Η Ευρωπαϊκή Επιτροπή παραβίασε τους κανόνες προστασίας δεδομένων για τη χρήση του Microsoft 365

Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ) αποκάλυψε ότι η Ευρωπαϊκή Επιτροπή παραβίασε τους κανόνες προστασίας δεδομένων κατά τη χρήση του Microsoft 365. Η έρευνα διαπίστωσε ότι η Επιτροπή δεν προσδιόρισε τους τύπους των προσωπικών δεδομένων που συλλέγονται και για ποιους σκοπούς κατά τη χρήση του Microsoft 365. Ο ΕΕΠΔ επέβαλε διορθωτικά μέτρα, αναθέτοντας στην Επιτροπή να αντιμετωπίσει τα ζητήματα συμμόρφωσης έως τις 9 Δεκεμβρίου 2024. Τα διορθωτικά μέτρα περιλαμβάνουν την αναστολή της ροής δεδομένων που προκύπτουν από το Microsoft 365 προς τη Microsoft και τις θυγατρικές της σε χώρες εκτός ΕΕ/ΕΟΧ χωρίς απόφαση επάρκειας και τον καθορισμό συμβάσεων ώστε να διασφαλίζονται ρητοί σκοποί συλλογής δεδομένων και συμμόρφωση με τους κανόνες προστασίας δεδομένων.

Η έρευνα του ΕΕΠΔ, που ξεκίνησε τον Μάιο του 2021, επικεντρώθηκε στις πρακτικές επεξεργασίας και διαβίβασης δεδομένων της Microsoft 365. Η επεξεργασία των δεδομένων των χρηστών από τη Microsoft στην υπηρεσία cloud της δημιούργησε ανησυχίες, ιδίως όσον αφορά τις νομικές βάσεις για την επεξεργασία δεδομένων, τη συμβατική σαφήνεια και την έλλειψη τεχνικών εγγυήσεων. Ο ΕΕΠΔ διέταξε την Επιτροπή να αναστείλει τη ροή δεδομένων χωρίς επαρκείς εγγυήσεις, να διεξάγει άσκηση χαρτογράφησης της μεταφοράς δεδομένων και να επανεξετάσει και να διορθώσει τις συμβάσεις με τη Microsoft ώστε να τις ευθυγραμμίσει με τις απαιτήσεις προστασίας δεδομένων. Η Επιτροπή πρέπει να αντιμετωπίσει αυτά τα διορθωτικά μέτρα έως τις 9 Δεκεμβρίου 2024, εφόσον συνεχίσει να χρησιμοποιεί τη σουίτα cloud της Microsoft.