V návaznosti na své šetření EDPS zjistil, že Evropská komise (Komise) při používání Microsoft 365 porušila několik klíčových pravidel ochrany údajů. EDPS ve svém rozhodnutí ukládá Komisi nápravná opatření.
Evropský inspektor ochrany údajů zjistil, že Komise porušila několik ustanovení nařízení (EU) 2018/1725, což je právní předpis EU o ochraně údajů pro orgány, instituce a jiné subjekty EU, včetně ustanovení o předávání osobních údajů mimo EU / Evropský hospodářský prostor (EHP). Komise zejména neposkytla vhodné záruky, které by zajistily, že osobním údajům předávaným mimo EU/EHP bude poskytnuta v zásadě rovnocenná úroveň ochrany, jaká je zaručena v EU/EHP. Kromě toho Komise ve své smlouvě se společností Microsoft dostatečně neupřesnila, jaké druhy osobních údajů mají být shromažďovány a pro jaké výslovné a konkrétní účely při používání služby Microsoft 365. Porušení ze strany Komise jakožto správce údajů se rovněž týká zpracování údajů, včetně předávání osobních údajů, prováděného jejím jménem.
Wojciech Wiewiórowski, evropský inspektor ochrany údajů, uvedl: „Je odpovědností orgánů, institucí a jiných subjektů EU zajistit, aby jakékoli zpracování osobních údajů mimo EU/EHP a uvnitř EU/EHP, a to i v souvislosti s cloudovými službami, bylo doprovázeno spolehlivými zárukami a opatřeními v oblasti ochrany údajů. To je nezbytné k zajištění ochrany informací fyzických osob, jak vyžaduje nařízení (EU) 2018/1725, kdykoli jsou jejich údaje zpracovávány institucí EU nebo jejím jménem.“
Evropský inspektor ochrany údajů se proto rozhodl nařídit Komisi, aby s účinností od 9. prosince 2024 pozastavila veškeré toky údajů vyplývající z používání Microsoft 365 společností Microsoft a jejími přidruženými společnostmi a dílčími zpracovateli se sídlem v zemích mimo EU/EHP, na které se nevztahuje rozhodnutí o odpovídající ochraně. Evropský inspektor ochrany údajů se rovněž rozhodl nařídit Komisi, aby uvedla operace zpracování vyplývající z používání Microsoft 365 do souladu s nařízením (EU) 2018/1725. Komise musí prokázat soulad s oběma příkazy do 9. prosince 2024.
Evropský inspektor ochrany údajů se domnívá, že nápravná opatření, která ukládá, jsou vhodná, nezbytná a přiměřená s ohledem na závažnost a dobu trvání zjištěných porušení.
Mnohá zjištěná porušení se týkají všech operací zpracování prováděných Komisí nebo jejím jménem při používání Microsoft 365 a mají dopad na velký počet jednotlivců.
EDPS rovněž zohledňuje potřebu neohrožovat schopnost Komise plnit své úkoly ve veřejném zájmu nebo vykonávat veřejnou moc svěřenou Komisi a potřebu poskytnout Komisi přiměřený čas na provedení plánovaného pozastavení příslušných toků údajů a na uvedení zpracování údajů do souladu s nařízením (EU) 2018/1725.
Opatřeními uloženými evropským inspektorem ochrany údajů v jeho rozhodnutí ze dne 8. března 2024 nejsou dotčena žádná jiná nebo další opatření, která může evropský inspektor ochrany údajů přijmout.
Zdroj: EU