Microsoft podglądał uczniów. To nielegalne - grzmi urząd
Austriacki organ ochrony danych uznał, że Microsoft 365 Education nielegalnie śledzi uczniów i wykorzystuje ich dane osobowe do własnych celów biznesowych. Decyzja ma potencjalnie daleko idące konsekwencje dla milionów użytkowników w całej Europie.
Ciasteczka śledzące były trochę zatrute
Sprawa rozpoczęła się od skargi złożonej przez organizację noyb w 2024 roku. Austriackie władze ustaliły, że Microsoft 365 Education używa ciasteczek śledzących bez zgody użytkowników, co narusza przepisy RODO. Co szczególnie niepokojące, zarówno szkoła, jak i austriackie Ministerstwo Edukacji twierdziły podczas postępowania, że nie wiedziały o istnieniu tych ciasteczek.
Microsoft został zobowiązany do usunięcia wszystkich danych osobowych zebranych w ten sposób. Ponadto firma naruszyła prawo dostępu do danych przewidziane w artykule 15 RODO, nie udzielając pełnych informacji o przetwarzanych danych.
Ustalono, że Microsoft, jako kontroler, naruszył prawo skarżącego do dostępu (art. 15 RODO) poprzez nieudzielenie pełnych informacji o danych przetwarzanych podczas korzystania z Microsoft Education 365.
Microsoft próbował przerzucać odpowiedzialność
Austriacki regulator odrzucił próby Microsoftu przerzucenia odpowiedzialności na szkoły i instytucje edukacyjne. Podczas pandemii COVID-19 wiele szkół szybko przeszło na rozwiązania chmurowe, ale Microsoft przeniósł całą odpowiedzialność za zgodność z prawem prywatności na lokalne placówki.
Gdy uczeń próbował uzyskać dostęp do swoich danych osobowych, Microsoft skierował go do szkoły, która z kolei nie mogła udzielić pełnych informacji, ponieważ nie ma dostępu do danych przechowywanych przez Microsoft.
Microsoft wywołany do tablicy
Microsoft musi teraz szczegółowo wyjaśnić, co oznacza wykorzystywanie danych uczniów do takich celów jak „modelowanie biznesowe” czy „efektywność energetyczna”. Firma zobowiązana jest również ujawnić, czy przekazywała dane osobowe LinkedIn, OpenAI lub firmie reklamowej Xandr.
Austriacki regulator odrzucił także argument Microsoftu, że za produkty Microsoft 365 w Europie odpowiada irlandzka spółka zależna. Władze uznały, że kluczowe decyzje podejmuje amerykański Microsoft.
Microsoft zapowiedział przegląd decyzji i stwierdzenie dalszych kroków, podkreślając jednocześnie, że Microsoft 365 for Education spełnia wszystkie wymagane standardy ochrony danych.
Microsoft 365 for Education spełnia wszystkie wymagane standardy ochrony danych, a instytucje z sektora edukacji mogą nadal z niego korzystać zgodnie z RODO. Dokonamy przeglądu decyzji austriackiego organu ochrony danych i w odpowiednim czasie podejmiemy decyzję o kolejnych krokach.
