UE

Korzystanie przez Komisję Europejską z Microsoft 365 narusza przepisy dotyczące ochrony danych osobowych

23.07.2024
Kamil Śliwiński
Czas czytania: 2 minut/y

W wyniku dochodzenia Europejski Inspektor Ochrony Danych ustalił, że Komisja Europejska naruszyła kilka kluczowych zasad ochrony danych podczas korzystania z Microsoft 365. W swojej decyzji EIOD nałożył na KE środki naprawcze.

EIOD stwierdził, że Komisja naruszyła kilka przepisów rozporządzenia (UE) 2018/1725, unijnego prawa o ochronie danych dla instytucji, organów, urzędów i agencji UE (EUI), w tym przepisów dotyczących przekazywania danych osobowych poza UE/europejskie Obszar Gospodarczy (EOG). W szczególności Komisja nie zapewniła odpowiednich zabezpieczeń gwarantujących, że dane osobowe przekazywane poza UE/EOG będą objęte zasadniczo równoważnym poziomem ochrony, jaki jest gwarantowany w UE/EOG.

– czytamy w komunikacie Komisji Europejskiej.

Ponadto w umowie z Microsoft Komisja nie określiła w wystarczającym stopniu, jakie rodzaje danych osobowych mają być gromadzone podczas korzystania z Microsoft 365 oraz w jakim celu. Naruszenia Komisji jako administratora danych dotyczą również przetwarzania danych, w tym przekazywania danych osobowych.

Do obowiązków instytucji, organów, urzędów i agencji UE należy dopilnowanie, aby wszelkie przetwarzanie danych osobowych poza UE/EOG i wewnątrz UE, w tym w kontekście usług w chmurze, towarzysyły solidne gwarancje i środki ochrony danych. Jest to konieczne, aby zapewnić ochronę informacji o osobach fizycznych zgodnie z wymogami rozporządzenia (UE) 2018/1725 w każdym przypadku, gdy ich dane są przetwarzane przez instytucje UE lub w ich imieniu.

– podkreślił Europejski Inspektor Ochrony Danych Wojciech Wiewiórowski.

Środki naprawcze

W związku z tym EIOD nakazał Komisji, ze skutkiem od dnia 9 grudnia 2024 r., zawieszenie wszystkich przepływów danych do firmy Microsoft oraz jej podmiotów stowarzyszonych i podwykonawców znajdujących się w krajach spoza UE/EOG. EIOD zdecydował się również nakazać Komisji dostosowanie operacji przetwarzania danych wynikających z korzystania przez niego z platformy Microsoft 365 do rozporządzenia (UE) 2018/1725.

Komisja musi wykazać zgodność z obydwoma zarządzeniami do dnia 9 grudnia 2024 r.

EIOD uważa, że ​​wprowadzone przez niego środki naprawcze są konieczne i proporcjonalne w świetle powagi i czasu trwania stwierdzonych naruszeń. Wiele ze stwierdzonych naruszeń dotyczy wszystkich operacji przetwarzania przeprowadzanych przez Komisję lub w jej imieniu podczas korzystania z Microsoft 365 i wpływa na dużą liczbę osób fizycznych.

MD/źródło: EDPS

Masz temat, o którym powinniśmy napisać? Skontaktuj się z nami!
Opisujemy ciekawe sprawy nadsyłane przez naszych czytelników. Napisz do nas, opisz dokładnie fakty i prześlij wraz z ewentualnymi załącznikami na adres: redakcja@pkb24.pl.
REKLAMA
REKLAMA