Dugotrajnom istragom otkriveno je kako je Europska komisija prekršila pravila o zaštiti podataka Unije korištenjem softvera za produktivnost temeljenog na oblaku.

Nadglednik europske zaštite podataka (European Data Protection Supervisor, EDPS) objavio je kako je Komisija prekršila 'nekoliko ključnih pravila o zaštiti podataka pri korištenju Microsofta 365'.

Tako, recimo, nisu dovoljno specificirali koje vrste osobnih podataka treba prikupljati i za koje izričite i specificirane svrhe pri korištenju Microsofta 365. Također nisu bili pažljivi pri kontroli obrade podataka, uključujući prijenose osobnih podataka, koja se provodi u njezino ime.

Komisija mora do 9. prosinca uskladiti svoje korištenje Microsofta 365 s europskim pravilima ili naći alternativno rješenje.

Sporan pravni temelj

Istraga je pokrenuta u svibnju 2021. Sporan je bio način na koji Microsoft obrađuje podatke korisnika svoje usluge u računalnom oblaku. Regulatorna tijela Unije već su godinama zabrinuta zbog toga, kao i zbog pravnog temelja na kojeg se Microsoft poziva.

Problem predstavlja i nedostatak jasnoće i preciznosti u tekstu ugovora za proizvod te to što se ne primjenjuju se nikakve tehničke mjere zaštite kako bi se osiguralo da se podaci koriste samo za pružanje i održavanje usluge.

U vrijeme pokretanja istrage nije postojao sporazum o prijenosu podataka između Unije i SAD-a, nakon što je bio dokinut Privacy Shield u srpnju 2020.

U srpnju 2023. usvojen je novi transatlantski sporazum o prijenosu podataka. Ali, tijekom većeg dijela razdoblja u kojem je EDPS istraživao Komisijinu upotrebu Microsofta 365 nije bilo dogovora koji bi pokrivao prijenose podataka iz Unije u SAD. Korištenje Microsofta 365 rutinski rezultira povratkom podataka na Microsoftove web poslužitelje u SAD-u.

Što se tiče prijenosa podataka, EDPS je utvrdio kako Komisija nije osigurala primjenu odgovarajućih zaštitnih mjera na te izvoze podataka kako bi se osigurala suštinski jednaka zaštita podataka nakon napuštanja bloka.

Komisiji su naložili obustavu svog prometa podacima prema Microsoftu temeljem korištenja Microsofta 365 prema Microsoftu, njegovim podružnicama i tvrtkama koje je unajmio u državama izvan Unije i Europskog gospodarskog prostora koje nisu obuhvaćene odlukom o primjerenosti prijenosa podataka.

Rok za to također je 9. prosinca. Naloženo je i mapiranje prijenosa podataka, kako bi se utvrdilo koji se osobni podaci prenose kojim primateljima u kojim trećim državama, u koje svrhe i pod kojim zaštitnim mjerama, uključujući daljnje prijenose.

Promjena ugovora

Komisija uz to mora osigurati da se svi prijenosi u države koje nisu članice Unije bez odluke o primjerenosti odvijaju 'isključivo na način koji će omogućiti izvršavanje zadataka u nadležnosti kontrolora'.

Morat će korigirati svoje ugovore s Microsoftom, kako bi u njih bile dodane odredbe koje će osigurati organizacijske i/ili tehničke mjere prikupljanja osobnih podataka samo u izričite i određene svrhe. Ti podaci moraju biti 'dovoljno određeni' u odnosu na svrhe za koje se obrađuju.

Podatke smije obrađivati samo Microsoft, njegove podružnice ili tvrtke koje je angažirao, 'prema dokumentiranim uputama Komisije', prema nalogu - osim ako se ne odvija unutar regije i svrha obrade je u skladu sa zakonom Unije ili države članice.

Ako se obrađuje izvan regije u drugu svrhu prema zakonu treće države, mora se primijeniti suštinski jednaka zaštita. Ugovori također moraju osigurati da nema daljnje obrade podataka, odnosno da neće biti korišteni izvan izvorne svrhe za koju se podaci prikupljaju.

EDPS je utvrdio kako je Komisija prekršila načelo 'ograničenja svrhe' primjenjivih pravila o zaštiti podataka time što nije dovoljno odredila vrste osobnih podataka prikupljenih prema ugovoru o licenciranju koji je sklopila s Microsoftom Ireland, što znači kako nije mogla osigurati da su oni specifični i eksplicitni.

Uz to, nije pružila dovoljno jasne dokumentirane upute Microsoftu u vezi s obradom uspjela osigurati da je njegova obrada ograničena uputama uspjela procijeniti usklađenost Microsoftove daljnje obrade sa svrhom koja je prvobitno navedena za prikupljanje.

Porozna tehnička infrastruktura

Tijekom posljednjih nekoliko godina Microsoft je odgovorio na povećani pritisak regulatornih tijela unije fokusiranjem na lokalizaciju podataka usmjerenih na regionalne klijente u oblaku, u infrastrukturi označeno kao 'EU podatkovna granica za Microsoftov oblak'.

Međutim, tehnička infrastruktura još nije postavljena u potpunosti. A i kad dovrše taj posao krajem ove godine, bit će porozna jer će pojedini skupovi podataka ostati dostupni izvan Unije.

Komisija je potvrdila primitak odluke EDPB-a i rekla da će morati detaljno analizirati obrazloženje prije donošenja bilo kakve odluke o tome kako postupiti. Najavila je da će nastaviti u potpunosti surađivati s EDPS-om i kako joj je zaštita podataka glavni prioritet.

Ipak, upozorili su kako će 'poštivanje odluke EDPS-a nažalost vjerojatno potkopati trenutnu visoku razinu mobilnih i integriranih IT usluga'. To se odnosi ne samo na Microsoft, već potencijalno i na druge komercijalne IT usluge, piše Tech Crunch.