Η Ευρωπαϊκή Επιτροπή μπορεί να θέσπισε την νομοθεσία περί GDPR, όμως όλα δείχνουν πως ούτε αυτοί ξέρουν καλά το θέμα. Η επιστροπή δέχθηκε επίπληξη για παραβίαση του κανονισμού προστασίας προσωπικών δεδομένων, κατά την χρήση του Microsoft 365. Την επίπληξη απέδοσε o Ευρωπαϊκός Εποπτης Προστασίας Δεδομένων (ΕΕΠΔ) και ήταν αποτέλεσμα μιας έρευνας που ξεκίνησε τον Μάιο του 2021, μετά την απόφαση Schrems II.
Σύμφωνα με τον Επόπτη, η Ευρωπαϊκή Επιτροπή παραβίασε διάφορους κανονισμούς προστασίας δεδομένων. Μέσα σε αυτούς ήταν και η μεταφορά προσωπικών δεδομένων εκτός Ευρωπαϊκού Οικονομικού Χώρου.
Ειδικότερα, η Επιτροπή παρέλειψε να παράσχει τις κατάλληλες εγγυήσεις για να διασφαλίσει ότι τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται εκτός ΕΕ/ΕΟΧ έχουν ουσιαστικά ισοδύναμο επίπεδο προστασίας με αυτό που διασφαλίζεται στην ΕΕ/ΕΟΧ. Επιπλέον, στη σύμβασή της με τη Microsoft, η Επιτροπή δεν διευκρίνισε επαρκώς ποιοι τύποι δεδομένων προσωπικού χαρακτήρα θα συλλέγονται και για ποιους ρητούς και καθορισμένους σκοπούς κατά τη χρήση του Microsoft 365. Οι παραβάσεις της Επιτροπής ως υπευθύνου επεξεργασίας δεδομένων σχετίζονται επίσης με την επεξεργασία δεδομένων , συμπεριλαμβανομένων των διαβιβάσεων δεδομένων προσωπικού χαρακτήρα, που πραγματοποιούνται για λογαριασμό της .
Ο Wojciech Wiewiórowski, ΕΕΠΔ, δήλωσε:
«Είναι ευθύνη των θεσμικών οργάνων, των οργάνων, των γραφείων και των οργανισμών της ΕΕ να διασφαλίζουν ότι οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα εκτός και εντός της ΕΕ/ΕΟΧ, συμπεριλαμβανομένου του πλαισίου υπηρεσιών που βασίζονται στο cloud , συνοδεύεται από ισχυρές διασφαλίσεις και μέτρα προστασίας δεδομένων. Αυτό είναι επιτακτική ανάγκη για να διασφαλιστεί ότι οι πληροφορίες των ατόμων προστατεύονται, όπως απαιτείται από τον Κανονισμό (ΕΕ) 2018/1725, κάθε φορά που τα δεδομένα τους υποβάλλονται σε επεξεργασία από ή για λογαριασμό ενός EUI.»
Ως εκ τούτου, ο ΕΕΠΔ αποφάσισε να διατάξει την Επιτροπή, με ισχύ στις 9 Δεκεμβρίου 2024 , να αναστείλει όλες τις ροές δεδομένων που προκύπτουν από τη χρήση του Microsoft 365 στη Microsoft και στις θυγατρικές και υπο-επεξεργαστές της που βρίσκονται σε χώρες εκτός ΕΕ/ΕΟΧ που δεν καλύπτονται από απόφαση επάρκειας . Ο ΕΕΠΔ αποφάσισε επίσης να διατάξει την Επιτροπή να συμμορφώσει τις εργασίες επεξεργασίας που προκύπτουν από τη χρήση του Microsoft 365 με τον κανονισμό (ΕΕ) 2018/1725 . Η Επιτροπή πρέπει να αποδείξει τη συμμόρφωση και με τις δύο εντολές έως τις 9 Δεκεμβρίου 2024.
Πολλές από τις παραβάσεις που διαπιστώθηκαν αφορούν όλες τις λειτουργίες επεξεργασίας που πραγματοποιούνται από την Επιτροπή ή για λογαριασμό της κατά τη χρήση του Microsoft 365 και επηρεάζουν μεγάλο αριθμό ατόμων.
Οι ΗΠΑ τραβάνε άσχημα το σχοινί! Φόβοι για περιορισμούς στη Samsung
Ο ΕΕΠΔ λαμβάνει επίσης υπόψη την ανάγκη να μην διακυβεύεται η ικανότητα της Επιτροπής να εκτελεί τα καθήκοντά της προς το δημόσιο συμφέρον ή να ασκεί επίσημη εξουσία που έχει ανατεθεί στην Επιτροπή και την ανάγκη να δοθεί στην Επιτροπή κατάλληλος χρόνος για να εφαρμόσει την προβλεπόμενη αναστολή των σχετικών ροές δεδομένων και να συμμορφωθεί η επεξεργασία των δεδομένων με τον Κανονισμό (ΕΕ) 2018/1725.
Τα μέτρα που επιβλήθηκαν από τον ΕΕΠΔ στην απόφασή του της 8ης Μαρτίου 2024 δεν θίγουν οποιαδήποτε άλλη ή περαιτέρω ενέργεια μπορεί να αναλάβει ο ΕΕΠΔ.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.