Datatilsyn: EU overholder ikke reglerne for GDPR ved brug af Microsoft-produkter

Datatilsyn: EU overholder ikke reglerne for GDPR ved brug af Microsoft-produkter

Compliance IT-ret EU-ret Persondata og cybersikkerhed
EDPS påbyder EU-Kommissionen at stoppe ulovlige tredjelandsoverførsler ved brug af Microsoft 365 og at dokumentere fuld GDPR-overholdelse inden december. Afgørelsen fremhæver uklare kontrakter, utilstrækkelige garantier og behov for overførselsvurderinger og supplerende foranstaltninger.
SE
Stefanie Lynge Eriksen
NM
Nicoline Madsen

EDPS har konstateret, at EU-Kommissionen og EU’s institutioner ikke efterlever databeskyttelsesreglerne ved brug af Microsoft 365. Myndigheden påbyder, at ulovlige tredjelandsoverførsler standses, og at behandlingen bringes i overensstemmelse med reglerne senest 9. december 2024, herunder med dokumentation for efterlevelse.

EDPS’ påbud og hovedkonklusioner

Kernen i afgørelsen er, at personoplysninger overføres til usikre tredjelande uden tilstrækkelige garantier. EDPS kræver, at sådanne overførsler enten ledsages af gyldigt overførselsgrundlag og supplerende foranstaltninger eller ophører.

Påbuddet omfatter også krav om, at den samlede behandling ved brug af Microsoft 365 tilpasses reglerne, herunder at institutionerne kan påvise overholdelse. Fristen er fastsat for at sikre kontinuitet i arbejdet, men indebærer samtidig et markant dokumentationsansvar.

Kontraktuelle uklarheder og tredjelandsoverførsler

EDPS finder, at kontrakten mellem EU-Kommissionen og Microsoft ikke klart beskriver datatyper, formål og om behandling sker udelukkende for institutionernes egne formål. Uklarheder om rollefordeling og underdatabehandlere i tredjelande udgør et væsentligt risikopunkt.

Afgørelsen skal ses i lyset af Schrems II og anvendelsen af standardkontraktbestemmelser samt krav om overførselsvurderinger og supplerende foranstaltninger. For EU-institutioner gælder forordning 2018/1725, som spejler GDPR’s principper. EDPS’ uddybning kan læses hos EDPS. Tidligere anbefalinger findes her: EDPS.

Interesseret i forvaltningsret? Deltag i Forvaltningskonferencen 2026

Læs mere her →

Konsekvenser og næste skridt

Afgørelsen har sigte på EU-institutionerne, men den faglige ræsonnementation er tæt på GDPR og vil kunne inspirere nationale tilsyn, herunder Datatilsynet. Organisationer, der anvender Microsoft 365 eller lignende cloudtjenester, bør derfor gennemføre en målrettet compliance-gennemgang.

Følgende tiltag bør indgå i en hurtig handlingsplan:

  • Kortlægning af dataflows, herunder systemkomponenter, datatyper og overførsler.
  • Klar specifikation af behandlingsformål og rollefordeling mellem dataansvarlig, databehandler og underdatabehandlere.
  • Validering af overførselsgrundlag, overførselsvurderinger og supplerende tekniske og organisatoriske foranstaltninger.
  • Opdaterede databehandleraftaler med præcise instruks- og sikkerhedskrav samt adgangs- og logningskontrol.
  • Etablering af dokumentations- og rapporteringsspor, der kan demonstrere løbende efterlevelse.

En proaktiv indsats reducerer risikoen for påbud, driftsforstyrrelser og kontraktuelle konflikter og øger samtidig databeskyttelsesniveauet på tværs af cloudløsninger.

Læs hele artiklen hos HjulmandKaptain →
Søgeord
GDPR, Persondata, Databehandleraftale, Dokumentationskrav, Risikovurdering, Kontraktklausuler, GDPR art. 32, Datatilsynet, Databeskyttelse, Tredjelandsoverførsler, Standardkontraktbestemmelser, Dataansvarlig, GDPR art. 28, Privacy by design, Sikkerhedsforanstaltninger, Dataminimering, Kontraktstyring, Kryptering, EDPB, GDPR art. 5, Formålsbegrænsning, Databehandler, Tilsynsmyndighed, Microsoft 365, EU-Kommissionen, Tekniske og organisatoriske foranstaltninger, Schrems II, Overførselsvurdering, EDPS, Overførselsgrundlag, Compliance, GDPR art. 46, GDPR art. 44, Cloudtjenester, Underdatabehandlere, Adgangslogning, Forordning 2018/1725, EU-institutioner, Behandlingsformål, Dataflow

Relaterede artikler

New digital consumer protection rules for insurers
Plesner

New digital consumer protection rules for insurers

Fra 19. juni 2026 skærpes reglerne for online salg af forsikringer: digital fortrydelsesknap, udvidet oplysningspligt, dansk sprogkrav, forklaringspligt og forbud mod manipulative designmønstre. Selskaber bør nu tilpasse deres digitale kunderejser.
EDPB iværksætter koordineret indsats om oplysningspligten
Datatilsynet

EDPB iværksætter koordineret indsats om oplysningspligten

EDPB samler 25 tilsyn om en koordineret kontrol af oplysningspligten efter GDPR art. 12–14. Datatilsynet melder snart dansk tilgang. Virksomheder bør sikre klare, lagdelte og rettidige privatlivsmeddelelser med dokumentation for efterlevelse før den fælles EU-opfølgning.
Ny vejledning om GDPR ved konkursbehandling
Danske Advokater

Ny vejledning om GDPR ved konkursbehandling

Ny vejledning samler praksis for GDPR i konkursboer. Kuratorers dataansvar, lovlige behandlingsgrundlag og sikker håndtering af medarbejder-, kunde- og kreditoroplysninger beskrives med fokus på dataminimering, oplysningspligt, overdragelse af kundedata og sletning.
Manglende medvirken til tilsyn kan føre til frakendelse
Advokatsamfundet

Manglende medvirken til tilsyn kan føre til frakendelse

Advokatrådet skærper disciplinlinjen: Manglende medvirken til tilsyn udløser indbringelse for Advokatnævnet og kan i kombination med klientkontofejl føre til midlertidig eller endelig frakendelse. Fokus er rettidig dokumentation og forsvarlig håndtering af klientmidler.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Finanstilsynet
Erfaren jurist til Finanstilsynets tilsyn med betalingstjenester
Finanstilsynet
Klima-, Energi- og Forsyningsministeriet
Talentfulde jurister til Koncernjura
Klima-, Energi- og Forsyningsministeriet
Styrelsen for Patientklager
Vi søger studentermedhjælper til Styrelsen for Patientklager
Styrelsen for Patientklager
Erhvervsministeriet
Dygtig student til arbejdet med velfungerende kapitalmarkeder
Erhvervsministeriet
Erhvervsministeriet
Jurist til tilsyn med skadesforsikring
Erhvervsministeriet
Politiets Efterretningstjeneste
Kollega til operative og databeskyttelsesretlige revisioner i PET
Politiets Efterretningstjeneste
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere - og holder dig foran.
Opret gratis profil →