欧盟委员会使用微软365违反《通用数据保护条例》
当你授权的实体指责你违反了自己参与制定的法律时,你就知道情况不妙了。
欧洲数据保护监督局(EDPS)是一个独立机构,负责监督欧洲机构(如欧盟委员会本身)的隐私保护实践。在2024年3月11日发布的命令中,EDPS认定欧盟委员会在使用Microsoft 365产品过程中违反了《2018/1725条例》(该条例实质上是适用于欧盟机构的《通用数据保护条例》)的多项规定,包括未能为跨境个人数据流动提供适当保障措施。
欧洲数据保护监督局还发现,欧盟委员会与微软之间的数据处理协议未能充分明确微软将处理的个人数据类型及数据转移的具体目的。 这应提醒所有受《通用数据保护条例》约束的实体(无论是直接主体还是处理者),务必确保DPA及标准合同条款满足具体性要求,避免使用"为提供服务所需"等笼统表述。
由于上述违规行为, 欧洲数据保护监督局已命令欧盟委员会自2024年12月9日起暂停所有向微软传输的数据流,这些数据涉及在未获得充分性决定的国家使用Microsoft 365进行处理。此举为欧盟委员会提供了机会,使其能够遵守欧洲数据保护监督局提出的系列整改措施,包括执行数据转移映射工作,并完全符合欧盟法规2018/1725对数据处理方的合同要求。
经调查,欧洲数据保护监督局(EDPS)认定欧盟委员会(委员会)在使用Microsoft 365过程中违反了多项关键数据保护法规。EDPS在裁决中要求委员会采取整改措施。
查看参考文章
EDPS负责人沃伊切赫·维维奥罗夫斯基表示: "欧盟机构、机关、办事处及机构(EUIs)有责任确保在欧盟/欧洲经济区内外处理个人数据时——包括基于云的服务场景——均配备强有力的数据保护保障措施。 根据欧盟法规2018/1725的要求,当个人数据由欧盟机构或其委托方处理时,必须确保其信息得到保护,这是至关重要的。"
