Microsoft’un eğitim odaklı bulut üretkenlik paketi Microsoft 365 Education, gizlilik hakları konusunda kar amacı gütmeyen bir kuruluş olan Avrupa Birliği’nde soruşturmaya uğruyor. noyb Avusturya’nın veri koruma kurumuna iki şikayette bulundu.
Şikayetler Microsoft’un bulut yazılımının okullar tarafından kullanımını hedef alıyor. Bunlardan ilki şeffaflık ve yasal dayanak konularına odaklanıyor. noyb, reşit olmayanların verilerinin hukuka aykırı bir şekilde işlenmesinden endişe duyduğunu söylüyor. basın bülteni teknoloji devinin çocukların bilgilerinin nasıl kullanıldığına dair verdiği “sürekli olarak muğlak” bilgileri eleştiriyor.
Bloğun Genel Veri Koruma Yönetmeliği (GDPR), çocukların verileri için yüksek bir koruma beklentisi ortaya koymakta ve reşit olmayanların bilgileri işlendiğinde şeffaflık ve hesap verebilirliğin temel taşlar olması gerektiğini vurgulamaktadır. Ayrıca yasal bir dayanak da gereklidir. Rejimin onaylanmış ihlalleri, küresel yıllık cironun %4’üne kadar para cezasına çarptırılabilir – bu da Microsoft’un durumunda milyarlarca dolara ulaşabilir.
Gizlilik hakları grubunun şikayeti, Microsoft’u, okulların yazılımına erişmek için imzalamasını zorunlu kıldığı sözleşmeleri kullanarak çocukların bilgilerinin veri denetleyicisi olarak yasal sorumluluklarından kaçmaya çalışmakla suçluyor. noyb, okulların Microsoft’un çocukların verileriyle ne yaptığını bilemeyecekleri için AB yasalarının şeffaflık gerekliliklerine veya veri erişim haklarına uyma konumunda olmadıklarını savunuyor.
Microsoft 365 Eğitim’in fiyatı değişkenlik göstermekle birlikte, yazılım paketi belirli uygunluk kriterlerini karşılayan okullar için ücretsiz olarak sunulabilmektedir.
“Microsoft o kadar muğlak bilgiler veriyor ki, nitelikli bir avukat bile şirketin Microsoft 365 Eğitim’de kişisel verileri nasıl işlediğini tam olarak anlayamıyor. Çocukların ya da ebeveynlerinin Microsoft’un veri toplamasının kapsamını ortaya çıkarması neredeyse imkansız” dedi. noyb veri koruma avukatı Maartje de Graaf yaptığı açıklamada.
“Microsoft gibi yazılım satıcılarının bu al ya da bırak yaklaşımı, GDPR’ye ilişkin tüm sorumlulukları okullara kaydırıyor. Microsoft, veri işleme ile ilgili tüm önemli bilgileri kendi yazılımında tutuyor, ancak iş hakların kullanılmasına geldiğinde okulları işaret ediyor. Okulların şeffaflık ve bilgilendirme yükümlülüklerine uymalarının hiçbir yolu yok,” diye ekledi.
“Microsoft’un okullara dayattığı mevcut sisteme göre, okulunuz Microsoft’u denetlemek ya da öğrencilerin verilerinin nasıl işleneceği konusunda onlara talimat vermek zorunda kalacaktır. Herkes bu tür sözleşmeye dayalı düzenlemelerin gerçeklikten uzak olduğunu bilir. Bu, çocukların verilerine ilişkin sorumluluğu Microsoft’tan olabildiğince uzağa kaydırma girişiminden başka bir şey değildir.”
Salı günü noyb tarafından yapılan ikinci bir şikayet de Microsoft’u çocukları gizlice izlemekle suçluyor ve şikayetçinin izlemeye izin vermemesine rağmen Microsoft 365 Education tarafından izleme çerezlerinin yüklendiğini tespit ettiğini söylüyor. Microsoft’un belgelerine göre, bu çerezler kullanıcı davranışını analiz ediyor, tarayıcı verilerini topluyor ve reklam için kullanılıyor.
Noyb, “Genellikle son derece invaziv profilleme için kullanılan bu tür bir izleme, görünüşe göre şikayetçinin okulunun haberi bile olmadan gerçekleştiriliyor” diye yazdı. “Microsoft 365 Education yaygın olarak kullanıldığından, şirketin eğitim ürünlerini kullanan tüm reşit olmayanları takip etmesi muhtemeldir. Şirketin bu işlem için geçerli bir yasal dayanağı yoktur.”
Yine GDPR, çocukların verilerinin pazarlama amacıyla yasal kullanımı için yüksek bir çıta belirler – veri denetleyicilerinin küçüklerin bilgilerini korumak için özel dikkat göstermesini ve küçüklerin bilgilerinin herhangi bir kullanımının adil, yasal ve açıkça iletilmesini sağlamasını gerektirir.
noyb, Microsoft’un sözleşmelerinin, T&C’lerinin ve veri akışlarının bu çıtaya uymadığını iddia ediyor.
noyb’un bir diğer veri koruma avukatı Felix Mikolasch yaptığı açıklamada, “Veri akışlarına ilişkin analizimiz çok endişe verici” dedi. “Microsoft 365 Eğitim, kullanıcıları yaşlarına bakmaksızın takip ediyor gibi görünüyor. Bu uygulamanın AB ve AEA’daki yüz binlerce öğrenciyi etkilemesi muhtemeldir [European Economic Area]. Yetkililer nihayet adım atmalı ve küçüklerin haklarını etkin bir şekilde uygulamalıdır.”
noyb, Avusturya DPA’sından şikayetleri araştırmasını ve Microsoft 365 Education tarafından hangi verilerin işlendiğini belirlemesini istiyor. Ayrıca, GDPR’nin ihlal edildiğini teyit etmesi halinde yetkiliyi para cezası uygulamaya çağırıyor.
Microsoft’a noyb’un şikayeti hakkında yorum yapması için ulaşıldı ancak basın saatine kadar yanıt alınamadı.
Her ne kadar teknoloji devinin İrlanda’da bölgesel bir üssü olsa da, bu da genellikle sınır ötesi GDPR şikayetlerinin incelenmek üzere İrlanda Veri Koruma Komisyonu’na geri gönderileceği anlamına gelse de, noyb sözcüsü iki Microsoft 365 Eğitim şikayetinin “yerel olarak ilgili” niteliğini vurgulayarak Avusturya DPA’nın soruşturmaya yetkili olduğuna inandıklarını söyledi.
TechCrunch’a konuşan sözcü, “Şikayetler aslında Avusturya’da kalabilir,” dedi. “Dava Avusturya okullarını ve Avusturyalı öğrencileri ilgilendirdiği için yerel olarak çok alakalı, bu yüzden umuyoruz ki [Austrian DPA] meseleleri kendi ellerine alacaktır. Ayrıca, şikayetlerimizi Microsoft’un AB şubesi yerine ABD’deki kuruluşuna yaptık.”
Bu durum, Microsoft’a yönelik şikayetlerle ilgili daha hızlı karar alınmasına ve potansiyel yaptırımlara yol açabileceği için önemlidir.
Çocuk verilerine odaklanan GDPR şikayetleri, İrlanda’nın Meta’ya uyguladığı 405 milyon Euro’luk ceza gibi bugüne kadarki en büyük cezalardan bazılarına yol açtı, 2022 sonbaharında geri dönüyorInstagram ile ilgili küçük koruma arızaları için. Geçen yıl video paylaşım sosyal ağı TikTok’un da çocukların verilerini güvende tutmak için yasal gereklilikleri ihlal ettiği tespit edildi ve 345 milyon Avro para cezası aldı.
Bu arada Microsoft’un bulut üretkenlik paketi AB’de daha geniş bir yasal bulutun altında kalmaya devam ediyor. Mart ayında bloğun kendi 365 kullanımının GDPR’yi ihlal ettiği Avrupa Veri Koruma Denetmeni tarafından tespit edildi ve AB kurumlarına tespit edilen uyum sorunlarını gidermeleri için Aralık ayı başına kadar süre tanınarak düzeltici tedbirler uygulandı.
Alman veri koruma yetkilileri tarafından Microsoft 365 hakkında yapılan uzun bir araştırma da bir dizi sorun tespit etti 2022 sonbaharında geri dönüyor – Çalışma grubu o sırada yazılım paketini GDPR ile uyumlu bir şekilde kullanmanın bir yolu olmadığı sonucuna varmıştı.