Tärkeimmät tietosuojakysymykset, jotka asiakkaan kannattaa kysyä pilvipalveluntarjoajalta

Microsoft Office 365 tarjoaa Office 365 -asiakkaille olennaiset tietosuojaominaisuudet. Tässä osassa kuvataan näitä tietosuojaominaisuuksia ja millä tavoin ne vastaavat EU:n viranomaisten tiukkoihin tietoturvastandardeihin. Euroopan unionin Artikla 29 -tietosuojatyöryhmä (WP29) antoi 1. heinäkuuta 2012 lausunnon tietotekniikan resurssipalveluista (pilvipalveluista). Tämä työryhmä koostuu Euroopan unionin kansallisista tietosuojaviranomaisista. Pilvipalveluja käsittelevä lausunto nostaa esille pilvipalvelujen etuja, kuten toiminnan tehostumisen ja paremman tietoturvan. WP29 korostaa lausunnossa sellaisen pilvipalveluntarjoajan valinnan tärkeyttä, jonka tietosuojakäytännöt ovat avoimia ja joka kunnioittaa asiakastietojen tietosuojaa.

WP29-työryhmän lausunto sisältää keskeiset ohjeet nykyisille ja potentiaalisille pilvipalvelujen käyttäjille. Siinä käsitellään myös useita kysymyksiä, joita pilvipalvelujen asiakkaiden on otettava huomioon roolissaan rekisterinpitäjänä pilvipalveluntarjoajaa valittaessa. Tärkeimmät tietosuojaa koskevat kysymykset ja Office 365:n vastaukset niihin käsitellään tässä artikkelissa.

WP29-työnryhmän lausuntoviittaus: WP29 ilmoittaa osassa 4.1 (ensimmäinen Perustavanlaatuisten tietosuojaperiaatteiden noudattaminen -kohdan alakohta), että "resurssipalvelujen tarjoajien olisi... ilmoitettava resurssipalvelujen asiakkaille kaikista tarjoajien palveluihin liittyvistä olennaisista (tietosuojaa koskevista) näkökohdista. Asiakkaille olisi etenkin ilmoitettava kaikista alihankkijoista, jotka osallistuvat kyseisen resurssipalvelun tarjoamiseen, ja kaikista sijaintipaikoista, joihin resurssipalvelujen tarjoaja ja/tai sen alihankkijat saattavat tallentaa tiedot tai joissa ne saattavat käsitellä tietoja." Osa 3.4.1.1 (Avoimuus) painottaa entisestään avoimuuden merkitystä pilvipalveluntarjoajan ja pilvipalvelun asiakkaan välisessä suhteessa.

Office 365: Microsoftin tietosuoja- ja tietoturvakäytäntöjä koskevat tiedot ovat helposti luettavissa Office 365 -valvontakeskuksessa (www.microsoft.com/fi-fi/office365/trust-center.aspx). Office 365 -valvontakeskuksessa on tietoja tietojen tallennuspaikoista, kenellä on tietojen käyttöoikeus ja missä tilanteessa he voivat käyttää näitä tietoja sekä mitä alihankkijoita on mukana tietojen käsittelyssä.
WP29-työryhmän lausuntoviittaus: Osa 3.4.1.2 ( Tarkoituksen määrittäminen ja rajoittaminen). WP29 ilmoittaa selkeästi, että "henkilötietoja on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä myöhemmin saa käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla" ja että pilvipalvelujen asiakkaiden on "varmistettava, että resurssipalvelujen tarjoaja ei käsittele henkilötietoja (lainvastaisesti) muita tarkoituksia varten."

Office 365: Microsoftin yrityskäyttöön tarkoitetut pilvipalvelut käyttävät asiakastietoja vain palvelujen tarjoamiseen. Kyse voi olla vianmäärityksestä, jonka tarkoituksena on estää, havaita ja korjata palvelun toimintaan vaikuttavia ongelmia, ja sellaisten ominaisuuksien parantamisesta, jotka liittyvät käyttäjää koskevien esiin tulevien ja kehittyvien uhkien (kuten haittaohjelmien tai roskapostin) havaitsemisesta ja niiltä suojautumisesta. Office 365 ei muodosta mainostuotteita asiakastiedoista. Sähköposteja tai tiedostoja ei tarkkailla analysointia, tiedon louhintaa, mainontaa tai muutoin palvelun parantamista varten.

Microsoft ei paljasta asiakastietoja kolmansille osapuolille (ei myöskään lainvalvontaviranomaisille, muille julkishallinnon toimijoille tai yksityisille asianosaisille alihankkijoita lukuun ottamatta) ellei asiakas sitä pyydä tai lainsäädäntö sitä edellytä.
WP29-työryhmän lausuntoviittaus: Osa 3.4.1.2 (Tarkoituksen määrittäminen ja rajoittaminen) ja Osa 3.3.1 ( Resurssipalvelujen asiakas ja resurssipalvelujen tarjoaja).

Office 365: Microsoftin yrityksille tarkoitetut pilvipalvelimet sijaitsevat fyysisesti ja/tai loogisesti erillään kuluttajille suunnatuista verkkopalveluista. Yritysten asiakastiedot, Microsoftin kuluttajille suunnattujen verkkopalvelujen tiedot sekä Microsofitn etsintä-, indeksointi- ja tiedonlouhintatoimintojen tuloksena syntyneitä tai näiden toimintojen perusteella luotuja tietoja ei sekoiteta ellei asiakas sitä etukäteen hyväksy.
WP29-työryhmän lausuntoviittaus: Osa 3.4.1.2 (Tarkoituksen määrittäminen ja rajoittaminen) ja Osa 3.3.1 ( Resurssipalvelujen asiakas ja resurssipalvelujen tarjoaja).

Office 365: Microsoft ei tee sähköposteissa tai tiedostoissa etsintää mainostamistarkoituksessa. Microsoftin yrityspalvelut ylläpitävät, tarkkailevat ja indeksoivat asiakastietoja, jotta asiakkaille voitaisiin tarjota monipuolisia ominaisuuksia, joiden avulla asiakkaat voivat käyttää ja järjestää asiakastietoja. Office 365 -käyttäjien on esimerkiksi on helppo suorittaa hakuja tiedostoissa ja muussa sisällössä.
WP29-työryhmän lausuntoviittaus: Osa 3.4.3 (Henkilötietojen suojelua ja tietosuojaa koskevat tekniset ja organisatoriset toimenpiteet).

Office 365: Office 365:n kaupallinen palvelu on erotettu loogisesti kuluttajille suunnatuista verkkopalveluista. Yritysten asiakastietoja ja Microsoftin kuluttajille suunnattujen verkkopalvelujen tietoja ei sekoiteta yhteen, ellei asiakas ole sitä etukäteen hyväksynyt.
WP29-työryhmällä on varauksia tietojen siirtämisestä pilvipalveluissa perinteisin menetelmin Euroopan talousalueen ulkopuolelle. WP29 mainitsee erityisesti Safe Harbor -järjestelmän ja toteaa asiakkaille, että tietojen viejän sitoutuminen pelkkään Safe Harbor -järjestelmään ei välttämättä ole riittävä, kun kyse on tiedonsiirrosta yhdysvaltalaisille palveluntarjoajille. WP29 kehottaa pilvipalveluasiakkaita myös varmistamaan, että kaikkia kansallisia lakeja noudatetaan.

Office 365 sisältää kattavan tietosuojasopimuksen ja tarjoaa EU:n mallilausekkeet EU:n ja Yhdysvaltojen välisen Safe Harbor -järjestelmän mukaisen oman varmennuksen lisäksi. Vaikka EU:n mallilausekkeet on luotu nimenomaan EU:n asiakkaille, tietosuojasopimukseen on kerätty eri maiden parhaat tietosuojakäytännöt, ja se tarjotaan kaikille asiakkaille maantieteellisestä sijainnista ja koosta riippumatta. Office 365:een EU:n mallilausekkeiden vaatimuksia vastaamaan luotuja prosesseja ei ole tarkoitettu vain EU:n asiakkaille, vaan ne ovat kaikkien asiakkaiden käytettävissä.