Standartlar, Düzenlemeler ve Uyumluluk
Mart Kararı, Komisyonun Ofis 365 Kullanımından Veri Akışını Durdurmasını Zorunlu Hale Getirdi
Akşaya Asokan (asokan_akshaya) •
24 Mayıs 2024
Avrupa Komisyonu, kıtasal bir veri düzenleyicisinin Mart ayında aldığı ve komisyonun Microsoft Office uygulamalarını kullanmasının (AB) 2018/1725 sayılı Yönetmeliği ihlal ettiğini tespit eden kararına itiraz ediyor.
Ayrıca bakınız: Web Semineri | Efsanevi MDR
Avrupa Veri Koruma Denetleyicisi, Microsoft 365 ürünlerinin kullanımı yoluyla oluşturulan verilerin Avrupa Birliği içinde veya benzer bir gizlilik rejimine sahip ülkelerde kalmasını sağlamak için Avrupa Komisyonu’na Aralık ayı başına kadar süre verdi.
EDPS sözcüsü Cuma günü komisyonun ve Microsoft’un düzenleyicinin kararına itiraz ettiğini doğruladı. Taraflardan hiçbiri yorum talebine hemen yanıt vermedi.
EDPS kararı, ticari verilerin Atlantik Okyanusu boyunca ücretsiz aktarımına olanak tanıyan yasal bir çerçeve olan AB-ABD Veri Gizliliği Çerçevesi’nin 2023’te kabul edilmesinden önce, 2021’de başlatılan bir soruşturmanın sonucuydu. “Komisyon, Microsoft 365 kullanılırken hangi tür kişisel verilerin toplanacağını ve hangi açık ve belirli amaçlarla toplanacağını yeterince belirtmedi. Veri denetleyicisi olarak komisyonun ihlalleri, kişisel verilerin aktarımı da dahil olmak üzere Microsoft 365’in kendi bünyesinde gerçekleştirilen veri işlemeyle de ilgilidir. adına,” dedi EDPS.
Ajans, soruşturmayı, Avrupa Adalet Divanı’nın Temmuz 2020’de Schrems II olarak bilinen bir kararın, çerçevenin Gizlilik Kalkanı olarak bilinen öncülünü geçersiz kılmasının ardından bir trans-Atlantik veri akışı anlaşmasının aktif olmadığı bir dönemde başlattı.
Mahkeme, Avrupalılara ait verilerin ABD’nin istilacı istihbarat gözetimine tabi olduğunu ve bu durumun ABD’ye veri transferini yasa dışı hale getirdiğini tespit etti. Avrupa Komisyonu, ABD’den, Avrupalılar hakkında istihbarat toplamanın ulusal güvenlikle orantılı olarak sürdürülmesi taahhüdü de dahil olmak üzere önemli taahhütler aldıktan sonra geçen Temmuz ayında çerçeveyi onayladı. ABD Adalet Bakanlığı ayrıca kişisel bilgilerin ABD istihbarat teşkilatları tarafından yanlış bir şekilde toplandığı yönündeki Avrupa iddialarını incelemeyi kabul etti.
Bir komisyon sözcüsü Mart ayında EDPS kararının “mobil ve entegre BT hizmetlerine” zarar vereceğini söyledi. Sözcü ayrıca komisyonun herhangi bir adım atmadan önce kararı ve bunun “temel nedenlerini” analiz edeceğini söyledi.
Fransa’daki Grenoble Alpes Üniversitesi’nde veri koruma hukuku profesörü Theodore Christakis, eğer yürürlüğe girerse, EDPS kararının esasen komisyonu bulut hizmetinden şirket içi altyapıya geçmeye zorlayacağını söyledi. Örgütün büyüklüğünden dolayı bu adımın “pratik olarak imkansız” olduğunu söyledi.
Christakis, “Mümkün olsa bile, bu geçiş komisyonu, azalan siber güvenlik ve yalnızca bulutta mevcut olan temel hizmetlerin kullanılamaması dahil olmak üzere önemli sorunlara maruz bırakacaktır” dedi.
Microsoft defalarca “AB kamu sektörü müşteri verilerini hiçbir hükümete sağlamadığını” savundu. Artan AB incelemesinin ardından şirket, bu yılın başında Avrupalı bulut müşterilerinin otomatik sistem kayıtları gibi tüm kişisel verileri yerel olarak depolamaya yönelik aşamalı planını açıkladı.