privatlivet i EU och USA som dataöverföringsmekanism. I egenskap av personuppgiftsbiträde förlitar sig VMware på bindande företagsbestämmelser för att överföra personuppgifter utanför EU i samband med tillhandahållandet av tillämpliga VMware-tjänster som anges i VMwares tillägg om databehandling.

Tekniska och organisatoriska åtgärder

VMware bekräftar sitt åtagande om att implementera och upprätthålla lämpliga tekniska och organisatoriska åtgärder som anges i VMwares tillägg om databehandling. På VMwares tillitscenter beskrivs de externa certifieringar och granskningar som VMware upprätthåller i samband med sina tjänster. Med tanke på arten av VMwares tjänster har kunder även kontroll över hur de konfigurerar tjänsterna och kan implementera alla nödvändiga administrativa och tekniska kontroller som krävs för att skydda de data som behandlas i samband med deras bruk av den aktuella tjänsten. I många fall erbjuder VMware både lokala och värdbaserade lösningar som kunder kan välja mellan när de hanterar sina system och sin infrastruktur.

Konsekvensbedömningar av överföringar
VMware införde en process för att genomföra konsekvensbedömningar av överföringar som beskrivs närmare i de vanliga frågorna om konsekvensbedömningar av överföringar. Vidare ändrade VMware sina bindande företagsbestämmelser för personuppgiftsbiträden (BFFP), som godkänts av tillsynsmyndigheter. De omfattar nu ett åtagande om att genomföra konsekvensbedömningar av överföringar. Se VMwares rutin för konsekvensbedömningar av överföringar som anges i företagets BFFP.

Insyn i de typer av data som behandlas av VMware-tjänsten – Datablad
Europeiska dataskyddsstyrelsen (EDPB) meddelande i svaren på vanliga frågor om ”Schrems II” att det är nödvändigt att överväga typerna av data som överförs som en faktor för att avgöra om det föreligger en adekvat skyddsnivå kring överföringen av personuppgifter utanför EU, och att registeransvariga bör genomföra en analys i olika fall för att fastställa riskerna med en sådan överföring. För att hjälpa kunder att förstå de typer av data som behandlas i samband med att de använder VMware-tjänster har VMware beskrivit alla tjänster och tillhandahåller datablad för vissa tjänster i integritetsavsnittet på VMwares tillitscenter. För Workspace One-tjänster tillhandahåller VMware även Redovisning för Workspace One.

VMware anlitar och utnyttjar tredje man för att utföra tjänster för sin räkning i samband med att företaget tillhandahåller tjänster eller i samband med support- och prenumerationstjänster. När tredje man som behandlar personuppgifter som underordnat personuppgiftsbiträde (enligt definitionen av dessa termer i tillägget om databehandling) anlitas, har VMware infört följande processer och rutiner:

1. Avtalsåtagande och internationella dataöverföringar: VMware ingår databehandlingsavtal med alla sina underordnade personuppgiftsbiträden. I dem krävs det att underordnade personuppgiftsbiträden garanterar personuppgifters integritet, säkerhet och konfidentialitet med villkor som väsentligen liknar de avtalsåtaganden som VMware gör gentemot sina egna kunder i tillägget om databehandling. VMware förlitar sig på EU:s standardavtalsklausuler såvida det inte finns en annan legitim dataöverföringsmekanism och det underordnade personuppgiftsbiträdet gör lämpliga avtalsåtaganden.
   
   
2. Process för integritetsgranskning och integritet per design: VMware har infört en central, heltäckande process för att hantera externa leverantörer för att på så sätt kunna ta emot nya leverantörer, däribland för att inleda, genomföra och hålla reda på externa integritets- och säkerhetsgranskningar med hjälp av centrala verktyg för att hjälpa till med företagets efterlevnadsarbete. VMwares integritetsteam utför detaljerade integritetsgranskningar av tjänsterna som de underordnade personuppgiftsbiträdena tillhandahåller, däribland att fastställa kategorierna för de personuppgifter som behandlas och syftena med behandlingen. Granskningarna omfattar införande av integritetskontroller för att minska riskerna som förknippas med att de underordnade personuppgiftsbiträdena har tillgång till och behandlar personuppgifter och säkerställa regelefterlevnad.
   
   
3. Process för säkerhetsgranskning: VMware upprätthåller en policy och rutin för att genomföra säkerhetsgranskningar av underordnade personuppgiftsbiträden. VMwares säkerhetsteam genomför en första säkerhetsgranskning av alla nya underordnade personuppgiftsbiträden och sköter den löpande övervakningen utifrån den identifierade säkerhetsrisknivån.
   
   
4. Lista över underordnade personuppgiftsbiträden och meddelanden om nya underordnade personuppgiftsbiträden: VMware har en lista med de underordnade personuppgiftsbiträden som anlitas i enskilda tjänster och i samband med support- och prenumerationstjänster. VMware meddelar på förhand att företaget anlitar ett nytt underordnat personuppgiftsbiträde för kunder som har prenumererat på meddelanden om en specifik tjänst.

VMware har en intern rutin för att spåra, analysera och bedöma nya lagar, förordningar, bindande råd och rättspraxis som kan gälla VMware oavsett om det rör företagets tillhandahållande av tjänster eller skötseln av dess verksamhet. Integritetsteamet nyttjar externa rådgivare, externa verktyg för integritetsundersökningar och nyheter till advokatbyråer för att förstå när nya lagar och förordningar antas.

När det är fastställt att en specifik integritetslagstiftning gäller VMware, vilket exempelvis var fallet med lagar i Kina, Japan, Kalifornien, Colorado, Virginia och Utah, tar VMware reda på de juridiska kraven och genomför en projektplan för att säkerställa efterlevnad. Under implementeringsprocessen pratar VMwares integritetsteam med relevanta interna intressenter och identifierar de rutiner och kontroller som behöver ändras för att uppfylla de nya juridiska kraven. VMwares integritetsteam förlitar sig på sitt ekosystem med integritetsråd (som olika funktionsområden som marknads-, personal- eller säljavdelningen står bakom) på företaget för att hjälpa till med genomförandet av nya eller ändrade lagar snabbt och effektivt.

VMwares integritetsteam utnyttjar också sin vanliga integritetsutbildning och andra företagsutbildningar för att säkerställa att all personal och alla entreprenörer är ordentligt utbildade om alla nya juridiska krav som kan påverka deras affärsfunktion. Som ett led i VMwares efterlevnad av företagets bindande företagsbestämmelser för personuppgiftsbiträden införde VMware exempelvis nödvändiga utbildningar inom ramen för sin årliga obligatoriska säkerhets- och medvetenhetsutbildning, samt uppdaterade sin uppförandekod för att återspegla de nya kraven.

VMware tar sina molntjänsters säkerhet på ytterligt stort allvar. Mer information om hur VMware säkrar sina molntjänster finns på säkerhetssidan i tillitscentret. VMware upprätthåller ett program för hantering av informationssäkerheten som följer ISO 27001-standarden och granskas minst en gång per år för att säkerställa att lämpliga kontroller, rutiner och metoder nyttjas.

När du använder VMware Cloud-tjänster är du ansvarig för att konfigurera och införa de nödvändiga tekniska, organisatoriska och administrativa kontrollerna för att du ska kunna följa alla lagar som gäller ditt bruk av molntjänsten. Detta kan bero på vilka typer av data du väljer att behandla med tjänsten. Ditt ansvar avseende ditt Kundinnehålls säkerhet anges i det tillämpliga avtalet och inkluderar att du (a) kontrollerar åtkomsten som du ger dina användare, (b) konfigurerar molntjänsten på lämpligt vis, (c) säkerställer säkerheten för Kundinnehåll medan det överförs till och från molntjänsten, (d) använder krypteringsteknik för att skydda Kundinnehåll i den mån du anser det nödvändigt, samt (e) säkerhetskopierar Kundinnehåll.