Az Európai Bizottság (EB) megsértette az uniós adatvédelmi szabályokat a Microsoft-szoftverek használatával és nem is léptetett életbe megfelelő biztosítékokat a személyes adatoknak az unión kívüli kezekbe kerülésének a megakadályozására - közölte hétfőn az uniós adatvédelmi hatóság (European Data Protection Supervisor - EDPS).

A testület alaposan megfontolta a döntését, mivel a témával kapcsolatos vizsgálódás még 2021 májusában indult. A közel három évig tartó eljárást követően a többek között a polgárok személyes adatainak kezelését felügyelő hatóság arra jutott, hogy az EB nem kellő körültekintéssel járt el, és nem bizonyosodott meg arról, hogy az amerikai vállalat szolgáltatását használóknál az EU és az Európai Gazdasági Térség (EGT) területén kívülre továbbított személyes adatok ugyanolyan szintű védelemben részesülnek, mint a régión belül.

In its investigation, the #EDPS @W_Wiewiorowski has found that the @EU_Commission has infringed several key data protection rules when using Microsoft 365. In its decision, the EDPS imposes corrective measures on the Commission. Read Press Release:https://t.co/XsMDnsfSGk pic.twitter.com/shvufa3KUx

— EDPS (@EU_EDPS) March 11, 2024

Az EDPS másik fő problémája az volt, hogy a Bizottság a Microsofttal kötött szerződésében nem határozta meg kellőképpen, hogy a Microsoft 365 használata során milyen típusú személyes adatokat, milyen kifejezett és meghatározott célokra kell gyűjteni.

A hatóság utasította az EB-t, hogy december 9-ig léptesse életbe azokat az intézkedéseket, amelyek garantálják az adatvédelmi szabályoknak megfelelő működést, továbbá kötelezte a testületet, hogy állítsa le a Microsoft 365 használatából eredő valamennyi adatáramlást a vállalat, valamint az Európán kívüli országokban található leányvállalatai és szerződéses adatfeldolgozói felé, amelyekre nem vonatkozik az adatvédelmi megfelelőségi határozat.

Az EU 16 országgal, köztük Argentínával, Japánnal, Dél-Koreával, Svájccal, Nagy-Britanniával és az Egyesült Államokkal kötött adatvédelmi megfelelőségi megállapodást.

Problémás irodai csomagok

Redmond irodai szoftvercsomagja nem csak ebben az eljárásban került adatvédelmi célkeresztbe az EU-ban. Mint ahogy korábban mi is beszámoltunk róla, a német adatvédelmi hatóság még 2022 végén jutott arra, hogy a Microsoft 365 sérti az EU és Németország adatvédelmi szabályait (GDPR), így azt iskolákban nem lehet jogszerűen használni.

Hasonló gond merült fel Franciaországban is, ahol többek között az oktatás irányításáért is felelős miniszter kezdte pedzegetni, hogy a Microsoft 365-öt és a Google Workspace-t nem szabadna használni az iskolákban.