欧盟委员会使用Microsoft 360违反数据保护法,被EDPS责令整改
简评:无论是政府机构还是企业都一视同仁,该罚就得罚(但这次没有罚款)。
2024年3月8日,EDPS(European Data Protection Supervisor)宣布,经调查,发现欧盟委员会(EU Commision)在使用Microsoft 365时违反了几项关键的数据保护法规。
EDPS要求欧盟委员会采取措施以符合相关数据保护法规,并停止向未与欧盟签订隐私协议的美国公司及其位于第三国的子公司跨境传输数据,同时明确最后整改期限为2024年12月9日。
一、背景信息[1]
(一)适用规则
本案所适用规则并非大家熟悉的GDPR,欧盟机构、机构、办事处和机构的欧盟数据保护法律,以及EDPS的职责,均在Regulation (EU) 2018/1725[2](以下简称“《条例》”)明确。
(二)EDPS及EDPB介绍
EDPS是欧盟机构中负责个人数据和隐私保护以及促进良好实践的独立监管机构,主要职能包括:
- 监督欧盟管理机构对个人数据的处理;
- 监督并就影响隐私和个人数据保护的政策和立法的技术发展提供建议;
- 进行调查,包括进行数据保护审计/检查;
- 与其他监督机构合作,确保个人数据保护的一致性。
EDPB(European Data Protection Board)则是一个由欧盟成员国的数据保护监督机构组成的机构网络。其主要任务是促进欧盟成员国之间在数据保护方面的协调和合作。EDPB负责制定指导方针、建议和决定,以确保在欧盟内部实施的数据保护法律得到一致的解释和应用。
(三)调查历程
EDPS对欧盟委员会使用 Microsoft 365 的调查于 2021 年 5 月开展,是在Schrems II 判决之后进行的。其目的是核实欧盟委员会是否遵守了之前由EDPS发布的有关欧盟机构和机构使用微软产品和服务的建议。这项调查是EDPS在参与EDPB在2022年协调执法行动框架下采取的行动之一。
二、违法行为[1]
此外,在与微软签订的合同中,欧盟委员会未能充分明确在使用Microsoft 365时将收集哪些类型的个人数据以及用于何种明确指定的目的。
欧盟委员会作为数据控制者的违规行为还涉及数据处理者代表其进行的数据处理活动,包括个人数据的跨境传输。
Wojciech Wiewiórowski,EDPS,表示:“欧盟机构、机构、办事处和机构均有责任确保在欧盟/欧洲经济区内外进行的任何个人数据处理,包括在云服务的场景下,都采取强有力的数据保护措施。此为确保《条例》所要求:每当个人数据被欧盟机构或其代表处理时,其数据均得到保护的必要条件。”
因此,EDPS决定,自2024年12月9日起,欧盟委员会暂停其使用Microsoft 365向Microsoft及其位于未获得适当性决定的欧盟/欧洲经济区之外国家的子公司和子处理者的所有数据流。EDPS还决定,命令欧盟委员会使其使用Microsoft 365的处理操作符合《条例》。欧盟委员会必须在2024年12月9日之前证明其完成整改。
EDPS认为,考虑到发现的侵权行为的严重性和持续时间,其实施的责令整改措施是适当的、必要的和相称的。
欧盟委员会及代表其进行数据处理的处理者在使用Microsoft 365时进行的所有处理操作涉及多项违规行为,并影响大量个人。
EDPS还指出,为了不损害欧盟委员会履行保障公众利益的任务及其他法律授予的监管职责,同时也需要给予欧盟委员会足够的时间来实施预计的暂停相关数据流的措施,以确保数据处理符合《条例》的规定。
EDPS在其2024年3月8日的决定中实施的措施不影响EDPS可能采取的任何其他或进一步行动。
三、媒体报道[3]
四、附录[4]
1. EDPS已决定针对违规要求欧盟委员会采取以下整改措施:
a)所有个人数据仅为明确和确定的目的而收集;
b)个人数据的类型在与其处理目的相关的情况下已经充分确定;
c) Microsoft或其关联公司或子处理者的任何处理都只能根据欧盟委员会的书面指示进行,除非在欧洲经济区内的处理是欧盟或成员国法律所要求的,或者在欧洲经济区外的处理是受第三国法律约束的,并确保与欧洲经济区相当的保护水平,且Microsoft或其子处理者受此法律约束;
d) 个人数据不得以与其收集目的不相容的方式进行进一步处理,须符合《条例》第6条规定的标准。
e) 向Microsoft Ireland或其位于欧洲经济区的关联公司和子处理者的任何传输都符合《条例》第9条的规定。
f) 在处理位于欧洲经济区内的个人数据时,只有在欧盟法律或成员国法律禁止向欧盟委员会报告有关披露请求的情况下,才不需要向委员会通报。而对于在欧洲经济区外处理的个人数据,任何禁止通报的规定都必须符合《条例》第29(3)(a)条的规定,并且需要在民主社会中被视为一项必要且适当的措施,尊重《欧盟基本权利宪章》所确认的基本权利和自由的实质。这一规定是在Schrems II案的裁决下得到特别解释的,该裁决强调了保护个人数据转移到欧盟境外的必要性,同时确保在保护个人数据的同时尊重个人权利。
g) Microsoft或其子处理方不会披露个人数据,除非在欧洲经济区内处理的个人数据方面,披露是由欧盟或成员国法律要求的,或者在欧洲经济区之外处理的个人数据方面,披露是由确保与欧洲经济区基本等同的保护水平的第三国法律要求的,而Microsoft或其子处理方受其约束。
a) 违反《条例》第29(3)(a)条,在2021 ILA中,未能明确提供哪些类型的个人数据可以转移至哪些第三国的接收方,以及为何目的,以及未对Microsoft提供相关文件指示。
b) 违反《条例》第4(2)、46和48条,未能提供适当的保障,确保据传输的保护水平与欧洲经济区内的水平基本相当:
- 在数据传输启动之前或之后,未对将要传输的个人数据、接收方、第三国以及传输目的进行评估,因此未获得确定是否需要采取补充措施以确保基本等效保护水平以及是否存在可实施的有效补充措施的最低信息。
-在美国充分性决定生效前,未能参考Schrems II判决针对数据传输至美国采取有效措施,亦无法证明相关措施存在。
c) 违反《条例》的第4(2)、46和48(1)以及48(3)(a)条的规定:
- 在未进行转移影响评估并在标准合同条款(SCCs)中包含适当保障的情况下,就达成了从欧盟委员会向Microsoft跨境传输的SCCs。
- 未根据《条例》第48(3)(a)条的规定,获得EDPS对欧盟委员会向Microsoft公司跨境传输的SCCs的授权。
d) 违反了《条例》第47(1)条,结合第4、5、6、9和46条的规定,未能确保跨境传输仅为执行控制者职责范围内的任务而进行。
参考网址:
最新评论
推荐文章
作者最新文章
你可能感兴趣的文章
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios) posted above belong to the User who shared or the third-party website which the User shared from. If you found your copyright have been infringed, please send a DMCA takedown notice to [email protected]. For more detail of the source, please click on the button "Read Original Post" below. For other communications, please send to [email protected].
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。