W następstwie pandemii szkoły w Unii Europejskiej coraz częściej zaczęły wdrażać usługi cyfrowe do nauki online. Podczas gdy te wysiłki modernizacyjne są mile widziane, niewielka liczba dużych firm technologicznych natychmiast próbowała zdominować tę przestrzeń - często z zamiarem przyzwyczajenia dzieci do swoich systemów i stworzenia nowego pokolenia przyszłych "lojalnych" klientów. Jedną z nich jest Microsoft, którego usługi 365 Education naruszają prawa dzieci do ochrony danych. Kiedy uczniowie chcieli skorzystać ze swoich praw wynikających z RODO, Microsoft twierdził, że szkoły są "administratorem" ich danych. Jednak szkoły nie mają żadnej kontroli nad systemami.
- Pierwsza skarga przeciwko Microsoft (DE)
- Pierwsza skarga przeciwko Microsoft (tłumaczenie automatyczne EN)
- Druga skarga przeciwko Microsoft (DE)
- Druga skarga przeciwko Microsoft (EN tłumaczenie automatyczne)
Przerzucanie odpowiedzialności między Big Tech a lokalnymi szkołami. Dostawcy oprogramowania, tacy jak Microsoft, mają ogromną siłę rynkową, co pozwala im dyktować warunki umów z każdym, kto chce korzystać z ich produktów. Jednocześnie ci dostawcy oprogramowania próbują uniknąć odpowiedzialności, nalegając, aby prawie cała odpowiedzialność spoczywała na władzach lokalnych lub szkołach. W rzeczywistości żaden z nich nie ma wpływu na to, w jaki sposób Microsoft faktycznie przetwarza dane użytkowników. Zamiast tego mają do czynienia z sytuacją, w której cała moc decyzyjna i zyski leżą po stronie Microsoftu, podczas gdy od szkół oczekuje się ponoszenia większości ryzyka. Szkoły nie mają realnej możliwości negocjowania lub zmiany warunków.
Prawa wynikające z RODO są ignorowane. W praktyce prowadzi to do sytuacji, w której Microsoft próbuje umownie zrzucić większość swoich obowiązków prawnych wynikających z RODO na szkoły, które świadczą usługi Microsoft 365 Education swoim uczniom lub studentom. Oznacza to na przykład, że wnioski o dostęp do danych kierowane do Microsoftu pozostają bez odpowiedzi - podczas gdy szkoły nie mają realistycznego sposobu na spełnienie takich wniosków, ponieważ nie posiadają niezbędnych danych.
Maartje de Graaf, prawnik ds. ochrony danych w Noyb: "To podejście typu "weź to, albo zostaw to" stosowane przez dostawców oprogramowania, takich jak Microsoft, przenosi wszystkie obowiązki związane z GDPR na szkoły. Microsoft przechowuje wszystkie kluczowe informacje na temat przetwarzania danych w swoim oprogramowaniu, ale wskazuje palcem na szkoły, jeśli chodzi o korzystanie z praw. Szkoły nie mają możliwości wywiązania się z obowiązków w zakresie przejrzystości i informowania"
Oderwane od rzeczywistości. W Austrii, gdzie Noyb złożył dwie skargi, lokalni dyrektorzy mają rzekomo za zadanie określić "cele i środki" zgodnie z art. 4 ust. 7 RODO oraz zapewnić zgodność z międzynarodowymi dostawcami oprogramowania, takimi jak Microsoft. Skutkuje to systemem zgodności, który jest całkowicie oderwany od rzeczywistości przetwarzania danych.
Maartje de Graaf, prawnik ds. ochrony danych w noyb: "W ramach obecnego systemu, który Microsoft narzuca szkołom, Twoja szkoła musiałaby przeprowadzić audyt Microsoftu lub przekazać mu instrukcje dotyczące przetwarzania danych uczniów. Wszyscy wiedzą, że takie ustalenia umowne są oderwane od rzeczywistości. To nic innego jak próba przeniesienia odpowiedzialności za dane dzieci jak najdalej od Microsoftu"
Labirynt dokumentacji dotyczącej prywatności. Próba ustalenia, jakie dokładnie polityki prywatności lub dokumenty mają zastosowanie do korzystania z Microsoft 365 Education, jest wyprawą samą w sobie. Istnieje poważny brak przejrzystości, zmuszający użytkowników i szkoły do poruszania się w labiryncie polityk prywatności, dokumentów, warunków i umów, które wydają się mieć zastosowanie. Informacje zawarte w tych dokumentach są zawsze nieco inne, ale konsekwentnie niejasne na temat tego, co faktycznie dzieje się z danymi dzieci, gdy korzystają one z usług Microsoft 365 Education.
Maartje de Graaf, prawnik ds. ochrony danych w noyb: "Microsoft dostarcza tak niejasnych informacji, że nawet wykwalifikowany prawnik nie jest w stanie w pełni zrozumieć, w jaki sposób firma przetwarza dane osobowe w Microsoft 365 Education. Jest prawie niemożliwe, aby dzieci lub ich rodzice odkryli zakres gromadzenia danych przez Microsoft"
Potajemne śledzenie dzieci. Nie jest to jednak jedyny problem. Chociaż skarżący nie wyraził zgody na śledzenie, Microsoft 365 Education nadal instalował pliki cookie, które zgodnie z dokumentacją Microsoftu analizują zachowanie użytkownika, zbierają dane przeglądarki i są wykorzystywane do celów reklamowych. Takie śledzenie, które jest powszechnie wykorzystywane do wysoce inwazyjnego profilowania, jest najwyraźniej przeprowadzane bez wiedzy szkoły skarżącego. Ponieważ Microsoft 365 Education jest powszechnie używany, firma prawdopodobnie śledzi wszystkich nieletnich korzystających z jej produktów edukacyjnych. Firma nie ma ważnej podstawy prawnej do takiego przetwarzania danych.
Felix Mikolasch, prawnik ds. ochrony danych w Noyb: "Nasza analiza przepływu danych jest bardzo niepokojąca. Microsoft 365 Education wydaje się śledzić użytkowników niezależnie od ich wieku. Praktyka ta może mieć wpływ na setki tysięcy uczniów i studentów w UE i EOG. Władze powinny wreszcie zintensyfikować działania i skutecznie egzekwować prawa nieletnich"
Dotyczyto niezliczonych dzieci. noyb zwraca się do austriackiego organu ochrony danych (DSB) o zbadanie i faktyczne przeanalizowanie, jakie dane są przetwarzane przez Microsoft 365 Education. Ani dokumentacja prywatności Microsoftu, ani wnioski o dostęp, ani własne badania Noybnie były w stanie w pełni tego wyjaśnić, co narusza przepisy RODO dotyczące przejrzystości. Ponadto firma nie przestrzegała prawa dostępu. Ponieważ warunki i dokumentacja prywatności Microsoft 365 Education są jednolite dla UE/EOG, wszystkie dzieci mieszkające w tych krajach są narażone na takie same naruszenia ich praw GDPR. W związku z tym noyb sugeruje również, że organ powinien nałożyć grzywnę na Microsoft.