Австрийският орган за защита на данните ("ОЗД") издаде решение, в което се посочва, че Microsoft 365 Education незаконно проследява ученици и използва данните на учениците за собствени цели на Microsoft. Софтуерният гигант също така не отговори на искане за достъп, свързано с Microsoft 365 Education, който се използва широко в европейските училища. Вместо това Microsoft се опита да прехвърли цялата отговорност на местните училища. Въпреки че според решението съответните училища трябва да предоставят и по-подробни данни за достъп и допълнителна информация за поверителността, сега Microsoft трябва най-накрая да отговори как използва данните на потребителите за собствени бизнес цели.
Тристранно прехвърляне на отговорността. По време на пандемията от COVID много училища бързо се прехвърлиха към "облака", а големите технологични компании побързаха да предоставят "образователни" продукти. Microsoft обаче прехвърли цялата отговорност за спазване на законите за защита на личните данни върху училищата и националните органи - които имат малък или никакъв реален контрол върху използването на данните на учениците. Местните училища обикновено не са достатъчно силни, за да се противопоставят на Microsoft, което води до ситуация "вземи и остави". Когато се сблъскват с искане за достъп на ученик до лични данни, обработвани от Microsoft 365 Education, това води до масово сочене с пръст: Microsoft просто препрати жалбоподателя към местното училище. Училището на жалбоподателя обаче можеше да предостави само минимална информация - тъй като то няма никакъв начин да получи достъп до информация, която се намира в Microsoft. Никой не се чувстваше в състояние да спази правата по GDPR. Вследствие на това жалбоподателят, представляван от noyb, подава жалба срещу всички възможни участници (местното училище, местния образователен съвет, Министерството на образованието и Microsoft САЩ) до австрийския DSB.
Феликс Миколаш, адвокат по защита на данните в noyb: "Microsoft се опита да прехвърли почти всички отговорности за Microsoft 365 Education на училищата или други национални институции. Сега австрийският орган за защита на данните реши, че това не е удачно. Ние приветстваме това решение."
Незаконно проследяване на деца и липса на достъп. Австрийският ДСП установи няколко нарушения на ОРЗД. На първо място, той установи, че Microsoft 365 Education използва бисквитки за проследяване без съгласие, което беше признато за незаконно. Както училището, така и австрийското министерство на образованието заявиха по време на процедурата, че не са знаели за такива проследяващи бисквитки преди подаването на жалбата. Сега DSB разпореди изтриването на съответните лични данни. Второ, Microsoft е нарушила правото на достъп по член 15 от ОРЗД, като не е предоставила пълен достъп до данните на жалбоподателя. Сега Microsoft ще трябва да осигури такъв достъп. Microsoft ще трябва също така да обясни ясно какво означава, че използва данните за своите бизнес цели, като например "бизнес моделиране" или "енергийна ефективност", и дали е изпратила лични данни на LinkedIn, OpenAI или на компанията за проследяване Xandr.
Феликс Миколаш, адвокат по защита на данните в noyb: "Microsoft обикновено твърди, че нейните образователни продукти са съобразени с изискванията за защита на личните данни. Тази процедура показа, че това всъщност не е така."
Microsoft оставя училищата и властите в неведение. В решенията също така се постановява, че училището на жалбоподателя и австрийското министерство на образованието трябва да предоставят допълнителна информация, по-специално коя информация за учениците е била предадена на Microsoft. Австрийският DSB обаче също така подчертава, че Microsoft не е предоставил на Министерството на образованието пълна информация относно обработката на данни в Microsoft 365 Education, което на практика прави невъзможно за местните училища да изпълнят задълженията си по членове 13 и 14 от ОРЗД.
Феликс Миколаш, адвокат по защита на данните в noyb: "Решението на австрийския орган за защита на данните наистина подчертава липсата на прозрачност при Microsoft 365 Education. За училищата е почти невъзможно да информират учениците, родителите и учителите за това какво се случва с техните данни."
Майкрософт Ирландия е заобиколена. Microsoft също се опита да твърди, че всъщност тяхното дъщерно дружество за ЕС в Ирландия отговаря за продуктите на Microsoft 365 в Европа. ОРС отхвърли този аргумент и постанови, че в действителност Microsoft САЩ взема съответните решения. Незначителните решения в Ирландия за приспособяване на даден продукт за ЕС не прехвърлят отговорността (и следователно юрисдикцията по делото) на Ирландия. Големите технологични компании от САЩ редовно твърдят, че попадат под ирландска юрисдикция, тъй като е известно, че ирландската Комисия за защита на данните почти не прилага правото на ЕС.
Вероятни са далечни последици за Microsoft 365. Microsoft 365 Education се използва от милиони ученици и учители в цяла Европа. Милиони други хора използват стандартния "Майкрософт 365" в компании и органи на властта в Европа. Надлежното информиране на служителите, учениците и другите потребители за това как се използват техните данни е задължително по закон - но често е фактически невъзможно за търговските клиенти. Ако "Майкрософт" не предоставя ясна информация и повече правомощия на своите търговски клиенти, използването на "Майкрософт 365" едва ли е в съответствие със законодателството на ЕС. Германските органи за защита на данните вече са преценили, че Microsoft 365 не отговаря на изискванията на GDPR.
Макс Шремс, адвокат по защита на данните в noyb: "Имаме "големи технологични" доставчици, които се опитват да получат цялата власт, но прехвърлят всички отговорности на европейските търговски клиенти. Ако Microsoft не промени из основи настройките на своите продукти, европейските търговски клиенти няма да могат да изпълняват задълженията си."
