Pertanyaan privasi teratas yang harus ditanyakan pelanggan kepada penyedia awan

Microsoft Office 365 menyediakan fitur privasi utama kepada semua pelanggan Office 365. Tujuan bagian ini adalah menguraikan fitur privasi tersebut dan bagaimana mereka memenuhi standar tinggi privasi yang ditentukan oleh otoritas UE. Pada 1 Juli 2012, Article 29 Working Party (WP29) UE—grup yang terdiri dari otoritas proteksi data nasional Uni Eropa—mencetuskan Opinion 05/2012 mengenai Komputasi Awan. Opini mengenai Komputasi Awan tersebut menekankan manfaat komputasi awan, meliputi efisiensi yang lebih sempurna dan keamanan yang lebih besar. Dalam Opini tersebut, WP29 menekankan pentingnya memilih penyedia layanan awan yang transparan tentang praktik proteksi datanya dan yang menghormati privasi data pelanggan.

Opini WP29 menyediakan panduan penting bagi pengguna maupun calon pengguna awan. Opini ini juga mencantumkan beberapa pertanyaan yang harus dipertimbangkan pelanggan awan, dalam perannya sebagai pengontrol data, saat memilih penyedia awan. Pertanyaan privasi utama dan respons Office 365 diuraikan di sini.

Referensi WP29 Opinion: Di Bagian 4.1 (poin pertama di bawah judul “Kepatuhan dengan prinsip proteksi data dasar”), WP29 menyatakan bahwa “penyedia awan harus memberi tahu klien awan tentang semua aspek relevan (proteksi data) dari layanan mereka…khususnya, klien harus diberi tahu mengenai semua subkontraktor yang berkontribusi pada penyediaan layanan awan terkait dan semua lokasi di mana data disimpan atau diproses oleh penyedia awan dan/atau subkontraktor.” Bagian 3.4.1.1 (Transparansi) lebih jauh menggarisbawahi pentingnya transparansi dalam hubungan penyedia awan-pelanggan awan.

Office 365: Microsoft menyediakan informasi tentang praktik privasi dan keamanan di Pusat Kepercayaan Office 365 (www.microsoft.com/id-id/office365/trust-center.aspx). Pusat Kepercayaan Office 365 memuat informasi tentang di mana data disimpan, siapa saja yang dapat mengakses dan dalam kondisi seperti apa, dan siapa saja subkontraktor yang terlibat dalam pemrosesan data.
Referensi WP29 Opinion: Bagian 3.4.1.2 (Spesifikasi tujuan dan batasan). WP29 menyatakan dengan jelas bahwa “data pribadi harus dikumpulkan untuk tujuan tertentu, eksplisit, dan sah dan tidak diproses lebih lanjut dengan cara yang tidak sesuai dengan tujuan tersebut” dan bahwa pelanggan awan bertanggung jawab untuk “memastikan[] bahwa data pribadi tidak (secara ilegal) diproses untuk tujuan lain oleh penyedia awan.”

Office 365: Layanan awan perusahaan Microsoft menggunakan data pelanggan untuk menyediakan layanan. Ini dapat mencakup penanganan masalah yang bertujuan mencegah, mendeteksi, dan memperbaiki masalah yang memengaruhi operasi layanan dan penyempurnaan fitur yang mencakup deteksi, dan proteksi dari, ancaman yang muncul dan terus berubah terhadap pengguna (seperti malware atau spam). Office 365 tidak membuat produk periklanan dari data pelanggan. Kami tidak memindai email atau dokumen Anda untuk menyusun analitik, pengolahan data, periklanan, atau peningkatan layanan.

Microsoft tidak akan mengungkap data pelanggan ke pihak ketiga (meliputi penegak hukum, entitas pemerintah lain, atau litigasi sipil, tidak termasuk subkontraktor kami) kecuali atas permintaan pelanggan atau kecuali jika diperlukan oleh hukum.
Referensi opini WP29: Bagian 3.4.1.2 (Spesifikasi tujuan dan batasan) dan Bagian 3.3.1 (Klien awan dan penyedia awan).

Office 365: Server awan perusahaan Microsoft secara fisik dan/atau logis terpisah dari server bagi layanan online konsumen. Data pelanggan perusahaan, data di layanan online konsumen Microsoft, dan data yang dibuat dari atau sebagai hasil aktivitas pemindaian, pengindeksan, atau pengolahan data, tidak bercampur kecuali jika disetujui oleh pelanggan sebelumnya.
Referensi opini WP29: Bagian 3.4.1.2 (Spesifikasi tujuan dan batasan) dan Bagian 3.3.1 (Klien awan dan penyedia awan).

Office 365: Microsoft tidak memindai email atau dokumen untuk tujuan iklan. Layanan perusahaan Microsoft memelihara, memindai, dan mengindeks data pelanggan guna menyediakan fitur kaya yang memungkinkan pelanggan mengakses dan menata data pelanggan. Sebagai contoh, pengguna akhir dapat dengan mudah mencari dokumen mereka dan konten lain di Office 365.
Referensi WP29 Opinion: Bagian 3.4.3 (Standar teknis dan organisasi mengenai proteksi data dan keamanan data).

Office 365: Layanan komersial Office 365 secara logis terpisah dari layanan online konsumen. Data pelanggan perusahaan dan data di layanan online konsumen Microsoft tidak bercampur kecuali jika disetujui oleh pelanggan sebelumnya.
WP29 menyimpulkan bahwa mekanisme transfer data tradisional keluar dari Area Ekonomi Eropa memiliki "batasan" saat diterapkan ke awan. WP29 mencetuskan panduan Safe Harbor, yang menyatakan kepada pelanggan awan bahwa “komitmen importir data terhadap panduan Safe Harbor mungkin dianggap tidak memadai” untuk transfer data ke penyedia berbasis A.S. WP29 juga mengingatkan pelanggan awan akan perlunya memastikan kepatuhan dengan semua kewajiban hukum nasional yang mungkin berlaku.

Office 365 menyediakan perjanjian proteksi data (DPA) yang komprehensif dan menawarkan Klausa Model UE selain sertifikasi mandiri di bawah kerangka kerja Safe Harbor A.S.-UE. Sementara Klausa Model UE dirancang secara spesifik bagi pelanggan UE, DPA merupakan kumpulan praktik privasi terbaik dari berbagai negara dan ditawarkan bagi semua pelanggan dari berbagai lokasi dan ukuran. Proses yang harus dijalankan Office 365 untuk mematuhi Klausa Model UE tidak terbatas bagi pelanggan UE tetapi juga tersedia untuk semua pelanggan.