Već dugo traje rasprava o tome u kojoj su mjeri Microsoftovi proizvodi Windows 10, Windows 11 i Microsoft Office (365) kompatibilni sa zakonodavstvom EU o zaštiti podataka i Općom uredbom o zaštiti podataka (GDPR). Isto pitanje se postavlja za korištenje spomenutih alata u školama i obrazovnim ustanovama.
Dosadašnji zaključak nadzornih tijela u EU je da proizvodi nisu u skladu s GDPR-om kada su isporučeni (out-of-the-box) i moraju biti opsežno prilagođeni za korištenje u tvrtkama. U međuvremenu, Microsoft je povezao svoje Windows 10/11 i Microsoft Office 365 proizvode s drugim aplikacijama u proizvodu Microsoft 365 povezanih s oblakom. I što se dogodilo...
-Njemačka-
…OD RUJNA 2020.
DSK je 2020. primio na znanje procjenu Uvjeta mrežne usluge (OST) Administrativne radne skupine na kojima se temelji korištenje usluge u oblaku Microsoft Office 365 (sada: Microsoft 365) i Odredbe o zaštiti podataka za Microsoft Online Usluge (Dodatak o obradi podataka / DPA). U pogledu usklađenosti sa zahtjevima članka 28. stavka 3. Opće uredbe o zaštiti podataka (GDPR) tadašnja procjena AK Verwaltunga bila je "da na temelju ovih dokumenata nije moguća upotreba Microsoft Office 365, odnosno da ona nije usklađena sa zaštitom podataka".
U međuvremenu je došlo do razgovora između njemačkih službenika za zaštitu podataka nekih država i Microsofta o naknadnom poboljšanju odredbi o zaštiti podataka u pogledu pojedinačnih aktivnosti obrade.
No priča tu ne staje…
SITUACIJA U 2022.
Sažetak izvješća DSK radne skupine o Microsoft 365 navodi:
„… dokaz o tome da voditelji obrade podataka upravljaju Microsoftom 365 u skladu sa zakonom o zaštiti podataka ne može se pružiti na temelju "Dodatka o zaštiti podataka od 15. rujna 2022." koji je dostavio Microsoft. Konkretno, sve dok se ne uspostavi potrebna transparentnost o obradi osobnih podataka iz naručenih obrada za Microsoftove vlastite potrebe i dok se ne dokaže njezina zakonitost, taj se dokaz ne može pružiti. “
Zaključak nadzornog tijela: Proizvodi sadržani u Microsoft 365 ne mogu se koristiti u školama, obrazovnim ustanovama i tvrtkama na način koji je u skladu sa zaštitom podataka, što u priopćenju ističe i savezni povjerenik za zaštitu podataka Ulrich Kelber (Njemačka).
RUJAN 2022.
Na 104. konferenciji o zaštiti podataka, DPC, s obzirom na trenutnu procjenu zaštite podataka, dolazi do već gore izvedenog zaključka da se proizvodi ne mogu koristiti u skladu s GDPR-om. Citat iz sažetka:
„Ono što se nije moglo konačno razjasniti te je bilo središnje i ponavljajuće pitanje u nizu rasprava je nemogućnost određenja u kojim slučajevima Microsoft djeluje kao izvršitelj obrade, a u kojim kao voditelj obrade. Navedena razlika je važna jer voditelji obrade moraju biti u poziciji da u svakom trenutku ispunjavaju svoje obveze i odgovornosti prema članku 5. stavku 2. GDPR-a.“
„Pri korištenju Microsoft 365 i dalje se mogu očekivati poteškoće u tom smislu na temelju "dodatka za zaštitu podataka", jer Microsoft ne otkriva u potpunosti koje se operacije obrade odvijaju.“
„Nadalje, Microsoft ne otkriva u potpunosti koje se obrade odvijaju u ime kupca ili koje se odvijaju za vlastite potrebe. Ugovorni dokumenti u tom pogledu nisu precizni i ne dopuštaju konačnu ocjenu obrade, koja može biti čak i opsežna, uključujući i analizu potrebe kupca.“
Dakle, čak i nakon Microsoftovih ispravaka i dopuna, njemačka tijela za zaštitu podataka nisu imala izbora nego zaključiti da se Microsoft 365 ne može koristiti u skladu sa propisima o zaštiti podataka. Sažeto, nadzorno tijelo ističe da ti dokumenti ne pružaju potrebnu transparentnost da se može saznati koje podatke američka tvrtka može koristiti "za vlastite potrebe", a koje ne. Na nekim mjestima još uvijek nije moguće procijeniti koje se informacije i dijagnostičke vrijednosti još uvijek prikupljaju i prenose Microsoftu. Time je također nemoguće provjeriti jesu li svi koraci zakoniti u smislu GDPR-a.
TIJELA ZA ZAŠTITU PODATAKA MORAJU RAZMOTRITI POJEDINAČNE SLUČAJEVE
Dr. Ulrich Kelber najavio je da će nadležna tijela "morati razraditi pojedinačno slučajeve kako bi vidjeli je li ipak moguće postići usklađenost sa zaštitom podataka". Navedeno se vrti oko rukovanja biometrijskim, dijagnostičkim i telemetrijskim podacima. Prema Kelberu, korištenje se može preporučiti ako se provodi mikro-virtualizacija ili se između toga doda proxy poslužitelj kako bi se spriječilo slanje ovih podataka Microsoftu.
Prema Golemu, Kelber sumnja da se Microsoft 365 može koristiti "samo tako na računalu bez daljnjih zaštitnih mjera". To znači da javna tijela, obrazovne ustanove i tvrtke trenutno krše GDPR kada koriste Microsoft 365.
NAPREDAK DA, ISKORAK NE
Heise spominje izjave njemačkog povjerenika za zaštitu podataka, dr. Ulricha Kelbera, koji je rekao da je Microsoft napravio "napredak u pojedinačnim točkama" s novom verzijom svog ugovora o obradi iz rujna 2022. U Dodatku o zaštiti podataka o Microsoftovim proizvodima i uslugama (DPA), standardne ugovorne klauzule Komisije EU (u odnosu na odluku Europskog suda pravde (ECJ) u presudi Schrems II) doista su usvojene. No zapravo, nema pomaka jer je potrebno dokazati to da je implementacija usklađena sa zaštitom podataka.
Microsoft se već dvije godine suočava s problemom prilagodbe svog Microsoft 365 i ugovora o zaštiti podataka kako bi bili u skladu s Općom uredbom o zaštiti podataka. No, već dvije godine Microsoftu to nije uspjelo.
-Francuska-
Francuski ministar nacionalnog obrazovanja i mladeži rekao je da se besplatne verzije Microsoft Officea 365 i Google Workspace-a ne bi trebale koristiti u školama – što je stav koji odražava stalnu europsku zabrinutost oko suvereniteta podataka u oblaku, konkurencije i pravila o privatnosti.
U kolovozu se Philippe Latombe, član francuske Nacionalne skupštine, obratio se Papu Ndiayeu, ministru nacionalnog obrazovanja, da besplatna verzija Microsoft Officea 365, iako je privlačna, predstavlja oblik ilegalnog pohranjivanja i obrade podataka. Pitao je ministra obrazovanja što namjerava učiniti s obzirom na problem prijenosa podataka koji je povezan s pohranjivanjem osobnih podataka u američkom cloud servisu.
Ovo se također odnosi na druge besplatne ponude kao što je i Google Workspace for Education. Plaćene verzije ovih usluga u oblaku mogle bi biti opcija ako već nisu bile zabranjene zbog zabrinutosti oko sigurnosti podataka.
Francuske vlasti smatraju Microsoft-ove i Google-ove usluge u oblaku koje pohranjuju podatke u SAD-u nesukladnima s europskim propisima o podacima poput GDPR-a i sa "Schrems II" – presudom iz 2020. Suda Europske unije koja uređuje dijeljenje podataka preko granica.
Odlukom "Schrems II" poništen je Sporazum o zaštiti privatnosti SAD-EU jer je CJEU utvrdio da američki zakon nije u skladu sa standardima privatnosti u Europi.
Dana 15. rujna 2021., Nadi Bou Hanna, direktorica DINUM-a, francuskog međuministarskog digitalnog odjela, rekla je da francuske vladine agencije koje razmatraju usluge u oblaku kao zamjenu ureda i proizvoda za razmjenu poruka na vladinim poslužiteljima poput Exchangea ne bi trebale koristiti Office 365 jer nije u skladu s francuskom inicijativom i mišljenjima nadzornih tijela.
Citirajući stajalište DINUM-a, premijerovu politiku "Oblak u središtu" i bilješku Nacionalnog povjerenstva za računarstvo i slobode (CNIL) iz svibnja 2021. u kojoj se visokim učilištima savjetuje da koriste usluge u oblaku koje poštuju GDPR, Ministarstvo obrazovanja u listopadu 2021. poručilo je da savjetuje akademijama da izbjegavaju bilo kakvu implementaciju Officea 365 ili Google Workspacea.
Njemački organi za zaštitu podataka došli su do sličnog zaključka 2019. kada su zabranili Microsoft Office 365 u učionicama u pokrajini Hessen.
Google nije odgovorio na zahtjev za komentar.
Microsoft je odbio sve ovo komentirati. Međutim, najavio je Microsoft Cloud for Sovereignty, uslugu koja će korisnicima iz javnog sektora omogućiti korištenje Microsoftovih usluga u oblaku na način koji je u skladu s pravilima GDPR-a.
Microsoft također planira implementirati svoj EU Data Boundary, kroz koji se podaci korisnika EU-a mogu obrađivati u skladu s propisima o zaštiti podataka, do kraja 2022. Google je prošle godine poduzeo sličnu inicijativu kako bi ispunio zahtjeve EU-a za zaštitu podataka.
Prošlog mjeseca predsjednik Biden potpisao je izvršnu naredbu kojom se američkim agencijama naređuje da provedu Transatlantski okvir za zaštitu privatnosti podataka, najavljen u ožujku.
EU sada mora poduzeti korake za usvajanje pravila, što bi moglo potrajati. Nakon što se to dogodi, prijenosi podataka između SAD-a i EU-a trebali bi postati mogući i bez rizika.
