Najpogostejša vprašanja, ki bi jih stranka morala zastaviti ponudniku storitve v oblaku

Microsoft Office 365 nudi ključne funkcije za zasebnost za vse uporabnike storitve Office 365. V tem razdelku so opisane funkcije zasebnosti in način, kako te izpolnjujejo visoke standarde zasebnosti, ki veljajo v EU. 1. julija 2012 je delovna skupina EU člena 29 (WP29) – skupina, sestavljena iz nacionalnih organov za varstvo podatkov Evropske unije – sprejela mnenje 05/2012 glede računalništva v oblaku. Mnenje o računalništvu v oblaku poudarja prednosti računalništva v oblaku, vključno z izboljšano učinkovitostjo in večjo varnostjo. Skupina WP29 v mnenju poudarja pomembnost izbora ponudnika storitev v oblaku, ki omogoča transparenten vpogled v svoje prakse varstva podatkov in ki spoštuje zasebnost podatkov svojih strank.

Mnenje delovne skupine WP29 zagotavlja osnovna navodila za trenutne in prihodnje uporabnike storitev v oblaku. Hkrati pa odpira številna vprašanja, o katerih bi stranke storitev v oblaku, ki so v vlogi nadzornikov podatkov, morale premisliti ob izbiranju ponudnika storitev v oblaku. Ključna vprašanja o zasebnosti in odgovori strokovnjakov storitve Office 365 nanje so opisani tukaj.

Pokaži vse

Referenca mnenja skupine WP29: V členu 4.1 (prva oznaka pod naslovom »Compliance with fundamental data protection principles« (Skladnost s temeljnimi načeli varstva podatkov)) skupina WP29 navaja, da »morajo ponudniki storitev v oblaku stranke storitev v oblaku obvestiti o vseh pomembnih vidikih (varstvo podatkov) svojih storitev … stranke morajo biti seznanjene zlasti s tem, kateri podizvajalci so udeleženi pri zagotavljanju posameznih storitev v oblaku, poznati pa morajo tudi vsa mesta, kjer so podatki shranjeni ali obdelani s strani ponudnika storitev v oblaku in/ali njegovih podizvajalcev«. Odsek 3.4.1.1 (preglednost) še dodatno poudarja pomembnost preglednosti v partnerstvu med uporabnikom storitev v oblaku in ponudniku storitev.

Office 365: Microsoft nudi informacije o svojih praksah zasebnosti in varnosti v Središču zaupanja za Office 365. V središču zaupanja za Office 365 so na voljo informacije, kot so: mesto hranjenja podatkov, kdo lahko dostopa do podatkov in pod kakšnimi pogoji ter kateri podizvajalci so vključeni v obdelavo podatkov.

Referenca mnenja skupine WP29: člen 3.4.1.2 »Purpose specification and limitation« (Specifikacija in omejitev namena). Skupina WP29 jasno navaja, da »morajo biti osebni podatki zbrani za natančno določene, izrecne in zakonite namene in ne smejo biti nadalje obdelani na način, ki ni skladen s temi nameni«, uporabniki storitev v oblaku pa so dolžni »zagotoviti, da ponudnik storitev v oblaku osebnih podatkov ne obdeluje (nezakonito) za nadaljne namene«.

Office 365: Microsoftove storitve v oblaku za podjetja uporabljajo podatke uporabnikov le za nudenje storitev. Sem sodi odpravljanje težav, s katerim preprečujemo, zaznavamo in odpravljamo težave, ki vplivajo na delovanje storitev, in izboljšanje funkcij, ki vključujejo zaznavanje in zaščito pred morebitnimi grožnjami uporabniku (kot je na primer zlonamerna programska oprema ali neželena pošta). Storitev Office 365 podatkov uporabnikov ne uporablja za ustvarjanje marketinških izdelkov. Ne pregledujemo e-pošte ali dokumentov za analitične namene, podatkovno rudarjenje, oglaševanje ali kakor koli drugače za izboljšanje storitve.

Podatkov strank Microsoft ne bo razkril tretji osebi (tudi ne organom reda in miru, drugim vladnim organom ali strankam v postopku; podizvajalci niso vključeni), razen če tega ne zahteva stranka ali zakon.

Referenca mnenja skupine WP29: člen 3.4.1.2 (specifikacija namena in omejitve) in člen 3.3.1 (uporabnik storitev v oblaku in ponudnik storitev v oblaku).

Office 365: Microsoftovi strežniki za storitve v oblaku za podjetja so fizično in/ali logično ločeni od strežnikov spletnih storitev za stranke. Podatki podjetij, podatki v Microsoftovih spletnih storitvah za stranke in podatki, pridobljeni z Microsoftovimi postopki pregledovanja, indeksiranja ali podatkovnega rudarjenja, niso združeni, če tega stranka vnaprej ne odobri.

Referenca mnenja skupine WP29: člen 3.4.1.2 (specifikacija namena in omejitve) in člen 3.3.1 (uporabnik storitev v oblaku in ponudnik storitev v oblaku).

Office 365: Microsoft ne skenira e-pošte ali dokumentov za namene oglaševanja. Microsoftove storitve za podjetja ohranjajo, pregledujejo in indeksirajo podatke strank le zato, da lahko ponudijo obogatene funkcije, s katerimi lahko stranke dostopajo do svojih podatkov in jih organizirajo. Končni uporabniki lahko na primer preprosto iščejo svoje dokumente in drugo vsebino v storitvi Office 365.

Referenca mnenja skupine WP29: člen 3.4.3 (tehnični in organizacijski ukrepi zaščite in varnosti podatkov).

Office 365: komercialna storitev storitve Office 365 je logično ločena od spletnih storitev za stranke. Podatki podjetij in podatki v Microsoftovih spletnih storitvah za stranke niso združeni, če stranka tega ne potrdi vnaprej.

Skupina WP29 zaključuje, da imajo tradicionalni mehanizmi za prenos podatkov iz evropskega gospodarskega prostora »omejitve«, ko so uporabljene v oblaku. Skupina WP29 izpostavlja načela varnega ravnanja z osebnimi podatki iz EU v ZDA in uporabnike storitev v oblaku opozarjajo, svetujejo da »zgolj obveza uvoznikov podatkov, da bodo pri prenosu podatkov iz EU v strežnike ponudnikov s sedežem v ZDA upoštevali načela varnega ravnanja s podatki« morda ne bo dovolj. Skupina WP29 uporabnike storitev v oblaku hkrati tudi opozarja, da morajo zagotoviti skladnost z morebitnimi veljavnimi nacionalnimi zakoni.

Office 365 ponuja obsežno pogodbo o varstvu podatkov (DPA) in poleg samostojnega potrjevanja v skladu z ogrodjem EU in ZDA o varnem ravnanju z osebnimi podatki iz EU ponuja tudi standardne pogodbene določbe EU. Medtem ko so standardne pogodbene določbe EU namenjene posebej za stranke iz EU, je DPA zbirka najboljših praks glede zasebnosti iz različnih držav, na voljo pa je za vse stranke, ne glede na geografsko lego ali velikost. Postopki, ki so ustvarjeni v storitvi Office 365 za zagotavljanje skladnosti s standardnimi pogodbenimi določbami EU, niso omejeni na stranke iz EU, temveč so na voljo za vse stranke.