Η Ευρωπαϊκή Επιτροπή παραβίασε κανόνες προστασίας δεδομένων σύμφωνα με τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ).
Σύμφωνα με τον ΕΕΠΔ, μια ανεξάρτητη εποπτική αρχή που διασφαλίζει ότι τα ευρωπαϊκά θεσμικά όργανα τηρούν τους νόμους περί προστασίας της ιδιωτικής ζωής και των δεδομένων, η Επιτροπή παραβίασε διάφορα μέρη του κανονισμού της ΕΕ για την προστασία των δεδομένων των θεσμικών οργάνων (κανονισμός 2018/1725).
Ο κανονισμός αφορά την προστασία των δεδομένων εντός των θεσμικών οργάνων, οργανισμών, υπηρεσιών και φορέων της ΕΕ και την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις εν λόγω οντότητες, διασφαλίζοντας τη συμμόρφωση με τις αρχές προστασίας δεδομένων και τη διασφάλιση των δικαιωμάτων των ατόμων στην ιδιωτική ζωή εντός των θεσμικών οργάνων της ΕΕ.
Παραλείψεις της Κομισιόν
Σύμφωνα με τον εποπτικό φορέα, η Κομισιόν παρέλειψε να διασφαλίσει επαρκείς εγγυήσεις για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός της ΕΕ ή του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ), αναφέρει δημοσίευμα του Euractiv.
Στη σύμβασή της με τη Microsoft, η Ευρωπαϊκή Επιτροπή παρέλειψε επίσης να προσδιορίσει τους τύπους των προσωπικών δεδομένων που συλλέγονται και τον σκοπό της συλλογής δεδομένων κατά τη χρήση του Microsoft 365, το οποίο περιλαμβάνει υπηρεσίες συνεργασίας και υπηρεσίες στο cloud και προσφέρονται από τη Microsoft, συμπεριλαμβανομένων εφαρμογών όπως το Word, το Excel, το PowerPoint, το Outlook, καθώς και διαδικτυακές υπηρεσίες όπως το OneDrive, το Teams και το SharePoint.
Οι παραβάσεις της Επιτροπής ως υπευθύνου επεξεργασίας δεδομένων επεκτείνονται επίσης στην επεξεργασία δεδομένων, μαζί με τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα που πραγματοποιούνται για λογαριασμό της. Αρκετές παραβιάσεις αφορούν όλες τις δραστηριότητες της Επιτροπής στον τομέα των δεδομένων, συμπεριλαμβανομένων εκείνων που πραγματοποιούνται μέσω του Microsoft 365, επηρεάζοντας πολλούς ανθρώπους, δήλωσε ο ΕΕΠΔ.
«Είναι ευθύνη των θεσμικών οργάνων, οργανισμών, υπηρεσιών και φορέων της ΕΕ να διασφαλίζουν ότι κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα εκτός και εντός της ΕΕ/ΕΟΧ, συμπεριλαμβανομένης της επεξεργασίας στο πλαίσιο υπηρεσιών που βασίζονται στο cloud, συνοδεύεται από ισχυρές εγγυήσεις και μέτρα προστασίας δεδομένων», δήλωσε ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, Βόιτσεχ Βιεβιορόφσκι
«Αυτό είναι απαραίτητο για να διασφαλιστεί ότι οι πληροφορίες των ατόμων προστατεύονται, όπως απαιτείται από τον κανονισμό (ΕΕ) 2018/1725, κάθε φορά που τα δεδομένα τους υποβάλλονται σε επεξεργασία από ή για λογαριασμό μιας ευρωπαϊκής υπηρεσίας, πρόσθεσε.
Οι εντολές του Ευρωπαίου Επόπτη Προστασίας Δεδομένων
Από τις 9 Δεκεμβρίου 2024, ο ΕΕΠΔ έδωσε εντολή στην Επιτροπή να σταματήσει να αποστέλλει δεδομένα από τη χρήση του Microsoft 365 στη Microsoft και τις θυγατρικές της σε χώρες εκτός ΕΕ/ΕΟΧ χωρίς αποφάσεις επάρκειας.
Η Επιτροπή πρέπει επίσης να διασφαλίσει ότι οι δραστηριότητές της στο Microsoft 365 συμμορφώνονται με τον κανονισμό 2018/1725 έως την ίδια ημερομηνία. Για να το επιτύχει αυτό, η Επιτροπή θα πρέπει να προβεί σε χαρτογράφηση των διαβιβάσεων για να περιγράψει λεπτομερώς τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα, τους παραλήπτες, τους σκοπούς και τις διασφαλίσεις.
Επιπλέον, θα πρέπει επίσης να περιορίσει τις διαβιβάσεις σε τρίτες χώρες σε καθήκοντα που εμπίπτουν στην αρμοδιότητα του υπευθύνου επεξεργασίας και να εφαρμόσει συμβατικές διατάξεις και οργανωτικά μέτρα.
Αυτό περιλαμβάνει τη συλλογή δεδομένων προσωπικού χαρακτήρα για σαφείς σκοπούς, τον καθορισμό των τύπων δεδομένων που υποβάλλονται σε επεξεργασία και τη διασφάλιση της συμμόρφωσης με τεκμηριωμένες οδηγίες και νομικές απαιτήσεις.
Σύμφωνα με τον ΕΕΠΔ, τα δεδομένα προσωπικού χαρακτήρα δεν θα πρέπει να χρησιμοποιούνται πέραν των σκοπών για τους οποίους προορίζονται, εκτός εάν επιτρέπεται από το νόμο, οι διαβιβάσεις δεδομένων εντός της ΕΕ ή προς τη Microsoft ή τους εταίρους της συμμορφώνονται με τους κανονισμούς της ΕΕ για την προστασία των δεδομένων, και η κοινοποίηση δεδομένων προσωπικού χαρακτήρα από τη Microsoft ή τους εταίρους της περιορίζεται, εκτός εάν απαιτείται από τη νομοθεσία της ΕΕ ή τρίτης χώρας που παρέχει ισοδύναμη προστασία με εκείνη της ΕΕ.
Η υπόθεση Schrems II
Η έρευνα σχετικά με τη χρήση του Microsoft 365 από την Επιτροπή ξεκίνησε τον Μάιο του 2021 μετά την απόφαση Schrems II, μια απόφαση-ορόσημο του Δικαστηρίου της Ευρωπαϊκής Ένωσης σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από την ΕΕ σε τρίτες χώρες, εστιάζοντας κυρίως στη διαβίβαση δεδομένων στις Ηνωμένες Πολιτείες και στην επάρκεια των μέτρων προστασίας δεδομένων και ιδιωτικότητας στο πλαίσιο αυτό.
Στόχος της έρευνας του ΕΕΠΔ είναι να επαληθεύσει τη συμμόρφωση με τις συστάσεις του σχετικά με τα προϊόντα και τις υπηρεσίες της Microsoft, στο πλαίσιο της συμβολής της εποπτικής αρχής στη συντονισμένη εκτελεστική δράση 2022 του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB), στο οποίο συμμετέχουν εκπρόσωποι των εθνικών αρχών προστασίας δεδομένων, καθώς και ο ΕΕΠΔ.
Η Συντονισμένη Δράση Επιβολής 2022 του EDPB ήταν μια κοινή προσπάθεια των ευρωπαϊκών αρχών προστασίας δεδομένων για την επιβολή των κανονισμών προστασίας δεδομένων, ιδίως του ανώτατου νόμου της ΕΕ για την προστασία των δεδομένων, του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR).