Þann 8. mars 2024 hafði EDPS úrskurðað að notkun framkvæmdastjórnarinnar á lausninni væri ekki í samræmi við reglur að öllu leyti, og lagði stofnunin fyrir framkvæmdastjórnina að gera nokkrar úrbætur.

Helstu úrbætur sem voru gerðar eru eftirfarandi:

• Tilgreining tilgangs: Framkvæmdastjórnin hefur skilgreint sérstaklega tegundir persónuupplýsinga sem unnið er með og tilgang vinnslu þeirra við notkun á Microsoft 365.

• Flutningur til þriðju ríkja: Framkvæmdastjórnin hefur tilgreint nákvæmlega í hvaða tilgangi og til hvaða viðtakenda er heimilt að flytja persónuupplýsingar við notkun Microsoft 365. Jafnframt hafa verið gerðar nánari tæknilegar og skipulagslegar ráðstafanir til að draga úr líkum á flutningi til þriðju ríkja sem ekki tryggja vernd persónuupplýsinga með fullnægjandi hætti (þ.e. þar sem ekki er í gildi jafngildisákvörðun), og hefur framkvæmdastjórnin gefið Microsoft bindandi fyrirmæli hvað þetta varðar.

• Upplýsingagjöf og tilkynningar: Í samningi er nú sérstaklega fjallað um tilkynningar til framkvæmdastjórnarinnar vegna beiðna um aðgang eða afhendingu persónuupplýsinga sem unnar eru í Microsoft 365, innan eða utan EES.

Í ljósi þeirra ráðstafana sem framkvæmdastjórnin hefur nú gripið til hefur EDPS nú, sem fyrr segir, komist að þeirri niðurstöðu að gerðar hafi verið viðeigandi úrbætur í tilefni af fyrri athugasemdum stofnunarinnar. Telst málinu því lokið af hálfu EDPS.

Nánari upplýsingar er að finna í fréttatilkynningu frá evrópsku persónuverndarstofnuninni