האם קיבלנו סוף סוף תשובה לשאלה מי אחראי על פרטיות המידע שלנו?
מיקרוסופט הואשמה במעקב ושימוש לא חוקי בפרטי תלמידים, ורשות הגנת המידע האוסטרית הכריעה במאבק בינה ובין ארגון מקומי
תמונה: Dreamstime
מי באמת נושא באחריות החוקית לשמירה על פרטיות המשתמשים ולמתן מענה לפי תקנות ה-GDPR – ספקית הפלטפורמה (מיקרוסופט), או הארגונים שעושים בה שימוש? על השאלה הזו ניסתה לענות רשות הגנת המידע באוסטריה, בעקבות מאבק אליו הגיעו מיקרוסופט וארגון noyb, ארגון ללא מטרות רווח שפועל באוסטריה ומטרתו "להבטיח שהזכות הבסיסית לפרטיות תכובד על ידי המגזר הפרטי".
במאבק, שתכף נגלה לכם מי ניצחה בו, התווכחו הצדדים השונים על חלוקת האחריות לפרטיות המשתמשים: האם היא מונחת על מיקרוסופט כספקית, או שדווקא אצל משתמש הקצה, במקרה הנוכחי בתי ספר שהשתמשו בפלטפורמת Education 365 בזמן מגפת הקורונה. לטענת noyb, מיקרוסופט עקבה באופן לא חוקי אחרי תלמידים דרך הפלטפורמה ואף עשתה שימוש בנתונים שנאספו עליהם.
הפנייה לרשות הגיעה כאמור כבר בזמן מגפת הקורונה, אז למידה מרחוק הפכה לעניין גלובלי, כשבתי ספר בכל העולם עברו למתכונת של לימודים דרך יישומי וידאו שונים. לטענת הארגון, "מיקרוסופט העבירה את כל האחריות לעמידה בחוקי פרטיות אל בתי הספר והרשויות הלאומיות, שאין להם כמעט שום שליטה אמיתית על השימוש בנתוני תלמידים".
קרב האשמות בלתי נגמר
בארגון ציינו כי לאחר שבקשה לקבלת גישה לנתונים הועברו לענקית מרדמונד, "הדבר הוביל למעגל של האשמות הדדיות. מיקרוסופט הפנתה את המתלונן לבית הספר המקומי". אותו בית הספר אבל לא יכול היה לספק מעבר למידע מועט ובסיסי וזאת מאחר ולא הייתה לו גישה למידע שכן היה שמור אצל מיקרוסופט. כתוצאה מכך, הוגשה תלונה נגד בית הספר, הרשויות החינוכיות המקומיות והלאומיות וגם נגד מיקרוסופט עצמה.
ההחלטה של הרשות להגנת המידע באוסטריה לא ממש הותירה מקום לספק והטילה את האחריות על מיקרוסופט: "מיקרוסופט, כ'בעלת שליטה על הנתונים', הפרה את זכות הגישה של המתלונן (סעיף 15 לתקנות ה-GDPR), בכך שלא סיפקה מידע שלם בנוגע לנתונים שעובדו במהלך השימוש ב-Microsoft Education 365". בעקבות ההחלטה, מיקרוסופט נדרשת כעת לספק מידע מלא על הנתונים שהועברו אליה וכן לחשוף האם הנתונים הועברו לגורמים שלישיים.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
בניסיון להרחיק את האחריות ממנה והלאה, טענה מיקרוסופט כי החברה האחראית על Microsoft 365 היא הסניף שלה באירלנד ולכן הסמכות הרגולטורית היא בידי אירלנד. אלא שלפי ארגון noyb, רשות הגנת המידע האוסטרית דחתה את הטענה הזו, וקבעה כי מיקרוסופט ארה"ב היא זו שמקבלת את ההחלטות בפועל.
עם זאת, גם בתי הספר והרשויות לא יצאו נקיים: הרשות קבעה שבית הספר והרשויות הפדרליות לחינוך הפרו גם הם את חובתם לספק מידע, ועליהם להעביר למתלונן פרטים מלאים על אופן עיבוד הנתונים בתוך עשרה שבועות.
דובר מיקרוסופט מסר בתגובה לפרסום המידע באוסטריה כי "Microsoft 365 for Education עומדת בכל תקני הגנת המידע הנדרשים, ומוסדות חינוך יכולים להמשיך להשתמש בה בהתאם לתקנות ה-GDPR. נבחן את החלטת רשות הגנת המידע האוסטרית ונחליט על הצעדים הבאים בהמשך".
