Η Ευρωπαϊκή Επιτροπή δέχθηκε επίπληξη για παραβίαση των κανονισμών προστασίας δεδομένων κατά τη χρήση του Microsoft 365. Η επίπληξη ήρθε από τον Ευρωπαϊκό Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ – EDPS) και αποτελεί το αποκορύφωμα μιας έρευνας που ξεκίνησε τον Μάιο του 2021, μετά την απόφαση Schrems II.
Σύμφωνα με τον EDPS, η ΕΚ παραβίασε διάφορους κανονισμούς προστασίας δεδομένων, συμπεριλαμβανομένων των κανόνων γύρω από τη μεταφορά προσωπικών δεδομένων εκτός της ΕΕ/του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ).
Ειδικότερα, η Επιτροπή παρέλειψε να παράσχει τις κατάλληλες εγγυήσεις για να διασφαλίσει ότι τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται εκτός ΕΕ/ΕΟΧ έχουν ουσιαστικά ισοδύναμο επίπεδο προστασίας με αυτό που διασφαλίζεται στην ΕΕ/ΕΟΧ. Επιπλέον, στη σύμβασή της με τη Microsoft, η Επιτροπή δεν διευκρίνισε επαρκώς ποιοι τύποι δεδομένων προσωπικού χαρακτήρα θα συλλέγονται και για ποιους ρητούς και καθορισμένους σκοπούς κατά τη χρήση του Microsoft 365.
Αν και οι ανησυχίες αφορούν περισσότερο τα θεσμικά όργανα της ΕΕ και τη διαφάνεια, θα πρέπει επίσης να χρησιμεύσουν ως προειδοποίηση για κάθε εταιρεία που δραστηριοποιείται στην ΕΕ/τον ΕΟΧ να εξετάσει πολύ προσεκτικά τον τρόπο με τον οποίο έχει διαμορφώσει το Microsoft 365 όσον αφορά τους κανονισμούς της ΕΕ για την προστασία δεδομένων.
Ο Wojciech Wiewiórowski, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, δήλωσε:
Είναι ευθύνη των θεσμικών οργάνων, οργανισμών, φορέων και υπηρεσιών της ΕΕ (ΕΕΥ) να διασφαλίζουν ότι κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα εκτός και εντός της ΕΕ/ΕΟΧ, συμπεριλαμβανομένης της επεξεργασίας στο πλαίσιο υπηρεσιών που βασίζονται στο νέφος, συνοδεύεται από ισχυρές εγγυήσεις και μέτρα προστασίας δεδομένων. Αυτό είναι επιβεβλημένο για να διασφαλιστεί η προστασία των πληροφοριών των φυσικών προσώπων.
Η Ευρωπαϊκή Επιτροπή διατάχθηκε να αναστείλει όλες τις ροές δεδομένων μέσω της χρήσης του Microsoft 365 προς τη Microsoft και κάθε παρακλάδι της που μπορεί να βρίσκεται εκτός ΕΕ/ΕΟΧ και δεν καλύπτεται από απόφαση επάρκειας. Η ΕΚ πρέπει επίσης να καταστήσει συμβατές τις διαδικασίες επεξεργασίας με το Microsoft 365 και έχει προθεσμία έως τις 9 Δεκεμβρίου 2024 για να αποδείξει τη συμμόρφωση.
Η τελευταία εντολή δίνει μια εικόνα της σοβαρότητας των παραβάσεων. Οι διορθωτικές ενέργειες προκειμένου να διασφαλιστεί η συμμόρφωση περιλαμβάνουν μια άσκηση χαρτογράφησης των διαβιβάσεων για να προσδιοριστεί ποια δεδομένα προσωπικού χαρακτήρα διαβιβάζονται σε ποιους αποδέκτες σε ποιες τρίτες χώρες και να διασφαλιστεί ότι οι τύποι των δεδομένων προσωπικού χαρακτήρα προσδιορίζονται επαρκώς σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία.
Σύμφωνα με τα ευρήματα του ΕDPS:
Πολλές από τις διαπιστωθείσες παραβάσεις αφορούν όλες τις πράξεις επεξεργασίας που πραγματοποιεί η Επιτροπή, ή για λογαριασμό της, κατά τη χρήση του Microsoft 365 και επηρεάζουν μεγάλο αριθμό ατόμων.
Το πρόβλημα φαίνεται να βρίσκεται περισσότερο στο κατώφλι της Ευρωπαϊκής Επιτροπής και στον τρόπο με τον οποίο χρησιμοποιεί το Microsoft 365 παρά στην ίδια τη Microsoft. Εκπρόσωπος της τελευταίας δήλωσε:
Οι πελάτες μας στην Ευρώπη μπορούν να συνεχίσουν να χρησιμοποιούν το Microsoft 365 σε πλήρη συμμόρφωση με τον GDPR και μπορούν να βασίζονται στη συνεχή υποστήριξη και καθοδήγηση μας. Οι ανησυχίες που εξέφρασε ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων αφορούν σε μεγάλο βαθμό τις αυστηρότερες απαιτήσεις διαφάνειας βάσει του EUDPR, ενός νόμου που ισχύει μόνο για τα θεσμικά όργανα της Ευρωπαϊκής Ένωσης. Θα επανεξετάσουμε την απόφαση του EDPS και θα συνεργαστούμε με την Ευρωπαϊκή Επιτροπή για την αντιμετώπιση των υπόλοιπων ανησυχιών.
*Η κεντρική εικόνα προέρχεται από τον ev on Unsplash
[Europa]
