Pandemian seurauksena Euroopan unionin koulut ovat alkaneet ottaa käyttöön yhä useammin digitaalisia palveluja verkko-opiskelua varten. Vaikka nämä nykyaikaistamispyrkimykset ovat tervetullutta kehitystä, muutamat suuret teknologiayritykset pyrkivät heti hallitsemaan alaa - usein tarkoituksenaan totuttaa lapset niiden järjestelmiin ja luoda uusi sukupolvi tulevia "uskollisia" asiakkaita. Yksi niistä on Microsoft, jonka 365 Education -palvelut loukkaavat lasten tietosuojaoikeuksia. Kun oppilaat halusivat käyttää GDPR-oikeuksiaan, Microsoft sanoi koulujen olevan heidän tietojensa "rekisterinpitäjä". Kouluilla ei kuitenkaan ole mitään määräysvaltaa järjestelmiin.
- Ensimmäinen valitus Microsoftia vastaan (DE)
- Ensimmäinen valitus Microsoftia vastaan (EN automaattinen käännös)
- Toinen valitus Microsoftia vastaan (DE)
- Toinen valitus Microsoftia vastaan (EN automaattikäännös)
Vastuun siirtäminen Big Techin ja paikallisten koulujen välillä. Microsoftin kaltaisilla ohjelmistotoimittajilla on valtava markkinavoima, jonka ansiosta ne voivat sanella sopimusehdot kaikille, jotka haluavat käyttää niiden tuotteita. Samaan aikaan nämä ohjelmistotoimittajat yrittävät väistää vastuuta vaatimalla, että lähes kaikki vastuu on paikallisilla viranomaisilla tai kouluilla. Todellisuudessa kummallakaan ei ole valtaa vaikuttaa siihen, miten Microsoft todellisuudessa käsittelee käyttäjien tietoja. Sen sijaan ne joutuvat ottamaan tai jättämään tilanteen, jossa kaikki päätöksentekovalta ja voitot ovat Microsoftilla, kun taas koulujen odotetaan kantavan suurimman osan riskeistä. Kouluilla ei ole realistista mahdollisuutta neuvotella tai muuttaa ehtoja.
GDPR-oikeudet jätetään huomiotta. Käytännössä tämä johtaa tilanteeseen, jossa Microsoft yrittää sopimuksin sysätä suurimman osan GDPR:n mukaisista oikeudellisista vastuistaan kouluille, jotka tarjoavat Microsoft 365 Education -palveluja oppilailleen tai opiskelijoilleen. Tämä tarkoittaa esimerkiksi sitä, että Microsoftille osoitetut käyttöoikeuspyynnöt jäävät ilman vastauksia - samalla kun kouluilla ei ole realistista keinoa vastata tällaisiin pyyntöihin, koska niillä ei ole hallussaan tarvittavia tietoja.
Maartje de Graaf, tietosuojalakimies noyb: "Microsoftin kaltaisten ohjelmistotoimittajien "ota tai jätä" -lähestymistapa siirtää kaikki tietosuoja-asetuksen mukaiset velvollisuudet kouluille. Microsoftilla on ohjelmistossaan kaikki keskeiset tietojenkäsittelyä koskevat tiedot, mutta se osoittaa kouluja sormella, kun on kyse oikeuksien käyttämisestä. Kouluilla ei ole mitään keinoa noudattaa avoimuus- ja tiedotusvelvoitteita."
Irrottautunut todellisuudesta. Itävallassa, jossa noyb on tehnyt kaksi valitusta, paikallisten rehtoreiden tehtävänä on oletettavasti määrittää yleisen tietosuoja-asetuksen 4 artiklan 7 kohdan mukaiset "tarkoitukset ja keinot" ja varmistaa, että Microsoftin kaltaiset kansainväliset ohjelmistotoimittajat noudattavat niitä. Tämä johtaa sääntöjen noudattamista koskevaan järjestelmään, joka on täysin irrallaan tietojenkäsittelyn todellisuudesta.
Maartje de Graaf, tietosuojalakimies noyb: "Nykyisessä järjestelmässä, jonka Microsoft määrää kouluille, koulun olisi auditoitava Microsoftia tai annettava sille ohjeet siitä, miten oppilaiden tietoja käsitellään. Kaikki tietävät, että tällaiset sopimusjärjestelyt eivät vastaa todellisuutta. Tämä ei ole muuta kuin yritys siirtää vastuu lasten tiedoista mahdollisimman kauas Microsoftilta."
Yksityisyyden suojaa koskevien asiakirjojen sokkelo. Yrittää selvittää, mitä tietosuojakäytäntöjä tai -asiakirjoja Microsoft 365 Educationin käyttöön tarkalleen ottaen sovelletaan, on tutkimusmatka sinänsä. Läpinäkyvyys on hyvin puutteellista, ja käyttäjät ja koulut joutuvat navigoimaan yksityisyydensuojakäytäntöjen, asiakirjojen, ehtojen ja sopimusten labyrintissa, joka näyttää olevan voimassa. Näissä asiakirjoissa annetut tiedot ovat aina hieman erilaisia, mutta johdonmukaisesti epämääräisiä siitä, mitä lasten tiedoille todella tapahtuu, kun he käyttävät Microsoft 365 Education -palveluja.
Maartje de Graaf, tietosuojalakimies noyb: "Microsoft antaa niin epämääräistä tietoa, että edes pätevä lakimies ei voi täysin ymmärtää, miten yritys käsittelee henkilötietoja Microsoft 365 Educationissa. Lasten tai heidän vanhempiensa on lähes mahdotonta saada selville, missä laajuudessa Microsoft kerää tietoja."
Salaa lapsia jäljittämässä. Mutta tämä ei ole ainoa käsiteltävänä oleva asia. Vaikka kantelija ei antanut suostumustaan seurantaan, Microsoft 365 Education asensi silti evästeitä, jotka Microsoftin oman dokumentaation mukaan analysoivat käyttäjien käyttäytymistä, keräävät selaimen tietoja ja joita käytetään mainontaan. Tällaista seurantaa, jota käytetään yleisesti erittäin invasiiviseen profilointiin, tehdään ilmeisesti ilman, että kantelijan koulu edes tietää siitä. Koska Microsoft 365 Education on laajalti käytössä, yritys todennäköisesti seuraa kaikkia alaikäisiä, jotka käyttävät sen koulutustuotteita. Yrityksellä ei ole pätevää oikeusperustaa tälle käsittelylle.
Felix Mikolasch, tietosuojalakimies noyb: "Analyysimme tietovirroista on hyvin huolestuttava. Microsoft 365 Education näyttää jäljittävän käyttäjiä heidän iästään riippumatta. Tämä käytäntö vaikuttaa todennäköisesti satoihin tuhansiin oppilaisiin ja opiskelijoihin EU:ssa ja ETA:ssa. Viranomaisten pitäisi vihdoin astua esiin ja valvoa tehokkaasti alaikäisten oikeuksia."
Tämäkoskee lukemattomia lapsia. noyb pyytää Itävallan tietosuojaviranomaista (DSB) tutkimaan ja analysoimaan asiallisesti, mitä tietoja Microsoft 365 Education käsittelee. Microsoftin tietosuoja-asiakirjoista, tietopyynnöistä tai noybinomasta tutkimuksesta ei pystytty täysin selvittämään tätä, mikä rikkoo yleisen tietosuoja-asetuksen avoimuussäännöksiä. Lisäksi yritys ei noudattanut tiedonsaantioikeutta. Koska Microsoft 365 Educationin ehdot ja tietosuoja-asiakirjat ovat yhtenäiset EU:n/ETA:n alueella, kaikki näissä maissa asuvat lapset altistuvat samoille GDPR:n mukaisten oikeuksiensa loukkauksille. Siksi noyb ehdottaa myös, että viranomainen määrää Microsoftille sakon.