Оценка влияния на защиту данных: руководство для управляющих данными, использующих Microsoft Office 365

Согласно Общему регламенту по защите данных (GDPR), управляющие данными должны подготовить оценку влияния на защиту данных (DPIA) для операций обработки, которые "могут привести к появлению серьезного риска для прав и свобод физических лиц". Microsoft Office 365 не присуще ничего такого, что требует от управляющего данными, который его использует, обязательного создания DPIA. Необходимость DPIA зависит скорее от того, как вы, как управляющий данными, развертываете, настраиваете и используете Office 365.

В части 1 этого документа представлена информация об Office 365, которая поможет вам, как управляющему данными, определить, требуется ли DPIA. Если ответ «да», части 2 и 3 этого документа содержат ключевую информацию от Microsoft, которая может помочь в ее составлении. В частности, во второй части приводятся ответы, применимые ко всем службам Office 365 для каждого из требуемых элементов DPIA. Часть 3 содержит дополнительную информацию о конкретном продукте для ряда наиболее релевантных информационных потребностей наших клиентов для составления DPIA. В третьей части также содержится иллюстративный документ DPIA, который можно загрузить и изменить, чтобы упростить процесс создания DPIA.

Приложения и службы Office 365 включают, помимо прочего, Exchange Online, SharePoint Online, OneDrive для бизнеса, Yammer и Microsoft Teams. Более полный список служб, доступных в Office 365, можно найти в таблицах 1 и 2 Руководства по запросам данных Office 365.

Часть 1. Определение необходимости DPIA

Статья 35 регламента GDPR требует, чтобы управляющий данными составил оценку влияния на защиту данных, "где тип обработки c использованием новых технологий и учетом характера, масштаба, контекста и целей обработки может представлять высокий риск для прав и свобод физических лиц". Кроме того, в ней указаны определенные факторы, представляющие высокий риск. Эти факторы описаны в таблице ниже. При определении необходимости в оценке DPIA вы, как управляющий данными должны учитывать эти, а также другие значимые факторы, в свете своих конкретных реализаций и применения Office 365.

Фактор риска Важная информация об Office 365
Системная и подробная оценка личных характеристик физического лица, которая основана на автоматизированной обработке, в том числе составлении психологического портрета, и на которой основаны решения, порождающие юридические последствия в отношении этого лица или влияющие на него похожим образом В зависимости от настройки управляющего данными Office 365 может выполнять определенную автоматическую обработку данных, например анализ, выполняемый службой "Рабочая аналитика", которая позволяет управляющему данными получать сведения о том, как люди совместно работают в организации на основе информации заголовков электронной почты и календаря из почтовых ящиков пользователей.

Служба Office 365 не предназначена для выполнения автоматической обработки в качестве основы для решений, которые имеют правовые последствия или подобным образом оказывают значительное влияние на людей. Однако, так как служба Office 365 имеет широкие возможности настройки, управляющий данными может настроить ее для такой обработки.
Масштабная обработка 1 особых категорий данных (персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзах, а также обработка генетических и биометрических данных с целью однозначной идентификации физического лица, данных о здоровье или данных, касающихся его сексуальной жизни или ориентации) или персональных данных, касающихся судимости или правонарушений. Служба Office 365 не предназначена для обработки особых категорий персональных данных.

Однако управляющий данными может использовать Office 365 для обработки перечисленных особых категорий данных. Имея широкие возможности настройки, служба Office 365 позволяет клиенту отслеживать и иным образом обрабатывать любые персональные данные, в том числе особые категории персональных данных. Любое подобное применение относится к определению управляющего о необходимости применения DPIA. Однако корпорация Майкрософт как обработчик данных не имеет контроля над таким использованием и обычно имеет слабое представление о нем либо не имеет его вообще.
Масштабное систематическое отслеживание общедоступной области Office 365 не предназначен для проведения или упрощения такого отслеживания.

Однако управляющий данными может использовать его для обработки данных, собранных в ходе такого отслеживания.

Примечание

1 Относительно условия о необходимости "масштабной обработки" в пункте 91 декларативной части GDPR поясняется: "Обработка персональных данных не должна считаться масштабной, если обработка относится к персональным данным пациентов или клиентов, обрабатываемым отдельным врачом, другим специалистом в области здравоохранения или адвокатом. В таких случаях оценка влияния на защиту данных не должна быть обязательной".

Часть 2. Содержимое DPIA

Статья 35(7) Общего регламента по защите данных требует, чтобы оценка влияния на защиту данных определяла цели и системное описание предполагаемой обработки. В оценке DPIA корпорации Майкрософт такое системное описание может включать такие факторы, как типы обрабатываемых данных, продолжительность хранения данных, места размещения и передачи данных и третьи стороны, которым может быть предоставлен доступ к этим данным. Кроме того, DPIA должна включать:

  • оценку необходимости и пропорциональности операций обработки по отношению к целям;
  • оценку рисков для прав и свобод физических лиц; и
  • меры разрешения этих рисков, включая гарантии безопасности, меры предосторожности и механизмы для обеспечения защиты персональных данных и демонстрации соблюдения Общего регламента по защите данных с учетом прав и законных интересов субъектов данных и других заинтересованных лиц.

В следующей таблице приведена ключевая информация от Microsoft, которая может помочь в составлении DPIA. Он содержит информацию об Office 365, относящуюся к каждому из необходимых элементов DPIA. Как и в первой части, управляющие данными должны рассматривать эти сведения вместе с другими подробностями своих конкретных реализаций и способов использования Office 365.

Факторы риска Важная информация об Office 365
Цели обработки Цели обработки данных с помощью службы Office 365 определяет управляющий, который реализует, настраивает и использует эту службу.

Как указано в документе Условия использования веб-служб (OST) и в Приложении о защите данных, корпорация Майкрософт как обработчик данных обрабатывает данные клиента для предоставления клиенту веб-обслуживания в соответствии с инструкциями, изложенными в документации клиента.

Как изложено в Условиях использования веб-служб и Приложении о защите данных, корпорация Майкрософт также использует персональные данные для ограниченного набора законных бизнес-операций, включающих следующее: (1) выставление счетов и управление учетными записями; (2) компенсация (например, расчет комиссионных для сотрудников и премий для партнеров); (3) внутренняя отчетность и моделирование (например, прогнозирование, доходы, планирование мощностей, стратегия развития продукта); (4) борьба с мошенниками, киберпреступностью или кибератаками, которые могут влиять на корпорацию Майкрософт или продукты корпорации Майкрософт; (5) улучшение основных функций, связанных со специальными возможностями, конфиденциальностью или энергоэффективностью; и (6) финансовая отчетность и исполнение правовых обязательств (согласно ограничениям на раскрытие данных клиентов, описанным в условиях использования веб-службы).

Корпорация Майкрософт является управляющим обработки персональных данных для поддержки этих определенных законных бизнес-операций. Обычно Майкрософт объединяет персональные данные, прежде чем использовать их для законных бизнес-операций, устраняя возможность для корпорации Майкрософт идентифицировать конкретных людей, и использует персональные данные в наименее идентифицируемой форме, поддерживающей необходимую обработку для законных бизнес-операций.

Майкрософт не будет использовать Данные клиента или полученную от него информацию для профилирования, рекламных или коммерческих целей.
Категории обрабатываемых персональных данных Данные клиента. Это все данные, включая изображения, текстовые, звуковые и видеофайлы, а также программное обеспечение, которые клиенты предоставляют корпорации Майкрософт или которые предоставляются от имени пользователя при использовании веб-служб Майкрософт. К ним относятся данные, отправляемые клиентами для хранения или обработки, а также модификации. Примеры данных клиентов, обрабатываемых в Office 365: содержимое электронной почты в Exchange Online, а также документы и файлы, хранящиеся в SharePoint Online или OneDrive для бизнеса.

Данные, создаваемые службами. Это данные, создаваемые или получаемые корпорацией Майкрософт в ходе работы службы, например данные об использовании или производительности. Большая часть этих данных содержит идентификаторы-псевдонимы, создаваемые корпорацией Майкрософт.

Диагностические данные. Эти данные собираются или получаются корпорацией Майкрософт из программного обеспечения, локально установленного клиентом в связи с веб-службой, и также могут называться телеметрией. Эти данные обычно определяются по атрибутам локально установленного программного обеспечения или компьютера, на котором работает это программное обеспечение.

Данные службы поддержки. Это данные, предоставленные корпорации Майкрософт клиентом или от его имени (либо если клиент предоставил корпорации Майкрософт право получать эти данные из веб-службы) путем взаимодействия с ней для получения технической поддержки для веб-служб.

Данные клиента, Данные системных журналов и Данные о поддержке не включают данные администратора и данные о выставлении счетов, например контактную информацию администратора, информацию о подписке и платежные данные, которые Майкрософт собирает и обрабатывает в качестве управляющего данными и которые не рассматриваются в этом документе.
Хранение данных Данные клиента. Как указано в разделе "Условия защиты данных" документа "Условия использования веб-служб", Майкрософт будет хранить Данные клиента в течение срока действия его права на использование службы и до тех пор, пока все Данные клиента не будут удалены или возвращены в соответствии с инструкциями клиента или Условиями использования веб-служб.

Клиент может получить доступ к своим данным, хранящимся в веб-службе, извлечь и удалить их в любое время в течение срока действия подписки с возможностью применения в некоторых случаях определенных функций продукта, предназначенных для снижения риска случайного удаления (например, папка "Восстановленные" в Exchange), как описано далее в документации по продукту.

За исключением бесплатных пробных версий и служб LinkedIn, Майкрософт будет хранить Данные клиента из веб-служб в учетной записи с ограниченной функциональностью в течение 90 дней с момента окончания срока действия или прекращения действия подписки клиента, чтобы он мог извлечь эти данные. После окончания 90-дневного срока хранения Майкрософт отключит учетную запись клиента и удалит его данные.

Данные, созданные службами. Эти данные хранятся в течение стандартного периода времени до 180 дней с момента сбора, с возможностью применения более длительных периодов хранения (при необходимости) для обеспечения безопасности служб или в соответствии с юридическими либо нормативными обязательствами.

Дополнительные сведения о возможности службы, позволяющей клиенту в любое время удалять персональные данные, хранящиеся в службе, см. в статье Запросы субъектов данных, определенные в GDPR.
Размещение и передача персональных данных Как описано в Приложении 1 документа "Условия использования веб-служб", если клиент подготавливает свой экземпляр Office 365 в Австралии, Канаде, Европейском союзе, Франции, Индии, Японии, Южной Корее, Соединенном Королевстве или США, Майкрософт будет хранить указанные ниже неактивные Данные клиента только в этом расположении: (1) содержимое почтового ящика Exchange Online (текст сообщений электронной почты, записи календаря и содержимое вложений электронных писем), (2) контент сайта SharePoint Online и файлы, хранящиеся на этом сайте, (3) файлы, добавленные в OneDrive для бизнеса и (4) содержимое проектов, добавленное в Project Online.

Корпорация Майкрософт гарантирует, что передача персональных данных из Европейской экономической зоны, Швейцарии и Соединенного Королевства в третью страну или международную организацию производится в соответствии с надлежащими мерами безопасности, приведенными в статье 46 регламента GDPR. В дополнение к своим обязательствам по стандартным контрактным условиям для обработчиков и другим типовым договорам корпорация Майкрософт продолжает соблюдать условия соглашения о правилах обмена конфиденциальной информацией, но больше не использует его в качестве основы при передаче персональных данных из ЕС/ЕЭЗ в США.
Предоставление данных сторонним субобработчикам Корпорация Майкрософт предоставляет данные третьим сторонам, выступающим в качестве ее субобработчиков для обеспечения таких функций, как поддержка пользователей и техническая поддержка, сервисное обслуживание и другие операции. Все субобработчики, которым передаются данные клиента, данные службы поддержки или персональные данные, заключают письменные соглашения с корпорацией Майкрософт, которые предусматривают не менее строгую защиту данных, чем условия защиты данных, представленные в Условиях использования веб-служб. Все сторонние субобработчики, которым предоставляются Данные клиента из основных веб-служб Майкрософт, включены в список субподрядчиков веб-служб. Все сторонние субобработчики, которым доступны данные службы поддержки (в том числе Данные клиента, которые клиенты решили предоставить во время взаимодействия со службой поддержки), включаются в список подрядчиков коммерческой поддержки Майкрософт.
Предоставление данных независимым третьим сторонам Некоторые продукты Office 365 содержат возможности расширения, позволяющие (по выбору управляющего) предоставлять данные независимым третьим сторонам. Например, расширяемая платформа Exchange Online позволяет сторонним надстройкам и соединителям интегрироваться с Outlook и расширять набор компонентов Outlook. Эти сторонние поставщики надстроек и соединителей действуют независимо от корпорации Майкрософт, и их надстройки и соединители должны включаться пользователями или администраторами организации, проходящими проверку подлинности с помощью учетной записи надстройки или соединителя.

Майкрософт не будет раскрывать Данные клиента или Данные о поддержке правоохранительным органам, если этого не требует закон. Если правоохранительный орган потребует от Майкрософт предоставить Данные клиента или Данные о поддержке, Майкрософт попытается перенаправить правоохранительный орган, чтобы он мог запросить данные непосредственно у Клиента. Если корпорация Майкрософт будет вынуждена раскрыть Данные клиента или Данные о поддержке правоохранительным органам, она незамедлительно уведомит Клиента и предоставит копию требования, если это не будет запрещено законом.

Получив запрос Данных клиента или Данных о поддержке от другой третьей стороны, Майкрософт незамедлительно уведомит Клиента, если это не запрещено законом. Майкрософт отклонит запрос, если его удовлетворения не требует закон. Если запрос имеет законную силу, Майкрософт попытается перенаправить третью сторону, чтобы она могла запросить данные непосредственно у клиента.
Права субъектов данных Выступая в качестве обработчика, корпорация Майкрософт предоставляет клиентам (управляющим данными) персональные данные их субъектов данных, а также возможность отвечать на запросы субъектов данных, когда они пользуются своими правами в рамках GDPR. Мы предоставляем эти возможности в соответствии с функциональностью продукта и нашей ролью обработчика данных. Получив запрос от субъекта данных клиента на осуществление своего права (одного или нескольких) в рамках GDPR, мы перенаправим субъект данных, чтобы он мог отправить запрос управляющему данных напрямую. Руководство по запросам субъектов данных Office 365 описывает для управляющего данными, как поддерживать права субъектов данных с помощью возможностей Office 365.

Запросы от субъектов данных на осуществление своих прав в рамках GDPR в отношении обработанных персональных данных для поддержки законных бизнес-процессов следует направлять в корпорацию Майкрософт, как указано в заявлении о конфиденциальности корпорации Майкрософт.

Обычно корпорация Майкрософт объединяет персональные данные, прежде чем использовать их для законных бизнес-операций, и не в состоянии идентифицировать персональные данные для конкретного человека в объединении. Это значительно снижает риск нарушения конфиденциальности для отдельных пользователей. Если корпорация Майкрософт не в состоянии идентифицировать человека, она не может осуществлять права субъектов данных на доступ, удаление, перенос, ограничение или запрет обработки.
Оценка необходимости и пропорциональности операций обработки по отношению к целям Такая оценка будет зависеть от потребностей и целей обработки управляющего.

Что касается обработки, выполняемой корпорацией Майкрософт, она необходима и пропорциональна с целью предоставления услуг управляющему данными.
Оценка рисков для прав и свобод субъектов данных Основные риски для прав и свобод субъектов данных от использования Office 365 зависят от того, как и в каком контексте управляющий данными реализует, настраивает и использует Office 365.

Майкрософт применяет такие меры, как анонимизация или объединение персональных данных, используемых корпорацией Майкрософт для выполнения законных бизнес-операций, чтобы обеспечить предоставление службы, сводя к минимуму риск при такой обработке для субъектов данных, использующих эту службу.

Однако, как и в любой другой службе, персональные данные, хранящиеся в службе, могут подвергаться риску несанкционированного доступа или непреднамеренного раскрытия. Меры реагирования на такие риски со стороны корпорации Майкрософт описаны в следующих разделах.
Меры для устранения рисков, включая гарантии безопасности, меры предосторожности и механизмы для обеспечения защиты персональных данных и демонстрации соблюдения настоящего GDPR с учетом прав и законных интересов субъектов данных и других заинтересованных лиц Корпорация Майкрософт обеспечивает защиту личных данных клиента. В соответствии с положениями статьи 32 GDPR, Майкрософт внедрила соответствующие технические и организационные меры, направленные на защиту Данных клиента и Данных о поддержке от случайного, несанкционированного или незаконного доступа, раскрытия, изменения, утраты или уничтожения.

Кроме того, Майкрософт соблюдает все остальные обязательства по GDPR, которые применяются к обработчикам данных, включая оценки влияния на защиту данных и ведение учета.

Когда корпорация Майкрософт обрабатывает персональные данные в рамках своих законных бизнес-операций, она соблюдает обязательства GDPR, применяемые к управляющим данными.

Часть 3. DPIA это не легко, но это может помочь

Если вы определили, что вашей организации необходимо составить DPIA, информация в этом разделе призвана помочь вам упростить этот процесс.

В этом разделе:

  • предоставлены сведения о продуктах Office 365 и сведения, которые относятся к конкретным службам, и
  • представлен пустой шаблон DPIA, который вы можете загрузить, изменить и использовать для составления вашего DPIA.

Матрица элементов службы DPIA

Матрица элементов службы DPIA — это организация содержимого, которая может оказаться полезным в начале процесса документирования DPIA. Она составлена по службам и предоставляет информацию по конкретному продукту и ссылки на документацию, которые могут помочь вам в составлении ответы на необходимые элементы DPIA.

Настраиваемый документ DPIA

Мы понимаем, что составление DPIA может занимать много времени. Хотя DPIA каждого клиента будет отличаться в зависимости от того, как каждая организация настраивает и использует Office 365, следующий документ может сэкономить вам время. Чтобы быстро приступить к работе, вы можете скачать Настраиваемый документ DPIA в виде наглядного модифицируемого шаблона. Вы можете использовать и адаптировать его для конкретной реализации службы. Этот документ не следует истолковывать как юридическую консультацию, предоставленную Майкрософт или любым из ее аффилированных лиц. Если у вас есть какие-либо вопросы относительно процесса составления DPIA, мы настоятельно рекомендуем вам проконсультироваться с юристом.

Подробнее