Německá Konference pro ochranu osobních údajů (Datenschutzkonferenz, DSK), která je pracovním sdružením nezávislých spolkových a zemských dozorových orgánů v oblasti ochrany osobních údajů, zveřejnila 25.11.2022 shrnutí zprávy pracovní skupiny pro online služby společnosti Microsoft.
Německá Konference pro ochranu osobních údajů (Datenschutzkonferenz, DSK) ustanovila pracovní skupinu pro online služby společnosti Microsoft již před dvěma lety, aby vedla jednání se společností Microsoft na vylepšení zákaznických smluv, na základě kterých je provozována služba Microsoft Office 365, a na jejich uvedení do souladu s požadavky čl. 28 obecného nařízení na zpracovatelské smlouvy a s rozhodnutím Soudního dvora EU ve věci Schrems II na předávání osobních údajů do třetích zemí.
Tato pracovní skupina byla ustanovena současně s tehdejším konstatováním Konference ze září 2020, že na základě stávající smluvních podmínek, definovaných v Online Service Terms a v Data Processing Addendum služby Microsoft Office 365 „není využívání služby Microsoft Office 365 v souladu s legislativou ochrany osobních údajů možné“.
Ve výsledku daná pracovní skupina hodnotila, zda nové aktuální znění smluvního dodatku k ochraně osobních údajů při poskytování produktů a služeb společnosti Microsoft (Microsoft Products and Services Data Protection Addendum) ze září 2022 odstranilo nedostatky, které vedly Konferenci k výše uvedenému negativnímu závěru v roce 2020.
Pracovní skupina přitom došla k závěru, že v mnoha problematických otázkách nedošlo k žádnému významnému zlepšení. Co se týče konkrétně otázky předávání osobních údajů do třetích zemí, pracovní skupina potvrdila, že službu Microsoft 365 nelze provozovat bez předání dat do Spojených států amerických, přičemž pro poskytování služby je nezbytný přístup Microsoftu k ostrým nepseudonymizovaným datům, který ve většině operací vylučuje šifrování zpracovávaných dat, takže jde o klasický případ, popsaný v příkladu 6 přílohy 2 doporučení EDPB 1/2020, pro který se dozorovým úřadům dosud nepodařilo identifikovat doplňková opatření, která by mohla zajistit předávání údajů v souladu s obecným nařízením vyloženým rozsudkem Soudního dvora EU ve věci Schrems II.
Pracovní skupina poukázala rovněž na ten zásadní problém, že ani v průběhu dvouletých osobních jednání, ani na základě nového znění smluvního dodatku nebyla schopna rozlišit, které operace Microsoft provádí v roli zpracovatele a které provádí jako samostatný správce „pro legitimní účely“, což zákazníkům používajícím službu Microsoft 365 prakticky znemožňuje naplňovat princip odpovědnosti daný ustanovením čl. 5 odst. 2 obecného nařízení.
Pracovní skupina zároveň s odkazem na čl. 6 odst. 1 větu druhou obecného nařízení zdůraznila, že samotný fakt, že Microsoft při poskytování služby Microsoft 365 zpracovává osobních údaje pro vlastní účely, vylučuje, aby službu Microsoft 365 využívaly orgány veřejné moci (včetně škol), neboť jediný právní titul, který pro takové zpracování přichází v úvahu, totiž oprávněný zájem daný ustanovením čl. 6 odst. 1 písm. f) obecného nařízení, není pro orgány veřejné moci aplikovatelný (viz shrnutí, s. 3).
Konference ve svém závěru, zveřejněném rovněž 25.11.2022, proto konstatuje, že uvedený aktuální dodatek nelze považovat jako doklad prokazující provozování služby Microsoft 365 v souladu s legislativou ochrany osobních údajů.
Kompletní zpráva pracovní skupiny byla zveřejněna 7.12.2022.
Tento článek je uzamčen
Po kliknutí na tlačítko "odemknout" Vám zobrazíme odpovídající možnosti pro odemčení a případnému sdílení článku.Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.
autor: Tisková zpráva