Objavljeno: 13.3.2024

Evropska komisija kršila uredbo o varstvu osebnih podatkov

Evropski nadzornik za varstvo podatkov (EDPS) je v preiskavi, ki jo je začel že maja 2021, ugotovil, da je Evropska komisija kršila uredbo o varstvu posameznikov pri obdelavi osebnih podatkov. Težava je bila uporaba platforme Microsoft 365, ki je pomenila iznos podatkov iz EU, ne da bi Komisija poskrbela za ustrezne varovalke.

Gre za uredbo 2018/1725 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov, ki je podobna Splošni uredbi (GDPR), le da se nanaša izrecno na javne inštitucije evropskega aparata. Ko je preiskava stekla, je bil dogovor med EU in ZDA o varovanju osebnih podatkov, ki je predstavljal pravno podlago za iznos podatkov, na sodišču že razveljavljen. Novega so sprejeli šele leta 2023, v tem času pa Komisija podlage za iznos podatkov ni imela.

Ker je Komisija uporabljala Microsoft 365, je Uredbo kršila. Zato je EDPS odredil, da 9. decembra 2024 preneha uporabljali Microsoft 365. Prav tako mora Komisija zagotoviti, da bo kakršnokoli nadaljnje obdelovanje podatkov zakonito in varno. V praksi to pomeni sklenitev novih pogodb, ki imajo ustrezne varovalke. Če za to poskrbijo, bodo lahko uporabljali Microsoft 365, a trenutna zaščita ni zadostna, ocenjujejo v EDPS.

Komisija se je odzvala presenečeno. Odločbo bodo proučili, prepričani pa so, da so ravnali skrbno.