Ker ni jasno, kako se podatki zbirajo, delijo in uporabljajo, ter zaradi možnosti nezakonitega prenosa osebnih podatkov evropskih državljanov v ZDA, so nemški zvezni organi za varstvo podatkov prepovedali uporabo Microsoftovega paketa Office 365 v šolah.
Nemški svet za varstvo podatkov (DSK), ki ga sestavljajo nemški zvezni organ za varstvo podatkov in 16 državnih regulatorjev, je objavil, da zaradi pomanjkanja preglednosti, kako Microsoft zbira in obdeluje osebne podatke, ter možnosti dostopa tretjih oseb do njih uporaba Office 365 ni skladna s Splošno uredbo o varstvu podatkov (GDPR).
»Microsoft postopkov obdelave ne razkriva v celoti in dovolj podrobno in ker ne razkriva, katere postopke obdelave izvaja v imenu stranke in katere v lastne namene,« je navedeno v poročilu delovne skupine DSK, ki je obravnavala to vprašanje. »Pogodbeni dokumenti v zvezi s tem niso natančni in ne omogočajo dokončne ocene obdelave,« je še zapisno v poročilu. To v bistvu pomeni, da zaradi pomanjkanja preglednosti regulativni organi od zunaj ne morejo natančno oceniti, katere podatke Microsoft zbira in kako jih uporablja, zaradi česar je njihova uporaba v skladu z uredbo GDPR nezakonita.
Poročilo dodaja, da so pogovori delovne skupine z Microsoftom potrdili, da se osebni podatki pri uporabi Office 365 vedno prenašajo v ZDA in meni, da »Microsoft 365 ni mogoče uporabljati brez prenosa osebnih podatkov v ZDA".
Nedavni komentarji