EC 在使用 Microsoft 365 服務時違反了聯盟資料保護法

據歐洲資料保護監管機構(EDPS) 稱，歐盟委員會在使用 Microsoft 365 服務時沒有遵守歐盟資料保護法規定的幾項重要資料保護規則。

EDP​​ 是一個獨立機構，負責在歐盟機構內部進行資料保護審計，並可以發布糾正措施來糾正違規行為。

EDP​​ 的 Wojciech Wiewiórowski 說：

調查的主要結果表明，EC 未能在與 Microsoft 的合約中具體說明可以收集的資料類型並提及其目的。

此外，歐盟沒有對歐盟地區以外的資料傳輸實施充分的保障措施，而這是確保個人資訊保護的一個重要面向。

歐洲資料保護主管命令歐盟委員會對 Microsoft 365 服務的使用遵守歐盟嚴格的資料保護法規。它還通知，不遵守規定的 Microsoft 365 資料流將從 2024 年 12 月 9 日起暫停。

這次洩漏發生在三年期間，從 2021 年 5 月 21 日開始，到 2024 年 3 月 8 日 EDPS 做出決定為止。

歐洲資料保護監督員表示，歐盟委員會未能確保與微軟簽訂適當的合約規範，因為歐盟委員會沒有明確資料的使用，也沒有為此指責微軟。

由於 EDPS 發現歐盟有過錯，因此它執行了關於個人資料處理的歐盟法規 2018/1725，這表明強有力的資料保護措施是多麼重要，尤其是在與外部服務提供者合作時。

這一事件提醒在歐洲做生意的人們注意所有微小的合約細節並遵守監管框架，以避免未來出現問題。

您對此事有何看法？在下面的評論部分分享您的意見。

歐盟機構、團體、辦事處和代理機構 (EUI) 有責任確保在歐盟/歐洲經濟區內外對個人資料的任何處理（包括基於雲端的服務）都附帶強大的資料保護保障措施和措施。無論何時由歐盟或代表歐盟處理個人數據，都必須確保按照法規 (EU) 2018/1725 的要求保護個人資訊。