歐洲高階主管必須在 12 月 9 日之前修正其使用 OneDrive、Teams 或 SharePoint 等微軟工具的情況。歐洲資料保護監管機構剛剛發布了一份強硬的新聞稿,邀請其在 2024 年 12 月之前採取糾正措施。
作為歐洲個人資料法律起源的歐盟委員會本身不會尊重…歐洲關於個人資料的法規。這是最終的意見歐洲資料保護監管機構 (EDPS)3 月 11 日星期一剛剛發布了一份精闢的新聞稿,至少可以說是針對布魯塞爾的。他解釋說,歐洲高層涉嫌在使用 Microsoft 365 時違反了資料保護規則。
然而,對於 EDPS 來說,布魯塞爾與歐盟之間簽訂的合約微軟至少可以說是有問題的。這些「問題」應該盡快得到糾正,到明年12月,該組織解釋道,其中列出了一些 ”糾正措施»。 EDP,一個負責監督歐洲機構如何保護資料的獨立機構,自 2021 年 5 月以來一直在調查這一主題。
處理歐洲人個人資料的國家的擔保問題
其結論是最終的。據控制者稱,歐盟委員會沒有遵守相當於 GDPR 的規定,即適用於歐盟機構的個人資料法規(第 2018/1725 號法規)。第一個問題,EDPS 認為歐洲高階主管“未提供適當的保障措施,以確保在(歐洲)境外傳輸的個人資料受益於與歐盟境內提供的保護水平基本相同的保護水平»。
第二個問題與收藏本身有關。通常情況下,應該指定“什麼類型的個人資料可以收集,以及用於哪些明確和指定的目的」。然而,在這裡,這個條件不會被尊重。然而,歐洲資料保護主管 Wojciech Wiewiórowski 在他的報告中寫道:「(…) 歐盟機構、組織和機構必須確保在 EU/EEA(歐洲經濟區,編者註)外部和內部對個人資料的任何處理,包括基於雲端的服務,都具有強大的資料保護保障措施和措施»。
停止某些傳輸、地圖傳輸…
自 12 月 9 日起,委員會必須停止向微軟及其子公司發送使用 Microsoft 365 的數據,“在不屬於充分性決定範圍的非歐洲國家」。為了授權將個人資料從一個歐盟國家轉移到另一個國家,布魯塞爾發布了此類協議。該文本意味著目的地國的法律提供的保障水平相當於歐洲人在歐洲享有的保障水平。
過去,布魯塞爾曾為多個國家發布此類決定,例如加拿大、日本、瑞士、以及去年七月的美國。但微軟會將歐盟委員會的個人資料發送到這些充分性決定未涵蓋的其他國家:因此必須停止傳輸,直到布魯塞爾發布充分性決定。
EDP 也要求與其使用 Microsoft 365 相關的所有個人資料操作均遵守歐洲法規。因此,「委員會將必須進行傳輸映射工作,以詳細說明個人資料的傳輸、接收者、目的和保證»。
對於委員會來說,規則得到了充分遵守
布魯塞爾很快就做出了回應。其發言人約翰內斯·巴爾克 (Johannes Bahrke) 在新聞發布會上宣布歐洲活性劑那 ”委員會始終全力確保 Microsoft 365 的使用符合適用的資料保護規則,並將繼續這樣做」。對於“委員會獲得的所有其他軟體“,他補充道。對於後者,委員會“確信它在事實上和法律上都符合適用的資料保護規則»。
EDP 的這一決定更有問題,因為它“不幸的是,似乎可能會損害當前高水平的行動和嵌入式計算服務» 來自歐盟委員會,他補充道。
歐洲監管機構對 Microsoft 365 使用情況的調查是在歐盟法院做出的 Schrems II 裁決後開始的,該裁決廢除了布魯塞爾和華盛頓先前達成的跨大西洋轉讓協議。在 Euractiv 的同事聯繫我們時,微軟發言人試圖安撫我們,他宣稱「我們在歐洲的客戶可以繼續使用完全符合 GDPR 的 Microsoft 365 (...)»。
來源 : EDP 新聞稿
