Utilizarea de către Comisia Europeană a Microsoft 365 încalcă legislația UE privind protecția datelor cu caracter personal
Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ, comunică factul că, în urma investigației sale, Autoritatea Europeană pentru Protecția Datelor (AEPD) a constatat că Comisia Europeană (CE) a încălcat mai multe dispoziții ale Regulamentului (UE) 2018/1725, Legii UE privind protecția datelor pentru instituțiile, organele, oficiile și agențiile UE, inclusiv cele privind transferurile de date cu caracter personal în afara UE/Spațiului Economic European (SEE), impunând măsuri corective. Totodată, CE nu a reușit să ofere garanții adecvate pentru a se asigura că datele cu caracter personal transferate în afara UE/SEE beneficiază de un nivel de protecție adecvat echivalent cu cel garantat în UE/SEE. În plus, în contractul încheiat cu Microsoft, CE nu a specificat suficient ce tipuri de date cu caracter personal urmează să fie colectate și în ce scopuri atunci când se utilizează Microsoft 365. Încălcările CE în calitate de operator de date se referă, de asemenea, la prelucrarea datelor, inclusiv la transferurile de date cu caracter personal, efectuate în numele său.
Prin urmare, AEPD a decis să dispună CE, începând cu 9 decembrie 2024, să suspende toate fluxurile de date care rezultă din utilizarea Microsoft 365 către Microsoft și către filialele și subcontractanții săi situați în țări din afara UE/SEE care nu fac obiectul unei decizii de adecvare și să-și aducă operațiunile de prelucrare rezultate din utilizarea de către aceasta a Microsoft 365 în conformitate cu Regulamentul (UE) 2018/1725. CE trebuie să demonstreze conformitatea cu ambele dispoziții până la 9 decembrie 2024.
AEPD consideră că măsurile corective pe care le impune sunt adecvate, necesare și proporționale, având în vedere gravitatea și durata încălcărilor constatate. Multe dintre încălcările constatate se referă la toate operațiunile de prelucrare efectuate de CE, sau în numele acesteia, atunci când utilizează Microsoft 365 și au impact asupra unui număr mare de persoane. De asemenea, AEPD ia în considerare necesitatea de a nu compromite capacitatea CE de a-și îndeplini sarcinile de interes public sau de a-și exercita atribuțiile de autoritate oficială cu care a fost învestită, precum și necesitatea de a acorda acesteia un timp adecvat pentru a pune în aplicare suspendarea prevăzută a fluxurilor de date relevante și pentru a aduce prelucrarea datelor în conformitate cu Regulamentul (UE) 2018/1725.
CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.