Az Európai Bizottság megsértette az uniós adatvédelmi szabályokat a Microsoft-szoftverek használatával és nem is léptetett életbe megfelelő biztosítékokat a személyes adatoknak az unión kívüli kezekbe kerülésének a megakadályozására – közölte hétfőn az EDPS uniós adatvédelmi hatóság.
„A Bizottság elmulasztott megfelelő biztosítékokat nyújtani annak biztosítására, hogy az EU és az Európai Gazdasági Térség (EGT) területén kívülre továbbított személyes adatok az EU/EGT-n belül garantálttal lényegében azonos szintű védelemben részesüljenek” – áll a felügyelő hatóság közleményében.
„A Bizottság a Microsofttal kötött szerződésében nem határozta meg kellőképpen, hogy a Microsoft 365 használata során milyen típusú személyes adatokat kell gyűjteni, és milyen kifejezett és meghatározott célokra” – tették hozzá.
Az EDPS (European Data Protection Supervisor) elrendelte, hogy a Bizottság december 9-i hatállyal intézkedéseket léptessen életbe az adatvédelmi szabályoknak való megfelelés érdekében, és állítsa le az adattovábbítást az amerikai vállalat és az olyan harmadik országokban található leányvállalatok felé, amelyek nem kötöttek adatvédelmi megállapodást az EU-val.
Az adatvédelmi hatóság arra kötelezte a Bizottságot, hogy függessze fel a Microsoft 365 használatából eredő valamennyi adatáramlást a vállalat, valamint az Európán kívüli országokban található leányvállalatai és szerződéses adatfeldolgozói felé, amelyekre nem vonatkozik az adatvédelmi megfelelőségi határozat.
Az EU 16 országgal, köztük Argentínával, Japánnal, Dél-Koreával, Svájccal, Nagy-Britanniával és az Egyesült Államokkal kötött adatvédelmi megfelelőségi megállapodást.
Az európai adatvédelmi biztos a személyes adatoknak az Egyesült Államokba történő továbbításával kapcsolatban felmerült aggodalmak okán három évvel ezelőtt indított vizsgálat lezárásával hozta meg a döntését. A vizsgálat eredti kiváltó oka Edward Snowden, az amerikai hírszerzés egykori alkalmazottja által 2013-ban az amerikai tömeges megfigyelésekről tett bejelentés volt.