Στον απόηχο της πανδημίας, τα σχολεία στην Ευρωπαϊκή Ένωση έχουν αρχίσει όλο και περισσότερο να εφαρμόζουν ψηφιακές υπηρεσίες για διαδικτυακή μάθηση. Ενώ αυτές οι προσπάθειες εκσυγχρονισμού είναι μια ευπρόσδεκτη εξέλιξη, ένας μικρός αριθμός μεγάλων εταιρειών τεχνολογίας προσπάθησαν αμέσως να κυριαρχήσουν στον χώρο – συχνά με σκοπό να συνηθίσουν τα παιδιά στα συστήματά τους και να δημιουργήσουν μια νέα γενιά μελλοντικών «πιστών» πελατών. Ένα από αυτά είναι η Microsoft, της οποίας οι 365 υπηρεσίες εκπαίδευσης παραβιάζουν τα δικαιώματα προστασίας δεδομένων των παιδιών. Όταν οι μαθητές ήθελαν να ασκήσουν τα δικαιώματά τους GDPR, η Microsoft είπε ότι τα σχολεία ήταν ο «ελεγκτής» για τα δεδομένα τους. Ωστόσο, τα σχολεία δεν έχουν κανέναν έλεγχο στα συστήματα.
- Πρώτη καταγγελία κατά της Microsoft (DE)
- Πρώτη καταγγελία κατά της Microsoft (αυτόματη μετάφραση EN)
- Δεύτερη καταγγελία κατά της Microsoft (DE)
- Δεύτερη καταγγελία κατά της Microsoft (αυτόματη μετάφραση EN)
Μετατόπιση ευθυνών μεταξύ Big Tech και τοπικών σχολείων. Οι προμηθευτές λογισμικού όπως η Microsoft έχουν τεράστια ισχύ στην αγορά, που τους επιτρέπει να υπαγορεύουν τους όρους και τις προϋποθέσεις των συμβάσεων με οποιονδήποτε θέλει να χρησιμοποιήσει τα προϊόντα τους. Ταυτόχρονα, αυτοί οι πάροχοι λογισμικού προσπαθούν να αποφύγουν την ευθύνη επιμένοντας ότι σχεδόν το σύνολο ανήκει στις τοπικές αρχές ή στα σχολεία. Στην πραγματικότητα, κανένα από τα δύο δεν έχει τη δύναμη να επηρεάσει τον τρόπο με τον οποίο η Microsoft επεξεργάζεται πραγματικά δεδομένα χρήστη. Αντίθετα, βρίσκονται αντιμέτωποι με μια κατάσταση «πάρτε το ή αφήστε το» όπου όλη η εξουσία λήψης αποφάσεων και τα κέρδη ανήκουν στη Microsoft, ενώ τα σχολεία αναμένεται να φέρουν τους περισσότερους κινδύνους. Τα σχολεία δεν έχουν ρεαλιστικό τρόπο διαπραγμάτευσης ή αλλαγής των όρων.
Τα δικαιώματα GDPR αγνοούνται. Στην πράξη, αυτό οδηγεί σε μια κατάσταση όπου η Microsoft προσπαθεί να απορρίψει συμβατικά τις περισσότερες από τις νομικές της ευθύνες βάσει του GDPR σε σχολεία που παρέχουν υπηρεσίες Microsoft 365 Education στους μαθητές ή τους μαθητές τους. Αυτό σημαίνει, για παράδειγμα, ότι τα αιτήματα πρόσβασης στη Microsoft παραμένουν αναπάντητα - ενώ τα σχολεία δεν έχουν ρεαλιστικό τρόπο να συμμορφωθούν με τέτοια αιτήματα επειδή δεν διαθέτουν τα απαραίτητα δεδομένα.
Maartje de Graaf, δικηγόρος προστασίας δεδομένων στο noyb : «Αυτή η προσέγγιση «πάρτε το ή αφήστε το» από προμηθευτές λογισμικού όπως η Microsoft μεταθέτει όλες τις ευθύνες του GDPR στα σχολεία. Η Microsoft διατηρεί όλες τις βασικές πληροφορίες σχετικά με την επεξεργασία δεδομένων στο λογισμικό της, αλλά δείχνει το δάχτυλο στα σχολεία όταν πρόκειται για την άσκηση των δικαιωμάτων. Τα σχολεία δεν έχουν τρόπο να συμμορφωθούν με τις υποχρεώσεις διαφάνειας και ενημέρωσης».
Αποκομμένη από την πραγματικότητα. Στην Αυστρία, όπου η noyb έχει υποβάλει τις δύο καταγγελίες της, οι τοπικοί εντολείς υποτίθεται ότι είναι επιφορτισμένοι με τον καθορισμό των «σκοπών και των μέσων» σύμφωνα με το άρθρο 4 παράγραφος 7 του GDPR και τη διασφάλιση της συμμόρφωσης με διεθνείς παρόχους λογισμικού όπως η Microsoft. Αυτό οδηγεί σε ένα καθεστώς συμμόρφωσης που είναι εντελώς αποκομμένο από την πραγματικότητα της επεξεργασίας δεδομένων.
Maartje de Graaf, δικηγόρος προστασίας δεδομένων στο noyb : «Σύμφωνα με το τρέχον σύστημα που επιβάλλει η Microsoft στα σχολεία, το σχολείο σας θα έπρεπε να ελέγχει τη Microsoft ή να τους δώσει οδηγίες για τον τρόπο επεξεργασίας των δεδομένων των μαθητών. Όλοι γνωρίζουν ότι τέτοιου είδους συμβατικές ρυθμίσεις είναι εκτός πραγματικότητας. Αυτό δεν είναι τίποτα άλλο παρά μια προσπάθεια να μετατεθεί η ευθύνη για τα δεδομένα των παιδιών όσο το δυνατόν πιο μακριά από τη Microsoft».
Ένας λαβύρινθος τεκμηρίωσης απορρήτου. Η προσπάθεια να μάθετε ακριβώς ποιες πολιτικές απορρήτου ή έγγραφα ισχύουν για τη χρήση του Microsoft 365 Education είναι μια αποστολή από μόνη της. Υπάρχει σοβαρή έλλειψη διαφάνειας, αναγκάζοντας τους χρήστες και τα σχολεία να περιηγηθούν σε έναν λαβύρινθο πολιτικών απορρήτου, εγγράφων, όρων και συμβάσεων που όλα φαίνεται να ισχύουν. Οι πληροφορίες που παρέχονται σε αυτά τα έγγραφα είναι πάντα ελαφρώς διαφορετικές, αλλά σταθερά ασαφείς σχετικά με το τι συμβαίνει στην πραγματικότητα με τα δεδομένα των παιδιών όταν χρησιμοποιούν τις υπηρεσίες Microsoft 365 Education.
Maartje de Graaf, δικηγόρος προστασίας δεδομένων στο noyb : «Η Microsoft παρέχει τόσο ασαφείς πληροφορίες που ακόμη και ένας καταρτισμένος δικηγόρος δεν μπορεί να καταλάβει πλήρως πώς η εταιρεία επεξεργάζεται προσωπικά δεδομένα στο Microsoft 365 Education. Είναι σχεδόν αδύνατο για τα παιδιά ή τους γονείς τους να αποκαλύψουν την έκταση της συλλογής δεδομένων της Microsoft».
Κρυφή παρακολούθηση παιδιών. Αλλά αυτό δεν είναι το μόνο ζήτημα. Αν και ο καταγγέλλων δεν συναίνεσε στην παρακολούθηση, το Microsoft 365 Education εξακολουθούσε να εγκαθιστά cookies που, σύμφωνα με την τεκμηρίωση της ίδιας της Microsoft, αναλύουν τη συμπεριφορά των χρηστών, συλλέγουν δεδομένα προγράμματος περιήγησης και χρησιμοποιούνται για διαφημίσεις. Αυτή η παρακολούθηση, η οποία χρησιμοποιείται συνήθως για εξαιρετικά επεμβατική δημιουργία προφίλ, προφανώς πραγματοποιείται χωρίς καν να το γνωρίζει το σχολείο του καταγγέλλοντα. Καθώς το Microsoft 365 Education χρησιμοποιείται ευρέως, η εταιρεία είναι πιθανό να παρακολουθεί όλους τους ανηλίκους που χρησιμοποιούν τα εκπαιδευτικά προϊόντα τους. Η εταιρεία δεν έχει έγκυρη νομική βάση για αυτήν την επεξεργασία.
Felix Mikolasch, δικηγόρος προστασίας δεδομένων στο noyb : «Η ανάλυσή μας για τις ροές δεδομένων είναι πολύ ανησυχητική. Το Microsoft 365 Education φαίνεται να παρακολουθεί τους χρήστες ανεξάρτητα από την ηλικία τους. Αυτή η πρακτική είναι πιθανό να επηρεάσει εκατοντάδες χιλιάδες μαθητές και φοιτητές στην ΕΕ και στον ΕΟΧ. Οι αρχές πρέπει επιτέλους να εντείνουν και να επιβάλλουν αποτελεσματικά τα δικαιώματα των ανηλίκων».
Αμέτρητα παιδιά επηρεάζονται. Η noyb ζητά από την αυστριακή αρχή προστασίας δεδομένων (DSB) να διερευνήσει και να αναλύσει πραγματικά ποια δεδομένα επεξεργάζονται από το Microsoft 365 Education. Ούτε η τεκμηρίωση απορρήτου της Microsoft, τα αιτήματα για πρόσβαση ή η έρευνα της ίδιας της noyb θα μπορούσαν να το διευκρινίσουν πλήρως, γεγονός που παραβιάζει τις διατάξεις διαφάνειας του GDPR. Επιπλέον, η εταιρεία δεν συμμορφώθηκε με το δικαίωμα πρόσβασης. Καθώς οι όροι και οι προϋποθέσεις και η τεκμηρίωση απορρήτου του Microsoft 365 Education είναι ενιαία για την ΕΕ/ΕΟΧ, όλα τα παιδιά που ζουν σε αυτές τις χώρες εκτίθενται στις ίδιες παραβιάσεις των δικαιωμάτων τους GDPR. Επομένως, η noyb προτείνει επίσης ότι η αρχή πρέπει να επιβάλει πρόστιμο στη Microsoft.