Ryzyko związane z ochroną danych w Microsoft 365 jest znane od dawna. Mimo to wiele firm nadal korzysta z tej usługi programowej. Dowiedz się, co na ten temat wypracowała "Grupa robocza ds. usług online Microsoft" DSK tutaj.

DSK w Microsoft 365

We wrześniu 2020 roku Konferencja Ochrony Danych (DSK) stworzyła grupę roboczą o nazwie "Grupa robocza ds. usług Microsoft Online". Grupa ta opublikowała swoje wyniki w listopadzie 2022 roku. Celem było znalezienie praktycznego rozwiązania dla korzystania z Microsoft 365 w sposób zgodny z ochroną danych osobowych. W tym celu grupa robocza odbyła 14 kilkugodzinnych spotkań z przedstawicielami firmy Microsoft.

Głównym punktem krytyki, który został wskazany, jest przetwarzanie danych osobowych dla własnych i nieuprawnionych celów Microsoftu. Usuwanie tych danych również nie wydaje się być zgodne z ochroną danych. Ponadto w umowach Microsoftu z poszczególnymi klientami brakuje wyjaśnień dotyczących rodzajów i celów przetwarzania danych.

Ponadto Microsoft nie chronił danych w wystarczającym stopniu podczas międzynarodowych transferów (por. decyzja Schrems II). Środki techniczne i organizacyjne oferowane przez Microsoft były również niewystarczające.

Podobnie niewystarczające były zapisy umowne dotyczące powiadamiania klienta o nowych podwykonawcach.

Szczegółowe wyniki DSK można znaleźć również na stronie tutaj oraz tutaj czytaj dalej.

Reakcja firmy Microsoft

Równocześnie z publikacją ustaleń DSK, Microsoft opublikował kontrargument. Jest ono zatytułowane "Microsoft spełnia i przekracza europejskie przepisy dotyczące ochrony danych". Jak już tytuł wskazuje, Microsoft nie podziela opinii DSK. Dostawca usług programistycznych uważa, że jego produkty są zgodne z europejskim prawem ochrony danych i uzasadnia sprzeczne ustalenia DSK twierdząc, że dokonane już zmiany nie zostały odpowiednio uwzględnione, a funkcjonowanie usług zostało źle zrozumiane.

Szczegółową odpowiedź Microsoftu można przeczytać pod adresem. tutaj czytaj dalej.

A teraz?

Z przeciwstawnych relacji Microsoftu i DSK widać, jak rozwija się długo oczekiwana debata. Ponadto pojawiają się pojedyncze głosy krytykujące podejście DSK. Na przykład nie doszło do głosowania w ramach procedury spójności z udziałem Europejskiej Rady Ochrony Danych, co mogłoby przynieść lepsze rezultaty.

W każdym razie wyniki DSK należy rozumieć jako apel do Microsoftu o większe zajęcie się tematem ochrony danych. Firmy w UE również muszą ponownie zmierzyć się z kwestią transferów do krajów trzecich i ochrony danych.

W odniesieniu do korzystania z Microsoft 365 organy nadzorcze w Niemczech nie podjęły dotychczas żadnych znanych środków. Teraz jednak ma się to zmienić. Przynajmniej na to wskazują już poszczególni inspektorzy ochrony danych. Jako przedsiębiorstwo należy teraz zaplanować wystarczająco dużo czasu i środków na analizę istniejących zagrożeń związanych z korzystaniem z Microsoft 365 na podstawie rzeczywistego użytkowania.

Czy potrzebujesz wsparcia w zakresie oceny ryzyka ochrony danych lub innych tematów związanych z ochroną i bezpieczeństwem danych? Nasz zespół ekspertów jest u Państwa boku. Możemy również zapewnić Państwu zewnętrznego inspektora ochrony danych. Skontaktuj się z nami bez zobowiązań tutaj.

DSB buchen
pl_PLPolski