Avrupa Komisyonu’nun (AK), Microsoft 365’i kullanırken insanların kişisel verilerinin Avrupa’dan, AB veri koruma yasalarının kapsamına girmeyen diğer bölgelere aktarılmasıyla ilgili çeşitli temel veri koruma kurallarını ihlal ettiğini tespit etti.
Avrupa Veri Koruma Denetçisi (EDPS) Salı günü AK’yi azarladı Bulut tabanlı uygulamayı kullanırken kişisel verileri AB ve Avrupa Ekonomik Alanı (AEA) dışına gönderirken uygun koruyucu önlemlerin alınmadığını tespit ettikten sonra.
Ayrıca EDPS açıklamasına göre EC, Microsoft ile yaptığı sözleşmede “Microsoft 365 kullanılırken hangi tür kişisel verilerin toplanacağını ve hangi açık ve belirli amaçlarla toplanacağını” belirtmedi.
2021’de başlayan üç yıllık bir araştırmanın sonucu olan bulgular, teknoloji devleri gibi, veri gizliliğini birinci öncelik olarak alması gereken güvenilir devlet kurumlarının bile topladıkları verileri mutlaka güvende tutmadığını gösteriyor.
“Bulut tabanlı hizmetler bağlamı da dahil olmak üzere, AB/AEA dışında ve içinde kişisel verilerin işlenmesine sağlam verilerin eşlik etmesini sağlamak AB kurumlarının, organlarının, ofislerinin ve ajanslarının (EUI’ler) sorumluluğundadır.” EDPS Süpervizörü Wojciech Wiewiórowski bir açıklamada şunları söyledi: koruma önlemleri ve önlemleri.
Uyumluluk gerekli
Özellikle AK, AB’nin EUI’lere yönelik veri koruma yasası olan (AB) 2018/1725 sayılı Yönetmeliği ihlal etti. Üstelik ihlallerin çoğu, EDPS’e göre “çok sayıda kişiyi” etkileyen “Microsoft 365 kullanılırken Komisyon tarafından veya Komisyon adına gerçekleştirilen tüm işleme operasyonlarıyla” ilgili.
Sonuç olarak EDPS, komisyona Microsoft 365 kullanımından kaynaklanan tüm veri akışlarının yalnızca Microsoft’a değil, aynı zamanda AB/AEA dışındaki ülkelerde bulunan ve Microsoft’a bağlı kuruluşlara ve alt işleyicilere de askıya alınması talimatını verdi. Avrupa Komisyonu ile yeterlilik anlaşması.
Tipik olarak, AK’nin çeşitli bölgelerle yaptığı bu anlaşmalar, kişisel verilerin AB’den ayrıldıktan sonra aktarımının nasıl ele alınacağını belirler. Bunun amacı, veri gizliliği yasalarının farklı olduğu başka bir ülkeye gönderildiğinde bile verilerin AB yasaları kapsamında korunmasını sağlamaktır. AB’nin aralarında Arjantin, Japonya, Güney Kore, İsviçre, İngiltere ve ABD’nin de bulunduğu 16 ülkeyle veri yeterliliği anlaşması bulunuyor.
Çok sayıda veri akışının askıya alınmasının karmaşık olduğunun bilincinde olan gözlemci, “Komisyonun kamu yararına görevlerini yerine getirme veya resmi yetkiyi kullanma yeteneğinden ödün vermemek” amacıyla, komisyona askıya alma işlemine uyması için “uygun süre” veriyor ” dedi EDPS.
Ayrıca EC’nin 9 Aralık’a kadar EDPS’ye Microsoft 365 kullanımından kaynaklanan tüm işleme işlemlerinin (AB) 2018/1725 Yönetmeliğine uygun olduğunu göstermesi gerekiyor.
Güvenli veriler bir efsane mi?
CEO’su Narayana Pappu, gerekli uyumluluk bile “sürekli uygulama veya daha ayrıntılı bir açıklama/denetim gereklilikleri ile desteklenmediği sürece” sonuçta “hiçbir şeyi değiştirmeyebilir” dedi. Zendataveri güvenliği ve gizlilik uyumluluğu çözümleri sağlayıcısı.
Bunun nedeni, çeşitli düzenleyici kurumların iyi niyetli düzenleme ve koruma girişimlerine rağmen, ister devlet kurumları, sosyal medya şirketleri veya çevrimiçi uygulamalar tarafından toplanmış olsun, İnternet aracılığıyla aktarılan verileri güvence altına almanın zor olmasıdır. Pappu, “Toplandıktan sonra verilerle ne olacağını gerçekten anlamak zor” dedi.
Senaryonun, “onlarca, hatta yüzlerce üçüncü taraf alt işlemciye sahip bir mikro hizmet mimarisini takip eden” bulut tabanlı uygulamalarla daha da karmaşık hale geldiğini söyledi. “Verilerde neler olup bittiğini ve bunların nasıl kullanıldığını gerçekten değerlendirmek zor.”
Dahası, gizlilikle övünen arama platformu DuckDuckGo’nun farkında olmadan, çevrimiçi veri toplayan bir kuruluşun bazen verinin paylaşıldığını bile bilmediğini söyledi. Microsoft’la bilgi paylaşımı.
Pappu, “Bu, onların açıklamalarında açık değildi ve bir web uzmanı tarafından yapılan soruşturmaya kadar ortaya çıkmadı” dedi.
Telif Hakkı © 2024 IDG Communications, Inc.