Soalan privasi utama yang patut diajukan oleh pelanggan kepada pembekal awan mereka

Microsoft Office 365 membekalkan ciri-ciri privasi penting kepada semua pelanggan Office 365. Tujuan seksyen ini adalah menerangkan ciri-ciri privasi tersebut dan cara ia memenuhi standard tinggi yang ditetapkan oleh pihak berkuasa EU. Pada 1 Julai 2012, Article 29 Working Party (WP29) EU —sebuah kumpulan yang terdiri daripada pihak berkuasa perlindungan data kebangsaan Kesatuan Eropah—telah menggunakan Pendapat 05/2012 berkenaan Pengkomputeran Awan. Pendapat berkenaan Pengkomputeran Awan menekankan manfaat pengkomputeran awan, termasuk peningkatan kecekapan dan keselamatan. Dalam Pendapat tersebut, WP29 menekankan kepentingan pemilihan pembekal perkhidmatan awan yang telus tentang amalan perlindungan datanya dan menghormati privasi data pelanggan.

Pendapat WP29 membekalkan panduan penting kepada pengguna awan semasa dan akan datang. Ia turut menimbulkan beberapa pertanyaan yang patut dipertimbangkan oleh pelanggan awan dengan peranan mereka sebagai pengawal data apabila memilih pembekal awan. Soalan privasi penting dan respons Office 365 diterangkan di sini.

Rujukan Pendapat WP29: Dalam Seksyen 4.1 (bulet pertama di bawah tajuk “Pematuhan kepada prinsip asas perlindungan data”), WP29 menyatakan “pembekal awan perlu memberitahu pelanggan awan semua aspek perkhidmatan mereka yang berkaitan dengan (perlindungan data)…secara khusus, pelanggan patut diberitahu tentang semua subkontraktor yang menyumbang kepada peruntukan perkhidmatan awan tersebut dan semua lokasi yang data mungkin disimpan atau diproses oleh pembekal awan dan/atau subkontraktornya." Seksyen 3.4.1.1 (Ketelusan) selanjutnya menekankan kepentingan ketelusan dalam hubungan pembekal awan dan pelanggan awan.

Office 365: Microsoft menjadikan maklumat amalan privasi dan keselamatannya tersedia dalam Pusat Amanah Office 365 (www.microsoft.com/ms-my/office365/trust-center.aspx). Pusat Amanah Office 365 mengandungi maklumat tentang tempat penyimpanan data, individu yang boleh mencapainya dan keadaannya serta subkontraktor yang terlibat dalam pemprosesan data.
Rujukan Pendapat WP29: Seksyen 3.4.1.2 (Spesifikasi dan pengehadan tujuan). WP29 menerangkan bahawa “data peribadi mesti dikumpul untuk tujuan tertentu yang eksplisit dan sah serta tidak diproses dengan lanjut sehingga tidak serasi dengan tujuan tersebut” serta pelanggan awan bertanggungjawab untuk “memastikan[] data peribadi tidak diproses (secara tidak sah) untuk tujuan selanjutnya oleh pembekal awan.”

Office 365: Perkhidmatan awan perusahaan Microsoft hanya menggunakan data pelanggan untuk membekalkan perkhidmatan. Ini mungkin merangkumi penyelesaian masalah untuk mengelakkan, mengesan dan membaiki masalah yang mempengaruhi pengendalian perkhidmatan serta pembaikan ciri-ciri yang melibatkan pengesanan dan perlindungan terhadap ancaman yang muncul dan berkembang kepada pengguna (seperti perisian berniat jahat atau spam). Office 365 tidak membangunkan produk pengiklanan menggunakan data pelanggan. Kami tidak mengimbas e-mel atau dokumen anda untuk membangunkan analitis, penjelajahan data, pengiklanan atau pembaikan perkhidmatan.

Microsoft tidak akan mendedahkan data pelanggan kepada pihak ketiga (termasuk penguat kuasa undang-undang, entiti kerajaan lain atau peguam, tidak termasuk subkontraktor kami) kecuali diminta oleh pelanggan kami atau diminta oleh undang-undang.
Rujukan Pendapat WP29: Seksyen 3.4.1.2 (Spesifikasi dan pengehadan tujuan) dan Seksyen 3.3.1 (Klien awan dan pembekal awan).

Office 365: Pelayan awan perusahaan Microsoft diasingkan secara fizikal dan logikal daripada pelayan untuk perkhidmatan pengguna dalam taliannya. Data pelanggan perusahaan, data dalam perkhidmatan dalam talian pengguna Microsoft dan data yang dicipta atau terhasil daripada imbasan, pengindeksan atau aktiviti penjelajahan data Microsoft tidak dicampur kecuali diluluskan oleh pelanggan terlebih dahulu.
Rujukan Pendapat WP29: Seksyen 3.4.1.2 (Spesifikasi dan pengehadan tujuan) dan Seksyen 3.3.1 (Klien awan dan pembekal awan).

Office 365: Microsoft tidak mengimbas e-mel atau dokumen untuk tujuan pengiklanan. Perkhidmatan perusahaan Microsoft menyelenggara, mengimbas dan mengindeks data pelanggan untuk membekalkan ciri beraneka yang membolehkan pelanggan mencapai dan mengatur data pelanggan. Contohnya, pengguna akhir boleh mencari dengan mudah dokumen mereka dan kandungan lain dalam Office 365.
Rujukan Pendapat WP29: Seksyen 3.4.3 (Langkah-langkah organisasi dan teknikal bagi perlindungan data dan keselamatan data).

Office 365: Perkhidmatan komersial Office 365 diasingkan secara logikal daripada perkhidmatan pengguna dalam talian. Data pelanggan perusahaan dan data dalam perkhidmatan dalam talian pengguna Microsoft tidak dicampur kecuali diluluskan oleh pelanggan terlebih dahulu.
WP29 menyimpulkan bahawa mekanisme tradisional untuk pemindahan data di luar Bidang Ekonomi Eropah mempunyai "had" apabila diguna pakai pada awan. WP29 memilih panduan Safe Harbor dan menasihatkan pelanggan awan bahawa “komitmen tunggal pengimport data kepada panduan Safe Harbor mungkin tidak dianggap mencukupi” untuk pemindahan data kepada pembekal yang pusat operasinya di A.S. WP29 turut mengingatkan pelanggan awan tentang keperluan untuk memastikan pematuhan kepada sebarang kewajipan undang-undang kebangsaan yang mungkin dikenakan.

Office 365 membekalkan perjanjian perlindungan data (DPA) yang komprehensif dan menawarkan Klausa Model EU di samping pensijilan kendiri di bawah rangka kerja Safe Harbor A.S.-EU. Walaupun Klausa Model EU dibangunkan secara khusus untuk pelanggan EU, DPA ialah pengagregatan amalan privasi terbaik di negara berlainan dan ditawarkan kepada semua pelanggan tanpa mengambil kira geografi atau saiz. Proses yang dibangunkan oleh Office 365 untuk mematuhi Klausa Model EU tidak terhad kepada pelanggan EU tetapi boleh digunakan oleh semua pelanggan.