EU-kommissionens användning av Microsoft 365 bröt mot GDPR

En ny granskning gjord av Europeiska datatillsynsmannen (EPDS) har kommit fram till att EU-kommissionens användning av Microsoft 365 bryter mot unionens dataskyddsregler på flera punkter.

EU-kommissionen har bland annat inte vidtagit lämpliga skyddsåtgärder för att säkerställa att personuppgifter som överförs utanför EU och Europeiska ekonomiska samarbetsområdet (EES) huvudsakligen har samma skyddsnivå som överföringar inom områdena.

EU-kommissionen ska inte heller varit tillräckligt specifik gällande vilka typer av personuppgifter som samlas in och för vilka specificerade ändamål när Microsoft 365 används.

Europeiska datatillsynsmannen har beslutat att EU-kommissionen nu behöver ändra på detta om de ska fortsätta använda
Microsoft 365. Ändringarna måste vara klara senast den 9 december 2024.

EDPS granskning inleddes 2021 och då fanns det inget avtal som möjliggjorde dataöverföringar mellan EU och USA. Ett sådant kom på plats först sommaren 2023. Trots det har alltså EU-kommissionen fortsatt att använda Microsoft 365.

Cloud Computing, Regulation