След пандемията училищата в Европейския съюз все по-често започват да прилагат цифрови услуги за онлайн обучение. Въпреки че тези усилия за модернизация са добре дошли, малък брой големи технологични компании веднага се опитаха да доминират в това пространство - често с намерението да накарат децата да свикнат с техните системи и да създадат ново поколение бъдещи "лоялни" клиенти. Една от тях е Microsoft, чиито услуги 365 Education нарушават правата на децата за защита на данните. Когато учениците искаха да упражнят правата си по GDPR, Microsoft заявяваше, че училищата са "администратор" на техните данни. Училищата обаче нямат никакъв контрол върху системите.
- Първа жалба срещу Microsoft (DE)
- Първа жалба срещу Microsoft (EN автоматичен превод)
- Втора жалба срещу Microsoft (DE)
- Втора жалба срещу Microsoft (EN автоматичен превод)
Прехвърляне на отговорността между големите технологии и местните училища. Производителите на софтуер като Microsoft имат огромна пазарна сила, която им позволява да диктуват условията на договорите с всеки, който иска да използва техните продукти. В същото време тези доставчици на софтуер се опитват да избегнат отговорността, като настояват, че почти цялата отговорност се носи от местните власти или училищата. В действителност нито едно от тях няма правомощия да влияе върху начина, по който Microsoft действително обработва данните на потребителите. Вместо това те са изправени пред ситуацията "вземи или остави", в която цялата власт за вземане на решения и печалби са на Microsoft, докато от училищата се очаква да поемат по-голямата част от рисковете. Училищата нямат реална възможност да преговарят или да променят условията.
Правата по GDPR се пренебрегват. На практика това води до ситуация, в която Microsoft се опитва договорно да прехвърли по-голямата част от правните си отговорности по GDPR върху училищата, които предоставят услугите на Microsoft 365 Education на своите ученици или студенти. Това означава например, че исканията за достъп до Microsoft остават без отговор - докато училищата нямат реалистичен начин да изпълнят такива искания, тъй като не разполагат с необходимите данни.
Маартье де Грааф, адвокат по защита на данните в noyb: "Този подход на доставчиците на софтуер като Microsoft прехвърля всички отговорности по GDPR върху училищата. Microsoft държи цялата ключова информация за обработката на данни в своя софтуер, но сочи с пръст училищата, когато става въпрос за упражняване на права. Училищата нямат възможност да изпълнят задълженията за прозрачност и информация."
Откъснати от реалността. В Австрия, където noyb е подал двете си жалби, местните директори на училища уж са натоварени със задачата да определят "целите и средствата" по член 4, параграф 7 от ОРЗД и да гарантират спазването на изискванията спрямо международни доставчици на софтуер като Microsoft. Това води до режим на съответствие, който е напълно откъснат от реалността на обработката на данни.
Maartje de Graaf, адвокат по защита на данните в noyb: "При сегашната система, която Microsoft налага на училищата, вашето училище ще трябва да извърши одит на Microsoft или да им даде указания как да обработват данните на учениците. Всеки знае, че подобни договорни споразумения нямат връзка с реалността. Това не е нищо друго освен опит да се прехвърли отговорността за данните на децата колкото се може по-далеч от Microsoft."
Лабиринт от документи за защита на личните данни. Опитът да се разбере какви точно политики или документи за защита на личните данни се прилагат при използването на Microsoft 365 Education е експедиция сам по себе си. Има сериозна липса на прозрачност, което принуждава потребителите и училищата да се ориентират в лабиринт от политики за поверителност, документи, условия и договори, които изглежда се прилагат всички. Информацията, предоставена в тези документи, винаги е малко по-различна, но неизменно неясна по отношение на това какво всъщност се случва с данните на децата, когато те използват услугите на Microsoft 365 Education.
Маартье де Грааф, адвокат по защита на данните в noyb:"Microsoft предоставя толкова неясна информация, че дори квалифициран юрист не може да разбере напълно как компанията обработва лични данни в Microsoft 365 Education. За децата или техните родители е почти невъзможно да разкрият мащаба на събирането на данни от страна на Microsoft."
Тайно проследяване на деца. Но това не е единственият проблем, който стои на дневен ред. Въпреки че жалбоподателят не е дал съгласието си за проследяване, Microsoft 365 Education все пак инсталира бисквитки, които според собствената документация на Microsoft анализират поведението на потребителите, събират данни за браузъра и се използват за реклама. Такова проследяване, което обикновено се използва за силно инвазивно профилиране, очевидно се извършва, без училището на жалбоподателя дори да знае. Тъй като Microsoft 365 Education се използва широко, компанията вероятно проследява всички непълнолетни, които използват нейните образователни продукти. Дружеството няма валидно правно основание за това обработване.
Феликс Миколаш, адвокат по защита на данните в noyb: "Нашият анализ на потоците от данни е много тревожен. Изглежда, че Microsoft 365 Education проследява потребителите независимо от тяхната възраст. Тази практика вероятно ще засегне стотици хиляди ученици и студенти в ЕС и ЕИП. Властите трябва най-накрая да се активизират и ефективно да прилагат правата на непълнолетните"
Засегнати са безброй деца. noyb се обръща към австрийския орган за защита на данните (DSB) с молба да разследва и да анализира фактически какви данни се обработват от Microsoft 365 Education. Нито документацията за защита на личните данни на Microsoft, нито исканията за достъп, нито собственото проучване на noybмогат да изяснят напълно това, което нарушава разпоредбите за прозрачност на GDPR. Освен това компанията не е спазила правото на достъп. Тъй като общите условия и документацията за поверителност на Microsoft 365 Education са единни за ЕС/ЕИП, всички деца, живеещи в тези държави, са изложени на едни и същи нарушения на правата им по GDPR. Поради това noyb предлага също така органът да наложи глоба на Microsoft.