:

Szerző: Koi Tamás

2024. március 11. 13:47

Jogsértően használják a Microsoft felhőjét az EU intézményei

Lezárult az Európai Adatvédelmi Biztos vizsgálata, mely annak kiderítésére irányult, hogy az Európai Unió intézményei a rájuk vonatkozó adatvédelmi jogszabályi előírásoknak megfelelően használják-e a Microsoft 365 előfizetéses felhőszolgáltatást.

Több speciális törvényi rendelkezést is sért az Európai Bizottság és a Microsoft között kötött, Microsoft 365 felhőszolgáltatások használatára vonatkozó keretszerződés, ezért az Európai Adatvédelmi Biztos (European Data Protection Supervisor, azaz EDPS) arra szólította fel a Bizottságot, hogy legkésőbb december 9-ig hozza összhangba a szerződésben foglaltakat a hatályos uniós joggal.

Az EDPS 2021 májusában indított két, egymással párhuzamosan futó vizsgálatot, melyek két amerikai felhőszolgáltató, a Microsoft és az Amazon, illetve az Európai Unió és annak intézményei, de különös tekintettel az Európai Bizottság között létrejött szerződések adatvédelmi aspektusainak feltárására voltak hivatottak.

us_eu_privacy

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Az EU-s adatvédelmi biztos hivatala által indított első vizsgálat konkrétan arra próbált fényt deríteni, hogy az Európai Unió intézményei által tavaly 2020-ban - tehát még a Privacy Shield hatálya alatt - aláírt "Cloud II" szerződések, melyek Microsoft és Amazon felhőszolgáltatások használatára vonatkoztak, az ítéletet követően mennyire hozhatók összhangban a hatályos uniós törvényi rendelkezésekkel.

A másik vizsgálat az Európai Bizottság és a Microsoft között korábban létrejött, Microsoft 365 termékek használatára vonatkozó szerződés feltételeit vizsgálja.

Az EDPS ez utóbbi ügy kapcsán állapította meg múlt pénteken, hogy az Európai Bizottság számos ponton megsértette a 2018/1725 (EU) rendeletben foglaltakat, így különös tekintettel azokra a passzusokra, melyek a személyes adatok EU/EGT-n kívüli feldolgozását szabályozzák.

Így az Európai Bizottság, mint adatkezelő nem tudta garantálni, hogy az uniós állampolgárok tengerentúlon feldolgozott személyes adatai az EU/EGT-n belül hatályos jogszabályokban foglaltakkal egyező mértékű védelemben részesülnek a nemzetközösség határain túl is, illetve 

azt sem tudta bemutatni, hogy pontosan milyen személyes adatokhoz és milyen céllal juthatnak hozzá a tengerentúli adatfeldolgozók azáltal, hogy az EU intézményei a Microsoft 365 előfizetéseket használják az adminisztrációs folyamataik során.

Az adatvédelmi biztos ezért jogkörével élve arra kötelezte az Európai Bizottságot, hogy kilenc hónapon belül szüntessen meg minden, a Microsoft 365 szolgáltatásokhoz kötődő adatcserét a Microsoft és annak minden olyan leányvállalata között, melyek olyan országokban működnek, melyek nem nyújtanak megfelelő garanciákat a személyes adatok kezelése kapcsán az egyenlő bánásmódra.

Emellett az EDPS arra szólította fel a Bizottságot, hogy - szintén a fenti, december 9-it határidőig - a Microsoft 365 szolgáltatások igénybe vétele kapcsán felmerült adatkezelési gyakorlatát minden tekintetben hozza összhangba a 2018/1725 (EU) rendelettel.

a címlapról