Najdôležitejšie otázky o ochrane osobných údajov, ktoré by sa mal zákazník spýtať svojho poskytovateľa cloudových služieb

Služby Microsoft Office 365 poskytujú základné funkcie ochrany osobných údajov všetkým zákazníkom služieb Office 365. Účelom tejto časti je opísať tieto funkcie ochrany osobných údajov a to, ako spĺňajú prísne normy ochrany osobných údajov stanovené orgánmi EÚ. 1. júla 2012 prijala pracovná skupina EÚ zriadená podľa článku 29 (WP29), skupina zriadená vnútroštátnymi orgánmi Európskej únie na ochranu údajov, stanovisko č. 05/2012 ku cloud computingu. V tomto stanovisku sa zdôrazňujú výhody cloud computingu vrátane vyššej efektivity a kvalitnejšieho zabezpečenia. Pracovná skupina zriadená podľa článku 29 v stanovisku zdôrazňuje dôležitosť výberu poskytovateľa cloudových služieb, ktorý má transparentné postupy ochrany osobných údajov a dodržiava zásady ochrany osobných údajov zákazníkov.

V stanovisku pracovnej skupiny zriadenej podľa článku 29 sa poskytuje základné usmernenie pre súčasných a potenciálnych používateľov cloudových služieb. Obsahuje tiež množstvo otázok, ktoré by mali zákazníci cloudových služieb v rámci svojej úlohy kontrolórov údajov zvážiť pri výbere poskytovateľa cloudových služieb. Kľúčové otázky z oblasti ochrany osobných údajov a odpovede služieb Office 365 sa uvádzajú v tomto článku.

Odkaz na stanovisko pracovnej skupiny zriadenej podľa článku 29: V časti 4.1 (prvá odrážka pod nadpisom Dodržiavanie základných zásad ochrany údajov) pracovná skupina zriadená podľa článku 29 uvádza, že „poskytovatelia cloudovej služby by počas rokovania o zmluve mali zákazníkov informovať o všetkých (v súvislosti s ochranou údajov) relevantných aspektoch ich služieb. Zákazníci by mali byť najmä informovaní o všetkých subdodávateľoch prispievajúcich k poskytovaniu príslušnej cloudovej služby a o všetkých miestach, na ktorých môže poskytovateľ a/alebo jeho subdodávatelia uchovávať alebo spracovávať údaje“ V časti 3.4.1.1 (Transparentnosť) sa ďalej zdôrazňuje dôležitosť transparentnosti vo vzťahu medzi poskytovateľom a zákazníkom cloudových služieb.

Office 365: Spoločnosť Microsoft jednoducho sprístupňuje informácie o svojich postupoch ochrany osobných údajov a zabezpečenia v Centre dôveryhodnosti služieb Office 365. Centrum dôveryhodnosti služieb Office 365 obsahuje informácie o tom, kde sú údaje uložené, kto k nim má prístup a za akých okolností a ktorí subdodávatelia sú zapojení do spracovania údajov.
Odkaz na stanovisko pracovnej skupiny zriadenej podľa článku 29: V časti 3.4.1.2 (Vymedzenie a obmedzenie účelu) pracovná skupina zriadená podľa článku 29 jednoznačne objasňuje, že sa musí zabezpečiť, aby „osobné údaje boli zhromažďované na špecifikované, explicitné a zákonné účely a neboli ďalej spracúvané spôsobom, ktorý nie je zlučiteľný s týmito účelmi“ a že zákazník cloudových služieb musí „zabezpečiť, aby poskytovateľ cloudovej služby [...] osobné údaje nespracúval (nezákonne) na ďalšie účely“.

Office 365: Cloudové služby spoločnosti Microsoft pre podniky využívajú zákaznícke údaje iba na poskytovanie služieb. K tomu môže patriť riešenie problémov zamerané na predchádzanie, zisťovanie a riešenie problémov ovplyvňujúcich prevádzku služieb, ako aj funkcie zlepšovania, ku ktorým patrí zisťovanie nových a rozvíjajúcich sa hrozieb pre používateľa a ochrana pred nimi (napríklad malvér alebo nevyžiadaná pošta). Služby Office 365 nevytvárajú zo zákazníckych údajov reklamné produkty. Neprehľadávame vaše e-maily ani dokumenty s cieľom vypracúvať analýzy, dolovať údaje, pripravovať reklamu alebo inak zlepšovať službu.

Zákaznícke údaje spoločnosť Microsoft nezverejní tretej strane (a to ani orgánom činným v trestnom konaní, štátnym subjektom, stranám občianskeho súdneho sporu, s výnimkou našich subdodávateľov), ak o to nepožiada zákazník alebo ak sa to nevyžaduje podľa zákona.
Odkaz na stanovisko pracovnej skupiny zriadenej podľa článku 29: V časti 3.4.1.2 (Vymedzenie a obmedzenie účelu) a 3.3.1 (Zákazník a poskytovateľ cloudových služieb).

Office 365: Podnikové cloudové servery spoločnosti Microsoft sú fyzicky aj logicky oddelené od zákazníckych online služieb. Podnikové zákaznícke údaje, údaje v zákazníckych online službách spoločnosti Microsoft a údaje vytvorené prostredníctvom prehľadávania, indexovania alebo dolovania spoločnosti Microsoft alebo pochádzajúce z týchto činností sa nemiešajú, kým to zákazník vopred neschváli.
Odkaz na stanovisko pracovnej skupiny zriadenej podľa článku 29: V časti 3.4.1.2 (Vymedzenie a obmedzenie účelu) a 3.3.1 (Zákazník a poskytovateľ cloudových služieb).

Office 365: Spoločnosť Microsoft neprehľadáva e-maily ani dokumenty na reklamné účely. Podnikové služby spoločnosti Microsoft udržiavajú, prehľadávajú a indexujú zákaznícke údaje s cieľom poskytnúť čo najrozmanitejšie funkcie, ktoré zákazníkom umožnia získať prístup k zákazníckym údajom a usporiadať ich. Koncoví používatelia môžu napríklad jednoducho vyhľadávať dokumenty a iný obsah v službách Office 365.
Odkaz na stanovisko pracovnej skupiny zriadenej podľa článku 29: V časti 3.4.3 (Technické a organizačné opatrenia na zabezpečenie ochrany a bezpečnosti údajov).

Office 365: Komerčné služby Office 365 sú logicky oddelené od zákazníckych online služieb. Podnikové zákaznícke údaje a údaje zo zákazníckych služieb spoločnosti Microsoft sa nemiešajú, kým to zákazník vopred neschváli.
Pracovná skupina zriadená podľa článku 29 dospela k záveru, že bežné mechanizmy na prenos údajov mimo Európskeho hospodárskeho priestoru majú pri uplatňovaní v cloude svoje „obmedzenia“. Pracovná skupina zriadená podľa článku 29 upozornila osobitne na usmernenia bezpečného prístavu a zákazníkom cloudových služieb radí, aby sa jednoduchý záväzok dovozcu údajov dodržiavať usmernenia bezpečného prístavu nepovažoval v prípade prenosu údajov poskytovateľom so sídlom v USA za postačujúci. Pracovná skupina zriadená podľa článku 29 tiež zákazníkom cloudových služieb pripomína nutnosť zabezpečiť súlad so všetkými vnútroštátnymi zákonmi, ktoré sa na nich môžu vzťahovať.

Služby Office 365 okrem vlastnej certifikácie podľa rámca bezpečného prístavu medzi EÚ a USA poskytujú komplexnú zmluvu o ochrane údajov (DPA) a vzorové doložky EÚ. Zatiaľ čo vzorové doložky EÚ sú určené osobitne pre zákazníkov EÚ, zmluva DPA je zlúčením osvedčených postupov v oblasti ochrany osobných údajov v rôznych krajinách a ponúka sa všetkým zákazníkom bez ohľadu na ich oblasť alebo veľkosť. Procesy, ktoré sa musia v službách Office 365 vytvoriť na zabezpečenie súladu so vzorovými doložkami EÚ, sa neobmedzujú na zákazníkov z EÚ, ale sú dostupné všetkým zákazníkom.