20.11.2018 | 08:18

Gosia Fraser

Holandia uważa, że Windows i pakiet Office mogą naruszać przepisy RODO

Microsoft Office i Windows 10 Enterprise wykorzystują mechanizm gromadzenia danych telemetrycznych, który narusza RODO – wynika z raportu sporządzonego przez firmę PrivacyCompany na zlecenie Ministerstwa Sprawiedliwości Holandii.

Wyniki przeprowadzonej analizy oceny skutków dla ochrony danych osobowych (czyli Data Protection Impact Assessment – DPIA) są co najmniej alarmujące. Według PrivacyCompany Microsoft gromadzi i przechowuje dane osobowe dotyczące zachowań indywidualnych użytkowników na dużą skalę, nie udostępniając przy tym publicznie żadnej dokumentacji, która mogłaby uzasadnić takie działanie.

Jak wskazano w raporcie, Microsoft bezprawnie przechowuje szczególnie wrażliwe/tajne dane i metadane dłużej, niż jest to konieczne. Według autorów DPIA amerykańska firma błędnie siebie określiła mianem podmiotu przetwarzającego dane, a nie mianem współadministratora (zob. art. 26 Ogólnego Rozporządzenia o Ochronie Danych Osobowych – RODO). 

Dlaczego jednak DPIA zostało zlecone? Okazuje się, że większość pracowników instytucji rządowych w Holandii korzysta z pakietów Office 2016 i Office 365. Obecnie wszystkie instytucje są zobowiązane do przechowywania danych lokalnie, tj. w swoich własnych centrach danych.

Jednak już niedługo sytuacja ulegnie zmianie, gdyż rząd w Amsterdamie zamierza korzystać z usług przechowywania danych w chmurze, używając do tego usług Microsoftu takich jak OneDrive i SharePoint. Umożliwi to także pracownikom dostęp do wersji webowej Office 365, gdzie nie jest wymagana instalacja oprogramowania fizycznie na komputerze.

Ile danych gromadzą Microsoft Office i Windows?

W ocenie Sjoery Nas, starszego doradcy ds. prywatności w PrivacyCompany, Microsoft nie tylko gromadzi dane na temat użycia poszczególnych aplikacji za pośrednictwem wbudowanego mechanizmu telemetrycznego, ale także rejestruje i przechowuje dane dotyczące korzystania z Usług Połączonych (Connected Services).

Przykład? Kiedy użytkownicy chcą skorzystać z usługi tłumaczenia poprzez oprogramowanie Office, firma Microsoft może przechowywać dane osobowe dotyczące wykorzystania tej funkcji w generowanych przez system logach aplikacji. Dzieje się tak również, jeśli użyjemy kilka razy z rzędu klawisza backspace, co może – dla producenta – oznaczać, że prawdopodobnie nie znamy poprawnej pisowni słowa.

W raporcie podkreślono, że amerykańska firma systematycznie gromadziła dane na temat wykorzystania poszczególnych składników pakietu Office, tj. Worda, Excela i PowerPointa, bez informowania o tym użytkownika oraz nie umożliwiła wyłączenia przesyłania takich danych.

Jak się okazuje, usługa Office rejestruje od 23 do 25 tysięcy zdarzeń, które następnie mogą być poddane analizie przez ok. 30 zespołów inżynierów Microsoftu. Dla porównania Windows 10, z ustawioną pełną telemetrią, gromadzi od 1000 do 1200 rodzajów zdarzeń, które następnie mogą być badane przez 10 zespołów inżynierskich.

Warto przypomnieć, że już pod koniec 2017 roku holenderski odpowiednik naszego UODO – Autoriteit Persoonsgegevens – informował że system Windows 10 łamie holenderskie prawo o ochronie danych osobowych, przetwarzając niewłaściwe dane użytkowników. Stwierdzono wówczas, że Microsoft nie informuje wyraźnie o rodzaju danych osobowych, które wykorzystuje i w jakim celu są one przetwarzane.

PrivacyCompany nie wie dokładnie, jakie dane Office wysyła na serwery Microsoftu (gdyż przesyłane informacje są zaszyfrowane), ale po dogłębnej analizie “ośmiela się” powiedzieć, że sprawa dotyczy przetwarzania na dużą skalę wrażliwych danych osobowych.

Transfer danych na serwery w USA nie zwalnia z obowiązków RODO

Zaniepokoiło to stronę holenderską, ponieważ wrażliwe dane rządowe mogły być zbierane przez firmę Microsoft za pomocą mechanizmu telemetrycznego, a następnie przesyłane na serwery amerykańskie, które znajdują się pod tamtejszą jurysdykcją i mogą być skonfiskowane przez organy ścigania USA w ramach prowadzonego śledztwa.

Doprowadziło to do rozpoczęcia rozmów między rządem a firmą w celu rozwiązania palącego problemu. Pod koniec października bieżącego roku w toku prowadzonego postępowania Microsoft i rząd holenderski osiągnęły porozumieniew którym amerykański gigant technologiczny zobowiązał się dostosować swoje produkty, aby były zgodne z przepisami RODO oraz innymi obowiązującymi aktami prawnymi.

Microsoft zgodził się regularnie informować o postępach w sprawie. Jeśli postęp ten będzie uznany za niezadowalający SLM Microsoft Rijk (Strategic Vendor Management Microsoft Rijk – red.) ponownie rozważy swoje stanowisko i może zwrócić się do organu ochrony danych o przeprowadzenie wcześniejszych konsultacji i nałożenie środków wykonawczych – możemy przeczytać we wspólnym oświadczeniu.

Microsoft zobowiązał się również, że zmiany w produktach nastąpią najpóźniej w kwietniu 2019 roku i będą podlegać weryfikacji ze strony holenderskiej. Do tego momentu wszystkie instytucje rządowe zostały poinformowane, aby podjąć dodatkowe środki w celu zablokowania przepływu danych, które mogą być wysyłane na serwery giganta z Redmond.

Aby zmniejszyć ryzyko wystarczy… przestać korzystać z usług

Sjoera Nas przedstawiła także kilka zaleceń dla administratorów sieci, które pozwolą zmniejszyć ryzyko naruszenia prywatności. Należy do nich centralna blokada Usług Połączonych (Connected Services), zaniechanie używania usług OneDrive oraz SharePoint Online, rezygnacja z webowej wersji Office 365 czy zablokowanie użytkownikom możliwości wysyłania danych w celu “poprawy Office’a”.

Sprawa odbiła się szerokim echem w prasie holenderskiej, która donosi m.in. o łamaniu unijnego prawa przez giganta z Redmond. Do sprawy odniósł się Microsoft, który stwierdził, że firma szanuje prywatność użytkowników i jest zaangażowana w rozwiązanie problemu zgodności z RODO.

Jesteśmy w pełni zaangażowani w ochronę prywatności naszych klientów, oddając im kontrolę nad ich danymi i zapewniając, że Office ProPlus i inne produkty oraz usługi są zgodne z RODO i innymi obowiązującymi przepisami prawa – skomentował rzecznik prasowy Microsoft zapytany przez dziennikarzy serwisu IT Pro

Jak dodał przedstawiciel Microsoftu, firma docenia “możliwość przedyskutowania z holenderskim Ministerstwem Sprawiedliwości praktyk w zakresie przetwarzania danych diagnostycznych w Office ProPlus i liczy na pomyślne rozwiązanie wszelkich problemów”.

Jeśli Microsoft nie spełni żądań holenderskiego regulatora, może na niego zostać nałożona znacząca kara finansowa, która zgodnie z obowiązującymi przepisami RODO może wynieść do 20 mln euro lub 4% wartości rocznego światowego obrotu przedsiębiorstwa – w zależności od tego, która jest wyższa.

Powrót

Komentarze

  • 2018.11.20 08:43 TakiSobieObywatel

    Próbuję sobie wyobrazić jak będzie wyglądać spełnienie obowiązku informacyjnego przez Microsoft, gdzie będą musieli wykazać wszystkie dane, które przetwarzają oraz cele ich przetwarzania.. nie wspominając o administratorach, którym podpowierzają dane :)

    Odpowiedz
    • 2018.11.20 10:50 asdfghaer

      Taki raport przebije długością dziełą zebrane Lenina… Co tam Lenina, całego Towarzysza MELSa~!

      Odpowiedz
    • 2018.11.20 14:49 łukasz

      Dlaczego uważasz, że będzie wymieniać administratorów (a może dokładniej podmioty przetwarzające) którym podpowierzają dane ? Nigdzie w RODO nie ma takiego obowiązku.

      Odpowiedz
      • 2018.11.21 10:13 Bartek

        Artykuł 30 – Rejestrowanie czynności przetwarzania

        1. Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:

        a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;

        Odpowiedz
        • 2018.11.21 13:51 IOD

          RCP nie jest dokumentem upublicznianym. To wewnętrzna dokumentacja udostępniana organowi nadzorczemu – na żądanie.
          W klauzuli informacyjnej natomiast należy skazać odbiorców danych lub… kategorie odbiorców. Czyli nadal szczegółowo nie trzeba się rozpisywać.

          Odpowiedz
          • 2018.11.22 09:08 TakiSobieObywatel

            Każda osoba, której dane są przetwarzane, może zażądać informacji o wszystkich odbiorcach danych – i tutaj MS zapewne będzie grupować odbiorców (jak robią to w przedstawianym obowiązku informacyjnym podczas telefonowania do ich biura obsługi klienta). Ale właśnie też chodzi mi o wielkość ich dokumentu RCP, oraz opis kategorii danych jakie są przetwarzane i celów przetwarzania – myślę, że to będzie dość ciekawa lektura :)

  • 2018.11.20 09:57 Tomasz Gąsior

    Poprawcie interlinię nagłówków wewnątrz artykułu. https://i.imgur.com/77ic2Zu.png Fajnie byłoby też usunąć tę kursywę, źle się to czyta.

    Odpowiedz
  • 2018.11.20 10:26 @var

    Czy Redaktor tej strony podtrzymuje twierdzenia ze swojej spowiedzi bezpieczeństwa (https://zaufanatrzeciastrona.pl/post/spowiedz-bezpieczenstwa-adama-odpowiedzi-na-wasze-pytania/) że niesłuszne jest oskarżanie Microsoftu o gromadzenie każdego naciśnięcia klawisza przez użytkownika??

    Odpowiedz
    • 2018.11.20 13:28 errrorrr

      Ta spowiedź to najgorsze co można zrobić, obnażyć się ze swoich metod bezpieczeństwa itd :D

      Odpowiedz
      • 2018.11.22 16:46 cyberEdek

        Obnażać się możesz w parku :)
        Autor opisał to, co uznał za możliwe do ujawnienia bez szkody dla niego. Dzięki temu pomógł wielu ludziom, którzy mniej ogarniają temat.

        Odpowiedz
  • 2018.11.20 10:46 Gall

    Dlaczego mowa o wersji ProPlus? A pozostałe?

    Odpowiedz
    • 2018.11.20 14:08 Gość

      ProPlus pewnie był badany przez „(…) firmę PrivacyCompany na zlecenie Ministerstwa Sprawiedliwości Holandii.”, inne wersje nie zostały sprawdzone więc najpewniej nie wspominali o nich w raporcie który został wspomniany.

      W Windows 10 o ile wiem (mogę się mylić) tylko wersja Enterprise umożliwia wyłączenie przekazywanie informacji diagnostycznych do Microsoftu w innych wersjach możemy tylko przełączyć na podstawowe informacje.

      Odpowiedz
  • 2018.11.20 15:50 wk

    To piękne :)

    Odpowiedz
  • 2018.11.20 15:50 SuperTux

    To Microsoft – czego się oni spodziewali???

    Odpowiedz
  • 2018.11.20 15:56 Jerico

    Teoretycznie zawsze można zastąpić MS Office czymś innym, choćby Libre Officem. Tyle, że Office Microsoftu jest wygodniejszy w użyciu, co dla wielu osób będzie miało dużo większe znaczenie niż „jakaś tam prywatność”.

    Odpowiedz
    • 2018.11.21 09:08 Radek

      Libre Office nie ma chyba wersji „chmurowej”. Nie wspominając o OneDrive, SharePoint, itd. To by było cofanie się o 10 lat…

      Odpowiedz
      • 2018.11.21 12:11 Wojtek

        Ale według zaleceń mają i tak przestać korzystać z OneDrive czy SharePoint, czy to chyba nawet lepiej że LibreOffice tego nie ma :)

        Odpowiedz
      • 2018.11.21 12:56 mjakmobing

        To że jesteśmy leniwi i wygodni nie znaczy że z tego powodu jesteśmy tacy hej do przodu.
        Korzystanie z tzw chmur i oddawanie swoich danych nie jest żadnym postępem a raczej chorobą rozprzestrzenianą i pielęgnowaną przez korporacje którym to na rękę.

        Odpowiedz
    • 2018.11.21 12:16 Marcin

      Jeśli na wydajności pracy nie zależy, to jak najbardziej można stosować jakieś darmowe programy PODOBNE do MS Office, ale do normalnej pracy raczej stosowanie LO/OO jest kiepskim pomysłem.
      Dużo lepszy od zabawek pokroju LO/OO jest WPS Office.

      Odpowiedz
      • 2018.11.21 12:57 Oscar

        Zastanawiam się co takiego jest w LibreOffice, że praca na nim miałaby być mniej wydajna niż na MS Office. Korzystam z LO i pracuje mi się na nim o wiele wygodniej niż na MSO, jest bardziej logiczny i uporządkowany.

        Czy chodzi o to, że pani Jadzia z księgowości ma ogarnięte produkty MSO i musiałaby się przestawić na LO? Czy może uważasz, że LO jest sam w sobie istotnie gorszy od MSO?

        Z kolei WPS Office:
        1) ma zamknięty kod źródłowy,
        2) nie obsługuje formatu Open Document,
        3) jest rozwijany przez firmę z Chińskiej Republiki Ludowej.

        Punkty 1 i 3 razem wystarczą, żeby uznać ten program za mocno podejrzany.

        Odpowiedz
        • 2018.11.21 16:30 Wojtaszek

          Oscar napisał:

          „Zastanawiam się co takiego jest w LibreOffice, że praca na nim miałaby być mniej wydajna niż na MS Office”

          LO to się nadaje do prostych krótkich tabelek i tyle. Tam jest pełno błędów do poprawienia, na które się czeka już wiele lat. Nawet formatowanie nie działa poprawnie. U mnie czara się przepełniła, gdy przyszło do zrobienia bardziej skomplikowanego raportu, a tu Tabel Przestawnych brak!

          Kibicuję zespołowi LO i czekam na poprawki, ale niestety używam MS Office.

          Odpowiedz
        • 2018.11.21 20:34 marianZ

          LO ma problemy z dużymi plikami – otwierałem arkusze z wynikami pomiarów, typu 10K wierszy, i niestety potrafiło to zarżnąć maszynę z 8GB RAMu gdy Excel przez Wine był szybszy. Stąd są problemy. Ja wiem, że według fanboy’ów otwartego softu do takich arkuszy to piszemy własny pakiet statystyczny a wyniki dostarczamy w postaci druku na składance, ale to niestety jest nieco przestarzała technologia.

          Odpowiedz
    • 2018.11.21 12:50 Duży Pies

      Otwarte procesory tekstu i ich natywne formaty plików są już na przyzwoitym poziomie i wykazują sporą „kompatybilność” z MS Wordem, choć i tu można się jeszcze doczepić.
      Ale Excela jak na razie trudno zastąpić. Taki Calc nie poradzi sobie ze ze skomplikowanym arkuszem przygotowanym wcześniej w MS Excelu, po otwarciu pliku „rozjedzie” arkusz.
      MS Office w dużej mierze swoją hegemonię utrzymuje właśnie poprzez Excela, jak na razie niezastąpionego w korporacyjnych/biznesowych zastosowaniach.

      Odpowiedz
      • 2018.11.21 14:14 foo()

        Masz rację. Główny problem w LibreOffice to jeszcze zbyt mało zaawansowany LO Calc i niepełna kompatybilność z microsoftowymi formatami DOCX/XLSX. Myślę, że gdyby przejść w pełni na rozwiązania LO i format ODT/ODS, jedynym problemem pozostałby brak niektórych bardzo zaawansowanych funkcji w LO Calc.

        Odpowiedz
        • 2018.11.21 21:28 Duży Pies

          Tylko że do „odtworzenia” pełnej funkcjonalności Excela w Calcu chyba nigdy albo jeszcze bardzo długo nie dojdzie. To byłby spory cios w Microsoftowy ekosystem biurowo-korporacyjny.
          A w Excelu można robić bardzo ciekawe rzeczy, łącznie z ich eksportem do innych zastosowań np. SAP Crystal Reports.

          Odpowiedz
      • 2018.11.21 18:14 Takie tam

        Mso – sa chociaż jakieś alternatywy, ale fona z androidem lub iosem nie śledzacym “normalnie” kupić się nie da :(

        Odpowiedz
        • 2018.11.21 21:21 Duży Pies

          To go zrootuj w końcu!
          Co z Ciebie za geek? Wbijasz na Z3S a jeszcze nie zrootowałeś Androida? Wstydź się!

          Odpowiedz
        • 2018.11.22 21:35 big data

          smartfon cię śledzi! mikrofon podsłuchuje! ciekawe. ale założę się że
          – facebooka masz bo coś tam coś tam na studiach kazali
          – internet przeglądasz z clearnetu bo Tor za wolny albo ten no, captcha wyskakuje
          zgadłem?
          te dwie rzeczy mają kluczowy wpływ na twoje dane u dostawców reklam, a nie jakieś mityczne mikrofony

          Odpowiedz
  • 2018.11.22 11:40 spec

    „Jesteśmy w pełni zaangażowani w ochronę prywatności naszych klientów”
    Gdyby tak było to nie byłoby telemetrii.

    Odpowiedz
    • 2018.11.22 13:13 Jerico

      Ależ dlaczego nie? Telemetria jak najbardziej mogłaby być. Najważniejsze, żeby był jeden dobrze widoczny przycisk „wyłącz wszystko”, który rzeczywiście by wyłączał wszystkie połączenia z serwerami Microsoftu (no może z wyjątkiem aktualizacji). A nie jak teraz, dziesięć różnych przełączników, każdy poukrywany gdzie indziej i nawet jak się wszystko powyłącza, to telemetria dalej idzie.

      Odpowiedz
  • 2020.09.25 14:01 Dalszy ciąg sprawy

    Cześć, czy jest szansa na aktualizację, tzn. czy nie napisalibyście w jaki sposób Microsoft odniósł się do tej analizy?

    Odpowiedz

Zostaw odpowiedź do Bartek

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Holandia uważa, że Windows i pakiet Office mogą naruszać przepisy RODO

Komentarze