EDPS: Komisija in Microsoft 365
Evropski nadzornik za varstvo podatkov (EDPS) je v preiskavi ugotovil, da je Evropska komisija z uporabo Microsoft 365 kršila več ključnih pravil varstva podatkov in izrekel korektivne ukrepe.
Odločitev je bila objavljena 11.3.2024
EDPS je ugotovil, da je Komisija kršila več določb Uredbe (EU) 2018/1725 o varstvu podatkov za institucije, organe, urade in agencije EU (EUI), vključno s pravili o prenosih osebnih podatkov izven EU/Evropskega gospodarskega prostora (EGP). Komisija predvsem ni izvedla ustreznih varnostnih ukrepov, da bi zagotovila, da so osebni podatki, preneseni izven EU/EGP, deležni enake ravni zaščite, kot je zagotovljena znotraj EU/EGP. Poleg tega Komisija v svoji pogodbi z Microsoftom ni ustrezno določila, katere vrste osebnih podatkov se pri uporabi Microsoft 365 zbirajo in za katere namene se uporabljajo. Kršitve Komisije kot upravljavca podatkov se nanašajo tudi na obdelavo podatkov, vključno s prenosi podatkov, ki so izvedenimi v njenem imenu.
Wojciech Wiewiórowski, predstavnik EDPS, je dejal: "Odgovornost institucij, organov, pisarn in agencij EU je, da zagotovijo, da so vsi postopki obdelave osebnih podatkov izven in znotraj EU/EGP, vključno s storitvami v oblaku, podvrženi strogim varnostnim ukrepom in ukrepom za varstvo podatkov. To je nujno za zagotavljanje, da so informacije posameznikov, kadarkoli se njihovi podatki obdelujejo s strani ali v imenu EU, zaščitene, kot je zahtevano z Uredbo (EU) 2018/1725."
EDPS je zato Komisiji odredil, da z 9. decembrom 2024 ukine vse prenose podatkov, ki jih povzroča uporaba Microsoft 365. Microsoft in njegovi povezani podizvajalci, ki se nahajajo v državah izven EU/EGP, ki niso pokrite s sklepom o ustreznosti, do podatkov niso upravičeni. EDPS je Komisiji naročil še, da mora obdelavo podatkov pri uporabi Microsoft 365 uskladiti z Uredbo (EU) 2018/1725. Komisija mora dokazati skladnost z obema ukrepoma do 9. decembra 2024.
EDPS meni, da so korektivni ukrepi, ki jih je odredil v svoji odločitvi, ustrezni, nujni in sorazmerni glede na resnost in trajanje ugotovljenih kršitev. Veliko ugotovljenih kršitev se nanaša na vse obdelave v sistemih Microsoft 365, ki jih izvaja Komisija ali se izvajajo v njenem imenu, in vpliva na veliko število posameznikov.
EDPS je ukrepe oblikoval tako, da ne ogrozi zmožnosti Komisije za izvajanje njenih nalog v javnem interesu ali za izvajanje uradne pristojnosti. Glede na obsežnost obdelav je določil tudi razumne časovne roke za izvedbo predvidene prekinitve prenosa podatkov in uskladitev obdelave podatkov z Uredbo (EU) 2018/1725.
Celota odločitev je na voljo tukaj
Vir: EDPS
