Nejdůležitější otázky týkající se ochrany osobních údajů, které by měl zákazník položit svému poskytovateli cloudových služeb

Microsoft Office 365 poskytuje všem svým zákazníkům nezbytné funkce ochrany osobních údajů. Účelem této části je popis těchto funkcí a toho, jak naplňují vysoké standardy ochrany osobních údajů, které stanovily úřady EU. Pracovní skupina expertů zřízená podle článku 29 (WP29, Article 29 Working Party), kterou sestavily národní úřady pro ochranu osobních údajů z členských zemí Evropské unie, přijala 1. července 2012 stanovisko 05/2012 k problematice cloud computingu. V tomto stanovisku se zdůrazňují přínosy cloud computingu, včetně vyšší efektivity a lepšího zabezpečení. Skupina WP29 ve stanovisku klade důraz na volbu poskytovatele cloudových služeb, který je transparentní, pokud jde o postupy ochrany dat, a který u zákaznických dat respektuje ochranu osobních údajů.

Zmíněné stanovisko skupiny WP29 představuje základní vodítko pro současné i budoucí uživatele cloudu. Přináší také řadu otázek, které by měli zákazníci cloudových služeb, jako vlastníci dat, zvážit při výběru poskytovatele cloudových služeb. V dalším textu popisujeme klíčové otázky týkající se ochrany osobních údajů, a jak na odpovídá Office 365.

 
 
Zobrazit vše

Ze stanoviska skupiny WP29: V části 4.1 (první odrážka pod záhlavím části věnované dodržování zásadních principů ochrany dat) skupina WP29 uvádí, že poskytovatelé cloudových služeb by měli informovat své klienty o všech relevantních (a ochrany dat se týkajících) aspektech svých služeb. Zvláště by měli být klienti informováni o všech subdodavatelích podílejících se na zajišťování příslušných cloudových služeb a všech místech, kde může poskytovatel nebo jeho subdodavatelé data ukládat nebo zpracovávat. V části 3.4.1.1 (o transparentnosti) se pak podtrhuje důležitost transparentnosti ve vztahu mezi poskytovatelem a zákazníkem cloudových služeb.

Office 365: Microsoft přehledně zpřístupňuje informace o svých postupech ochrany osobních údajů a zabezpečení v Centru zabezpečení Office 365. Centrum zabezpečení Office 365 obsahuje informace o tom, kde se data ukládají, kdo k nim má přístup a za jakých podmínek a kteří subdodavatelé se podílejí na zpracování dat.

Ze stanoviska skupiny WP29: Část 3.4.1.2 (o specifikaci a omezení účelu). Skupina WP29 jasně stanoví, že osobní data se smí shromažďovat jen ke specifikovaným, výslovně uvedeným a legitimním účelům a nesmí se dál zpracovávat způsobem, který těmto účelům neodpovídá, a zákazníci cloudových služeb zodpovídají za to, aby zajistili, že nebude docházet k (nezákonnému) zpracování osobních dat ze strany poskytovatele k dalším účelům.

Office 365: Cloudové služby společnosti Microsoft pro podniky využívají data zákazníků čistě jen v rozsahu poskytování těchto služeb. Může se jednat o prevenci, zjišťování a řešení problémů ovlivňujících provoz těchto služeb a zdokonalování funkcí, což zahrnuje detekci nově vznikajících nebo už probíhajících hrozeb pro uživatele (jako je malware nebo spam) a ochranu před nimi. Office 365 nevytváří na základě dat zákazníků žádné reklamní produkty. Neprohledáváme e-maily ani dokumenty zákazníků, abychom získali analytické informace, získávali data ani abychom je využívali pro reklamu či ke zlepšování služeb.

Microsoft nebude zákaznická data zpřístupňovat žádné třetí straně (včetně orgánů činných v trestním řízení, jiných státních subjektů nebo stran civilních soudních sporů, s výjimkou našich subdodavatelů) kromě případů, kdy si to vyžádá přímo dotyčný zákazník nebo to bude nutné na základě zákona.

Ze stanoviska skupiny WP29: Část 3.4.1.2 (o specifikaci a omezení účelu) a 3.3.1 (o klientovi a poskytovateli cloudových služeb).

Office 365: Cloudové služby společnosti Microsoft pro podniky jsou fyzicky nebo logicky odděleny od online služeb pro individuální uživatele. Data firemních zákazníků, data v online službách Microsoftu pro individuální uživatele a data vytvořená při činnostech Microsoftu v rámci hledání, indexování nebo dolování dat se spolu nemísí, pokud k tomu nedá zákazník předem souhlas.

Ze stanoviska skupiny WP29: Část 3.4.1.2 (o specifikaci a omezení účelu) a 3.3.1 (o klientovi a poskytovateli cloudových služeb).

Office 365: Společnost Microsoft neprohledává e-maily ani dokumenty za účelem zobrazování reklam. Služby společnosti Microsoft pro podniky udržují, prohledávají a indexují zákaznická data, abychom zákazníkům mohli poskytovat bohaté funkce pro přístup k datům a jejich uspořádání. Koncoví uživatelé například mohou v Office 365 snadno vyhledávat svoje dokumenty a další obsah.

Ze stanoviska skupiny WP29: Část 3.4.3 (o technických a organizačních opatřeních při ochraně a zabezpečení dat).

Office 365: Komerční služba Office 365 je logicky oddělená od online služeb pro individuální uživatele. Data firemních zákazníků a data v online službách Microsoftu pro individuální uživatele se spolu nemísí, pokud k tomu nedá zákazník předem souhlas.

Skupina WP29 dochází k závěru, že tradiční mechanismy pro přenos dat z Evropského hospodářského prostoru mají při použití u cloudu svá omezení. Zvlášť se odvolává na ustanovení dohody mezi USA a EU o ochraně osobních údajů (Safe Harbor) a zákazníky cloudových služeb upozorňuje, že pouhé dodržení ustanovení dohody Safe Harbor ze strany importéra dat není možné považovat za dostatečné zajištění při přenosech dat k poskytovatelům se sídlem v USA. Skupina WP29 zákazníkům cloudových služeb také připomíná nutnost vyhovět všem povinnostem vyplývajícím ze zákona v jejich zemích.

Office 365 poskytuje komplexní smlouvu o ochraně dat (DPA) a nad rámec vlastní certifikace vycházející z rámcové dohody mezi USA a EU o ochraně osobních údajů (Safe Harbor) nabízí smluvní doložky EU. Zatímco smluvní doložky EU jsou specificky formulované pro zákazníky z EU, smlouva DPA představuje souhrn osvědčených postupů v oblasti ochrany osobních údajů z různých zemí a je určena pro všechny zákazníky bez ohledu na zemi původu nebo velikost. Procesy vypracované pro Office 365 s cílem vyhovět smluvním doložkám EU se neomezují pouze na zákazníky z EU, ale jsou dostupné pro všechny zákazníky.