Megfelel a Microsoft 365 a GDPR előírásainak?


Az európai adatvédelmi biztos szerint felmerülhetnek aggályok a GDPR és az uniós adatvédelmi előírások kapcsán a Microsoft 365 szoftver használatával összefüggésben.

A címbeli kérdés apropója az Európai Bizottság 2024. március 11-én közzétett EDPS/2024/05 számú tájékoztatása. A közlemény szerint Wojciech Wiewiórowski európai adatvédelmi biztos 2021 májusában az Európai Bizottság szoftverhasználata kapcsán indult vizsgálata során megállapította, hogy a Microsoft 365 használata során több kulcsfontosságú adatvédelmi szabályt is sérthet. Az európai adatvédelmi biztos határozatában az Európai Bizottság számára korrekciós intézkedéseket irányzott elő a probléma feloldására a kérdéses szoftver használata kapcsán.

Ennek a vizsgálatnak kifejezetten annak ellenőrzése volt a célja, hogy az Európai Bizottság betartja-e az európai adatvédelmi biztos által korábban kiadott, a Microsoft termékeinek és szolgáltatásainak használatáról szóló ajánlásoknak való megfelelését. A biztos határozatában megállapította, hogy a Bizottság a Microsoft 365 program használata során megsértette az uniós intézményekre vonatkozó EU-s adatvédelmi előírásokat, főként a tekintetben, hogy a személyes adatok EU-n/Európai Gazdasági Térségen (EGT) kívüli továbbítására vonatkozó rendelkezéseket nem tudta betartani.

Az adatvédelmi biztos szerint nincsenek jelenleg megfelelő biztosítékok az EU/EGT-ben elvárt szintű védelmére a program használata során az EU/EGT-n kívülre továbbított személyes adatok kapcsán. A Bizottság és a Microsoft között a Microsoft 365 használatára megkötött szerződés a közlemény szerint nem határozta meg megfelelően, hogy mely személyes adatok és milyen célokra gyűjthetők a program használata során.

Az európai adatvédelmi biztos rámutatott, hogy a megállapított jogsértések közül sok a Bizottság által a Microsoft 365 használatával végzett valamennyi feldolgozási műveletre vonatkozik, és nagyszámú személyt érint. A döntés szerint a Bizottság adatkezelése során nem igazolt, hogy a személyes adatok további kezelésének tényleges adatkezelési céljai összeegyeztethetők-e az eredeti adatkezelési célokkal.

Az sem alátámasztott, hogy szükséges és arányos-e a személyes adatok továbbítása a Microsoft Ireland és annak további, az EGT-ben található adatfeldolgozói, kapcsolt vállalkozásai részére, és az sem átlátható, milyen típusú személyes adatokat milyen címzetteknek, milyen harmadik országokba továbbítanak.

A biztos a Schrems II-ítéletre is tekintettel, a Bizottság adatkezelése kapcsán felrótta, hogy nem végzett adattovábbítási hatásvizsgálatot a tervezett adattovábbítások kapcsán, és az Egyesült Államok megfelelőségéről szóló határozat hatályba lépése előtt az USA-ba történő adattovábbításokra vonatkozóan nem hajtott végre hatékony kiegészítő intézkedéseket.

Az európai adatvédelmi biztos döntése szerint 2024. december 9-től az Európai Bizottságnak fel kell függeszteni a Microsoft 365 használatából eredő valamennyi, a Microsoft és annak kapcsolt vállalkozásai és adatfeldolgozói irányába fennálló, az EU/EGT-n kívüli, a megfelelőségi határozat hatálya alá nem tartozó országokban irányuló adatáramlást. A határozat szerint 2024. december 9-éig a Bizottságnak a Microsoft 365 használatával kapcsolatos műveleteket összhangba kell hoznia az (EU) 2018/1725-ös rendeletével, és igazolnia kell a végzésnek és az adatvédelmi rendeleteknek való megfelelést.

A biztos álláspontja szerint a jogsértés súlyosságára és időtartamára tekintettel az általa elrendelt korrekciós intézkedések szükségesek és arányosak, de azt is figyelembe vette, hogy azoknak nem szabad veszélyeztetniük a Bizottság közérdekű feladatainak ellátását, a Bizottságra ruházott közhatalom gyakorlását, emellett pedig megfelelő időt biztosított a Bizottság számára a tervezett intézkedések végrehajtására.

Az európai adatvédelmi biztos a korrekciós intézkedések végrehajtása során a Bizottságnak adatátadás-térképezést kell végrehajtania, amely során meghatározza, hogy mely személyes adatokat, mely harmadik országok, mely címzettjeihez, milyen célból és milyen harmadik országokba továbbítanak a szoftverhasználat során.

A fenti vizsgálat alapján jelenleg a cikk címében feltett kérdésre az a válasz adható, hogy európai adatvédelmi biztos jelenlegi álláspontja szerint felmerülhetnek aggályok a GDPR és az európai adatvédelmi előírások kapcsán a Microsoft 365 szoftver használatával összefüggésben.

A cikk szerzője dr. Zalavári György partner ügyvéd. Az Ecovis Zalavári Legal Hungary  a Jogászvilág.hu szakmai partnere.



Kapcsolódó cikkek

2024. július 18.

Lehet-e egy cég végrendeleti örökös?

Ha öröklésről esik szó jellemzően mindenki a törvényes öröklésre gondol, ahol természetes személyek, rokonok örökölnek egymástól. A következő gyakori gondolat a végrendeleti öröklés, ahol már nem csak hozzátartozók, hanem a családon kívüli személyek is örökössé válhatnak.

2024. július 17.

Minden vállalkozás megtudhatja, hogy a NIS2 irányelv hatálya alá esik-e

Ugyan június 30-án lejárt Kiberbiztonsági tanúsításról és felügyeletről szóló törvényben meghatározott első fontos határidő, a cégvezetőknek azonban még van idejük pótolni a mulasztást, és időben megkezdeni a felkészülést a támadások elhárítására – nem mellesleg az akár milliós nagyságrendű bírság elkerülésére. De vajon honnan lehet tudni, mely cégek érintettek?