Ryzyko związane z ochroną danych w Microsoft 365 jest znane od dawna. Mimo to wiele firm nadal korzysta z tej usługi programowej. Dowiedz się, co na ten temat wypracowała "Grupa robocza ds. usług online Microsoft" DSK tutaj.
DSK w Microsoft 365
We wrześniu 2020 roku Konferencja Ochrony Danych (DSK) stworzyła grupę roboczą o nazwie "Grupa robocza ds. usług Microsoft Online". Grupa ta opublikowała swoje wyniki w listopadzie 2022 roku. Celem było znalezienie praktycznego rozwiązania dla korzystania z Microsoft 365 w sposób zgodny z ochroną danych osobowych. W tym celu grupa robocza odbyła 14 kilkugodzinnych spotkań z przedstawicielami firmy Microsoft.
Głównym punktem krytyki, który został wskazany, jest przetwarzanie danych osobowych dla własnych i nieuprawnionych celów Microsoftu. Usuwanie tych danych również nie wydaje się być zgodne z ochroną danych. Ponadto w umowach Microsoftu z poszczególnymi klientami brakuje wyjaśnień dotyczących rodzajów i celów przetwarzania danych.
Ponadto Microsoft nie chronił danych w wystarczającym stopniu podczas międzynarodowych transferów (por. decyzja Schrems II). Środki techniczne i organizacyjne oferowane przez Microsoft były również niewystarczające.
Podobnie niewystarczające były zapisy umowne dotyczące powiadamiania klienta o nowych podwykonawcach.
Szczegółowe wyniki DSK można znaleźć również na stronie tutaj oraz tutaj czytaj dalej.
Reakcja firmy Microsoft
Równocześnie z publikacją ustaleń DSK, Microsoft opublikował kontrargument. Jest ono zatytułowane "Microsoft spełnia i przekracza europejskie przepisy dotyczące ochrony danych". Jak już tytuł wskazuje, Microsoft nie podziela opinii DSK. Dostawca usług programistycznych uważa, że jego produkty są zgodne z europejskim prawem ochrony danych i uzasadnia sprzeczne ustalenia DSK twierdząc, że dokonane już zmiany nie zostały odpowiednio uwzględnione, a funkcjonowanie usług zostało źle zrozumiane.
Szczegółową odpowiedź Microsoftu można przeczytać pod adresem. tutaj czytaj dalej.
A teraz?
Z przeciwstawnych relacji Microsoftu i DSK widać, jak rozwija się długo oczekiwana debata. Ponadto pojawiają się pojedyncze głosy krytykujące podejście DSK. Na przykład nie doszło do głosowania w ramach procedury spójności z udziałem Europejskiej Rady Ochrony Danych, co mogłoby przynieść lepsze rezultaty.
W każdym razie wyniki DSK należy rozumieć jako apel do Microsoftu o większe zajęcie się tematem ochrony danych. Firmy w UE również muszą ponownie zmierzyć się z kwestią transferów do krajów trzecich i ochrony danych.
W odniesieniu do korzystania z Microsoft 365 organy nadzorcze w Niemczech nie podjęły dotychczas żadnych znanych środków. Teraz jednak ma się to zmienić. Przynajmniej na to wskazują już poszczególni inspektorzy ochrony danych. Jako przedsiębiorstwo należy teraz zaplanować wystarczająco dużo czasu i środków na analizę istniejących zagrożeń związanych z korzystaniem z Microsoft 365 na podstawie rzeczywistego użytkowania.
Czy potrzebujesz wsparcia w zakresie oceny ryzyka ochrony danych lub innych tematów związanych z ochroną i bezpieczeństwem danych? Nasz zespół ekspertów jest u Państwa boku. Możemy również zapewnić Państwu zewnętrznego inspektora ochrony danych. Skontaktuj się z nami bez zobowiązań tutaj.
Polski 
Deutsch 
English 
Español 
Français