Европейский надзор по защите данных (EDPS) выявил нарушения правил защиты данных со стороны Еврокомиссии при использовании облачного программного обеспечения Microsoft 365. EDPS потребовал устранения нарушений до 9 декабря 2024 года, предписав приостановить передачу данных в Microsoft 365 за пределы ЕС и внести коррективы в контракты с Microsoft.
Еврокомиссия неопределенно собирала и обрабатывала личные данные, не уточнив их типы и цели использования. Также было установлено, что она не обеспечила должных гарантий при передаче данных за пределы ЕС. Коррективные меры включают приостановление потока данных в Microsoft 365, пока не будут обеспечены соответствующие защитные меры.
Предписано провести анализ передачи данных и обеспечить, чтобы они осуществлялись только для задач, принадлежащих компетенции контролирующего органа. Также требуется пересмотр контрактов с Microsoft для обеспечения прозрачности, ограничения обработки данных и соответствия целям их использования.
EDPS отметил, что обязанность обеспечить надежные меры защиты личных данных при их обработке в облачных услугах лежит на институциях ЕС. Microsoft и Еврокомиссия пока не прокомментировали выводы EDPS.