EDPS anerkender efterlevelse
Den Europæiske Tilsynsførende for Databeskyttelse har afsluttet sin sag og konkluderer, at Europa-Kommissionens anvendelse af Microsoft 365 nu er bragt i overensstemmelse med GDPR. Det bygger på dokumenterede tekniske, organisatoriske og kontraktuelle ændringer gennemført i samarbejde med Microsoft.
Baggrunden er tidligere konstaterede brud på grundprincipperne, herunder utilstrækkelig formålsbegrænsning, usikre overførsler til tredjelande og en forhøjet risiko for uautoriseret adgang til personoplysninger. EDPS opfordrer samtidig øvrige EU-institutioner til at sikre tilsvarende efterlevelse.
De væsentligste justeringer, som Kommissionen har indført, kan sammenfattes således:
- Formålsbegrænsning og dokumenterede instrukser for behandling samt behandling primært inden for EØS.
- Præcis regulering af internationale overførsler, begrænset til lande med et anerkendt tilstrækkeligt beskyttelsesniveau.
- Skærpede informationsforpligtelser ved myndighedsanmodninger, herunder klare kontraktvilkår for Microsoft og underdatabehandlere.
- Styrkede tekniske og organisatoriske sikkerhedsforanstaltninger i aftaler og drift.
Baggrund og betydning for dataansvarlige
EDPS igangsatte undersøgelsen i 2021 og udstedte i marts 2024 en afgørelse med pålæg om korrigerende tiltag. En central bekymring var risikoen for myndighedsadgang i USA ved brug af en amerikansk cloudtjeneste og utilstrækkelige garantier ved tredjelandsoverførsler.
Selv om afgørelsen retter sig mod EU’s institutioner, gælder de samme regler for andre dataansvarlige. Offentlige og private organisationer, der anvender Microsoft 365 eller lignende cloudløsninger, bør gennemgå behandlingsgrundlag, overførselsmekanismer og databehandleraftaler. Fokus bør være på klare instrukser til leverandøren, passende garantier for internationale overførsler og gennemsigtig håndtering af myndighedsanmodninger. En opdateret risikovurdering og styrkede sikkerhedsforanstaltninger kan være nødvendig for at dokumentere compliance.
