A legfontosabb adatvédelmi kérdések, amelyeket egy ügyfélnek meg kell kérdeznie a felhőszolgáltatójától

A Microsoft Office 365 alapvető adatvédelmi szolgáltatásokat biztosít minden Office 365-ügyfélnek. A jelen szakasz ismerteti ezeket az adatvédelmi szolgáltatásokat, és bemutatja, hogy azok miként teljesítik az EU hatóságai által felállított szigorú követelményeket. 2012. július 1-jén az EU 29. cikk szerinti adatvédelmi munkacsoportja (WP29) – az Európai Unió nemzeti adatvédelmi hatóságaiból létrehozott csoport – elfogadta a 05/2012. számú véleményt a számítási felhőről. Ez a vélemény hangsúlyozza a számítási felhő előnyeit, beleértve a továbbfejlesztett hatékonyságot és a nagyobb biztonságot. A véleményben a WP29 kiemelten fontosnak tartja, hogy olyan számításifelhő-szolgáltatót kell választani, amelynek az adatvédelmi gyakorlata átlátható, és amely tiszteletben tartja az ügyféladatok titkosságát.

A WP29 véleménye alapvető útmutatással szolgál a jelenlegi és jövőbeni felhőhasználók számára. Felvet számos kérdést is, amelyeket a felhőt használó ügyfeleknek adatkezelőként figyelembe kell venniük a felhőszolgáltató kiválasztásánál. A jelen cikk a legfontosabb adatvédelmi kérdéseket és az Office 365 azokra adott válaszát tartalmazza.

Idézet a WP29 véleményéből: A 4.1 cikkelyben (az első pont „Az alapvető adatvédelmi elvek betartása” cím alatt), a WP29 kijelenti, hogy „a számításifelhő-szolgáltatóknak... tájékoztatniuk kell az igénybevevőket szolgáltatásuk valamennyi (adatvédelmi szempontból) releváns tényezőjéről; az igénybevevőknek különösen az alábbiakról kell tájékoztatást kapniuk: a megfelelő számításifelhő-szolgáltatás nyújtásához hozzájáruló összes alvállalkozó, valamint az összes olyan helyszín, ahol a szolgáltató és/vagy az alvállalkozói adatokat tárolhatnak vagy dolgozhatnak fel.” A 3.4.1.1 cikkely (Átláthatóság) továbbá aláhúzza az átláthatóság fontosságát a felhő szolgáltatója és igénybevevője közötti kapcsolatban.

Office 365: A Microsoft egyszerűen elérhető teszi az adatvédelmi és biztonsági gyakorlatára vonatkozó információkat az Office 365 Adatvédelmi központ helyen. Az Office 365 Adatvédelmi központ információkat tartalmaz arról, hogy hol tároljuk adatait, ki férhet hozzá és milyen körülmények között, valamint közzéteszi az adatok feldolgozásában részt vevő alvállalkozók listáját.
Idézet a WP29 véleményéből: A 3.4.1.2 cikkely (Célmeghatározás és -korlátozás). A WP29 egyértelműen kijelenti, hogy a „személyes adatok gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet, és további feldolgozásuk nem végezhető e célokkal összeegyeztethetetlen módon”, valamint hogy a számítási felhő ügyfeleinek biztosítani kell, hogy „a számításifelhő-szolgáltató... ne dolgozhassa fel (illegálisan) a személyes adatokat további célok érdekében”.

Office 365: A Microsoft vállalati felhőszolgáltatásai csak a szolgáltatások biztosításához használják az ügyféladatokat. Ebbe beletartozik a szolgáltatások működését érintő problémák megelőzését, felderítését és javítását szolgáló hibaelhárítás, valamint a felhasználót fenyegető veszélyek (például kártevők és levélszemét) észlelését és az ellenük való védelmet biztosító funkciók fejlesztése. Az Office 365 nem hoz létre reklámtermékeket a felhasználói adatok alapján. Nem vizsgáljuk át az e-maileket és a dokumentumokat elemzések, hirdetések létrehozása, adatbányászat vagy a szolgáltatás javítása céljából.

A Microsoft az ügyféladatokat csakis akkor adja át harmadik félnek (beleértve a rendvédelmi szerveket, más állami szerveket vagy polgári peres feleket, de kivéve saját alvállalkozóinkat), ha ezt az ügyfél kéri, vagy ha a törvény erre kötelez bennünket.
A WP29 véleményének idevonatkozó cikkelye: 3.4.1.2 (Célmeghatározás és -korlátozás) és 3.3.1 (A számításifelhő-szolgáltatás igénybevevője és szolgáltatója).

Office 365: A Microsoft vállalati felhőkiszolgálóit fizikailag és/vagy logikailag külön kezeljük azoktól a kiszolgálóktól, amelyek online ügyfélszolgáltatásokat látnak el. A vállalati ügyfelek adatai, a Microsoft online ügyfélszolgáltatásainak adatai, valamint a Microsoft ellenőrzési, indexelési és adatbányászati tevékenységéből származó adatai nem keverednek, kivéve ha ehhez az ügyfél előzetesen hozzájárult.
A WP29 véleményének idevonatkozó cikkelye: 3.4.1.2 (Célmeghatározás és -korlátozás) és 3.3.1 (A számításifelhő-szolgáltatás igénybevevője és szolgáltatója).

Office 365: A Microsoft nem végez semmiféle marketingcélú vizsgálatot az e-maileken vagy a dokumentumokon. A Microsoft vállalati szolgáltatásai megőrzik, ellenőrzik és indexelik az ügyféladatokat annak érdekében, hogy olyan hatékony szolgáltatásokat nyújtsanak ügyfeleiknek, amelyekkel elérhetik és rendszerezhetik az ügyféladatokat. A végfelhasználók például egyszerűen megkereshetik dokumentumaikat és más tartalmakat az Office 365-ben.
A WP29 véleményének idevonatkozó cikkelye: 3.4.3 (Az adatvédelem és adatbiztonság technikai és szervezési intézkedései).

Office 365: Az Office 365 kereskedelmi szolgáltatását logikailag külön kezeljük az online ügyfélszolgáltatásoktól. A vállalati ügyféladatok és a Microsoft online ügyfélszolgáltatásainak adatai nem keverednek, kivéve ha ehhez az ügyfél előzetesen hozzájárult.
A WP29 végezetül úgy ítéli meg, hogy az adatoknak az Európai Gazdasági Térségen kívülre történő továbbításakor alkalmazott hagyományos adattovábbítási eljárások „korlátozásokat” foglalnak magukban a felhőre való alkalmazáskor. A WP29 kiemeli a védett kikötő (Safe Harbor) elveit, és felhívja a felhőt használó ügyfelek figyelmét arra, hogy az USA-beli szolgáltatóknak történő adatátvitelekhez az adatimportőr részéről megtett, a „védett adatkikötőre vonatkozó megfelelőségi nyilatkozat önmagában nem tekinthető elegendőnek”. A WP29 emlékezteti továbbá a felhőt használó ügyfeleket arra, hogy az alkalmazható nemzeti jogszabályoknak való megfelelőséget is biztosítaniuk kell.

Az Office 365 átfogó adatvédelmi egyezményt biztosít, és az EU mintafeltételeit kínálja fel a USA és az EU között létrejött védett adatkikötőre („Safe Harbor”) vonatkozó megfelelőségi nyilatkozat mellett. Az EU mintafeltételei kifejezetten az európai uniós ügyfelek számára készültek, az adatvédelmi egyezmény a különböző országok legjobb gyakorlatának összesítése, és a a fölrajzi környezettől vagy a méretétől függetlenül minden ügyfélre vonatkozik. Az Office 365 által az EU mintafeltételeinek való megfelelőség érdekében létrehozott folyamatok minden ügyfél számára elérhetők, és nem korlátozódnak az európai uniós ügyfelekre.