Fallet Microsoft spårar elever har satt ett av världens största teknikföretag under hård granskning i Europa.
Österrikes dataskyddsmyndighet har slagit fast att Microsoft 365 Education bröt mot GDPR genom att spåra skolelever och vägra tillgång till insamlade data.
Beslutet avslöjar allvarliga integritetsbrister i den utbildningsteknik som används i klassrum över hela EU.
Det österrikiska beslutet
Österrikes Datenschutzbehörde (DPA) fann att Microsoft använde spårningskakor i sin utbildningsplattform Microsoft 365 utan giltigt samtycke.
Utredarna upptäckte att elevdata överfördes till USA och analyserades för okända syften.
Myndigheten konstaterade också att Microsoft inte följde en begäran om registerutdrag från en elev.
Företaget vägrade att lämna fullständig information om vilken data som samlades in och hur den behandlades.
Enligt tillsynsmyndigheten bröt detta mot transparenskraven i GDPR.
Microsoft försökte flytta ansvaret till lokala skolor och sitt irländska dotterbolag, men den österrikiska DPA slog fast att Microsoft Corporation i USA förblir den huvudsakliga personuppgiftsansvariga för elevdata.
Rättsliga konsekvenser
Beslutet i Microsoft spårar elever-fallet innebär att Microsoft måste radera olagligt insamlad information och redogöra för hur företaget behandlar data från minderåriga.
Skolor som använder Microsoft 365 måste dessutom granska sina avtal för att säkerställa att de följer EU:s integritetslagstiftning.
Juridiska experter menar att fallet kan skapa ett rättsligt prejudikat i Europa.
Det fastställer att både utbildningsleverantörer och programvaruföretag delar ett gemensamt ansvar för att skydda elevdata.
Dataskyddsmyndigheter runt om i EU kan nu börja granska om liknande plattformar uppfyller GDPR-kraven.
Integritets- och etikfrågor
Integritetsförespråkare hävdar att fallet avslöjar djupare problem inom edtech-branschen.
Många digitala lärverktyg samlar in betydligt mer information än vad som är nödvändigt – ofta utan tydligt samtycke.
Barn utgör en av de mest sårbara grupperna enligt dataskyddslagstiftningen.
Beslutet i Microsoft spårar elever-fallet understryker att företag måste utforma produkter med ”privacy by default”, så att minderårigas personuppgifter skyddas mot obehörig användning eller export.
Microsofts svar
Microsoft har meddelat att företaget förblir engagerat i att följa EU:s regler och kommer att samarbeta med myndigheter för att lösa frågan.
Bolaget hävdar att det är skolorna – inte Microsoft – som ansvarar för hur data hanteras enligt deras utbildningsavtal.
Men DPA:s slutsatser tyder på att Microsoft har det slutliga ansvaret för hur data lagras och överförs.
Det innebär att företaget inte fullt ut kan skjuta över ansvaret på tredje parter eller samarbetspartners.
Slutsats
Fallet Microsoft spårar elever visar hur GDPR-tillsynen nu sträcker sig till utbildningsteknik.
Österrikes beslut mot Microsoft skapar ett tydligt exempel för andra EU-myndigheter att följa.
När utredningen fortsätter kan resultatet komma att omforma hur globala teknikföretag hanterar barns data i skolor runt om i Europa.
0 svar till ”Microsoft spårar elever: Österrike fastslår att Microsoft 365 bryter mot GDPR”