De vigtigste spørgsmål om beskyttelse af personlige oplysninger, som kunden bør stille til sin udbyder af skytjenester

Microsoft Office 365 tilbyder uundværlige funktioner til beskyttelse af personlige oplysninger til alle Office 365-kunder. Formålet med dette afsnit er at beskrive funktioner til beskyttelse af personlige oplysninger, samt hvordan de lever op til de høje standarder for beskyttelse af personlige oplysninger, som udstikkes af EU-myndighederne. Den 1. juli 2012 indførte EU’s Artikel 29-arbejdsgruppe (WP29) – en gruppe, som er dannet for den Europæiske Unions nationale databeskyttelsesmyndigheder – udtalelse 05/2012 om cloud computing. Udtalelsen om cloud computing fremhæver fordelene ved cloud computing, herunder øget effektivitet og højere sikkerhed. I udtalelsen understreger arbejdsgruppen vigtigheden af at vælge en udbyder af skytjenester, som tilbyder gennemsigtighed omkring sine praksisser for databeskyttelse, og som respekterer, at kundedata er private.

Udtalelsen fra Artikel 29-gruppen giver vigtig vejledning til aktuelle og eventuelle brugere af skytjenester. Den giver også anledning til en række spørgsmål, som disse kunder i deres rolle som datacontrollere bør overveje, når de vælger udbyder af skytjenester. Det helt afgørende spørgsmål om beskyttelse af personlige oplysninger samt svarene for Office 365 beskrives her.

Henvisning til udtalelsen fra Artikel 29-gruppen: I afsnit 4.1 (det første punkt under overskriften "Overholdelse af grundlæggende databeskyttelsesprincipper"), står der at "Cloud-udbydere bør informere cloud-kunder om alle relevante aspekter (vedrørende databeskyttelse) af deres tjenester … Kunderne bør især informeres om alle underleverandører, der bidrager til leveringen af den pågældende cloud-tjenesteydelse, og alle lokaliteter, hvor oplysninger måtte blive lagret eller behandlet af cloud-udbyderen og/eller dennes underleverandører". Afsnit 3.4.1.1 (Gennemsigtighed) understreger yderligere vigtigheden af gennemsigtighed i forholdet mellem udbyderen og kunden.

Office 365: Microsoft gør oplysninger om sine praksisser for sikkerhed og beskyttelse af personlige oplysninger tilgængelige i Center for sikkerhed og rettighedsadministration i Office 365. Center for sikkerhed og rettighedsadministration i Office 365 indeholder oplysninger om, hvor dataene lagres, hvem der har adgang til dem, og under hvilke omstændigheder, samt hvilke underleverandører der er indblandet i databehandlingen.
Henvisning til udtalelsen fra Artikel 29-gruppen: Afsnit 3.4.1.2 (Formålsspecifikation og -begrænsning). Artikel 29-gruppen gør det klart, at "personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål, samt at senere behandling heraf ikke være uforenelige med disse formål", samt at cloud-kunder har ansvaret for at sikre, "at cloud-udbyderen eller en af hans underleverandører ikke (ulovligt) behandler personoplysninger til yderligere formål".

Office 365: Microsofts erhvervsskytjenester anvender udelukkende kundedata til at levere tjenesteydelserne. Dette omfatter muligvis fejlfinding med henblik på at forebygge, identificere og afhjælpe problemer, som påvirker funktionsmåden for tjenesterne, og forbedring af funktioner, som omfatter registrering af og beskyttelse mod aktuelle og kommende trusler mod brugeren, f.eks. malware eller spam. Office 365 anvender ikke kundedata til at lave reklameprodukter. Vi scanner ikke dine mails eller dokumenter til brug for analyse, dataudtrækning eller nogen forbedring af tjenesten.

Microsoft udleverer ikke kundedata til nogen tredjepart (herunder ordensmagten, anden statslig instans eller nogen civil procespart, undtagen vores underleverandører) andet end i det omfang kunden måtte anmode om det, eller hvis der er tale om et lovmæssigt krav.
Henvisning til udtalelsen fra Artikel 29-gruppen: Afsnit 3.4.1.2 (Formålsspecifikation og -begrænsning) og Afsnit 3.3.1 (Cloud-kunde og cloud-udbyder).

Office 365: Microsofts virksomhedsskyservere er fysisk adskilt fra de servere, der anvendes til onlinetjenester til forbrugere. Virksomhedskundedata, data i Microsofts onlinetjenester til forbrugere samt data oprettet af eller som resultat af at Microsoft har scannet, indekseret eller foretaget datamining, holdes adskilt, medmindre andet på forhånd er blevet godkendt af kunden.
Henvisning til udtalelsen fra Artikel 29-gruppen: Afsnit 3.4.1.2 (Formålsspecifikation og -begrænsning) og Afsnit 3.3.1 (Cloud-kunde og cloud-udbyder).

Office 365: Microsoft scanner ikke mails eller dokumenter med reklame for øje. Microsofts erhvervstjenester vedligeholder, scanner og indekserer kundeoplysninger for at tilbyde effektive funktioner, som giver kunderne mulighed for at få adgang til og organisere kundeoplysninger. Eksempelvis kan slutkunderne nemt søge efter deres dokumenter og andet indhold i Office 365.
Henvisning til udtalelsen fra Artikel 29-gruppen: Afsnit 3.4.3 (Tekniske og organisatoriske foranstaltninger i forbindelse med databeskyttelse og datasikkerhed).

Office 365: Den kommercielle Office 365-tjeneste er logisk adskilt fra onlinetjenester for forbrugere. Erhvervskundedata og data i Microsofts onlinetjenester til forbrugere holdes adskilt, medmindre andet på forhånd er blevet godkendt af kunden.
Artikel 29-arbejdsgruppen konkluderer, at der er "begrænsninger" for de traditionelle mekanismer til overførsel af data ud af EØS-området, når disse anvendes i skyen. Gruppen udpeger Safe Harbor-principperne og minder kunderne om, at "dataimportørens forpligtelse til at følge Safe Harbor-principperne muligvis ikke er tilstrækkelig", når det gælder dataoverførsel til udbydere i USA. Gruppen minder også cloud-kunderne om, at behovet for at sikre overholdelsen af eventuelle nationale love eller forpligtelser, der måtte gælde.

Office 365 giver en omfattende aftale om beskyttelse af data og tilbyder underskrivelse af EU-modelklausulerne samt selvcertificering i henhold til USA's og EU's Safe Harbor-principper. Mens EU Model-klausulerne er lavet særligt til kunder i EU, er aftalen om beskyttelse af data en samling af de bedste fremgangsmåder til beskyttelse af personlige oplysninger fra forskellige lande, og den tilbydes til alle kunder uanset geografisk placering eller størrelse. De processer, som Office 365 benytter for at overholde EU-modelklausulerne, er ikke begrænset til kunder i EU, men er tilgængelige for alle kunder.