Jogsértően használják a Microsoft felhőjét az EU intézményei
Lezárult az Európai Adatvédelmi Biztos vizsgálata, mely annak kiderítésére irányult, hogy az Európai Unió intézményei a rájuk vonatkozó adatvédelmi jogszabályi előírásoknak megfelelően használják-e a Microsoft 365 előfizetéses felhőszolgáltatást.
Több speciális törvényi rendelkezést is sért az Európai Bizottság és a Microsoft között kötött, Microsoft 365 felhőszolgáltatások használatára vonatkozó keretszerződés, ezért az Európai Adatvédelmi Biztos (European Data Protection Supervisor, azaz EDPS) arra szólította fel a Bizottságot, hogy legkésőbb december 9-ig hozza összhangba a szerződésben foglaltakat a hatályos uniós joggal.
Az EDPS 2021 májusában indított két, egymással párhuzamosan futó vizsgálatot, melyek két amerikai felhőszolgáltató, a Microsoft és az Amazon, illetve az Európai Unió és annak intézményei, de különös tekintettel az Európai Bizottság között létrejött szerződések adatvédelmi aspektusainak feltárására voltak hivatottak.
London calling: a magyar IT kivándorlás valósága Kirándultunk egyet a második legnagyobb magyar településen.
Az EU-s adatvédelmi biztos hivatala által indított első vizsgálat konkrétan arra próbált fényt deríteni, hogy az Európai Unió intézményei által tavaly 2020-ban - tehát még a Privacy Shield hatálya alatt - aláírt "Cloud II" szerződések, melyek Microsoft és Amazon felhőszolgáltatások használatára vonatkoztak, az ítéletet követően mennyire hozhatók összhangban a hatályos uniós törvényi rendelkezésekkel.
A másik vizsgálat az Európai Bizottság és a Microsoft között korábban létrejött, Microsoft 365 termékek használatára vonatkozó szerződés feltételeit vizsgálja.
Az EDPS ez utóbbi ügy kapcsán állapította meg múlt pénteken, hogy az Európai Bizottság számos ponton megsértette a 2018/1725 (EU) rendeletben foglaltakat, így különös tekintettel azokra a passzusokra, melyek a személyes adatok EU/EGT-n kívüli feldolgozását szabályozzák.
Így az Európai Bizottság, mint adatkezelő nem tudta garantálni, hogy az uniós állampolgárok tengerentúlon feldolgozott személyes adatai az EU/EGT-n belül hatályos jogszabályokban foglaltakkal egyező mértékű védelemben részesülnek a nemzetközösség határain túl is, illetve
azt sem tudta bemutatni, hogy pontosan milyen személyes adatokhoz és milyen céllal juthatnak hozzá a tengerentúli adatfeldolgozók azáltal, hogy az EU intézményei a Microsoft 365 előfizetéseket használják az adminisztrációs folyamataik során.
Az adatvédelmi biztos ezért jogkörével élve arra kötelezte az Európai Bizottságot, hogy kilenc hónapon belül szüntessen meg minden, a Microsoft 365 szolgáltatásokhoz kötődő adatcserét a Microsoft és annak minden olyan leányvállalata között, melyek olyan országokban működnek, melyek nem nyújtanak megfelelő garanciákat a személyes adatok kezelése kapcsán az egyenlő bánásmódra.
Emellett az EDPS arra szólította fel a Bizottságot, hogy - szintén a fenti, december 9-it határidőig - a Microsoft 365 szolgáltatások igénybe vétele kapcsán felmerült adatkezelési gyakorlatát minden tekintetben hozza összhangba a 2018/1725 (EU) rendelettel.