Evropská komise (EK) porušovala pravidla Evropské unie o ochraně osobních údajů, když používala software americké společnosti Microsoft. Ve své zprávě to dnes uvedl úřad Evropského inspektora ochrany údajů (EIOÚ). Komise také podle něj nezavedla odpovídající záruky pro osobní údaje předávané do zemí mimo EU.
Evropský inspektor ochrany údajů komisi nařídil, aby přijala opatření, která by zajistila dodržování pravidel ochrany osobních údajů. Nařídil jí také, aby zastavila předávání údajů americké firmě a jejím dceřiným společnostem umístěným ve třetích zemích, které s EU nemají uzavřeny smlouvy o ochraně osobních údajů. Úřad komisi nařídil, aby oba příkazy splnila do 9. prosince.
Rozhodnutí EIOÚ přichází po tříletém vyšetřování, které daly do chodu obavy z předávání osobních údajů do Spojených států. Obavy se objevily poté, co bývalý příslušník amerických zpravodajských služeb Edward Snowden v roce 2013 odhalil masové špehování ze strany amerických úřadů, uvedla agentura Reuters.
„Komise neposkytla vhodné záruky, které by zajistily, že osobním údajům předávaným mimo EU/EHP bude poskytnuta v zásadě rovnocenná úroveň ochrany, jaká je zaručena v EU/EHP,“ uvedl úřad. EHP neboli Evropský hospodářský prostor tvoří 27 zemí EU spolu s Islandem, Lichtenštejnskem a Norskem.
„Komise ve smlouvě se společností Microsoft dostatečně nespecifikovala, jaké typy osobních údajů mají být při používání služby Microsoft 365 shromažďovány a pro jaké výslovně stanovené účely,“ upřesnil Evropský inspektor ochrany údajů. Microsoft 365 je sada produktů, která zahrnuje dokumenty aplikace Word, tabulky aplikace Excel, prezentace aplikace PowerPoint a e-maily aplikace Outlook.
Úřad pro ochranu osobních údajů komisi nařídil, aby pozastavila veškeré předávání údajů vyplývající z používání služby Microsoft 365 jak této americké společnosti, tak jejím přidruženým firmám. Nařízení se týká i zpracovatelů dat, kteří se nacházejí v zemích mimo Evropu, na které se nevztahuje rozhodnutí o odpovídající ochraně. Dohody o odpovídající ochraně údajů uzavřela EU s 16 zeměmi, včetně Argentiny, Japonska, Jižní Koreje, Švýcarska, Velké Británie a Spojených států.
Společnost Microsoft v reakci uvedla, že rozhodnutí Evropského inspektora ochrany údajů přezkoumá. Slíbila také, že bude s výkonným orgánem EU na řešení těchto obav spolupracovat.
„Obavy, které vznesl Evropský inspektor ochrany údajů, se z velké části týkají přísnějších požadavků na transparentnost podle nařízení EU o ochraně osobních údajů, což je zákon, který se vztahuje pouze na orgány Evropské unie,“ uvedl podle Reuters mluvčí Microsoftu.