Je li Microsoft 365 usluga usklađena s GDPR-om? Njemačko nadzorno tijelo daje odgovore.

Objavljeno:

Autor:

Ivan Horvat

Je li Microsoft 365 usluga usklađena s GDPR-om? Njemačko nadzorno tijelo daje odgovore.

Objavljeno:

Autor

Ivan Horvat

Povjerenik za zaštitu podataka i slobodu informacija njemačke savezne pokrajine Porajnje-Falačka (LfDI RLP) objavio je odgovore na najčešće postavljana pitanja o korištenju servisa Microsoft 365 (nekadašnji Office 365).

Između ostalog, LfDI RLP navodi sljedeće:

  • Prilikom korištenja Microsoft 365 usluga, ne može se isključiti da će Microsoft osobne podatke koje obrađuje voditelj obrade koristiti u vlastite svrhe ili ih proslijediti oglašivačkim partnerima.
  • Korištenje Microsoftovih rješenja u oblaku obično je povezano s prijenosom osobnih podataka u SAD, gdje ih nije moguće primjereno zaštititi u skladu sa zahtjevima GDPR-a.
  • Čak i ako su osobni podaci pohranjeni na poslužiteljima smještenima u državama Europske unije, prema unaprijed zadanim postavkama sustava, osobni dijagnostički podaci/telemetrijski podaci i podaci generirani korištenjem usluge prenose se u SAD.
  • Čak i ako su osobni podaci pohranjeni na poslužiteljima smještenima u državama Europske unije, postoji rizik da će vlasti SAD-a zahtijevati objavljivanje podataka pohranjenih izvan EU. Iako američki zakoni omogućuju američkim vlastima takvo pravo pristupa putem CLOUD Acta, to nije u skladu sa zahtjevima iz članka 48. GDPR-a.
  • Odredbe uvjeta korištenja usluge i ugovora o naručenoj obradi nisu u skladu sa zahtjevima GDPR-a.

Kao jedno od mogućih rješenja navedenih problema, LfDI RLP predlaže da voditelji obrade najprije neovisno provjere koji se podaci prenose prema Microsoftu, a zatim da u što većoj mjeri spriječe prijenos osobnih dijagnostičkih/telemetrijskih podataka i podataka generiranih uslugom.

Nadalje, nadzorno tijelo savjetuje kontinuirano praćenje ažuriranja od Microsofta te provjeru jesu li nastale konfiguracijske promjene kao rezultat tih ažuriranja. Korištenje funkcionalnosti u oblaku trebalo bi prema zakonodavstvu iz područja zaštite podataka biti dopušteno samo ako su one implementirane putem rješenja u oblaku voditelja obrade (on-premise) ili od strane subjekata unutar EU/EGP.

Odgovori na česta pitanja dostupni su na službenim stranicama LfDI RLP, na njemačkom jeziku: datenschutz.rlp.de

Nastavite čitati