Három éves vizsgálat eredményeként jelentette ki az Európai Adatvédelmi Biztos (EDPS), hogy az Európai Bizottság jogsértően jár el, miközben a különböző Microsoft szolgáltatásokat használja. Különös tekintettel problémás a Microsoft 365 szolgáltatás igénybevétele.
Az Európai Bizottság most 9 hónap haladékot kapott arra, hogy rendezze az adatkezelési gyakorlatát, és megoldást találjon arra, hogy a jogsértő magatartást megszüntesse. Ennek megfelelően még az idei évben megoldódhat a probléma, már amennyiben az EB képes lesz megfelelő megoldást találni az ügyben, amiben a Microsoft a másik érintett fél. Mondhatnánk, hogy „akasztják a hóhért”, de itt igazából nem egészen erről van szó. A probléma azzal van, hogy az EU-n kívül az Európai Bizottság nem tudja azt garantálni, hogy a jogszabályoknak megfelelően kezelik a felhasználói adatokat.
Amikor a felhasználók igénybe veszik az Európai Bizottságnál vagy más szervezetnél a Microsoft szolgáltatásait, így például a Microsoft 365-öt az irodai munka során, akkor a felhőben tárolt adatok nem uniós tagállamokba kerülhetnek. Ebben az esetben pedig az Európai Adatvédelmi Biztos vizsgálatai szerint az Európai Bizottság képtelen biztosítani az EU-ban hatályos jogszabályoknak megfelelően adatvédelmet. Éppen ezért arra szólította fel az EDPS az illetékeseket, hogy szüntessék meg ezt a gyakorlatot.
„A Bizottság nem tudott felmutatni olyan dokumentumokat, amik minden kétséget kizáróan bizonyították volna, hogy az EU/EGT-n kívülre továbbított személyes adatok az EU/EGT-n belül garantáltal lényegében azonos szintű védelemben részesüljenek” – áll a felügyelő hatóság közleményében.
Azt is aggályosnak találta a 2021-ben indult eljárás során az Európai Adatvédelmi Biztos, hogy a személyes adatok felhasználására és védelmére a szerződések nem fordítanak kellő figyelmet. Az Európai Bizottságnak ezt is rendeznie kell. „A Bizottság a Microsofttal kötött szerződésében nem határozta meg kellőképpen, hogy a Microsoft 365 használata során milyen típusú személyes adatok gyűjthetők, és milyen célokra lehet ezeket felhasználni” – szögezte le az EDPS.
A legegyszerűbb megoldást az jelenthetné, ha a Microsoft az európai emberek adatait Európában kezelné. Vannak olyan országok nemzetközi szinten, amiknek van erre vonatkozó megállapodása, és tudnak az EU által elvárt adatvédelmet biztosítani. Az Egyesült Államok is ide sorolható Dél-Korea, Japán, Svájc, az Egyesült Királyság és még sok már ország mellett. A Microsoft tehát elvileg biztosíthat erre megoldást az EU-vel együttműködve, de a probléma ezen túlmutat, amire a cég világított rá.
A redmondiak jelezték, hogy megkezdték az Európai Adatvédelmi Biztos döntésének vizsgálatát, és mindenben együttműködnek majd az európai döntéshozókkal, hogy a problémákat megfelelően kezeljék. Arra is rávilágítottak, hogy miből erednek a mostani gondok. „Az EDPS által felvetett aggályok nagyrészt az EUDPR szerinti szigorúbb átláthatósági követelményekkel kapcsolatosak, ez a jogszabály pedig csak az Európai Unió intézményeire vonatkozik” – mondta a Microsoft szóvivője.
Ez az ügy jól mutatja, hogy az adatvédelmi szabályozás mennyire komplex és összetett dolog nemzetközi szinten. És azt is jelzi, hogy bizony sok esetben olyan helyeken is jogsértést lehet megállapítani, ahol erre a legkevésbé gondolnának, éppen ezért mindenhol el kell végezni a szükséges vizsgálatokat a fenyegetések feltárására.