Η Αυστριακή Αρχή Προστασίας Δεδομένων («DSB») εξέδωσε απόφαση με την οποία διαπιστώνει ότι το Microsoft 365 Education παρακολουθεί παράνομα τους μαθητές και χρησιμοποιεί τα δεδομένα των μαθητών για δικούς της σκοπούς. Ο γίγαντας του λογισμικού δεν απάντησε επίσης σε αίτημα πρόσβασης που σχετίζεται με το Microsoft 365 Education, το οποίο χρησιμοποιείται ευρέως στα ευρωπαϊκά σχολεία. Αντ' αυτού, η Microsoft προσπάθησε να μεταθέσει όλη την ευθύνη στα τοπικά σχολεία. Ενώ τα σχετικά σχολεία πρέπει επίσης να παρέχουν πιο λεπτομερή δεδομένα πρόσβασης και πρόσθετες πληροφορίες απορρήτου σύμφωνα με την απόφαση, τώρα εναπόκειται στη Microsoft να απαντήσει επιτέλους στον τρόπο με τον οποίο χρησιμοποιεί τα δεδομένα των χρηστών για δικούς της επιχειρηματικούς σκοπούς.
Τριμερής Μετατόπιση Ευθύνης. Κατά τη διάρκεια της πανδημίας COVID, πολλά σχολεία στράφηκαν γρήγορα στο "cloud" και οι μεγάλες τεχνολογικές εταιρείες έσπευσαν να παρέχουν "εκπαιδευτικά" προϊόντα. Ωστόσο, η Microsoft μετέφερε όλη την ευθύνη για τη συμμόρφωση με τους νόμους περί απορρήτου στα σχολεία και τις εθνικές αρχές - οι οποίες έχουν ελάχιστο έως καθόλου πραγματικό έλεγχο στη χρήση των δεδομένων των μαθητών. Τα τοπικά σχολεία συνήθως δεν είναι αρκετά ισχυρά για να αντιδράσουν στη Microsoft - οδηγώντας σε μια κατάσταση "πάρτο και άστο". Όταν ήρθαν αντιμέτωποι με αίτημα πρόσβασης ενός μαθητή σε προσωπικά δεδομένα που επεξεργάζεται το Microsoft 365 Education, αυτό οδήγησε σε μαζικές καταγγελίες: Η Microsoft απλώς παρέπεμψε τον καταγγέλλοντα στο τοπικό της σχολείο. Ωστόσο, το σχολείο του καταγγέλλοντα μπορούσε να παράσχει μόνο ελάχιστες πληροφορίες - καθώς δεν έχει κανέναν τρόπο πρόσβασης σε πληροφορίες που ανήκουν στη Microsoft. Κανείς δεν ένιωθε ικανός να συμμορφωθεί με τα δικαιώματα του GDPR. Ο καταγγέλλων, εκπροσωπούμενος από την noyb, υπέβαλε καταγγελία κατά όλων των πιθανών παραγόντων (του τοπικού σχολείου, του τοπικού συμβουλίου εκπαίδευσης, του Υπουργείου Παιδείας και της Microsoft US) στο αυστριακό DSB.
Ο Felix Mikolasch, δικηγόρος προστασίας δεδομένων στην noyb: « Η Microsoft προσπάθησε να μεταθέσει σχεδόν όλες τις ευθύνες για το Microsoft 365 Education σε σχολεία ή άλλα εθνικά ιδρύματα. Η αυστριακή Αρχή Προστασίας Δεδομένων αποφάσισε τώρα ότι αυτό δεν ευσταθεί. Χαιρετίζουμε αυτήν την απόφαση ».
Παράνομη παρακολούθηση παιδιών και μη πρόσβαση. Το αυστριακό DSB διαπίστωσε αρκετές παραβιάσεις του GDPR. Πρώτον, διαπίστωσε ότι το Microsoft 365 Education χρησιμοποιούσε cookies παρακολούθησης χωρίς συγκατάθεση, κάτι που κρίθηκε παράνομο. Τόσο το σχολείο όσο και το Αυστριακό Υπουργείο Παιδείας ισχυρίστηκαν κατά τη διάρκεια της διαδικασίας ότι δεν γνώριζαν τέτοια cookies παρακολούθησης πριν από την καταγγελία. Το DSB διέταξε τώρα τη διαγραφή των σχετικών προσωπικών δεδομένων. Δεύτερον, η Microsoft παραβίασε το δικαίωμα πρόσβασης βάσει του Άρθρου 15 του GDPR, μη παρέχοντας πλήρη πρόσβαση στα δεδομένα του καταγγέλλοντος. Η Microsoft θα πρέπει πλέον να παρέχει τέτοια πρόσβαση. Η Microsoft θα πρέπει επίσης να εξηγήσει με σαφήνεια τι σημαίνει ότι χρησιμοποιεί δεδομένα για επιχειρηματικούς σκοπούς, όπως «επιχειρηματική μοντελοποίηση» ή «ενεργειακή απόδοση» και εάν έστειλε προσωπικά δεδομένα στο LinkedIn, το OpenAI ή την εταιρεία παρακολούθησης Xandr.
Ο Felix Mikolasch, δικηγόρος προστασίας δεδομένων στην noyb: «Η Microsoft συνήθως υποστηρίζει ότι τα εκπαιδευτικά της προϊόντα είναι φιλικά προς το απόρρητο. Αυτή η διαδικασία έδειξε ότι αυτό δεν ισχύει στην πραγματικότητα».
Η Microsoft αφήνει τα σχολεία και τις αρχές στο σκοτάδι. Οι αποφάσεις ορίζουν επίσης ότι το σχολείο του καταγγέλλοντος και το Αυστριακό Υπουργείο Παιδείας θα πρέπει να παράσχουν περαιτέρω πληροφορίες, ιδίως ποιες πληροφορίες μαθητών διαβιβάστηκαν στη Microsoft. Ωστόσο, το αυστριακό DSB τόνισε επίσης ότι η Microsoft δεν παρείχε στο Υπουργείο Παιδείας πλήρεις πληροφορίες σχετικά με την επεξεργασία δεδομένων στο Microsoft 365 Education, γεγονός που καθιστά ουσιαστικά αδύνατη τη συμμόρφωση των τοπικών σχολείων με τις υποχρεώσεις τους βάσει των άρθρων 13 και 14 του ΓΚΠΔ.
Ο Felix Mikolasch, δικηγόρος προστασίας δεδομένων στην noyb: « Η απόφαση της αυστριακής Αρχής Προστασίας Δεδομένων υπογραμμίζει πραγματικά την έλλειψη διαφάνειας με το Microsoft 365 Education. Είναι σχεδόν αδύνατο για τα σχολεία να ενημερώνουν τους μαθητές, τους γονείς και τους εκπαιδευτικούς για το τι συμβαίνει με τα δεδομένα τους ».
Η Microsoft Ireland παρέκαμψε. Η Microsoft προσπάθησε επίσης να υποστηρίξει ότι στην πραγματικότητα η θυγατρική της στην ΕΕ στην Ιρλανδία είναι υπεύθυνη για τα προϊόντα Microsoft 365 στην Ευρώπη. Το DSB απέρριψε αυτό το επιχείρημα και έκρινε ότι στην πραγματικότητα η Microsoft US λαμβάνει τις σχετικές αποφάσεις. Οι μικρές αποφάσεις στην Ιρλανδία για την προσαρμογή ενός προϊόντος για την ΕΕ δεν μεταθέτουν την ευθύνη (και επομένως τη δικαιοδοσία για την υπόθεση) στην Ιρλανδία. Οι μεγάλες εταιρείες τεχνολογίας των ΗΠΑ υποστηρίζουν τακτικά ότι εμπίπτουν στην ιρλανδική δικαιοδοσία, επειδή η Ιρλανδική Επιτροπή Προστασίας Δεδομένων είναι γνωστό ότι δεν εφαρμόζει σχεδόν καθόλου το δίκαιο της ΕΕ.
Πιθανές μακροπρόθεσμες συνέπειες για το Microsoft 365. Το Microsoft 365 Education χρησιμοποιείται από εκατομμύρια μαθητές και εκπαιδευτικούς σε όλη την Ευρώπη. Εκατομμύρια άλλοι άνθρωποι χρησιμοποιούν το πρότυπο "Microsoft 365" σε εταιρείες και αρχές στην Ευρώπη. Η σωστή ενημέρωση των εργαζομένων, των μαθητών και άλλων χρηστών σχετικά με τον τρόπο χρήσης των δεδομένων τους είναι υποχρεωτική από το νόμο - αλλά συχνά στην πράξη αδύνατη για τους εμπορικούς πελάτες. Εάν η Microsoft δεν παρέχει σαφείς πληροφορίες και περισσότερες εξουσίες στους εμπορικούς πελάτες της, η χρήση του Microsoft 365 δεν συμμορφώνεται με τη νομοθεσία της ΕΕ. Οι γερμανικές αρχές προστασίας δεδομένων έχουν ήδη θεωρήσει ότι το Microsoft 365 δεν πληροί τις απαιτήσεις του ΓΚΠΔ.
Ο Max Schrems, δικηγόρος προστασίας δεδομένων στην noyb: « Έχουμε «μεγάλους τεχνολογικούς» παρόχους που προσπαθούν να αποκτήσουν όλη την εξουσία, αλλά μεταθέτουν όλες τις ευθύνες στους Ευρωπαίους εμπορικούς πελάτες. Εάν η Microsoft δεν αλλάξει ριζικά τη ρύθμιση των προϊόντων της, οι Ευρωπαίοι εμπορικοί πελάτες δεν θα είναι σε θέση να συμμορφωθούν με τις υποχρεώσεις τους ».
