Nejdůležitější otázky týkající se ochrany osobních údajů, které by měl zákazník položit svému poskytovateli cloudových služeb

Služby Microsoft Office 365 poskytují nezbytné funkce pro ochranu osobních údajů pro všechny své zákazníky. Účelem této části je popis těchto funkcí a toho, jak naplňují vysoké standardy ochrany osobních údajů, které stanovily úřady EU. V EU ustavená Pracovní skupina expertů zřízená podle článku 29 (WP29, Article 29 Working Party), kterou sestavily národní úřady pro ochranu osobních údajů z členských zemí Evropské unie, přijala 1. července 2012 stanovisko 05/2012 k problematice cloud computingu. V tomto stanovisku se zdůrazňují přínosy cloud computingu, včetně vyšší efektivity a lepšího zabezpečení. Skupina WP29 ve stanovisku klade důraz na volbu poskytovatele cloudových služeb, který je transparentní, pokud jde o postupy ochrany dat, a který u zákaznických dat respektuje ochranu osobních údajů.

Zmíněné stanovisko skupiny WP29 představuje základní vodítko pro současné i budoucí uživatele cloudu. Přináší taky řadu otázek, které by měli zákazníci cloudových služeb, coby vlastníci dat, zvážit při výběru poskytovatele cloudových služeb. V dalším textu popisujeme klíčové otázky týkající se ochrany osobních údajů a jak na ně odpovídají služby Office 365.

Ze stanoviska skupiny WP29: V části 4.1 (první odrážka pod záhlavím části věnované dodržování zásadních principů ochrany dat) skupina WP29 uvádí, že poskytovatelé cloudových služeb by měli informovat své klienty o všech relevantních (a ochrany dat se týkajících) aspektech svých služeb. Zvláště pak by měli být klienti informovaní o všech subdodavatelích podílejících se na zajišťování dotyčných cloudových služeb a všech místech, kde může poskytovatel nebo jeho subdodavatelé data ukládat nebo zpracovávat. V části 3.4.1.1 (o transparentnosti) dále podtrhuje důležitost transparentnosti ve vztahu mezi poskytovatelem a zákazníkem cloudových služeb.

Office 365: Microsoft přehledně zpřístupňuje informace o svých postupech ochrany osobních údajů a zabezpečení v Centru zabezpečení Office 365. Centrum zabezpečení Office 365 obsahuje informace o tom, kde se data ukládají, kdo k nim má přístup a za jakých podmínek a kteří subdodavatelé se podílejí na zpracování dat.
Ze stanoviska skupiny WP29: Část 3.4.1.2 (o specifikaci a omezení účelu). Skupina WP29 jasně stanoví, že osobní data se smí shromažďovat jen ke specifikovaným, výslovně uvedeným a legitimním účelům a nesmí se dál zpracovávat způsobem, který těmto účelům neodpovídá, a zákazníci cloudových služeb zodpovídají za to, aby zajistili, že nebude docházet k (nezákonnému) zpracování osobních dat ze strany poskytovatele k dalším účelům.

Office 365: Cloudové služby společnosti Microsoft pro podniky využívají data zákazníků čistě jen v rozsahu poskytování těchto služeb. Může se jednat o prevenci, zjišťování a řešení problémů ovlivňujících provoz těchto služeb a zdokonalování funkcí, což zahrnuje detekci nově vznikajících nebo už probíhajících hrozeb pro uživatele (jako je malware nebo spam) a ochranu před nimi. Office 365 nevytváří na základě dat zákazníků žádné reklamní produkty. Neprohledáváme vaše e-maily ani dokumenty pro účely vytváření analýz, dolování dat, reklamy nebo jinému rozšíření služeb.

Microsoft nebude zákaznická data zpřístupňovat žádné třetí straně (včetně orgánů činných v trestním řízení, jiných státních subjektů nebo stran civilních soudních sporů, s výjimkou našich subdodavatelů) kromě případů, kdy si to vyžádá přímo dotyčný zákazník nebo to bude nutné na základě zákona.
Ze stanoviska skupiny WP29: Část 3.4.1.2 (o specifikaci a omezení účelu) a 3.3.1 (o klientovi a poskytovateli cloudových služeb).

Office 365: Cloudové služby společnosti Microsoft pro podniky jsou fyzicky nebo logicky oddělené od online služeb pro individuální uživatele. Data firemních zákazníků, data v online službách Microsoftu pro individuální uživatele a data vytvořená při činnostech Microsoftu v rámci prohledávání, indexování nebo dolování dat se spolu nemísí, pokud k tomu nedá zákazník předem souhlas.
Ze stanoviska skupiny WP29: Část 3.4.1.2 (o specifikaci a omezení účelu) a 3.3.1 (o klientovi a poskytovateli cloudových služeb).

Office 365: Microsoft neprohledává e-maily ani dokumenty pro reklamní účely. Služby společnosti Microsoft pro podniky udržují, prohledávají a indexují zákaznická data, abychom zákazníkům mohli poskytovat bohaté funkce pro přístup k datům a jejich uspořádání. Koncoví uživatelé například můžou v Office 365 své dokumenty a další obsah vyhledávat.
Ze stanoviska skupiny WP29: Část 3.4.3 (o technických a organizačních opatřeních při ochraně a zabezpečení dat).

Office 365: Komerční služba Office 365 je logicky oddělená od online služeb pro individuální uživatele. Data firemních zákazníků a data v online službách Microsoftu pro individuální uživatele se spolu nemísí, pokud k tomu nedá zákazník předem souhlas.
Skupina WP29 dochází k závěru, že tradiční mechanismy pro přenos dat z Evropského hospodářského prostoru mají při použití u cloudu svá omezení. Zvlášť se odvolává na ustanovení o bezpečném přístavu (Safe Harbor) a zákazníky cloudových služeb upozorňuje, že pouhé dodržení ustanovení Safe Harbor ze strany importéra dat není možné považovat za dostatečné zajištění při přenosech dat k poskytovatelům se sídlem v USA. Skupina WP29 rovněž zákazníkům cloudových služeb připomíná nutnost vyhovět všem povinnostem vyplývajícím ze zákona v jejich zemích.

Office 365 poskytuje komplexní smlouvu o ochraně dat (DPA) a nad rámec vlastní certifikace vycházející z rámcové smlouvy Safe Harbor, která platí mezi USA a EU, nabízí vzorové doložky EU. Zatímco vzorové doložky EU jsou specificky formulované pro zákazníky z EU, smlouva DPA představuje souhrn osvědčených postupů v oblasti ochrany osobních údajů z různých zemí a je určená pro všechny zákazníky bez ohledu na zemi původu nebo velikost. Procesy vypracované v rámci Office 365 s cílem vyhovět vzorovým doložkám EU se neomezují jen na zákazníky z EU, ale jsou k dispozici pro všechny zákazníky.