EU-kommissionen använder sig av Microsoft 365, men har inte gjort tillräckligt för att följa GDPR-lagens stränga regler kring hanteringen av personuppgifter. Det finner Europeiska dataskyddsstyrelsen (EDPS) i en dom som ålägger kommissionen att korrigera sitt bruk av tjänsten senast 9 december 2024.
Kommissionen har inte varit tillräckligt specifik i vilka typer av personuppgifter som samlas in och för vilka specifika och uttryckliga ändamål, säger EU:s datatillsynsman Wojciech Wiewiórowski i ett pressmeddelande. Kommissionen har brutit mot reglerna både som personuppgiftsansvarig och kring nyttjandet av tredje part för personuppgiftsbehandling.
EDPS startade en utredning av EU-kommissionens användning av Microsofts molntjänst i maj 2021 men blev alltså färdig först nu. Fram till juli 2023 fanns inget avtal kring överföring av personuppgifter om EU-medborgare till organisationer i USA, men Microsoft har hela tiden fortsatt att placera data även i hemlandet. EDPS har nu beordrat kommissionen att stoppa alla överföringar av personuppgifter via Microsoft 365 till länder som inte täcks av något dataskyddsavtal med EU.
Kommissionen måste även ändra sina avtal med Microsoft så att det tydligt framgår exakt vilka personuppgifter företaget ska samla in och behandla, och i vilka syften. Varken kommissionen eller Microsoft har ännu kommenterat domen.
