Holandia uważa, że Windows i pakiet Office mogą naruszać przepisy RODO

dodał 20 listopada 2018 o 08:18 w kategorii Prawo, Prywatność  z tagami:
Holandia uważa, że Windows i pakiet Office mogą naruszać przepisy RODO

Microsoft Office i Windows 10 Enterprise wykorzystują mechanizm gromadzenia danych telemetrycznych, który narusza RODO – wynika z raportu sporządzonego przez firmę PrivacyCompany na zlecenie Ministerstwa Sprawiedliwości Holandii.

Wyniki przeprowadzonej analizy oceny skutków dla ochrony danych osobowych (czyli Data Protection Impact Assessment – DPIA) są co najmniej alarmujące. Według PrivacyCompany Microsoft gromadzi i przechowuje dane osobowe dotyczące zachowań indywidualnych użytkowników na dużą skalę, nie udostępniając przy tym publicznie żadnej dokumentacji, która mogłaby uzasadnić takie działanie.

Jak wskazano w raporcie, Microsoft bezprawnie przechowuje szczególnie wrażliwe/tajne dane i metadane dłużej, niż jest to konieczne. Według autorów DPIA amerykańska firma błędnie siebie określiła mianem podmiotu przetwarzającego dane, a nie mianem współadministratora (zob. art. 26 Ogólnego Rozporządzenia o Ochronie Danych Osobowych – RODO). 

Dlaczego jednak DPIA zostało zlecone? Okazuje się, że większość pracowników instytucji rządowych w Holandii korzysta z pakietów Office 2016 i Office 365. Obecnie wszystkie instytucje są zobowiązane do przechowywania danych lokalnie, tj. w swoich własnych centrach danych.

Jednak już niedługo sytuacja ulegnie zmianie, gdyż rząd w Amsterdamie zamierza korzystać z usług przechowywania danych w chmurze, używając do tego usług Microsoftu takich jak OneDrive i SharePoint. Umożliwi to także pracownikom dostęp do wersji webowej Office 365, gdzie nie jest wymagana instalacja oprogramowania fizycznie na komputerze.

Ile danych gromadzą Microsoft Office i Windows?

W ocenie Sjoery Nas, starszego doradcy ds. prywatności w PrivacyCompany, Microsoft nie tylko gromadzi dane na temat użycia poszczególnych aplikacji za pośrednictwem wbudowanego mechanizmu telemetrycznego, ale także rejestruje i przechowuje dane dotyczące korzystania z Usług Połączonych (Connected Services).

Przykład? Kiedy użytkownicy chcą skorzystać z usługi tłumaczenia poprzez oprogramowanie Office, firma Microsoft może przechowywać dane osobowe dotyczące wykorzystania tej funkcji w generowanych przez system logach aplikacji. Dzieje się tak również, jeśli użyjemy kilka razy z rzędu klawisza backspace, co może – dla producenta – oznaczać, że prawdopodobnie nie znamy poprawnej pisowni słowa.

W raporcie podkreślono, że amerykańska firma systematycznie gromadziła dane na temat wykorzystania poszczególnych składników pakietu Office, tj. Worda, Excela i PowerPointa, bez informowania o tym użytkownika oraz nie umożliwiła wyłączenia przesyłania takich danych.

Jak się okazuje, usługa Office rejestruje od 23 do 25 tysięcy zdarzeń, które następnie mogą być poddane analizie przez ok. 30 zespołów inżynierów Microsoftu. Dla porównania Windows 10, z ustawioną pełną telemetrią, gromadzi od 1000 do 1200 rodzajów zdarzeń, które następnie mogą być badane przez 10 zespołów inżynierskich.

Warto przypomnieć, że już pod koniec 2017 roku holenderski odpowiednik naszego UODO – Autoriteit Persoonsgegevens – informował że system Windows 10 łamie holenderskie prawo o ochronie danych osobowych, przetwarzając niewłaściwe dane użytkowników. Stwierdzono wówczas, że Microsoft nie informuje wyraźnie o rodzaju danych osobowych, które wykorzystuje i w jakim celu są one przetwarzane.

PrivacyCompany nie wie dokładnie, jakie dane Office wysyła na serwery Microsoftu (gdyż przesyłane informacje są zaszyfrowane), ale po dogłębnej analizie “ośmiela się” powiedzieć, że sprawa dotyczy przetwarzania na dużą skalę wrażliwych danych osobowych.

Transfer danych na serwery w USA nie zwalnia z obowiązków RODO

Zaniepokoiło to stronę holenderską, ponieważ wrażliwe dane rządowe mogły być zbierane przez firmę Microsoft za pomocą mechanizmu telemetrycznego, a następnie przesyłane na serwery amerykańskie, które znajdują się pod tamtejszą jurysdykcją i mogą być skonfiskowane przez organy ścigania USA w ramach prowadzonego śledztwa.

Doprowadziło to do rozpoczęcia rozmów między rządem a firmą w celu rozwiązania palącego problemu. Pod koniec października bieżącego roku w toku prowadzonego postępowania Microsoft i rząd holenderski osiągnęły porozumieniew którym amerykański gigant technologiczny zobowiązał się dostosować swoje produkty, aby były zgodne z przepisami RODO oraz innymi obowiązującymi aktami prawnymi.

Microsoft zgodził się regularnie informować o postępach w sprawie. Jeśli postęp ten będzie uznany za niezadowalający SLM Microsoft Rijk (Strategic Vendor Management Microsoft Rijk – red.) ponownie rozważy swoje stanowisko i może zwrócić się do organu ochrony danych o przeprowadzenie wcześniejszych konsultacji i nałożenie środków wykonawczych – możemy przeczytać we wspólnym oświadczeniu.

Microsoft zobowiązał się również, że zmiany w produktach nastąpią najpóźniej w kwietniu 2019 roku i będą podlegać weryfikacji ze strony holenderskiej. Do tego momentu wszystkie instytucje rządowe zostały poinformowane, aby podjąć dodatkowe środki w celu zablokowania przepływu danych, które mogą być wysyłane na serwery giganta z Redmond.

Aby zmniejszyć ryzyko wystarczy… przestać korzystać z usług

Sjoera Nas przedstawiła także kilka zaleceń dla administratorów sieci, które pozwolą zmniejszyć ryzyko naruszenia prywatności. Należy do nich centralna blokada Usług Połączonych (Connected Services), zaniechanie używania usług OneDrive oraz SharePoint Online, rezygnacja z webowej wersji Office 365 czy zablokowanie użytkownikom możliwości wysyłania danych w celu “poprawy Office’a”.

Sprawa odbiła się szerokim echem w prasie holenderskiej, która donosi m.in. o łamaniu unijnego prawa przez giganta z Redmond. Do sprawy odniósł się Microsoft, który stwierdził, że firma szanuje prywatność użytkowników i jest zaangażowana w rozwiązanie problemu zgodności z RODO.

Jesteśmy w pełni zaangażowani w ochronę prywatności naszych klientów, oddając im kontrolę nad ich danymi i zapewniając, że Office ProPlus i inne produkty oraz usługi są zgodne z RODO i innymi obowiązującymi przepisami prawa – skomentował rzecznik prasowy Microsoft zapytany przez dziennikarzy serwisu IT Pro

Jak dodał przedstawiciel Microsoftu, firma docenia “możliwość przedyskutowania z holenderskim Ministerstwem Sprawiedliwości praktyk w zakresie przetwarzania danych diagnostycznych w Office ProPlus i liczy na pomyślne rozwiązanie wszelkich problemów”.

Jeśli Microsoft nie spełni żądań holenderskiego regulatora, może na niego zostać nałożona znacząca kara finansowa, która zgodnie z obowiązującymi przepisami RODO może wynieść do 20 mln euro lub 4% wartości rocznego światowego obrotu przedsiębiorstwa – w zależności od tego, która jest wyższa.