Najpomembnejša vprašanja o zasebnosti, ki bi jih morala stranka postaviti svojemu ponudniku storitev v oblaku

Microsoft Office 365 ponuja ključne funkcije zasebnosti za vse uporabnike storitve Office 365. V tem poglavju so opisane te funkcije zasebnosti in način, kako izpolnjujejo visoke standarde, ki jih zahtevajo organi EU. 1. julija 2012, je skupina EU, imenovana »Article 29 Working Party (WP29)«, sestavljena iz organov za zaščito državnih podatkov Evropske unije, sprejela mnenje 05/2012 o računalništvu v oblaku. V mnenju o računalništvu v oblaku so izpostavljene prednosti računalništva v oblaku, vključno z izboljšano učinkovitostjo in večjo varnostjo. V mnenju je skupina WP29 poudarlila pomembnost izbire ustreznega ponudnika storitev v oblaku, ki uporablja pregledne prakse zaščite podatkov in ki spoštuje zasebnost podatkov strank.

V mnenju skupine WP29 so ključni napotki za že obstoječe in prihodnje uporabnike storitev v oblaku. Izpostavlja tudi številna vprašanja, ki bi si jih morali postaviti uporabniki storitev (v vlogi kontrolorjev podatkov), ko izbirajo ponudnika storitev v oblaku. Spodaj so navedena ključna vprašanja o zasebnosti in odgovori nanje storitve Office 365.

Vir v mnenju skupine WP29: v razdelku 4.1 (prva oznaka pod naslovom »Compliance with fundamental data protection principles« (Skladnost s temeljnimi načeli zaščite podatkov)) skupina WP29 navaja, da »morajo ponudniki storitev v oblaku stranke storitev v oblaku obvestiti o vseh pomembnih vidikih (zaščita podatkov) svojih storitev … stranke morajo biti seznanjene zlasti s tem, kateri podizvajalci so udeleženi pri zagotavljanju storitev v oblaku, poznati pa morajo tudi vsa mesta, kjer so podatki shranjeni ali obdelani s strani ponudnika storitev v oblaku in/ali njegovih podizvajalcev«. V členu 3.4.1.1 (preglednost) je dodatno poudarjena pomembnost preglednosti razmerja med ponudnikom storitev v oblaku in stranko.

Office 365: informacije o Microsoftovih praksah glede zasebnosti in varnosti so na voljo na spletnem mestu Središče zaupanja za Office 365. V središču zaupanja za Office 365 so na voljo informacije, kot so mesto hranjenja podatkov, kdo lahko dostopa do pdoatkov, v katerih okoliščinah je mogoče dostopiti do podatkov in kateri podizvajalci so udeleženi pri postopku obdelave podatkov.
Vir v mnenju skupine WP29: člen 3.4.1.2 (specifikacija namena in omejitve). Skupina WP29 jasno navaja, da »morajo biti osebni podatki zbrani za natančno določene, izrecne in legitimne namene in ne smejo biti nadalje obdelani na način, ki ni skladen s temi nameni«, uporabniki storitev v obklaku pa so dolžni »zagotoviti[], da ponusnik storitev v oblaku osebnih pdoatkov ne obdela (ilegalno) za nadaljne namene«.

Office 365: Microsoftove storitve v oblaku za podjetja uporabljajo podatke strank le za zagotavljanje storitv. Sem vključujemo odpravljanje težav, s katerim preprečujemo, zaznavamo in odpravljamo težave, ki vplivajo na delovanje storitev, in izboljšanje funkcij, ki vključujejo zaznavanje in zaščito pred morebitnimi grožnjami uporabniku (kot je na primer zlonamerna programske oprema ali neželena pošta). Office 365 ne uporablja podatkov strank za oglasne izdelke. Ne pregledujemo e-pošte ali dokumentov za analitične namene, podatkovno rudarjenje, oglaševanje ali drzgače za izboljšanje storitve.

Podatke strank bomo neposredno posredovali samo vam in jih ne bomo razkrili tretji osebi (tudi ne organom reda in miru, drugim vladnim organom ali strankam v postopku; podizvajalci niso vključeni), razen če to ne zahteva stranka ali zakon.
Vir v mnenju skupine WP29: člen 3.4.1.2 (specifikacija namena in omejitve) in člen 3.3.1 (uporabnik storitev v oblaku in podnudnik storitev v oblaku).

Office 365: Microsoftovi strežniki strežniki za storitve v oblaku za podjetja so fizično in/ali logično ločeni od spletnih storitev za stranke. Podatki podjetij, podatki v Microsoftovih spletnih storitvah za stranke in podatki, pridobljeni z Microsoftovimi postopki pregledovanja, indeksiranja ali podatkovnega rudarjenja, niso zmešani med seboj, če tega vnaprej ne odobri stranka.
Vir v mnenju skupine WP29: člen 3.4.1.2 (specifikacija namena in omejitve) in člen 3.3.1 (uporabnik storitev v oblaku in podnudnik storitev v oblaku).

Office 365: Microsoft ne pregleduje e-pošte za namene oglaševanja. Microsoftove storitve za podjetja hranijo, pregledujejo in indeksirajo podatke strank le zato, da lahko ponudijo obogatene funckije, s katerimi lahko stranke dostopajo do svojih podatkov in jih organizirajo. Na primer končni uporabniki lahko tako preprosto iščejo po svojih dokumentih in drugi vsebini v storitvi Office 365.
Vir v mnenju skupine WP29: člen 3.4.3 (tehnični in organizacijski ukrepi zaščite in varnosti podatkov).

Office 365: komercialna storitev storitve Office 365 je logično ločena od spletnih storitev za stranke. Podatke podjetij in podatki v Microsoftovih spletnih storitvah za stranke niso zmešani, če tega vnaprej ne potrdi stranka.
Skupina WP29 ugotavlja, da imajo tradicionalni mehanizmi za prenos podatkov izven evropskega gospodarskega prostora »omejitve«, ko so uporabljeni za delo v oblaku. Skupina WP29 navaja navodila o varnem ravnanju z osebnimi podatki, stranke storitev v oblaku pa opozozarja, »da zgolj predanost uvoznika podatkov do navodil varnega ravnanja z osebnimi pdoatki morda ne bo dovolj« za prenose podatkov ponudniku v ZDA. Skupina WP29 uporabnike storitev v oblaku hkrati tudi opozoarja, da morajo zagotoviti skladnost z morebitnimi obvezami do lokalnih zakonov, ki veljajo.

Office 365 ponuja obsežno pogodbo o zaščiti podatkov (DPA) in poleg samostojnega potrjevanja v okviru ogrodja EU in ZDA o varnem ravnanju z osebnimi podatki iz EU ponuja tudi modelna pogodbena določila EU. Medtem ko so modelna pogodbena določila EU namenjena posebej za stanke iz EU, je DPA zbirka najboljših praks zasebnosti iz različnih držav, na voljo pa je za vse stranke, ne glede na geograsko mesto ali velikost. Postopki, ki so ustvarjeni v storitvi Office 365 za zagotavljanje skladnosti z modelnimi pogodbenimi določili EU niso omejeni na stranke iz EU, temveč so na voljo za vse stranke.