Përdorimi i Microsoft 365 nga BE-ja u zbulua se shkel rregullat e mbrojtjes së të dhënave
Një hetim i gjatë mbi përdorimin e Microsoft 365 nga Bashkimi Evropian ka gjetur se Komisioni ka shkelur rregullat e bllokut për mbrojtjen e të dhënave nëpërmjet përdorimit të softuerit të produktivitetit të bazuar në renë kompjuterike.
Duke njoftuar vendimin e tij në një deklaratë për shtyp sot, Mbikëqyrësi Evropian i Mbrojtjes së të Dhënave (EDPS) tha se Komisioni shkeli “disa rregulla kryesore të mbrojtjes së të dhënave kur përdor Microsoft 365”.
“Komisioni nuk specifikoi mjaftueshëm se çfarë lloje të të dhënave personale do të mblidhen dhe për cilat qëllime të qarta dhe të specifikuara kur përdorni Microsoft 365,” shkroi mbikëqyrësi i të dhënave, Wojciech Wiewiórowski, duke shtuar: “Shkeljet e Komisionit si kontrollues i të dhënave lidhen gjithashtu me përpunimi i të dhënave, përfshirë transferimet e të dhënave personale, të kryera në emër të tij.”
EDPS ka vendosur masa korrigjuese që i kërkojnë Komisionit të adresojë problemet e pajtueshmërisë që ka identifikuar deri më 9 dhjetor 2024, duke supozuar se ai vazhdon të përdorë paketën cloud të Microsoft.
Microsoft dhe Komisioni u kontaktuan për një përgjigje ndaj gjetjeve të EDPS. Por në kohën e shkrimit asnjëri nuk ishte përgjigjur.
Rregullatori, i cili mbikëqyr pajtueshmërinë e institucioneve të BE-së me rregullat e mbrojtjes së të dhënave, hapi një hetim për përdorimin e Microsoft 365 nga Komisioni dhe shërbime të tjera cloud në SHBA në maj 2021 .
Çështja është se si Microsoft përpunon të dhënat e përdoruesve të shërbimit të tij cloud. Rregullatorët e BE-së kanë vënë në dukje shqetësimet në lidhje me këtë për vite me rradhë , përfshirë në lidhje me bazën ligjore që pretendon Microsoft për përpunimin e të dhënave; mungesa e qartësisë dhe saktësisë në formulimin e kontratave të saj për produktin; dhe nuk zbatohen masa mbrojtëse teknike për të siguruar që të dhënat përdoren vetëm për ofrimin dhe mirëmbajtjen e shërbimit.
Kur EDPS hapi hetimin, gjithashtu nuk kishte asnjë marrëveshje për transferimin e të dhënave midis bllokut dhe SHBA-së, pas rrëzimit të Mburojës së Privatësisë BE-SHBA në korrik 2020 .
Një marrëveshje e re për transferimin e të dhënave transatlantike u ra dakord dhe u miratua më pas, ju vite më vonë ( korrik 2023 ). Por për pjesën më të madhe të periudhës që EDPS po hetonte përdorimin e Microsoft 365 nga Komisioni, nuk kishte asnjë marrëveshje që mbulonte transferimin e të dhënave nga BE-ja në SHBA, megjithatë përdorimi i Microsoft 365 rezulton në mënyrë rutinore në kthimin e të dhënave në serverët e Microsoft-it në SHBA
Në lidhje me transferimet e të dhënave, EDPS zbuloi se Komisioni dështoi të sigurojë që masat e duhura mbrojtëse janë zbatuar për këto eksporte të të dhënave për të siguruar që mbrojtjet e barazvlefshme për të dhënat janë vendosur pasi ai u largua nga blloku.
Mbikëqyrësi i të dhënave ka urdhëruar Komisionin të pezullojë të gjitha flukset e të dhënave që rezultojnë nga përdorimi i Microsoft 365 për Microsoft dhe bashkëpunëtorët dhe nën-përpunuesit e tij të vendosur në vende jashtë BE/ZEE që nuk mbulohen nga një vendim i BE-së për përshtatshmërinë për transferimin e të dhënave – përsëri, me një afat deri më 9 dhjetor për këtë.
Është urdhëruar gjithashtu të kryhet një ushtrim i transferimit të të dhënave – duke identifikuar “çfarë të dhëna personale u transferohen cilit marrës në cilat vende të treta, për cilat qëllime dhe subjekt i cilave masa mbrojtëse, duke përfshirë një transferim të mëtejshëm”. Ai gjithashtu duhet të sigurojë që të gjitha transferimet në vendet jashtë BE-së pa një vendim për përshtatshmërinë të bëhen “vetëm për të lejuar kryerjen e detyrave brenda kompetencës së kontrolluesit”.
Më gjerësisht, masat korrigjuese të EDPS-së kërkojnë që Komisioni të rregullojë kontratat e tij me Microsoft – për të siguruar që ato përmbajnë dispozitat e nevojshme kontraktuale, masat organizative dhe/ose masat teknike për të siguruar që të dhënat personale të mblidhen vetëm për qëllime të qarta dhe të specifikuara; dhe “të përcaktuara mjaftueshëm” në lidhje me qëllimet për të cilat ato përpunohen.
Të dhënat duhet gjithashtu të përpunohen vetëm nga Microsoft ose filialet ose nën-përpunuesit e tij “sipas udhëzimeve të dokumentuara të Komisionit”, sipas porosisë — përveç rasteve kur ato ndodhin brenda rajonit dhe përpunimi është për një qëllim që është në përputhje me ligjin e BE-së ose të Shtetit Anëtar; ose, nëse jashtë rajonit që do të përpunohet për një qëllim tjetër sipas ligjit të vendit të tretë, duhet të zbatohet në thelb mbrojtje ekuivalente.
Kontratat duhet gjithashtu të sigurojnë se nuk ka përpunim të mëtejshëm të të dhënave – dmth. përdorime përtej qëllimit origjinal për të cilin janë mbledhur të dhënat.
EDPS zbuloi se Komisioni shkeli parimin e “kufizimit të qëllimit” të rregullave të zbatueshme të mbrojtjes së të dhënave duke dështuar në përcaktimin e mjaftueshëm të llojeve të të dhënave personale të mbledhura sipas marrëveshjes së licencimit që lidhi me Microsoft Irlandën, që do të thotë se nuk ishte në gjendje të siguronte që këto të ishin specifike dhe të qarta.
BE-ja gjithashtu dështoi të ofrojë udhëzime mjaftueshëm të qarta të dokumentuara për Microsoft-in në lidhje me përpunimin; nuk arriti të sigurohej që përpunimi i tij ishte i kufizuar me udhëzim; dhe nuk arriti të vlerësonte përputhshmërinë e përpunimit të mëtejshëm të Microsoft me qëllimin e deklaruar fillimisht për mbledhjen, midis shkeljeve të tjera të rregullave të identifikuara nga EDPS.
Duke komentuar në një deklaratë, Wiewiórowski shkroi:
Është përgjegjësi e institucioneve, organeve, zyrave dhe agjencive të BE-së që të sigurojnë që çdo përpunim i të dhënave personale jashtë dhe brenda BE/EEA, përfshirë në kontekstin e shërbimeve të bazuara në cloud, të shoqërohet me masa mbrojtëse të fuqishme për mbrojtjen e të dhënave dhe masat. Kjo është e domosdoshme për të siguruar që informacioni i individëve të mbrohet, siç kërkohet nga Rregullorja (BE) 2018/1725, sa herë që të dhënat e tyre përpunohen nga, ose në emër të, një EUI.
Gjatë viteve të fundit, Microsoft i është përgjigjur rrezikut të shtuar rregullator të BE-së që lidhet me transferimet e të dhënave duke zgjeruar një përpjekje për lokalizimin e të dhënave të përqendruar te klientët rajonalë të cloud – në një infrastrukturë që është quajtur ” Kufiri i të dhënave të BE-së për Microsoft Cloud “. Megjithatë, infrastruktura teknike është ende në proces të përpunimit. Ai gjithashtu mbetet poroz nga dizajni, me disa të dhëna të vendosura për të mbetur të aksesueshme jashtë BE-së edhe kur prezantimi është planifikuar të përfundojë në fund të këtij viti, sipas Microsoft.
Komisioni konfirmoi marrjen e vendimit të EDPB-së dhe tha se do të duhet të analizojë arsyetimin “në detaje” përpara se të marrë ndonjë vendim se si të vazhdojë. Në një sërë deklaratash gjatë një konference për shtyp , ajo shprehu besimin se është në përputhje me “rregullat e zbatueshme të mbrojtjes së të dhënave, si në fakt ashtu edhe në ligj”. Ai gjithashtu tha se “përmirësime të ndryshme” janë bërë në kontratat, me EDPS, gjatë hetimit të tij.
“Ne kemi bashkëpunuar plotësisht me EDPS-në që nga fillimi i hetimit, duke ofruar të gjitha dokumentet dhe informacionet përkatëse për EDPS-në dhe duke ndjekur çështjet që janë ngritur gjatë hetimit,” tha ai. “Komisioni ka qenë gjithmonë i gatshëm të zbatojë dhe është mirënjohës për marrjen e çdo rekomandimi të vërtetuar nga EDPS. Mbrojtja e të dhënave është një prioritet kryesor për Komisionin.”
“Komisioni ka qenë gjithmonë plotësisht i përkushtuar për të siguruar që përdorimi i tij i Microsoft M365 është në përputhje me rregullat e zbatueshme për mbrojtjen e të dhënave dhe do të vazhdojë ta bëjë këtë. E njëjta gjë vlen edhe për të gjithë programet e tjera të blera nga Komisioni”, vazhdoi ai, duke theksuar më tej: “Rregullat e reja për mbrojtjen e të dhënave për institucionet dhe organet e BE-së hynë në fuqi më 11 dhjetor 2018. Komisioni po ndjek në mënyrë aktive korniza ambicioze dhe të sigurta të përshtatshmërisë me partnerët ndërkombëtarë. Komisioni i zbaton ato rregulla në të gjitha proceset dhe kontratat e tij, duke përfshirë kompanitë individuale si Microsoft.”
Ndërsa deklaratat publike të Komisionit përsëritën se ai është i përkushtuar për të përmbushur detyrimet e tij ligjore, ai gjithashtu pohoi se “përputhja me vendimin e EDPS fatkeqësisht duket se ka të ngjarë të dëmtojë nivelin aktual të lartë të shërbimeve të TI-së celulare dhe të integruara”.
“Kjo vlen jo vetëm për Microsoft-in, por potencialisht edhe për shërbimet e tjera komerciale të IT-së. Por së pari duhet të analizojmë në detaje përfundimet e vendimit dhe arsyet themelore. Nuk mund të japim komente të mëtejshme derisa të përfundojmë analizën”, shtoi ai.