Kapcsolódó termékek: Jogi kiadványok, Ügyvéd Jogtár demo
Az európai adatvédelmi biztos szerint felmerülhetnek aggályok a GDPR és az uniós adatvédelmi előírások kapcsán a Microsoft 365 szoftver használatával összefüggésben.
A címbeli kérdés apropója az Európai Bizottság 2024. március 11-én közzétett EDPS/2024/05 számú tájékoztatása. A közlemény szerint Wojciech Wiewiórowski európai adatvédelmi biztos 2021 májusában az Európai Bizottság szoftverhasználata kapcsán indult vizsgálata során megállapította, hogy a Microsoft 365 használata során több kulcsfontosságú adatvédelmi szabályt is sérthet. Az európai adatvédelmi biztos határozatában az Európai Bizottság számára korrekciós intézkedéseket irányzott elő a probléma feloldására a kérdéses szoftver használata kapcsán.
Ennek a vizsgálatnak kifejezetten annak ellenőrzése volt a célja, hogy az Európai Bizottság betartja-e az európai adatvédelmi biztos által korábban kiadott, a Microsoft termékeinek és szolgáltatásainak használatáról szóló ajánlásoknak való megfelelését. A biztos határozatában megállapította, hogy a Bizottság a Microsoft 365 program használata során megsértette az uniós intézményekre vonatkozó EU-s adatvédelmi előírásokat, főként a tekintetben, hogy a személyes adatok EU-n/Európai Gazdasági Térségen (EGT) kívüli továbbítására vonatkozó rendelkezéseket nem tudta betartani.
Az adatvédelmi biztos szerint nincsenek jelenleg megfelelő biztosítékok az EU/EGT-ben elvárt szintű védelmére a program használata során az EU/EGT-n kívülre továbbított személyes adatok kapcsán. A Bizottság és a Microsoft között a Microsoft 365 használatára megkötött szerződés a közlemény szerint nem határozta meg megfelelően, hogy mely személyes adatok és milyen célokra gyűjthetők a program használata során.
Az európai adatvédelmi biztos rámutatott, hogy a megállapított jogsértések közül sok a Bizottság által a Microsoft 365 használatával végzett valamennyi feldolgozási műveletre vonatkozik, és nagyszámú személyt érint. A döntés szerint a Bizottság adatkezelése során nem igazolt, hogy a személyes adatok további kezelésének tényleges adatkezelési céljai összeegyeztethetők-e az eredeti adatkezelési célokkal.
Az sem alátámasztott, hogy szükséges és arányos-e a személyes adatok továbbítása a Microsoft Ireland és annak további, az EGT-ben található adatfeldolgozói, kapcsolt vállalkozásai részére, és az sem átlátható, milyen típusú személyes adatokat milyen címzetteknek, milyen harmadik országokba továbbítanak.
A biztos a Schrems II-ítéletre is tekintettel, a Bizottság adatkezelése kapcsán felrótta, hogy nem végzett adattovábbítási hatásvizsgálatot a tervezett adattovábbítások kapcsán, és az Egyesült Államok megfelelőségéről szóló határozat hatályba lépése előtt az USA-ba történő adattovábbításokra vonatkozóan nem hajtott végre hatékony kiegészítő intézkedéseket.
Az európai adatvédelmi biztos döntése szerint 2024. december 9-től az Európai Bizottságnak fel kell függeszteni a Microsoft 365 használatából eredő valamennyi, a Microsoft és annak kapcsolt vállalkozásai és adatfeldolgozói irányába fennálló, az EU/EGT-n kívüli, a megfelelőségi határozat hatálya alá nem tartozó országokban irányuló adatáramlást. A határozat szerint 2024. december 9-éig a Bizottságnak a Microsoft 365 használatával kapcsolatos műveleteket összhangba kell hoznia az (EU) 2018/1725-ös rendeletével, és igazolnia kell a végzésnek és az adatvédelmi rendeleteknek való megfelelést.
A biztos álláspontja szerint a jogsértés súlyosságára és időtartamára tekintettel az általa elrendelt korrekciós intézkedések szükségesek és arányosak, de azt is figyelembe vette, hogy azoknak nem szabad veszélyeztetniük a Bizottság közérdekű feladatainak ellátását, a Bizottságra ruházott közhatalom gyakorlását, emellett pedig megfelelő időt biztosított a Bizottság számára a tervezett intézkedések végrehajtására.
Az európai adatvédelmi biztos a korrekciós intézkedések végrehajtása során a Bizottságnak adatátadás-térképezést kell végrehajtania, amely során meghatározza, hogy mely személyes adatokat, mely harmadik országok, mely címzettjeihez, milyen célból és milyen harmadik országokba továbbítanak a szoftverhasználat során.
A fenti vizsgálat alapján jelenleg a cikk címében feltett kérdésre az a válasz adható, hogy európai adatvédelmi biztos jelenlegi álláspontja szerint felmerülhetnek aggályok a GDPR és az európai adatvédelmi előírások kapcsán a Microsoft 365 szoftver használatával összefüggésben.
A Gazdasági Versenyhivatal (GVH) versenyfelügyeleti eljárást indított a szlovákiai EC Global SVK s.r.o. vállalkozással szemben tisztességtelen kereskedelmi gyakorlat tilalmának feltételezett megsértése miatt; a GVH gyanúja szerint a cég a weboldalán reklámozott, jellemzően kisgyermekes szülőknek ajánlott termékek esetében megtéveszti a fogyasztókat az egészségre és gyógyhatásra vonatkozó állításokkal.
Már csak pár napja maradt belépni a nyilvántartásba azoknak a hazai vállalatoknak, amelyekre kiterjed a NIS2, vagyis a felülvizsgált uniós kibervédelmi irányelv – hívja fel a figyelmet az EY. Résen kell lenniük a konszolidált beszámolót készítő társaságok tagvállalatainak is, hiszen elég cégcsoport szinten elérni a meghatározott minimum bevételt és létszámot, hogy rájuk is vonatkozzanak a kötelezettségek. Az óvatlan szervezetek számára a mulasztás súlyos bírsággal, sőt a vezető eltiltásával is járhat.
A szerző a Kúria irányadó döntését ismerteti, mely a perben fizetendő ügyvédi munkadíjak mértékével kapcsolatban született.
Köszönjük, hogy feliratkozott hírlevelünkre!
Kérem, pipálja be a captchát elküldés előtt
Ha egy másik hírlevélre is fel szeretne iratkozni, vagy nem sikerült a feliratkozás, akkor kérjük frissítse meg a böngészőjében ezt az oldalt (F5)!
Kérem, válasszon egyet hírleveleink közül!
