Europejski Inspektor Ochrony Danych (EIOD) ustalił niedawno, że korzystanie przez Komisję Europejską z platformy Microsoft 365 narusza rygorystyczne zasady ochrony danych obowiązujące w Unii.
Śledztwo w sprawie bomby
The EIOD wszczął dochodzenie w korzystaniu przez Komisję z platformy Microsoft 365 w maju 2021 r., podsycane obawami dotyczącymi transatlantyckiego przesyłania danych i zgodności z ogólnym rozporządzeniem UE o ochronie danych (RODO).
Sedno problemu polega na tym, że Microsoft, jako firma z siedzibą w USA, podlega amerykańskim przepisom, takim jak ustawa CLOUD Act, potencjalnie przyznanie władzom USA dostępu do danych przechowywanych na serwerach Microsoftu.
Po dokładnym zbadaniu EIOD stwierdził, że Komisja nie wdrożyła wystarczających zabezpieczeń w odniesieniu do przekazywania danych do USA.
To odchodzi Dane obywateli UE potencjalnie podatne na zagrożenia dostępu amerykańskim agencjom wywiadowczym, co rodzi poważne pytania dotyczące prywatności i suwerenności danych.
Kluczowe naruszenia
EIOD nie tylko wzbudził ogólny alarm w związku z platformą Microsoft 365 – wskazał dokładnie, gdzie Komisja popełniła błąd.
Po pierwsze, przy wysyłaniu danych osobowych poza Europę nie wdrożono wystarczających zabezpieczeń. To ogromna czerwona flaga, zwłaszcza po tym cała umowa dotycząca Tarczy Prywatności została odrzucona w Schrems II decyzji, z której jasno wynikało, że inwigilacja USA może stanowić problem.
Następnie pojawia się pytanie, czy Komisja w ogóle potrzebowała platformy Microsoft 365. Nie bardzo potrafili to wyjaśnić dlaczego było to tak istotne. To sprawia, że zastanawiamy się, czy przetwarzali za pośrednictwem firmy Microsoft znacznie więcej danych, niż było to faktycznie konieczne.
I wreszcie wydaje się, że wstępna kontrola prywatności przeprowadzona przez Komisję przed rozpoczęciem korzystania z Microsoft 365 nie była wystarczająco dokładna. To wielka sprawa – prawidłowe przeprowadzenie tej oceny pozwala wykryć zagrożenia dla prywatności i poradzić sobie z nimi, zanim staną się problemem.
UE nakazuje zamknięcie Microsoft 365 w przypadku niespełnienia wymagań
Wyrok EIOD to nie tylko strzał w dziesiątkę. To jest poważne ultimatum z poważnymi konsekwencjami.
Komisja ma teraz napięty termin, 9 grudnia 2024 rDo całkowicie wstrzymać wszelki przepływ danych do firmy Microsoft i jej partnerów w USA wynikające z korzystania przez nich z pakietu Microsoft 365.
Niezastosowanie się może skutkować wysokimi karami finansowymi i zaszkodzić reputacji centralnego organu administracyjnego UE.
To stawia ich w trudnej sytuacji.
Czy starają się znaleźć alternatywny sposób przetwarzania swoich danych w sposób zgodny z prawem UE, czy też spotykają się z potencjalnymi konsekwencjami sprzeciwu?
Autor wyróżnionego obrazu: Microsoftu.
Source: UE ostro krytykuje wykorzystanie Microsoft 365