Поделиться через


Оценка влияния на защиту данных: руководство для управляющих данными, использующих Microsoft Office 365

В соответствии с Общим регламентом по защите данных (GDPR) управляющие данными обязаны подготовить оценку влияния на защиту данных (DPIA) для операций обработки, которые "могут привести к высокому риску для прав и свобод физических лиц". В Microsoft Office 365 не существует ничего, что обязательно потребует создания DPIA с помощью контроллера данных. Скорее, требуется ли DPIA, зависит от сведений и контекста развертывания, настройки и использования Office 365 в качестве контроллера данных.

В части 1 этого документа представлена информация об Office 365, которая поможет вам, как управляющему данными, определить, требуется ли DPIA. Если ответ «да», части 2 и 3 этого документа содержат ключевую информацию от Microsoft, которая может помочь в ее составлении. В частности, во второй части приводятся ответы, применимые ко всем службам Office 365 для каждого из требуемых элементов DPIA. Часть 3 содержит дополнительную информацию о конкретном продукте для ряда наиболее релевантных информационных потребностей наших клиентов для составления DPIA. В третьей части также содержится иллюстративный документ DPIA, который можно загрузить и изменить, чтобы упростить процесс создания DPIA.

Office 365 приложения и службы включают, помимо прочего, Exchange Online, SharePoint, OneDrive для работы и учебы, Viva Engage и Microsoft Teams. Более полный список служб, доступных в Office 365, можно найти в таблицах 1 и 2 Руководства по запросам данных Office 365.

Часть 1. Определение необходимости DPIA

Статья 35 регламента GDPR требует, чтобы управляющий данными составил оценку влияния на защиту данных, "где тип обработки c использованием новых технологий и учетом характера, масштаба, контекста и целей обработки может представлять высокий риск для прав и свобод физических лиц". Кроме того, в ней указаны определенные факторы, представляющие высокий риск. Эти факторы описаны в таблице ниже. При определении необходимости в оценке DPIA вы, как управляющий данными должны учитывать эти, а также другие значимые факторы, в свете своих конкретных реализаций и применения Office 365.

Фактор риска Важная информация об Office 365
Системная и подробная оценка личных характеристик физического лица, которая основана на автоматизированной обработке, в том числе составлении психологического портрета, и на которой основаны решения, порождающие юридические последствия в отношении этого лица или влияющие на него похожим образом В зависимости от конфигурации контроллера данных, Office 365 может выполнять определенную автоматическую обработку данных, например анализ, выполняемый Viva Personal Insights, что позволяет контроллеру данных получать аналитические сведения о том, как люди работают в организации на основе сведений о электронной почте и заголовках календаря из почтовых ящиков пользователей.

Служба Office 365 не предназначена для выполнения автоматической обработки в качестве основы для решений, которые имеют правовые последствия или подобным образом оказывают значительное влияние на людей. Однако, так как служба Office 365 имеет широкие возможности настройки, управляющий данными может настроить ее для такой обработки.
Масштабная обработка 1 особых категорий данных (персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, а также обработка генетических и биометрических данных с целью однозначной идентификации физического лица, данных о здоровье или данных, касающихся его сексуальной жизни или ориентации) или персональных данных, касающихся судимости или правонарушений. Office 365 не предназначена для обработки специальных категорий персональных данных в большом масштабе.

Однако управляющий данными может использовать Office 365 для обработки перечисленных особых категорий данных. Имея широкие возможности настройки, служба Office 365 позволяет клиенту отслеживать и иным образом обрабатывать любые персональные данные, в том числе особые категории персональных данных. Любое подобное применение относится к определению управляющего о необходимости применения DPIA. Однако корпорация Майкрософт как обработчик данных не имеет контроля над таким использованием и обычно имеет слабое представление о нем либо не имеет его вообще.
Масштабное систематическое отслеживание общедоступной области Office 365 не предназначен для проведения или упрощения такого отслеживания.

Однако управляющий данными может использовать его для обработки данных, собранных в ходе такого отслеживания.

Примечание.

1 Относительно условия о необходимости "масштабной обработки" в пункте 91 декларативной части GDPR поясняется: "Обработка персональных данных не должна считаться масштабной, если обработка относится к персональным данным пациентов или клиентов, обрабатываемым отдельным врачом, другим специалистом в области здравоохранения или адвокатом. В таких случаях оценка влияния на защиту данных не должна быть обязательной".

Часть 2. Содержимое DPIA

Статья 35(7) Общего регламента по защите данных требует, чтобы оценка влияния на защиту данных определяла цели и системное описание предполагаемой обработки. В оценке DPIA корпорации Майкрософт такое системное описание может включать такие факторы, как типы обрабатываемых данных, продолжительность хранения данных, места размещения и передачи данных и третьи стороны, которым может быть предоставлен доступ к этим данным. Кроме того, DPIA должна включать:

  • оценку необходимости и пропорциональности операций обработки по отношению к целям;
  • оценку рисков для прав и свобод физических лиц; и
  • меры разрешения этих рисков, включая гарантии безопасности, меры предосторожности и механизмы для обеспечения защиты персональных данных и демонстрации соблюдения Общего регламента по защите данных с учетом прав и законных интересов субъектов данных и других заинтересованных лиц.

В следующей таблице приведена ключевая информация от Microsoft, которая может помочь в составлении DPIA. Он содержит информацию об Office 365, относящуюся к каждому из необходимых элементов DPIA. Как и в первой части, управляющие данными должны рассматривать эти сведения вместе с другими подробностями своих конкретных реализаций и способов использования Office 365.

Факторы риска Важная информация об Office 365
Цели обработки Цели обработки данных с помощью службы Office 365 определяет управляющий, который реализует, настраивает и использует эту службу.

В соответствии с условиями продукта и дополнительными сведениями о продуктах и службах Майкрософт по защите данных (DPA), корпорация Майкрософт, как обработчик данных, обрабатывает данные клиента для предоставления Клиенту веб-служб в соответствии с документированных инструкций Клиента.

Как описано в стандартных условиях использования продуктов и дополнениях по защите данных о продуктах и службах Майкрософт (DPA), корпорация Майкрософт также использует персональные данные для поддержки ограниченного набора законных бизнес-операций, состоящих из: (1) выставления счетов и управления учетными записями; (2) компенсация (например, расчет комиссий сотрудников и поощрения партнеров); (3) внутренние отчеты и моделирование (например, прогнозирование, доход, планирование емкости, стратегия продукта); (4) финансовая отчетность и соблюдение юридических обязательств (с учетом ограничений на раскрытие данных клиентов, изложенных в условиях продукта и дополнении по защите данных).

Корпорация Майкрософт принимает на себя обязательство контролера по обработке персональных данных для поддержки этих конкретных законных бизнес-операций. Корпорация Майкрософт объединяет персональные данные, прежде чем использовать их для наших законных бизнес-операций, что позволяет корпорации Майкрософт идентифицировать конкретных лиц и использует персональные данные в наименее идентифицируемой форме, которая будет поддерживать обработку, необходимую для законных бизнес-операций.

Майкрософт не будет использовать Данные клиента или полученную от него информацию для профилирования, рекламных или коммерческих целей.
Категории обрабатываемых персональных данных Данные клиента. Это все данные, включая изображения, текстовые, звуковые и видеофайлы, а также программное обеспечение, которые клиенты предоставляют корпорации Майкрософт или которые предоставляются от имени пользователя при использовании веб-служб Майкрософт. К ним относятся данные, отправляемые клиентами для хранения или обработки, а также модификации. Примеры данных клиента, обрабатываемых в Office 365 включают содержимое электронной почты в Exchange Online, а также документы или файлы, хранящиеся в SharePoint или OneDrive для работы и учебы.

Данные, создаваемые службами. Это данные, создаваемые или получаемые корпорацией Майкрософт в ходе работы службы, например данные об использовании или производительности. Большая часть этих данных содержит идентификаторы-псевдонимы, создаваемые корпорацией Майкрософт.

Диагностические данные. Эти данные собираются или получаются корпорацией Майкрософт из программного обеспечения, локально установленного клиентом в связи с веб-службой, и также могут называться телеметрией. Эти данные обычно определяются по атрибутам локально установленного программного обеспечения или компьютера, на котором работает это программное обеспечение.

Данные службы поддержки. Это данные, предоставленные корпорации Майкрософт клиентом или от его имени (либо если клиент предоставил корпорации Майкрософт право получать эти данные из веб-службы) путем взаимодействия с ней для получения технической поддержки для веб-служб.

Данные клиента, Данные системных журналов и Данные о поддержке не включают данные администратора и данные о выставлении счетов, например контактную информацию администратора, информацию о подписке и платежные данные, которые Майкрософт собирает и обрабатывает в качестве управляющего данными и которые не рассматриваются в этом документе.
Хранение данных Данные клиента: Как описано в условиях защиты данных в условиях продукта и в дополнение к защите данных, корпорация Майкрософт сохраняет данные клиента в течение срока действия права клиента на использование службы и до тех пор, пока все данные клиента не будут удалены или возвращены в соответствии с инструкциями клиента или условиями Условий продукта и Дополнения по защите данных.

В течение срока действия подписки клиента клиент имеет возможность получать доступ к данным клиента, извлекать и удалять данные клиента, хранящиеся в службе, в некоторых случаях при условии соблюдения определенных функциональных возможностей продукта, предназначенных для снижения риска случайного удаления (например, папки восстановленных элементов Exchange), как описано далее в документации по продукту.

За исключением бесплатных пробных версий и служб LinkedIn, Майкрософт будет хранить Данные клиента из веб-служб в учетной записи с ограниченной функциональностью в течение 90 дней с момента окончания срока действия или прекращения действия подписки клиента, чтобы он мог извлечь эти данные. После окончания 90-дневного срока хранения Майкрософт отключит учетную запись клиента и удалит его данные.

Данные, созданные службами. Эти данные хранятся в течение стандартного периода времени до 180 дней с момента сбора, с возможностью применения более длительных периодов хранения (при необходимости) для обеспечения безопасности служб или в соответствии с юридическими либо нормативными обязательствами.

Дополнительные сведения о возможности службы, позволяющей клиенту в любое время удалять персональные данные, хранящиеся в службе, см. в статье Запросы субъектов данных, определенные в GDPR.
Размещение и передача персональных данных Как описано в приложении 1 к Условиям продукта, если Клиент предоставляет свой экземпляр Office 365 в Австралии, Канаде, Европейском союзе, Франции, Индии, Японии, Южной Корее, Соединенном Королевстве или США, корпорация Майкрософт сохраняет следующие неактивные данные клиента только в этом расположении: (1) Exchange Online содержимое почтового ящика (текст электронной почты, записи календаря и содержимое вложений электронной почты), (2) содержимое сайта SharePoint и файлы, хранящиеся на этом сайте, (3) файлы, отправленные в OneDrive для работы и учебы, и (4) содержимое проекта, отправленное в Project Online.

Для персональных данных, передаваемых за пределы Европейской экономической зоны, Швейцарии и Соединенного Королевства, корпорация Майкрософт гарантирует, что передача персональных данных в третью страну или международную организацию подпадает под соответствующие меры предосторожности, описанные в статье 46 GDPR. В дополнение к обязательствам корпорации Майкрософт в соответствии с Standard договорными положениями для обработчиков и других типовых контрактов, корпорация Майкрософт соблюдает условия Платформы конфиденциальности данных.
Предоставление данных сторонним субобработчикам Корпорация Майкрософт предоставляет данные третьим сторонам, выступающим в качестве ее субобработчиков для обеспечения таких функций, как поддержка пользователей и техническая поддержка, сервисное обслуживание и другие операции. Все субподрядчики, которым корпорация Майкрософт передает данные клиента, данные поддержки или персональные данные, будут заключать с корпорацией Майкрософт письменные соглашения, которые не имеют меньшей защиты, чем условия защиты данных условий использования продукта. Все сторонние субобработчики, которым предоставлен общий доступ к данным клиента из основных веб-служб Майкрософт, включаются в раскрытие сведений о субпроцессоре веб-служб. Все сторонние субобработчики, которым доступны данные службы поддержки (в том числе Данные клиента, которые клиенты решили предоставить во время взаимодействия со службой поддержки), включаются в список подрядчиков коммерческой поддержки Майкрософт.
Предоставление данных независимым третьим сторонам Некоторые продукты Office 365 содержат возможности расширения, позволяющие (по выбору управляющего) предоставлять данные независимым третьим сторонам. Например, расширяемая платформа Exchange Online позволяет сторонним надстройкам и соединителям интегрироваться с Outlook и расширять набор компонентов Outlook. Эти сторонние поставщики надстроек и соединителей действуют независимо от корпорации Майкрософт, и их надстройки и соединители должны включаться пользователями или администраторами организации, проходящими проверку подлинности с помощью учетной записи надстройки или соединителя.

Корпорация Майкрософт не будет раскрывать данные клиентов или данные поддержки правоохранительным органам, если это не требуется по закону. Если правоохранительные органы обращаются к корпорации Майкрософт с запросом на данные клиента или данные поддержки, корпорация Майкрософт попытается перенаправить правоохранительные органы, чтобы запросить эти данные непосредственно у Клиента. Если корпорация Майкрософт обязана раскрыть данные клиента или данные поддержки правоохранительным органам, корпорация Майкрософт незамедлительно уведомит Клиента и предоставит копию требования, если это не запрещено законом.

После получения любого другого стороннего запроса на данные клиента или данные поддержки корпорация Майкрософт незамедлительно уведомит Клиента, если это не запрещено законом. Корпорация Майкрософт отклонит запрос, если только это не требуется по закону. Если запрос действителен, корпорация Майкрософт попытается перенаправить стороннюю сторону для запроса данных непосредственно у клиента.
Права субъектов данных Выступая в качестве обработчика, корпорация Майкрософт предоставляет клиентам (управляющим данными) персональные данные их субъектов данных, а также возможность отвечать на запросы субъектов данных, когда они пользуются своими правами в рамках GDPR. Мы предоставляем эти возможности в соответствии с функциональностью продукта и нашей ролью обработчика данных.  Получив запрос от субъекта данных клиента на осуществление своего права (одного или нескольких) в рамках GDPR, мы перенаправим субъект данных, чтобы он мог отправить запрос управляющему данных напрямую. Руководство по запросам субъектов данных Office 365 описывает для управляющего данными, как поддерживать права субъектов данных с помощью возможностей Office 365.

Запросы от субъекта данных на осуществление прав в соответствии с GDPR в отношении персональных данных, обработанных для поддержки законных бизнес-процессов, должны направляться в корпорацию Майкрософт, как указано в заявлении корпорации Майкрософт о конфиденциальности.

Корпорация Майкрософт обычно объединяет личные данные, прежде чем использовать его для наших законных бизнес-операций, и не в состоянии идентифицировать персональные данные конкретного человека в совокупности. Это значительно снижает риск нарушения конфиденциальности для отдельных пользователей. Если корпорация Майкрософт не в состоянии идентифицировать человека, она не может осуществлять права субъектов данных на доступ, удаление, перенос, ограничение или запрет обработки.
Оценка необходимости и пропорциональности операций обработки по отношению к целям Такая оценка зависит от потребностей и целей обработки контроллера.

Что касается обработки, выполняемой корпорацией Майкрософт, она необходима и пропорциональна с целью предоставления услуг управляющему данными.
Оценка рисков для прав и свобод субъектов данных Основные риски для прав и свобод субъектов данных от использования Office 365 зависят от того, как и в каком контексте управляющий данными реализует, настраивает и использует Office 365.

Майкрософт применяет такие меры, как анонимизация или объединение персональных данных, используемых корпорацией Майкрософт для выполнения законных бизнес-операций, чтобы обеспечить предоставление службы, сводя к минимуму риск при такой обработке для субъектов данных, использующих эту службу.

Однако, как и в любой другой службе, персональные данные, хранящиеся в службе, могут подвергаться риску несанкционированного доступа или непреднамеренного раскрытия. Меры реагирования на такие риски со стороны корпорации Майкрософт описаны в следующих разделах.
Меры для устранения рисков, включая гарантии безопасности, меры предосторожности и механизмы для обеспечения защиты персональных данных и демонстрации соблюдения настоящего GDPR с учетом прав и законных интересов субъектов данных и других заинтересованных лиц Корпорация Майкрософт обеспечивает защиту личных данных клиента. В соответствии с положениями статьи 32 GDPR, Майкрософт внедрила соответствующие технические и организационные меры, направленные на защиту Данных клиента и Данных о поддержке от случайного, несанкционированного или незаконного доступа, раскрытия, изменения, утраты или уничтожения.

Кроме того, Майкрософт соблюдает все остальные обязательства по GDPR, которые применяются к обработчикам данных, включая оценки влияния на защиту данных и ведение учета.

Когда корпорация Майкрософт обрабатывает персональные данные в рамках своих законных бизнес-операций, она соблюдает обязательства GDPR, применяемые к управляющим данными.

Часть 3. DPIA это не легко, но это может помочь

Если вы определили, что вашей организации необходимо составить DPIA, информация в этом разделе призвана помочь вам упростить этот процесс.

В этом разделе:

  • предоставлены сведения о продуктах Office 365 и сведения, которые относятся к конкретным службам, и
  • представлен пустой шаблон DPIA, который вы можете загрузить, изменить и использовать для составления вашего DPIA.

Матрица элементов службы DPIA

Матрица элементов службы DPIA — это организация содержимого, которая может оказаться полезным в начале процесса документирования DPIA. Она составлена по службам и предоставляет информацию по конкретному продукту и ссылки на документацию, которые могут помочь вам в составлении ответы на необходимые элементы DPIA.

Настраиваемый документ DPIA

Мы понимаем, что составление DPIA может занимать много времени. Хотя DPIA каждого клиента будет отличаться в зависимости от того, как каждая организация настраивает и использует Office 365, следующий документ может сэкономить вам время. Чтобы быстро приступить к работе, вы можете скачать Настраиваемый документ DPIA в виде наглядного модифицируемого шаблона. Вы можете использовать и адаптировать его для конкретной реализации службы. Этот документ не следует истолковывать как юридическую консультацию, предоставленную Майкрософт или любым из ее аффилированных лиц. Если у вас есть какие-либо вопросы относительно процесса составления DPIA, мы настоятельно рекомендуем вам проконсультироваться с юристом.

Подробнее