Европейский Роскомнадзор обвинил собственное правительство в плохой защите данных от Майкрософта
Использование Европейской комиссией программного обеспечения Microsoft нарушило правила конфиденциальности Евросоюза. Руководство Еврокомиссии также не обеспечило защиту персональных данных, сообщил в понедельник Европейский надзорный орган по защите данных (EDPS).
European Data Protection Supervisor (EDPS) – европейский Роскомнадзор, потребовал от Еврокомиссии принять меры для соблюдения правил конфиденциальности и прекратить передачу данных американской Microsoft и дочерним компаниям, расположенным в третьих странах, у которых нет соглашений с ЕС. Требования должны быть выполнены до 9 декабря.
Решение EDPS связано с трехлетним расследованием, вызванным опасениями по поводу передачи персданных в США после разоблачений в 2013 году бывшим сотрудником спецслужб США Эдвардом Сноуденом массовой слежки.
«В своем контракте с Microsoft Еврокомиссия недостаточно четко указала, какие типы персональных данных должны собираться и для каких явных и оговоренных целей при использовании ПО Microsoft 365», – говорится в сообщении EDPS.
Microsoft 365 включает документы Word, электронные таблицы Excel, презентации PowerPoint и электронную почту Outlook.
У ЕС есть соглашения об обмене данными только с 16 странами, включая Аргентину, Японию, Южную Корею, Швейцарию, Великобританию и Соединенные Штаты.
Microsoft заявила, что учтет решение надзорного органа и будет работать с исполнительной властью ЕС для устранения проблем.
«Опасения, высказанные EDPS, в значительной степени связаны с ужесточением требований к прозрачности в соответствии с законом, который применяется только к учреждениям Европейского Союза», – сказал представитель Microsoft.
В России переход на отечественное ПО для госструктур был анонсирован еще в 2015 году, но активные подвижки начались с 2021 года. В 2023 году вышел Приказ Минцифры от 18.01.2023 N 21 «Об утверждении Методических рекомендаций по переходу на использование российского программного обеспечения, в том числе на значимых объектах критической информационной инфраструктуры Российской Федерации, и о реализации мер, направленных на ускоренный переход органов государственной власти и организаций на использование российского программного обеспечения в Российской Федерации».
В то же время, многие крупные операторы данных продолжают использовать западное ПО, которое может не афишируя, передавать данные граждан в центральную систему.
Не так давно, в 2019 году, каршеринговый сервис «Делимобиль» стал партнером производителя телематических устройств Bright Box и компании Microsoft, которая предоставляет свое облако Azure. Каршеринг «Ситидрайв» использует облачную систему S3 MinIO с открытым кодом для работы с файловым сервисом, говорится в блоге компании на Хабре. Несмотря на то, что опенсорсное решение имеет свободную лицензию, оно создавалось в США и вполне может иметь закладки для сбора информации, о чем часто напоминают специалисты по информбезопасности.
В сентябре 2022 года вступили в силу изменения в закон «О персональных данных», конкретизирующие территориальную сферу действия № 152-ФЗ. Если ранее закон не содержал специальных положений о его действии за пределами РФ, то теперь прямо указывается на его применимость по отношению к иностранным юрлицам, осуществляющим обработку данных граждан РФ на основании договора или согласия.
Если сравнивать регулирование трансграничной передачи данных в ФЗ № 152 и европейском GDPR, то можно сделать вывод об общем принципе, которым руководствуются законодатели: при передаче данных за пределы юрисдикции должен быть гарантирован адекватный уровень защиты персональных данных граждан в той стране, на территории которой происходит дальнейшая обработка.
Фото: Adobe Stock
