欧洲高管必须在 12 月 9 日之前纠正其使用 OneDrive、Teams 或 SharePoint 等微软工具的情况。欧洲数据保护监管机构刚刚发布了一份强硬的新闻稿,邀请其在 2024 年 12 月之前采取纠正措施。
作为欧洲个人数据法律起源的欧盟委员会本身不会尊重……欧洲关于个人数据的法规。这是最终的意见欧洲数据保护监管机构 (EDPS)3 月 11 日星期一刚刚发布了一份精辟的新闻稿,至少可以说是针对布鲁塞尔的。他解释说,欧洲高管涉嫌在使用 Microsoft 365 时违反了数据保护规则。欧洲公务员每天都会使用各种 Microsoft 服务,例如 Word、Excel、PowerPoint、Outlook、OneDrive、Teams 或 SharePoint。
然而,对于 EDPS 来说,布鲁塞尔与欧盟之间签订的合同微软至少可以说是有问题的。这些“问题”应该尽快得到纠正,到明年12月,该组织解释道,其中列出了一些 ”纠正措施»。 EDPS,一个负责监督欧洲机构如何保护数据的独立机构,自 2021 年 5 月以来一直在调查这一主题。
处理欧洲人个人数据的国家的担保问题
其结论是最终的。据控制者称,欧盟委员会没有遵守相当于 GDPR 的规定,即适用于欧盟机构的个人数据法规(第 2018/1725 号法规)。第一个问题,EDPS 认为欧洲高管“未提供适当的保障措施,以确保在(欧洲)境外传输的个人数据受益于与欧盟境内提供的保护水平基本相同的保护水平»。
第二个问题与收藏本身有关。通常情况下,应该指定“什么类型的个人资料可以收集,以及用于哪些明确和指定的目的”。然而,在这里,这个条件不会得到尊重。然而,欧洲数据保护主管 Wojciech Wiewiórowski 在他的报告中写道:“(…) 欧盟机构、组织和机构必须确保在 EU/EEA(欧洲经济区,编者注)外部和内部对个人数据的任何处理,包括基于云的服务,都具有强大的数据保护保障措施和措施»。
停止某些传输、地图传输……
自 12 月 9 日起,委员会必须停止向微软及其子公司发送使用 Microsoft 365 的数据,“在不属于充分性决定范围的非欧洲国家”。为了授权将个人数据从一个欧盟国家转移到另一个国家,布鲁塞尔发布了此类协议。该文本意味着目的地国的法律提供的保障水平相当于欧洲人在欧洲享有的保障水平。
过去,布鲁塞尔曾为多个国家发布过此类决定,例如加拿大、日本、瑞士、以及去年七月的美国。但微软会将欧盟委员会的个人数据发送到这些充分性决定未涵盖的其他国家:因此必须停止传输,直到布鲁塞尔发布充分性决定。
EDPS 还要求与其使用 Microsoft 365 相关的所有个人数据操作均遵守欧洲法规。因此,“委员会将必须进行传输映射工作,以详细说明个人数据的传输、接收者、目的和保证»。
对于委员会来说,规则得到了充分遵守
布鲁塞尔很快就做出了回应。其发言人约翰内斯·巴克 (Johannes Bahrke) 在新闻发布会上宣布欧洲活性剂那 ”委员会始终全力确保 Microsoft 365 的使用符合适用的数据保护规则,并将继续这样做”。对于“委员会获得的所有其他软件“,他补充道。对于后者,委员会“确信它在事实上和法律上都符合适用的数据保护规则»。
EDPS 的这一决定更有问题,因为它“不幸的是,似乎可能会损害当前高水平的移动和嵌入式计算服务» 来自欧盟委员会,他补充道。
欧洲监管机构对 Microsoft 365 使用情况的调查是在欧盟法院做出的 Schrems II 裁决后开始的,该裁决废除了布鲁塞尔和华盛顿之前达成的跨大西洋转让协议。在 Euractiv 的同事联系我们时,微软发言人试图安抚我们,他宣称“我们在欧洲的客户可以继续使用完全符合 GDPR 的 Microsoft 365 (...)»。
来源 : EDPS 新闻稿
