KE złamała unijne przepisy dotyczące ochrony danych podczas korzystania z usług Microsoft 365

Według Europejskiego Inspektora Ochrony Danych (EIOD) Komisja Europejska nie przestrzegała kilku ważnych zasad ochrony danych wynikających z przepisów Unii Europejskiej o ochronie danych podczas korzystania z usług Microsoft 365.

EIOD jest niezależnym organem odpowiedzialnym za przeprowadzanie audytów ochrony danych w instytucjach UE i może wydawać środki naprawcze w celu usunięcia naruszeń.

Wojciech Wiewiórowski, EDPS, said:

Kluczowe ustalenia dochodzenia wskazują, że Komisja Europejska nie określiła w swojej umowie z Microsoftem rodzajów danych, które mogą być gromadzone, ani nie wspomniała w jakim celu.

Ponadto KE nie wdrożyła odpowiednich zabezpieczeń dotyczących przekazywania danych poza obszar Unii Europejskiej, co jest ważnym aspektem zapewnienia ochrony danych osobowych osób fizycznych.

Europejski Inspektor Ochrony Danych nakazał Komisji Europejskiej dostosowanie korzystania przez nią z usług Microsoft 365 do rygorystycznych unijnych przepisów o ochronie danych. Poinformowała także, że przepływy danych Microsoft 365 niezgodne z przepisami zostaną zawieszone z dniem 9 grudnia 2024 roku.

Naruszenie miało miejsce przez okres trzech lat, rozpoczynający się 21 maja 2021 r. i kończący się decyzją EIOD wydaną 8 marca 2024 r.

Europejski Inspektor Ochrony Danych stwierdził, że KE nie zapewniła odpowiednich specyfikacji umownych z Microsoftem, ponieważ KE nie wyjaśniła sposobu wykorzystania danych i nie obwiniała za to Microsoftu.

Ponieważ EIOD uznał winę UE, wyegzekwował rozporządzenie UE 2018/1725 w sprawie przetwarzania danych osobowych, które pokazuje, jak ważne są solidne środki ochrony danych, zwłaszcza w przypadku współpracy z zewnętrznymi dostawcami usług.

Ten incydent przypomina osobom prowadzącym działalność gospodarczą w Europie, aby zwracały uwagę na wszystkie drobne szczegóły umów i przestrzegały ram regulacyjnych, aby uniknąć problemów w przyszłości.

Jakie są Twoje przemyślenia na ten temat? Podziel się swoimi opiniami w sekcji komentarzy poniżej.

Obowiązkiem instytucji, organów, urzędów i agencji UE (EUI) jest zapewnienie, aby wszelkiemu przetwarzaniu danych osobowych poza UE/EOG i wewnątrz UE, w tym w kontekście usług w chmurze, towarzyszyły solidne zabezpieczenia w zakresie ochrony danych i środki. Jest to konieczne, aby zapewnić ochronę informacji o osobach fizycznych zgodnie z wymogami rozporządzenia (UE) 2018/1725 w każdym przypadku, gdy ich dane są przetwarzane przez UE lub w jej imieniu.