ÚOOÚ: Německá Konference pro ochranu osobních údajů zveřejnila výsledky práce

18.12.2022 14:04 | Tisková zpráva

Německá Konference pro ochranu osobních údajů (Datenschutzkonferenz, DSK), která je pracovním sdružením nezávislých spolkových a zemských dozorových orgánů v oblasti ochrany osobních údajů, zveřejnila 25.11.2022 shrnutí zprávy pracovní skupiny pro online služby společnosti Microsoft.

ÚOOÚ: Německá Konference pro ochranu osobních údajů zveřejnila výsledky práce
Foto: uoou.cz
Popisek: Úřad pro ochranu osobních údajů - logo

Německá Konference pro ochranu osobních údajů (Datenschutzkonferenz, DSK), která je pracovním sdružením nezávislých spolkových a zemských dozorových orgánů v oblasti ochrany osobních údajů, zveřejnila 25.11.2022 shrnutí zprávy pracovní skupiny pro online služby společnosti Microsoft.

Německá Konference pro ochranu osobních údajů (Datenschutzkonferenz, DSK) ustanovila pracovní skupinu pro online služby společnosti Microsoft již před dvěma lety, aby vedla jednání se společností Microsoft na vylepšení zákaznických smluv, na základě kterých je provozována služba Microsoft Office 365, a na jejich uvedení do souladu s požadavky čl. 28 obecného nařízení na zpracovatelské smlouvy a s rozhodnutím Soudního dvora EU ve věci Schrems II na předávání osobních údajů do třetích zemí.

Tato pracovní skupina byla ustanovena současně s tehdejším konstatováním Konference ze září 2020, že na základě stávající smluvních podmínek, definovaných v Online Service Terms a v Data Processing Addendum služby Microsoft Office 365 „není využívání služby Microsoft Office 365 v souladu s legislativou ochrany osobních údajů možné“.

Ve výsledku daná pracovní skupina hodnotila, zda nové aktuální znění smluvního dodatku k ochraně osobních údajů při poskytování produktů a služeb společnosti Microsoft (Microsoft Products and Services Data Protection Addendum) ze září 2022 odstranilo nedostatky, které vedly Konferenci k výše uvedenému negativnímu závěru v roce 2020.

Pracovní skupina přitom došla k závěru, že v mnoha problematických otázkách nedošlo k žádnému významnému zlepšení. Co se týče konkrétně otázky předávání osobních údajů do třetích zemí, pracovní skupina potvrdila, že službu Microsoft 365 nelze provozovat bez předání dat do Spojených států amerických, přičemž pro poskytování služby je nezbytný přístup Microsoftu k ostrým nepseudonymizovaným datům, který ve většině operací vylučuje šifrování zpracovávaných dat, takže jde o klasický případ, popsaný v příkladu 6 přílohy 2 doporučení EDPB 1/2020, pro který se dozorovým úřadům dosud nepodařilo identifikovat doplňková opatření, která by mohla zajistit předávání údajů v souladu s obecným nařízením vyloženým rozsudkem Soudního dvora EU ve věci Schrems II.

Pracovní skupina poukázala rovněž na ten zásadní problém, že ani v průběhu dvouletých osobních jednání, ani na základě nového znění smluvního dodatku nebyla schopna rozlišit, které operace Microsoft provádí v roli zpracovatele a které provádí jako samostatný správce „pro legitimní účely“, což zákazníkům používajícím službu Microsoft 365 prakticky znemožňuje naplňovat princip odpovědnosti daný ustanovením čl. 5 odst. 2 obecného nařízení.

Pracovní skupina zároveň s odkazem na čl. 6 odst. 1 větu druhou obecného nařízení zdůraznila, že samotný fakt, že Microsoft při poskytování služby Microsoft 365 zpracovává osobních údaje pro vlastní účely, vylučuje, aby službu Microsoft 365 využívaly orgány veřejné moci (včetně škol), neboť jediný právní titul, který pro takové zpracování přichází v úvahu, totiž oprávněný zájem daný ustanovením čl. 6 odst. 1 písm. f) obecného nařízení, není pro orgány veřejné moci aplikovatelný (viz shrnutí, s. 3).

Konference ve svém závěru, zveřejněném rovněž 25.11.2022, proto konstatuje, že uvedený aktuální dodatek nelze považovat jako doklad prokazující provozování služby Microsoft 365 v souladu s legislativou ochrany osobních údajů.

Kompletní zpráva pracovní skupiny byla zveřejněna 7.12.2022.

Tento článek je uzamčen

Po kliknutí na tlačítko "odemknout" Vám zobrazíme odpovídající možnosti pro odemčení a případnému sdílení článku.

Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.

reklama

autor: Tisková zpráva

MUDr. Ivo Trešl byl položen dotaz

očkování

Vážený pane doktore, ráda bych využila možnosti se vás zde zeptat na jednu věc. Když se nechám očkovat proti černému kašli, znamená to, že ho nemůžu dostat nebo je to jak s vakcínou proti covidu? A ještě na jak dlouho mě případně očkování proti nákaze ochrání? A když už jsem nakousla téma covid, pro...

Odpověď na tento dotaz zajímá celkem čtenářů:


Tato diskuse je již dostupná pouze pro předplatitele.

Další články z rubriky

Jihočeský kraj: Máme dvě Evropská města sportu 2025. Tábor a Jindřichův Hradec

20:16 Jihočeský kraj: Máme dvě Evropská města sportu 2025. Tábor a Jindřichův Hradec

Jihočeský kraj slaví dvojí úspěch na sportovním poli. Města Tábor a Jindřichův Hradec získala titul …