Microsoft přijal první mezinárodní standard o ochraně osobních údajů pro cloudové služby

Společnost Microsoft se stala prvním významným poskytovatelem cloudových služeb, který přijal mezinárodní standard týkající se zabezpečení ochrany dat a jejich soukromí. Jedná se o další důvod pro zákazníky, aby mohli s důvěrou přesunout svá data do datových center spravovaných společností Microsoft.
Podle zprávy Brada Smitha, viceprezidenta společnosti Microsoft pro právní záležitosti, byl 17. únor významným milníkem pro cloudové služby. Přijetí mezinárodního standardu ISO/IEC 27018 a byl vyvinut Mezinárodní organizací pro normalizaci (ISO). Uvedená norma není jen technickou záležitostí, ale má zásadní praktický přínos pro firemní zákazníky na celém světě. Cílem zmíněné normy je zavést jednotný mezinárodní přístup k ochraně soukromí u osobních údajů ukládaných v mezinárodních sdílených datových centrech pro cloudové služby.

Nezávislý audit zpracovaný společností British Standards Institute (BSI) ověřil, že kromě cloudové služby Microsoft Azure jsou i cloudové služby Office 365 a Dynamics CRM Online plně v souladu s pravidly ochrany definovanými podle uvedeného standardu pro PPI (Personal Identifiable Information). Ochrana se tedy vztahuje na veškeré údaje, jejichž prostřednictvím lze identifikovat uživatele veřejných cloudových služeb. Obdobný závěr pro cloudovou službu Microsoft Intune, potvrdila kontrolní zpráva zpracovaná společností Bureau Veritas.

„Existuje celá řada důvodů, proč je dodržování standardu pro Microsoft důležité„, uvedl ve své zprávě Brad Smith. Dodržování standardu ISO 27018 je významným ujištěním pro firemní zákazníky, že ochrana soukromí jejich dat bude zajištěna z několika hledisek:

• Správa zákaznických dat zůstává i nadále plně v rukou zákazníků. Dodržování standardu zajišťuje, že zpracováváme osobní údaje výhradně na základě pokynů, které nám poskytne přímo náš zákazník.
• Zákazník ví, co se děje s jeho údaji. Dodržování standardu zajišťuje transparentnost našich podmínek poskytování služeb, včetně jasného stanovení veškerých postupů při uplatnění práva na vrácení dat, jejich přenesení a případně odstranění osobních údajů a informací, které budou ukládány v našich datových centrech. Nejen, že dáme zákazníkům vždy vědět, kde jsou jejich data ukládána, ale pokud pracujeme s dalšími společnostmi, které potřebují přístup ke zpracování údajů, potom naše zákazníky informujeme, kdo s jejich daty pracuje. Zároveň pokud by došlo k neoprávněnému přístupu k osobním údajům, nebo k zařízení zpracovávajícímu data, případně k neoprávněnému přístupu do prostor datového centra, což by mělo za následek ztrátu, prozrazení nebo změnu uchovávaných informací, potom dáme o této skutečnosti našim zákazníkům vědět.
• Poskytujeme silné zabezpečení ochrany dat. Dodržování standardu ISO 27018 poskytuje zákazníkům celou řadu důležitých bezpečnostních záruk. Především si zákazníci mohou být jisti, že u poskytovatele cloudové služby musí být přesně nastavená pravidla ke zpracovávání osobních údajů, včetně příslušných omezení pro jejich přenos přes veřejné sítě nebo pro jeiich uložení na přenosné médium. Garantujeme pravidelné zálohování dat a správný postup při obnově dat. Kromě toho standard zajišťuje, že všechny osoby, včetně našich vlastních zaměstnanců, které se podílejí na zpracování osobních údajů, musí být zavázány povinností mlčenlivosti.
• Zákaznická data nebudou zneužita pro reklamní účely. Firemní zákazníci stále častěji vyjádřují své obavy týkající se možného zneužití jejich údajů ze strany poskytovatele cloudových služeb pro reklamní účely, a to bez poskytnutí jejich souhlasu. Přijetím této normy potvrzuje certifikovaný poskytovatel cloudových služeb svůj dlouhodobý závazek nezneužívat údaje svých firemních zákazníků k reklamním účelům.
• Informujeme o požadavcích vládních institucí na zpřístupnění údajů. Na základě tohoto standardu veškeré oprávněné zákonné požadavky na zpřístupnění údajů využitelných k identifikaci osob a dat týkajících se konkrétní organizace nebo společnosti ze strany orgánů činných v trestním řízení musí být zveřejněny zároveň dotčenému subjektu, pokud však není zákonem výslovně zakázáno o takovémto požadavku informovat. Tuto zásadu již v praxi důsledně dodržujeme a pro ochranu práv našich zákazníků činíme dokonce mnohem více. Přijetím tohoto standardu tedy pouze dochází k opakovanému potvrzení našeho předchozího závazku.
  Význam všech výše uvedených závazků ještě vzrůstá v současném právním prostředí, kdy rostou požadavky na firemní zákazníky ve vztahu k plnění jejich vlastní povinnosti ohledně ochrany osobních údajů. Doufáme proto, že naše splnění podmínek ISO 27018 může posloužit jako vzorový postup pro regulační úřady a pro zákazníky, kteří se budou snažit zajistit silnou ochranu soukromí v různých zeměpisných oblastech a pro rozličná průmyslová odvětví.
  Dnešní zpráva je pouze jedním ze způsobů, kterým chceme přispět k posílení ochrany soukromí a dodržování stanovených pravidel pro naše zákazníky užívající cloudové služby. Na jaře loňského roku jsme získali potvrzení od pracovní skupiny dle článku 29 (Art. 29 WP)– sdružení evropských regulačních orgánů zabývajících se ochranou osobních údajů. Uvádí se v něm, že smluvní podmínky pro firemní zákazníky společnosti Microsoft jsou plně v souladu se ustanovením „vzorových podmínek“ definujících soukromí v rámci právních předpisů EU, které se týkají mezinárodního přenosu dat. Na podzim loňského roku se společnost Microsoft stala jedním z prvních signatářů “Slibu na ochranu soukromí studentů”, který byl navržen neziskovou organizací Future of Privacy Forum a asociací Software & Information Industry Association. Cílem této deklarace bylo vytvořit jednotný soubor zásad na ochranu soukromí a informací ze studentských prací.

Jak bylo dříve uvedeno, zákazníci Microsoftu chtějí používat výhradně takové služby, kterým skutečně důvěřují. Potvrzení o přijetí tohoto mezinárodního standardu je dalším důkazem závazku společnosti Microsoft k ochraně soukromí našich zákazníků v on-line prostředí.