- ET Eesti keel
Masintõlkes võib olla vigu, mis võivad vähendada selgust ja õigsust; ombudsman ei vastuta mis tahes erisuste korral. Kõige usaldusväärsem ja õiguskindlam teave on algversioonis eespoolsel lingil (inglise keel).
Lisateave on meie keele- ja tõlkepoliitikas.
Microsoft 365 kasutamine pilvepõhise koostööplatvormina Euroopa Ombudsmani büroos
Andmekaitseametniku registrikirje - Kuupäev Esmaspäev | 07 juuli 2025
Sissejuhatus
Selles kirjes kirjeldatakse isikuandmete töötlemist Euroopa Ombudsmani poolt seoses Euroopa Parlamendi hallatava pilvepõhise koostööplatvormi Microsoft 365 kasutamisega. Süsteem võimaldab ettevõtja töötajatel suhelda, teha koostööd ja teha oma tööd turvalises ja tõhusas digikeskkonnas kooskõlas ettevõtja haldus- ja operatiivvajadustega.
1. Selle kirje viimane ajakohastamine:
2. Viitenumber:
Arese viitenumber: Ares(2025)5458397
3. Vastutavate töötlejate nimed ja kontaktandmed:
· Euroopa Ombudsman, 1 avenue du Président Robert Schuman, CS 30403, F-67001 Strasbourg Cedex -
Kontaktisik: Haldusdirektoraat - Protsess & dokumendihaldus, talitluspidevuse meeskond -
Funktsionaalne postkast: icteo-personaldataprotection@ombudsman.europa.eu
Vastutav talitus: Protsessi & dokumentide haldamine, talitluspidevus Meeskond - IKT töötajad
· Euroopa Parlamendi ITECi peadirektoraat
Ettevõtja kasutatavat Microsoft 365 keskkonda majutab ja haldab tehniliselt Euroopa Parlamendi tehnoloogiliste uuenduste ja tugiteenuste peadirektoraat (DG ITEC) vastavalt koostöö raamlepingule ja selle rakenduskorrale. Kuigi tehnoloogiliste uuenduste ja tugiteenuste peadirektoraat pakub taristut ja tehnilist tuge, jääb Euroopa Ombudsman korralduse kontekstis töödeldavate isikuandmete vastutavaks töötlejaks. Mõlemad institutsioonid teevad tihedat koostööd, et tagada Microsoft 365 teenuste turvaline ja nõuetele vastav kasutamine.
E-post: itec-operations-personal-data-protection@europarl.europa.eu
4. Andmekaitseametniku nimi ja kontaktandmed:
Andmekaitseametnik – Francesca Pavesi
Andmekaitseametniku asetäitja: Nicholas Hernanz
Funktsionaalne postkast: Dpo-Euro-Ombudsman@ombudsman.europa.eu
5. Volitatud töötleja nimi ja kontaktandmed:
Microsoft Ireland South County Business Park, One Microsoft Place, Carmanhall ja Leopardstown, Dublin, D18 P521, Iirimaa [1]
6. Kaasvastutava(te) töötleja(te) nimi ja kontaktandmed/ Ei kohaldata
7. Töötlemise eesmärk (eesmärgid):
Ettevõtja töötajad on varustatud Microsoft 365 Office’i toodetega, et nad saaksid töötada mis tahes (ettevõtte) seadmes, ning see hõlbustab koostööd asutusesiseste ja -väliste sidusrühmadega.
Töötlemise lühikirjeldus:
Microsoft 365 süsteem on pilvesüsteem, mis suudab pakkuda teenuseid vastavalt platvormi teenusena (PaaS) ja tarkvara teenusena (SaaS) pilveteenuse mudelitele. Seda kavandab, käitab ja hooldab Microsoft oma rollis pilveteenuse pakkujana (CSP).
See digitaalne töökoht võimaldab turvalist koostööd ja teabe jagamist ettevõtja töötajate ja kolmandate isikute, sealhulgas muude ELi institutsioonide ja asutuste, haldusasutuste, rahvusvaheliste organisatsioonide ja kodanike vahel.
Microsoft 365 pilvekeskkonna kasutuselevõtu peamised eesmärgid on määratletud järgmiselt:
• suurendada ettevõtja töötajate kaasatust;
• kaasata töötajaid ja suurendada motivatsiooni tulemusliku ja tõhusa digitaalse töökoha kaudu;
• Suurendada töötajate tootlikkust: võimaldada tootlikkuse suurendamist, pakkudes igale töötajale kõige sobivamat ja tõhusamat digitaalset töökohta;
• Võimaldada kaasaegsemat ja tõhusamat kontoriruumide projekteerimist;
• juurutada süsteemi rakendamise kaudu turvalise projekteerimise kontseptsioon.
Ettevõtja seisukohast hõlmavad Microsoft 365 peamised töötlemistoimingud tema teenuste osutamist ettevõtja töötajatele, ülesannete hõlbustamist ja koordineerimist ettevõtja eri osakondade ja üksuste vahel ning nende teenuste haldamist, et tagada Microsoft 365 keskkonnas töödeldavate isikuandmete konfidentsiaalsus, terviklus ja kättesaadavus.
Eelkõige võib ettevõtja potentsiaalselt töödelda Microsoft 365 kaudu talletatud ja vahetatud teavet, sealhulgas isikuandmeid, järgmiste oluliste äriprotsesside jaoks:
• Microsoft 365 rakenduse identiteedi- ja juurdepääsuhaldus;
• isikuandmetega seotud rikkumiste haldamine;
• turvasündmuste ja -intsidentide jälgimine ja logimine;
• andmesubjektide õiguste haldamine;
• klienditoe haldamine;
• andmetele juurdepääsu haldamine;
• koostöö ja failivahetus;
• saidi haldamine;
• välisjuurdepääsu haldamine;
• virtuaalsete koosolekute ja telekonverentside korraldamine;
• vestluspõhine koostöö;
• projekti- ja ülesandejuhtimine;
• lõppkasutaja teavitamine tegevusest;
• e-kirjade vahetamine;
• diagnostiliste andmete töötlemine;
• Mobiilseadmete ja rakenduste haldus.
8. Andmesubjektide kategooriate ja isikuandmete kategooriate kirjeldus:
- Andmesubjektid:
- ettevõtjasisene
Kõik ettevõtja töötajad (ametnikud, agendid, praktikandid), kes kasutavad Microsoft 365 teenust.
- Ettevõtjast väljaspool
Kõik töötajad ja teised koostööpartnerid, kellele on antud juurdepääs Microsoft 365 teenuse kasutamiseks külalistena.
Isikuandmete kategooriad:
1. Identifitseerimisandmed: sisaldab isikuandmeid, mis on vajalikud kasutaja ja vastava kasutajakonto nõuetekohaseks tuvastamiseks, sealhulgas ammendavalt:
• Kasutaja isikuandmed (pealkiri, perekonnanimi ja eesnimi)
• Ettevõtja kasutajanimi, e-posti aadress ja konto olek
• Funktsiooniga seotud andmed (üksus, töökoha aadress ja telefoninumber, linn ja riik).
Identifitseerimine EP M365 keskkonnas toimub ainult e-posti aadressiga. Microsofti serverid töötlevad domeeninimesid, mille lõpp on Euroopa Parlamendi ombudsman.europa.eu ja mis suunatakse ümber Euroopa Parlamendi M365 keskkonda. Autentimine toimub ADFS (Microsoft Active Directory Federation Services) serveri kaudu ruumides, mis valideerib kasutajanime ja parooli Active Directory vastu ning võib mõnel juhul taotleda MFA-d. Makromajanduslikku finantsabi saab pakkuda e-posti, SMSi, häälkõne või mobiilirakenduse „Microsoft Authenticator“ kaudu.
2. Sisuandmed (CD): sisaldab mis tahes sisu, mille selle kasutajad on Microsoft 365 platvormile üles laadinud, näiteks dokumente ja multimeediat (nt videosalvestisi). Kasutaja salvestab need andmed Microsoft 365-sse, kuid teenus neid muul viisil ei töötle.
3. Diagnostikaandmed (tuntud ka kui telemeetriaandmed) on seotud sellega, kuidas andmesubjektid kasutavad kontoritarkvara [2]. Need hõlmavad tehnilisi andmeid, mida kasutatakse teenuse jõudluse, usaldusväärsuse ja turvalisuse jälgimiseks, näiteks telemeetria ja süsteemi logid.
4. Teenuse loodud andmed (SGD): sisaldab teavet andmesubjektide internetipõhiste teenuste kasutamise kohta, eelkõige kasutaja IP-aadressi, loomise aega, saidi URLi ja kasutaja e-posti aadressi. Need andmed luuakse sündmustega, mis on seotud kasutaja tegevusega Microsoft 365-s. Sündmuste andmed võimaldavad jälgida iga kasutaja kogu tegevust pilvekeskkonnas.
M365 keskkonnateenuste osutamisel ja täitmisel kasutaja poolt töödeldakse ID-d kasutaja tuvastamiseks, CD-d töödeldakse teenuse osutamiseks ja luuakse SGD, et võimaldada teenuste edasist täiustamist.
Lisaks automatiseeritud töötlemisele, mis toimub siis, kui kasutajad kasutavad M365 keskkonda, võivad EO ICT-teenused või Microsoft töödelda isikuandmeid teenusetoimingute raames käsitsi, eelkõige IKT-turvahoiatuste ja -intsidentide uurimiseks.
9. Andmete säilitamise ja võimaluse korral kustutamise tähtaeg:
Ettevõtja kohaldab Euroopa Parlamendi andmete säilitamise tähtaegu, mis on sätestatud tema dokumendis „Digitaalsed töökohateenused – Microsoft EP M365 keskkonna pakkumine pilvepõhise koostööplatvormina“[3].
Identifitseerimisandmed:
Ettevõtja säilitab kasutajate isikuandmeid ainult nii kaua, kui on vaja andmete kogumise eesmärgi täitmiseks või nende edasiseks töötlemiseks. Ettevõtja säilitab andmeid seni, kuni kasutajakonto on aktiveeritud või kui kasutajad ei ole otsustanud oma kontolt isikuandmeid eemaldada või kustutada. Kui kasutajakonto on deaktiveeritud (nt ettevõtjaga sõlmitud töölepingu lõpetamise korral säilitatakse identifitseerimisandmeid kolm kuud pärast sellist lõpetamist.
Sisuandmed
CD-d säilitatakse kuni 30 päeva pärast tellimuse aegumist/lõpetamist. Tellimus tühistatakse 60 päeva pärast seda, kui kasutaja on ettevõtja juurest lahkunud, et see vastaks kolmekuulisele üldisele säilitamisperioodile.
Teenuse loodud andmed
SGD-d säilitatakse kuni 180 päeva alates kogumisest. Toetuse puhul kasutatavad SGD ja ID: kustutatakse pärast Microsofti ärieesmärkide täitmist või taotluse korral.
Diagnostilised andmed
DD-d säilitatakse kuni 5 aastat alates loomise kuupäevast.
4. Teenusepõhised andmed (SGD)
Andmeid säilitatakse kuni 180 päeva alates nende kogumisest. Kui seda kasutatakse toe eesmärgil, kustutatakse see, kui Microsofti ärieesmärgid on täidetud või taotluse korral.
10. Andmete saajad:
Sisemiste saajatena
Juurdepääs isikuandmetele antakse ettevõtja töötajatele, kes vastutavad selle töötlemistoimingu tegemise eest (nt M365 EO administraatorid/EO LISO) ja volitatud töötajatele vastavalt teadmisvajaduse põhimõttele. Sellised töötajad järgivad seadusjärgseid ja vajaduse korral täiendavaid konfidentsiaalsuskokkuleppeid. Nende töötajate hulka kuuluvad määratud ettevõtja töötajad ja teenuseosutajad, kes on ametnike järelevalve all. Kogutud teavet ei anta kolmandatele isikutele, välja arvatud seadusega nõutud ulatuses ja eesmärgil.
Teenuste haldamise ja intsidentide haldamise puhul on vastuvõtjateks ettevõtja LISO ning tehnoloogiliste uuenduste ja tugiteenuste peadirektoraadi küberturvalisuse ja IT-halduse direktoraat. Neil on juurdepääs identifitseerimisandmetele, diagnostilistele andmetele ja teenuse loodud andmetele, et uurida konkreetse kasutaja probleeme. Enamasti on neil juurdepääs koondandmetele ilma isikuandmeid mainimata. Turvaintsidentide puhul (nt küberründed, pahatahtlike failide tuvastamine) on vastuvõtjateks ka operatiivjuhid LISO ning tehnoloogiliste uuenduste ja tugiteenuste peadirektoraadi, CERT-EU ja personalitöötajad, kui see on vajalik.
Töötlejana
Microsoft Ireland ja selle alamtöötlejad.
Töötlemist teostab Microsoft (töötlejana) ettevõtja nimel. Ülekanded andmekategooriate kaupa: Microsofti töötajad haldavad andmebaase Microsofti pilveserverites ja nende alamtöötlejate personali teadmisvajaduse alusel. Kokku on lepitud alamtöötlejate loetelus. Microsoft kohustub sõlmima kõigi alamtöötlejatega kirjalikud lepingud, mis on andmekaitse ja -turbe seisukohast vähemalt sama piiravad kui nende andmetöötlusleping Euroopa Komisjoniga. Kõigi alamtöötlejate tegevust auditeeritakse kolmandate isikute poolt.
Teatud piiratud isikuandmete kategooriate puhul, mida on üksikasjalikult kirjeldatud allpool esitatud stsenaariumides, võib Microsoft IIRIMAA edastada isikuandmeid USA-sse (vt punkt 11 allpool) või mis tahes muusse riiki, kus Microsoft või tema alamtöötlejad tegutsevad. Need andmevood toimuvad Microsoft IIRIMAAst USAs asuvasse Microsoft Corp.-i ja Microsofti alamtöötlejatesse.
Väliste saajatena:
Külaliseks kutsutud füüsilised isikud on ka sellise teabe saajad, millele on antud juurdepääs.
11. Kas isikuandmeid edastatakse kolmandatele riikidele ja/või rahvusvahelistele organisatsioonidele? :
Jah: vt Euroopa Parlamendi rekord, et saada rohkem teavet:
„Kõiki elektroonilises vormis olevaid isikuandmeid (e-kirjad, dokumendid, andmebaasid, üleslaaditud andmehulgad jne) säilitatakse kas EP andmekeskuse serverites või Microsofti andmekeskustes ELis (seotud EP M365 keskkonnaga).
Kuigi Microsofti tooted on konfigureeritud töötlema isikuandmeid mujal ELis/EMPs, ei ole Microsoftil ega ettevõtjal praktilisi vahendeid, et mõjutada interneti kaudu edastatavate andmete marsruutimist.
Lisaks ei piira ettevõtja piirkondi, kust kasutajad võivad ettevõtja IT-teenustele juurde pääseda (nt kasutajad, kes reisivad väljaspool ELi/EMPd ja kasutavad neid teenuseid) või kuhu kasutajad võivad andmeid saata (nt USAs asuvatele adressaatidele saadetud sõnumid/teave).
Ettevõtja ei edasta isikuandmeid otse kolmandatele riikidele. Institutsioonidevahelise litsentsilepingu alusel toimuva andmeedastuse andmeeksportija on volitatud töötleja (Microsoft Ireland Operations Ltd.) ja andmeimportija alamtöötleja (Microsoft Corp.). Piiratud isikuandmeid võidakse edastada Ameerika Ühendriikidesse (USA) Microsoftile kui andmetöötlejale ja/või selle alamtöötlejatele.
Edastamise suhtes kohaldatakse asjakohaseid kaitsemeetmeid (artikli 48 lõiked 2 ja 3), st käesoleval juhul Euroopa Komisjoni vastu võetud standardseid andmekaitseklausleid. Ülekandmisvahend: Lepingu tüüptingimused (ajutine lahendus) koos lisameetmetega.“
12. Turvameetmete üldkirjeldus:
Isikuandmete kaitsmiseks on kehtestatud mitu tugevat lepingulist kaitsemeedet, mida täiendavad tehnilised ja korralduslikud meetmed.
Lisaks Microsofti üldisele poliitikale kaitsta isikuandmeid pseudonüümimise ja krüpteerimise abil maandatakse ohtu, et Microsoft Ireland ja tema sidusettevõtjad avaldavad isikuandmeid kolmandate riikide ametiasutustele, kohandatud lepingutingimuste ning tehnilise ja korraldusliku mõõtmisega. Lepingulised sätted käsitlevad seda, kuidas Microsoft vastab juurdepääsutaotlustele, piirates isikuandmetega seotud riske.
Tehnilised meetmed hõlmavad asjakohaseid meetmeid võrguturvalisuse, andmete kaotsimineku ohu, andmete muutmise või loata juurdepääsu käsitlemiseks, võttes arvesse töötlemisest ja töödeldavate isikuandmete laadist tulenevat ohtu.
Korralduslikud meetmed hõlmavad isikuandmetele juurdepääsu piiramist üksnes volitatud isikutega, kellel on õiguspärane vajadus neid teada kõnealuse töötlemistoimingu eesmärgil.
Isikuandmete loata avalikustamise võimaliku ohu vähendamiseks võib Euroopa Komisjon institutsioonidevahelise litsentsilepingu (ILA) juhtiva hankijana nõuda Microsoftilt teavet selle kohta, kas isikuandmeid on avalikustatud liikmesriigi ametiasutusele, kolmanda riigi ametiasutusele, rahvusvahelisele organisatsioonile või muule juriidilisele või füüsilisele isikule, ning kui see on nii, siis milliseid meetmeid on Microsoft või tema alamtöötlejad vastuseks võtnud. Seejärel edastab Euroopa Komisjon saadud elemendid igale vahelepingus osalevale EUI-le (seoses nende enda isikuandmete töötlemise toimingutega), sealhulgas ettevõtjale;
13. Teave selle kohta, kuidas andmesubjektid saavad kasutada oma õigust andmetega tutvuda ja neid parandada ning vajaduse korral kustutada, piirata ja andmeid üle kanda:
Andmesubjektidel on õigus tutvuda oma isikuandmetega ja asjakohase teabega selle kohta, kuidas ettevõtja neid kasutab. Samuti on neil õigus nõuda neid puudutavate ebatäielike või ebatäpsete andmete parandamist. Nad võivad parandada identifitseerimisandmeid igal ajal menetluse käigus. Neil on igal ajal õigus vaidlustada oma andmete kasutamine ettevõtja poolt nende konkreetse olukorraga seotud põhjustel. Teatavatel tingimustel on neil õigus nõuda, et ettevõtja kustutaks nende isikuandmed või piiraks nende kasutamist.
Igal ajal võivad nad küsida ettevõtjalt teavet oma isikuandmete töötlemise kohta e-posti aadressil icteo-personaldataprotection@ombudsman.europa.eu või võtta ühendust haldusdirektoraadi, protsesside ja amp; dokumentide haldamise ja talitluspidevuse meeskonnaga.
Andmesubjektid võivad võtta ühendust ka Euroopa Parlamendi tehnoloogiliste uuenduste ja tugiteenuste peadirektoraadiga e-posti teel: ITEC-OPERATIONS-personal-data-protection@europarl.europa.eu
Ettevõtja vastab nende taotlustele võimalikult kiiresti ja hiljemalt ühe kuu jooksul.
Samuti võivad nad võtta ühendust ettevõtja andmekaitseametnikuga järgmisel aadressil: dpo-euro-ombudsman@ombudsman.europa.eu Kui nad soovivad esitada kaebuse selle kohta, kuidas ombudsman on nende isikuandmeid käsitlenud, võivad nad võtta ühendust Euroopa Andmekaitseinspektoriga (www.edps.europa.eu).
Isikuandmete kaitse põhimõtted seoses Microsoft 365 kasutamisega pilvepõhise koostööplatvormina Euroopa Ombudsmani büroos
Käesolevas isikuandmete kaitse avalduses selgitatakse töötlemise põhjust, seda, kuidas Euroopa Ombudsman kogub, käsitleb ja tagab kõigi esitatud isikuandmete kaitse, kuidas seda teavet kasutatakse ja milliseid õigusi andmesubjektid võivad seoses oma andmetega kasutada.
Käesolevas isikuandmete kaitse avalduses kirjeldatakse isikuandmete töötlemist ettevõtja poolt Euroopa Parlamendi hallatava pilvepõhise koostööplatvormi Microsoft 365 kasutamise kontekstis. Süsteem võimaldab ettevõtja töötajatel suhelda, teha koostööd ja teha oma tööd turvalises ja tõhusas digikeskkonnas kooskõlas ettevõtja haldus- ja operatiivvajadustega.
Vastutavad töötlejad on ettevõtja ja Euroopa Parlamendi ITECi peadirektoraat. Ettevõtja kasutatavat Microsoft 365 keskkonda majutab ja haldab tehniliselt Euroopa Parlamendi tehnoloogiliste uuenduste ja tugiteenuste peadirektoraat (DG ITEC) vastavalt koostöö raamlepingule ja selle rakenduskorrale. Kuigi tehnoloogiliste uuenduste ja tugiteenuste peadirektoraat pakub taristut ja tehnilist tuge, jääb ettevõtja korralduse kontekstis töödeldavate isikuandmete vastutavaks töötlejaks. Mõlemad institutsioonid teevad tihedat koostööd, et tagada Microsoft 365 teenuste turvaline ja nõuetele vastav kasutamine.
1. Milliseid isikuandmeid Euroopa Ombudsman töötleb?
Andmeid töötleb ettevõtja nimel Microsoft (töötlejana)[4].
Microsoft 365 eristab järgmisi andmekategooriaid:
1. Identifitseerimisandmed (ID): sisaldab isikuandmeid, mis on vajalikud kasutaja ja vastava kasutajakonto nõuetekohaseks tuvastamiseks, sealhulgas ammendavalt:
• Kasutaja isikuandmed (pealkiri, perekonnanimi ja eesnimi)
• Ettevõtja kasutajanimi, e-posti aadress ja konto olek
• Funktsiooniga seotud andmed (üksus, töökoha aadress ja telefoninumber, linn ja riik).
Identifitseerimine EP M365 keskkonnas toimub ainult e-posti aadressiga. Microsofti serverid töötlevad domeeninimesid, mille lõpp on Euroopa Parlamendi ombudsman.europa.eu ja mis suunatakse ümber Euroopa Parlamendi M365 keskkonda. Autentimine toimub ADFS (Microsoft Active Directory Federation Services) serveri kaudu ruumides, mis valideerib kasutajanime ja parooli Active Directory vastu ning võib mõnel juhul taotleda MFA-d. Makromajanduslikku finantsabi saab pakkuda e-posti, SMSi, häälkõne või mobiilirakenduse „Microsoft Authenticator“ kaudu.
2. Sisuandmed (CD): sisaldab mis tahes sisu, mille selle kasutajad on Microsoft 365 platvormile üles laadinud, näiteks dokumente ja multimeediat (nt videosalvestised). Kasutaja salvestab need andmed Microsoft 365-sse, kuid teenus neid muul viisil ei töötle.
3. Diagnostilised andmed (DD) (tuntud ka kui telemeetriaandmed): on seotud sellega, kuidas andmesubjekt kontoritarkvara kasutab. Need hõlmavad tehnilisi andmeid, mida kasutatakse teenuse jõudluse, usaldusväärsuse ja turvalisuse jälgimiseks, näiteks telemeetria ja süsteemi logid.
4. Teenuse loodud andmed (SGD): sisaldab teavet andmesubjektide internetipõhiste teenuste kasutamise kohta, eelkõige kasutaja IP-aadressi, loomise aega, saidi URLi ja kasutaja e-posti aadressi. Need andmed luuakse sündmustega, mis on seotud kasutaja tegevusega Microsoft 365-s. Sündmuste andmed võimaldavad jälgida iga kasutaja kogu tegevust pilvekeskkonnas.
M365 keskkonnateenuste osutamisel ja täitmisel kasutaja poolt töödeldakse ID-d kasutaja tuvastamiseks, CD-d töödeldakse teenuse osutamiseks ja luuakse SGD, et võimaldada teenuste edasist täiustamist.
Lisaks automatiseeritud töötlemisele, mis toimub siis, kui kasutajad kasutavad M365 keskkonda, võivad EO ICT-teenused või Microsoft töödelda isikuandmeid teenusetoimingute raames käsitsi, eelkõige IKT-turvahoiatuste ja -intsidentide uurimiseks.
2. Miks Euroopa Ombudsman neid isikuandmeid töötleb?
Ettevõtja töötajad on varustatud Microsoft 365 Office’i toodetega, et nad saaksid töötada mis tahes (ettevõtte) seadmes, ning see hõlbustab koostööd asutusesiseste ja -väliste sidusrühmadega.
See digitaalne töökoht võimaldab turvalist koostööd ja teabe jagamist ettevõtja töötajate ja kolmandate isikute, sealhulgas muude ELi institutsioonide ja asutuste, haldusasutuste, rahvusvaheliste organisatsioonide ja kodanike vahel.
Microsoft 365 pilvekeskkonna kasutuselevõtu peamised eesmärgid on määratletud järgmiselt:
• suurendada ettevõtja töötajate kaasatust;
• kaasata töötajaid ja suurendada motivatsiooni tulemusliku ja tõhusa digitaalse töökoha kaudu;
• Suurendada töötajate tootlikkust: võimaldada tootlikkuse suurendamist, pakkudes igale töötajale kõige sobivamat ja tõhusamat digitaalset töökohta;
• Võimaldada kaasaegsemat ja tõhusamat kontoriruumide projekteerimist;
• juurutada süsteemi rakendamise kaudu turvalise projekteerimise kontseptsioon.
3. Millised on nende andmete töötlemise õiguslikud alused ja vajadus?
Töötleme Teie isikuandmeid määruse 2018/1725 artikli 5 lõike 1 punkti a alusel („töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või liidu institutsiooni või organi avaliku võimu teostamiseks“).
Õiguslik alus on järgmine:
• Euroopa Ombudsmani ja Euroopa Parlamendi vahel 15. märtsil 2006 sõlmitud koostöö raamleping infotehnoloogia valdkonnas;
• Kokkulepe IKT turvalisuse valdkonna rakendusmeetmete kohta Euroopa Parlamendi ja Euroopa Ombudsmani 24. oktoobri 2024. aasta koostöö raamlepingu raames.
4. Kes vastutab andmete töötlemise eest?
Euroopa Ombudsmani haldusdirektoraat – protsessi- ja amp; dokumendihaldus, talitluspidevuse meeskond – IKT-töötajad.
5. Kes on andmete vastuvõtjad?
Sisemiste saajatena
Juurdepääs kasutajate isikuandmetele antakse ettevõtja töötajatele, kes vastutavad selle töötlemistoimingu tegemise eest (nt M365 EO administraatorid/EO LISO) ja volitatud töötajatele vastavalt teadmisvajaduse põhimõttele. Sellised töötajad järgivad seadusjärgseid ja vajaduse korral täiendavaid konfidentsiaalsuskokkuleppeid. Nende töötajate hulka kuuluvad määratud ettevõtja töötajad ja teenuseosutajad, kes on ametnike järelevalve all. Kogutud teavet ei anta kolmandatele isikutele, välja arvatud seadusega nõutud ulatuses ja eesmärgil.
Teenuste haldamise ja intsidentide haldamise puhul on kasutajate isikuandmete vastuvõtjad „EO LISO“ ning „DG ITEC – küberturvalisuse ja IT-halduse direktoraat“. Neil on juurdepääs identifitseerimisandmetele, diagnostilistele andmetele ja teenuse loodud andmetele, et uurida konkreetse kasutaja probleeme. Enamasti on neil juurdepääs koondandmetele ilma isikuandmeid mainimata. Turvaintsidentide korral (nt küberrünne, pahatahtlike failide tuvastamine) saajad on vajaduse korral ka ettevõtja LISO ning tehnoloogiliste uuenduste ja tugiteenuste peadirektoraadi, CERT-EU ja personaliosakonna töötajad.
Väliste saajatena:
Külaliseks kutsutud füüsilised isikud on ka sellise teabe saajad, millele on antud juurdepääs.
Töötlejana
Microsoft Ireland ja selle alamtöötlejad.
Töötlemist teostab Microsoft (töötlejana) ettevõtja nimel. Ülekanded andmekategooriate kaupa: Microsofti töötajad haldavad andmebaase Microsofti pilveserverites ja nende alamtöötlejate personali teadmisvajaduse alusel. Kokku on lepitud alamtöötlejate loetelus. Microsoft kohustub sõlmima kõigi alamtöötlejatega kirjalikud lepingud, mis on andmekaitse ja -turbe seisukohast vähemalt sama piiravad kui nende andmetöötlusleping Euroopa Komisjoniga. Kõigi alamtöötlejate tegevust auditeeritakse kolmandate isikute poolt.
6. Kui kaua andmeid säilitatakse?
Ettevõtja kohaldab Euroopa Parlamendi andmete säilitamise tähtaegu, mis on sätestatud tema dokumendis „Digitaalsed töökohateenused – Microsoft EP M365 keskkonna pakkumine pilvepõhise koostööplatvormina“[5].
Identifitseerimisandmed:
Ettevõtja säilitab teie isikuandmeid ainult nii kaua, kui see on vajalik kogumise eesmärgi täitmiseks või edasiseks töötlemiseks. Ettevõtja säilitab andmeid seni, kuni kasutajakonto on aktiveeritud või kui kasutajad ei ole otsustanud oma kontolt isikuandmeid eemaldada või kustutada. Kui kasutajakonto on deaktiveeritud (nt ettevõtjaga sõlmitud töölepingu lõpetamise korral säilitatakse identifitseerimisandmeid 90 päeva (3 kuud) pärast sellist deaktiveerimist.
Sisuandmed
CD-d säilitatakse kuni 30 päeva pärast tellimuse aegumist/lõpetamist. Tellimus tühistatakse 60 päeva pärast seda, kui kasutaja on ettevõtja juurest lahkunud, et see vastaks kolmekuulisele üldisele säilitamisperioodile.
Diagnostilised andmed
DD-d säilitatakse kuni 5 aastat alates loomise kuupäevast.
Teenuse loodud andmed
SGD-d säilitatakse kuni 180 päeva alates kogumisest. Toetuse puhul kasutatavad SGD ja ID: kustutatakse pärast Microsofti ärieesmärkide täitmist või taotluse korral.
7. Kuidas me teie andmeid kaitseme?
Isikuandmete kaitsmiseks on kehtestatud mitu tugevat lepingulist kaitsemeedet, mida täiendavad tehnilised ja korralduslikud meetmed.
Lisaks Microsofti üldisele poliitikale kaitsta isikuandmeid pseudonüümimise ja krüpteerimise abil maandatakse ohtu, et Microsoft Ireland ja tema sidusettevõtjad avaldavad isikuandmeid kolmandate riikide ametiasutustele, kohandatud lepingutingimuste ning tehnilise ja korraldusliku mõõtmisega. Lepingulised sätted käsitlevad seda, kuidas Microsoft vastab juurdepääsutaotlustele, piirates isikuandmetega seotud riske.
Tehnilised meetmed hõlmavad asjakohaseid meetmeid võrguturvalisuse, andmete kaotsimineku ohu, andmete muutmise või loata juurdepääsu käsitlemiseks, võttes arvesse töötlemisest ja töödeldavate isikuandmete laadist tulenevat ohtu.
Korralduslikud meetmed hõlmavad isikuandmetele juurdepääsu piiramist üksnes volitatud isikutega, kellel on õiguspärane vajadus neid teada kõnealuse töötlemistoimingu eesmärgil.
Isikuandmete loata avalikustamise võimaliku ohu vähendamiseks võib Euroopa Komisjon institutsioonidevahelise litsentsilepingu (ILA) juhtiva hankijana nõuda Microsoftilt teavet selle kohta, kas isikuandmeid on avalikustatud liikmesriigi ametiasutusele, kolmanda riigi ametiasutusele, rahvusvahelisele organisatsioonile või muule juriidilisele või füüsilisele isikule, ning kui see on nii, siis milliseid meetmeid on Microsoft või tema alltöötlejad vastuseks võtnud. Seejärel edastab Euroopa Komisjon saadud elemendid igale vahelepingus osalevale EUI-le (seoses nende enda isikuandmete töötlemise toimingutega), sealhulgas ettevõtjale;
8. Millised on teie õigused ja kuidas neid kasutada?
Teil on õigus tutvuda oma isikuandmetega ja asjakohase teabega selle kohta, kuidas ettevõtja neid kasutab.
Samuti on teil õigus nõuda teid puudutavate ebatäielike või ebatäpsete andmete parandamist. Identifitseerimisandmeid saate igal ajal parandada. Teil on õigus igal ajal vaidlustada oma andmete kasutamine ettevõtja poolt teie konkreetse olukorraga seotud põhjustel. Teatavatel tingimustel on teil õigus nõuda, et ettevõtja kustutaks teie isikuandmed või piiraks nende kasutamist.
Ettevõtja vastab teie taotlustele võimalikult kiiresti ja hiljemalt ühe kuu jooksul.
9. Kellega võtta ühendust andmekaitseküsimustega seotud päringute või kaebuste korral?
Võite igal ajal saata andmekaitsega seotud küsimusi Microsoft 365 kasutamise kohta pilvepõhise koostööplatvormina ettevõtja büroos järgmisel aadressil:
Euroopa Ombudsman
Haldusdirektoraat
1 avenue du Président Robert Schuman
CS 30403
F-67001 Strasbourg Cedex
icteo-personaldataprotection@ombudsman.europa.eu
Samuti võite võtta ühendust Euroopa Parlamendiga järgmisel e-posti aadressil: itec-operations-personal-data-protection@europarl.europa.eu
Samuti võite võtta ühendust ettevõtja büroo andmekaitseametnikuga järgmisel aadressil: DPO-Euro-Ombudsman@ombudsman.europa.eu
Võite igal ajal esitada kaebuse Euroopa Andmekaitseinspektorile järgmisel aadressil: www.edps.europa.eu
[1] Microsoft Corporationi (MSFT) privaatsuspoliitika ja muud asjakohased poliitikad on kättesaadavad aadressil https://privacy.microsoft.com/en-us/privacystatement.
[2] Euroopa Parlamendi tehnoloogiliste uuenduste ja tugiteenuste peadirektoraat on rakendanud tehnilisi meetmeid, et keelata diagnostikaandmete jagamine väliste osapooltega, sealhulgas Microsoftiga. Sellest hoolimata kogub tehnoloogiliste uuenduste ja tugiteenuste peadirektoraat klienditarkvara kohta büroodiagnostilisi andmeid parlamendi andmekeskustes hallatavas andmebaasis enda toe eesmärgil.
[3] https://www.europarl.europa.eu/data-protect/reportPdf/printPreview.do;jsessionid=988682E4D25A24890CED6F2D0DEB9510?väljund=pdf&lang=EN&prefix=V3&nr=645
[4] Microsoft Corporationi (MSFT) privaatsuspoliitika ja muud asjakohased poliitikad on kättesaadavad aadressil https://privacy.microsoft.com/en-us/privacystatement.
[5] https://www.europarl.europa.eu/data-protect/reportPdf/printPreview.do;jsessionid=988682E4D25A24890CED6F2D0DEB9510?väljund=pdf&lang=EN&prefix=V3&nr=645