Federal ve eyalet hükümetlerinin veri koruma konferansında (DSK), yetkililer, okullar ve şirketler gibi kurumların kolaylıkla “Microsoft Office 365’i yasal olarak uyumlu bir şekilde kullanamayacakları” defalarca dile getirildi. Bu nedenle sorumluların, özellikle bulut bağlantılı ofis uygulamalarına yönelik pakete ilişkin sipariş işleme gereksinimleri söz konusu olduğunda mutlaka ek koruyucu önlemler alması gerekir. Eylül ortasında göreve başlayan Aşağı Saksonya’nın veri koruma sorumlusu Denis Lehmkemper, diğer altı denetleyici makamla birlikte bir bildiri yayınladı. Müfettişler öncelikle, DSK’nın “sorun analizi” anlamında Microsoft ile sözleşmeye dayalı değişiklikler yapılması konusunda sorumlu yetkilileri desteklemek istiyor.
Reklamcılık
“Özel önlemler”
Uygulayıcılar öncelikle MS 365’e yönelik veri koruma gerekliliklerinin “yalnızca yazılımın üreticisi ve dağıtıcısı olarak Microsoft’u değil, aynı zamanda onu “veri korumasından sorumlu olanlar olarak” kullanan kamu ve özel kurumları da hedef aldığını açıklıyor. 21 sayfa. Microsoft ile yapılan sözleşme hüküm ve koşullarındaki değişiklikler veya eklemeler, doğal olarak yazılım şirketinin bunları sözleşme ortağı olarak kabul etmesine bağlıdır. Bununla birlikte, tartışmalı “Microsoft Ürünleri ve Hizmetleri Veri Koruma Eki”nde (DPA) veri korumasına uygun anlaşmalar yapılması için baskı yapmak “kendilerine sunulan tüm seçenekleri kullanmak” sorumlularının sorumluluğundadır.
Makaleye göre özellikle silme sürelerinin sözleşmeye göre ayarlanması, yani genel olarak kısaltılması gerekiyor. İstisnalar “kısıtlı ve belirtilmiş” olmalıdır. Gerekirse kendi silme süreçlerinize “özel önlemlerin” dahil edilmesi gerekmektedir. Denetçiler ayrıca alt işleyicilerin kullanımına ilişkin bilgi için gerekli gereksinimleri de açıklar. Örneğin, isim ve adreslerinin yanı sıra irtibat kurulacak kişinin ayrıntılarının da listelenmesi gerekir. Ayrıca, söz konusu işlemenin bir açıklaması ve sorumlulukların ve sorumluluk paylaşımlarının net bir şekilde belirlenmesi de dahil olmak üzere ilgili ürün veya işlevin açık bir adı da gereklidir.
Teknik ve organizasyonel önlemlerin uygulanması
Bir diğer önemli husus da Microsoft’un kendi ticari amaçları doğrultusunda işlemeyi nasıl ele aldığıdır. Burada sorumlu kişinin öncelikle üreticinin hangi kişisel verileri ne ölçüde topladığını ve muhtemelen değerlendirdiğini açıklaması gerekir. Daha sonra bu bilgilerin sunulmasına yönelik yasal bir temelin olup olmadığı değerlendirilmelidir. Böyle bir dayanağın bulunamadığı tüm işleme amaçları “sözleşmeye bağlı olarak hariç tutulmalı ve teknik olarak engellenmelidir”. Microsoft’un kendi amaçlarına yönelik tüm izin tabanlı işleme operasyonlarının “yapılandırma yoluyla etkinleştirilebilmesi ve devre dışı bırakılabilmesi” gerekir. Müfettişler henüz yeni transatlantik veri koruma çerçevesinin potansiyel etkilerini ele almıyor.
Genel Veri Koruma Yönetmeliği’nin (GDPR) 32. Maddesi uyarınca teknik ve organizasyonel önlemlerin uygulanmasına da odaklanılmaktadır: Bu nedenle sözleşme, kullanıcı verilerine ek olarak hangi kişisel bilgilerin güvenliği sağlamaya hizmet ettiğini belirtmelidir. Sorumlu kişi içerik verilerini kendisi adlandırabilir. Oturum açma veya teşhis verilerini listelemek için muhtemelen Microsoft’un desteğine ihtiyaç duyacaktır. Ayrıca hangi bilgilerin, nasıl “sorun giderme” ve “güvenliği artırma” amacıyla kullanıldığı da açıklığa kavuşturulmalıdır. Genel olarak sorumlular, Microsoft ürünlerinin kendi BT yapılarında çalıştırılmasına olanak tanıyan çözümlerin değerlendirilip değerlendirilemeyeceğini kontrol etmelidir. Veri koruma görevlileri, takma adlı e-posta adreslerinin kullanılmasını, özel Microsoft hesaplarının kullanımının yasaklanmasını ve iş alanlarında “Kendi cihazını getir” (BYOD) konseptini şiddetle tavsiye etmektedir.
(benim)
Haberin Sonu
Reklamcılık
“Özel önlemler”
Uygulayıcılar öncelikle MS 365’e yönelik veri koruma gerekliliklerinin “yalnızca yazılımın üreticisi ve dağıtıcısı olarak Microsoft’u değil, aynı zamanda onu “veri korumasından sorumlu olanlar olarak” kullanan kamu ve özel kurumları da hedef aldığını açıklıyor. 21 sayfa. Microsoft ile yapılan sözleşme hüküm ve koşullarındaki değişiklikler veya eklemeler, doğal olarak yazılım şirketinin bunları sözleşme ortağı olarak kabul etmesine bağlıdır. Bununla birlikte, tartışmalı “Microsoft Ürünleri ve Hizmetleri Veri Koruma Eki”nde (DPA) veri korumasına uygun anlaşmalar yapılması için baskı yapmak “kendilerine sunulan tüm seçenekleri kullanmak” sorumlularının sorumluluğundadır.
Makaleye göre özellikle silme sürelerinin sözleşmeye göre ayarlanması, yani genel olarak kısaltılması gerekiyor. İstisnalar “kısıtlı ve belirtilmiş” olmalıdır. Gerekirse kendi silme süreçlerinize “özel önlemlerin” dahil edilmesi gerekmektedir. Denetçiler ayrıca alt işleyicilerin kullanımına ilişkin bilgi için gerekli gereksinimleri de açıklar. Örneğin, isim ve adreslerinin yanı sıra irtibat kurulacak kişinin ayrıntılarının da listelenmesi gerekir. Ayrıca, söz konusu işlemenin bir açıklaması ve sorumlulukların ve sorumluluk paylaşımlarının net bir şekilde belirlenmesi de dahil olmak üzere ilgili ürün veya işlevin açık bir adı da gereklidir.
Teknik ve organizasyonel önlemlerin uygulanması
Bir diğer önemli husus da Microsoft’un kendi ticari amaçları doğrultusunda işlemeyi nasıl ele aldığıdır. Burada sorumlu kişinin öncelikle üreticinin hangi kişisel verileri ne ölçüde topladığını ve muhtemelen değerlendirdiğini açıklaması gerekir. Daha sonra bu bilgilerin sunulmasına yönelik yasal bir temelin olup olmadığı değerlendirilmelidir. Böyle bir dayanağın bulunamadığı tüm işleme amaçları “sözleşmeye bağlı olarak hariç tutulmalı ve teknik olarak engellenmelidir”. Microsoft’un kendi amaçlarına yönelik tüm izin tabanlı işleme operasyonlarının “yapılandırma yoluyla etkinleştirilebilmesi ve devre dışı bırakılabilmesi” gerekir. Müfettişler henüz yeni transatlantik veri koruma çerçevesinin potansiyel etkilerini ele almıyor.
Genel Veri Koruma Yönetmeliği’nin (GDPR) 32. Maddesi uyarınca teknik ve organizasyonel önlemlerin uygulanmasına da odaklanılmaktadır: Bu nedenle sözleşme, kullanıcı verilerine ek olarak hangi kişisel bilgilerin güvenliği sağlamaya hizmet ettiğini belirtmelidir. Sorumlu kişi içerik verilerini kendisi adlandırabilir. Oturum açma veya teşhis verilerini listelemek için muhtemelen Microsoft’un desteğine ihtiyaç duyacaktır. Ayrıca hangi bilgilerin, nasıl “sorun giderme” ve “güvenliği artırma” amacıyla kullanıldığı da açıklığa kavuşturulmalıdır. Genel olarak sorumlular, Microsoft ürünlerinin kendi BT yapılarında çalıştırılmasına olanak tanıyan çözümlerin değerlendirilip değerlendirilemeyeceğini kontrol etmelidir. Veri koruma görevlileri, takma adlı e-posta adreslerinin kullanılmasını, özel Microsoft hesaplarının kullanımının yasaklanmasını ve iş alanlarında “Kendi cihazını getir” (BYOD) konseptini şiddetle tavsiye etmektedir.
(benim)
Haberin Sonu