Používání Microsoftu 365 Evropskou komisí je v rozporu s právními předpisy o ochraně údajů pro orgány a instituce EU. Tvrdí to úřad Evropského inspektora ochrany údajů. Ten zároveň komisi nařídil provést nápravná opatření.
Evropská komise (dále Komise) při používání Microsoft 365 porušila několik ustanovení nařízení (EU) 2018/1725, zákona EU o ochraně údajů pro instituce EU, včetně těch, které se týkají předávání osobních údajů mimo EU a Evropský hospodářský prostor (dále EHP). Ve své zprávě to uvádí Evropský inspektor ochrany údajů (dále Inspektor).
Nařízení (EU) 2018/1725 je právní předpis EU o ochraně údajů pro orgány, instituce a jiné subjekty EU, včetně ustanovení o předávání osobních údajů mimo EU / EHP.
To zásadní, co Inspektor Komisi vytýká, je neposkytnutí vhodných záruk, které by zajistily, že osobním údajům předávaným mimo EU/EHP bude poskytnuta v zásadě rovnocenná úroveň ochrany, jaká je zaručena v EU/EHP. Inspektor též odhalil, že Komise nedostatečně ve smlouvě s Microsoftem specifikovala druhy osobních údajů, které mají být při používání Microsoft 365 shromažďovány, a pro jaký účel. Porušení ze strany Komise jakožto správce údajů se rovněž týká zpracování údajů, včetně předávání osobních údajů, prováděného jejím jménem.
Evropský inspektor ochrany údajů (The European Data Protection Supervisor, EDPS) je orgán Evropské unie, jehož úkolem je dohlížet na dodržování přísných pravidel ochrany soukromí při zpracovávání údajů občanů, a to v elektronické, písemné či vizuální podobě. Úřad byl založen v roce 2004, v jeho čele stojí inspektor (aktuálně Wojciech Wiewiórowski), volený na 5 let s možností prodloužení. Více informací najdete zde.
Inspektor proto Komisi nařizuje, aby uvedla operace zpracování vyplývající z používání Microsoft 365 do souladu s nařízením (EU) 2018/1725, a to do 9. prosince 2024, a to tím, že pozastaví veškeré toky údajů vyplývající z používání Microsoft 365 společností Microsoft a jejími přidruženými společnostmi a dílčími zpracovateli se sídlem v zemích mimo EU/EHP, na které se nevztahuje rozhodnutí o odpovídající ochraně. Vymezená doba je dle Inspektora dostatečná na provedení plánovaného pozastavení příslušných toků údajů a na uvedení zpracování údajů do souladu s nařízením (EU) 2018/1725, na druhou stranu Inspektor zohledňuje potřebu neohrožovat schopnost Komise plnit své úkoly ve veřejném zájmu nebo vykonávat veřejnou moc svěřenou Komisi.
Jak se k věci staví nadace TDF
Krátce po zveřejnění uvedeného nálezu Inspektora situaci okomentoval Italo Vignoli z nadace TDF na blogu nadace. Připomíná dlouhodobé stanovisko nadace, že řešení postavená na otevřeném a svobodném softwaru (FOSS), jako je LibreOffice, kombinovaná se standardním, otevřeným a nezávislým datovým formátem, jako je Open Document Format, jsou „jedinými řešeními, která zaručují ochranu údajů a podporují koncept evropské digitální suverenity – technologickou nezávislost na obchodních rozhodnutích high-tech společností“.
Italo Vignoli dále připomíná léta zažitou praxi v tom, že nápravná opatření se mají týkat Microsoftu 365 namísto navržení skutečného řešení, jakým je použití otevřeného softwaru, jakým je LibreOffice, a otevřeného a nezávislého formátu, jakým je Open Document Format, světový ISO standard pro přenos kancelářských dokumentů.
A jak uzavírá Italo Vignoli, navrhovaná řešení vždy skončí na alibistickém hodnocení, že „to tak dělá každý“.