Jogsértően használják a Microsoft felhőjét az EU intézményei
Lezárult az Európai Adatvédelmi Biztos vizsgálata, mely annak kiderítésére irányult, hogy az Európai Unió intézményei a rájuk vonatkozó adatvédelmi jogszabályi előírásoknak megfelelően használják-e a Microsoft 365 előfizetéses felhőszolgáltatást.
Több speciális törvényi rendelkezést is sért az Európai Bizottság és a Microsoft között kötött, Microsoft 365 felhőszolgáltatások használatára vonatkozó keretszerződés, ezért az Európai Adatvédelmi Biztos (European Data Protection Supervisor, azaz EDPS) arra szólította fel a Bizottságot, hogy legkésőbb december 9-ig hozza összhangba a szerződésben foglaltakat a hatályos uniós joggal.
Az EDPS 2021 májusában indított két, egymással párhuzamosan futó vizsgálatot, melyek két amerikai felhőszolgáltató, a Microsoft és az Amazon, illetve az Európai Unió és annak intézményei, de különös tekintettel az Európai Bizottság között létrejött szerződések adatvédelmi aspektusainak feltárására voltak hivatottak.
Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.
Az EU-s adatvédelmi biztos hivatala által indított első vizsgálat konkrétan arra próbált fényt deríteni, hogy az Európai Unió intézményei által tavaly 2020-ban - tehát még a Privacy Shield hatálya alatt - aláírt "Cloud II" szerződések, melyek Microsoft és Amazon felhőszolgáltatások használatára vonatkoztak, az ítéletet követően mennyire hozhatók összhangban a hatályos uniós törvényi rendelkezésekkel.
A másik vizsgálat az Európai Bizottság és a Microsoft között korábban létrejött, Microsoft 365 termékek használatára vonatkozó szerződés feltételeit vizsgálja.
Az EDPS ez utóbbi ügy kapcsán állapította meg múlt pénteken, hogy az Európai Bizottság számos ponton megsértette a 2018/1725 (EU) rendeletben foglaltakat, így különös tekintettel azokra a passzusokra, melyek a személyes adatok EU/EGT-n kívüli feldolgozását szabályozzák.
Így az Európai Bizottság, mint adatkezelő nem tudta garantálni, hogy az uniós állampolgárok tengerentúlon feldolgozott személyes adatai az EU/EGT-n belül hatályos jogszabályokban foglaltakkal egyező mértékű védelemben részesülnek a nemzetközösség határain túl is, illetve
azt sem tudta bemutatni, hogy pontosan milyen személyes adatokhoz és milyen céllal juthatnak hozzá a tengerentúli adatfeldolgozók azáltal, hogy az EU intézményei a Microsoft 365 előfizetéseket használják az adminisztrációs folyamataik során.
Az adatvédelmi biztos ezért jogkörével élve arra kötelezte az Európai Bizottságot, hogy kilenc hónapon belül szüntessen meg minden, a Microsoft 365 szolgáltatásokhoz kötődő adatcserét a Microsoft és annak minden olyan leányvállalata között, melyek olyan országokban működnek, melyek nem nyújtanak megfelelő garanciákat a személyes adatok kezelése kapcsán az egyenlő bánásmódra.
Emellett az EDPS arra szólította fel a Bizottságot, hogy - szintén a fenti, december 9-it határidőig - a Microsoft 365 szolgáltatások igénybe vétele kapcsán felmerült adatkezelési gyakorlatát minden tekintetben hozza összhangba a 2018/1725 (EU) rendelettel.