Skoncentrowany na edukacji pakiet oprogramowania Microsoft 365 Education w chmurze firmy Microsoft jest przedmiotem dochodzenia w Unii Europejskiej. Organizacja non-profit noyb zajmująca się prawami prywatności właśnie złożyła dwie skargi do austriackiego organu ochrony danych.

Skargi dotyczą wykorzystania oprogramowania chmurowego Microsoftu przez szkoły. Pierwsza skupia się na kwestiach przejrzystości i podstaw prawnych. firma noyb wyraża zaniepokojenie, że dane nieletnich są przetwarzane niezgodnie z prawem, a w swoim komunikacie prasowym pojawia się, jak to określa, „konsekwentnie niejasne” informacje dostarczone przez technologicznego giganta na temat sposobu wykorzystywania danych dzieci.

Ogólne rozporządzenie o ochronie danych bloku (RODO) stawia wysokie oczekiwania w zakresie ochrony danych dzieci. Przejrzystość i odpowiedzialność muszą być podstawą każdego przypadku, gdy przetwarzane są informacje o nieletnich. Wymagana jest także podstawa prawna. Potwierdzone naruszenia reżimu mogą skutkować karami finansowymi w wysokości do 4% światowego rocznego obrotu, które w przypadku Microsoftu mogą sięgać miliardów dolarów.

W skardze złożonej przez grupę zajmującą się prawami prywatności zarzuca się Microsoftowi próbę uchylenia się od swoich obowiązków prawnych jako administratora danych dotyczących dzieci poprzez wykorzystywanie umów, które szkoły muszą podpisać, aby uzyskać dostęp do oprogramowania i w ten sposób przenieść na nie zgodność. noyb twierdzi, że szkoły nie są w stanie spełnić wymogów prawa UE w zakresie przejrzystości ani praw dostępu do danych, ponieważ nie mogą wiedzieć, co Microsoft robi z danymi dzieci.

Ceny platformy Microsoft 365 Education są różne, ale pakiet oprogramowania może być oferowany bezpłatnie szkołom, które spełniają określone kryteria kwalifikacyjne.

„Microsoft udostępnia tak niejasne informacje, że nawet wykwalifikowany prawnik nie jest w stanie w pełni zrozumieć, w jaki sposób firma przetwarza dane osobowe w Microsoft 365 Education. Jest prawie niemożliwe, aby dzieci lub ich rodzice odkryli zakres gromadzenia danych przez Microsoft” – stwierdziła w oświadczeniu Maartje de Graaf, prawnik ds. ochrony danych w firmie noyb.

„To podejście dostawców oprogramowania, takich jak Microsoft, typu „bierz albo zostaw”, powoduje przeniesienie wszystkich obowiązków związanych z RODO na szkoły. Microsoft przechowuje w swoim oprogramowaniu wszystkie kluczowe informacje dotyczące przetwarzania danych, ale w kwestii korzystania z praw wskazuje palcem na szkoły. Szkoły nie mają możliwości wywiązania się z obowiązków w zakresie przejrzystości i informacji” – dodała.

„W obecnym systemie, który Microsoft narzuca szkołom, Twoja szkoła musiałaby przeprowadzić audyt firmy Microsoft lub wydać jej instrukcje dotyczące przetwarzania danych uczniów. Każdy wie, że takie ustalenia umowne są oderwane od rzeczywistości. To nic innego jak próba przeniesienia odpowiedzialności za dane dzieci jak najdalej od Microsoftu.”

Druga skarga złożona przez noyb Tuesday również oskarża Microsoft o potajemne śledzenie dzieci. firma noyb twierdzi, że znalazła śledzące pliki cookie, które zostały zainstalowane przez platformę Microsoft 365 Education, mimo że osoba składająca skargę nie wyraziła zgody na śledzenie. Według dokumentacji Microsoftu te pliki cookie analizują zachowanie użytkowników, zbierają dane przeglądarki i są wykorzystywane do celów reklamowych – dodał.

„Takie śledzenie, które jest powszechnie stosowane w wysoce inwazyjnym profilowaniu, najwyraźniej jest przeprowadzane bez wiedzy szkoły skarżącego” – napisał Noyb. „Ponieważ platforma Microsoft 365 Education jest powszechnie stosowana, firma prawdopodobnie będzie monitorować wszystkich nieletnich korzystających z jej produktów edukacyjnych. Firma nie ma ważnej podstawy prawnej do tego przetwarzania.”

Ponownie RODO stawia wysoką poprzeczkę w zakresie zgodnego z prawem wykorzystywania danych dzieci do celów marketingowych – wymagając, aby administratorzy danych dołożyli szczególnej staranności w celu ochrony informacji nieletnich i dopilnowali, aby wszelkie wykorzystanie informacji nieletnich było uczciwe, zgodne z prawem i jasno przekazywane.

noyb twierdzi, że umowy, warunki handlowe i przepływy danych firmy Microsoft nie spełniają tego wymagania.

„Nasza analiza przepływów danych jest bardzo niepokojąca” – stwierdził w oświadczeniu Felix Mikolasch, inny prawnik ds. ochrony danych w firmie Noyb. „Wygląda na to, że Microsoft 365 Education śledzi użytkowników niezależnie od ich wieku. Praktyka ta prawdopodobnie dotknie setki tysięcy uczniów i studentów w UE i EOG [European Economic Area]. Władze powinny w końcu zintensyfikować działania i skutecznie egzekwować prawa nieletnich”.

noyb zwraca się do austriackiego organu ochrony danych o zbadanie skarg i ustalenie, jakie dane są przetwarzane przez platformę Microsoft 365 Education. Wzywa także organ do nałożenia kary w przypadku potwierdzenia naruszenia RODO.

Skontaktowano się z firmą Microsoft w celu uzyskania komentarza w sprawie skargi firmy Noyb. Rzecznik firmy przesłał e-mailem następujące oświadczenie: „M365 for Education jest zgodny z RODO i innymi obowiązującymi przepisami dotyczącymi prywatności i dokładnie chronimy prywatność naszych młodych użytkowników. Chętnie odpowiemy na wszelkie pytania, jakie agencje ochrony danych mogą mieć w związku z dzisiejszym ogłoszeniem.”

Chociaż gigant technologiczny ma siedzibę regionalną w Irlandii, co zazwyczaj oznacza, że ​​transgraniczne skargi związane z RODO będą w końcu kierowane z powrotem do irlandzkiej Komisji Ochrony Danych w celu rozpatrzenia, rzecznik firmy noyb podkreślił „lokalnie istotny” charakter dwóch spraw Microsoft 365 skarg dotyczących edukacji – twierdząc, że uważają, że austriacki organ ochrony danych jest właściwy do przeprowadzenia dochodzenia.

„Skargi mogą w rzeczywistości pozostać w Austrii” – powiedział rzecznik TechCrunch. „Sprawa ma bardzo lokalne znaczenie, ponieważ dotyczy austriackich szkół i austriackich uczniów, więc mamy nadzieję [Austrian DPA] weźmie sprawy w swoje ręce. Złożyliśmy także skargi przeciwko amerykańskiemu podmiotowi Microsoftu, a nie oddziałowi w UE.”

Jest to ważne, ponieważ może prowadzić do szybszego podejmowania decyzji – i potencjalnego egzekwowania – w sprawie skarg przeciwko Microsoft.

Skargi związane z RODO skupiające się na danych dzieci doprowadziły do ​​najcięższych w dotychczasowej historii kar, takich jak grzywna w wysokości 405 mln euro nałożona przez Irlandię na Meta latem 2022 r. za drobne niedociągnięcia w zakresie ochrony związane z Instagramem. W zeszłym roku odkryto, że portal społecznościowy TikTok do udostępniania plików wideo narusza wymogi prawne dotyczące bezpieczeństwa danych dzieci – został ukarany grzywną w wysokości 345 mln euro.

Tymczasem pakiet produktywny w chmurze firmy Microsoft pozostaje objęty szerszą chmurą prawną w UE. Już w marcu Europejski Inspektor Ochrony Danych stwierdził, że używanie numeru 365 przez blok stanowi naruszenie RODO, który nałożył środki naprawcze, dając instytucjom UE czas do początków grudnia na naprawienie zidentyfikowanych problemów ze zgodnością.

Długie badanie platformy Microsoft 365 przeprowadzone przez niemieckie organy ochrony danych również ujawniło szereg problemów już jesienią 2022 r. — grupa robocza doszła wówczas do wniosku, że nie ma możliwości korzystania z pakietu oprogramowania w sposób zgodny z RODO .

Ten raport został zaktualizowany komentarzem firmy Microsoft