NOYB zwróciła się do austriackiego organu nadzorującego prywatność o zbadanie wykorzystania Microsoft Education 365.
Według grupy, która dzisiaj (4 czerwca) złożyła formalną skargę w tej sprawie do austriackiego organu regulacyjnego, oprogramowanie edukacyjne firmy Microsoft szeroko stosowane w szkołach na całym kontynencie prawdopodobnie śledzi setki tysięcy europejskich uczniów.
NOYB zwróciła się do organu nadzoru o zbadanie, jakie dane są przetwarzane przez Microsoft 365 Education – produkt powszechnie używany w szkołach – twierdząc, że ani dokumentacja firmy dotycząca prywatności, prośby o dostęp, ani własne badania NOYB nie są w stanie w pełni tego wyjaśnić, co narusza przepisy dotyczące przejrzystości ogólnego rozporządzenia o ochronie danych (RODO).
NOYB twierdzi, że dostawcy oprogramowania, tacy jak amerykański gigant technologiczny Microsoft, ignorują prawa wynikające z RODO, „zrzucając” odpowiedzialność prawną wynikającą z unijnych przepisów o ochronie prywatności na szkoły dostarczające oprogramowanie do celów edukacyjnych.
„Microsoft przechowuje wszystkie kluczowe informacje na temat przetwarzania danych w swoim oprogramowaniu, ale wskazuje palcem szkoły, jeśli chodzi o korzystanie z praw. Szkoły nie mają możliwości wywiązania się z obowiązków w zakresie przejrzystości i informacji” – stwierdziła Maartje de Graaf, prawniczka ds. ochrony danych w NOYB.
Felix Mikolasch, inny prawnik zajmujący się ochroną danych w NOYB, stwierdził, że oprogramowanie śledzi również użytkowników niezależnie od ich wieku. „Ta praktyka prawdopodobnie dotknie setki tysięcy uczniów i studentów w UE i EOG. Władze powinny w końcu zintensyfikować działania i skutecznie egzekwować prawa nieletnich” – stwierdził.
Rzecznik Microsoftu powiedział, że produkt „jest zgodny z RODO i innymi obowiązującymi przepisami dotyczącymi prywatności” oraz że firma dokładnie chroni prywatność swoich młodych użytkowników.
„Chętnie odpowiemy na wszelkie pytania, jakie agencje ochrony danych mogą mieć w związku z dzisiejszym ogłoszeniem” – dodał rzecznik.
Decyzje dotyczące adekwatności
To nie pierwszy raz, kiedy produkty Microsoftu znalazły się pod uwagą organów regulacyjnych zajmujących się ochroną prywatności. W marcu Europejski Inspektor Ochrony Danych (EIOD), który nadzoruje kwestie ochrony danych w instytucjach UE, nakazał Komisji Europejskiej dostosowanie korzystania z programów biurowych Microsoft 365 do zasad prywatności.
EIOD stwierdził, że Komisja naruszyła przepisy UE, w tym przepisy dotyczące przekazywania danych osobowych poza UE lub Europejski Obszar Gospodarczy (EOG), ponieważ w umowie z Microsoft dyrektor nie określił w wystarczającym stopniu, jakie rodzaje danych osobowych mają być gromadzone i w jakim celu cele.
RODO nakłada surowe ograniczenia na dane osobowe, zabraniając ich udostępniania krajom, które nie zapewniają równoważnego poziomu ochrony. Umowa o przekazywaniu danych między UE a USA została unieważniona w 2015 r. przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) po tym, jak austriacki prawnik ds. prywatności Max Schrems – założyciel NOYB – zakwestionował ją, to samo stało się z zastępczymi ramami przesyłania danych.
Stany Zjednoczone oficjalnie odzyskały status „adekwatności” w lipcu 2023 r., po wydaniu przez rząd USA rozporządzenia wykonawczego ograniczającego gromadzenie danych w UE do „niezbędnych i proporcjonalnych” poziomów.
