Microsoft Office 365 zagrożeniem dla prywatności

15 lipca 2019, 14:42
40032641954_1a9308b04c_b
Fot. Aaron Yoo/flickr

Na szkoły niemieckiego landu Hesja został nałożony zakaz wykorzystywania pakietu Microsoft Office 365, obejmującego usługi chmurowe firmy. Sytuacja wynika z obaw w zakresie prywatności, jakie przedstawił lokalny organ ochrony danych osobowych (HBDI).

Jak poinformował na swojej stronie internetowej tamtejszy urząd komisarza ds. ochrony danych i wolności informacji (Der Hessische Beauftragte fuer Datenschutz und Informationsfreiheit), użycie popularnego oprogramowania Microsoftu w standardowej, domyślnej konfiguracji platformy naraża dane osobowe uczniów placówek oraz zatrudnionych w nich nauczycieli na ryzyko ze strony "potencjalnego dostępu (do tych informacji - PAP) przez władze USA".

Tym samym, według heskiego organu, pakiet Office 365 nie spełnia wymogów zgodności z unijnym Ogólnym Rozporządzeniem o Ochronie Danych Osobowych (RODO) w kontekście jego wykorzystania w szkolnictwie. Niemiecki urząd skoncentrował się w swojej analizie przede wszystkim na danych telemetrycznych, które system operacyjny Microsoftu - Windows 10 oraz pakiet Office 365 wysyłają na serwery tego koncernu zlokalizowane w USA.

Dane telemetryczne obejmują m.in. informacje diagnostyczne związane z działaniem oprogramowania, ale też fragmenty treści generowanych przez użytkowników oprogramowania podczas jego eksploatacji - np. nagłówki i tematy wiadomości e-mail oraz frazy z dokumentów tekstowych, które były tłumaczone z użyciem narzędzi translatorskich Microsoftu. Zdaniem HBDI, gromadzenie oraz przetwarzanie takich danych przez firmę z Redmond narusza przepisy RODO.

Postępowanie wyjaśniające HBDI wobec legalności użycia pakietu biurowego Microsoftu w szkołach trwało od ponad roku. Firma początkowo dostarczyła placówkom specjalną wersję pakietu, w której informacje gromadzone przez oprogramowanie przechowywane były w centrum przetwarzania danych zlokalizowanym na terenie Niemiec. Organ z Hesji notuje jednak, że centrum to zakończyło swoją działalność w sierpniu 2018 roku, co oznacza, iż dane niemieckich uczniów i nauczycieli znów przekazywane były do USA, potencjalnie umożliwiając tamtejszym władzom dostęp do nich.

Jednocześnie, jak wskazał szef urzędu Michael Ronellenfitsch, aplikacje chmurowe nie stanowią problemu prawnego dopóki gwarantują bezpieczeństwo przetwarzanych danych oraz to, że proces ich przetwarzania i przechowywania w chmurze odbywa się za zgodą uczniów. Ronellenfitsch zauważył jednak, że uczniowie w przypadku aplikacji Office 365 nie mają możliwości wyrażenia zgody na przetwarzanie danych, a zatem działanie platformy stoi w sprzeczności z przepisami RODO. Jak podkreślił szef HBDI, podobne uwagi dotyczą usług dostarczanych przez inne firmy technologiczne, takie jak Apple czy Google.

Heski komisarz zasugerował też, aby lokalne szkoły zmieniły wykorzystywane do tej pory oprogramowanie Microsoftu na inne aplikacje, które przetwarzane i gromadzone dane przechowują w ramach lokalnych systemów funkcjonujących na miejscu, w placówkach oświatowych.

SZP/PAP

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 1
as
poniedziałek, 15 czerwca 2020, 17:29

W zasadzie pewnie prawda. Tylko kto będzie zarządzał wdrożeniem usługi (i jakiej?), bezpieczeństwem itp. w ramach "lokalnych systemów funkcjonujących na miejscu"?

Tweets CyberDefence24