Корпорация рискует штрафом в миллиарды за сомнительную прозрачность в работе с данными школьников.
Евросоюз начал расследование в отношении Microsoft 365 Education из-за возможных нарушений конфиденциальности. Некоммерческая правозащитная организация NOYB подала две жалобы в австрийский орган по защите данных.
Первое расследование сосредоточено на вопросах прозрачности и законности использования данных. В NOYB выражают обеспокоенность тем, что данные несовершеннолетних обрабатываются незаконно. В пресс-релизе организации указывается, что предоставляемая Microsoft информация о том, как используются данные детей, является «расплывчатой».
Общие положения GDPR требуют высокого уровня защиты данных детей, а также прозрачности и подотчетности при их обработке. Также необходима законная основа для такой обработки. Подтвержденные нарушения могут повлечь штрафы до 4% от глобального годового оборота компании, что для Microsoft может означать миллиарды долларов.
NOYB обвиняет Microsoft в попытке избежать своих юридических обязательств как контролера данных детей, перекладывая ответственность на школы через контракты. В NOYB считают, что школы не могут выполнять требования ЕС по прозрачности и правам доступа к данным, так как они не знают, что именно Microsoft делает с данными детей.
Облачный пакет Microsoft 365 Education может предлагаться бесплатно школам, соответствующим определенным критериям. NOYB утверждает, что предоставляемая информация настолько неясна, что даже квалифицированный юрист не может полностью понять, как компания обрабатывает персональные данные.
«Подход "принимай или уходи", который используют такие поставщики программного обеспечения, как Microsoft, перекладывает все обязанности по соблюдению GDPR на школы. Microsoft обладает всей ключевой информацией о процессе обработки данных, но возлагает ответственность на школы при реализации прав», — добавили в NOYB.
Второе обвинение от NOYB утверждает, что Microsoft тайно отслеживает детей. По данным организации, в Microsoft 365 Education используются куки отслеживания, несмотря на отсутствие согласия на таковое. Куки собирают данные о поведении пользователей в браузере, а также используются для рекламы.
NOYB заявляет, что такие методы отслеживания осуществляются без ведома школ и без законного основания, что противоречит стандартам GDPR для использования данных детей в маркетинговых целях. Более того, как отмечает NOYB, Microsoft 365 Education отслеживает пользователей независимо от их возраста, что может затронуть сотни тысяч учеников и студентов в ЕС и ЕЭЗ.
NOYB просит австрийский надзорный орган (DPA) расследовать жалобы и определить, какие данные обрабатываются в Microsoft 365 Education. Организация также настаивает на наложении штрафа, если будут подтверждены нарушения GDPR.
Представитель Microsoft заявил, что Microsoft 365 Education соответствует GDPR и другим применимым законам о конфиденциальности, и компания готова ответить на любые вопросы агентств по защите данных.
Хотя у Microsoft есть региональная база в Ирландии, что обычно приводит к передаче трансграничных жалоб на рассмотрение Ирландской комиссии по защите данных, представитель NOYB подчеркнул, что жалобы касаются австрийских школ и учеников, и надеется, что австрийский DPA самостоятельно расследует дело.
Жалобы, связанные с данными детей, уже приводили к значительным штрафам, например, штраф в размере 405 миллионов евро, наложенный на Meta* за нарушения в защите данных несовершеннолетних в Instagram в 2022 году.
*Meta и все продукты компании признаны экстремистскими организациями; их деятельность в России запрещена.
Большой взрыв знаний каждый день в вашем телефоне