Microsoft 365, gizlilik endişeleri nedeniyle Alman okullarında yasaklandı

Federal Alman veri koruma yetkilileri, ABD bulut sağlayıcılarının kullanımına ilişkin gizlilik endişeleri nedeniyle okullarda Microsoft Office 365 kullanımını yasakladı.

Alman Federal Veri Koruma Otoritesi ve 16 eyalet düzenleyicisinden oluşan Alman Veri Koruma Konferansı (DSK), Microsoft’un kişisel verileri nasıl topladığı ve işlediği konusundaki şeffaflık eksikliği ve üçüncü taraf erişimi potansiyeli göz önüne alındığında, bunu söyledi. ona göre, O365’in kullanımı yasal olarak Genel Veri Koruma Yönetmeliği’ne (GDPR) uygun değildir.

“Microsoft, hangi işleme işlemlerinin gerçekleştiğini tam olarak ayrıntılı olarak açıklamıyor. Ayrıca Microsoft, müşteri adına hangi işleme operasyonlarının gerçekleştirildiğini veya hangilerinin kendi amaçları doğrultusunda gerçekleştirildiğini tam olarak açıklamamaktadır” denildi.

Raporda, “Sözleşme belgeleri bu açıdan kesin değildir ve şirketin kendi amaçları da dahil olmak üzere kapsamlı bile olabilecek işlemenin nihai değerlendirmesine izin vermemektedir” diye devam etti.

“Kullanıcıların (örn. çalışanlar veya öğrenciler) kişisel verilerinin sağlayıcının kendi amaçları doğrultusunda kullanılması, kamu sektöründe (özellikle okullarda) bir işlemci kullanımını engellemektedir.”

Bu, temelde, şeffaflık eksikliği nedeniyle, düzenleyicilerin Microsoft’un tam olarak hangi bilgileri topladığını ve bu verileri nasıl kullandığını dışarıdan değerlendirmesinin imkansız olduğu anlamına gelir, bu da GDPR kapsamında kullanımını yasa dışı kılar.

Raporda, çalışma grubunun Microsoft ile yaptığı görüşmelerin, O365 kullanıldığında kişisel verilerin her zaman ABD’ye aktarılacağını doğruladığı ve “Kişisel verileri ABD’ye aktarmadan Microsoft 365’i kullanmanın mümkün olmadığı” iddiasına yer verildi.

Temmuz 2020’de Avrupa Adalet Divanı (ECJ), ABD Ulusal Güvenlik Ajansı tarafından veriler toplandığında mahkemenin Avrupa vatandaşlarının yeterli tazmin hakkına sahip olmasını sağlamadığını söylediği AB-ABD Gizlilik Kalkanı veri paylaşım anlaşmasını iptal etti ( NSA) ve diğer ABD istihbarat servisleri.

Halk arasında davayı Avrupa Adalet Divanı’na götüren Avusturyalı avukattan sonra II. Schrems olarak bilinen karar, uluslararası veri aktarımlarına temel olarak standart sözleşme maddelerinin (SCC’ler) kullanılmasının yasallığı konusunda da şüphe uyandırıyor ve bunların yasal olarak geçerli olmasına rağmen, şirketlerin, verileri paylaştıklarının Avrupa Birliği (AB) yasasında yer alanlara eşdeğer gizlilik korumaları sağladığından emin olma sorumluluğu hâlâ vardı.

Uzun süredir devam eden sorunlar

DSK çalışma grubu aktif olarak O365’in nasıl geliştirileceğine bakmak Microsoft’un Ağustos 2018’de Almanya’daki bulut teklifini durdurmasının ve devlet düzenleyicilerinin hizmetle ilgili sorunları işaretlemeye başlamasının ardından iki yıl boyunca Avrupa veri koruma standartlarına uygunluğu sağlamak için.

Örneğin, Temmuz 2019’da Hessian Veri Koruma ve Bilgi Özgürlüğü Komiseri, O365 ile ilgili sorunları, özellikle de bir Amerikan bulut sağlayıcısının kullanılmasının ABD makamlarının bir Avrupa bulutunda depolanan verilere erişmesine izin vereceğini ve çok sayıda telemetrinin olduğunu vurguladı. veriler, etkinlik için yeterli günlük kaydı yapılmadan toplanıyor ve aktarılıyordu.

Hessian Komiseri sonuç olarak O365’in Almanya’nın Hessen eyaletindeki okullarda kullanımını yasakladı ve o sırada “Microsoft için geçerli olanın Google ve Apple bulut çözümleri için de geçerli olduğunu” kaydetti.

“Bu sağlayıcıların bulut çözümleri şu ana kadar şeffaf ve anlaşılır bir şekilde ortaya konmadı. Bu nedenle, okullar için mahremiyete uygun kullanımın şu anda mümkün olmadığı da doğrudur” diye ekledi komiser.

Microsoft, Avrupa Komisyonu’nun bazı SCC’lerini benimsemek ve verileri nasıl işlediğini daha ayrıntılı olarak ortaya koymak da dahil olmak üzere, sistemlerinde bir dizi değişiklik yapmak için çalışma grubuyla anlaşsa da, değişiklikler DSK tarafından yetersiz bulundu. Bu değişiklikler, Microsoft’un güncelleştirilmiş bir sürümünde ayrıntılı olarak açıklanmıştır. Ürün ve hizmet veri koruma eki.

DSK, ayrı bir açıklamayla çalışma grubu raporuna atıfta bulunarak, “Microsoft tarafından sağlanan 15 Eylül 2022 tarihli veri koruma eki temelinde veri denetleyicilerinin Microsoft 365’i veri koruma yasasına uygun olarak çalıştırdığına dair kanıt sağlanamaz.

“Özellikle, Microsoft’un kendi amaçları doğrultusunda görevlendirilen işlemeden kaynaklanan kişisel verilerin işlenmesine ilişkin gerekli şeffaflık sağlanmadığı ve yasallığı kanıtlanmadığı sürece, bu kanıt sağlanamaz.”

Microsoft yanıt verir

Bununla birlikte Microsoft, Alman okullarının O365’i yasal olarak uyumlu bir şekilde kullanmasının hala mümkün olduğunu ve ürünlerinin “sıkı AB veri koruma yasalarını yalnızca karşılamakla kalmayıp çoğu zaman bu yasaları aştığını” iddia etmektedir.

DSK’nın endişelerinin, şirketin sistemlerinde halihazırda yapmış olduğu değişiklikleri yeterince dikkate almadığını ve hizmetlerinin nasıl çalıştığıyla ilgili “çeşitli yanlış anlamalardan” kaynaklandığını söyledi.

Microsoft, “İnceleme süreci boyunca DSK ile yakın bir şekilde çalıştık ve dile getirilen endişelere birkaç kapsamlı değişiklikle yanıt verdik” dedi. “Bunun örnekleri, alt işleyicilerdeki değişiklikler için iyileştirilmiş bir bildirim prosedürü ve müşterilere hizmetlerin sağlanmasından kaynaklanan Microsoft ticari faaliyetleri için kişisel verilerin Microsoft tarafından işlenmesine ilişkin daha fazla açıklamadır. Microsoft, DSK ile tam bir işbirliği yapmıştır ve DSK’nın değerlendirmesine katılmasak da, kalan endişeleri gidermek isteriz.

“DSK’nin daha fazla şeffaflık talebini önemsiyoruz. Şeffaflık standartlarımız, sektörümüzdeki çoğu sağlayıcının standartlarını aşıyor olsa da, kendimizi daha da iyi olmaya adadık. Özellikle, planlanan AB veri sınırımızın bir parçası olarak, şeffaflık adına müşterilerimizin veri akışları ve işleme amaçları hakkında daha fazla belge sağlayacağız. Ayrıca, AB dışındaki alt işleyiciler ve Microsoft çalışanlarının konumları ve işlemeleri hakkında daha fazla şeffaflık sağlayacağız.”

Şunları ekledi: “Daha fazla şeffaflık adına, Microsoft’un DSK’sına sunulan ayrıntılı yanıtlar ve yorumlarla birlikte, ancak uygun redaksiyonla birlikte tam raporun yayınlanmasını memnuniyetle karşılıyoruz.”

Microsoft, 2022’nin sonuna kadar bir AB Veri Sınırı oluşturmayı taahhüt etmiş olsa da, veri koruma uzmanları daha önce bu hareketi, verilerin blok dışında rutin olarak işlendiğinin zımni bir itirafı olarak eleştirmiş ve bunun Avrupa vatandaşlarının verilerini engellemesinin makul bir yolu olmadığını iddia etmişti. denizaşırı ülkelerden daha düşük bir koruma standardının olduğu ABD’ye aktarılan veriler.

DSK’ya verdiği yanıtta Microsoft, Veri Sınırının “AB’den diğer ülkelere veri akışını önemli ölçüde azaltacağını… [enabling] bölgedeki müşteri verilerini işlemek ve depolamak için AB’deki ve Avrupa Serbest Ticaret Birliği genelindeki kamu sektörü ve kurumsal müşteriler”.

Çalışma grubu raporunun yayınlanmasının ardından, federal veri koruma komiseri Ulrich Kelber, Microsoft’un “bireysel noktalarda ilerleme” kaydettiğini, ancak veri koruma yetkililerinin “bakmak zorunda kalacağını” söyledi. [at] veri koruma uyumluluğunun hâlâ sağlanıp sağlanamayacağını görmek için bireysel vakalar”.

Kelber, O365’in “daha fazla koruyucu önlem olmaksızın bir bilgisayarda basitçe kullanılabileceğinden” şüphe duyduğunu da sözlerine ekledi.

DSK’nın bulguları hakkında yorum yapan şifreli e-posta hizmeti Tutanota’nın kurucusu Matthias Pfau, ABD merkezli bulut hizmetlerinin, Mayıs 2018’de GDPR’nin uygulamaya konulmasından bu yana dört yılı aşkın bir süredir Avrupa veri haklarını ayaklar altına almaya devam etmesinin “inanılmaz” olduğunu söyledi.

“Açıkçası, büyük Amerikan şirketleri herhangi bir şikayete ve cezaya katlanıyor çünkü ‘hizmetimi kullan, ben de senin verilerini kullanacağım’ iş modeli onlar için son derece kazançlı. Gönüllü işbirliğine güvenmek yerine, burada çok daha ağır sonuçlar çıkarılmalıdır; örneğin tamamen farklı sistemler kullanarak” dedi.

“Open Office ile Linux, okulların ve yetkililerin hemen geçiş yapması gereken çok iyi bir alternatif. Okullar ve yetkililer yerel olarak kurulu olsa da Microsoft’u kullanmaya devam ettikleri sürece Microsoft, Avrupa veri koruma kurallarına uymak için hiçbir neden görmemektedir.”

Read Previous

KOBİ’ler iletişim teknolojisine güveniyor

Read Next

HPE’nin kazançları, daha ucuz sunuculara geri dönüşü ortaya koyuyor

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

İstanbul masöz -