Dijital dünyanın en büyük sorunlarından biri olan veri gizliliği, bu kez okulları ve öğrencileri hedef alan bir kararla gündeme geldi. Avusturyalı dijital gizlilik grubu noyb (None of Your Business), ülkenin veri koruma düzenleyicisinin aldığı kararın ardından, Microsoft’a karşı büyük bir zafer kazandığını duyurdu. Register’ın haberine göre bu karar, yazılım devinin popüler Microsoft 365 Eğitim platformu aracılığıyla öğrencileri “yasadışı” şekilde takip ettiği ve verilerini kullandığı yönündeki iddiaları doğruluyor.
noyb’un başlattığı süreç, özellikle COVID-19 pandemisi sırasında okulların hızla çevrimiçi eğitime geçtiği ve 365 Eğitim gibi platformları yoğun olarak kullanmaya başladığı döneme dayanıyor. Gizlilik grubu, şikayetinde, Microsoft’un gizlilik yasalarına uyma sorumluluğunun tamamını, öğrenci verilerinin kullanımı üzerinde neredeyse hiç kontrolü olmayan okullara yüklemeye çalıştığını savundu.
Şikayetçi, hangi bilgilerinin işlendiğini görmek için bir erişim talebinde bulunduğunda, şirket şikayetçiyi doğrudan yerel okuluna yönlendirdi. Ancak okul ve yerel eğitim yetkilileri, Microsoft’a ait detaylı bilgilere erişemedikleri için yalnızca sınırlı düzeyde bilgi sağlayabildi. noyb, bu durumun Genel Veri Koruma Yönetmeliği (GDPR) haklarına uyumun sağlanamayacağını gösterdiğini öne sürdü.
Microsoft’a bilgi verme zorunluluğu getirildi
Avusturya Veri Koruma Kurumu (DSK), bu şikayeti inceleyerek Microsoft’u suçlu buldu. Kararda, denetleyici konumunda olan Microsoft’un, 365 Eğitim kullanılırken işlenen veriler hakkında eksiksiz bilgi vermeyerek şikayetçinin GDPR’daki erişim hakkını ihlal ettiğine hükmedildi.
Microsoft’a verilen talimatlar netti: İşlenen veriler hakkında eksiksiz bilgi sunulması, Dahili raporlama, iş modelleme ve temel işlevselliğin iyileştirilmesi gibi belirsiz terimlerin açık ve anlaşılır açıklamalarının yapılması, toplanan bilgilerin üçüncü taraflara aktarılıp aktarılmadığının açıklanması…
Kurum ayrıca, söz konusu okul ve federal eğitim otoritelerinin de on hafta içinde veri işleme hakkında bilgi vermeleri gerektiğine karar verdi.
noyb’un kurucusu ve veri koruma avukatı Max Schrems, bu kararın önemini şu sözlerle vurguladı: “Tüm gücü ele geçiren, ancak tüm sorumlulukları Avrupalı ticari müşterilere devreden ‘büyük teknoloji’ sağlayıcılarımız var. Microsoft, ürünlerinin kurulumunu kökten değiştirmezse, Avrupalı ticari müşteriler yükümlülüklerini yerine getiremeyecek.“
Yargı yetkisi kargaşası
Microsoft, kendisini savunmak için 365’in İrlanda iştirakinin sorumlu olduğunu ve dolayısıyla yargı yetkisinin İrlanda’ya ait olduğunu iddia etti. Ancak Avusturya veri koruma otoritesi bu iddiayı reddederek, kararların büyük ölçüde Microsoft ABD tarafından alındığına karar verdi.
Bu karar, Microsoft ve Avrupa genelindeki Microsoft 365 kullanıcılarının verileriyle ne yapıldığı konusunda bilgilendirme yükümlülükleri üzerinde geniş kapsamlı etkiler yaratabilir. Karara ilişkin Microsoft cephesinden yapılan açıklamada ise “Microsoft 365 for Education, gerekli tüm veri koruma standartlarını karşılıyor ve eğitim sektöründeki kurumlar, GDPR’ye uygun olarak kullanmaya devam edebilir” denildi ve kararın inceleneceği belirtildi.
