Определение ролей и обязанностей
Веб-службы Майкрософт основаны на модели общей ответственности, в которой часть ответственности за безопасность и конфиденциальность лежит на поставщике облачных служб, а часть — на клиенте. Разделение ответственности между корпорацией Майкрософт и ее клиентами зависит от используемой модели обслуживания (инфраструктура, платформа или программное обеспечения как услуга), настройки и использования службы каждым клиентом, а также от применимых законов и нормативных актов о конфиденциальности.
Например, следующие роли и обязанности иллюстрируют положения GDPR.
Управляющий данными. Управляющий данными управляет персональными данными и определяет способ их использования. В обязанности управляющего данными входят (помимо прочего) сбор, обслуживание, направление действий, защита, изменение и удаление персональных данных. Управляющий данными либо добавляет пользователей в систему, предоставляет доступ к системе и собирает данные от субъектов данных, либо использует сотрудников, которые будут выполнять эти задачи от имени компании. Обязанность по пониманию процесса запросов GDPR и выполнению запросов GDPR лежит на управляющем данными.
Эту роль выполняет клиент корпорации Майкрософт.
Обработчик данных. Обработчик данных предоставляет услуги управляющему данных и обрабатывает данные от его имени. Обработчик данных выполняет действия от имени управляющего данными. Помощь обработчика данных позволяет управляющему данными обеспечивать соответствие GDPR, но обработчик не владеет данными и не отвечает непосредственно на запросы субъектов данных и не выполняет оценку влияния на защиту данных.
Эту роль выполняет корпорация Майкрософт. Как обработчик данных корпорация Майкрософт реализует средства контроля безопасности и конфиденциальности для защиты своих служб и помогает управляющим данными выполнять свои обязательства по соответствию требованиям. Например, корпорация Майкрософт предоставляет администраторам возможности переключения для управления функциями конфиденциальности в своих клиентах. Кроме того, мы работаем непосредственно с администраторами клиента пользователей и перенаправляем вопросы конечных пользователей о службе или запросы субъектов данных для персональных данных.
Один из важных аспектов проверки — что подразумевается под способом обеспечения соответствия требованиям. Наши клиенты часто спрашивают: "Что это означает, соблюдаете ли вы эти законы и правила или нет?" В большинстве отраслевых или географических нормативных актов веб-службы Майкрософт можно использовать таким образом, чтобы это соответствовало закону или нормативным актам. Однако веб-службы Майкрософт не могут обеспечить комплексное соответствие требованиям, так как корпорация Майкрософт не анализирует содержимое персональных данных клиента.
Например, организации, на которые распространяется акт HIPAA или другие нормативные акты, должны иметь собственную программу обучения и систему безопасности, чтобы гарантировать, что их персонал не будет использовать наши службы Майкрософт для нарушения этих нормативных требований. Корпорация Майкрософт может обещать максимум следующее: со своей стороны мы будем делать все необходимое, тем самым позволяя клиенту выполнять программу, соответствующую законодательным требованиям.
Например, врач из США может хранить защищенную медицинскую информацию пациентов в нашей службе, регулируемой актом HIPAA. В корпорации Майкрософт реализована система безопасности и средства контроля конфиденциальности для гарантии того, что персонал не может ненадлежащим образом получить доступ к этой информации о пациенте или раскрыть ее. Однако врач, являющийся пользователем служб, может применять их для отправки конфиденциальной информации пациента маркетологам. Корпорация Майкрософт неумышленно доставляет это сообщение, из-за чего клиент нарушает акт HIPAA. Корпорация Майкрософт считает, что она следует указаниям представителя клиента.
Корпорация Майкрософт придерживается своего обязательства по запуску и эксплуатации своих служб с использованием современных технологий, системы безопасности и методов конфиденциальности. Каждый клиент и пользователь наших служб несет ответственность за определение способа своего соответствия конкретным требованиям и обязательствам.