Microsoft je bil v preteklih letih večkrat kaznovan s strani Evropske unije (EU). Tokrat pa se je v preiskavi znašla Evropska komisija. Dolga preiskava uporabe Microsoft 365 v Evropski uniji (EU) je pokazala, da je Evropska komisija z uporabo programske opreme za produktivnost v oblaku kršila pravila o varstvu podatkov, je poročal Reuters. Evropska komisija je z uporabo aplikacij Microsofta 365 kršila pravila EU o zasebnosti, prav tako pa niso uvedli ustreznih zaščitnih ukrepov za zaščito osebnih podatkov, ki so preneseni v države, ki niso članice EU, so danes sporočili z evropske institucije za varstvo podatkov (Evropski nadzornik za varstvo podatkov - ENVP).
''Institucije, organi, uradi in agencije EU so odgovorne za zagotovitev, da vsaka obdelava osebnih podatkov zunaj in znotraj EU, tudi v okviru storitev v oblaku, spremljajo zanesljivi zaščitni ukrepi in ukrepi za varstvo podatkov. To je nujno, da se zagotovi, da so podatki posameznikov zaščiteni, kot zahteva Uredba (EU) 2018/1725, kadar koli njihove podatke obdeluje EUI ali se obdelujejo v njegovem imenu,'' je v sporočilu zapisal Wojciech Wiewiórowski z ENVP.
Institucija za varstvo podatkov je Evropski komisiji naročila, naj sprejme ukrepe za izpolnjevanje pravil o zasebnosti in ustavi prenos podatkov v ameriško podjetje in podružnice v tretjih državah, ki z EU nimajo dogovorov o zasebnosti. Komisija bo morala do 9. decembra 2024 dokazati izpolnjevanje odredb.
Odločitev ENVP je sledila triletni preiskavi, ki so jo sprožile skrbi glede prenosa osebnih podatkov v ZDA. Za zaskrbljenost so poskrbela razkritja iz leta 2013 nekdanjega sodelavca ameriške obveščevalne službe (NSA) Edwarda Snowdna o množičnem nadzoru v ZDA. "Komisija v pogodbi z Microsoftom ni dovolj natančno določila, katere vrste osebnih podatkov je treba zbirati in za katere izrecne in določene namene pri uporabi Microsoft 365," so zapisali v ENVP.
Microsoft 365 je paket aplikacij, ki vključuje Wordove dokumente, Excelove preglednice, PowerPointove predstavitve in Outlookova e-poštna sporočila. Organ za varstvo podatkov je komisiji naročil, naj prekine vse tokove podatkov, ki izhajajo iz njegove uporabe Microsoft 365, do podjetja in njegovih podružnic ter podobdelovalcev v državah zunaj Evrope.
EU ima sporazume o ustreznosti podatkov s 16 državami, vključno z Argentino, Japonsko, Južno Korejo, Švico, Veliko Britanijo in ZDA. ENVP je preiskavo uporabe Microsofta 365 in drugih storitev v oblaku s strani Komisije začel maja 2021.
Ključno vprašanje je, kako Microsoft obdeluje podatke uporabnikov svojih storitve v oblaku. Regulatorji EU že leta izražajo pomisleke glede pravne podlage, na katero se Microsoft sklicuje za obdelavo podatkov. Opozarjajo tudi na pomanjkanje jasnosti in natančnosti v besedilu njegovih pogodb za uporabo izdelka ter pomanjkanje tehničnih varnostnih ukrepov, ki bi zagotovili, da se podatki uporabljajo samo za zagotavljanje storitve.