Az Európai Bizottság több kulcsfontosságú adatvédelmi szabályt is megsértett a Microsoft 365 használata során – közölte az európai adatvédelmi biztos hivatala (EDPS).

A közlemény szerint az uniós bizottság különösen az uniós intézményekre, szervekre, hivatalokra és ügynökségekre vonatkozó uniós adatvédelmi jogszabályoknak

azoknak a rendelkezéseit sértette meg, amelyek a személyes adatok unión kívüli továbbításáról szólnak.

A brüsszeli testület továbbá elmulasztotta biztosítani, hogy az EU-n kívülre továbbított személyes adatok megfelelő, az unióban megkövetelt szinttel azonos védelmet kapjanak.

Az Európai Bizottság a Microsofttal kötött szerződésében nem határozta meg azt sem az előírásoknak megfelelően, hogy a Microsoft 365 szoftver használata során milyen típusú személyes adatokat kell gyűjteni, és milyen kifejezett és meghatározott célból. A jogsértések tehát az adatkezeléssel is kapcsolatosak – beleértve a személyes adatok továbbítását is.

Wojciech Wiewiórowski európai adatvédelmi biztos kijelentette: szilárd adatvédelmi biztosítékok és intézkedések révén az uniós intézmények, szervek, hivatalok és ügynökségek felelőssége a személyes adatok EU-n kívüli és azon belüli feldolgozásának biztosítása, beleértve a felhőalapú szolgáltatásokat is.

„Ez elengedhetetlen annak szavatolásához, hogy a személyes információk a vonatkozó uniós rendeletnek megfelelő védelemben részesüljenek, amikor adataikat feldolgozzák”

– mondta az adatvédelmi biztos.

Az uniós adatvédelmi hatóság arra kötelezte az Európai Bizottságot, hogy függesszen fel minden adatáramlást a Microsoft számára az említett szoftver használatával, és rendelje ezt el az unión kívüli országokban található kirendeltségei számára is. A hatóság az uniós bizottságot arra is felszólította, hogy tegyen intézkedéseket annak biztosítására, hogy a Microsoft 365 használata megfeleljen az adatvédelmi szabályoknak.

A brüsszeli testületnek mindkét megrendelés teljesítéséről 2024. december 9-ig be kell számolnia.