Австрийският орган за защита на данните (Datenschutzbehörde, DSB) постанови, че Microsoft нарушава законодателството на ЕС за защита на личните данни (GDPR), като проследява ученици, използващи Microsoft 365 Education, и използва техните данни за собствени цели.

Жалба от непълнолетен ученик, подкрепен от noyb

Случаят започва след жалба, подадена от непълнолетен ученик, представляван от организацията за защита на личните данни noyb (създадена от активиста Макс Шремс). Microsoft е отказала да предостави на жалбоподателя пълен достъп до данните, които обработва чрез неговия акаунт в Microsoft 365 Education, като го е препратила към училището му.

Проблемът е, че училището няма достъп до всички данни, които Microsoft събира, и е успяло да предостави само частична информация. Това представлява нарушение на член 15 от GDPR, който гарантира правото на гражданите да имат пълен достъп до своите лични данни.

Незаконни tracking cookies и липса на прозрачност

След разследване DSB установява няколко нарушения на GDPR. На първо място, Microsoft е използвала tracking cookies в Microsoft 365 Education без съгласие на потребителите, което е незаконно. И училището, и регионалният образователен департамент заявяват, че не са били уведомени за съществуването на тези проследяващи механизми преди подаването на жалбата.

Регулаторът е наредил на Microsoft да изтрие всички съответни лични данни, събрани без съгласие.

На второ място, компанията не е осигурила пълен достъп до данните на жалбоподателя, нарушавайки принципа на прозрачност. Според решението Microsoft трябва да предостави пълен достъп и ясно обяснение какви бизнес цели се обслужват чрез събирането и обработката на тези данни.

Реакции и последствия за образователните институции

„Решението на австрийския DSB подчертава липсата на прозрачност в Microsoft 365 Education. За училищата е почти невъзможно да информират учениците, родителите и учителите какво се случва с техните данни,“ коментира Феликс Миколаш, адвокат по защита на данните в noyb.

Макс Шремс, председател на noyb, допълва:

„Големите технологични компании се стремят да запазят цялата власт, като прехвърлят отговорността върху европейските си клиенти. Ако Microsoft не промени из основи начина, по който са структурирани нейните продукти, европейските организации няма да могат да изпълняват задълженията си по GDPR.“

Потенциално въздействие и за други потребители

Макар решението на DSB да се отнася до конкретен случай, експертите смятат, че то има по-широки последици за всички институции и компании, използващи Microsoft 365 в Европа. То подчертава необходимостта образователните организации да прегледат договорите си с доставчици на облачни услуги, за да се гарантира пълно съответствие с GDPR.