Decyzja Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z 16 lipca 2020 unieważniła stosowanie Tarczy Prywatności (Privacy Shield) w transferach pomiędzy UE a USA. Jednocześnie TSUE podtrzymał możliwość transferu danych osobowych poza EOG na podstawie Standardowych Klauzul Umownych (Standard Contractual Clauses, SCC).
Odnosząc się do powyższej decyzji TSUE Microsoft opublikował informacje, iż klienci usług chmurowych, w tym usługi Microsoft 365 w dalszym ciągu mogą korzystać z tych usług, ze względu na zastosowanie przez Microsoft dwóch mechanizmów zabezpieczeń w przypadku transferu danych do USA, tzn. certyfikację Privacy Shield oraz Standardowe Klauzule umowne.
Należy pamiętać, iż usługi chmurowe świadczone przez Microsoft dzielą się na regionalne oraz globalne i pomimo, że Microsoft wskazuje centra danych zlokalizowane na terenie EOG, to dane przetwarzane w ramach usług globalnych są transferowane poza EOG. Przykładami usług globalnych są usługi uwierzytelnienia tj. Azure Active Directory czy MFA. Również usługi dotyczące cyberbezpieczeństwa oraz wsparcie techniczne są związane z transferem danych poza EOG, w szczególności do USA. W ramach tych usług transfer może obejmować dane identyfikacyjne użytkowników usług Microsoft 365 oraz informacje o incydentach. W konsekwencji korzystania w usług chmurowych Microsoft 365 należy pamiętać, aby podczas realizacji obowiązku informacyjnego użytkownicy usług powinni zostać poinformowani o możliwym transferze danych poza obszar EOG realizowanym przez Microsoft.
Sytuacja wskazana powyżej może dotyczyć również innych usług, nie tylko dostarczanych przez Microsoft. Należy zweryfikować zapisy regulaminów i umów na usługi, w których transfer danych osobowych jest realizowany do centrów danych zlokalizowanych w USA.
Autor: