Почему Microsoft перекидывает на других ответственность за сохранность данных?
Евросоюз начал расследование в отношении Microsoft 365 Education из-за возможных нарушений конфиденциальности. Некоммерческая правозащитная организация None of Your Business (NOYB) — это некоммерческая организация, основанная в 2018 году в Вене, Австрия, адвокатом и активистом по защите данных Максом Шремсом. Основная цель NOYB — это защита частной жизни и прав потребителей в сфере цифровой технологии и интернета. Организация занимается расследованием и подачей судебных исков против крупных технологических компаний и интернет-сервисов в случаях нарушения законов о защите данных и частной жизни. NOYB также проводит образовательные мероприятия и информационные кампании, чтобы повысить осведомленность о вопросах, связанных с конфиденциальностью и безопасностью данных в интернете." data-html="true" data-original-title="NOYB" >NOYB подала две жалобы в австрийский орган по защите данных.
Первое расследование сосредоточено на вопросах прозрачности и законности использования данных. В NOYB выражают обеспокоенность тем, что данные несовершеннолетних обрабатываются незаконно. В пресс-релизе организации указывается, что предоставляемая Microsoft информация о том, как используются данные детей, является «расплывчатой».
Общие положения GDPR — это регламент, введенный ЕС в 2018 году для того, чтобы дать пользователям больше контроля над своими личными данными. Он применяется ко всем организациям, которые обрабатывают личные данные жителей ЕС. Компании должны выполнять следующие требования:<br> <ul> <li>получать согласие пользователя на обработку персональных данных;</li> <li>предоставлять свободный доступ к данным;</li> <li>принимать меры безопасности;</li> <li>уведомлять соответствующие органы об утечках данных;</li> <li>назначать ответственного за организацию обработки персональных данных (DPO).</li> </ul> Несоблюдение правил регламента может привести к крупным штрафам." data-html="true" data-original-title="GDPR" >GDPR требуют высокого уровня защиты данных детей, а также прозрачности и подотчетности при их обработке. Также необходима законная основа для такой обработки. Подтвержденные нарушения могут повлечь штрафы до 4% от глобального годового оборота компании, что для Microsoft может означать миллиарды долларов.
NOYB обвиняет Microsoft в попытке избежать своих юридических обязательств как контролера данных детей, перекладывая ответственность на школы через контракты. В NOYB считают, что школы не могут выполнять требования ЕС по прозрачности и правам доступа к данным, так как они не знают, что именно Microsoft делает с данными детей.
Облачный пакет Microsoft 365 Education может предлагаться бесплатно школам, соответствующим определенным критериям. NOYB утверждает, что предоставляемая информация настолько неясна, что даже квалифицированный юрист не может полностью понять, как компания обрабатывает персональные данные.
«Подход "принимай или уходи", который используют такие поставщики программного обеспечения, как Microsoft, перекладывает все обязанности по соблюдению GDPR на школы. Microsoft обладает всей ключевой информацией о процессе обработки данных, но возлагает ответственность на школы при реализации прав», — добавили в NOYB.
Второе обвинение от NOYB утверждает, что Microsoft тайно отслеживает детей. По данным организации, в Microsoft 365 Education используются куки отслеживания, несмотря на отсутствие согласия на таковое. Куки собирают данные о поведении пользователей в браузере, а также используются для рекламы.
NOYB заявляет, что такие методы отслеживания осуществляются без ведома школ и без законного основания, что противоречит стандартам GDPR для использования данных детей в маркетинговых целях. Более того, как отмечает NOYB, Microsoft 365 Education отслеживает пользователей независимо от их возраста, что может затронуть сотни тысяч учеников и студентов в ЕС и ЕЭЗ.
NOYB просит австрийский надзорный орган (DPA) расследовать жалобы и определить, какие данные обрабатываются в Microsoft 365 Education. Организация также настаивает на наложении штрафа, если будут подтверждены нарушения GDPR.
Представитель Microsoft заявил, что Microsoft 365 Education соответствует GDPR и другим применимым законам о конфиденциальности, и компания готова ответить на любые вопросы агентств по защите данных.
Хотя у Microsoft есть региональная база в Ирландии, что обычно приводит к передаче трансграничных жалоб на рассмотрение Ирландской комиссии по защите данных, представитель NOYB подчеркнул, что жалобы касаются австрийских школ и учеников, и надеется, что австрийский DPA самостоятельно расследует дело.
Жалобы, связанные с данными детей, уже приводили к значительным штрафам, например, штраф в размере 405 миллионов евро, наложенный на Meta* за нарушения в защите данных несовершеннолетних в Instagram в 2022 году.
*Meta и все продукты компании признаны экстремистскими организациями; их деятельность в России запрещена.
