EK prekršila Zakon o zaštiti podataka za institucije i tijela

Nakon svoje istrage Europski nadzornik za zaštitu podataka utvrdio je da je Europska komisija prekršila nekoliko ključnih pravila o zaštiti podataka pri korištenju Microsofta 365. U svojoj odluci EDPS nameće korektivne mjere EK-u.

EDPS je utvrdio da je Europska komisija prekršila nekoliko odredbi zakona o zaštiti podataka za institucije, tijela, urede i agencije EU-a, uključujući one o prijenosu osobnih podataka izvan EU/EEA. Konkretno, Europska komisija nije osigurala odgovarajuće zaštitne mjere kako bi osigurala da osobni podaci koji se prenose izvan EU/EEA dobiju suštinski jednaku razinu zaštite.

Nadalje, u svom ugovoru s Microsoftom Europska komisija nije u dovoljnoj mjeri odredila koje se vrste osobnih podataka prikupljaju i za koje izričite i specificirane svrhe pri korištenju Microsoft 365. Povrede Komisije kao voditelja obrade podataka također se odnose na obradu podataka, uključujući prijenose osobnih podataka, provodi u svoje ime.

„Odgovornost je institucija, tijela, ureda i agencija EU osigurati da svaka obrada osobnih podataka izvan i unutar EU/EEA, uključujući u kontekstu usluga temeljenih na oblaku, bude popraćena snažnim zaštitnim mjerama zaštite podataka i mjere. Ovo je imperativ kako bi se osiguralo da su podaci pojedinaca zaštićeni kad god se njihovi podaci obrađuju od strane ili u ime EUI-ja,” rekao je Wojciech Wiewiórowski, nadzornik EDPS-a.

EDPS je stoga odlučio narediti Europskoj komisiji da obustavi sve protoke podataka koji proizlaze iz njegove upotrebe Microsoft 365 prema Microsoftu i njegovim podružnicama i podobrađivačima koji se nalaze u zemljama izvan EU/EEA, a koji nisu obuhvaćeni odlukom o primjerenosti. EDPS je također odlučio narediti EK-u da postupke obrade koji proizlaze iz njegove upotrebe Microsoft 365 uskladi s Uredbom 2018/1725. Komisija mora dokazati usklađenost s obje naredbe do 9. prosinca 2024.