Avrupa Veri Koruma Denetçisi (EDPS, bağımsız denetim otoritesi) duyuru Pazartesi günü yaptığı açıklamada, soruşturmanın ardından “Komisyonun, kişisel verilerin aktarımıyla ilgili olanlar da dahil olmak üzere kurumlar, organlar ve ajanslar için verilerin korunmasına ilişkin AB yasası (EUI) olan (AB) 2018/1725 sayılı Tüzüğün çeşitli hükümlerini ihlal ettiği tespit edildi” Avrupa Birliği ve Ekonomik Alan (AEA) dışında. Özellikle Komisyon, AB/AEA dışına aktarılan kişisel verilerin AB/AEA’da garanti edilene esasen eşdeğer bir koruma seviyesinden yararlanmasını sağlamak için uygun koruma sağlamamıştır.
Düzeltmeler Aralık ayına kadar uygulanacak
EDPS ayrıca amaç sınırlaması, AB/AEA dışına veri aktarımı ve kişisel verilerin izinsiz ifşa edilmesi gibi konuları kapsayan bu ihlaller nedeniyle Komisyon’a bir kınama cezası da yayınladı. EDPS’nin eylemleri, AB mevzuatının gerektirdiği şekilde bireylerin bilgilerinin korunmasını sağlamak için AB kurumları tarafından kullanılan bulut tabanlı hizmetlerde güçlü veri koruma önlemlerinin uygulamaya konulması ihtiyacını vurguluyor.
EDPS, 9 Aralık 2024’e kadar yürürlüğe girmesi gereken düzeltici önlemleri öngörüyor: Komisyon’un Microsoft’a ve onun AB/AEA dışında bulunan ve yeterlilik kararına tabi olmayan ülkelerdeki yan kuruluşlarına ve alt yüklenicilerine yapılan tüm veri aktarımlarını durdurmasını talep ediyor. Ayrıca Komisyon, hangi kişisel verilerin, hangi alıcılara, hangi üçüncü ülkelerde ve hangi amaçlarla aktarıldığını belirleyen bir aktarım haritalama çalışması yürütmek de dahil olmak üzere, veri işleme faaliyetlerinin Yönetmeliğe uygun olmasını sağlamalıdır. Komisyon ayrıca, kendi yetki alanına giren görevler için transferlerin gerçekleştirildiğine ve veri işlemeyi güvence altına almak için sözleşmeye dayalı ve organizasyonel önlemlerin uygulandığına dair güvence sağlamalıdır.
THE EDPS (Avrupa Veri Koruma Denetleyicisi, EDPS), misyonu Avrupa kurum ve kuruluşlarının kişisel verileri işlerken gizlilik ve veri koruma hakkına saygı duymasını sağlamak ve yeni politikalar geliştirmek olan bağımsız bir denetim otoritesidir.
Ayrıca okuyun
CNIL, sağlık verilerinin Microsoft’ta barındırıldığını üzülerek doğruluyor – 2 Şubat 2024
Amerika Birleşik Devletleri’ne veri aktarımları geri yüklendi. Geçici? – 11 Temmuz 2023
Brüksel, Azure ve AWS hizmetlerinin GDPR uyumluluğuna ilişkin soruşturma başlattı – 28 Mayıs 2021