유럽데이터보호감찰기구 EDPS가 3월 11일 EU에서 유럽위원회가 마이크로소프트 구독 서비스인 마이크로소프트 365를 이용하는 것에 대해 EU 개인정보 보호 규칙을 위반하고 있다고 지적했다.
개인 데이터 전송에 관한 규칙을 포함해 여러 데이터 보호 규정을 위반하고 있다. EDPS는 유럽위원회가 EU와 EEA 외부로 전송되는 개인 데이터가 동일 영역 내에서 보장되는 것과 본질적으로 동등한 수준 보호를 받을 수 있도록 적절한 보호 조치를 제공하지 않는지 충분히 규정하고 있지 않다고 지적했다. EDPS는 또 2024년 12월 9일까지 마이크로소프트나 EU와 개인정보보호협정을 맺지 않은 제3국에 거점을 둔 관련 기업에 대해 마이크로소프트365 사용에 의해 발생하는 모든 데이터 흐름을 중단하도록 명령했다. 또 유럽위원회는 개인정보보호규칙을 준수하기 위한 조치를 취하고 마이크로소프트로 데이터를 전송하는 걸 중지하도록 시정조치를 부과했다.
EDPS 측은 클라우드 기반 서비스를 포함한 EU와 EEA 내외 개인 데이터 처리에 견고한 보호 조치와 대책이 수반되는 걸 보증하는 건 EU 기관과 단체, 사무소 책임으로 개인 정보를 확실하게 보호하기 위해 필수적인 명령이었다고 밝혔다.
EDPS 설문조사에선 발견된 많은 문제는 마이크로소프트 365를 사용할 때 유럽위원회를 대신해 수행되는 모든 처리 작업에 관한 것이며 많은 개인에게 영향을 미친다고 보고하고 있다. 마이크로소프트 측은 EDPS가 제기한 우려는 주로 EU 기관에만 적용되는 법률 EUDPR 하에서의 투명성 엄격화와 관련되어 있다며 거주하는 고객은 GDPR을 완벽하게 준수하는 마이크로소프트 365를 계속 사용할 수 있으며 앞으로도 지원이나 지침이 계속될 것이라고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.