Komisja Europejska złamała zasady ochrony danych i prywatności korzystając z pakietu biurowego Microsoft 365 – ocenia Europejski Inspektor Ochrony Danych (EDPS). Problematycznym aspektem stał się transfer danych osobowych z UE za Ocean.
W opinii Europejskiego Inspektora Ochrony Danych, Komisja Europejska naruszyła zasady ochrony danych, których muszą przestrzegać instytucje (to regulacja nr 2018/1725). Zasady te dotyczą ochrony danych w unijnych urzędach, biurach i agencjach. Regulują także kwestie ich przetwarzania, w tym – poszanowania prywatności osób, których dane dotyczą.
W opinii EDPS, jak pisze serwis Euractiv, Komisja Europejska nie podjęła należytych środków mających na celu zagwarantowanie bezpieczeństwa przy transferach danych osobowych poza obszar UE i Europejskiego Obszaru Gospodarczego.
KE nie zadbała również o to, aby w ramach zawartej z firmą Microsoft umowy dookreślić rodzaje danych osobowych, które będą gromadzone przez tę spółkę oraz celu ich zbierania w kontekście wykorzystania usługi Microsoft 365. Usługa ta umożliwia współpracę w ramach usług chmurowych i obsługę klasycznego pakietu biurowego – programów takich jak Word, Excel, Power Point i klient poczty Outlook. Pakiet to też usługi online – komunikator Teams, dysk OneDrive i usługa bazodanowa SharePoint.
Szereg naruszeń
Komisja Europejska naruszyła przepisy również w zakresie przetwarzania danych, w tym – w odniesieniu do transferów danych osobowych. W kilku przypadkach naruszenia dotyczą bardzo wielu osób – twierdzi EDPS.
W odniesieniu do naruszeń, organ nakazał Komisji Europejskiej zaprzestanie przekazywania danych z użytkowania usługi Microsoft 365 do koncernu i jego partnerów w krajach poza UE bez odpowiednich środków naprawczych.
Komisja musi też podjąć działania zmierzające do zapewnienia, że usługa Microsoft 365 działa w ramach regulacji 2018/1725 i nie narusza przepisów – w tym celu ma powstać mapa transferów danych osobowych w ramach działalności KE.
Organ z kolei podkreślił, że użycie danych osobowych nie powinno wykraczać poza zamierzone wykorzystanie w ramach podstawy prawnej, a wszelkie transfery danych – czy to w ramach UE, czy też do firmy Microsoft i jej partnerów, powinny być zgodne z obowiązującymi unijnymi regulacjami.
