GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Czy Microsoft 365 jest bezpiecznym narzędziem?

Czy Microsoft 365 jest bezpiecznym narzędziem?

Konferencja Niezależnych Organów Nadzorczych ds. Ochrony Danych Federacji i Krajów Związkowych Niemiec (Datenschutzkonferenz-DSK) ostatnio wyraziła spore obawy czy korzystanie z Microsoft 365 (dawniej MS Office 365)  i powiązanych usług sieciowych jest zgodne z RODO. Te uwagi są wynikiem pracy grupy roboczej, której celem było zbadanie warunków świadczenia usług online oraz regulaminu ochrony danych dla usług sieciowych Microsoft, w zakresie zgodności z RODO. Microsoft w odpowiedzi na zarzuty DSK, wydał oświadczenie odnoszące się do tych zarzutów.

Przetwarzanie danych

Głównym celem przeprowadzonych przez grupę roboczą analiz i spotkań z Microsoftem było ustalenie, w jakich przypadkach Microsoft jest podmiotem przetwarzającym, a w jakich jest administratorem danych. Istotnym problemem w tym przypadku był brak wskazania przez Microsoft jakie dokładnie procesy przetwarzania danych zachodzą w firmie. DSK wskazała, że organizacja w swoich dokumentach nie wyróżnia, w których procesach działa jako podmiot przetwarzający, a w jakich jako administrator. W konsekwencji oznaczało to, że Microsoft nie wykazał spełnienia wymagań dotyczących rozliczalności z art. 5 ust. 2 RODO.

Administrator danych, a podmiot przetwarzający – kto jest kim?

 

W odpowiedzi Microsoft wskazał, że DSK w swojej argumentacji nie uwzględniła pełnego zakresu dokumentacji, jaka jest udostępniana klientom, a jedynie oparł ją na dokumentacji dostępnej publicznie. Microsoft twierdzi, że w swojej dokumentacji dostępnej dla klientów, wystarczająco wykazuje czynności przetwarzania jakie zachodzą w ramach działalności Microsoft. W ocenie Microsoft, w celu spełnienia wymagań dotyczących rozliczalności nie trzeba wykazywać klientom jak dokładnie działa Microsoft 365 zwłaszcza ze względu na fakt, iż dodatkowe szczegóły techniczne ponad to co jest dostarczane klientom, nie przyczyniłyby się do większego zrozumienia procesów przetwarzania danych ze strony klientów.

Microsoft odniósł się również do zarzutów, że w niewystarczający sposób informuje o swojej roli jako podmiotu przetwarzającego, przez co w konsekwencji nie spełnia wymogów przewidzianych w art. 28 ust. 3 RODO. Twierdzi, że sekcja dokumentacji dotycząca szczegółów przetwarzania zapewnia wszelkie wymagane informacje. Dodatkowo spółka wskazała, że spełnia przy tym normy ISO/IEC 19944. Microsoft równocześnie wskazuje, że nadmierna konkretyzacja w tym przypadku sprawiłaby, że informacje szybko stawałyby się przestarzałe i przez to nieprawdziwe.

Transfer danych

Kolejnym problemem wskazanym przez DSK jest brak wystarczających zabezpieczeń przy transferze danych z UE do Stanów Zjednoczonych przy użyciu Microsoft 365. Jak wykazała analiza DSK , nie jest możliwe, aby korzystać z Microsoft 365 bez transferu danych osobowych do USA. Podczas dochodzenia DSK, grupa robocza nie mogła określić, czy Microsoft posiada odpowiednie zabezpieczenia, aby stwierdzić, że taki transfer był zgodny z wymogami RODO.

Transfer danych do krajów trzecich – czyli dokąd i jak to zrobić?

Microsoft odnosząc się do tych ustaleń, wskazał, że nadchodząca decyzja Komisji Europejskiej w sprawie transferu danych do USA, sprawi, że dodatkowe zabezpieczenia transferu nie będą konieczne. Dodatkowo zabezpieczając dane swoich klientów, Microsoft korzysta z najnowocześniejszych zabezpieczeń i skutecznych środków technicznych i organizacyjnych. Spółka stwierdziła nawet, że aby chronić dane swoich klientów wykracza ponad wymogi prawne.

Odpowiednie zabezpieczenia techniczne i organizacyjne z art. 32

DSK w dalszych zarzutach wskazała, że utrzymuje się niepewność prawna, ponieważ gwarancje dotyczące „środków bezpieczeństwa” w Microsoft 365 formalnie dotyczą jedynie podzbioru danych osobowych objętych umową, a mianowicie danych klienta w ramach „podstawowych usług online” oraz „danych dotyczących usług profesjonalnych”. W związku z czym w ocenie DSK Microsoft nie spełnia obowiązku zapewniania odpowiedniego stopnia zabezpieczeń organizacyjnych i technicznych, wynikającego z art. 32 RODO.

Microsoft nie zgodził się z tymi ustaleniami. Według niego  zabezpieczenia, które wprowadzono, spełniają normy ISO i dotyczą wszystkich usług, a także nie są ograniczone do spraw wskazanych przez DSK. Dodatkowo Microsoft regularnie reaguje na informacje zwrotne od klientów i wprowadza odpowiednie zmiany w zabezpieczeniach i warunkach usług.

Rozliczalność

DSK wskazała również, że dokumentacja dot. przetwarzania zapewnia niewystarczająco określone uprawnienia w zakresie przetwarzania danych na potrzeby możliwych operacji biznesowych, co stwarza poważne przeszkody dla organów sektora publicznego w zakresie rozliczalności.

W odpowiedzi Microsoft wskazał, że agreguje wyłącznie pseudonimizowane dane osobowe i oblicza statystyki na podstawie danych klientów. Dane o których mowa są wykorzystywane do następujących działań biznesowych:

Podstawy prawne, które uzasadniają korzystanie z Microsoft 365 przez klienta, obejmują również te procesy. Microsoft wskazuje, że będzie wspierać swoich klientów odpowiednią dokumentacją potwierdzającą ten pogląd.

Wnioski

Co interesujące, Microsoft w odpowiedzi na zarzuty DSK wskazał, że organy niemieckie zbyt często trzymają się akademickiej, dogmatycznej interpretacji przepisów. Dodatkowo zarzuca DSK przesadne unikanie ryzyka oraz interpretowanie obowiązków administratora w zbyt szeroki sposób. Widać tu doskonale, że duże firmy takie jak Microsoft uważają działania organów nadzorczych mające na celu lepsze stosowanie RODO, jako prowadzące do dużych utrudnień dla biznesu.

Z drugiej strony należy zauważyć, że zachodnie organy nadzorcze coraz bardziej zaczynają naciskać na gigantów technologicznych, aby ci bardziej rygorystycznie dostosowywali się do wymogów RODO. Jednakże można również zaobserwować odmienną od DSK interpretację spełnienia wymogów RODO o czym świadczy wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 kwietnia 2022 r. sygn. II SA/Wa 2259/21, zgodnie z którym Sąd w uzasadnieniu uznał, że sam wybór Microsoftu jako podmiotu przetwarzającego spełnia obowiązek uprzedniego zbadania, czy podmiot przetwarzający spełnia wymogi określone w art. 28 ust.1 RODO oraz motywie 81 preambuły RODO

 „Nie ulega wątpliwości, że powyższe warunki zostały w niniejszej sprawie spełnione, albowiem wybór przez Szkołę platformy MS Teams prowadzonej przez profesjonalny podmiot, jakim jest renomowana Microsoft Corporation, która stanowić będzie w tym przypadku procesora (czyli podmiot, który – w ramach powierzenia przetwarzania danych – przetwarza w imieniu administratora dane przez niego powierzone), z całą pewnością gwarantuje stosowanie przez podmiot przetwarzający środków organizacyjnych i technicznych, o których mowa w art. 28 ust. 1 RODO”. Czy tak jest w istocie?

Źródło:

https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf

https://news.microsoft.com/wp-content/uploads/prod/sites/40/2022/11/2022.11_Stellungnahme-MS-zu-DSK_25NOV2022_FINAL.pdf