De viktigste spørsmålene en kunde bør stille til nettskyleverandøren

Microsoft Office 365 tilbyr essensielle personvernfunksjoner til alle Office 365-kunder. Formålet i denne delen er å beskrive disse personvernfunksjonene og hvordan de overholder de høye standardene til personvern som er fremsatt av myndighetene i EU. 1. juli 2012 iverksatte EUs artikkel 29, Working Party (WP29) – en gruppe bestående av de nasjonale myndighetene for databeskyttelse i EU – uttalelse 05/2012 om databehandling i nettskyen. Uttalelsen om databehandling i nettskyen fremhever fordelene ved databehandling i nettskyen, inkludert bedre effektivitet og økt sikkerhet. I uttalelsen fremhever WP29 viktigheten av å velge en nettskytjenesteleverandør som er åpen om praksisene for databeskyttelse, og som respekterer personvernet til kundedata.

WP29-uttalelsen gir essensiell veiledning for brukere i nettskyen og personer som ønsker å bli brukere. Den stiller også en del spørsmål som nettskykunder, i sin rolle som datastyrere, bør tenke over når de velger en nettskyleverandør. De viktigste spørsmålene om personvern og Office 365-svarene er beskrevet her.

Referanse til WP29-uttalelsen: I avsnitt 4.1 (det første punktet under overskriften Compliance with fundamental data protection principles – samsvar med fundamentale prinsipper for databeskyttelse), erklærer WP29 at nettskyleverandører må informere nettskyklienter om alle relevante aspekter (angående databeskyttelse) i tjenestene … spesielt må klientene informeres om alle underleverandører som bidrar til den respektive nettskytjenesten, og alle plasseringer der data kan bli lagret eller behandlet av nettskyleverandøren og/eller dennes underleverandører. Avsnitt 3.4.1.1 (om åpenhet) understreker ytterligere viktigheten av åpenhet i forholdet mellom nettskyleverandør og nettskykunde.

Office 365: Microsoft sørger for at informasjon om praksiser for personvern og sikkerhet er lett tilgjengelig i Office 365 Klareringssenter (www.microsoft.com/nb-no/office365/trust-center.aspx). Office 365 Klareringssenter inneholder informasjon om hvor data er lagret, hvem som har tilgang til dem og under hvilke situasjoner, og hvilke underleverandører som er involvert i databehandlingen.
Referanse til WP29-uttalelsen: Avsnitt 3.4.1.2 (om spesifikasjon av formål og begrensninger). WP29 slår tydelig fast at personlige data må samles inn til spesifiserte, eksplisitte og lovlige formål og ikke viderebehandles på en måte som ikke er i samsvar med disse formålene, og at nettskykunder er ansvarlige for å sørge for at personlige data ikke (ulovlig) behandles for andre formål av nettskyleverandøren.

Office 365: Microsofts nettskytjenester for virksomheter bruker kundedata bare til å tilby tjenestene. Dette kan omfatte feilsøking som er rettet mot å forhindre, spore og reparere problemer som har innvirkning på bruken av tjenestene, og forbedring av funksjonene som omfatter sporing av og beskyttelse mot nye og endrede trusler for brukeren (for eksempel skadelig programvare eller søppelpost). Office 365 bygger ikke annonseringsprodukter fra kundedata. Vi skanner ikke e-posten eller dokumentene dine for analysebygging, datautvinning, annonsering eller på andre måter forbedre tjenesten.

Microsoft vil ikke vise kundedata til en tredjepart (inkludert ved håndhevelse av lovverk, annen regjeringsinstans eller sivil prosederende part, bortsett fra våre underleverandører) bortsett fra på forespørsel fra kunden eller hvis lovverket krever det.
Referanse til WP29-uttalelsen: Avsnitt 3.4.1.2 (om spesifikasjon av formål og begrensninger) og avsnitt 3.3.1 (om nettskyklient og nettskyleverandør).

Office 365: Microsoft-nettskyservere for virksomheter er fysisk og/eller logisk atskilt fra serverne for tjenestene på nettet for forbrukere. Data for virksomhetskunder, data i Microsoft-tjenester på nettet for forbrukere og data opprettet av eller som et resultat av skanning, indeksering eller datautvinningsaktiviteter fra Microsofts side, blir ikke blandet uten at kunden har godkjent dette på forhånd.
Referanse til WP29-uttalelsen: Avsnitt 3.4.1.2 (om spesifikasjon av formål og begrensninger) og avsnitt 3.3.1 (om nettskyklient og nettskyleverandør).

Office 365: Microsoft skanner ikke e-post eller dokumenter for reklameformål. Microsofts tjenester for virksomheter ivaretar, skanner og indekserer kundedata for å kunne tilby avanserte funksjoner som lar kundene få tilgang til og organisere kundedata. Sluttbrukere kan for eksempel enkelt søke etter dokumenter og annet innhold i Office 365.
Referanse til WP29-uttalelsen: Avsnitt 3.4.3 (om tekniske og organisasjonsmessige tiltak for databeskyttelse og datasikkerhet).

Office 365: Den kommersielle Office 365-tjenesten er logisk atskilt fra tjenester på nettet for forbrukere. Virksomhetskundedata og data i Microsoft-tjenester på nettet for forbrukere blir ikke blandet uten at kunden har godkjent dette på forhånd.
WP29 konkluderer med at tradisjonelle mekanismer for overføring av data ut fra EØS har “begrensninger” med hensyn til nettskyen. WP29 fremhever Safe Harbor-retningslinjene og påpeker for nettskykunder at forpliktelsen til dataimportøren i forhold til Safe Harbor-retningslinjene kanskje ikke blir regnet som tilstrekkelig for dataoverføring til leverandører basert i USA. WP29 minner også nettskykunder på behovet for å sørge for at nasjonale juridiske forpliktelser som kan gjelde, må overholdes.

Office 365 fremlegger en omfattende databeskyttelsesavtale (DPA) og tilbyr EU-modellklausulene i tillegg til selvsertifisering under USA–EU Safe Harbor-rammeverket. Mens EU-modellklausulene er spesielt utviklet for EU-kunder, er DPA en samling av de beste praksisene for personvern i forskjellige land og tilbys til alle kunder, uavhengig av størrelse eller hvor de befinner seg. Prosessene som Office 365 har utviklet for å overholde EU-modellklausulene, er ikke begrenset for EU-kunder, men er tilgjengelige for alle kunder.