EDPS: Uporaba Microsoft 365 v Evropski komisiji
Evropska komisija je uskladila uporabo storitve Microsoft 365 s pravili o varstvu podatkov za institucije in organe EU
Izjava je bila objavljena 28.7.2025
Evropski nadzornik za varstvo podatkov (EDPS) je v okviru nadzornega postopka, ki ga je uvedel marca 2024, preverjal uporabo storitve Microsoft 365 pri Evropski komisiji z vidika skladnosti z uredbo o varstvu osebnih podatkov v evropskih institucijah. EDPS je sporočil, da je postopek po odpravljenih kršitvah zaključen in javnost obvestil o ključnih ugotovitvah.
Temeljno sporočilo po zaključku postopka je, da je treba tudi pri pogodbeni obdelavi, ki jo izvaja tehnološki velikan, kot je Microsoft, ustrezno varovati pravice posameznikov, jasno opredeliti vrste osebnih podatkov in namene obdelave ter podatke posameznikov prenašati v tretje države samo, kadar je to izrecno dovoljeno.
Nadzornik Wojciech Wiewiórowski je dejal: »Zahvaljujoč naši temeljiti preiskavi in nadaljnjim ukrepom Komisije smo skupaj prispevali k znatnemu izboljšanju skladnosti z varstvom podatkov pri uporabi storitve Microsoft 365 s strani Komisije. Prav tako priznavamo in cenimo Microsoftova prizadevanja za uskladitev z zahtevami Komisije, ki izhajajo iz odločitve EDPS iz marca 2024. To je pomemben in skupen uspeh ter močan znak, kaj je mogoče doseči s konstruktivnim sodelovanjem in učinkovitim nadzorom.«
Kaj je Komisija spremenila, da je lahko njena uporaba storitve Microsoft 365 zakonita?
- Omejitev namena obdelave: Komisija je jasno opredelila vrste osebnih podatkov in namene obdelave v okviru svoje uporabe storitve Microsoft 365. Dopolnila je pogodbene, tehnične in organizacijske ukrepe ki zagotavljajo, da se podatki obdelujejo izključno po dokumentiranih navodilih in le za določene namene v javnem interesu. Komisija je zagotovila tudi, da bo nadaljnja obdelava osebnih podatkov potekala znotraj Evropskega gospodarskega prostora (EGP) v skladu z zakonodajo EU ali držav članic oziroma zunaj EGP v skladu s pravom tretjih držav, ki zagotavlja primerljivo raven varstva tisti v EU.
- Prenosi v tretje države: Komisija je določila konkretne prejemnike in namene prenosa osebnih podatkov v tretje države ter omejila možnost prenosov v tretje države brez sklepa Komisije o ustreznosti glede ravni varstva podatkov.
- Razkritja in obveščanje: Komisija je dodala pogodbene določbe glede obveznosti ali izvzetja od obveznosti razkrivanja, komu se razkrivajo osebni podatki v okviru uporabe storitev Microsoft 365.
EDPS je pozval vse institucije in organe EU, ki uporabljajo storitev Microsoft 365, naj izvedejo podobne ocene skladnosti in ustrezno prilagodijo tehnične in organizacijske ukrepe.
Informacijski pooblaščenec pri tem poudarja, da bi morali tudi upravljavci v Sloveniji, tako organi javnega sektorja kot organizacije zasebnega sektorja, preveriti, ali so njihovi ukrepi za zagotavljanje skladnosti pri uporabi storitev, pri katerih se zanašajo na pogodbeno obdelavo, ustrezni in jih po potrebi prilagoditi.
