AB veri koruma sorumlusu Wojciech Wiewiórowski, Mayıs 2021'de AB Komisyonu tarafından Microsoft Office 365 kullanımına ilişkin başlatılan incelemelerin sonuçlarını Pazartesi günü açıkladı. Buna göre Brüksel hükümet kurumu, ABD yazılım devinin bulut ofis paketini kullanarak ihlalleri ihlal etti. AB kurumlarına yönelik özel veri koruma düzenlemesinin çeşitli gereklilikleri. Müfettiş, Komisyon'un MS 365 yoluyla ABD gibi üçüncü ülkelere gönderilen kişisel bilgiler için yeterli düzeyde korumayı garanti etmemiş olmasından özellikle endişe duymaktadır. Şirketin birkaç kez revize ettiği Microsoft'a transferlere ilişkin standart sözleşme maddeleri yeterince açık değildi.
Reklamcılık
Ayrıca, 8 Mart tarihli karara göre yürütme organı, Microsoft ile yaptığı sözleşmede, Microsoft 365 kullanılırken hangi tür kişisel verilerin hangi açık ve belirli amaçlarla toplandığını genel olarak yeterince belirtmedi. Komisyonun veri denetleyicisi olarak görevine ilişkin ihlalleri aynı zamanda Komisyon adına gerçekleştirilen bilgi aktarımıyla da ilgilidir. Ayrıca devlet kurumu, AB ve Avrupa Ekonomik Alanı (AEA) dışında dahi dürüstlük ve gizlilik ilkesine uygun olarak işlenmesini sağlayacak etkili teknik ve organizasyonel koruyucu önlemler almamıştır.
Wiewiórowski, soruşturmayı Avrupa Adalet Divanı'nın (ECJ) AB ile ABD arasındaki “Gizlilik Kalkanı”nı bozan “Schrems II kararı” sonrasında başlatmıştı. Bulut hizmetlerine ilişkin pek çok sözleşmenin bu temel karardan önce imzalandığını ve o dönemde içtihatlar ışığında gözden geçirilmesi gerektiğini vurgulamıştı. Şu anda AB-ABD veri koruma çerçevesiyle devam eden bir anlaşma var, ancak eleştirmenlere göre bunun da temelleri sağlam değil ve uzun süre dayanması pek olası değil.
Komisyonun Aralık ayına kadar birçok veri aktarımını durdurması gerekiyor
Sonuçlara göre denetleyici makam, Komisyona Microsoft 365'in kullanımından kaynaklanan tüm veri akışlarının Microsoft'a ve onun AB veya AEA dışındaki ülkelerdeki bağlı kuruluşlarına ve alt işleyicilerine en geç 9 Aralık 2024'e kadar askıya alınması talimatını verdi. İstisnalar yalnızca Komisyona göre AB ile karşılaştırılabilir düzeyde veri korumasına sahip olan üçüncü ülkeler için geçerlidir. Yürütme makamının ayrıca son tarihe kadar koruyucu düzenlemeye uyduğunu kanıtlaması gerekiyor. Wiewiórowski, “tanımlanan ihlallerin ciddiyeti ve süresi göz önüne alındığında, düzeltici önlemlerin uygun, gerekli ve orantılı” olduğunu düşünüyor. Hak ihlallerinin çoğu çok sayıda kişiyi etkilemektedir. Müfettiş daha fazla yaptırım uygulama hakkını saklı tutar.
Wiewiórowski, AB kurumlarının Microsoft ile olan sözleşmelerini defalarca incelemiş ve 2020'de Windows veya Microsoft Office kullanılırken veri işleme amaçlarının fazlasıyla açık bir şekilde tanımlandığı sonucuna varmıştı. Alt işleyicilere yönelik kurallar yetersiz olup veriler AB kurumlarının denetimi olmadan üçüncü ülkelere aktarılabilmektedir. Temsilciye göre kullanıcıların daha yüksek veri koruma standartlarına izin veren alternatifler araması en iyisi. Bu ülkede bağımsız federal ve eyalet veri koruma denetleme otoritelerinin 2022 konferansında ofis, okul ve şirket gibi kurumların Microsoft'un Office paketini bulut bağlantısıyla hukuka uygun bir şekilde kolayca kullanamayacağı vurgulandı.
(benim)
Haberin Sonu
Reklamcılık
Ayrıca, 8 Mart tarihli karara göre yürütme organı, Microsoft ile yaptığı sözleşmede, Microsoft 365 kullanılırken hangi tür kişisel verilerin hangi açık ve belirli amaçlarla toplandığını genel olarak yeterince belirtmedi. Komisyonun veri denetleyicisi olarak görevine ilişkin ihlalleri aynı zamanda Komisyon adına gerçekleştirilen bilgi aktarımıyla da ilgilidir. Ayrıca devlet kurumu, AB ve Avrupa Ekonomik Alanı (AEA) dışında dahi dürüstlük ve gizlilik ilkesine uygun olarak işlenmesini sağlayacak etkili teknik ve organizasyonel koruyucu önlemler almamıştır.
Wiewiórowski, soruşturmayı Avrupa Adalet Divanı'nın (ECJ) AB ile ABD arasındaki “Gizlilik Kalkanı”nı bozan “Schrems II kararı” sonrasında başlatmıştı. Bulut hizmetlerine ilişkin pek çok sözleşmenin bu temel karardan önce imzalandığını ve o dönemde içtihatlar ışığında gözden geçirilmesi gerektiğini vurgulamıştı. Şu anda AB-ABD veri koruma çerçevesiyle devam eden bir anlaşma var, ancak eleştirmenlere göre bunun da temelleri sağlam değil ve uzun süre dayanması pek olası değil.
Komisyonun Aralık ayına kadar birçok veri aktarımını durdurması gerekiyor
Sonuçlara göre denetleyici makam, Komisyona Microsoft 365'in kullanımından kaynaklanan tüm veri akışlarının Microsoft'a ve onun AB veya AEA dışındaki ülkelerdeki bağlı kuruluşlarına ve alt işleyicilerine en geç 9 Aralık 2024'e kadar askıya alınması talimatını verdi. İstisnalar yalnızca Komisyona göre AB ile karşılaştırılabilir düzeyde veri korumasına sahip olan üçüncü ülkeler için geçerlidir. Yürütme makamının ayrıca son tarihe kadar koruyucu düzenlemeye uyduğunu kanıtlaması gerekiyor. Wiewiórowski, “tanımlanan ihlallerin ciddiyeti ve süresi göz önüne alındığında, düzeltici önlemlerin uygun, gerekli ve orantılı” olduğunu düşünüyor. Hak ihlallerinin çoğu çok sayıda kişiyi etkilemektedir. Müfettiş daha fazla yaptırım uygulama hakkını saklı tutar.
Wiewiórowski, AB kurumlarının Microsoft ile olan sözleşmelerini defalarca incelemiş ve 2020'de Windows veya Microsoft Office kullanılırken veri işleme amaçlarının fazlasıyla açık bir şekilde tanımlandığı sonucuna varmıştı. Alt işleyicilere yönelik kurallar yetersiz olup veriler AB kurumlarının denetimi olmadan üçüncü ülkelere aktarılabilmektedir. Temsilciye göre kullanıcıların daha yüksek veri koruma standartlarına izin veren alternatifler araması en iyisi. Bu ülkede bağımsız federal ve eyalet veri koruma denetleme otoritelerinin 2022 konferansında ofis, okul ve şirket gibi kurumların Microsoft'un Office paketini bulut bağlantısıyla hukuka uygun bir şekilde kolayca kullanamayacağı vurgulandı.
(benim)
Haberin Sonu