Gælder EU's egne regler for databehandling og -beskyttelse alle?

EU-Kommissionen og EU-institutionerne har deres egen udgave af GDPR. Hvis du kender til de enkelte artikel-numre i GDPR, vil det derfor se forkert ud, når du læser afgørelsen fra EDPS, men reglerne er de samme som dem, der gælder for alle, og EU-institutionerne skal overholde de samme krav som alle andre dataansvarlige, når de behandler personoplysninger. EPDS har offentliggjort en præcis uddybning af problematikkerne, der kan findes i et appendix til pressemeddelelsen, som du kan læse her.

En længerevarende undersøgelse af EU's brug af Microsoft-produkter

EDPS begyndte at undersøge EU-Institutionernes brug af Microsoft 365 i maj 2021 som følge af den såkaldte Schrems II-afgørelse. Formålet med undersøgelsen var at sikre, at EU-Kommissionen efterlevede de anbefalinger, som EDPS offentliggjorde tilbage i 2020. Find de tidligere anbefalinger fra EDPS her.

Datatilsyn: EU overholder ikke reglerne for GDPR ved brug af Microsoft 365

Nyhed

03.04.2024

EU-Kommissionen og EU’s institutioner overholder ikke deres egne regler for GDPR, når de anvender Microsoft 365. Sådan lyder det nu fra EDPS, der er den myndighed, som fører tilsyn med, at EU selv overholder reglerne om databeskyttelse. Derfor har EU-Kommissionen fået et påbud om at bringe brugen af Microsoft 365 i overensstemmelse med reglerne senest den 9. december 2024.

Overførsel til usikre tredjelande er det største problem

Ifølge EDPS har EU’s institutioner overtrådt en række af kravene i GDPR, og det er særligt sket i forbindelse med overførsel af personoplysninger til usikre tredjelande.

EDPS peger blandt andet på, at EU-Kommissionen ikke har sikret tilstrækkelige garantier for, at personoplysninger, der f.eks. overføres til underdatabehandlere i usikre tredjelande, behandles efter reglerne i GDPR.

Derudover er EDPS af den opfattelse, at det ikke fremgår tilstrækkeligt klart i kontrakten mellem EU-Kommissionen og Microsoft, hvilke typer af personoplysninger der behandles til hvilke formål, ligesom det er uklart, om oplysningerne alene behandles til EU-Kommissionen og EU-institutionernes egne formål.

EU-Kommissionen og EU-institutionerne har deres egen udgave af GDPR. Hvis du kender til de enkelte artikel-numre i GDPR, vil det derfor se forkert ud, når du læser afgørelsen fra EDPS, men reglerne er de samme som dem, der gælder for alle, og EU-institutionerne skal overholde de samme krav som alle andre dataansvarlige, når de behandler personoplysninger.

EPDS har offentliggjort en præcis uddybning af problematikkerne, der kan findes i et appendix til pressemeddelelsen, som du kan læse her.

Alle ulovlige overførsler stoppes

EU-Kommissionen har fået et påbud om at standse overførslen af personoplysninger til usikre tredjelande, hvis ikke der kan dokumenteres tilstrækkelige garantier for overholdelse af GDPR.

Samtidig har de fået et påbud om at sikre, at behandlingen af personoplysninger i forbindelse med brugen af Microsoft 365 overholder GDPR.

Dette skal ske senest den 9. december 2024, hvor EU Kommissionen også skal dokumentere, at påbuddene er overholdt. Fristen er lang af hensyn til, at EU kan nå at efterleve påbuddet og dermed sikre, at EU-institutionerne fortsat kan udføre deres arbejde.

HjulmandKaptains vurdering af, hvorfor sagen kan få betydning for dig

Selvom EDPS’ afgørelse kun er rettet mod EU-Kommissionen og EU’s institutioner, er det HjulmandKaptains vurdering, at afgørelsen også kan få betydning for alle private og offentlige myndigheder, der anvender Microsoft 365.

Det skyldes, at reglerne for beskyttelse af personoplysninger er identiske, så der en stor sandsynlighed for, at Datatilsynet i Danmark vil nå frem til samme resultat, hvis det var en dansk organisation, der havde en lignende sag.

Derudover vurderer vi også, at der er stor sandsynlighed for, at de problematikker som EDPS har peget på i forhold til EU-Kommissionens brug af Microsoft 365, også gør sig gældende for rigtig mange andre organisationer, der anvender Microsoft 365 – og for den sags skyld også andre Microsoft-produkter.

Tjekliste: Vær opmærksom på din virksomheds brug af Microsoft 365

Det er vores helt klare anbefaling, at alle private virksomheder og offentlige myndigheder, som anvender Microsoft-produkter, gennemgår deres kontrakt og databehandleraftale med Microsoft og i den forbindelse undersøger, om behandlingen lever op til kravene i GDPR.

Når den opgave skal sættes i gang, kan du med fordel tage udgangspunkt i det påbud, som EDPS er kommet med overfor EU-Kommissionen. Det betyder, at du bl.a. kan tjekke følgende:

Er jeres virksomhed eller organisation i stand til at beskrive de konkrete dataflows, der sker ved brugen af Microsoft 365?
Kan I udpege, hvilke personoplysninger der anvendes til hvilke formål?
Kan I udpege, hvilke personoplysninger Microsoft har ret til at behandle og til hvilke formål?

Har du spørgsmål eller brug for rådgivning inden for GDPR?

Vores specialister står klar til at hjælpe dig med tjeklisten. Har du spørgsmål eller brug for rådgivning, så er du altid velkommen til at kontakte os for en uforpligtende afklaring af, hvordan vi kan hjælpe dig.