Korzystanie przez Komisję Europejską z platformy Microsoft 365 narusza przepisy o ochronie danych instytucji i organów UE
Komisja Europejska (Komisja) naruszyła kilka kluczowych zasad ochrony danych podczas korzystania z platformy Microsoft 365 – stwierdził EIOD w wyniku postępowania wyjaśniającego. W decyzji EIOD nałożył na Komisję środki naprawcze
EIOD stwierdził, że Komisja naruszyła kilka przepisów rozporządzenia (UE) 2018/1725, unijnego prawa o ochronie danych instytucji, organów i jednostek organizacyjnych UE (EUI), w tym przepisy dotyczące przekazywania danych osobowych poza UE/Europejski Obszar Gospodarczy (EOG).
W szczególności Komisja nie zapewniła odpowiednich zabezpieczeń w celu zagwarantowania, że dane osobowe przekazywane poza UE/EOG będą miały zapewniony zasadniczo równoważny poziom ochrony, jaki jest gwarantowany w UE/EOG.
Ponadto w umowie z Microsoftem Komisja nie określiła w wystarczający sposób, jakie rodzaje danych osobowych mają być gromadzone i do jakich wyraźnych i określonych celów podczas korzystania z Microsoft 365. Naruszenia Komisji jako administratora danych dotyczą również przetwarzania danych, w tym przekazywania danych osobowych, dokonywanego w jej imieniu.
Europejski inspektor ochrony danych Wojciech Wiewiórowski powiedział: „Obowiązkiem instytucji, organów, urzędów i agencji UE jest dopilnowanie, aby wszelkiemu przetwarzaniu danych osobowych poza UE/EOG i na jej terytorium, w tym w kontekście usług w chmurze, towarzyszyły solidne zabezpieczenia i środki ochrony danych. Jest to niezbędne do zapewnienia ochrony informacji osób fizycznych, zgodnie z wymogami rozporządzenia (UE) 2018/1725, za każdym razem, gdy ich dane są przetwarzane przez instytucję UE lub w jej imieniu”.
W związku z tym EIOD postanowił nakazać Komisji, ze skutkiem od 9 grudnia 2024 r., zawieszenie wszystkich przepływów danych wynikających z korzystania z Microsoft 365 do Microsoft oraz do jego podmiotów powiązanych i podwykonawców przetwarzania znajdujących się w państwach spoza UE/EOG nieobjętych decyzją stwierdzającą odpowiedni stopień ochrony.
Inspektor postanowił również nakazać Komisji dostosowanie operacji przetwarzania danych wynikających z korzystania z platformy Microsoft 365 do rozporządzenia (UE) 2018/1725. Komisja musi wykazać zgodność z obydwoma nakazami do dnia 9 grudnia 2024 r.
EIOD uważa, że nałożone przez niego środki naprawcze są odpowiednie, niezbędne i proporcjonalne w świetle wagi i czasu trwania stwierdzonych naruszeń.
Wiele ze stwierdzonych naruszeń dotyczy wszystkich operacji przetwarzania prowadzonych przez Komisję lub w jej imieniu przy użyciu platformy Microsoft 365 i ma wpływ na dużą liczbę osób fizycznych.
EIOD bierze również pod uwagę potrzebę niezagrażania zdolności Komisji do wykonywania jej zadań w interesie publicznym lub do sprawowania władzy publicznej powierzonej Komisji, a także potrzebę zapewnienia Komisji odpowiedniego czasu na wdrożenie przewidywanego zawieszenia odpowiednich przepływów danych oraz na zapewnienie zgodności przetwarzania danych
z rozporządzeniem (UE) 2018/1725. Środki nałożone przez EIOD w decyzji z dnia 8 marca 2024 r. pozostają bez uszczerbku dla wszelkich innych lub dalszych działań, które może podjąć EIOD.
Źródło: informacja prasowa EIOD
