Microsoft нарушила конфиденциальность детей, но обвинила в этом местную школу

Ориентированная на образовательные учреждения версия облачного пакета Microsoft 365 Education стала объектом расследования в Европейском Союзе. Некоммерческая организация noyb, занимающаяся защитой прав частной жизни, подала две жалобы в австрийский орган по защите данных.

В жалобах рассматривается использование облачного программного обеспечения Microsoft в школах. Первая из них посвящена вопросам прозрачности и правовой основы. Noyb заявляет, что обеспокоена незаконной обработкой данных несовершеннолетних, и в своем пресс-релизе критикует «постоянно расплывчатую» информацию о том, как используется информация о детях.

Общий регламент по защите данных (GDPR) устанавливает высокие требования к защите данных детей. Прозрачность и подотчетность должны быть основными принципами при обработке информации о несовершеннолетних. Подтвержденные нарушения могут повлечь за собой штрафы в размере до 4% от мирового годового оборота, что в случае с Microsoft может составить миллиарды долларов.

В жалобе группы по защите прав частной жизни Microsoft обвиняется в попытке уклониться от своих юридических обязанностей в качестве контролера данных детей, используя контракты, которые школы должны подписать для доступа к ее программному обеспечению, чтобы переложить на них соблюдение требований.

Noyb утверждает, что школы не в состоянии выполнить требования закона ЕС о прозрачности или права доступа к данным, поскольку они не могут знать, что Microsoft делает с данными детей. Пакет программного обеспечения Microsoft 365 Education для школ, отвечающих определенным критериям, может быть предоставлен бесплатно.

«Microsoft предоставляет настолько расплывчатую информацию, что даже квалифицированный юрист не может полностью понять, как компания обрабатывает персональные данные в Microsoft 365 Education. Детям или их родителям практически невозможно раскрыть масштабы сбора данных Microsoft», — говорится в заявлении Маартье де Грааф, юриста по защите данных из noyb.

Данный подход производителей программного обеспечения, таких как Microsoft, — «бери или уходи» — перекладывает всю ответственность за соблюдение GDPR на школы. Microsoft хранит всю ключевую информацию об обработке данных в своем программном обеспечении, но при этом указывает на школы, когда дело доходит до реализации прав.

«У школ нет возможности выполнить обязательства по прозрачности и информированию. При нынешней системе, которую Microsoft навязывает школам, школа должна будет провести аудит Microsoft или дать ей инструкции по обработке данных учеников. Известно, что подобные договорные отношения не соответствуют действительности. Это не что иное, как попытка переложить ответственность за данные детей как можно дальше от Microsoft», — говорит Грааф.

Вторая жалоба, поданная noyb, также обвиняет Microsoft в тайной слежке за детьми. Noyb утверждает, что обнаружила отслеживающие файлы cookie, которые были установлены Microsoft 365 Education, несмотря на то что заявитель не давал согласия на слежку. Согласно документации Microsoft, эти файлы cookie анализируют пользователя, собирают данные браузера и используются для рекламы, добавляет издание.

«Такое отслеживание, которое обычно используется для инвазивного профилирования, очевидно, осуществляется без ведома школы заявителя, — пишет noyb. — Поскольку Microsoft 365 Education широко используется, компания, вероятно, отслеживает всех несовершеннолетних, использующих ее образовательные продукты. У компании нет законных оснований для такой обработки».

GDPR устанавливает высокую планку для законного использования данных детей в маркетинговых целях, требуя от контролеров данных проявлять особую заботу о защите информации о несовершеннолетних и гарантировать, что любое использование информации о них является справедливым, законным и ясно изложенным. Noyb утверждает, что контракты, T&C и потоки данных Microsoft не соответствуют этому требованию.

«Наш анализ потоков данных вызывает серьезные опасения, — сказал в своем заявлении Феликс Миколаш, еще один юрист по защите данных из noyb. — Судя по всему, Microsoft 365 отслеживает пользователей независимо от их возраста. Такая практика, вероятно, затронет сотни тысяч школьников и студентов в ЕС и ЕЭЗ (Европейская экономическая зона). Власти должны вмешаться и обеспечить соблюдение прав несовершеннолетних».

Noyb просит австрийский DPA расследовать жалобы и определить, какие данные обрабатываются Microsoft 365 Education. Она также призывает орган наложить штраф, если подтвердится, что GDPR был нарушен.

Представитель Microsoft дал комментарии о жалобе noyb, по его мнению, программа соблюдает GDPR и другие применимые законы о конфиденциальности. «Мы тщательно защищаем частную жизнь наших юных пользователей и будем рады ответить на любые вопросы, которые могут возникнуть у органов по защите данных в связи с сегодняшним объявлением», — говорит он.

Региональная база компании находится в Ирландии, что означает, что жалобы на GDPR будут переданы на рассмотрение Ирландской комиссии по защите данных, представитель noyb подчеркнул «местный характер» двух жалоб на Microsoft 365 Education, заявив, что, по их мнению, австрийский DPA компетентен проводить расследование.

«На самом деле жалобы могут остаться в Австрии, — сказал представитель компании. — Дело очень актуально, поскольку касается австрийских школ и австрийских учеников, поэтому мы надеемся, что австрийский DPA возьмет дело в свои руки. Кроме того, мы подали жалобы на американское подразделение Microsoft, а не на отделение в ЕС. Это важно, поскольку может привести к более быстрому принятию решений — и потенциальному исполнению — по жалобам против Microsoft».

Жалобы на GDPR, касающиеся данных о детях, привели к одним из самых крупных штрафов на сегодняшний день, таким как штраф в размере €405 млн, наложенный Ирландией на компанию Meta* (запрещена на территории РФ) летом 2022 года за нарушения в области защиты несовершеннолетних, связанные с Instagram* (принадлежит Meta*).

В прошлом году социальная сеть для обмена видео TikTok также была признана нарушившей требования закона о защите данных детей и получила штраф в размере €345 млн.

Между тем, облачный пакет программ для повышения производительности Microsoft по-прежнему находится в Евросоюзе под более широким правовым облаком. Еще в марте Европейский орган по надзору за защитой данных признал, что использование Microsoft 365 Education в странах блока нарушает GDPR, и ввел корректирующие меры, предоставив учреждениям ЕС время до начала декабря для устранения выявленных проблем.

Длительное исследование Microsoft 365, проведенное немецкими органами по защите данных, также выявило ряд проблем осенью 2022 года, и рабочая группа пришла к выводу, что в то время не было возможности использовать пакет программ таким образом, чтобы он соответствовал GDPR.

Ранее Microsoft подтвердила, что запрещает полицейским департаментам США использовать генеративный искусственный интеллект для распознавания лиц через Azure OpenAI Service. Новый пункт распространяется на «правоохранительные органы во всем мире».