Tärkeimmät tietosuojakysymykset, jotka asiakkaan kannattaa kysyä pilvipalveluntarjoajalta

Microsoft Office 365 tarjoaa olennaisia tietosuojaominaisuuksia kaikille Office 365 -asiakkaille. Tässä osassa kuvataan näitä tietosuojaominaisuuksia ja sitä, miten ne noudattavat EU:n viranomaisten määrittämiä korkeita tietosuojastandardeja. 1.7.2012 EU:n artiklan 29 työryhmä (WP29), joka koostuu Euroopan unionin kansallisista tietosuojaviranomaisista, antoi lausunnon 5/2012 pilvipalveluista Pilvipalveluja käsittelevä lausunto nostaa esille pilvipalvelujen etuja, kuten toiminnan tehostumisen ja paremman tietoturvan. WP29 korostaa lausunnossa sellaisen pilvipalveluntarjoajan valinnan tärkeyttä, jonka tietosuojakäytännöt ovat avoimia ja joka kunnioittaa asiakastietojen tietosuojaa.
WP29-työryhmän lausunto sisältää keskeiset ohjeet nykyisille ja potentiaalisille pilvipalvelujen käyttäjille. Siinä käsitellään myös useita kysymyksiä, joita pilvipalvelujen asiakkaiden on otettava huomioon valitessaan pilvipalveluntarjoajaa, kun asiakkaat toimivat rekisterinpitäjänä. Tärkeimmät tietosuojakysymykset ja Office 365:n vastaukset niihin käsitellään tässä artikkelissa.
NäytäPiilota
Tarjoaako pilvipalveluntarjoaja kattavasti ja helposti ymmärrettävässä muodossa tietoja tietosuoja- ja tietoturvakäytännöistä ja löytyvätkö nämä tiedot keskitetysti yhdestä paikasta? Käsitelläänkö näissä tiedoissa tärkeitä kysymyksiä, kuten tietoja tietojen tallennuspaikoista, kenellä on tietojen käyttöoikeus ja missä tilanteessa he voivat käyttää näitä tietoja sekä mitä alihankkijoita on mukana tietojen käsittelyssä?
WP29-työryhmän lausuntoviittaus: WP29 ilmoittaa osassa 4.1 (ensimmäinen Perustavanlaatuisten tietosuojaperiaatteiden noudattaminen -kohdan alakohta), että "resurssipalvelujen tarjoajien olisi... ilmoitettava resurssipalvelujen asiakkaille kaikista tarjoajien palveluihin liittyvistä olennaisista (tietosuojaa koskevista) näkökohdista. Asiakkaille olisi etenkin ilmoitettava kaikista alihankkijoista, jotka osallistuvat kyseisen resurssipalvelun tarjoamiseen, ja kaikista sijaintipaikoista, joihin resurssipalvelujen tarjoaja ja/tai sen alihankkijat saattavat tallentaa tiedot tai joissa ne saattavat käsitellä tietoja." Osa 3.4.1.1 (Avoimuus) painottaa entisestään avoimuuden merkitystä pilvipalveluntarjoajan ja pilvipalvelun asiakkaan välisessä suhteessa.
Office 365: Microsoftin tietosuoja- ja tietoturvakäytäntöjä koskevat tiedot ovat helposti luettavissa Office 365 -valvontakeskus. Office 365 -valvontakeskuksessa on tietoja tietojen tallennuspaikoista, kenellä on tietojen käyttöoikeus ja missä tilanteessa he voivat käyttää näitä tietoja sekä mitä alihankkijoita on mukana tietojen käsittelyssä.
NäytäPiilota
Käyttääkö pilvipalveluntarjoaja asiakastietoja joihinkin muihin tarkoituksiin ja jollain muulla tavoin kuin palvelujen tarjoamiseen? Jos näin on, niin mihin tarkoituksiin niitä käytetään? Muodostetaanko asiakastietojen perusteella esimerkiksi profiileja markkinointiin tai muuhun kaupalliseen käyttöön? Tai paljastetaanko tietoja millään tavoin kolmansille osapuolille (muille kuin alihankkijoille tai lainsäädännön niin edellyttäessä)?
WP29-työryhmän lausuntoviittaus: Osa 3.4.1.2 (Tarkoituksen määrittäminen ja rajoittaminen). WP29 ilmoittaa selkeästi, että "henkilötietoja on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä myöhemmin saa käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla" ja että pilvipalvelujen asiakkaiden on "varmistettava, että resurssipalvelujen tarjoaja ei käsittele henkilötietoja (lainvastaisesti) muita tarkoituksia varten."
Office 365: Microsoftin yrityskäyttöön tarkoitetut pilvipalvelut käyttävät asiakastietoja vain palvelujen tarjoamiseen. Tämä saattaa käsittää vianmäärityksen, jonka tarkoituksena on ehkäistä, havaita ja korjata ongelmia, jotka vaikuttavat palvelujen käyttöön, sekä sellaisten toimintojen ja ominaisuuksien parantamisen, joilla havaitaan käyttäjiä uhkaavat uudet uhat (esimerkiksi haittaohjelmistot ja roskaposti) ja suojaudutaan niiltä. Office 365 ei muodosta mainostuotteita asiakastiedoista. Emme tutki sähköpostiviestejä tai tiedostoja analysointia, tietojen louhintaa, mainontaa tai muutoin palvelun parantamista varten.
Microsoft ei paljasta asiakastietoja kolmansille osapuolille (ei myöskään lainvalvontaviranomaisille, muille julkishallinnon toimijoille tai yksityisille asianosaisille alihankkijoita lukuun ottamatta) ellei asiakas sitä pyydä tai lainsäädäntö sitä edellytä.
NäytäPiilota
Jos pilvipalveluntarjoajalla on sekä yrityksille että kuluttajille suunnattuja palveluja, yhdistääkö palveluntarjoaja yritysten asiakastietoja kuluttajapalveluista keräämiinsä tietoihin? Jos näin tapahtuu, millä tavoin se tehdään ja mitä tarkoitusta varten?
WP29-työryhmän lausuntoviittaus: Osa 3.4.1.2 (Tarkoituksen määrittäminen ja rajoittaminen) ja Osa 3.3.1 ( Resurssipalvelujen asiakas ja resurssipalvelujen tarjoaja).
Office 365: Microsoftin yrityksille tarkoitetut pilvipalvelimet sijaitsevat fyysisesti ja/tai loogisesti erillään kuluttajille suunnatuista verkkopalveluista. Yritysten asiakastiedot, Microsoftin kuluttajille suunnattujen verkkopalvelujen tiedot sekä Microsoftin etsintä-, indeksointi- ja tiedonlouhintatoimintojen tuloksena syntyneitä tai näiden toimintojen perusteella luotuja tietoja ei sekoiteta ellei asiakas sitä etukäteen hyväksy.
NäytäPiilota
Tutkiiko tai louhiiko pilvipalveluntarjoaja asiakkaan tietoja, kuten sähköpostiviestejä ja tiedostoja? Jos näin tapahtuu, mitä tarkoitusta varten se tehdään?
WP29-työryhmän lausuntoviittaus: Osa 3.4.1.2 (Tarkoituksen määrittäminen ja rajoittaminen) ja Osa 3.3.1 ( Resurssipalvelujen asiakas ja resurssipalvelujen tarjoaja).
Office 365: Microsoft ei tutki sähköpostiviestejä tai tiedostoja mainostarkoituksissa. Microsoftin yrityspalvelut ylläpitävät, tutkivat ja indeksoivat asiakastietoja, jotta asiakkaille voitaisiin tarjota monipuolisia ominaisuuksia, joiden avulla asiakkaat voivat käyttää ja järjestää asiakastietoja. Office 365 -käyttäjien on esimerkiksi on helppo suorittaa hakuja tiedostoissa ja muussa sisällössä.
NäytäPiilota
Jos pilvipalveluntarjoajalla on myös kuluttajille suunnattuja palveluja, sekoitetaanko yritysten tiedot ja kuluttajapalveluista kerätyt tiedot yhteen?
WP29-työryhmän lausuntoviittaus: Osa 3.4.3 (Henkilötietojen suojelua ja tietosuojaa koskevat tekniset ja organisatoriset toimenpiteet).
Office 365: Office 365:n kaupallinen palvelu on erotettu loogisesti kuluttajille suunnatuista verkkopalveluista. Yritysten asiakastietoja ja Microsoftin kuluttajille suunnattujen verkkopalvelujen tietoja ei sekoiteta yhteen, ellei asiakas ole sitä etukäteen hyväksynyt.
NäytäPiilota
Suojaako pilvipalveluntarjoaja pilvipalvelujen tiedonsiirron tehokkaasti?
WP29-työryhmällä on varauksia tietojen siirtämisestä pilvipalveluissa perinteisin menetelmin Euroopan talousalueen ulkopuolelle. WP29 mainitsee erityisesti Safe Harbor -järjestelmän ja toteaa asiakkaille, että tietojen viejän sitoutuminen pelkkään Safe Harbor -järjestelmään ei välttämättä ole riittävä, kun kyse on tiedonsiirrosta yhdysvaltalaisille palveluntarjoajille. WP29 kehottaa pilvipalveluasiakkaita myös varmistamaan, että kaikkia kansallisia lakeja noudatetaan.
Office 365 sisältää kattavan tietosuojasopimuksen ja tarjoaa EU:n mallilausekkeet EU:n ja Yhdysvaltojen välisen Safe Harbor -järjestelmän mukaisen oman varmennuksen lisäksi. Vaikka EU:n mallilausekkeet on luotu nimenomaan EU:n asiakkaille, tietosuojasopimukseen on kerätty eri maiden parhaat tietosuojakäytännöt, ja se tarjotaan kaikille asiakkaille maantieteellisestä sijainnista ja koosta riippumatta. EU:n mallilausekkeiden vaatimuksiin vastaamiseksi Office 365:een luotuja prosesseja ei ole tarkoitettu vain EU:n asiakkaille, vaan ne ovat kaikkien asiakkaiden käytettävissä.

{"pmgControls": [{"functionName":"Accordion","params":".accordionWrapper|.accordionBtn|.accordionContent|.showIcon|.hideIcon|.showHideAll"}, {"functionName":"PinnedNav","params":"#pmgPDN|#pmgPinnedNavStart|top|.pmg-pinned-nav-highlighted|false||680|.pmg-pinned-end-point"},

{"functionName":"CustomTooltip","params":""},{"functionName":"AddDynaCss","params":"#planattr|pmg-pos-abs|680"}]}