Användningen av Microsoft 365 under luppen – Datainspektionens råd

Datainspektionen ger alla aktörer rådet att bereda sig på att den export av personuppgifter till tredje land som sker vid användningen av Microsoft 365 kan bli förbjuden. Under tiden för juridisk osäkerhet är det tillrådligt att undvika att binda upp sig (mer) till Microsoft 365.  

Bakgrund

EU-kommissionens användning av Microsoft 365 villkorades av europeiska datatillsynsmannen (EDPS) i mars 2024. EDPS konstaterade att kommissionen hade överträtt flera bestämmelser i dataskyddslagstiftningen. I sitt beslut ålade EDPS EU-kommissionen att:

• avbryta alla dataflöden till följd av dess användning av Microsoft 365 till Microsoft och dess dotterbolag och underentreprenörer, belägna i länder utanför EU/EES som inte omfattas av ett beslut om adekvat skyddsnivå,
• se till att de bearbetningsåtgärder som följer av dess användning av Microsoft 365 uppfyller kraven genom att vidta särskilda åtgärder (efterlevnadsorder).

EDPS beslut från mars är i kraft tills annat eventuellt har bestämts.

Kommissionen fick tid till december att ge en förklaring. Med hänsyn till att informationen är omfattande och behandlingarna av personuppgifter komplexa analyserar EDPS informationen grundligt inom en lämplig tidsram. EDPS beslut är också föremål för domstolsbehandling (mål T-262/24 i EU-domstolens tribunal).

Datainspektionen ger efterhand information om händelseutvecklingen på di.ax.

Förklaringar

Europeiska datatillsynsmannen (EDPS) övervakar att EU:s institutioner och organ följer dataskyddslagstiftningen.

Tredje land är länder utanför EU och EES. Särskilda mekanismer behöver vara i kraft för att man ska kunna överföra personuppgifter till tredje land.

I GDPR, dataskyddsförordningen (EU) 2016/679, behandlas överföringar av personuppgifter till länder utanför EU/EES i kapitel V (artikel 44-50). Dataskyddsförordningen är direkt tillämplig lag i landskapet.

GDPR:s motsvarighet, förordning (EU) 2018/1725, tillämpas hos EU:s institutioner.

EDPS tillsynsundersökning av kommissionens användning av Microsoft 365 inleddes i maj 2021 efter Schrems II-domen som ogiltigförklarade kommissionens dåtida arrangemang med USA om överföring av personuppgifter.