V dôsledku pandémie začali školy v Európskej únii čoraz častejšie zavádzať digitálne služby pre online vzdelávanie. Hoci tieto modernizačné snahy sú vítaným vývojom, malý počet veľkých technologických spoločností sa okamžite pokúsil ovládnuť tento priestor - často so zámerom privyknúť deti na svoje systémy a vytvoriť novú generáciu budúcich "verných" zákazníkov. Jednou z nich je spoločnosť Microsoft, ktorej služby 365 Education porušujú práva detí na ochranu údajov. Keď chceli žiaci uplatniť svoje práva vyplývajúce z nariadenia GDPR, spoločnosť Microsoft uviedla, že školy sú "správcom" ich údajov. Školy však nad systémami nemajú žiadnu kontrolu.
- Prvá sťažnosť na spoločnosť Microsoft (DE)
- Prvá sťažnosť proti spoločnosti Microsoft (SK automatický preklad)
- Druhá sťažnosť proti spoločnosti Microsoft (DE)
- Druhá sťažnosť proti spoločnosti Microsoft (SK automatický preklad)
Presun zodpovednosti medzi veľkými technologickými spoločnosťami a miestnymi školami. Dodávatelia softvéru ako Microsoft majú obrovskú trhovú silu, ktorá im umožňuje diktovať podmienky zmlúv s každým, kto chce používať ich produkty. Zároveň sa títo dodávatelia softvéru snažia vyhnúť zodpovednosti tým, že trvajú na tom, že takmer všetka zodpovednosť spočíva na miestnych orgánoch alebo školách. V skutočnosti ani jeden z nich nemá právomoc ovplyvniť, ako spoločnosť Microsoft skutočne spracúva údaje používateľov. Namiesto toho čelia situácii "ber alebo nechaj tak", keď všetka rozhodovacia právomoc a zisky ležia na spoločnosti Microsoft, zatiaľ čo od škôl sa očakáva, že budú znášať väčšinu rizík. Školy nemajú reálnu možnosť vyjednávať alebo meniť podmienky.
Práva vyplývajúce z GDPR sa ignorujú. V praxi to vedie k situácii, keď sa spoločnosť Microsoft snaží zmluvne preniesť väčšinu svojich právnych povinností vyplývajúcich z nariadenia GDPR na školy, ktoré poskytujú svojim žiakom alebo študentom služby Microsoft 365 Education. To napríklad znamená, že žiadosti o prístup k údajom adresované spoločnosti Microsoft zostávajú bez odpovede - pričom školy nemajú reálnu možnosť takýmto žiadostiam vyhovieť, pretože nedisponujú potrebnými údajmi.
Maartje de Graaf, právnička pre ochranu údajov v spoločnosti noyb: "Tento prístup dodávateľov softvéru, ako je Microsoft, prenáša všetky povinnosti vyplývajúce z GDPR na školy. Microsoft má všetky kľúčové informácie o spracovaní údajov vo svojom softvéri, ale keď ide o uplatnenie práv, ukazuje prstom na školy. Školy nemajú žiadnu možnosť splniť si povinnosti týkajúce sa transparentnosti a informovanosti."
Odtrhnuté od reality. V Rakúsku, kde spoločnosť noyb podala svoje dve sťažnosti, majú miestni riaditelia údajne za úlohu určiť "účely a prostriedky" podľa článku 4 ods. 7 GDPR a zabezpečiť súlad voči medzinárodným poskytovateľom softvéru, ako je Microsoft. Výsledkom je režim súladu, ktorý je úplne odtrhnutý od reality spracovania údajov.
Maartje de Graaf, právnička v oblasti ochrany údajov v spoločnosti noyb: "Podľa súčasného systému, ktorý Microsoft školám vnucuje, by vaša škola musela vykonať audit spoločnosti Microsoft alebo jej dať pokyny, ako spracúvať údaje žiakov. Každý vie, že takéto zmluvné dojednania sú mimo reality. Nie je to nič iné ako pokus presunúť zodpovednosť za údaje detí čo najďalej od spoločnosti Microsoft."
Bludisko dokumentácie o ochrane osobných údajov. Pokúsiť sa presne zistiť, aké zásady alebo dokumenty o ochrane osobných údajov sa vzťahujú na používanie služby Microsoft 365 Education, je samo o sebe expedíciou. Je tu vážny nedostatok transparentnosti, čo núti používateľov a školy orientovať sa v spleti zásad ochrany osobných údajov, dokumentov, podmienok a zmlúv, ktoré sa na seba zrejme vzťahujú. Informácie uvedené v týchto dokumentoch sa vždy mierne líšia, ale sú neustále nejasné, pokiaľ ide o to, čo sa vlastne deje s údajmi detí, keď používajú služby Microsoft 365 Education.
Maartje de Graaf, právnička v oblasti ochrany údajov v spoločnosti noyb:"Microsoft poskytuje také nejasné informácie, že ani kvalifikovaný právnik nedokáže úplne pochopiť, ako spoločnosť spracúva osobné údaje v službe Microsoft 365 Education. Pre deti alebo ich rodičov je takmer nemožné odhaliť rozsah zhromažďovania údajov spoločnosťou Microsoft."
Tajné sledovanie detí. To však nie je jediný problém, o ktorý ide. Hoci sťažovateľka nedala súhlas so sledovaním, Microsoft 365 Education aj tak nainštaloval súbory cookie, ktoré podľa vlastnej dokumentácie spoločnosti Microsoft analyzujú správanie používateľov, zhromažďujú údaje o prehliadači a používajú sa na reklamu. Takéto sledovanie, ktoré sa bežne používa na vysoko invazívne profilovanie, sa zrejme vykonáva bez toho, aby o tom škola sťažovateľa vôbec vedela. Keďže Microsoft 365 Education je široko používaný, spoločnosť pravdepodobne sleduje všetkých neplnoletých používateľov svojich vzdelávacích produktov. Spoločnosť nemá na toto spracúvanie žiadny platný právny základ.
Felix Mikolasch, právnik pre ochranu údajov v spoločnosti noyb: "Naša analýza tokov údajov je veľmi znepokojujúca. Zdá sa, že Microsoft 365 Education sleduje používateľov bez ohľadu na ich vek. Tento postup sa pravdepodobne týka státisícov žiakov a študentov v EÚ a EHP. Orgány by mali konečne zakročiť a účinne presadzovať práva maloletých."
Týka sa to nespočetného množstva detí. noyb žiada rakúsky úrad na ochranu údajov (DSB), aby prešetril a vecne analyzoval, aké údaje spracúva Microsoft 365 Education. Ani dokumentácia o ochrane osobných údajov spoločnosti Microsoft, ani žiadosti o prístup, ani vlastný prieskum noybto nedokázali úplne objasniť, čo je v rozpore s ustanoveniami GDPR o transparentnosti. Okrem toho spoločnosť nedodržala právo na prístup. Keďže podmienky a dokumentácia o ochrane osobných údajov služby Microsoft 365 Education sú pre EÚ/EHP jednotné, všetky deti žijúce v týchto krajinách sú vystavené rovnakému porušeniu svojich práv podľa nariadenia GDPR. Spoločnosť noyb preto tiež navrhuje, aby úrad uložil spoločnosti Microsoft pokutu.
