Европейская комиссия (ЕК) нарушила несколько ключевых правил защиты данных при использовании Microsoft 365 в отношении передачи личных данных людей из Европы в другие регионы, не подпадающие под действие законов ЕС о защите данных, обнаружил ключевой европейский наблюдатель за конфиденциальностью.
Европейский инспектор по защите данных (EDPS) во вторник отчитал ЕС после того, как обнаружил, что оно не приняло надлежащих мер защиты при отправке личных данных за пределы ЕС и Европейской экономической зоны (ЕЭЗ) при использовании облачного приложения.
Кроме того, согласно заявлению EDPS, EC не указала в своем контракте с Microsoft «какие типы персональных данных и для каких явных и конкретных целей при использовании Microsoft 365».
Результаты — результат трехлетнего расследования, начавшегося в 2021 году — предполагают, что, как и технологические гиганты, даже доверенные государственные учреждения, для которых конфиденциальность данных должна быть главным приоритетом, не обязательно обеспечивают безопасность собираемых ими данных.
«Институты, органы, офисы и агентства ЕС (EUI) обязаны обеспечить, чтобы любая обработка персональных данных за пределами и внутри ЕС/ЕЭЗ, в том числе в контексте облачных услуг, сопровождалась надежными данными. гарантии и меры защиты», — заявил в своем заявлении руководитель EDPS Войцех Вевёровский.
Требуется соответствие
В частности, ЕС нарушил Регламент (ЕС) 2018/1725, закон ЕС о защите данных для EUI. Более того, по данным EDPS, многие нарушения касаются «всех операций обработки, выполняемых Комиссией или от ее имени при использовании Microsoft 365», затрагивая «большое количество лиц».
В результате EDPS приказал комиссии приостановить все потоки данных, возникающие в результате использования Microsoft 365, не только Microsoft, но также ее филиалам и субобработчикам, расположенным в странах за пределами ЕС/ЕЭЗ, у которых нет соглашение об адекватности с ЕС.
Как правило, эти соглашения, которые ЕС имеет с различными регионами, диктуют, как осуществляется передача персональных данных после выхода из ЕС. Это сделано для того, чтобы данные были защищены в соответствии с законодательством ЕС даже при отправке в другую страну, где законы о конфиденциальности данных отличаются. ЕС имеет соглашения об адекватности данных с 16 странами, включая Аргентину, Японию, Южную Корею, Швейцарию, Великобританию и США.
Понимая, что приостановка большого количества потоков данных является сложной задачей, надзорный орган дает комиссии «подходящее время» для выполнения приостановки, чтобы «не ставить под угрозу способность Комиссии выполнять свои задачи в общественных интересах или осуществлять официальные полномочия». «, — сообщили в ЕДПС.
Кроме того, у ЕС есть время до 9 декабря продемонстрировать EDPS, что все операции обработки, возникающие в результате использования Microsoft 365, соответствуют Регламенту (ЕС) 2018/1725.
Защищенные данные — миф?
Даже требуемое соблюдение в конечном итоге «может ничего не изменить», если оно не будет подкреплено «либо постоянным соблюдением требований, либо требованиями более детального раскрытия/аудита», — сказал Нараяна Паппу, генеральный директор Zendata, поставщика решений по обеспечению безопасности данных и конфиденциальности.
Это связано с тем, что обеспечить безопасность данных после их передачи через Интернет — независимо от того, собираются ли они государственными учреждениями, компаниями социальных сетей или онлайн-приложениями — сложно, несмотря на благонамеренные попытки регулирования и защиты со стороны различных регулирующих органов. «Трудно по-настоящему понять, что происходит с данными после их сбора», — сказал Паппу.
Сценарий становится еще более сложным с облачными приложениями, которые «имеют микросервисную архитектуру с десятками и даже сотнями сторонних подпроцессоров», — сказал он. «Трудно реально оценить, что происходит с данными и как они используются».
Более того, иногда организация, собирающая данные в Интернете, даже не знает, что данные передаются, сказал он, ссылаясь на случай, когда DuckDuckGo, поисковая платформа, которая гордится конфиденциальностью, неосознанно делилась информацией с Microsoft.
«Это не было очевидным в их раскрытии и не всплывало до тех пор, пока не было проведено расследование веб-экспертом», — сказал Паппу.
© IDG Communications, Inc., 2024.