Microsoft обвинили в "незаконной" слежке за студентами с помощью 365 Education: Что это решение означает для конфиденциальности данных

Microsoft столкнулась с серьезной проблемой конфиденциальности в Европе после того, как Австрийский орган по защите данных постановил, что компания "незаконно" отслеживала студентов на своей платформе 365 Education. Решение последовало за жалобой, поданной австрийской группой noyb, защищающей неприкосновенность частной жизни. Группа утверждала, что Microsoft не предоставила учащимся доступ к их личным данным и переложила ответственность за соблюдение GDPR на школы.

По мнению noyb, проблема возникла еще во время пандемии COVID-19, когда школы перешли на Microsoft 365 для дистанционного обучения. Вместе с новой учебной платформой появился и новый риск конфиденциальности, поскольку данные учеников проходили через корпоративный облачный сервис.

Когда студент подавал жалобу и требовал доступа к своим данным, Microsoft направлял его в местную школу. Такая схема была сложной, поскольку школа могла предложить лишь ограниченную информацию.

Регулятор постановил, что такой подход нарушает Статью 15 GDPR, заявив, что Microsoft, как контроллер данных, должен предоставить полную информацию о том, как обрабатываются данные пользователя и передаются ли они третьим лицам.

Австрийский орган власти также предписал Microsoft разъяснить такие технические термины, как "внутренняя отчетность", "бизнес-моделирование" и "улучшение основной функциональности". В то же время, национальным и федеральным органам управления образованием было приказано обеспечить аналогичную прозрачность в течение десяти недель.

Компания Microsoft заявила, что "Microsoft 365 для образования соответствует всем необходимым стандартам защиты данных", и отметила, что пересмотрит решение. Однако юрист по защите данных Макс Шремс (Max Schrems) из компании noyb утверждает, что этот случай подчеркивает более широкую проблему. "Поставщики больших технологий пытаются получить всю власть, но переложить всю ответственность на европейских клиентов", - сказал Шремс.

Лидер в области корпоративного программного обеспечения также утверждал, что его филиал в Ирландии отвечает за 365 Education и что юрисдикция распространяется на него. Однако австрийские власти отвергли это утверждение, заявив, что ключевые решения принимались в Microsoft US.

Это дело подчеркивает растущую глобальную озабоченность тем, как крупные технологические компании обращаются с данными, собранными от несовершеннолетних в образовательных учреждениях, особенно после пандемии, когда все больше студентов зависят от таких инструментов, как Microsoft 365 и Google Classroom для удаленного обучения. Если это решение будет поддержано, оно может изменить подход технологических компаний к ответственности за данные в европейском секторе образования.