ΕΕΠΔ: Η Ευρωπαϊκή Επιτροπή παραβιάζει τη νομοθεσία για τα προσωπικά δεδομένα με τη χρήση του Microsoft 365
Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων δίνει προθεσμία στην Επιτροπή για να συμμορφωθεί
ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ
ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ
ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ
ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ
Μετά από έρευνά του, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ) διαπίστωσε ότι η Ευρωπαϊκή Επιτροπή παραβίασε αρκετούς βασικούς κανόνες προστασίας δεδομένων κατά τη χρήση του Microsoft 365. Στην απόφασή του, ο ΕΕΠΔ επιβάλλει διορθωτικά μέτρα στην Επιτροπή.
Ο ΕΕΠΔ διαπίστωσε ότι η Επιτροπή παραβίασε αρκετές διατάξεις του κανονισμού (ΕΕ) 2018/1725, του δικαίου της ΕΕ για την προστασία δεδομένων από τα θεσμικά και λοιπά όργανα και οργανισμούς της ΕΕ, συμπεριλαμβανομένων εκείνων που αφορούν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός ΕΕ/ ΕΟΧ.
Ειδικότερα, η Επιτροπή δεν παρείχε τις κατάλληλες εγγυήσεις για να διασφαλίσει ότι τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται εκτός ΕΕ/ΕΟΧ έχουν ουσιαστικά ισοδύναμο επίπεδο προστασίας με αυτό που διασφαλίζεται στην ΕΕ/ΕΟΧ.
Επιπλέον, στη σύμβασή της με τη Microsoft, η Επιτροπή δεν προσδιόρισε επαρκώς ποια είδη δεδομένων προσωπικού χαρακτήρα πρέπει να συλλέγονται και για ποιους σαφείς και καθορισμένους σκοπούς κατά τη χρήση του Microsoft 365. Οι παραβάσεις της Επιτροπής ως υπευθύνου επεξεργασίας δεδομένων αφορούν επίσης την επεξεργασία δεδομένων, συμπεριλαμβανομένης της διαβίβασης δεδομένων προσωπικού χαρακτήρα, που πραγματοποιείται για λογαριασμό της.
Ο Επίτροπος Wojciech Wiewiórowski δήλωσε: "Είναι ευθύνη των θεσμικών οργάνων, οργανισμών, φορέων και υπηρεσιών της ΕΕ να διασφαλίζουν ότι κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα εκτός και εντός της ΕΕ/ΕΟΧ, συμπεριλαμβανομένης της επεξεργασίας στο πλαίσιο υπηρεσιών που βασίζονται στο νέφος, συνοδεύεται από ισχυρές εγγυήσεις και μέτρα προστασίας των δεδομένων. Αυτό είναι επιβεβλημένο, προκειμένου να διασφαλιστεί ότι οι πληροφορίες των προσώπων προστατεύονται, όπως απαιτείται από τον κανονισμό (ΕΕ) 2018/1725, κάθε φορά που τα δεδομένα τους υποβάλλονται σε επεξεργασία από ή για λογαριασμό ενός οργάνου της Ένωσης."
Ως εκ τούτου, ο ΕΕΠΔ αποφάσισε να διατάξει την Επιτροπή, με ισχύ από τις 9 Δεκεμβρίου 2024, να αναστείλει όλες τις ροές δεδομένων που απορρέουν από τη χρήση του Microsoft 365 προς τη Microsoft και προς τις θυγατρικές της και τους υποεκτελούντες της που βρίσκονται σε χώρες εκτός ΕΕ/ΕΟΧ που δεν καλύπτονται από απόφαση επάρκειας. Ο ΕΕΠΔ αποφάσισε επίσης να διατάξει την Επιτροπή να συμμορφώσει τις πράξεις επεξεργασίας που απορρέουν από τη χρήση του Microsoft 365 με τον κανονισμό (ΕΕ) 2018/1725. Η Επιτροπή πρέπει να αποδείξει τη συμμόρφωσή της με τις δύο εντολές έως τις 9 Δεκεμβρίου 2024.
Ο ΕΕΠΔ θεωρεί ότι τα διορθωτικά μέτρα που επιβάλλει είναι κατάλληλα, αναγκαία και αναλογικά με βάση τη σοβαρότητα και τη διάρκεια των παραβάσεων που διαπιστώθηκαν.
Πολλές από τις διαπιστωθείσες παραβάσεις αφορούν όλες τις πράξεις επεξεργασίας που διενεργεί η Επιτροπή, ή για λογαριασμό της, κατά τη χρήση του Microsoft 365 και επηρεάζουν μεγάλο αριθμό ατόμων.
Ο ΕΕΠΔ λαμβάνει επίσης υπόψη την ανάγκη να μην διακυβεύεται η ικανότητα της Επιτροπής να εκτελεί τα καθήκοντά της προς το δημόσιο συμφέρον ή να ασκεί την επίσημη εξουσία που της έχει ανατεθεί, καθώς και την ανάγκη να δοθεί ο κατάλληλος χρόνος στην Επιτροπή για να εφαρμόσει την προβλεπόμενη αναστολή των σχετικών ροών δεδομένων και να συμμορφώσει την επεξεργασία των δεδομένων με τον κανονισμό (ΕΕ) 2018/1725.
Τα μέτρα που επέβαλε ο ΕΕΠΔ με την απόφασή του της 8ης Μαρτίου 2024 δεν θίγουν οποιαδήποτε άλλη ή περαιτέρω ενέργεια που μπορεί να αναλάβει ο ΕΕΠΔ.
Οι διαπιστώσεις των παραβάσεων και τα διορθωτικά μέτρα που επέβαλε ο ΕΕΠΔ με την απόφασή του περιλαμβάνονται στο παράρτημα του δελτίου τύπου.
