V souvislosti s pandemií začaly školy v Evropské unii stále častěji zavádět digitální služby pro online výuku. Zatímco tyto modernizační snahy jsou vítaným vývojem, malý počet velkých technologických společností se okamžitě pokusil ovládnout tento prostor - často se záměrem zvyknout děti na své systémy a vytvořit novou generaci budoucích "věrných" zákazníků. Jednou z nich je společnost Microsoft, jejíž služby 365 Education porušují práva dětí na ochranu osobních údajů. Když chtěli žáci uplatnit svá práva podle GDPR, Microsoft tvrdil, že "správcem" jejich údajů jsou školy. Školy však nad systémy nemají žádnou kontrolu.
- První stížnost na společnost Microsoft (DE)
- První stížnost na společnost Microsoft (EN automatický překlad)
- Druhá stížnost na společnost Microsoft (DE)
- Druhá stížnost na společnost Microsoft (EN automatický překlad)
Přesun odpovědnosti mezi velkými technologickými firmami a místními školami. Výrobci softwaru, jako je Microsoft, mají na trhu obrovskou sílu, která jim umožňuje diktovat podmínky smluv s každým, kdo chce jejich produkty používat. Zároveň se tito dodavatelé softwaru snaží vyhnout odpovědnosti tím, že trvají na tom, že téměř veškerá odpovědnost leží na místních úřadech nebo školách. Ve skutečnosti však ani jeden z nich nemá pravomoc ovlivnit, jakým způsobem společnost Microsoft skutečně zpracovává údaje uživatelů. Namísto toho se potýkají se situací "ber, nebo nech být", kdy veškerá rozhodovací pravomoc a zisky leží na Microsoftu, zatímco od škol se očekává, že ponesou většinu rizik. Školy nemají žádnou reálnou možnost vyjednávat nebo měnit podmínky.
Práva vyplývající z GDPR jsou ignorována. V praxi to vede k situaci, kdy se společnost Microsoft snaží smluvně shodit většinu svých právních povinností vyplývajících z GDPR na školy, které poskytují svým žákům nebo studentům služby Microsoft 365 Education. To například znamená, že žádosti o přístup k údajům adresované společnosti Microsoft zůstávají bez odpovědi - zatímco školy nemají reálnou možnost takovým žádostem vyhovět, protože nedisponují potřebnými údaji.
Maartje de Graaf, právnička pro ochranu údajů ve společnosti noyb: "Tento přístup dodavatelů softwaru, jako je Microsoft, přenáší veškerou odpovědnost za GDPR na školy. Microsoft má všechny klíčové informace o zpracování údajů ve svém softwaru, ale ukazuje prstem na školy, pokud jde o uplatnění práv. Školy nemají žádnou možnost, jak splnit povinnosti týkající se transparentnosti a informovanosti."
Odtrženo od reality. V Rakousku, kde společnost noyb podala své dvě stížnosti, mají místní ředitelé údajně za úkol určit "účely a prostředky" podle čl. 4 odst. 7 GDPR a zajistit soulad vůči mezinárodním poskytovatelům softwaru, jako je Microsoft. Výsledkem je režim dodržování předpisů, který je zcela odtržen od reality zpracování údajů.
Maartje de Graaf, právnička v oblasti ochrany údajů ve společnosti noyb: "Podle současného systému, který společnost Microsoft školám vnucuje, by vaše škola musela provést audit společnosti Microsoft nebo jí dát pokyny, jak zpracovávat údaje žáků. Každý ví, že taková smluvní ujednání jsou mimo realitu. Nejde o nic jiného než o pokus přesunout odpovědnost za údaje dětí co nejdále od společnosti Microsoft."
Bludiště dokumentace o ochraně osobních údajů. Snažit se zjistit, jaké zásady nebo dokumenty týkající se ochrany osobních údajů se přesně vztahují na používání služby Microsoft 365 Education, je samo o sobě výpravou. Je zde vážný nedostatek transparentnosti, který nutí uživatele a školy orientovat se ve spleti zásad ochrany osobních údajů, dokumentů, podmínek a smluv, které se zdánlivě vztahují na všechny. Informace uvedené v těchto dokumentech se vždy mírně liší, ale důsledně mlží o tom, co se vlastně děje s údaji dětí, když používají služby Microsoft 365 Education.
Maartje de Graaf, právnička pro ochranu osobních údajů ve společnosti noyb:"Microsoft poskytuje tak vágní informace, že ani kvalifikovaný právník nemůže plně pochopit, jak společnost zpracovává osobní údaje v rámci služby Microsoft 365 Education. Pro děti nebo jejich rodiče je téměř nemožné odhalit rozsah shromažďování údajů společností Microsoft."
Tajné sledování dětí. To však není jediný problém, o který se jedná. Ačkoli stěžovatelka se sledováním nesouhlasila, Microsoft 365 Education přesto nainstaloval soubory cookie, které podle vlastní dokumentace společnosti Microsoft analyzují chování uživatelů, shromažďují údaje o prohlížeči a používají se pro reklamu. Takové sledování, které se běžně používá k vysoce invazivnímu profilování, je zřejmě prováděno, aniž by o tom škola stěžovatele věděla. Vzhledem k tomu, že služba Microsoft 365 Education je hojně využívána, je pravděpodobné, že společnost sleduje všechny nezletilé, kteří používají její vzdělávací produkty. Společnost nemá pro toto zpracování žádný platný právní základ.
Felix Mikolasch, právník zabývající se ochranou osobních údajů ve společnosti noyb: "Naše analýza datových toků je velmi znepokojivá. Zdá se, že Microsoft 365 Education sleduje uživatele bez ohledu na jejich věk. Tato praxe se pravděpodobně týká statisíců žáků a studentů v EU a EHP. Úřady by měly konečně zakročit a účinně prosazovat práva nezletilých."
Postiženo je nespočet dětí. noyb žádá rakouský úřad pro ochranu osobních údajů (DSB), aby prošetřil a věcně analyzoval, jaké údaje Microsoft 365 Education zpracovává. Ani dokumentace o ochraně osobních údajů společnosti Microsoft, ani žádosti o přístup, ani vlastní průzkum společnosti noybto nemohly plně objasnit, což je v rozporu s ustanoveními o transparentnosti GDPR. Kromě toho společnost nedodržela právo na přístup. Vzhledem k tomu, že podmínky a dokumentace o ochraně osobních údajů služby Microsoft 365 Education jsou pro EU/EHP jednotné, jsou všechny děti žijící v těchto zemích vystaveny stejnému porušení svých práv podle GDPR. Proto noyb také navrhuje, aby úřad uložil společnosti Microsoft pokutu.
