Pertanyaan privasi penting yang harus ditanyakan pelanggan kepada penyedia awan

Microsoft Office 365 menyediakan fitur privasi utama kepada semua pelanggan Office 365. Tujuan bagian ini adalah menguraikan fitur privasi tersebut dan bagaimana mereka memenuhi standar tinggi privasi yang ditentukan oleh otoritas UE. Pada 1 Juli 2012, Article 29 Working Party (WP29) UE—grup yang terdiri dari otoritas proteksi data nasional Uni Eropa—mencetuskan Opinion 05/2012 mengenai Komputasi Awan. Opini mengenai Komputasi Awan tersebut menekankan manfaat komputasi awan, meliputi efisiensi yang lebih sempurna dan keamanan yang lebih besar. Dalam Opini tersebut, WP29 menekankan pentingnya memilih penyedia layanan awan yang transparan tentang praktik proteksi datanya dan yang menghormati privasi data pelanggan.

WP29 Opinion menyediakan panduan penting bagi pengguna maupun calon pengguna awan. Opini ini juga mencantumkan beberapa pertanyaan yang harus dipertimbangkan oleh pelanggan awan, dalam perannya sebagai pengontrol data, saat memilih penyedia awan. Pertanyaan privasi utama dan tanggapan Office 365 diuraikan di sini.

 
 
Perlihatkan semua

Referensi Opini WP29: Di Pasal 4.1 (poin pertama di bawah judul “Kepatuhan terhadap prinsip proteksi data dasar”), WP29 menyatakan bahwa “penyedia awan harus memberi tahu klien awan tentang semua aspek relevan (proteksi data) dari layanan mereka…khususnya, klien harus diberi tahu tentang semua subkontraktor yang berkontribusi pada penyediaan layanan awan terkait dan semua lokasi tempat data disimpan atau diproses oleh penyedia awan dan/atau subkontraktor.” Pasal 3.4.1.1 (Transparansi) selanjutnya menggarisbawahi pentingnya transparansi dalam hubungan penyedia awan-pelanggan awan.

Office 365: Microsoft menyediakan informasi tentang praktik keamanan dan privasi yang tersedia di Pusat Kepercayaan Office 365. Pusat Kepercayaan Office 365 berisi informasi tentang di mana data disimpan, siapa yang dapat mengaksesnya dan dalam situasi seperti apa, serta siapa saja subkontraktor yang terlibat dalam pemrosesan data.

Referensi Opini WP29: Pasal 3.4.1.2 (Batasan dan spesifikasi tujuan). WP29 menyatakan dengan jelas bahwa "data pribadi harus dikumpulkan untuk tujuan yang jelas, eksplisit, dan sah serta tidak diproses lebih jauh dalam cara yang tidak sesuai dengan tujuan tersebut" dan bahwa pelanggan awan bertanggung jawab untuk "memastikan bahwa data pribadi tidak diproses (secara ilegal) untuk tujuan lain oleh penyedia awan."

Office 365: Layanan awan perusahaan Microsoft menggunakan data pelanggan untuk menyediakan layanan. Ini dapat mencakup penanganan masalah yang bertujuan mencegah, mendeteksi, dan memperbaiki masalah yang memengaruhi operasi layanan dan penyempurnaan fitur yang mencakup deteksi, dan proteksi dari, ancaman yang muncul dan terus berubah terhadap pengguna (seperti malware atau spam). Office 365 tidak membuat produk periklanan dari data pelanggan. Kami tidak memindai email atau dokumen Anda untuk menyusun analitik, pengolahan data, periklanan, atau peningkatan layanan.

Microsoft tidak akan mengungkap data pelanggan ke pihak ketiga (meliputi penegak hukum, entitas pemerintah lain, atau litigasi sipil, tidak termasuk subkontraktor kami) kecuali atas permintaan pelanggan atau kecuali jika diperlukan oleh hukum.

Referensi WP29 Opinion: Pasal 3.4.1.2 (Batasan dan spesifikasi tujuan) dan Pasal 3.3.1 (Klien awan dan penyedia awan).

Office 365: Server awan perusahaan Microsoft secara fisik dan/atau logis terpisah dari server bagi layanan online konsumen. Data pelanggan perusahaan, data di layanan online konsumen Microsoft, dan data yang dibuat dari atau sebagai hasil aktivitas pemindaian, pengindeksan, atau pengolahan data Microsoft, tidak bercampur kecuali jika sebelumnya telah disetujui oleh pelanggan.

Referensi WP29 Opinion: Pasal 3.4.1.2 (Batasan dan spesifikasi tujuan) dan Pasal 3.3.1 (Klien awan dan penyedia awan).

Office 365: Microsoft tidak memindai email atau dokumen untuk tujuan iklan. Layanan perusahaan Microsoft memelihara, memindai, dan mengindeks data pelanggan guna menyediakan beragam fitur yang memungkinkan pelanggan mengakses dan menata data pelanggan. Sebagai contoh, pengguna akhir dapat dengan mudah mencari dokumen mereka dan konten lain di Office 365.

Referensi Opini WP29: Pasal 3.4.3 (Langkah-langkah teknis dan organisasi mengenai proteksi data dan keamanan data).

Office 365: Layanan komersial Office 365 secara logis terpisah dari layanan online konsumen. Data pelanggan perusahaan dan data di layanan online konsumen Microsoft tidak bercampur kecuali jika sebelumnya telah disetujui oleh pelanggan.

WP29 menyimpulkan bahwa mekanisme tradisional untuk mentransfer data ke luar Wilayah Ekonomi Eropa memiliki "batasan" apabila diterapkan pada awan. WP29 tidak menggunakan panduan Safe Harbor, menyatakan kepada pelanggan awan bahwa "komitmen utama pengimpor data terhadap panduan Safe Harbor dapat dianggap tidak memadai" untuk transfer data ke penyedia yang berbasis di Amerika Serikat. WP29 juga mengingatkan pelanggan awan akan perlunya memastikan kepatuhan dengan semua kewajiban hukum nasional yang mungkin berlaku.

Office 365 menyediakan perjanjian proteksi data (DPA) yang komprehensif dan menawarkan Klausul Model UE selain sertifikasi mandiri di bawah kerangka kerja Safe Harbor A.S.-UE. Sementara Klausul Model UE dirancang secara spesifik bagi pelanggan UE, DPA merupakan kumpulan praktik privasi terbaik dari berbagai negara dan ditawarkan bagi semua pelanggan dari berbagai lokasi dan ukuran. Proses yang harus dijalankan Office 365 untuk mematuhi Klausul Model UE tidak terbatas bagi pelanggan UE tetapi juga tersedia untuk semua pelanggan.