Власти ЕС помогали США следить за европейцами через MS Office 365. Вина установлена
Еврокомиссию признали виновной в нарушении закона об охране персональных данных. Она сливала их в США через ПО Microsoft. Комиссию обвиняют в неспособности обеспечить безопасность персональных данных в рамках соблюдения закона GDPR.
В США через Microsoft Office
Европейскую комиссию (Еврокомиссия, ЕК) обвинили в нарушении закона об охране персональных данных или General Data Protection Regulation (GDPR). Как пишет агентство Reuters, само нарушение реализовано в виде регулярного использования Еврокомиссией программного обеспечения Office 365, разработанного американской корпорацией Microsoft.
ЕК представляет собой наивысший орган исполнительной власти в Европейском союзе. Комиссия несет ответственность за выполнение решений Европейского парламента, а также за подготовку законопроектов.
Закон GDPR вступил в силу весной 2018 г. Одно из его требований – это ограничение на передачу данных в страны, которые, по оценке Евросоюза, не умеют качественно защищать их. США входит в список таких государств, а Microsoft – это американская компания, как и все ее сервисы.
Дополнительные обвинения
Как пишет Reuters, тот факт, что Еврокомиссия использует Office 365, уже является нарушением закона GDPR. Наряду с этим Комиссию обвинили в неспособности «обеспечить адекватные меры защиты личных данных, передаваемых в страны, не входящие в ЕС», заявили в организации по надзору за конфиденциальностью ЕС – European Data Protection Supervisor (EDPS).
В функции EDPS, помимо прочего, входят мониторинг и обеспечение соблюдения европейскими институтами и органами права на неприкосновенность частной жизни и защиту информации при обработке персональных данных.
Согласно решению EDPS, Еврокомиссия отныне обязана как можно скорее прекратить передачу персональных данных Microsoft и всем ее «дочкам», расположенным в странах, у которых нет соглашений о конфиденциальности с Евросоюзом. Выполнить это требование регулятора Комиссия обязана не позднее 9 декабря 2024 г.
Годы слежки за Европой
Microsoft могла получать и обрабатывать персональные данные от Еврокомиссии на протяжении нескольких лет. В сообщении Reuters говорится, что предписание EDPS стало следствием расследования, которое длилось в течение трех лет, то есть с 2021 г.
Катализатором начала этого расследования стали разоблачения бывшего сотрудника Агентства нацбезопасности США (АНБ) Эдварда Сноудена (Edward Snowden). Он еще в 2013 г. опубликовал серию документов, указывающих на массовую слежку США за союзническими государствами.
Из этого может следовать, что Microsoft, в теории, могла собирать европейские персональные данные на протяжении как минимум почти 13 лет. Сервис Office 365, ныне известный как Microsoft 365, представляет собой онлайн-версию офисного пакета Microsoft Office и работает, как сообщал CNews, с июня 2011 г. То есть на момент разоблачений Сноудена слежка могла вестись на протяжении двух лет.
Комментарий Microsoft
В заявлении EDPS сказано, что Европейская комиссия в договоре с Microsoft а «не уточнила должным образом, какие именно виды персональных данных будут накапливаться при помощи сервиса 365 и передаваться и передаваться Microsoft, а также для каких целей все это делается.
«Комиссия не смогла обеспечить надлежащие требования, гарантирующие, что персональным данным, передаваемым за пределы ЕС/ЕЭЗ, будет предоставлен фактически эквивалентный уровень защиты, гарантированный в ЕС/ЕЭЗ», — говорится в заявлении надзорной организации.
ЕЭЗ – это Европейская экономическая зона. В ее состав входят 27 стран Евросоюза, а также Исландия, Лихтенштейн и Норвегия.
EDPS, помимо прочего, приказал Комиссии приостановить все потоки данных, возникающие в результате использования сервиса 365, в компанию Microsoft, а также во все ее филиалы и партнерские организации в третьих странах мира, с которыми у ЕС нет соглашения о конфиденциальности.
Корпорация Microsoft со своей стороны заявила, что рассмотрит решение EDPS и будет работать с исполнительной властью ЕС над решением проблем.
«Обеспокоенность, высказанная EDPS, в основном связана с более строгими требованиями прозрачности в соответствии с законом, который применяется только к компаниям из Европейского Союза», – заявил агентству представитель софтверного гиганта.
Дополнительно руководству ЕС было приказано принять меры для обеспечения того, чтобы использование веб-сервиса Microsoft 365 соответствовало правилам конфиденциальности.