Korzystanie przez Komisję Europejską z Microsoft 365 narusza przepisy dotyczące ochrony danych osobowych
W wyniku dochodzenia Europejski Inspektor Ochrony Danych ustalił, że Komisja Europejska naruszyła kilka kluczowych zasad ochrony danych podczas korzystania z Microsoft 365. W swojej decyzji EIOD nałożył na KE środki naprawcze.
EIOD stwierdził, że Komisja naruszyła kilka przepisów rozporządzenia (UE) 2018/1725, unijnego prawa o ochronie danych dla instytucji, organów, urzędów i agencji UE (EUI), w tym przepisów dotyczących przekazywania danych osobowych poza UE/europejskie Obszar Gospodarczy (EOG). W szczególności Komisja nie zapewniła odpowiednich zabezpieczeń gwarantujących, że dane osobowe przekazywane poza UE/EOG będą objęte zasadniczo równoważnym poziomem ochrony, jaki jest gwarantowany w UE/EOG.
– czytamy w komunikacie Komisji Europejskiej.
Ponadto w umowie z Microsoft Komisja nie określiła w wystarczającym stopniu, jakie rodzaje danych osobowych mają być gromadzone podczas korzystania z Microsoft 365 oraz w jakim celu. Naruszenia Komisji jako administratora danych dotyczą również przetwarzania danych, w tym przekazywania danych osobowych.
Do obowiązków instytucji, organów, urzędów i agencji UE należy dopilnowanie, aby wszelkie przetwarzanie danych osobowych poza UE/EOG i wewnątrz UE, w tym w kontekście usług w chmurze, towarzysyły solidne gwarancje i środki ochrony danych. Jest to konieczne, aby zapewnić ochronę informacji o osobach fizycznych zgodnie z wymogami rozporządzenia (UE) 2018/1725 w każdym przypadku, gdy ich dane są przetwarzane przez instytucje UE lub w ich imieniu.
– podkreślił Europejski Inspektor Ochrony Danych Wojciech Wiewiórowski.
Środki naprawcze
W związku z tym EIOD nakazał Komisji, ze skutkiem od dnia 9 grudnia 2024 r., zawieszenie wszystkich przepływów danych do firmy Microsoft oraz jej podmiotów stowarzyszonych i podwykonawców znajdujących się w krajach spoza UE/EOG. EIOD zdecydował się również nakazać Komisji dostosowanie operacji przetwarzania danych wynikających z korzystania przez niego z platformy Microsoft 365 do rozporządzenia (UE) 2018/1725.
Komisja musi wykazać zgodność z obydwoma zarządzeniami do dnia 9 grudnia 2024 r.
EIOD uważa, że wprowadzone przez niego środki naprawcze są konieczne i proporcjonalne w świetle powagi i czasu trwania stwierdzonych naruszeń. Wiele ze stwierdzonych naruszeń dotyczy wszystkich operacji przetwarzania przeprowadzanych przez Komisję lub w jej imieniu podczas korzystania z Microsoft 365 i wpływa na dużą liczbę osób fizycznych.
MD/źródło: EDPS