Rakouský úřad pro ochranu osobních údajů ("DSB") vydal rozhodnutí, v němž konstatoval, že Microsoft 365 Education nezákonně sleduje studenty a využívá údaje studentů pro vlastní účely společnosti Microsoft. Softwarový gigant rovněž neodpověděl na žádost o přístup k systému Microsoft 365 Education, který je hojně využíván v evropských školách. Místo toho se Microsoft snažil veškerou odpovědnost přenést na místní školy. Příslušné školy sice musí podle rozhodnutí poskytnout také podrobnější přístupové údaje a další informace o ochraně osobních údajů, ale nyní je na Microsoftu, aby konečně odpověděl, jakým způsobem využívá údaje uživatelů pro své vlastní obchodní účely.
Třístranné přenášení odpovědnosti. Během pandemie COVID se mnoho škol rychle přesunulo do "cloudu" a velké technologické firmy rychle poskytly "vzdělávací" produkty. Společnost Microsoft však veškerou odpovědnost za dodržování zákonů o ochraně osobních údajů přenesla na školy a státní orgány - které mají jen malou nebo žádnou skutečnou kontrolu nad používáním údajů studentů. Místní školy obvykle nemají dostatečnou sílu, aby se Microsoftu postavily - což vede k situaci "ber, nech být". Když byly konfrontovány s žádostí studenta o přístup k osobním údajům zpracovávaným v rámci služby Microsoft 365 Education, vedlo to k masivnímu ukazování prstem: Microsoft jednoduše odkázal stěžovatele na jeho místní školu. Škola stěžovatele však mohla poskytnout pouze minimální informace - nemá totiž žádný způsob, jak získat přístup k informacím, které spočívají u společnosti Microsoft. Nikdo se necítil být schopen dostát právům GDPR. Stěžovatel, zastoupený společností noyb, následně podal stížnost na všechny možné aktéry (místní školu, místní vzdělávací radu, ministerstvo školství a společnost Microsoft US) k rakouskému orgánu pro ochranu osobních údajů.
Felix Mikolasch, právník pro ochranu osobních údajů ve společnosti noyb: "Společnost Microsoft se snažila přenést téměř veškerou odpovědnost za Microsoft 365 Education na školy nebo jiné státní instituce. Rakouský úřad pro ochranu osobních údajů nyní rozhodl, že to neprojde. Toto rozhodnutí vítáme."
Nezákonné sledování dětí a žádný přístup. Rakouský úřad pro ochranu osobních údajů zjistil několik porušení GDPR. Za prvé zjistil, že Microsoft 365 Education používá sledovací soubory cookie bez souhlasu, což bylo shledáno nezákonným. Škola i rakouské ministerstvo školství v průběhu řízení tvrdily, že o takových sledovacích souborech cookie před podáním stížnosti nevěděly. Orgán DSB nyní nařídil vymazání příslušných osobních údajů. Za druhé, společnost Microsoft porušila právo na přístup podle článku 15 GDPR tím, že neposkytla plný přístup k údajům stěžovatele. Společnost Microsoft nyní bude muset takový přístup poskytnout. Společnost Microsoft bude muset rovněž jasně vysvětlit, co znamená, že údaje používá pro své obchodní účely, jako je "obchodní modelování" nebo "energetická účinnost", a zda osobní údaje zaslala společnostem LinkedIn, OpenAI nebo sledovací společnosti Xandr.
Felix Mikolasch, právník zabývající se ochranou osobních údajů ve společnosti noyb: "Microsoft obvykle tvrdí, že jeho vzdělávací produkty jsou šetrné k soukromí. Tento postup ukázal, že tomu tak ve skutečnosti není."
Microsoft nechává školy a úřady v nevědomosti. V rozhodnutích se rovněž uvádí, že škola stěžovatele a rakouské ministerstvo školství by měly poskytnout další informace, zejména o tom, které informace o studentech byly předány společnosti Microsoft. Rakouský DSB však také zdůraznil, že společnost Microsoft neposkytla ministerstvu školství úplné informace o zpracování údajů v Microsoft 365 Education, což místním školám v podstatě znemožňuje splnit povinnosti podle článků 13 a 14 GDPR.
Felix Mikolasch, právník pro ochranu osobních údajů ve společnosti noyb: "Rozhodnutí rakouského úřadu pro ochranu osobních údajů skutečně poukazuje na nedostatečnou transparentnost systému Microsoft 365 Education. Pro školy je téměř nemožné informovat žáky, rodiče a učitele o tom, co se děje s jejich údaji."
Microsoft Irsko obešel. Společnost Microsoft se také snažila argumentovat tím, že ve skutečnosti má produkty Microsoft 365 v Evropě na starosti její dceřiná společnost pro EU v Irsku. Orgán pro řešení sporů tento argument odmítl a rozhodl, že ve skutečnosti příslušná rozhodnutí přijímá společnost Microsoft US. Drobná rozhodnutí v Irsku o úpravě produktu pro EU nepřenášejí odpovědnost (a tedy ani příslušnost k projednání věci) na Irsko. Velké technologické společnosti v USA pravidelně argumentují tím, že spadají pod irskou jurisdikci, protože irská Komise pro ochranu údajů je známá tím, že téměř nevymáhá právo EU.
Pravděpodobné dalekosáhlé důsledky pro Microsoft 365. Službu Microsoft 365 Education používají miliony studentů a učitelů v celé Evropě. Miliony dalších lidí používají standardní "Microsoft 365" ve firmách a na úřadech v Evropě. Řádné informování zaměstnanců, studentů a dalších uživatelů o tom, jak jsou jejich údaje využívány, je ze zákona povinné - pro komerční zákazníky však často fakticky nemožné. Pokud společnost Microsoft neposkytuje svým komerčním zákazníkům jasné informace a větší pravomoci, je používání služby Microsoft 365 jen stěží v souladu s právem EU. Německé úřady pro ochranu osobních údajů již posoudily, že Microsoft 365 nesplňuje požadavky GDPR.
Max Schrems, právník pro ochranu osobních údajů ve společnosti noyb: "Máme tu poskytovatele 'velkých technologií', kteří se snaží získat veškerou moc, ale veškerou odpovědnost přesouvají na evropské komerční zákazníky. Pokud Microsoft zásadně nezmění nastavení svých produktů, nebudou evropští komerční zákazníci schopni plnit své povinnosti."
