Dijital dünyanın en büyük meselelerinden biri olan bilgi saklılığı, bu sefer okulları ve öğrencileri maksat alan bir kararla gündeme geldi. Avusturyalı dijital kapalılık kümesi noyb (None of Your Business), ülkenin bilgi muhafaza düzenleyicisinin aldığı kararın akabinde, Microsoft’a karşı büyük bir zafer kazandığını duyurdu. Register’ın haberine nazaran bu karar, yazılım devinin tanınan Microsoft 365 Eğitim platformu aracılığıyla öğrencileri “yasadışı” biçimde takip ettiği ve bilgilerini kullandığı istikametindeki tezleri doğruluyor.
noyb’un başlattığı süreç, bilhassa COVID-19 pandemisi sırasında okulların süratle çevrimiçi eğitime geçtiği ve 365 Eğitim üzere platformları ağır olarak kullanmaya başladığı periyoda dayanıyor. Kapalılık kümesi, şikayetinde, Microsoft’un kapalılık maddelerine uyma sorumluluğunun tamamını, öğrenci datalarının kullanımı üzerinde neredeyse hiç denetimi olmayan okullara yüklemeye çalıştığını savundu.
Şikayetçi, hangi bilgilerinin işlendiğini görmek için bir erişim talebinde bulunduğunda, şirket şikayetçiyi direkt lokal okuluna yönlendirdi. Lakin okul ve mahallî eğitim yetkilileri, Microsoft’a ilişkin ayrıntılı bilgilere erişemedikleri için sadece hudutlu seviyede bilgi sağlayabildi. noyb, bu durumun Genel Data Muhafaza Yönetmeliği (GDPR) haklarına ahengin sağlanamayacağını gösterdiğini öne sürdü.
Microsoft’a bilgi verme mecburiliği getirildi
Avusturya Veri Koruma Kurumu (DSK), bu şikayeti inceleyerek Microsoft’u hatalı buldu. Kararda, denetleyici pozisyonunda olan Microsoft’un, 365 Eğitim kullanılırken işlenen datalar hakkında eksiksiz bilgi vermeyerek şikayetçinin GDPR’daki erişim hakkını ihlal ettiğine hükmedildi.
Microsoft’a verilen talimatlar netti: İşlenen bilgiler hakkında eksiksiz bilgi sunulması, Dahili raporlama, iş modelleme ve temel fonksiyonelliğin uygunlaştırılması üzere bilinmeyen tabirlerin açık ve anlaşılır açıklamalarının yapılması, toplanan bilgilerin üçüncü taraflara aktarılıp aktarılmadığının açıklanması…
Kurum ayrıyeten, kelam konusu okul ve federal eğitim otoritelerinin de on hafta içinde bilgi sürece hakkında bilgi vermeleri gerektiğine karar verdi.
noyb’un kurucusu ve bilgi muhafaza avukatı Max Schrems, bu kararın değerini şu sözlerle vurguladı: “Tüm gücü ele geçiren, lakin tüm sorumlulukları Avrupalı ticari müşterilere devreden ‘büyük teknoloji’ sağlayıcılarımız var. Microsoft, eserlerinin kurulumunu kökten değiştirmezse, Avrupalı ticari müşteriler yükümlülüklerini yerine getiremeyecek.“
Yargı yetkisi kargaşası
Microsoft, kendisini savunmak için 365’in İrlanda iştirakinin sorumlu olduğunu ve münasebetiyle yargı yetkisinin İrlanda’ya ilişkin olduğunu sav etti. Fakat Avusturya bilgi müdafaa otoritesi bu iddiayı reddederek, kararların büyük ölçüde Microsoft ABD tarafından alındığına karar verdi.
Bu karar, Microsoft ve Avrupa genelindeki Microsoft 365 kullanıcılarının bilgileriyle ne yapıldığı konusunda bilgilendirme yükümlülükleri üzerinde geniş kapsamlı tesirler yaratabilir. Karara ait Microsoft cephesinden yapılan açıklamada ise “Microsoft 365 for Education, gerekli tüm bilgi muhafaza standartlarını karşılıyor ve eğitim bölümündeki kurumlar, GDPR’ye uygun olarak kullanmaya devam edebilir” denildi ve kararın inceleneceği belirtildi.
