Europejski Inspektor Ochrony Danych (EIOD) ustalił niedawno, że Komisja Europejska korzysta z Microsoft 365 narusza rygorystyczne zasady ochrony danych obowiązujące w bloku.
Ta przełomowa decyzja podkreśla rosnące napięcie między wygodą pakietów biurowych opartych na chmurze a pilną potrzebą ochrony wrażliwych danych, zwłaszcza w instytucjach rządowych.
Praktyki Komisji dotyczące danych uznano za niebezpieczne
EIOD zainicjował swoje działania dochodzenie w korzystaniu przez Komisję z platformy Microsoft 365 w maju 2021 r., podsycane obawami dotyczącymi transatlantyckiego przesyłania danych i zgodności z ogólnym rozporządzeniem UE o ochronie danych (RODO).
Sedno problemu polega na tym, że Microsoft, jako firma z siedzibą w USA, podlega amerykańskim przepisom, takim jak Ustawa o CHMURZEpotencjalnie przyznając władzom USA dostęp do danych przechowywanych na serwerach Microsoftu.
Po dokładnym zbadaniu EIOD stwierdził, że Komisja nie wdrożyła wystarczających zabezpieczeń w odniesieniu do przekazywania danych do USA. Naraża to dane obywateli UE na potencjalnie podatne na dostęp amerykańskie agencje wywiadowcze, co rodzi poważne pytania dotyczące prywatności i suwerenności danych.
Gdzie zawiodła ochrona danych Komisji?
EIOD nie tylko wzbudził ogólny alarm w związku z platformą Microsoft 365 – wskazał dokładnie, gdzie Komisja popełniła błąd.
Po pierwsze, przy wysyłaniu danych osobowych poza Europę nie wdrożono wystarczających zabezpieczeń. To ogromna czerwona flaga, zwłaszcza po odrzuceniu całego porozumienia w sprawie Tarczy Prywatności w decyzji Schrems II, która jasno pokazała, że inwigilacja USA może stanowić problem.
Następnie pojawia się pytanie, czy Komisja w ogóle potrzebowała platformy Microsoft 365. Nie potrafili wyjaśnić, dlaczego było to tak istotne. To sprawia, że zastanawiamy się, czy przetwarzali za pośrednictwem firmy Microsoft znacznie więcej danych, niż było to faktycznie konieczne.
I wreszcie wydaje się, że wstępna kontrola prywatności przeprowadzona przez Komisję przed rozpoczęciem korzystania z Microsoft 365 nie była wystarczająco dokładna. To wielka sprawa – prawidłowe przeprowadzenie tej oceny pozwala wykryć zagrożenia dla prywatności i uporać się z nimi, zanim staną się problemem.
Microsoft 365 może zniknąć w UE
Wyrok EIOD to nie tylko strzał w dziesiątkę. To poważne ultimatum z poważnymi konsekwencjami. Komisja ma teraz krótki termin – 9 grudnia 2024 r. – na całkowite wstrzymanie wszelkich przepływów danych do firmy Microsoft i jej partnerów w USA w związku z korzystaniem przez nich z pakietu Microsoft 365.
Niezastosowanie się może skutkować wysokimi karami finansowymi i zaszkodzić reputacji centralnego organu administracyjnego UE. To stawia ich w trudnej sytuacji.
Czy starają się znaleźć alternatywny sposób przetwarzania swoich danych w sposób zgodny z prawem UE, czy też spotykają się z potencjalnymi konsekwencjami sprzeciwu?
Komisja odpowiada
Komisja potwierdziła otrzymanie decyzji EROD i stwierdziła, że przed podjęciem jakiejkolwiek decyzji w sprawie dalszego postępowania będzie musiała „szczegółowo” przeanalizować uzasadnienie.
W szeregu wypowiedzi podczas konferencji prasowejwyrazili pewność, że jest on zgodny z „obowiązującymi przepisami o ochronie danych, zarówno pod względem faktycznym, jak i prawnym”.
Przytoczyli także „różne ulepszenia”, które wprowadzono już do umów z EIOD w trakcie dochodzenia.
Komisja podkreśliła ponadto swoje zaangażowanie w ochronę danych i współpracę z EIOD:
„Od początku dochodzenia w pełni współpracowaliśmy z EIOD… Komisja zawsze była gotowa wdrożyć każde uzasadnione zalecenie EIOD i wdzięczna za otrzymanie go. Ochrona danych jest dla Komisji najwyższym priorytetem”.
Dylemat: prywatność kontra zakłócenia
Jednakże oświadczenia Komisji wskazują również na możliwość znacznych zakłóceń w przypadku konieczności zaprzestania świadczenia usługi Microsoft 365. Komisja twierdzi, że „niestety wydaje się, że zgodność z decyzją EIOD podważy obecny wysoki poziom mobilnych i zintegrowanych usług informatycznych”.
To stwierdzenie podkreśla napięcie pomiędzy utrzymaniem płynnego przepływu operacji a zapewnieniem niezawodnej ochrony danych.
Co jest następne?
Komisja obiecała dokładnie przeanalizować decyzję EIOD, sugerując, że nadejdzie okres wewnętrznych rozważań. Ostateczny wynik pozostaje niepewny – czy będą priorytetowo traktować zgodność, potencjalnie poświęcając łatwość operacji, czy też będą szukać kompromisowego rozwiązania?
Odpowiedź będzie miała szersze konsekwencje dla przyszłości zarządzania danymi w Unii Europejskiej.
Autor wyróżnionego obrazu: Microsoftu.
