Šetření týkající se používání Microsoft 365 Evropskou komisí (dále jen "Komise") bylo zahájeno již v květnu 2021 v návaznosti na rozsudek Soudního dvora Evropské unie týkající se předávání osobních dat do USA, tzv. kauza Schrems II. Cílem kontroly bylo ověřit, zda Komise dodržuje doporučení již dříve vydaná Evropským inspektorem ochrany údajů (EDPS).
Jaká pravidla Komise porušila?
EDPS došel k závěru, že Komise v souvislosti s užíváním softwaru Microsoft 365 porušila několik ustanovení nařízení o ochraně údajů pro orgány a instituce EU týkající se předávání osobních údajů mimo EU/EHP.
Své nálezy EDPS formuloval takto:
Komise ve smlouvě se společností Microsoft dostatečně neupřesnila, jaké druhy osobních údajů mají být shromažďovány a pro jaké účely jsou využívány v rámci aplikací Microsoft 365
Komise neposkytla vhodné záruky, které by zajistily, že osobním údajům předávaným mimo EU/EHP bude poskytnuta rovnocenná úroveň ochrany.
Jaké údaje a pro jaké účely se v aplikacích Microsoft 365 používají?
Dále se budeme blíže věnovat prvnímu z uvedených pochybení. To znamená otázce, zda Komise jako správce osobních údajů ve smlouvě s Microsoftem jako zpracovatelem údajů dostatečně specifikovala účely zpracování a kategorie údajů, které budou shromažďovány a zpracovávány.
Detailní rozbor ujednání mezi Komisí a Microsoftem dává určitý náhled na to, jak dozorové úřady mohou hodnotit obdobná ustanovení v jiných smlouvách o zpracování osobních údajů. EDPS přitom zaujal poměrně striktní přístup vyžadující detailní specifikaci kategorií osobních údajů i účelů jejich zpracování. Navíc tyto dvě náležitosti propojil v tom smyslu, že pokud nejsou dostatečně popsány konkrétní kategorie údajů používaných pro jednotlivé účely, potom nemohou být ani dostatečně určitě popsané účely zpracování jako takové.
Podle EDPS nejsou kategorie informací specifikované jako servisní, systémové a jiné podobné logy nebo diagnostická data dostatečně určité a nelze z nich odvodit jaké konkrétní typy osobních údajů jsou v nich zahrnuté. V důsledku tedy Komise a Microsoft porušily svou povinnost určit rozsah zpracování, ke kterému byl Microsoft jako zpracovatel pověřen.
EDPS rovněž vyjádřil pochybnosti o stanovení účelů zpracování. Jednak ve spojitosti s nejasnostmi ohledně kategorií údajů dospěl k tomu, že ani účely zpracování nemohou být řádně specifikované, nakolik jasné stanovení kategorií údajů je podmínkou i pro jasné stanovení účelů. A i bez ohledu na kategorie údajů podle něj samotné účely zpracování nebyly dostatečně jasné popsané. Chybělo např. zohlednění použití strojového učení a umělé inteligence nebo různých analytických postupů, což jsou podstatné faktory pro určení konkrétních účelů zpracování (byť, jak upozornil Microsoft, tyto způsoby zpracování samy o sobě nejsou účelem zpracování). Obecné stanovení účelů jako např. „zlepšování služeb zahrnující zvyšování uživatelské produktivity, kvality nebo efektivity” podle EDPS nesplňuje nároky na konkrétnosti a určit účelu zpracování.
V souvislosti s tím zaujal EDPS názor, že u takto nedostatečně specifikovaných účelů a aktivit týkajících se osobních údajů nelze vycházet z toho, že Komise vystupuje jako správce a Microsoft jako zpracovatel. Podle EDPS totiž nemohl Microsoft postupovat v rámci pokynů Komise, což je hlavním definičním znakem zpracovatele osobních údajů, pokud není jasné, jak takové pokyny vypadají a k čemu směřují. Navíc nejde o technické detaily zpracování, které do určité míry může stanovit i zpracovatel. Microsoft proto byl v tomto rozsahu sám správcem údajů.
Agregace a anonymizace údajů
Zajímavé a do značné míry i překvapující jsou i závěry EDPS týkající se možnosti agregace a anonymizace osobních údajů. Konkrétně EDPS hodnotil vytváření obchodních statistik vycházejících z dat o používání služeb M365.
K vytváření těchto statistik používá Microsoft pseudonymizovaná data. Konkrétně jde o logy a záznamy o využití služeb od jednotlivých uživatelů. V těchto záznamech dochází k použití vlastních pseudonymizovaných identifikátorů (např. Object ID v rámci Azure Active Directory) namísto přímých identifikátorů jako jméno, e-mail apod., které jsou uchovávány odděleně. Zároveň dochází i k odstraňování dalších potenciálních identifikátorů, jako např. IP adresy nebo MAC adresy. Tyto identifikátory jsou hashované pomocí HMAC_SHA256 metody, tzn. jednocestnou funkcí, při jejímž využití není možné zpětně „vypočítat” původní hodnotu. O povaze těchto dat nicméně nebylo zásadního sporu, nakolik pseudonymizované údaje se nadále považují za osobní údaje podléhající příslušné regulaci.
Překvapivý nicméně už je závěr EDPS, že i agregované statistiky vytvořené na základě pseudonymizovaných logů a dat o využívání služby jsou stále osobními údaji (viz zejm. body 171, 172 a 173 rozhodnutí EDPS).
Neméně zajímavým je i způsob, jakým k tomuto závěru EDPS dospěl. V podstatě konstatoval, že mu Komise ani Microsoft nepředložily přesvědčivé doklady o tom, že data skutečně byla agregovaná takovým způsobem, že z nich již nebylo možné identifikovat konkrétní jednotlivce. Tím porušily podle EDPS princip odpovědnosti (čl. 4/2 a čl. 26, které jsou obdobou čl. 5/2 a čl. 24 GDPR) a zároveň nevyvrátily domněnku EDPS, že i agregovaná data pocházející z původně osobních údajů stále jsou osobními údaji.
Nápravná opatření
EDPS s ohledem na závažnost a dobu trvání porušení regulace a fakt, že mnohá zjištěná porušení se týkala operací velkého počtu jednotlivců, nařídil Komisi tato nápravná opatření:
S účinností od prosince 2024 je Komise povinna pozastavit veškeré toky údajů vyplývající z používání služby Microsoft 365 společnosti Microsoft a jejím přidruženým společnostem a dílčím zpracovatelům nacházejícím se v zemích mimo EU/EHP, na které se nevztahuje rozhodnutí o odpovídající ochraně.
Nejpozději do prosince 2024 musí Komise uvést využívání nástrojů Microsoft 365 do souladu s nařízením.