A világjárvány nyomán az Európai Unió iskolái egyre inkább elkezdtek digitális szolgáltatásokat bevezetni az online tanuláshoz. Miközben ezek a modernizációs erőfeszítések üdvözlendő fejleménynek számítanak, néhány nagy technológiai vállalat azonnal megpróbálta uralni a teret - gyakran azzal a szándékkal, hogy a gyerekeket hozzászoktassák a rendszereikhez, és a jövőbeli "hűséges" ügyfelek új generációját hozzák létre. Ezek egyike a Microsoft, amelynek 365 Education szolgáltatásai sértik a gyermekek adatvédelmi jogait. Amikor a diákok élni akartak a GDPR szerinti jogaikkal, a Microsoft azt mondta, hogy az iskolák az adataik "adatkezelői". Az iskoláknak azonban nincs ellenőrzésük a rendszerek felett.
- Első panasz a Microsoft ellen (DE)
- Első panasz a Microsoft ellen (EN automatikus fordítás)
- Második panasz a Microsoft ellen (DE)
- Második panasz a Microsoft ellen (HU automatikus fordítás)
A felelősség áthelyezése a Big Tech és a helyi iskolák között. A Microsofthoz hasonló szoftvergyártók óriási piaci erővel rendelkeznek, ami lehetővé teszi számukra, hogy diktálják a szerződési feltételeket bárkivel, aki használni akarja a termékeiket. Ugyanakkor ezek a szoftverszolgáltatók megpróbálnak kibújni a felelősség alól azzal, hogy azt állítják, hogy szinte minden felelősség a helyi hatóságokat vagy iskolákat terheli. A valóságban egyiküknek sincs hatalma arra, hogy befolyásolja, hogy a Microsoft ténylegesen hogyan dolgozza fel a felhasználói adatokat. Ehelyett egy olyan "vedd vagy hagyd" helyzettel kell szembenézniük, amelyben a döntéshozatali jogkör és a nyereség a Microsofté, míg az iskoláknak a kockázatok nagy részét viselniük kell. Az iskoláknak nincs reális lehetőségük tárgyalni vagy megváltoztatni a feltételeket.
A GDPR szerinti jogokat figyelmen kívül hagyják. A gyakorlatban ez olyan helyzetet eredményez, amelyben a Microsoft megpróbálja a GDPR szerinti jogi kötelezettségeinek nagy részét szerződéssel azokra az iskolákra hárítani, amelyek Microsoft 365 Education szolgáltatásokat nyújtanak diákjaiknak vagy hallgatóiknak. Ez például azt jelenti, hogy a Microsofthoz intézett hozzáférési kérelmek megválaszolatlanul maradnak - miközben az iskoláknak nincs reális lehetőségük arra, hogy eleget tegyenek az ilyen kéréseknek, mivel nem rendelkeznek a szükséges adatokkal.
Maartje de Graaf, a noyb adatvédelmi ügyvédje: "Az olyan szoftvergyártók, mint a Microsoft, ilyen "vedd meg vagy hagyd meg" megközelítése a GDPR-kötelezettségeket az iskolákra hárítja. A Microsoft a szoftverében tárolja az adatfeldolgozással kapcsolatos összes kulcsfontosságú információt, de az iskolákra mutogat, amikor a jogok gyakorlásáról van szó. Az iskoláknak nincs módjuk az átláthatósági és tájékoztatási kötelezettségeknek való megfelelésre."
Elszakadva a valóságtól. Ausztriában, ahol a noyb benyújtotta két panaszát, állítólag a helyi iskolaigazgatók feladata a GDPR 4. cikkének (7) bekezdése szerinti "célok és eszközök" meghatározása és a megfelelés biztosítása az olyan nemzetközi szoftverszolgáltatókkal szemben, mint a Microsoft. Ez egy olyan megfelelési rendszert eredményez, amely teljesen elszakadt az adatfeldolgozás valóságától.
Maartje de Graaf, a noyb adatvédelmi ügyvédje: "A jelenlegi rendszer szerint, amelyet a Microsoft az iskolákra kényszerít, az iskolának auditálnia kellene a Microsoftot, vagy utasításokat kellene adnia nekik a tanulók adatainak feldolgozására vonatkozóan. Mindenki tudja, hogy az ilyen szerződéses megállapodások nem felelnek meg a valóságnak. Ez nem más, mint egy kísérlet arra, hogy a gyermekek adataiért viselt felelősséget a lehető legmesszebbre tolják el a Microsofttól"."
Az adatvédelmi dokumentáció útvesztője. Megpróbálni kideríteni, hogy pontosan milyen adatvédelmi irányelvek vagy dokumentumok vonatkoznak a Microsoft 365 Education használatára, már önmagában egy expedíció. Az átláthatóság komoly hiánya miatt a felhasználók és az iskolák kénytelenek eligazodni az adatvédelmi irányelvek, dokumentumok, feltételek és szerződések útvesztőjében, amelyek látszólag mindegyike érvényes. Az ezekben a dokumentumokban szereplő információk mindig kissé eltérőek, de következetesen homályosak azzal kapcsolatban, hogy mi történik valójában a gyermekek adataival, amikor a Microsoft 365 Education szolgáltatásait használják.
Maartje de Graaf, a noyb adatvédelmi ügyvédje: "A Microsoft olyan homályos információkat ad, hogy még egy képzett jogász sem érti teljesen, hogyan kezeli a vállalat a személyes adatokat a Microsoft 365 Education szolgáltatásban. A gyermekek vagy szüleik számára szinte lehetetlen feltárni a Microsoft adatgyűjtésének mértékét"
Titokban követi a gyerekeket. De nem ez az egyetlen probléma. Bár a panaszos nem járult hozzá a nyomon követéshez, a Microsoft 365 Education mégis olyan sütiket telepített, amelyek a Microsoft saját dokumentációja szerint elemzik a felhasználói viselkedést, böngészési adatokat gyűjtenek, és reklámozásra használják. Az ilyen nyomon követés, amelyet általában rendkívül invazív profilalkotásra használnak, nyilvánvalóan úgy történik, hogy a panaszos iskolája nem is tud róla. Mivel a Microsoft 365 Education széles körben használatos, a vállalat valószínűleg minden kiskorút nyomon követ, aki az oktatási termékeit használja. A vállalatnak nincs érvényes jogalapja erre az adatkezelésre.
Felix Mikolasch, a noyb adatvédelmi ügyvédje: "Az adatáramlások elemzése nagyon aggasztó. A Microsoft 365 Education a jelek szerint életkortól függetlenül követi a felhasználókat. Ez a gyakorlat valószínűleg több százezer tanulót és diákot érint az EU-ban és az EGT-ben. A hatóságoknak végre fel kellene lépniük, és hatékonyan kellene érvényesíteniük a kiskorúak jogait."
Számtalan gyermek érintett. A noyb arra kéri az osztrák adatvédelmi hatóságot (DSB), hogy vizsgálja ki és tényszerűen elemezze, milyen adatokat dolgoz fel a Microsoft 365 Education. Sem a Microsoft adatvédelmi dokumentációja, sem a hozzáférési kérelmek, sem a noybsaját kutatása nem tudta teljes mértékben tisztázni ezt, ami sérti a GDPR átláthatósági rendelkezéseit. Ezen túlmenően a vállalat nem tett eleget a hozzáférési jognak. Mivel a Microsoft 365 Education feltételei és adatvédelmi dokumentációja egységesek az EU/EGT-re vonatkozóan, az ezekben az országokban élő valamennyi gyermek a GDPR által biztosított jogainak azonos mértékű megsértésének van kitéve. Ezért a noyb azt is javasolja, hogy a hatóság szabjon ki bírságot a Microsoftra.
