Microsoft 365 – Datenschutzbewertung in Kanada
Übersetzung mit Deepl:
Die folgenden Abschnitte und ihre Informationsanforderungen bilden den Mindestinhalt der zentralen Datenschutz-Folgenabschätzung (PIA) für das Projekt des Amtes des Datenschutzbeauftragten (OPC) zur Implementierung der Microsoft 365-Suite cloudbasierter Software-as-a-Service-Anwendungen (M365-Cloud-Services).
Das Ziel einer Cloud-Service-Implementierung ist die Modernisierung der Technologie, die das OPC derzeit verwendet, um die Arbeitsabläufe des Amtes zu verbessern, indem zusätzliche Funktionen und Merkmale bereitgestellt werden, die über die derzeitigen Vor-Ort-Produkte des OPC hinausgehen. Diese Implementierung wird es dem OPC ermöglichen, ein effizientes und effektives Informationsmanagement zur Unterstützung der OPC-Programme und -Dienstleistungen zu erreichen. Außerdem steht sie im Einklang mit der Strategie, den Richtlinien und Leitlinien der kanadischen Regierung zur Einführung der Cloud.
Leiter der Einrichtung – Datenschutzfolgenabschätzung und Cloud-Projekt
Einrichtung der kanadischen Regierung: Büro des Datenschutzbeauftragten von Kanada
Für die zentrale Datenschutz-Folgenabschätzung verantwortlicher Regierungsbeamter: Sue Lajoie, Leitende Datenschutzbeauftragte
Leiterin der staatlichen Einrichtung / Beauftragte für Abschnitt 10 des Datenschutzgesetzes: Sue Lajoie, Beauftragte für den Datenschutz
Leitender Beamter für das M365-Cloud-Implementierungsprojekt: Sébastien Delisle-Côté, Hauptinformationsbeauftragter
Name und Beschreibung der staatlichen Einrichtung
Der OPC ist ein Vertreter des Parlaments, dessen Aufgabe es ist, den Schutz und die Förderung der Rechte auf Privatsphäre zu überwachen. Dazu gehört auch die Sicherstellung der Einhaltung des Privacy Act durch die staatlichen Einrichtungen im Hinblick auf den Umgang mit personenbezogenen Daten. Darüber hinaus überwacht das OPC die Einhaltung des Personal Information Protection and Electronic Documents Act (PIPEDA), des kanadischen Bundesgesetzes zum Schutz der Privatsphäre im privaten Sektor.
Das OPC erfüllt sein Mandat durch Aktivitäten wie die Untersuchung von Datenschutzbeschwerden, Forschung, Durchführung von Audits, Einleitung von Gerichtsverfahren, Berichterstattung an die Öffentlichkeit und Förderung des öffentlichen Bewusstseins durch Outreach-Initiativen. Als staatliche Einrichtung unterliegt das OPC auch den Bestimmungen des Privacy Act und des Access to Information Act.
Rechtliche Befugnisse
Das OPC ist gemäß dem Privacy Act und dem PIPEDA befugt, Beschwerden entgegenzunehmen und zu untersuchen, Prüfungen durchzuführen und andere Aktivitäten zum Schutz und zur Förderung der Datenschutzrechte von Personen zu unternehmen. Gemäß diesen Gesetzen ist das OPC rechtlich befugt, Informationen, einschließlich personenbezogener Daten, zu sammeln, zu verwenden und weiterzugeben, um seinen Auftrag zu erfüllen.
Das OPC ist gemäß Abschnitt 161 des Finanzverwaltungsgesetzes (Financial Administration Act) und den geltenden Richtlinien und Grundsätzen der TBS befugt, seine eigene informationstechnische Infrastruktur und seinen Informationsbestand zu verwalten.
Shared Services Canada ist gemäß Section 6 und 8 des Shared Services Canada Act und der Order in Council P.C. 2015-1071 vom 16. Juli 2015 ermächtigt, dem OPC Dienstleistungen im Zusammenhang mit der Informationstechnologie (IT) für Endnutzer zu erbringen; Dienstleistungen im Zusammenhang mit E-Mail, Dienstleistungen im Zusammenhang mit Rechenzentren und Dienstleistungen im Zusammenhang mit Netzwerken.
Im Einklang mit den Anforderungen des Finanzministeriums an die Nutzung von Cloud-Diensten durch staatliche Einrichtungen nimmt das OPC die Cyberverteidigungsdienste des Canadian Centre for Cyber Security (CCCS), einer Abteilung des Communications Security Establishment (CSE), in Anspruch. Der Communications Security Establishment Act ermächtigt das CSE ausdrücklich dazu, „Dienstleistungen zum Schutz der elektronischen Informations- und Informationsinfrastrukturen von Bundesinstitutionen zu erbringen“.Fußnote1 Darüber hinaus ist das CSE befugt, „Aktivitäten in oder über die globale Informationsinfrastruktur durchzuführen, um den Schutz der elektronischen Informations- und Informationsinfrastrukturen von Bundesinstitutionen zu unterstützen“.Fußnote2
Persönliche Informationsbanken
Das Datenschutzgesetz verlangt von staatlichen Einrichtungen, dass sie ihre Datenbanken mit personenbezogenen Daten und Klassen personenbezogener Daten identifizieren, beschreiben und darüber Bericht erstatten, um die Öffentlichkeit und ihre Mitarbeiter über die personenbezogenen Daten zu informieren, die das OPC zur Unterstützung seiner Funktionen und Aktivitäten sammelt, verwendet, aufbewahrt und entsorgt. M365 wird den Informationsbestand des OPC speichern: programm- und mitarbeiterbezogene Informationen, die personenbezogene Daten enthalten, die zur Unterstützung der Funktionen und Aktivitäten des OPC erhoben wurden. Die Implementierung von M365 beinhaltet eine Änderung in:
wer die personenbezogenen Daten des OPC speichert (d.h. Microsoft)
wo die personenbezogenen Daten gespeichert werden (d. h. in einem von Microsoft betriebenen externen Cloud-Speicher)
die Zwecke, für die die personenbezogenen Daten verarbeitet werden, da Microsoft die Verarbeitung personenbezogener Daten für seine eigenen Zwecke anerkennt
Das OPC verfügt derzeit über die folgenden Datenbanken mit personenbezogenen Daten:
Standard Personal Information Banks
| Program/Activity | PIB Number | Title |
|---|---|---|
| Acquisition Services | PSU 912 | Professional Services Contracts |
| Communications Services | PSU 915 | Internal Communications |
| PSU 914 | Public Communications | |
| Financial Management Services | PSU 931 | Accounts Payable |
| PSU 932 | Accounts Receivable | |
| PSU 940 | Acquisition Card | |
| Human Resources Management Services | PSE 920 | Recognition Program |
| PSE 902 | Staffing | |
| PSE 903 | Attendance and Leave | |
| PSE 904 | Pay and Benefits | |
| PSE 918 | Employment Equity and Diversity | |
| PSU 908 | Hospitality | |
| PSU 935 | Human Resources Planning | |
| PSU 933 | Canadian Human Rights Act – Complaints | |
| PSE 911 | Discipline | |
| PSE 910 | Grievances | |
| PSE 919 | Harassment | |
| PSE 907 | Occupational Health and Safety | |
| PSU 906 | Disclosure of Wrongdoing in the Workplace | |
| PSE 915 | Values and Ethics Code for the Public Sector/Organizational Codes of Conduct | |
| PSE 916 | Employee Assistance | |
| PSE 908 | Vehicle, Ship, Boat and Aircraft Accidents | |
| PSE 906 | Official Languages | |
| PSE 912 | Employee Performance Management Program | |
| PSU 911 | Applications for Employment | |
| PSE 901 | Employee Personnel Record | |
| PSU 934 | EX Talent Management | |
| PSU 917 | Personnel Security Screening | |
| PSU 910 | Relocation | |
| PSE 905 | Training and Development | |
| Information Management Services | PSU 901 | Access to Information Act and Privacy Act Requests |
| PSU 936 | Library Services | |
| Information Technology Services | PSU 905 | Electronic Network Monitoring |
| Management and Oversight Services | PSU 938 | Outreach Activities |
| PSU 902 | Executive Correspondence | |
| PSU 942 | Evaluation | |
| PSU 941 | Internal Audit | |
| Materiel Services | PSE 908 | Vehicle, Ship, Boat and Aircraft Accidents |
| Travel and Other Administrative Services | PSE 914 | Parking |
| PSU 918 | Governor in Council Appointments | |
| PSU 919 | Members of Boards, Committees and Councils | |
| PSU 903 | Business Continuity Planning | |
| PSU 923 | Disclosure to Investigative Bodies | |
| PSU 908 | Hospitality | |
| PSU 909 | Travel | |
| PSE 917 | Identification Cards and Access Badges | |
| PSU 906 | Disclosure of Wrongdoing in the Workplace | |
| PSU 917 | Personnel Security Screening | |
| PSU 939 | Security Incidents and Privacy Breaches | |
| PSU 907 | Security Video Surveillance and Temporary Visitor Access Controls Logs and Building Passes |
Institutional-specific Personal Information Banks
| Program/Activity | PIB Number | Title |
|---|---|---|
| Compliance Activities | OPC PPU 005 | Privacy Complaints and Investigations |
| OPC PPU 001 | Privacy-related enquiries | |
| OPC PPU 008 | Privacy Commissioner Ad Hoc – Complaints and Investigations | |
| OPC PPU 004 | Notifications to OPC – Public Interest Disclosure | |
| OPC PPU 006 | Notification to OPC Under PIPEDA Where Access to Personal Information Is Not Given | |
| Research and Policy Development | OPC PPU 003 | Publication Requests |
Risk area identification and categorization
| a) Type of program or activity | Risk scale | Applicable |
|---|---|---|
| Program or activity that does not involve a decision about an identifiable individual | 1 | Yes |
| Administration of program or activity and services | 2 | Yes |
| Compliance or regulatory investigations and enforcement | 3 | No |
| Criminal investigation and enforcement or national security | 4 | No |
| b) Type of personal information involved and context | Risk scale | Applicable |
|---|---|---|
| Only personal information, with no contextual sensitivities, collected directly from the individual or provided with the consent of the individual for disclosure under an authorized program. | 1 | Yes |
| Personal information, with no contextual sensitivities after the time of collection, provided by the individual with consent to also use personal information held by another source. | 2 | Yes |
| Social Insurance Number, medical, financial or other sensitive personal information or the context surrounding the personal information is sensitive; personal information of minors or of legally incompetent individuals or involving a representative acting on behalf of the individual. | 3 | Yes |
| Sensitive personal information, including detailed profiles, allegations or suspicions and bodily samples, or the context surrounding the personal information is particularly sensitive. | 4 | Yes |
| c) Program or activity partners and private sector involvement | Risk scale | Applicable |
|---|---|---|
| Within the institution (among one or more programs within the same institution) | 1 | Yes |
| With other government institutions | 2 | Yes |
| With other institutions or a combination of federal, provincial or territorial, and municipal governments | 3 | No |
| Private sector organizations, international organizations or foreign governments | 4 | Yes |
| d) Duration of the program or activity | Risk scale | Applicable |
|---|---|---|
| One-time program or activity | 1 | No |
| Short-term program or activity | 2 | No |
| Long-term program or activity | 3 | Yes |
| e) Program population | Risk scale | Applicable |
|---|---|---|
| The program’s use of personal information for internal administrative purposes affects certain employees. | 1 | No |
| The program’s use of personal information for internal administrative purposes affects all employees. | 2 | Yes |
| The program’s use of personal information for external administrative purposes affects certain individuals. | 3 | Yes |
| The program’s use of personal information for external administrative purposes affects all individuals. | 4 | No |
| f) Technology and Privacy (A YES response to any of the questions posed below indicates a potential privacy risk requiring consideration and, if necessary, mitigation) | ||
|---|---|---|
| Question | Yes | No |
| Does the new or substantially modified program or activity involve implementation of a new electronic system or the use of a new application or software, including collaborative software (or groupware), to support the program or activity in terms of the creation, collection or handling of personal information? | X | |
| Does the new or substantially modified program or activity require any modifications to information technology legacy systems? | X | |
| Does the new or substantially modified program or activity involve implementation of new technologies or one or more of the following activities? | ||
| Enhanced identification method | X | |
| Surveillance | X | |
| Automated personal information analysis, personal information matching and knowledge discovery techniques | X |
| g) Personal information transmission | Risk scale | Applicable |
|---|---|---|
| The personal information is used within a closed system (that is, no connections to the Internet, Intranet or any other system and the circulation of hardcopy documents is controlled). | 1 | No |
| The personal information is used in a system that has connections to at least one other system. | 2 | Yes |
| The personal information is transferred to a portable device (that is, USB key, diskette, laptop computer), transferred to a different medium or is printed. | 3 | Yes |
| The personal information is transmitted using wireless technologies. | 4 | Yes |
| h) Impact of a privacy breach on the individual or employee | ||
|---|---|---|
| Question | Yes | No |
| Potential risk that in the event of a privacy breach, there will be an impact on the individual or employee. | X |
| i) Impact of a privacy breach on the institution Comment | ||
|---|---|---|
| Question | Yes | No |
| Potential risk that in the event of a privacy breach, there will be an impact on the institution. | X |
Footnotes
Footnote 1
Communications Security Establishment Act, S.C. 2019, c 13 (CSE Act), s. 17
Return to footnote1Footnote 2
CSE Act, s. 18(a)