EU:n mallilausekkeet – usein kysyttyjä kysymyksiä

 
Näytä kaikki

Käyttämällä EU:n mallilausekkeita asiakkaat voivat noudattaa EU:n tietosuojadirektiivin ja 25. toukokuuta 2018 alkaen EU:n yleisen tietosuoja-asetuksen (GDPR) rajat ylittävien tiedonsiirtojen vaatimuksia.

Euroopan komission laatimat mallilausekkeet sisältävät säännökset, joilla varmistetaan, että EU:n kansalaisten henkilötiedot suojataan riittävän hyvin, kun tietoja siirretään maiden välillä, ja ne muodostavat oikeudellisen mekanismin, jolla rajat ylittävät siirrot oikeutetaan.

Maailmanlaajuiset pilvipalveluntarjoajat tarjoavat yritystason palvelua, saatavuutta ja suorituskykyä sekä täydentäviä palveluja, kuten asiakastukea ja teknistä tukea 24/7-periaatteella. Näiden palvelujen toimittaminen edellyttää joustavuutta siirtää EU-asiakkaiden henkilötietoja eri puolille maailmaa.

Microsoft on vahvistanut Yhdysvaltain kauppaministeriölle, että se noudattaa Privacy Shield -periaatteita ja toimii tämän järjestelmän puitteissa EU:n kansalaisten henkilötietojen rajat ylittävien siirtojen oikeuttamiseksi.

EU:n mallilausekkeet sisältyvät Microsoftin Online Services Terms -ehtoihin, jotka ovat kaikkien asiakkaiden saatavilla. Asiakkaat saavat EU:n mallilausekkeet tekemättä mitään. Asiakkaat voivat jättäytyä EU:n mallilausekkeiden ulkopuolelle noudattamalla Online Services Terms -ehdoissa olevia ohjeita.

On tärkeää huomata, että tarjoamamme EU:n mallilausekkeet on suunniteltu erityisesti tarjoamaan suojatoimet tietojen siirroille EU:ssa sijaitsevilta rekisterinpitäjiltä tietojenkäsittelijöille, jotka sijaitsevat Euroopan talousalueen ulkopuolella. Online Services -palveluissa Microsoft on tietojenkäsittelijä (tai alihankkija), joka käsittelee asiakastietoja, tukitietoja ja henkilötietoja asiakkaan puolesta.

Käyttämällä EU:n mallilausekkeita tietojenkäsittelijänä Microsoft takaa asiakkaille, että ne voivat hallita jatkossakin omia tietojaan ja että tietoja käsitellään tiukkojen tietosuojavaatimusten mukaisesti.

EU:n mallilausekkeissa on tarkat tietosuojavaatimukset, joissa vaaditaan, että pilvipalveluntarjoajat käsittelevät asiakastietoja tiukan teknisen ja organisatorisen valvonnan mukaisesti. EU:n mallilausekkeiden noudattamiseksi Microsoft on tehnyt (ja tekee edelleen) merkittäviä investointeja suunnitteluun ja toimintoihin, jotta se täyttää EU:n mallilausekkeissa määritetyt tietosuoja- ja tietoturvavaatimukset. Investointeihin kuuluvat muun muassa suunnittelun valvonta ja prosessit, jotka on kehitetty ISO 27001 -sertifioinnin edellyttämää tasoa pidemmälle. Olemme saavuttaneet kyseisen sertifioinnin, ja meidät auditoidaan joka vuosi. Tämän lisäksi toimimme avoimesti tietojen käsittelyssä. Ilmoitamme käsittelijöinä toimivat alihankkijat ja kerromme tekniset ja organisatoriset turvatoimet, joilla suojaamme asiakastietoja. On mahdollista, että pilvipalveluntarjoajat, jotka eivät käytä EU:n mallilausekkeita, eivät ole ottaneet käyttöön näitä valvontatoimia ja prosesseja tai ne eivät voi noudattaa näitä lausekkeita nykyisten liiketoimintakäytäntöjensä takia.

EU:n mallilausekkeet voivat antaa asiakkaille varmuuden siitä, että niiden tiedot suojataan asianmukaisesti. Jos pilvipalveluntarjoaja ei ole valmis hyväksymään EU:n mallilausekkeita, asiakkaan voi olla vaikeaa luottaa pilvipalveluntarjoajan tietosuojakäytäntöihin. EU:n mallilausekkeet auttavat pilvipalveluiden asiakkaita myös noudattamaan EU:n rajat ylittävien tiedonsiirtojen vaatimuksia. 29 artiklalla perustettu tietosuojatyöryhmä onkin korostanut, kuinka tärkeää on muodostaa sopimuksellisia takeita rekisterinpitäjän ja tietojen käsittelijän (toisin sanoen asiakkaan ja pilvipalveluntarjoajan) väliseen suhteeseen. Lisäksi työryhmä on korostanut EU:n mallilausekkeiden tärkeyttä.

Kyllä. EU:n tietosuojaviranomaiset eivät yleensä pidä salausta riittävänä vaihtoehtona EU:n kansalaisten henkilötietojen kansainvälisessä siirrossa.

Asiakkaiden on hyvä selvittää, käyttääkö pilvipalveluntarjoaja EU:n mallilausekkeita rekisterinpitäjänä vai tietojenkäsittelijänä. Microsoft käyttää EU:n mallilausekkeita tietojenkäsittelijänä ja takaa näin asiakkaille, että niiden tietoja käsitellään vain niiden omien ohjeiden mukaisesti.

Jos kumpikin pilvipalveluntarjoaja hyväksyy EU:n mallilausekkeet tietojenkäsittelijänä, asiakkaiden kannattaa tarkastella, miten palveluntarjoaja kokonaisuudessaan on sitoutunut tietosuojaan ja -turvaan EU:n mallilausekkeiden lisäksi. Ennakoiva toiminta kansallisten tietosuojaviranomaisten ja 29 artiklalla perustetun työryhmän kanssa on osoitus sitoutumisesta ja auttaa varmistamaan, että palveluntarjoajan palvelut vastaavat sekä asiakkaiden että valvontaviranomaisten odotuksia.

Microsoft on saanut eurooppalaisilta tietosuojaviranomaisilta useita myönteisiä arvioita Office 365:n ja Microsoft Dynamics CRM Onlinen vahvoista tietosuojasäädöksiä noudattavista ominaisuuksista, mikä omalta osaltaan osoittaa, että Microsoft on ottanut näiden noudattamisen huomioon jo pilvipalveluja suunnitellessaan.

Tähän päivään mennessä olemme saaneet kirjallisen vahvistuksen Ranskan, Saksan (Baijeri), Tanskan, Irlannin, Luxemburgin, Maltan ja Espanjan viranomaisilta tietojenkäsittelytavastamme ja tavastamme käyttää EU:n mallilausekkeita. Nämä vahvistukset osoittavat, että autamme asiakkaita noudattamaan säädöksiä, jotka koskevat henkilötietojen siirtoa EU:sta lainkäyttöalueille, joilla henkilötietojen suojaus ei ole riittävää.

Office 365:tä tai Microsoft Dynamics CRM Onlinea käyttämään siirtyvät EU-asiakkaat noudattavat EU:n tietosuojasäädöksiä.

Microsoft tarjoaa EU:n mallilausekkeiden edut ja suojaukset kaikille asiakkaille. Office 365 on pilvipalvelu, ja Microsoft toteuttaa palvelun samoilla tietosuojaominaisuuksilla, -toiminnoilla ja -prosesseilla kaikille asiakkaille, myös niille, jotka ovat jättäytyneet EU:n mallilausekkeiden ulkopuolelle.