FOR PREVIEWING & TESTING PURPOSES ONLY.
This notification will disappear once the page will be published.
This link is available for less than 30 minutes.
  • Helppolukuinen aineisto
  • Tekstin koko

Haluatko tehdä kantelun EU:n toimielimestä tai elimestä?

Nykyinen kieli: 
  • Suomi
Lähdekieli: 
Saatavilla olevat kieliversiot: 
Tämä sivu on konekäännetty.
Konekäännökset voivat sisältää virheitä, jotka saattavat heikentää selkeyttä ja tarkkuutta. Oikeusasiamies ei vastaa mahdollisista epäjohdonmukaisuuksista. Tietojen luotettavuus ja oikeusvarmuus varmistuvat lukemalla edellä linkitetty lähdekielinen versio (englanti).
Lisätietoja on kieli- ja käännöskäytännöissämme.

Microsoft 365:n käyttö pilvipohjaisena yhteistyöalustana Euroopan oikeusasiamiehen toimistossa

Johdanto

Tässä tietueessa kuvataan Euroopan oikeusasiamiehen suorittama henkilötietojen käsittely Euroopan parlamentin hallinnoiman pilvipohjaisen yhteistyöalustan Microsoft 365:n käytön yhteydessä. Järjestelmän avulla talouden toimijan henkilöstö voi viestiä, tehdä yhteistyötä ja tehdä työtään turvallisessa ja tehokkaassa digitaalisessa ympäristössä talouden toimijan hallinnollisten ja toiminnallisten tarpeiden mukaisesti.

1. Tämän tietueen viimeisin päivitys:

2. Viitenumero:

Ares viitenumero: Ares(2025)5458397

3. Rekisterinpitäjien nimet ja yhteystiedot:

· Euroopan oikeusasiamies, 1 avenue du Président Robert Schuman, CS 30403, F-67001 Strasbourg Cedex -

Yhteydenotot: Hallinto-, prosessi- ja vahvistinosasto, asiakirjahallinto, toiminnan jatkuvuus

Toiminnallinen postilaatikko: icteo-personaldataprotection@ombudsman.europa.eu

Vastaava osasto: Prosessi & asiakirjojen hallinta, liiketoiminnan jatkuvuus Tiimi- ICT-henkilöstö

· Euroopan parlamentin ITEC-pääosasto

Talouden toimijan käyttämää Microsoft 365 -ympäristöä isännöi ja hallinnoi teknisesti Euroopan parlamentin innovoinnin ja teknisen tuen pääosasto (DG ITEC) yhteistyötä koskevan puitesopimuksen ja sen täytäntöönpanojärjestelyn ehtojen mukaisesti. Innovoinnin ja teknisen tuen pääosasto tarjoaa infrastruktuuria ja teknistä tukea, mutta Euroopan oikeusasiamies on edelleen talouden toimijan yhteydessä käsiteltävien henkilötietojen rekisterinpitäjä. Toimielimet tekevät tiivistä yhteistyötä varmistaakseen Microsoft 365 -palvelujen turvallisen ja vaatimustenmukaisen käytön.

Sähköposti: itec-operations-personal-data-protection@europarl.europa.eu

4. Tietosuojavastaavan nimi ja yhteystiedot:

Tietosuojavastaava – Francesca Pavesi

Varatietosuojavastaava: Nicholas Hernanz

Toiminnallinen postilaatikko: Dpo-Euro-Ombudsman@ombudsman.europa.eu

5. Henkilötietojen käsittelijän nimi ja yhteystiedot:

Microsoft Ireland South County Business Park, One Microsoft Place, Carmanhall and Leopardstown, Dublin, D18 P521, Irlanti [1]

6. Yhteisrekisterinpitäjän (yhteisrekisterinpitäjien) nimi ja yhteystiedot/ Ei sovelleta

7. Käsittelyn tarkoitus (tarkoitukset):

Talouden toimijan henkilöstölle tarjotaan Microsoft 365 Office -tuotteita, jotta se voi työskennellä millä tahansa (yrityksen) laitteella ja helpottaa yhteistyötä sisäisten ja ulkoisten sidosryhmien kanssa.

Käsittelyn lyhyt kuvaus:

Microsoft 365 -järjestelmä on pilvijärjestelmä, joka voi tarjota palveluja Platform-as-a-Service (PaaS)- ja Software-as-a-Service (SaaS) -pilvipalvelumallien mukaisesti. Sen on suunnitellut, sitä käyttää ja ylläpitää Microsoft Cloud Service Provider (CSP) -roolissaan.

Tämä digitaalinen työpaikka mahdollistaa turvallisen yhteistyön ja tietojen jakamisen talouden toimijan henkilöstön ja kolmansien osapuolten välillä, mukaan lukien muut EU:n toimielimet ja virastot, julkishallinnot, kansainväliset järjestöt ja kansalaiset.

Microsoft 365 -pilviympäristön käyttöönoton keskeiset tavoitteet on määritelty seuraavasti:

• lisätä talouden toimijan henkilöstön sitoutumista;

• sitouttaa työntekijöitä ja lisätä motivaatiota tehokkaan ja toimivan digitaalisen työpaikan avulla

• Lisätään henkilöstön tuottavuutta: mahdollistetaan tuottavuuden parantaminen tarjoamalla kullekin henkilöstön jäsenelle sopivin ja tehokkain digitaalinen työpaikka. 

• Mahdollistetaan nykyaikaisempi ja tehokkaampi toimistotilojen suunnittelu.

• Ota käyttöön "Secure-By-Design" -konsepti järjestelmän toteutuksen kautta.

Talouden toimijan näkökulmasta Microsoft 365:een liittyviä tärkeimpiä käsittelytoimia ovat sen palvelujen tarjoaminen talouden toimijan henkilöstölle, tehtävien helpottaminen ja koordinointi talouden toimijan eri osastojen ja yksiköiden välillä sekä näiden palvelujen hallinnointi Microsoft 365 -ympäristössä käsiteltävien henkilötietojen luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi.

Talouden toimija voi erityisesti käsitellä Microsoft 365:n kautta tallennettuja ja vaihdettuja tietoja, mukaan lukien henkilötietoja, seuraavissa keskeisissä liiketoimintaprosesseissa:

• Microsoft 365 -sovelluksen identiteetin ja käyttöoikeuksien hallinta;

• Henkilötietojen tietoturvaloukkausten hallinta;

• turvallisuustapahtumien ja -poikkeamien seuranta ja kirjaaminen;

• Rekisteröidyn oikeuksien hallinta;

• Asiakastuen hallinta;

• tietojen käyttöoikeuksien hallinta;

• yhteistyö ja tiedostojen vaihto;

• Sivuston hallinnointi; 

• Ulkoinen pääsynhallinta;

• Virtuaalikokousten ja puhelinneuvottelujen järjestäminen

• Chat-pohjainen yhteistyö;

• Projektien ja tehtävien hallinta;

• Toimintoilmoitus loppukäyttäjälle;

• Sähköpostien vaihto;

• Diagnostisten tietojen käsittely;

• Mobiililaitteiden ja sovellusten hallinta.

8. Rekisteröityjen ryhmien ja henkilötietoryhmien kuvaus:

Rekisteröidyt:

- Talouden toimijan sisäinen

Kaikki talouden toimijan työntekijät (virkamiehet, edustajat, harjoittelijat), jotka käyttävät Microsoft 365 -palvelua.

- Ulkopuolinen talouden toimija

Kaikki työntekijät ja muut yhteistyökumppanit, joille on myönnetty käyttöoikeus käyttää Microsoft 365 -palvelua vieraina.

Henkilötietoluokat:

1. Tunnistetiedot : sisältää henkilötietoja, joita tarvitaan käyttäjän ja vastaavan käyttäjätilin asianmukaiseen tunnistamiseen, mukaan lukien tyhjentävästi seuraavat tiedot:

• Käyttäjän henkilötiedot (nimi, suku- ja etunimi)

• EO käyttäjätunnus, sähköpostiosoite ja tilin tila

• Toimintoon liittyvät tiedot (yksikkö, toimiston osoite ja puhelinnumero, kaupunki ja maa).

Tunnistus EP M365 -ympäristössä tehdään vain sähköpostiosoitteella. Microsoftin palvelimet käsittelevät verkkotunnuksia, joiden lopussa on EP:n oikeusasiamies.europa.eu ja jotka ohjataan EP:n M365-ympäristöön. Todentaminen tapahtuu ADFS (Microsoft Active Directory Federation Services) -palvelimen kautta paikan päällä, joka validoi käyttäjänimen ja salasanan Active Directorya vastaan ja voi joissain tapauksissa pyytää MFA:ta. Makrotaloudellinen rahoitusapu voidaan toimittaa sähköpostitse, tekstiviestinä, äänipuheluna tai Microsoft Authenticator -mobiilisovelluksen kautta.

2. Sisältötiedot (CD): sisältää kaiken käyttäjien Microsoft 365 -alustalle lataaman sisällön, kuten asiakirjat ja multimedian (esim. videotallenteet). Käyttäjä tallentaa nämä tiedot Microsoft 365:een, mutta palvelu ei muutoin käsittele niitä.

3. Diagnostiset tiedot (DD) (tunnetaan myös nimellä telemetriatiedot) liittyvät siihen, miten rekisteröidyt käyttävät toimistoasiakasohjelmistoja [2]. Ne sisältävät teknisiä tietoja, joita käytetään palvelun suorituskyvyn, luotettavuuden ja turvallisuuden seurantaan, kuten telemetria ja järjestelmälokit.

4. Palvelun tuottama data (SGD): sisältää tietoja rekisteröityjen verkkopalvelujen käytöstä, erityisesti käyttäjän IP-osoitteen, luontiajan, sivuston URL-osoitteen ja käyttäjän sähköpostiosoitteen. Nämä tiedot syntyvät tapahtumista, jotka liittyvät käyttäjän toimintaan Microsoft 365:ssä. Tapahtumatietojen avulla voidaan seurata kaikkea toimintaa kunkin käyttäjän pilviympäristössä.

M365-ympäristöpalvelujen tarjoamisen ja suorittamisen aikana tunniste käsitellään käyttäjän tunnistamiseksi, CD käsitellään palvelun tarjoamiseksi ja SGD luodaan palvelujen tulevien parannusten mahdollistamiseksi.

M365-ympäristöä käytettäessä tapahtuvan automaattisen käsittelyn lisäksi EO ICT -palvelut tai Microsoft voivat käsitellä henkilötietoja manuaalisesti palvelutoimintojen yhteydessä, ennen kaikkea tieto- ja viestintätekniikan turvallisuushälytysten ja -poikkeamien tutkimiseksi.

9. Tietojen säilyttämisen ja mahdollisuuksien mukaan poistamisen määräaika:

Talouden toimija soveltaa EP:n tietojen säilytysaikoja, jotka on vahvistettu sen asiakirjassa Digital Workplace Services – Provision of Microsoft EP M365 environment as a cloud-based collaborative platform [3].

Tunnistetiedot:

Talouden toimija säilyttää käyttäjien henkilötietoja vain niin kauan kuin on tarpeen keräämisen tai jatkokäsittelyn tarkoituksen täyttämiseksi. Talouden toimija säilyttää tietoja niin kauan kuin käyttäjätili on aktivoitu tai jos käyttäjät eivät ole päättäneet poistaa tai poistaa henkilötietoja tililtään. Kun käyttäjän tili on poistettu käytöstä (esim. talouden toimijan kanssa tehdyn työsopimuksen irtisanominen), tunnistetietoja säilytetään kolmen kuukauden ajan deaktivoinnin jälkeen.

Sisältötiedot

CD-levyä säilytetään enintään 30 päivää tilauksen päättymisen jälkeen. Tilaus peruutetaan 60 päivän kuluttua siitä, kun käyttäjä poistuu EO: sta, jotta se vastaisi kolmen kuukauden yleistä säilytysaikaa.

Palvelun tuottama data

SGD:tä säilytetään enintään 180 päivää keräyksestä. Tuessa käytetty SGD ja ID: poistetaan Microsoftin liiketoimintatarkoitusten täyttämisen jälkeen tai pyynnöstä.

Diagnostiset tiedot

DD:tä säilytetään enintään 5 vuotta sen luomispäivästä.

4. Palvelun tuottamat tiedot (SGD)

Tietoja säilytetään enintään 180 päivää niiden keräämisestä. Kun sitä käytetään tukitarkoituksiin, se poistetaan, kun Microsoftin liiketoimintatarkoitukset on täytetty tai sitä on pyydetty.

10. Tietojen vastaanottajat:

Sisäisinä vastaanottajina

Pääsy henkilötietoihin annetaan tämän käsittelytoimen suorittamisesta vastaavalle talouden toimijan henkilöstölle (esim. M365:n talouden toimijan hallinnoijat/EO LISO) ja valtuutetulle henkilöstölle tiedonsaantitarpeen periaatteen mukaisesti. Tällainen henkilöstö noudattaa lakisääteisiä ja tarvittaessa muita salassapitosopimuksia. Näihin henkilöstön jäseniin kuuluvat nimitetty talouden toimijan henkilöstö ja virkamiesten valvonnassa olevat palveluntarjoajat. Kerättyjä tietoja ei luovuteta kolmansille osapuolille, paitsi lain edellyttämässä laajuudessa ja siinä tarkoituksessa.

Palvelujen hallinnoinnin ja poikkeamien hallinnan osalta vastaanottajia ovat EO LISO ja ITEC-pääosaston kyberturvallisuudesta ja tietotekniikan hallinnosta vastaava osasto. He voivat käyttää tunnistetietoja, diagnostisia tietoja ja palvelun tuottamia tietoja tietyn käyttäjän ongelmien tutkimiseksi. Useimmiten he käyttävät yhdistettyjä tietoja mainitsematta henkilötietoja. Turvallisuuspoikkeamien (esim. kyberhyökkäys, haitallisten tiedostojen tunnistaminen) osalta vastaanottajia ovat tarvittaessa myös toimeenpanovallan käyttäjä LISO ja innovoinnin ja teknisen tuen pääosasto, CERT-EU ja henkilöstöhallinnon ja turvallisuustoiminnan henkilöstö.

Jalostajana

Microsoft Ireland ja sen alihankkijana toimivat käsittelijät.

Käsittelyn suorittaa Microsoft (prosessorina) EO:n puolesta. Siirrot tietoluokittain: Microsoftin henkilöstö hallinnoi tietokantoja Microsoftin pilvipalvelimilla ja niiden alikäsittelijöiden henkilöstöllä tiedonsaantitarpeen perusteella. Alihankkijana toimivien henkilötietojen käsittelijöiden luettelosta on sovittu. Microsoft sitoutuu tekemään kaikkien alihankkijana toimivien käsittelijöiden kanssa kirjalliset sopimukset, jotka ovat vähintään yhtä rajoittavia tietosuojan ja tietoturvan kannalta kuin niiden EY:n (Euroopan komission) kanssa tekemä tietojenkäsittelysopimus. Kaikkien alihankkijana toimivien käsittelijöiden toiminta kuuluu kolmannen osapuolen suorittamien tarkastusten piiriin.

Microsoft IRELAND voi siirtää henkilötietoja Yhdysvaltoihin (ks. kohta 11 jäljempänä) tai mihin tahansa muuhun maahan, jossa Microsoft tai sen alihankkijana toimivat käsittelijät toimivat. Nämä tiedonsiirrot tapahtuvat Microsoft IRELANDilta Microsoft Corp:lle Yhdysvaltoihin ja Microsoftin alihankkijoille.

Ulkopuolisina vastaanottajina:

Vieraiksi kutsutut luonnolliset henkilöt ovat myös niiden tietojen vastaanottajia, joihin on myönnetty pääsy.

11. Siirretäänkö henkilötietoja kolmansiin maihin ja/tai kansainvälisille järjestöille? :

Kyllä: katso lisätietoja EP:n tietueesta:

https://www.europarl.europa.eu/data-protect/reportPdf/printPreview.do;jsessionid=988682E4D25A24890CED6F2D0DEB9510?output=pdf&lang=EN&prefix=V3&nr=645

”Kaikki sähköisessä muodossa olevat henkilötiedot (sähköpostiviestit, asiakirjat, tietokannat, ladatut tietoerät jne.) tallennetaan joko parlamentin datakeskuksen palvelimille tai Microsoftin datakeskuksiin EU:ssa (linkki parlamentin M365-ympäristöön).

Vaikka Microsoftin tuotteet on konfiguroitu käsittelemään henkilötietoja muualla EU:ssa/ETA:ssa, Microsoftilla tai talouden toimijalla ei ole käytännön keinoja vaikuttaa internetin kautta välitettävien tietojen reititykseen.

Lisäksi talouden toimija ei rajoita alueita, joilta käyttäjät voivat käyttää talouden toimijan tietoteknisiä palveluja (esim. käyttäjät, jotka matkustavat EU:n/ETA:n ulkopuolella ja käyttävät kyseisiä palveluja) tai joille käyttäjät voivat lähettää tietoja (esim. Yhdysvaltoihin sijoittautuneille vastaanottajille lähetetyt viestit/tiedot).

Talouden toimija ei siirrä henkilötietoja suoraan kolmansiin maihin. Toimielinten välisen lisenssisopimuksen (ILA) nojalla tapahtuvien siirtojen tietojen viejä on henkilötietojen käsittelijä (Microsoft Ireland Operations Ltd.) ja tietojen tuoja alihankkijana toimiva käsittelijä (Microsoft Corp.). Rajoitettuja henkilötietoja saatetaan siirtää Yhdysvaltoihin Microsoftille tietojen käsittelijänä ja/tai sen alikäsittelijöinä.

Siirtoon sovelletaan asianmukaisia suojatoimia (48 artiklan 2 ja 3 kohta) eli tässä tapauksessa EY:n hyväksymiä tietosuojaa koskevia vakiolausekkeita. Siirtoväline: vakiosopimuslausekkeet (väliaikainen ratkaisu) ja lisätoimenpiteet.”

12. Turvatoimien yleinen kuvaus:

Henkilötietojen suojaamiseksi on otettu käyttöön useita vahvoja sopimukseen perustuvia suojatoimia, joita on täydennetty teknisillä ja organisatorisilla toimenpiteillä.

Sen lisäksi, että Microsoft noudattaa yleistä käytäntöä henkilötietojen suojaamisesta pseudonymisoinnin ja salauksen avulla, riskiä siitä, että Microsoft Ireland ja sen tytäryhtiöt luovuttavat henkilötietoja kolmansien maiden viranomaisille, lievennetään räätälöidyillä sopimusmääräyksillä sekä teknisillä ja organisatorisilla mittareilla. Sopimusmääräyksissä käsitellään tapaa, jolla Microsoft vastaa käyttöoikeuspyyntöihin, ja rajoitetaan henkilötietoihin kohdistuvia riskejä.

Teknisiin toimenpiteisiin kuuluvat asianmukaiset toimet, joilla puututaan verkkoturvallisuuteen, tietojen häviämisen riskiin, tietojen muuttamiseen tai luvattomaan käyttöön, ottaen huomioon käsittelyn aiheuttama riski ja käsiteltävien henkilötietojen luonne.

Organisatorisiin toimenpiteisiin kuuluu pääsyn rajoittaminen henkilötietoihin ainoastaan valtuutetuille henkilöille, joilla on perusteltu tarve saada tietoja tätä käsittelytoimea varten.

Käsitelläkseen henkilötietojen luvattoman luovuttamisen mahdollisia riskejä Euroopan komissio voi toimielinten välisen lisenssisopimuksen johtavana hankintaviranomaisena pyytää Microsoftilta tietoja siitä, onko henkilötietoja luovutettu jäsenvaltion viranomaiselle, kolmannen maan viranomaiselle, kansainväliselle järjestölle tai muulle oikeushenkilölle tai luonnolliselle henkilölle, ja jos on, mihin toimiin Microsoft tai sen alihankkijat ovat ryhtyneet vastauksena. Tämän jälkeen komissio ilmoittaa vastaanotetut tiedot kullekin ILA:han osallistuvalle EUI:lle (niiden omien henkilötietojen käsittelytoimien osalta), mukaan lukien EO;

13. Tiedot siitä, miten rekisteröidyt voivat käyttää oikeuttaan tutustua tietoihin ja oikaista niitä sekä tarvittaessa poistaa ne, rajoittaa niiden käyttöä ja siirtää tiedot järjestelmästä toiseen:

Rekisteröidyillä on oikeus tutustua omiin henkilötietoihinsa ja asiaankuuluviin tietoihin siitä, miten talouden toimija käyttää niitä. Heillä on myös oikeus pyytää itseään koskevien puutteellisten tai virheellisten tietojen oikaisemista. He voivat oikaista tunnistetietoja milloin tahansa menettelyn aikana. Heillä on oikeus milloin tahansa vastustaa sitä, että talouden toimija käyttää heidän tietojaan heidän erityiseen tilanteeseensa liittyvistä syistä. Heillä on tietyin edellytyksin oikeus pyytää, että talouden toimija poistaa heidän henkilötietonsa tai rajoittaa niiden käyttöä.

He voivat milloin tahansa pyytää talouden toimijalta tietoja henkilötietojensa käsittelystä sähköpostitse osoitteesta icteo-personaldataprotection@ombudsman.europa.eu tai ottamalla yhteyttä hallinto-, prosessi- ja vahvistinosastoon, asiakirjahallintoon ja toiminnan jatkuvuudesta vastaavaan yksikköön.

Rekisteröidyt voivat myös ottaa yhteyttä Euroopan parlamentin innovoinnin ja teknisen tuen pääosastoon sähköpostitse: ITEC-OPERATIONS-personal-data-protection@europarl.europa.eu

Talouden toimija vastaa pyyntöihin mahdollisimman pian ja viimeistään kuukauden kuluessa.

He voivat myös ottaa yhteyttä Euroopan oikeusasiamiehen tietosuojavastaavaan: dpo-euro-ombudsman@ombudsman.europa.eu Jos he haluavat valittaa siitä, miten oikeusasiamies on käsitellyt heidän henkilötietojaan, he voivat ottaa yhteyttä Euroopan tietosuojavaltuutettuun (www.edps.europa.eu).

Tietosuojaseloste Microsoft 365:n käytöstä pilvipohjaisena yhteistyöalustana Euroopan oikeusasiamiehen toimistossa

Tässä tietosuojaselosteessa selitetään käsittelyn syy, tapa, jolla Euroopan oikeusasiamies kerää, käsittelee ja varmistaa kaikkien toimitettujen henkilötietojen suojan, miten näitä tietoja käytetään ja mitä oikeuksia rekisteröidyt voivat käyttää tietoihinsa liittyen.

Tässä tietosuojaselosteessa kuvataan, miten talouden toimija käsittelee henkilötietoja Euroopan parlamentin hallinnoiman pilvipohjaisen yhteistyöalustan Microsoft 365:n käytön yhteydessä. Järjestelmän avulla talouden toimijan henkilöstö voi viestiä, tehdä yhteistyötä ja tehdä työtään turvallisessa ja tehokkaassa digitaalisessa ympäristössä talouden toimijan hallinnollisten ja toiminnallisten tarpeiden mukaisesti.

Rekisterinpitäjät ovat talouden toimija ja Euroopan parlamentin ITEC-pääosasto. Talouden toimijan käyttämää Microsoft 365 -ympäristöä isännöi ja hallinnoi teknisesti Euroopan parlamentin innovoinnin ja teknisen tuen pääosasto (DG ITEC) yhteistyötä koskevan puitesopimuksen ja sen täytäntöönpanojärjestelyn ehtojen mukaisesti. Vaikka innovoinnin ja teknisen tuen pääosasto tarjoaa infrastruktuurin ja teknisen tuen, talouden toimija on edelleen talouden toimijan yhteydessä käsiteltävien henkilötietojen rekisterinpitäjä. Toimielimet tekevät tiivistä yhteistyötä varmistaakseen Microsoft 365 -palvelujen turvallisen ja vaatimustenmukaisen käytön.

1. Mitä henkilötietoja Euroopan oikeusasiamies käsittelee?

Käsittelyn suorittaa Microsoft (prosessorina) talouden toimijan puolesta [4].

Microsoft 365 erottaa seuraavat tietoluokat:

1. Tunnistetiedot (ID): sisältää henkilötietoja, joita tarvitaan käyttäjän ja vastaavan käyttäjätilin asianmukaiseen tunnistamiseen, mukaan lukien tyhjentävästi:

• Käyttäjän henkilötiedot (nimi, suku- ja etunimi)

• EO käyttäjätunnus, sähköpostiosoite ja tilin tila

• Toimintoon liittyvät tiedot (yksikkö, toimiston osoite ja puhelinnumero, kaupunki ja maa).

Tunnistus EP M365 -ympäristössä tehdään vain sähköpostiosoitteella. Microsoftin palvelimet käsittelevät verkkotunnuksia, joiden lopussa on EP:n oikeusasiamies.europa.eu ja jotka ohjataan EP:n M365-ympäristöön. Todentaminen tapahtuu ADFS (Microsoft Active Directory Federation Services) -palvelimen kautta paikan päällä, joka validoi käyttäjänimen ja salasanan Active Directorya vastaan ja voi joissain tapauksissa pyytää MFA:ta. Makrotaloudellinen rahoitusapu voidaan toimittaa sähköpostitse, tekstiviestinä, äänipuheluna tai Microsoft Authenticator -mobiilisovelluksen kautta.

2. Sisältötiedot (CD): sisältää kaiken käyttäjien Microsoft 365 -alustalle lataaman sisällön, kuten asiakirjat ja multimedian (esim. videotallenteet). Käyttäjä tallentaa nämä tiedot Microsoft 365:een, mutta palvelu ei muutoin käsittele niitä.

3. Diagnostiset tiedot (DD) (tunnetaan myös nimellä telemetriatiedot): liittyvät siihen, miten rekisteröidyt käyttävät toimistoasiakasohjelmistoja. Ne sisältävät teknisiä tietoja, joita käytetään palvelun suorituskyvyn, luotettavuuden ja turvallisuuden seurantaan, kuten telemetria ja järjestelmälokit.

4. Palvelun tuottama data (SGD): sisältää tietoja rekisteröityjen verkkopalvelujen käytöstä, erityisesti käyttäjän IP-osoitteen, luontiajan, sivuston URL-osoitteen ja käyttäjän sähköpostiosoitteen. Nämä tiedot syntyvät tapahtumista, jotka liittyvät käyttäjän toimintaan Microsoft 365:ssä. Tapahtumatietojen avulla voidaan seurata kaikkea toimintaa kunkin käyttäjän pilviympäristössä.

M365-ympäristöpalvelujen tarjoamisen ja suorittamisen aikana tunniste käsitellään käyttäjän tunnistamiseksi, CD käsitellään palvelun tarjoamiseksi ja SGD luodaan palvelujen tulevien parannusten mahdollistamiseksi.

M365-ympäristöä käytettäessä tapahtuvan automaattisen käsittelyn lisäksi EO ICT -palvelut tai Microsoft voivat käsitellä henkilötietoja manuaalisesti palvelutoimintojen yhteydessä, ennen kaikkea tieto- ja viestintätekniikan turvallisuushälytysten ja -poikkeamien tutkimiseksi.

2. Miksi Euroopan oikeusasiamies käsittelee näitä henkilötietoja?

Talouden toimijan henkilöstölle tarjotaan Microsoft 365 Office -tuotteita, jotta se voi työskennellä millä tahansa (yrityksen) laitteella ja helpottaa yhteistyötä sisäisten ja ulkoisten sidosryhmien kanssa.

Tämä digitaalinen työpaikka mahdollistaa turvallisen yhteistyön ja tietojen jakamisen talouden toimijan henkilöstön ja kolmansien osapuolten välillä, mukaan lukien muut EU:n toimielimet ja virastot, julkishallinnot, kansainväliset järjestöt ja kansalaiset.

Microsoft 365 -pilviympäristön käyttöönoton keskeiset tavoitteet on määritelty seuraavasti:

• lisätä talouden toimijan henkilöstön sitoutumista;

• sitouttaa työntekijöitä ja lisätä motivaatiota tehokkaan ja toimivan digitaalisen työpaikan avulla

• Lisätään henkilöstön tuottavuutta: mahdollistetaan tuottavuuden parantaminen tarjoamalla kullekin henkilöstön jäsenelle sopivin ja tehokkain digitaalinen työpaikka. 

• Mahdollistetaan nykyaikaisempi ja tehokkaampi toimistotilojen suunnittelu.

• Ota käyttöön "Secure-By-Design" -konsepti järjestelmän toteutuksen kautta.

3. Mitkä ovat näiden tietojen käsittelyn oikeusperustat ja tarpeellisuus?

Käsittelemme henkilötietojasi asetuksen 2018/1725 5 artiklan 1 kohdan a alakohdan perusteella (”käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai unionin toimielimelle tai elimelle kuuluvan julkisen vallan käyttämiseksi”).

Oikeusperusta on seuraava:

• Euroopan oikeusasiamies ja Euroopan parlamentti allekirjoittivat 15. maaliskuuta 2006 puitesopimuksen yhteistyöstä tietotekniikan alalla.

• Järjestely täytäntöönpanotoimenpiteistä tieto- ja viestintätekniikan turvallisuuden alalla 24. lokakuuta 2024 tehdyn Euroopan parlamentin ja Euroopan oikeusasiamiehen yhteistyötä koskevan puitesopimuksen yhteydessä.

4. Kuka on vastuussa tietojen käsittelystä?

Talouden toimijan hallinto-osasto – prosessit ja vahvistimet; asiakirjojen hallinta, toiminnan jatkuvuus – tieto- ja viestintätekniikan henkilöstön jäsenet.

5. Ketkä ovat tietojen vastaanottajia?

Sisäisinä vastaanottajina

Pääsy käyttäjien henkilötietoihin annetaan tämän käsittelytoimen suorittamisesta vastaavalle talouden toimijan henkilöstölle (esim. M365:n talouden toimijan hallinnoijat/EO LISO) ja valtuutetulle henkilöstölle tiedonsaantitarpeen periaatteen mukaisesti. Tällainen henkilöstö noudattaa lakisääteisiä ja tarvittaessa muita salassapitosopimuksia. Näihin henkilöstön jäseniin kuuluvat nimitetty talouden toimijan henkilöstö ja virkamiesten valvonnassa olevat palveluntarjoajat. Kerättyjä tietoja ei luovuteta kolmansille osapuolille, paitsi lain edellyttämässä laajuudessa ja siinä tarkoituksessa.

Palvelujen hallinnoinnin ja poikkeamien hallinnan osalta käyttäjien henkilötietojen vastaanottajia ovat ”EO LISO” ja ”ITEC-pääosaston kyberturvallisuudesta ja tietotekniikan hallinnosta vastaava osasto”. He voivat käyttää tunnistetietoja, diagnostisia tietoja ja palvelun tuottamia tietoja tietyn käyttäjän ongelmien tutkimiseksi. Useimmiten he käyttävät yhdistettyjä tietoja mainitsematta henkilötietoja. Turvallisuuspoikkeamien osalta (esim. kyberhyökkäys, haitallisten tiedostojen tunnistaminen) vastaanottajia ovat tarvittaessa myös pääjohtaja LISO ja innovoinnin ja teknisen tuen pääosasto, CERT-EU ja henkilöstöhallinnon ja turvallisuustoiminnan henkilöstö.

Ulkopuolisina vastaanottajina:

Vieraiksi kutsutut luonnolliset henkilöt ovat myös niiden tietojen vastaanottajia, joihin on myönnetty pääsy.

Jalostajana

Microsoft Ireland ja sen alihankkijana toimivat käsittelijät.

Käsittelyn suorittaa Microsoft (prosessorina) EO:n puolesta. Siirrot tietoluokittain: Microsoftin henkilöstö hallinnoi tietokantoja Microsoftin pilvipalvelimilla ja niiden alikäsittelijöiden henkilöstöllä tiedonsaantitarpeen perusteella. Alihankkijana toimivien henkilötietojen käsittelijöiden luettelosta on sovittu. Microsoft sitoutuu tekemään kaikkien alihankkijana toimivien käsittelijöiden kanssa kirjalliset sopimukset, jotka ovat vähintään yhtä rajoittavia tietosuojan ja tietoturvan kannalta kuin niiden tietojenkäsittelysopimus Euroopan komission kanssa. Kaikkien alihankkijana toimivien käsittelijöiden toiminta kuuluu kolmannen osapuolen suorittamien tarkastusten piiriin.

6. Kuinka kauan tietoja säilytetään?

Talouden toimija soveltaa Euroopan parlamentin tietojen säilytysaikoja, jotka on vahvistettu sen asiakirjassa ”Digitaaliset työpaikkapalvelut – Microsoft EP M365 -ympäristön tarjoaminen pilvipohjaisena yhteistyöalustana”[5].

Tunnistetiedot:

Rekisterinpitäjä säilyttää henkilötietojasi vain niin kauan kuin on tarpeen tietojen keräämisen tai jatkokäsittelyn tarkoituksen täyttämiseksi. Talouden toimija säilyttää tietoja niin kauan kuin käyttäjätili on aktivoitu tai jos käyttäjät eivät ole päättäneet poistaa tai poistaa henkilötietoja tililtään. Kun käyttäjän tili on deaktivoitu (esim. talouden toimijan kanssa tehdyn työsopimuksen irtisanominen), tunnistetietoja säilytetään 90 päivää (3 kuukautta) deaktivoinnin jälkeen.

Sisältötiedot

CD-levyä säilytetään enintään 30 päivää tilauksen päättymisen jälkeen. Tilaus peruutetaan 60 päivän kuluttua siitä, kun käyttäjä poistuu EO: sta, jotta se vastaisi kolmen kuukauden yleistä säilytysaikaa.

Diagnostiset tiedot

DD:tä säilytetään enintään 5 vuotta sen luomispäivästä.

Palvelun tuottama data

SGD:tä säilytetään enintään 180 päivää keräyksestä. Tuessa käytetty SGD ja ID: poistetaan Microsoftin liiketoimintatarkoitusten täyttämisen jälkeen tai pyynnöstä.

7. Miten suojaamme tietosi?

Henkilötietojen suojaamiseksi on otettu käyttöön useita vahvoja sopimukseen perustuvia suojatoimia, joita on täydennetty teknisillä ja organisatorisilla toimenpiteillä.

Sen lisäksi, että Microsoft noudattaa yleistä käytäntöä henkilötietojen suojaamisesta pseudonymisoinnin ja salauksen avulla, riskiä siitä, että Microsoft Ireland ja sen tytäryhtiöt luovuttavat henkilötietoja kolmansien maiden viranomaisille, lievennetään räätälöidyillä sopimusmääräyksillä sekä teknisillä ja organisatorisilla mittareilla. Sopimusmääräyksissä käsitellään tapaa, jolla Microsoft vastaa käyttöoikeuspyyntöihin, ja rajoitetaan henkilötietoihin kohdistuvia riskejä.

Teknisiin toimenpiteisiin kuuluvat asianmukaiset toimet, joilla puututaan verkkoturvallisuuteen, tietojen häviämisen riskiin, tietojen muuttamiseen tai luvattomaan käyttöön, ottaen huomioon käsittelyn aiheuttama riski ja käsiteltävien henkilötietojen luonne.

Organisatorisiin toimenpiteisiin kuuluu pääsyn rajoittaminen henkilötietoihin ainoastaan valtuutetuille henkilöille, joilla on perusteltu tarve saada tietoja tätä käsittelytoimea varten.

Voidakseen puuttua henkilötietojen luvattoman luovuttamisen mahdollisiin riskeihin komissio voi toimielinten välisen lisenssisopimuksen johtavana hankintaviranomaisena pyytää Microsoftilta tietoja siitä, onko henkilötietoja luovutettu jäsenvaltion viranomaiselle, kolmannen maan viranomaiselle, kansainväliselle järjestölle tai muulle oikeushenkilölle tai luonnolliselle henkilölle, ja jos on, mihin toimiin Microsoft tai sen alihankkijat ovat ryhtyneet vastauksena. Tämän jälkeen komissio ilmoittaa vastaanotetut tiedot kullekin ILA:han osallistuvalle EUI:lle (niiden omien henkilötietojen käsittelytoimien osalta), mukaan lukien EO;

8. Mitkä ovat oikeutesi ja miten voit käyttää niitä?

Sinulla on oikeus tutustua omiin henkilötietoihisi ja asiaankuuluviin tietoihin siitä, miten talouden toimija käyttää niitä.

Sinulla on myös oikeus pyytää sinua koskevien puutteellisten tai virheellisten tietojen oikaisemista. Voit korjata tunnistetietoja milloin tahansa. Sinulla on oikeus milloin tahansa henkilökohtaiseen erityiseen tilanteeseesi liittyvällä perusteella vastustaa tietojesi käyttöä EO:ssa. Sinulla on tietyin edellytyksin oikeus pyytää, että rekisterinpitäjä poistaa henkilötietosi tai rajoittaa niiden käyttöä.

Talouden toimija vastaa pyyntöihisi mahdollisimman pian ja viimeistään kuukauden kuluessa.

9. Keneen voi ottaa yhteyttä tietosuojakysymyksiin liittyvissä tiedusteluissa tai valituksissa?

Voit milloin tahansa lähettää tietosuojaan liittyviä kysymyksiä Microsoft 365:n käytöstä pilvipohjaisena yhteistyöalustana talouden toimijan toimistossa seuraavaan osoitteeseen:

Euroopan oikeusasiamies

Hallinto-osasto

1 avenue du Président Robert Schuman

CS 30403

F-67001 Strasbourg Cedex

icteo-personaldataprotection@ombudsman.europa.eu

Voit myös ottaa yhteyttä Euroopan parlamenttiin seuraavaan sähköpostiosoitteeseen: itec-operations-personal-data-protection@europarl.europa.eu

Voit myös ottaa yhteyttä Euroopan oikeusasiamiehen toimiston tietosuojavastaavaan seuraavaan osoitteeseen: DPO-Euro-Ombudsman@ombudsman.europa.eu

Voit tehdä kantelun Euroopan tietosuojavaltuutetulle milloin tahansa seuraavassa osoitteessa: www.edps.europa.eu

 

[1] Microsoft Corporationin (MSFT) tietosuojakäytäntö ja muut asiaankuuluvat käytännöt ovat saatavilla osoitteessa https://privacy.microsoft.com/fi-us/privacystatement

[2] Euroopan parlamentin innovoinnin ja teknisen tuen pääosasto on soveltanut teknisiä toimenpiteitä estääkseen diagnostisten tietojen jakamisen ulkopuolisten osapuolten, kuten Microsoftin, kanssa. ITEC-pääosasto kerää kuitenkin asiakasohjelmistoa koskevia Office Diagnostic Data -tietoja omia tukitarkoituksiaan varten parlamentin datakeskuksissa ylläpidettävään tietokantaan.

[3] https://www.europarl.europa.eu/data-protect/reportPdf/printPreview.do;jsessionid=988682E4D25A24890CED6F2D0DEB9510?output=pdf&lang=EN&prefix=V3&nr=645

[4] Microsoft Corporationin (MSFT) tietosuojakäytäntö ja muut asiaankuuluvat käytännöt ovat saatavilla osoitteessa https://privacy.microsoft.com/fi-us/privacystatement

[5] https://www.europarl.europa.eu/data-protect/reportPdf/printPreview.do;jsessionid=988682E4D25A24890CED6F2D0DEB9510?output=pdf&lang=EN&prefix=V3&nr=645

 

Mitä mieltä olet tästä konekäännöksestä? Anna meille palautetta