Datatilsyn: EU overholder ikke reglerne for GDPR ved brug af Microsoft 365
EU-Kommissionen og EU’s institutioner overholder ikke deres egne regler for GDPR, når de anvender Microsoft 365. Sådan lyder det nu fra EDPS, der er den myndighed, som fører tilsyn med, at EU selv overholder reglerne om databeskyttelse. Derfor har EU-Kommissionen fået et påbud om at bringe brugen af Microsoft 365 i overensstemmelse med reglerne senest den 9. december 2024.
Overførsel til usikre tredjelande er det største problem
Ifølge EDPS har EU’s institutioner overtrådt en række af kravene i GDPR, og det er særligt sket i forbindelse med overførsel af personoplysninger til usikre tredjelande.
EDPS peger blandt andet på, at EU-Kommissionen ikke har sikret tilstrækkelige garantier for, at personoplysninger, der f.eks. overføres til underdatabehandlere i usikre tredjelande, behandles efter reglerne i GDPR.
Derudover er EDPS af den opfattelse, at det ikke fremgår tilstrækkeligt klart i kontrakten mellem EU-Kommissionen og Microsoft, hvilke typer af personoplysninger der behandles til hvilke formål, ligesom det er uklart, om oplysningerne alene behandles til EU-Kommissionen og EU-institutionernes egne formål.
Alle ulovlige overførsler stoppes
EU-Kommissionen har fået et påbud om at standse overførslen af personoplysninger til usikre tredjelande, hvis ikke der kan dokumenteres tilstrækkelige garantier for overholdelse af GDPR.
Samtidig har de fået et påbud om at sikre, at behandlingen af personoplysninger i forbindelse med brugen af Microsoft 365 overholder GDPR.
Dette skal ske senest den 9. december 2024, hvor EU Kommissionen også skal dokumentere, at påbuddene er overholdt. Fristen er lang af hensyn til, at EU kan nå at efterleve påbuddet og dermed sikre, at EU-institutionerne fortsat kan udføre deres arbejde.
HjulmandKaptains vurdering af, hvorfor sagen kan få betydning for dig
Selvom EDPS’ afgørelse kun er rettet mod EU-Kommissionen og EU’s institutioner, er det HjulmandKaptains vurdering, at afgørelsen også kan få betydning for alle private og offentlige myndigheder, der anvender Microsoft 365.
Det skyldes, at reglerne for beskyttelse af personoplysninger er identiske, så der en stor sandsynlighed for, at Datatilsynet i Danmark vil nå frem til samme resultat, hvis det var en dansk organisation, der havde en lignende sag.
Derudover vurderer vi også, at der er stor sandsynlighed for, at de problematikker som EDPS har peget på i forhold til EU-Kommissionens brug af Microsoft 365, også gør sig gældende for rigtig mange andre organisationer, der anvender Microsoft 365 – og for den sags skyld også andre Microsoft-produkter.
Tjekliste: Vær opmærksom på din virksomheds brug af Microsoft 365
Det er vores helt klare anbefaling, at alle private virksomheder og offentlige myndigheder, som anvender Microsoft-produkter, gennemgår deres kontrakt og databehandleraftale med Microsoft og i den forbindelse undersøger, om behandlingen lever op til kravene i GDPR.
Når den opgave skal sættes i gang, kan du med fordel tage udgangspunkt i det påbud, som EDPS er kommet med overfor EU-Kommissionen. Det betyder, at du bl.a. kan tjekke følgende:
- Er jeres virksomhed eller organisation i stand til at beskrive de konkrete dataflows, der sker ved brugen af Microsoft 365?
- Kan I udpege, hvilke personoplysninger der anvendes til hvilke formål?
- Kan I udpege, hvilke personoplysninger Microsoft har ret til at behandle og til hvilke formål?
Har du spørgsmål eller brug for rådgivning inden for GDPR?
Vores specialister står klar til at hjælpe dig med tjeklisten. Har du spørgsmål eller brug for rådgivning, så er du altid velkommen til at kontakte os for en uforpligtende afklaring af, hvordan vi kan hjælpe dig.
Nyheder
Se flereTilmeld dig
HjulmandKaptains
Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.