Investigație AEPD asupra Microsoft. Îngrijorări cu privire la datele europenilor

De Ruxandra Sava

21 iul. 2020
Articol UJ Premium

Vizualizari: 448

Universuljuridic.ro PREMIUM

Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.

Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.

Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!

🔑Vreau cont PREMIUM!

Autoritatea Europeană pentru Protecția Datelor (AEPD) a desfășurat o investigație independentă cu privire la utilizarea produselor și serviciilor Microsoft de către instituțiile UE.

Concluziile investigației au fost făcute publice luna aceasta prin intermediul unui raport publicat pe site-ul AEPD. Potrivit AEPD, concluziile anchetei sunt de interes atât pentru instituțiile UE, cât și pentru restul autorităților publice din statele membre UE.

Considerăm oportun a reaminti faptul că AEPD este o autoritate independentă de supraveghere a prelucrării datelor cu caracter personal având cel puțin următoarele atribuții:

– Supervizează modul în care administrația UE prelucrează datele cu caracter personal, pentru a garanta respectarea normelor privind protecția vieții private.

– Consiliază instituțiile și organismele UE cu privire la toate aspectele legate de prelucrarea datelor cu caracter personal și de legislația și politicile conexe.

– Gestionează plângeri și organizează investigații.

– Colaborează cu autoritățile naționale din țările UE pentru a asigura consistența în materie de protecție a datelor.

– Monitorizează noile tehnologii care pot avea impact asupra protecțieidatelor^[1].

Prin intermediul prezentului articol, vom rezuma concluziile și recomandările AEPD cu privire la utilizarea produselor și serviciilor Microsoft de către instituțiile UE.

1. Microsoft acționează ca operator în modalități netransparente

În opinia AEPD, clauzele ILA („Inter-Institutional Licence Agreement”)^[2] îi permit lui Microsoft să acționeze ca operator^[3] în modalități care nu sunt pe deplin transparente.

Această concluzie reiese din trei aspecte:

A. Dreptul unilateral al lui Microsoft de a modifica ILA;

Potrivit raportului AEPD, mecanismul contractual furnizat de Microsoft îi permite acestuia să modifice oricând și în mod unilateral dispozițiile în materie de protecție a datelor^[4].

Mai mult decât atât, AEPD constată că documentele subsecvente ILA și care nu au fost negociate cu Instituțiile UE prevalează asupra contractului negociat (ILA) conform mecanismului contractual introdus de Microsoft^[5].

Pachet: Codul administrativ comentat. Explicatii, jurisprudenta, doctrina. Volumul I si Volumul II

AEPD a considerat ca există un risc ridicat ca Microsoft să schimbe în mod unilateral scopurile pentru care prelucrează datele, locația prelucrării datelor și regulile privind dezvăluirea și transferul datelor fără ca instituțiile UE să aibă un cuvânt de spus^[6].

B. Limitarea obligațiilor Microsoft de a proteja datele personale^[7] prin ILA;

AEPD a constat că există o categorie de date personale colectate de Microsoft asupra cărora Microsoft nu are stabilite obligații de a le proteja prin intermediul ILA și documentelor subsecvente. În concret, este vorba de datele colectate de Microsoft atunci când instituțiile UE folosesc servicii Microsoft care nu sunt considerate a fi „servicii online”. Potrivit AEPD, prelucrarea acestor categorii de date ies din sfera oricărui mecanism contractual de control din partea instituțiilor publice. În această categorie sunt incluse datele colectate prin utilizarea oricăror versiuni de Windows și din utilizarea locală a suitei Office 365 (Word, Excel, Powerpoint etc) inclusiv suita Office 2016^[8].

C. Lipsa indicării unor scopuri clare pentru prelucrările datelor personale în raport cu utilizarea serviciilor și produselor Microsoft

Potrivit AEPD, Microsoft nu a indicat, așa cum cer standardele în materie de protecție a datelor, scopuri clare și explicite ale prelucrării datelor personale. De exemplu, Microsoft utilizează următoarele formulări ambigue și care lasă loc de interpretări:

– Pentru „a furniza Produsul sau Servicii Profesionale”^[9];

– Pentru „a furniza utilizatorului experiențe personalizate”^[10];

– Pentru „a furniza un serviciu online^[11]”;

– Pentru „reclamă sau orice alte scopuri comerciale similare”^[12].

AEPD concluzionează faptul că dacă o parte contractuală este instruită de operator să prelucreze datele pentru scopuri vagi și nedefinite, există un risc ca partea contractuală (în speță Microsoft) să își definească singur scopurile.

În opinia noastră, aceste formulări ambigue denotă o lipsă de transparență față de utilizatorul final și oferă libertate Microsoft să utilizeze datele în scopuri ulterioare și care nu au fost comunicate.

2. Acordul dintre operator și persoana împuternicită nu respectă standardele solicitate de legislație

În opinia AEPD, acordul de prelucrare a datelor personale dintre operator (instituția publică) și persoana împuternicită (Microsoft) are cel puțin următoarele probleme:

– Elementele obligatorii ale conținutului acordului de prelucrare sunt în mare parte absente sau insuficient implementate^[13];

– Dreptul Microsoft de a denunța unilateral contractul nu este în conformitate cu standardele legale ale relației operator-împuternicit^[14];

– Drepturile și obligațiile părților contractuale nu sunt clar definite^[15];

– Insuficienta definire a scopului și naturii prelucrării^[16];

– Absența controlului instituțiilor UE și lipsa unor drepturi concrete de auditare a Microsoft^[17];

– Instituțiile UE nu au un cuvânt de spus asupra subcontractanților Microsoft așa cum cer normele în materie de protecție a datelor^[18], având doar posibilitatea de a se retrage din contract pe mecanismul „take it or leave it”^[19]. În opinia AEPD, instituțiile UE ar trebui deține puterea de a nu fi de acord cu un subcontractant Microsoft în situația în care există temeiuri rezonabile că ar exista un risc vis-a-vis de protecția datelor^[20].

3. Îngrijorări cu privire la locația datelor, transferurile internaționale și dezvăluirile neautorizate

Potrivit AEPD, Instituțiile UE se află în imposibilitate de a avea control asupra teritoriului unde se prelucrează o parte din datele cu caracter personal^[21]. Potrivit Acordului de prelucrare, cu excepția situațiilor în care este precizat altfel, datele utilizatorilor finali provenite de la Client (în speță, instituția publică UE) ar putea fi transferate, stocate sau prelucrate în SUA sau în orice alte state unde Microsoft sau subcontractanții acestuia operează^[22]. În concluzie, cu privire la majoritatea datelor personal, instituțiile UE nu au niciun cuvânt de spus cu privire la transferurile internaționale de date^[23] efectuate de către Microsoft^[24]. În opinia AEPD, operatorii (în speță instituțiile UE) au dreptul de a decide incidența unui transfer internațional de date^[25].

Totodată AEPD remarcă faptul că majoritatea operațiunilor de prelucrare se realizează de către Microsoft Corporation în SUA, iar nu de către Microsoft Ireland în Europa^[26].

În opinia AEPD, clauzele contractuale standard care permit lui Microsoft să transfere date din UE către SUA nu sunt suficient de clare, specifice și nu respectă toate standardele în materie de protecție a datelor^[27]; CJUE, în Cauza C-311/18^[28] prin care a invalidat Scutul de Confidențialitate UE-SUA (Privacy Shield) a statuat faptul că persoanele ale căror date cu caracter personal sunt transferate către o țară terță în temeiul unor clauze standard de protecție a datelor trebuie să beneficieze de un nivel de protecție în esență echivalent cu cel garantat în cadrul Uniunii^[29].

AEPD a remarcat și faptul că politica de utilizare a datelor permite Microsoft să dezvăluie datele cu caracter personal către terți, inclusiv către agențiile guvernamentale^[30]. Potrivit aceleiași politici de utilizare a datelor, informarea persoanelor cu privire la dezvăluirea datelor nu este obligatorie^[31]. Legislația nu poate proteja instituțiile UE împotriva cererilor de divulgare din partea guvernelor țărilor terțe și a persoanelor împuternicite care intră sub jurisdicția lor. În funcție de legislația țării terțe respective și de acoperirea lor extrateritorială, astfel de persoane împuternicite (inclusiv Microsoft) se pot confrunta cu un conflict de legi și pot considera că este prioritar să se conformeze legislației țării terțe, chiar dacă acest lucru încalcă dreptul Uniunii^[32]. Acestă problemă a fost sesizată recent și de CJUE în cauza C-311/18^[33] care, atunci când a concluzionat că Decizia privind Scutul de confidențialitate este nevalidă, a luat în calcul faptul că persoanele fizice din Europa nu dispun de o cale de atac eficientă împotriva autorităților americane^[34].

4. Recomandările AEPD către instituțiile publice

Cu titlu preliminar, învederăm faptul că AEPD precizează faptul că recomandările pot fi utilizate și de către instituțiile publice ale statelor membre. Adăugăm și faptul că recomandările de mai jos ar putea fi utilizate și în raport cu alți furnizori de servicii online din afara Uniunii.

A. Setul 1 de recomandări: Instituția UE ar trebuie să fie unicul operator^[35]

– Fiecare instituție UE ar trebuisăacționeze ca operatorunic în ceea ce privește utilizarea produselor și serviciilor Microsof tatunci când îndeplinește sarcini de interes public sau în exercitarea autorității publice;

– Mecanismul contractual trebuie să prevadă o ordine lipsită de ambiguitate a precedenței documentelor;

– Modificările la contracte trebuie să se realizeze prin acord comun și nu prin modificarea unilaterală de către Microsoft;

– Instituțiile UE ar trebui să negocieze un set specific, explicit și exhaustiv de scopuri pentru a acoperi toate tipurile de date cu caracter personal implicate în utilizarea produselor și serviciilor Microsoft. Scopurile ar trebui să se limiteze la cele care erau necesare pentru ca instituțiile UE să utilizeze aceste produse și servicii. Alte scopuri ar trebui interzise în mod expres.

B. Setul 2 de recomandări: Un acord de prelucrare cuprinzător^[36]

– Ar trebui elaborat un acord cuprinzător operator (în speță, instituția UE) – persoană împuternicită (în speță Microsoft) care să includă rolurile și responsabilitățile persoanei împuternicite de operator și ale operatorului, obiectul, durata și natura prelucrării, tipurile de date cu caracter personal în cauză, categoriile de persoane vizate în cauză, obligațiile și drepturile fiecărei părți;

– Instrucțiunile instituțiilor UE trebuie să prevadă ce tipuri de date pot fi prelucrate, cine poate accesa datele, unde sunt stocate, ce măsuri de securitate sunt în vigoare, dacă transferurile către țări terțe sunt permise și, dacă da, în ce condiții. Instrucțiunile ar trebui incluse în contract și, în ceea ce privește instrucțiunile suplimentare, procedurile necesare ar trebui să fie convenite și anexate la contract.

C. Setul 3 de recomandări. Utilizarea subcontractanților^[37]

– Trebuie evaluate riscurile aferente utilizării subcontractanților Microsoft;

– Instituțiile UE trebuie să se asigure că utilizarea subcontractanților a făcut obiectul unei autorizații scrise prealabile;

– Introducerea în contract a obligației Microsoft de a furniza mai întâi informații complete cu privire la subcontractanții care sunt utilizați pentru fiecare produs sau serviciu furnizat instituțiilor UE și pentru fiecare activitate de prelucrare și categorie de date cu caracter personal; și, în al doilea rând, cu privire la garanțiile privind protecția datelor și măsurile de securitate (și anume, măsurile tehnice și organizatorice) instituite pentru fiecare subcontractant. Aceasta ar trebui să includă obligația Microsoft de a furniza către instituția UE, la cerere, părțile relevante ale contractului său cu un anumit subcontractor.

– Instituțiile UE ar trebui să poată refuza autorizarea unui anumit subcontractant fără a trebui să renunțe la serviciu.

D. Setul 4 de recomandări. Drepturi eficace de auditare^[38]

– Contractul ar trebui modificat pentru a furniza drepturi de audit eficace Instituțiilor UE;

– În calitate de operatori, instituțiile UE ar trebui să instituie un program de audit care să constea în audituri periodice efectuate de echipa lor de audit intern sau extern. Domeniul de aplicare și frecvența auditurilor ar trebui să reflecte amploarea prelucrării și riscurile pentru persoanele vizate.

– Auditurile efectuate ar trebui să colecteze dovezi concrete privind respectarea de către Microsoft a obligațiilor sale.

– Ar trebui comunicate rezultate semnificative ale auditului nivelurilor adecvate de gestionare din cadrul instituțiilor UE. Rezultatele ar trebui să permită instituțiilor UE să identifice și să acționeze în orice probleme de conformitate. De asemenea, acestea ar trebui furnizate AEPD la cererea acesteia.

E. Setul 5 de recomandări. Locația datelor, transferurile internaționale și dezvăluirile neautorizate^[39]

– Contractul ar trebui să includă dispoziții care detaliază, pentru fiecare produs și serviciu Microsoft furnizat, localizarea datelor prelucrate;

– Contractul ar trebui să solicite în mod explicit Microsoft să pună în aplicare garanții contractuale, organizaționale și de securitate adecvate în cazul transferurilor internaționale de date. În special, Contractul ar trebui să solicite Microsoft să instituie măsuri de securitate solide pentru a acoperi datele aflate în tranzit.

– Orice utilizare a Clauzelor Contractuale Standard pentru transferuri ar trebui să respecte legislația Uniunii.

– Contractul ar trebui să interzică Microsoft (și sub-procesatorilor acestuia) să divulge date cu caracter personal autorităților statelor membre, autorităților țărilor terțe, organizațiilor internaționale sau altor părți terțe, cu excepția cazului în care acest lucru a fost autorizat în mod expres de legislația UE sau de legislația statelor membre și în măsura în care au fost îndeplinite condițiile prevăzute de legislația UE pentru o astfel de divulgare.

– Contractul ar trebui să solicite Microsoft să informeze instituțiile UE afectate cu privire la orice solicitare primită de Microsoft sau de sub-procesatori pentru accesul la date imediat după primirea cererii. De regulă, Microsoft ar trebui să redirecționeze cererile către instituția UE și să solicite instrucțiunile acesteia. În orice caz, Microsoft ar trebui să conteste solicitările de acces, epuizând toate căile de atac legale disponibile. Nu ar trebui să se permită divulgarea datelor de către Microsoft sau sub-procesatori fără notificarea prealabilă și acordul instituției UE și fără a exista garanții adecvate. În cazul în care o instituție a UE alege să nu divulge date, aceste date ar trebui divulgate numai la ordinul Curții Europene de Justiție.

– Instituțiile UE ar trebui să solicite informații de la Microsoft o dată pe an dacă au avut loc cereri de acces asupra datelor.

– Contractul ar trebui să oblige ca, de regulă, prelucrarea datelor să aibă loc în cadrul UE/SEE. Această cerință ar trebui să includă prelucrarea în scopul creării copiilor de rezervă a datelor, al continuității activității și al efectuării operațiunilor la distanță.

^[1] https://europa.eu/european-union/about-eu/institutions-bodies/european-data-protection-supervisor_ro, link accesar 17.07.2020.

^[2] ILA este acordul de bază negociat dintre Microsoft și Instituțiile UE, disponibil aici.

^[3] În temeiul Regulamentului (UE) 1725/2018, operator înseamnă „instituția sau organul Uniunii ori direcția generală sau orice altă entitate organizațională care stabilește, singură sau împreună cu altele, scopurile și mijloacele de prelucrare a datelor cu caracter personal; în cazul în care scopurile și mijloacele prelucrării sunt stabilite printr-un act specific al Uniunii, dreptul Uniunii poate stabili operatorul sau criteriile specifice necesare desemnării acestuia”.

În temeiul Regulamentului (UE) 679/2016 operator înseamnă „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern”.

^[4] Raportul AEPD, p. 8, pct. 27: „ (…) It was possible for Microsoft to make far-reaching changes to the data protection terms of the ILA by changing a set of standard terms incorporated into it. This was because the standard terms filled in many gaps in the negotiated umbrella agreements, such that it was often necessary to refer to them to understand how terms in the umbrella agreements would be implemented. (…)”

^[5] Raportul AEPD, p. 9, pct. 30: „(…) Some of those provisions were in direct conflict with each other, leading us to conclude that the precise order of precedence was ambiguous. Nevertheless, there remained in the EDPS’ view a high risk that standard documents such as the Online Services Terms, Product Terms and potentially the Data Protection Addendum prevailed over the negotiated terms of the umbrella agreement. Given Microsoft’s right to change those standard documents at any time, this amounted to a high risk that Microsoft could amend the whole contractual suite of the ILA unilaterally, including any controller-processor agreement between the parties. (…)”

^[6] Raportul AEPD, p. 9, pct. 31: „ (…) Overall, the EDPS considered that there was a high risk that Microsoft could change, for example, the purposes for which it processed personal data, the location of data and the rules governing disclosure and transfer of data, without EU institutions having any contractual recourse against the changes. The discretion whether to make such changes rested with Microsoft. (…)”

^[7] În temeiul Regulamentului (UE) 1725/2018 și în temeiul Regulamentului (UE) 679/2016, „date cu caracter personal” înseamnă orice informație privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei fizice respective;

^[8] Raportul AEPD, p. 10, pct. 38: „(…) A fourth category of data existed. These data were both provided to and gathered by Microsoft when EU institutions used products and software that Microsoft did not consider to be online services. Processing of data in this category fell outside of the scope of any meaningful contractual controls. They were processed by Microsoft as a controller and covered by the Microsoft Privacy Statement. Diagnostic data from all versions of Windows and from the Office productivity suite (including the version Office 2016) fell into this category. Diagnostic data from locally installed Office 365 ProPlus productivity suite applications (e.g. Word, Excel, PowerPoint) which were not online services also potentially fell into this category. (…)”

^[9] Raportul AEPD, p. 11, pct. 44: „(…) The most explicit statement of purpose in the ILA documents for Microsoft’s activities as a processor was ‘to provide the Product or Professional Services’. The range of processing operations this could encompass was potentially vast. (…)”

^[10] Raportul AEPD, p. 11, pct. 48: „(…) In addition, a number of difficulties remained with the clarity of the purpose limitation. For example, the Data Protection Addendum included ‘providing personalized user experiences’ within the definition of what it meant to ‘provide’ an online service.14 This directly conflicted with the default prohibition on ‘user profiling,’15 raising a question as to how narrowly Microsoft interprets ‘user profiling’. (…)”

^[11] Raportul AEPD, p. 11, pct. 49: „(…) ‘Providing an online service’ was also defined in vague enough terms to leave the following questions unanswered.16 First, the definition was broad enough to include data analytics. As a result it was unclear whether processing for purposes such as training machine learning or artificial intelligence systems was permitted. Second, it was unclear whether providing a particular online or professional service only included ‘troubleshooting’, ‘delivering functional capabilities’ and ‘ongoing improvement’ in respect of that service or also in respect of other or all online or professional services respectively. Third, ‘ongoing improvement’ of a service was described as including ‘making improvements to user productivity’ and to user ‘efficacy’. It was unclear what productivity and efficacy included (…)”

^[12] Raportul AEPD, p. 12, pct. 50: „(…) A further example of vagueness in the purpose limitation, in the Data Protection Addendum, was the default prohibition it imposed on processing ‘for any advertising or similar commercial purposes.’17 These terms were not explained. This was significant, as Microsoft had indicated in 2018 that it did not consider serving targeted in-application recommendations to customers for products they do not use or subscribe to as falling within advertising or a similar commercial purpose.18 If Microsoft still holds such interpretation, it might deem such processing to fall within the permitted purpose. (…)”

^[13] Raportul AEPD, p. 14, pct. 60: „(…) In the EDPS’ view, if EU institutions were to remain the only controllers of personal data processed under the ILA, their controller-processor agreement with Microsoft needed to be substantially reinforced. Many of the necessary elements were either inadequately implemented or absent.(…)”

^[14] Raportul AEPD, p. 14, pct. 61: „(…) The requirements for a compliant controller-processor agreement are set out in Article 29 of Regulation (EU) 2018/1725 [see also Article 28 of the GDPR]. They permeate the whole of this paper. Article 29(3) of Regulation (EU) 2018/1725 requires the controller-processor agreement to be ‘binding on the processor with regard to the controller’.20 There is therefore no place for a processor to have an unlimited right of unilateral amendment in a controller-processor agreement. A processor should only process on the basis of documented instructions from the controller (…)”

^[15] Raportul AEPD, p. 14, pct. 62: „(…) Article 29(3) of Regulation (EU) 2018/1725 requires the controller-processor agreement to set out ‘the type of personal data and categories of data subjects and the obligations and rights of the controller.’ 21 The EDPS’ analysis had concluded that it was unclear which contractual controls, if any, applied to the different categories of data processed by Microsoft under the ILA. As the EDPS has seen, although Microsoft had obligations and rights attributable to a controller under the ILA, they were generally not expressly stated. Following that, EU institutions’ obligations and rights as controllers were not fully set out. There was no mention in the negotiated ILA documents of categories of data subjects, although they were mentioned in the Data Protection Addendum. (…)”

^[16] Raportul AEPD, p. 15, pct. 63: „(…) Article 29(3) of Regulation (EU) 2018/1725 also requires the controller-processor agreement to set out ‘the subject-matter […], the nature and purpose of the processing’.22 The EDPS’ analysis of the contractual purpose limitation showed that this was done with insufficient precision. (…)”

^[17] Raportul AEPD, p. 15, pct. 64: „(…)In this section, the EDPS focuses on two further key failures to comply with Article 29 of Regulation (EU) 2018/1725: first, the lack of control accorded to EU institutions over Microsoft’s use of subprocessors; and second, the absence of effective audit rights accorded to EU institutions. (…)”

^[18] Art. 29 alin. (2) din Regulamentul (UE) 1725/2018 prevede că „Persoana împuternicită de operator nu recrutează o altă persoană împuternicită de operator fără a primi în prealabil o autorizație scrisă, specifică sau generală, din partea operatorului. În cazul unei autorizații generale scrise, persoana împuternicită de operator informează operatorul cu privire la orice modificări preconizate privind adăugarea sau înlocuirea altor persoane împuternicite de operator, oferind astfel operatorului posibilitatea de a formula obiecții față de aceste modificări.”

^[19] Raportul AEPD, p. 16, pct. 72: „(…) Third, if EU institutions did not approve of a new sub-processor, their only recourse under the negotiated terms of the ILA was to terminate their subscription to the affected online service. If the affected online service was part of a suite, the EU institutions’ only recourse was to terminate their subscription for the entire suite. (…)”

^[20] Raportul AEPD, p. 17, pct. 74: „(…) In the EDPS’s view, it was essential that EU institutions should be in a position to withhold approval of a certain sub-processor if they had grounds to believe that it posed a risk to compliance. This could be the case if, for example, audits revealed compliance concerns in respect of that sub-processor. (…)”

^[21] Raportul AEPD, p. 20, pct. 92: „(…) The EDPS’ investigation found that EU institutions were unable to control the location of a large portion of the data processed by Microsoft. Nor did they have full control over what was transferred out of the EU/EEA and how. There was also a lack of proper safeguards to protect data that left the EU/EEA. This had a negative practical impact on EU institutions’ ability to hold Microsoft accountable. (…)”

^[22] Raportul AEPD, p. 21, pct. 97: „(…) The Data Protection Addendum also made clear that ‘[e]xcept as described elsewhere in the DPA, Customer Data and Personal Data that Microsoft process on Customer’s behalf may be transferred to, and stored and processed in, the United States or any other country in which Microsoft or its Subprocessors operate. (…)”

^[23] Art. 46 din Regulamentul (UE) 1725/2018 prevede că „Orice date cu caracter personal care fac obiectul prelucrării sau care urmează a fi prelucrate după ce sunt transferate într-o țară terță sau către o organizație internațională pot fi transferate doar dacă, sub rezerva celorlalte dispoziții ale prezentului regulament, condițiile prevăzute în prezentul capitol sunt respectate de operator și de persoana împuternicită de operator, inclusiv în ceea ce privește transferurile ulterioare de date cu caracter personal din țara terță sau de la organizația internațională către o altă țară terță sau către o altă organizație internațională. Toate dispozițiile din prezentul capitol se aplică pentru a se asigura că nivelul de protecție a persoanelor fizice garantat prin prezentul regulament nu este subminat.”

^[24] Raportul AEPD, p. 21, pct. 101: „(…) EU institutions were therefore not free to decide where to store their data. Nor were they free to decide on transfers out of the EU/EEA. In the EDPS’ view, the ILA provisions and Microsoft Privacy Statement did not even allow EU institutions to identify the location of all the different types of personal data processed under them. (…)”

^[25] Raportul AEPD, p. 21, pct. 102.

^[26] Raportul AEPD, p. 22, pct. 104: „(…) Under the Data Protection Addendum, by executing the ILA, EU institutions were also deemed to have executed a set of standard contractual clauses (‘SCCs’) for international transfers of data, with Microsoft Corporation.44 As a result, EU institutions had both a direct relationship with an EU-based processor (Microsoft Ireland) that could carry out international transfers to its sub-processors, and a direct relationship with Microsoft Corporation as a non-EU/EEA-based processor that could also carry out onward international transfers to its sub-processors. It was the EDPS’ understanding that the vast majority of processing of personal data was in practice done by Microsoft Corporation and its sub-processors, not by Microsoft Ireland and its sub-processors. (…)”

^[27] Raportul AEPD, pct. 111-116.

^[28] Textul integral al hotărârii poate fi consultat aici.

^[29] Extras din Hotărârea CJUE în Cauza C-311/18: „…De aici rezultă, astfel cum a arătat domnul avocat general la punctul 115 din concluziile sale, că aceste garanții adecvate trebuie să fie de natură să asigure că persoanele ale căror date cu caracter personal sunt transferate către o țară terță în temeiul unor clauze standard de protecție a datelor beneficiază, la fel ca în cadrul unui transfer întemeiat pe o decizie privind caracterul adecvat al nivelului de protecție, de un nivel de protecție în esență echivalent cu cel garantat în cadrul Uniunii. (…)”

^[30] Raportul AEPD, p. 24, pct. 121: „(…) In light of the EDPS’ analysis that Microsoft retained discretion to process data as a controller, at least a part of that data was likely to be subject to the Microsoft policies referred to in the Microsoft Privacy Statement. This allowed Microsoft to disclose personal data (including Customer Data, Administrator Data, Payment Data and Support Data) to third parties, including law enforcement or other government agencies. (…)”

^[31] Raportul AEPD, p. 24, pct. 121: „(…) Microsoft would not even inform customers of a request if ‘legally prohibited from doing so’ (…)”

^[32] Raportul AEPD, p. 24, pct. 122: „(…) The Protocol No 7 and Regulation (EU) 2018/1725 protect EU institutions against disclosure requests that processors engaged by them may receive from EU Member State Governments. The Protocol and Regulation may not protect EU institutions against disclosure requests from third-country governments and processors subject to their jurisdiction. Depending on the laws of that third country and their extra-territorial reach, such processors may be faced by a conflict of laws and deem it prudent to comply with the laws of the third country even if this puts them in breach of EU law. (…)”

^[33] Textul integral al hotărârii poate fi consultat aici.

^[34] Extras din Hotărârea CJUE în Cauza C-311/18: „Pe de altă parte, în ceea ce privește atât programele de supraveghere întemeiate pe articolul 702 din FISA, cât și cele întemeiate pe O. E. 12333, la punctele 181 și 182 din prezenta hotărâre s‑a arătat că nici PPD-28, nici O. E. 12333 nu conferă persoanelor vizate drepturi opozabile autorităților americane în fața instanțelor judecătorești, astfel încât aceste persoane nu dispun de un drept la o cale de atac eficientă.”

^[35] Raportul AEPD, p. 13.

^[36] Raportul AEPD, p. 15.

^[37] Raportul AEPD, p. 17.

^[38] Raportul AEPD, p. 19.

^[39] Raportul AEPD, p. 26.

Investigație AEPD asupra Microsoft. Îngrijorări cu privire la datele europenilor was last modified: iulie 20th, 2020 by Ruxandra Sava