Nejdůležitější otázky týkající se ochrany osobních údajů, které by měl zákazník položit svému poskytovateli cloudových služeb

Služby Microsoft Office 365 poskytují nezbytné funkce pro ochranu osobních údajů pro všechny svoje zákazníky. Účelem této části je popis těchto funkcí a toho, jak naplňují vysoké standardy ochrany osobních údajů, které stanovily úřady EU. Pracovní skupina expertů zřízená podle článku 29 (WP29, Article 29 Working Party), kterou sestavily národní úřady pro ochranu osobních údajů z členských zemí Evropské unie, přijala 1. července 2012 stanovisko 05/2012 k problematice cloud computingu. V tomto stanovisku se zdůrazňují přínosy cloud computingu, včetně vyšší efektivity a lepšího zabezpečení. Skupina WP29 ve stanovisku klade důraz na volbu poskytovatele cloudových služeb, který je transparentní, pokud jde o postupy ochrany dat, a který u zákaznických dat respektuje ochranu osobních údajů.
Zmíněné stanovisko skupiny WP29 představuje základní vodítko pro současné i budoucí uživatele cloudu. Přináší také řadu otázek, které by měli zákazníci cloudových služeb, coby vlastníci dat, zvážit při výběru poskytovatele cloudových služeb. V dalším textu popisujeme klíčové otázky týkající se ochrany osobních údajů a jak na ně odpovídají služby Office 365.
ZobrazitSkrýt
Nabízí poskytovatel cloudových služeb komplexní a snadno srozumitelné informace o svých postupech v oblasti ochrany osobních údajů a zabezpečení na jednom centrálním místě? Zabývají se tyto informace důležitými tématy, třeba kde jsou data uložená, kdo k nim má přístup a za jakých podmínek a kteří subdodavatelé se podílejí na zpracování dat?
Ze stanoviska skupiny WP29: V části 4.1 (první odrážka pod záhlavím části věnované dodržování zásadních principů ochrany dat) skupina WP29 uvádí, že poskytovatelé cloudových služeb by měli informovat své klienty o všech relevantních (a ochrany dat se týkajících) aspektech svých služeb. Zvlášť pak by měli být klienti informováni o všech subdodavatelích podílejících se na zajišťování příslušných cloudových služeb a všech místech, kde může poskytovatel nebo jeho subdodavatelé data ukládat nebo zpracovávat. V části 3.4.1.1 (o transparentnosti) pak podtrhuje důležitost transparentnosti ve vztahu mezi poskytovatelem a zákazníkem cloudových služeb.
Office 365: Microsoft přehledně zpřístupňuje informace o svých postupech ochrany osobních údajů a zabezpečení v Centru zabezpečení Office 365. Centrum zabezpečení Office 365 obsahuje informace o tom, kde se data ukládají, kdo k nim má přístup a za jakých podmínek a kteří subdodavatelé se podílejí na zpracování dat.
ZobrazitSkrýt
Používá poskytovatel cloudových služeb data zákazníků k nějakému jinému účelu nebo nějakým jiným způsobem než čistě v rámci poskytování služeb? Pokud ano, k jakým konkrétním účelům? Budou se třeba data zákazníků zpracovávat za účelem vytváření profilů využitelných k reklamním nebo jiným komerčním účelům? Nebo zpřístupní poskytovatel data nějaké třetí straně (kromě subdodavatelů nebo případů, kdy to vyžaduje zákon)?
Ze stanoviska skupiny WP29: Část 3.4.1.2 (o specifikaci a omezení účelu) Skupina WP29 jasně stanoví, že osobní data se smí shromažďovat jen ke specifikovaným, výslovně uvedeným a legitimním účelům a nesmí se dál zpracovávat způsobem, který těmto účelům neodpovídá, a zákazníci cloudových služeb zodpovídají za to, aby zajistili, že nebude docházet k (nezákonnému) zpracování osobních dat ze strany poskytovatele k dalším účelům.
Office 365: Cloudové služby společnosti Microsoft pro podniky využívají data zákazníků čistě jen v rozsahu poskytování těchto služeb. Může se jednat o prevenci, zjišťování a řešení problémů ovlivňujících provoz těchto služeb a zdokonalování funkcí, což zahrnuje detekci nově vznikajících nebo už probíhajících hrozeb pro uživatele (jako je malware nebo spam) a ochranu před nimi. Office 365 nevytváří na základě dat zákazníků žádné reklamní produkty. Neprohledáváme e-maily ani dokumenty zákazníků, abychom získali analytické informace, získávali data ani abychom je využívali pro reklamu či ke zlepšování služeb.
Microsoft nebude zákaznická data zpřístupňovat žádné třetí straně (včetně orgánů činných v trestním řízení, jiných státních subjektů nebo stran civilních soudních sporů, s výjimkou našich subdodavatelů) kromě případů, kdy si to vyžádá přímo dotyčný zákazník nebo to bude nutné na základě zákona.
ZobrazitSkrýt
Pokud poskytovatel cloudových služeb nabízí služby pro podniky i pro individuální uživatele, slučuje data firemních zákazníků s daty ze spotřebitelských služeb? Pokud ano, jakými způsoby a k jakým účelům?
Ze stanoviska skupiny WP29: Část 3.4.1.2 (o specifikaci a omezení účelu) a 3.3.1 (o klientovi a poskytovateli cloudových služeb).
Office 365: Cloudové služby společnosti Microsoft pro podniky jsou fyzicky nebo logicky odděleny od online služeb pro individuální uživatele. Data firemních zákazníků, data v online službách Microsoftu pro individuální uživatele a data vytvořená při činnostech Microsoftu v rámci hledání, indexování nebo dolování dat se spolu nemísí, pokud k tomu nedá zákazník předem souhlas.
ZobrazitSkrýt
Prohledává nebo vytěžuje poskytovatel cloudových služeb obsah zákazníků, třeba e-mailové komunikace nebo dokumenty? Pokud ano, k jakým účelům?
Ze stanoviska skupiny WP29: Část 3.4.1.2 (o specifikaci a omezení účelu) a 3.3.1 (o klientovi a poskytovateli cloudových služeb).
Office 365: Společnost Microsoft neprohledává e-maily ani dokumenty za účelem zobrazování reklam. Služby společnosti Microsoft pro podniky udržují, prohledávají a indexují zákaznická data, abychom zákazníkům mohli poskytovat bohaté funkce pro přístup k datům a jejich uspořádání. Koncoví uživatelé například mohou v Office 365 snadno vyhledávat své dokumenty a další obsah.
ZobrazitSkrýt
Pokud poskytovatel cloudových služeb současně nabízí i služby pro individuální uživatele, mísí firemní data s daty shromážděnými ze spotřebitelských služeb?
Ze stanoviska skupiny WP29: Část 3.4.3 (o technických a organizačních opatřeních při ochraně a zabezpečení dat).
Office 365: Office 365: Komerční služba Office 365 je logicky oddělená od online služeb pro individuální uživatele. Data firemních zákazníků a data v online službách Microsoftu pro individuální uživatele se spolu nemísí, pokud k tomu nedá zákazník předem souhlas.
ZobrazitSkrýt
Používá poskytovatel cloudových služeb při datových přenosech v cloudu silné ochranné mechanismy?
Skupina WP29 dochází k závěru, že tradiční mechanismy pro přenos dat z Evropského hospodářského prostoru mají při použití u cloudu svá omezení. Zvlášť se odvolává na ustanovení o bezpečném přístavu (Safe Harbor) a zákazníky cloudových služeb upozorňuje, že pouhé dodržení ustanovení Safe Harbor ze strany importéra dat není možné považovat za dostatečné zajištění při přenosech dat k poskytovatelům se sídlem v USA. Skupina WP29 zákazníkům cloudových služeb také připomíná nutnost vyhovět všem povinnostem vyplývajícím ze zákona v jejich zemích.
Office 365 poskytuje komplexní smlouvu o ochraně dat (DPA) a nad rámec vlastní certifikace vycházející z rámcové smlouvy Safe Harbor, která platí mezi USA a EU, nabízí vzorové doložky EU. Zatímco vzorové doložky EU jsou specificky formulované pro zákazníky z EU, smlouva DPA představuje souhrn osvědčených postupů v oblasti ochrany osobních údajů z různých zemí a je určena pro všechny zákazníky bez ohledu na zemi původu nebo velikost. Procesy vypracované pro Office 365 s cílem vyhovět vzorovým doložkám EU se neomezují pouze na zákazníky z EU, ale jsou dostupné pro všechny zákazníky.

{"pmgControls": [{"functionName":"Accordion","params":".accordionWrapper|.accordionBtn|.accordionContent|.showIcon|.hideIcon|.showHideAll"}, {"functionName":"PinnedNav","params":"#pmgPDN|#pmgPinnedNavStart|top|.pmg-pinned-nav-highlighted|false||680|.pmg-pinned-end-point"},

{"functionName":"CustomTooltip","params":""},{"functionName":"AddDynaCss","params":"#planattr|pmg-pos-abs|680"}]}