تبين أن استخدام الاتحاد الأوروبي لـ Microsoft 365 ينتهك قواعد حماية البيانات
توصل تحقيق مطول في استخدام الاتحاد الأوروبي لبرنامج Microsoft 365 إلى أن المفوضية انتهكت قواعد حماية البيانات الخاصة بالاتحاد من خلال استخدامها لبرنامج الإنتاجية القائم على السحابة.
عند إعلان قراره في بيان صحفي اليوم، قال المشرف الأوروبي على حماية البيانات (EDPS) إن المفوضية انتهكت “العديد من قواعد حماية البيانات الرئيسية عند استخدام Microsoft 365”.
كتب مشرف البيانات، Wojciech Wiewiórowski، “لم تحدد اللجنة بشكل كافٍ أنواع البيانات الشخصية التي سيتم جمعها ولأي أغراض صريحة ومحددة عند استخدام Microsoft 365″، مضيفًا: “إن انتهاكات اللجنة بصفتها مراقب البيانات تتعلق أيضًا بـ معالجة البيانات، بما في ذلك عمليات نقل البيانات الشخصية، التي تتم نيابة عنها.”
فرضت EDPS إجراءات تصحيحية تتطلب من اللجنة معالجة مشكلات الامتثال التي حددتها بحلول 9 ديسمبر 2024، على افتراض استمرارها في استخدام مجموعة Microsoft السحابية.
تم الاتصال بشركة Microsoft والمفوضية للرد على نتائج EDPS. ولكن حتى وقت كتابة هذا التقرير لم يكن أي منهما قد استجاب.
وفتحت الهيئة التنظيمية، التي تشرف على امتثال مؤسسات الاتحاد الأوروبي لقواعد حماية البيانات، تحقيقًا في استخدام المفوضية لـ Microsoft 365 والخدمات السحابية الأمريكية الأخرى في مايو 2021.
تكمن المشكلة في كيفية معالجة Microsoft لبيانات مستخدمي خدمتها السحابية. لقد أبدى المنظمون في الاتحاد الأوروبي مخاوف بشأن هذا الأمر لسنوات، بما في ذلك ما يتعلق بالأساس القانوني الذي تطالب به Microsoft لمعالجة البيانات؛ عدم الوضوح والدقة في صياغة عقودها للمنتج؛ ولا يتم تطبيق أي ضمانات فنية لضمان استخدام البيانات فقط لتوفير الخدمة وصيانتها.
عندما فتحت EDPS التحقيق، لم تكن هناك أيضًا اتفاقية لنقل البيانات بين الكتلة والولايات المتحدة، بعد إلغاء درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة في يوليو 2020.
تم لاحقًا الاتفاق على اتفاقية جديدة لنقل البيانات عبر المحيط الأطلسي واعتمادها بعد سنوات (يوليو 2023). ولكن خلال معظم الفترة التي كانت فيها EDPS تحقق في استخدام المفوضية لبرنامج Microsoft 365، لم تكن هناك صفقة معمول بها تغطي عمليات نقل البيانات من الاتحاد الأوروبي إلى الولايات المتحدة. ومع ذلك، يؤدي استخدام Microsoft 365 بشكل روتيني إلى تدفق البيانات مرة أخرى إلى خوادم Microsoft في الولايات المتحدة.
فيما يتعلق بعمليات نقل البيانات، وجدت EDPS أن المفوضية فشلت في ضمان تطبيق الضمانات الكافية على عمليات تصدير البيانات هذه لضمان وجود حماية معادلة بشكل أساسي للبيانات بمجرد مغادرة الكتلة.
لقد أمر مشرف البيانات المفوضية بتعليق جميع تدفقات البيانات الناتجة عن استخدامها لـ Microsoft 365 إلى Microsoft والشركات التابعة لها والمعالجين الفرعيين الموجودين في بلدان خارج الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية غير المشمولة بقرار كفاية الاتحاد الأوروبي بشأن عمليات نقل البيانات – مرة أخرى، مع الموعد النهائي هو 9 ديسمبر لهذا الغرض.
كما صدرت لها أوامر بتنفيذ عملية رسم خرائط نقل البيانات – تحديد “ما هي البيانات الشخصية التي يتم نقلها إلى أي مستلمين وفي أي بلدان ثالثة، ولأي أغراض وخاضعة لأي ضمانات، بما في ذلك عمليات النقل اللاحقة”. ويجب عليها أيضًا التأكد من أن جميع عمليات النقل إلى دول خارج الاتحاد الأوروبي دون اتخاذ قرار بشأن الملاءمة تتم “فقط للسماح بتنفيذ المهام التي تقع ضمن اختصاص المراقب المالي”.
على نطاق أوسع، تتطلب الإجراءات التصحيحية لـ EDPS من المفوضية إصلاح عقودها مع Microsoft – للتأكد من أنها تحتوي على الأحكام التعاقدية اللازمة، والتدابير التنظيمية و/أو التدابير الفنية لضمان جمع البيانات الشخصية فقط لأغراض صريحة ومحددة؛ و”محددة بشكل كافٍ” فيما يتعلق بالأغراض التي تتم معالجتها من أجلها.
يجب أيضًا معالجة البيانات فقط بواسطة Microsoft أو الشركات التابعة لها أو المعالجين الفرعيين “بناءً على تعليمات المفوضية الموثقة”، وفقًا للطلب – ما لم يتم ذلك داخل المنطقة وكانت المعالجة لغرض يتوافق مع قانون الاتحاد الأوروبي أو قانون الدول الأعضاء؛ أو، إذا كنت خارج المنطقة لتتم معالجتها لغرض آخر بموجب قانون دولة ثالثة، فيجب تطبيق حماية معادلة بشكل أساسي.
ويجب أن تضمن العقود أيضًا عدم وجود معالجة إضافية للبيانات – أي استخدامات تتجاوز الغرض الأصلي الذي يتم جمع البيانات من أجله.
وجدت EDPS أن المفوضية انتهكت مبدأ “تحديد الغرض” لقواعد حماية البيانات المعمول بها من خلال الفشل في تحديد أنواع البيانات الشخصية التي تم جمعها بشكل كافٍ بموجب اتفاقية الترخيص التي أبرمتها مع Microsoft Ireland، مما يعني أنها لم تتمكن من التأكد من أنها محددة وصريحة.
فشل الاتحاد الأوروبي أيضًا في تقديم تعليمات موثقة وواضحة بما فيه الكفاية لشركة Microsoft فيما يتعلق بالمعالجة؛ فشل في التأكد من أن معالجتها كانت محدودة بالتعليمات؛ وفشلت في تقييم مدى امتثال عمليات المعالجة الإضافية التي تقوم بها Microsoft للغرض المحدد في البداية للمجموعة، من بين الانتهاكات الأخرى للقواعد التي حددها EDPS.
وفي تعليقه في بيان، كتب Wiewiórowski:
تقع على عاتق مؤسسات الاتحاد الأوروبي وهيئاته ومكاتبه ووكالاته (EUIs) مسؤولية التأكد من أن أي معالجة للبيانات الشخصية خارج وداخل الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية، بما في ذلك في سياق الخدمات المستندة إلى السحابة، تكون مصحوبة بضمانات قوية لحماية البيانات. والتدابير. يعد هذا أمرًا ضروريًا لضمان حماية معلومات الأفراد، وفقًا لما تقتضيه اللائحة (الاتحاد الأوروبي) 2018/1725، عندما تتم معالجة بياناتهم بواسطة EUI أو بالنيابة عنها.
على مدار السنوات القليلة الماضية، استجابت Microsoft للمخاطر التنظيمية المتزايدة في الاتحاد الأوروبي المرتبطة بعمليات نقل البيانات من خلال توسيع جهود توطين البيانات التي تركز على عملاء السحابة الإقليميين – في بنية تحتية تحمل العلامة التجارية “حدود بيانات الاتحاد الأوروبي لسحابة Microsoft”. ومع ذلك، فإن البنية التحتية التقنية لا تزال في طور التنفيذ. ويظل أيضًا قابلاً للاختراق حسب التصميم، مع إمكانية الوصول إلى بعض البيانات خارج الاتحاد الأوروبي حتى عندما يكون من المقرر اكتمال عملية الطرح في نهاية هذا العام، وفقًا لمايكروسوفت.
طعم وكيف دليل المطاعم والكافيهات دليل المطاعم مدن العالم طعام وشراب مقاهي الرياض أخبار ونصائح دليل الرياض كافيهات الرياض جلسات خارجية دليل مقاهي ومطاعم أفضل كافيهات الرياض عوائل
اكتشاف المزيد من موقع fffm
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
