Evrópska persónuverndarstofnunin kemst að niðurstöðu um að notkun Framkvæmdastjórnar ESB á Microsoft 365 brjóti á persónuvernd
14. mars 2024
Evrópska persónuverndarstofnunin (EDPS) hefur komist að þeirri niðurstöðu að notkun Framkvæmdastjórnar Evrópusambandsins á Microsoft 365 hafi brotið gegn nokkrum lykilákvæðum reglugerðar sambandsins sem fjallar um vinnslu persónuupplýsinga hjá stofnunum þess. Þetta eru meðal annars ákvæði um flutning persónuupplýsinga til óöruggra þriðju landa og tilgreiningu flokka persónuupplýsinga og tilgangs vinnslu í vinnslusamningi. Ákvæðin eru sambærileg ákvæðum evrópsku persónuverndarreglugerðarinnar og íslenskum persónuverndarlögum.
Hefur EDPS lagt fyrir framkvæmdastjórnina að stöðva allt upplýsingaflæði sem stafar af notkun hennar á Microsoft 365 til Microsoft, samstarfsaðila fyrirtækisins og undirvinnsluaðila, sem eru staðsettir utan Evrópska efnahagssvæðisins og sem ekki hefur verið tekin jafngildisákvörðun um, frá og með 9. desember 2024. EDPS hefur einnig lagt fyrir framkvæmdastjórnina að færa vinnsluaðgerðir í tengslum við notkun á Microsoft 365 að öðru leyti til samræmis við umrædda reglugerð.