คำถามเกี่ยวกับความเป็นส่วนตัวที่สำคัญซึ่งลูกค้าควรสอบถามผู้ให้บริการ Cloud ของพวกเขา

Microsoft Office 365 ให้ฟีเจอร์ด้านความเป็นส่วนตัวที่สำคัญแก่ลูกค้า Office 365 ทุกคน วัตถุประสงค์ของส่วนนี้ก็คือการอธิบายฟีเจอร์ความเป็นส่วนตัว และวิธีที่ฟีเจอร์เหล่านี้ใช้เพื่อให้ตรงตามมาตรฐานความเป็นส่วนตัวระดับสูงซึ่งกำหนดโดยเจ้าหน้าที่ของ EU เมื่อวันที่ 1 กรกฎาคม 2555 คณะทำงานมาตรฐาน 29 (WP29) ของ EU ซึ่งคือกลุ่มที่เกิดจากการรวมตัวของเจ้าหน้าที่ป้องกันข้อมูลแห่งชาติของสหภาพยุโรป ได้นำความเห็นที่ 05/2012 เกี่ยวกับการคำนวณบน Cloud มาใช้ ความเห็นเกี่ยวกับการคำนวณบน Cloud จะเน้นเรื่องข้อดีของการคำนวณบน Cloud รวมถึงประสิทธิภาพที่ได้รับการปรับปรุงและความปลอดภัยที่มีประสิทธิภาพยิ่งขึ้น ในความเห็นนั้น ทาง WP29 จะเน้นย้ำในเรื่องความสำคัญของการเลือกผู้ให้บริการ Cloud ซึ่งมีความชัดแจ้งในเรื่องแนวทางปฏิบัติเกี่ยวกับการป้องกันข้อมูลของผู้ให้บริการและยังต้องเคารพความเป็นส่วนตัวของข้อมูลลูกค้าอีกด้วย

ความเห็นของ WP29 ให้คำแนะนำที่สำคัญแก่ผู้ใช้งาน Cloud ในปัจจุบันและในอนาคต ซึ่งยังได้ตั้งคำถามจำนวนหนึ่งที่ลูกค้าผู้ซึ่งมีบทบาทเป็นผู้ควบคุมข้อมูลควรพิจารณาเมื่อเลือกผู้ให้บริการ คำถามเกี่ยวกับความเป็นส่วนตัวที่สำคัญและสิ่งที่ Office 365 รับผิดชอบได้รับการอธิบายไว้ที่นี่

เอกสารอ้างอิงความเห็นของ WP29: ในส่วนที่ 4.1 (หัวข้อย่อยแรกภายใต้หัวข้อ “การปฏิบัติตามหลักการป้องกันข้อมูลพื้นฐาน”) WP29 กล่าวว่า “ผู้ให้บริการ Cloud ควรแจ้งให้ลูกค้า Cloud ทราบเกี่ยวกับหลักเกณฑ์ที่เกี่ยวข้อง (การป้องกันข้อมูล) กับบริการทั้งหมดของพวกเขา…โดยเฉพาะการแจ้งให้ลูกค้าทราบเกี่ยวกับผู้รับเหมาช่วงทั้งหมดที่มีส่วนร่วมในข้อกำหนดของบริการ Cloud ตามลำดับ และตำแหน่งที่ตั้งทั้งหมดที่ข้อมูลอาจถูกจัดเก็บไว้หรือถูกดำเนินการโดยผู้ให้บริการ Cloud และ/หรือผู้รับเหมาช่วง" ส่วนที่ 3.4.1.1 (ความโปร่งใส) เน้นย้ำความสำคัญของความโปร่งใสในเรื่องความสัมพันธ์ระหว่างลูกค้าและผู้ให้บริการ Cloud

Office 365: ไมโครซอฟท์ให้ข้อมูลเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยและความเป็นส่วนตัวของไมโครซอฟท์ไว้ใน ศูนย์ความเชื่อถือ Office 365 ศูนย์ความเชื่อถือ Office 365 มีข้อมูลเกี่ยวกับสถานที่ที่ข้อมูลถูกจัดเก็บไว้ ผู้ที่สามารถเข้าถึงข้อมูลและสภาพแวดล้อมที่สามารถเข้าถึงข้อมูลได้ และผู้รับเหมาที่เกี่ยวข้องกับการประมวลผลของข้อมูล
เอกสารอ้างอิงความเห็นของ WP29: ส่วนที่ 3.4.1.2 (ข้อกำหนดและข้อจำกัดของวัตถุประสงค์) WP29 ให้ความกระจ่างว่า “ข้อมูลส่วนบุคคลต้องได้รับการรวบรวมเพื่อวัตถุประสงค์เฉพาะ ชัดแจ้ง และเป็นไปตามกฎหมาย อีกทั้งต้องไม่ถูกดำเนินการใดๆ เพิ่มเติมอันจะขัดกับจุดประสงค์ดังกล่าว” และลูกค้า Cloud ต้องรับผิดชอบ “ตรวจสอบให้มั่นใจว่า[] ข้อมูลส่วนบุคคลไม่ได้ถูกดำเนินการ (อย่างไม่ชอบด้วยกฎหมาย) เพื่อจุดประสงค์อื่นโดยผู้ให้บริการ Cloud”

Office 365: บริการ Cloud ระดับองค์กรของไมโครซอฟท์จะใช้ข้อมูลของลูกค้าเพื่อให้บริการเท่านั้น ซึ่งอาจรวมถึงการแก้ปัญหาซึ่งมุ่งที่จะป้องกัน ตรวจหา และแก้ไขปัญหาที่กระทบการดำเนินการบริการและการปรับปรุงฟีเจอร์ที่เกี่ยวข้องกับการตรวจหา และการป้องกันภัยคุกคามที่ปรากฏและที่กำลังพัฒนาต่อผู้ใช้ (เช่น มัลแวร์และสแปม) Office 365 จะไม่สร้างผลิตภัณฑ์เพื่อการโฆษณาจากข้อมูลของลูกค้า เราจะไม่ตรวจสอบอีเมลและเอกสารของคุณเพื่อใช้สร้างการวิเคราะห์ การขุดค้นข้อมูล การโฆษณา หรือการพัฒนาบริการ

ไมโครซอฟท์จะไม่เปิดเผยข้อมูลของลูกค้าต่อบุคคลภายนอก (รวมทั้ง การบังคับใช้กฎหมาย องค์กรต่างๆ ของภาครัฐ หรือผู้ฟ้องร้องคดีแพ่ง ยกเว้นผู้รับเหมาช่วง) ยกเว้นจะได้รับการร้องขอโดยลูกค้าของเราหรือเว้นแต่มีความจำเป็นทางกฎหมาย
เอกสารอ้างอิงความเห็นของ WP29: ส่วนที่ 3.4.1.2 (ข้อกำหนดและข้อจำกัดของวัตถุประสงค์) และส่วนที่ 3.3.1 (ผู้ให้บริการและลูกค้าของ Cloud)

Office 365: เซิร์ฟเวอร์ Cloud ระดับองค์กรของไมโครซอฟท์แยกจากเซิร์ฟเวอร์สำหรับบริการออนไลน์สำหรับผู้บริโภคโดยรูปธรรมและ/หรือโดยตรรกะ ข้อมูลของลูกค้าระดับองค์กร ข้อมูลในบริการออนไลน์สำหรับผู้บริโภคของไมโครซอฟท์ และข้อมูลที่สร้างขึ้นจากกิจกรรมการตรวจสอบ การทำดัชนี หรือการขุดค้นข้อมูลของไมโครซอฟท์จะไม่ปะปนกัน นอกจากว่าจะได้รับการอนุมัติจากลูกค้าล่วงหน้า
เอกสารอ้างอิงความเห็นของ WP29: ส่วนที่ 3.4.1.2 (ข้อกำหนดและข้อจำกัดของวัตถุประสงค์) และส่วนที่ 3.3.1 (ผู้ให้บริการและลูกค้าของ Cloud)

Office 365: ไมโครซอฟท์จะไม่ตรวจสอบอีเมลและเอกสารเพื่อวัตถุประสงค์ในการโฆษณา บริการระดับองค์กรของไมโครซอฟท์จะรักษา ตรวจสอบ และทำดัชนีข้อมูลของลูกค้าเพื่อที่จะให้บริการฟีเจอร์ที่หลากหลายซึ่งอนุญาตให้ลูกค้าได้เข้าถึงและจัดระเบียบข้อมูลของลูกค้า ตัวอย่างเช่น ผู้ใช้สามารถค้นหาเอกสารและเนื้อหาอื่นๆ ของพวกเขาใน Office 365 อย่างง่ายดาย
เอกสารอ้างอิงความเห็นของ WP29: ส่วนที่ 3.4.3 (มาตรการขององค์กรและมาตรการทางเทคนิคของการป้องกันและความปลอดภัยของข้อมูล)

Office 365: บริการเชิงพาณิชย์ของ Office 365 จะแยกจากบริการออนไลน์สำหรับผู้บริโภคในเชิงตรรกะ ข้อมูลลูกค้าระดับองค์กรและข้อมูลในบริการออนไลน์สำหรับผู้บริโภคของไมโครซอฟท์จะไม่ผสมกัน นอกจากจะได้รับการอนุมัติโดยผู้ใช้ล่วงหน้า
WP29 สรุปว่ากลไกดั้งเดิมสำหรับการถ่ายโอนข้อมูลออกจากเขตเศรษฐกิจยุโรปจะมี “ข้อจำกัด” เมื่อนำไปใช้กับ Cloud ซึ่ง WP29 จะเลือกจากแนวทาง Safe Harbor โดยแนะนำลูกค้าของ Cloud ว่า “ข้อผูกมัดที่เกิดจากบุคคลเพียงผู้เดียวของผู้ส่งออกข้อมูลต่อแนวทาง Safe Harbor อาจไม่เพียงพอต่อการพิจารณา” สำหรับการถ่ายโอนข้อมูลไปยังผู้ให้บริการที่ตั้งอยู่ในสหรัฐอเมริกา ทาง WP29 ยังได้ย้ำเตือนลูกค้าของ Cloud ถึงความจำเป็นในการตรวจสอบให้แน่ใจว่าได้ปฏิบัติตามข้อผูกมัดของกฎหมายแห่งชาติใดๆ

Office 365 มีข้อตกลงการป้องกันข้อมูล (DPA) ที่ครอบคลุม และเสนอ EU Model Clause นอกเหนือจากการรับรองตัวเองภายใต้กรอบโครงสร้าง U.S.-EU Safe Harbor ขณะที่ EU Model Clauses ถูกสร้างมาเฉพาะสำหรับลูกค้าใน EU แต่ DPA คือการรวมกันของแนวทางปฏิบัติด้านความเป็นส่วนตัวที่ดีที่สุดของประเทศอื่นๆ และถูกเสนอให้ลูกค้าทุกคนโดยไม่คำนึงถึงสภาพทางภูมิศาสตร์และขนาดประเทศ กระบวนการที่ Office 365 ได้สร้างขึ้นเพื่อปฏิบัติตาม EU Model Clause จะไม่ถูกจำกัดต่อลูกค้าใน EU แต่จะมีไว้สำหรับลูกค้าทุกคน