Avrupa Birliği’nin Microsoft 365 kullanımına ilişkin uzun bir araştırma, Komisyonun bulut tabanlı üretkenlik yazılımını kullanarak bloğun veri koruma kurallarını ihlal ettiğini ortaya çıkardı.
Kararını bugün bir basın bülteniyle açıklayan Avrupa Veri Koruma Denetçisi (EDPS), Komisyon’un “Microsoft 365’i kullanırken bazı temel veri koruma kurallarını” ihlal ettiğini söyledi.
Veri sorumlusu Wojciech Wiewiórowski, “Komisyon, Microsoft 365 kullanılırken hangi tür kişisel verilerin toplanacağını ve hangi açık ve belirli amaçlarla toplanacağını yeterince belirtmedi” diye yazdı ve şunları ekledi: “Komisyonun veri denetleyicisi olarak ihlalleri aynı zamanda aşağıdakilerle de ilgilidir: adına gerçekleştirilen, kişisel verilerin aktarımı da dahil olmak üzere veri işleme.”
EDPS, Microsoft’un bulut paketini kullanmaya devam edeceği varsayılarak, Komisyon’un 9 Aralık 2024’e kadar tespit ettiği uyumluluk sorunlarını gidermesini gerektiren düzeltici önlemler uygulamaya koydu.
EDPS bulgularına yanıt verilmesi için Microsoft ve Komisyon ile temasa geçildi. Ancak bu yazının yazıldığı sırada ikisi de yanıt vermemişti.
AB kurumlarının veri koruma kurallarına uyumunu denetleyen düzenleyici, Mayıs 2021’de Komisyon’un Microsoft 365 ve diğer ABD bulut hizmetlerini kullanımına ilişkin bir soruşturma başlattı.
Sorun, Microsoft’un bulut hizmeti kullanıcılarının verilerini nasıl işlediğidir. AB düzenleyicileri, Microsoft’un veri işlemeye ilişkin iddialarının yasal dayanağı da dahil olmak üzere, yıllardır bu konudaki endişelerini dile getiriyor; ürüne ilişkin sözleşmelerin ifadelerinde açıklık ve kesinlik eksikliği; ve verilerin yalnızca hizmetin sağlanması ve sürdürülmesi amacıyla kullanılmasını sağlamak için hiçbir teknik önlemin uygulanmaması.
EDPS soruşturmayı açtığında, Temmuz 2020’de AB-ABD Gizlilik Kalkanı’nın düşürülmesinin ardından blok ile ABD arasında herhangi bir veri aktarımı anlaşması da yoktu.
Daha sonra yeni bir transatlantik veri aktarımı anlaşması kabul edildi ve yıllar sonra (Temmuz 2023) kabul edildi. Ancak EDPS’nin Komisyon’un Microsoft 365 kullanımını araştırdığı dönemin büyük bölümünde AB’den ABD’ye veri aktarımlarını kapsayan herhangi bir anlaşma mevcut değildi. Ancak Microsoft 365’in kullanımı rutin olarak verilerin Microsoft’un ABD’deki sunucularına geri akmasına neden oluyor.
Veri aktarımları konusunda EDPS, Komisyon’un, bloktan ayrıldıktan sonra veriler için esasen eşdeğer korumaların uygulanmasını sağlamak amacıyla bu veri aktarımlarına yeterli koruma önlemlerinin uygulanmasını sağlayamadığını tespit etti.
Veri denetçisi, Komisyon’a, Microsoft 365’in Microsoft’a ve onun bağlı şirketlerine ve AB/AEA dışındaki ülkelerde bulunan ve veri aktarımlarına ilişkin bir AB yeterlilik kararı kapsamına girmeyen alt işleyicilerine kullanılmasından kaynaklanan tüm veri akışlarını askıya alması talimatını verdi. Bunun için son tarih 9 Aralık.
Aynı zamanda, “hangi kişisel verilerin, hangi üçüncü ülkelerdeki alıcılara, hangi amaçlarla ve ileriye yönelik aktarımlar da dahil olmak üzere hangi güvencelere tabi olarak aktarıldığını” belirleyen bir veri aktarımı haritalama çalışması yapması da emredildi. Ayrıca, bir yeterlilik kararı olmadan AB üyesi olmayan ülkelere yapılan tüm transferlerin “yalnızca kontrolörün yetkisi dahilindeki görevlerin gerçekleştirilmesine izin vermek için” gerçekleşmesini sağlamalıdır.
Daha genel anlamda, EDPS’nin düzeltici önlemleri, Komisyonun Microsoft ile olan sözleşmelerini düzeltmesini gerektirir; bu sözleşmelerin kişisel verilerin yalnızca açık ve belirli amaçlarla toplanmasını sağlamak için gerekli sözleşme hükümlerini, organizasyonel önlemleri ve/veya teknik önlemleri içerdiğinden emin olmak için; ve işlendikleri amaç bakımından “yeterince belirlenmiş” olmalıdır.
Veriler aynı zamanda yalnızca Microsoft veya bağlı kuruluşları veya alt işleyicileri tarafından “Komisyonun belgelenmiş talimatları doğrultusunda”, emre göre işlenmelidir – bölge içinde gerçekleşmediği ve işleme AB veya Üye Devlet yasalarına uygun bir amaç için olmadığı sürece; veya üçüncü ülke hukuku kapsamında başka bir amaç için işlenecek bölge dışında ise esas olarak eşdeğer bir korumanın uygulanması gerekir.
Sözleşmeler ayrıca verilerin daha fazla işlenmemesini, yani verilerin toplanma amacının ötesinde kullanılmamasını da sağlamalıdır.
EDPS, Komisyon’un, Microsoft İrlanda ile imzaladığı lisans sözleşmesi kapsamında toplanan kişisel veri türlerini yeterince belirlemeyerek, geçerli veri koruma kurallarının “amaç sınırlaması” ilkesini ihlal ettiğini, yani bunların spesifik ve açık olmasını sağlayamadığı sonucuna vardı.
AB ayrıca Microsoft’a işlemeyle ilgili yeterince açık belgelenmiş talimatlar sağlayamadı; işlenmesinin talimatlarla sınırlandırılmasını sağlayamadı; ve EDPS’nin belirlediği diğer kural ihlallerinin yanı sıra, Microsoft’un daha sonraki işlemlerinin toplama için başlangıçta belirtilen amaca uygunluğunu değerlendirmede başarısız oldu.
Bir açıklamada yorum yapan Wiewiórowski şunu yazdı:
Bulut tabanlı hizmetler bağlamı da dahil olmak üzere, AB/AEA dışında ve içinde kişisel verilerin işlenmesine güçlü veri koruma önlemlerinin eşlik etmesini sağlamak AB kurumlarının, organlarının, ofislerinin ve ajanslarının (EUI’ler) sorumluluğundadır. ve önlemler. Bu, verileri bir EUI tarafından veya onun adına işlendiğinde, bireylerin bilgilerinin (AB) 2018/1725 sayılı Yönetmelik uyarınca korunmasını sağlamak için zorunludur.
Son birkaç yılda Microsoft, veri aktarımlarıyla ilgili artan AB düzenleme riskine, “Microsoft Bulutu için AB Veri Sınırı” olarak adlandırdığı bir altyapıda, bölgesel bulut müşterilerine odaklanan bir veri yerelleştirme çabasını genişleterek yanıt verdi. Ancak teknik altyapı henüz hayata geçirilme aşamasında. Microsoft’a göre bu yıl sonunda tamamlanması planlansa bile bazı veriler AB dışında da erişilebilir kalacak şekilde tasarım gereği geçirgen olmayı sürdürüyor.
Kaynak: https://techcrunch.com/2024/03/11/edps-microsoft-365/