EU-datatilsyn undersøger Microsoft-aftaler med EU

Hollandsk undersøgelse klarlagde, at brugerdata fra Microsofts Office-software på flere punkter overtrådte de nye, stramme persondataregler. Nu bliver alle EUs softwareaftaler gennemgået.

EUs aftaler med Microsoft om software bliver nu gennemgået for at sikre, at persondata ikke indsamles, placeres og bruges i strid med de skrappere databeskyttelsesregler, som blev indført i 2018. Arkivfoto: Sergio Perez, Reuters/Ritzau Scanpix Fold sammen
Læs mere
Foto: Sergio Perez

Den europæiske datatilsynsmyndighed undersøger nu, om de aftaler, som EU-Kommissionen og andre dele af EU-maskineriet har indgået med den amerikanske softwaregigant Microsoft, overholder de nye, skrappe regler for databeskyttelse.

Myndigheden, som er EUs egen datakontrolinstans, indleder undersøgelserne, efter at de hollandske myndigheder i november 2018 kastede sig over de data, som sendes gennem Microsofts store softwarepakke, Office. Den hollandske undersøgelse, som blev afsluttet i februar, viste, at der i Office ProPlus og Office 365 var otte overtrædelser af den nye persondatalovgivning.

Brugeroplysningerne blev ifølge nyhedsbureauet Reuters gemt i en database i USA på en måde, som ifølge de hollandske myndigheder udgjorde en trussel mod brugernes privatlivsbeskyttelse. Microsoft lovede ved afslutningen af den hollandske undersøgelse senest ved udgangen af 2019 at ændre den måde, som Office ProPlus indsamler brugerdata på, så den overholder EUs databeskyttelsesregler.

Pligt til selv at sikre reglerne overholdt

Den såkaldte persondataforordning (som på engelsk forkortes GDPR) blev indført som fælles lovgivning i alle 28 EU-lande i maj 2018 strammede grundigt op på kravene til, hvilke data der kan indsamles, gemmes eller deles. Det kan kun ske, hvis man har fået oplyst tilsagn – altså hvor den, hvis data indsamles, er blevet gjort tydeligt og klart opmærksom på, at og i hvilket omfang det sker –, ligesom man har ret til at få indsigt i de data, som er indsamlet, med mulighed for at få dem àjourført eller slettet.

Wojciech Wiewiórowski, som er assisterende europæisk datatilsynsmand, forklarer, at der 11. december 2018 blev indført nye databeskyttelsesregler for EU-institutioner og -myndigheder, heriblandt betydende ændringer, når man udliciterer opgaver.

»Kontraktparten har nu det direkte ansvar for at sikre, at man følger reglerne. Når tredjeparter leverer tjenester, er EU-institutionerne imidlertid fortsat ansvarlige for enhver form for databehandling, der udføres for dem. De har derfor også pligt til at sikre, at enhver form for kontrakt overholder de nye regler,« siger han.

Microsoft leverer software, som EU er afhængig af i sit daglige arbejde. Heri indgår ifølge den europæiske datatilsynsmyndighed »store mængder personlige data«.

Datatilsynsmyndigheden har mulighed for at give bøder på op til 50.000 euro for hver overtrædelse.