Koncern Microsoft może na wielką skalę dopuszczać się inwigilacji szkół w Europie oraz ich uczniów. Tak twierdzi w swojej skardze organizacja NOYB (akronim od „None Of Your Business”), znana też jako Europejskie Centrum Praw Cyfrowych.
Źródłem problemu ma być powszechne wykorzystanie w szkołach w Europie narzędzi firmy, w tym zwłaszcza pakietu Microsoft 365 Education. Programy te przetwarzają i mają dostęp do ogromnej ilości personalnych danych dzieci korzystających z nich w szkołach.
Mają dostęp – ale nie wiadomo, co z nimi właściwie robi. Jak twierdzi NYOB, oprogramowanie funkcjonuje bowiem w taki sposób, by uniemożliwić zorientowanie się, co w istocie dzieje się z danymi (nie tylko zresztą w tej, ale także w innych dziedzinach). Aktywiści organizacji mieli podejmować próby zbadania tegoż – i spełzły one na niczym.
Odpowiedzi (poza ogólnikowymi) nie daje tutaj też oficjalna dokumentacja Microsoftu dot. ochrony prywatności. Kierowane do firmy wnioski o dostęp pozostawały zaś bez efektywnej reakcji. Słowem, nic nie wiadomo i nic się nie da zrobić. To jednak, jak zarzuca organizacja, stoi w sprzeczności z europejskimi przepisami o ochronie danych osobowych (GDPR, alias słynne RODO).
Microsoft: to nie my, to szkoły…
NYOB twierdzi, że Microsoft w śliski sposób unika podporządkowania się przepisom. Ma to czynić, spychając zobowiązania dot. zapewnienia prywatności i klarowności sposobów użycia danych na szkoły, które korzystają z oprogramowania.
Twierdząc, że samemu nie wchodzi w interakcje ze właścicielami danych osobowych (tj. dziećmi), firma unika w ten sposób spełnienia prawnych zobowiązań w zakresie prywatności. Jednocześnie to ona jest jedynym podmiotem fizycznie do tego zdolnym. Szkoły bowiem, które korzystają z Microsoft 365 Education, pozyskać mogą co najwyżej licencję na użytkownie oprogramowania.
W żaden sposób nie mają jednak dostępu do jego kodu źródłowego ani też nie wiedzą, jak w istocie działają jego algorytmy. Mogą więc jedynie zapewniać rodziców, że „starają się” ochronić prywatność ich dzieci. Nie mają jednak żadnego wpływu na to, co faktycznie Microsoft robi z ich danymi.
Jak twierdzi Maartje de Graaf, jedna z prawników NYOB, firma świadomie doprowadza w ten sposób do sytuacji, w której „nie da się” honorować wymogów dot. ochrony prywatności. Zaś inny prawnik organizacji, Felix Mikolasch, dodaje, że jest to oczywisty wybieg, mający pozwolić firmie bezkarnie śledzić i korzystać z danych dzieci szkolnych. Do czego, jak twierdzi, nie ma ona prawa.
Sztuka lakoniczności
Ze swej strony rzecznik Microsoftu w uprzejmym, choć nader lakonicznym komentarzu odparł zarzuty. Stwierdził, że 365 Education „w pełni podporządkowuje się przepisom dot. wykorzystania danych”, w tym GDPR. Zadeklarował też, że firma „chętnie” odpowie na wszelkie możliwe pytania organów ochrony prywatności.
Ze względu na miejsce rejestracji NYOB, skargę złożono w Austrii, choć z potencjalnymi skutkami także dla innych krajów UE. We wniosku, który we wtorek wpłynął do Austriackiego Urzędu Ochrony Danych, NYOB domaga się śledztwa przeciwko Microsoftowi na podstawie artykułu 77 rozporządzenia GDPR.
Jako współoskarżone we wniosku figurują austriackie władze edukacyjne, które miały dopuścić do takiej sytuacji poprzez zaniechanie. Skądinąd nie jest to pierwszy raz, kiedy pakiet Microsoft 365 znajduje się w centrum uwagi w podobnej sytuacji.
Nie tak dawno Europejski Inspektor Ochrony Danych stwierdził, że analogicznej nieodpowiedzialności co austriackie szkoły dopuszczała się również Komisja Europejska. We własnej instytucjonalnej osobie. Miała ona pozwolić, by jej wrażliwe dane lądowały za pośrednictwem Microsoft 365 na serwerach w USA.