W ostatnim czasie mieliśmy okazję zwrócić uwagę na ponadprzeciętną skuteczność niemieckich władz w ochronie prywatności swoich obywateli przed zakusami korporacji IT zza oceanu. Przy okazji informacji o opracowywaniu za Odrą standardu bezpiecznej przeglądarki zwracaliśmy uwagę, że władzom federalnym udało się skutecznie ograniczać nadużycia między innymi Facebooka. A jak wiadomo, przykład idzie z góry.

Dworzec kolejowy we Frankfurcie nad Menem.

Za przykładem Berlina idą więc kraje związkowe: władze Hesji zabroniły wykorzystywania pakietu biurowego Microsoftu w szkołach. Heski komisarz ds. ochrony danych i wolności informacji uznał, że skoro amerykańska korporacja przechowuje dane niemieckich uczniów i nauczycieli na swoich serwerach w Stanach Zjednoczonych, to dochodzi do naruszenia zarówno lokalnych, jak i europejskich regulacji w zakresie ochrony danych osobowych. Office 365 wraz ze wszystkimi usługami towarzyszącymi mógłby być wykorzystywany w heskim szkolnictwie tylko wtedy, jeśli dane przechowywane byłyby na terytorium Niemiec.

W Niemczech debata na ten temat toczy się od lat, zainteresowanie zarówno władz krajów związkowych, jak i federalnych obejmuje nie tylko popularny pakiet biurowy, lecz także system operacyjny Microsoftu: „Dzięki systemowi operacyjnemu Windows 10 ogrom danych telemetrycznych jest przesyłany do firmy Microsoft, ich zawartość nie została ostatecznie wyjaśniona pomimo wielokrotnych zapytań kierowanych do Microsoftu” – czytamy w komunikacie. Na kwestię te zwracano uwagę już 4 lata temu, zaraz po premierze Windowsa 10. Proces zbierania danych jest od lat antytransparentny, a przecież nie brakuje przykładów rozsądnej implementacji telemetrii w systemie operacyjnym, vide Canonical i Ubuntu.

Kod narzędzi telemtrycznych z Ubuntu można znaleźć na GitHubie – jawniej sie chyba nie da.

Microsoft co prawda uruchomił ekran OOBE (out-of-box-experience), za pomocą którego użytkownicy za pomocą kilku przełączników mają w teorii odzyskać władze nad tym, co i na jaką skalę jest przesyłane na amerykańskie serwery. Niejednokrotnie byliśmy jednak świadkami tego, że tak naprawdę jedyną stroną, która ma jakąkolwiek władze nad tym procesem, jest sam Microsoft. Wystarczy przywołać przypadki, kiedy tzw. ustawienia prywatności resetowały się niby to przypadkiem po kolejnej dużej aktualizacji systemu. Problem ten dostrzegają władze w Hesji i formułują w kierunku kierowanej przez Satyę Nadellę korporacji otwarty zarzut: Microsoft od lat miga się od wyjaśnień, jakie informacje zbiera o użytkownikach Windows 10.

Z punktu widzenia władz Hesji, kluczową kwestię stanowi to, czy Microsoft umożliwia niemieckim szkołom przechowywanie danych na serwerach zlokalizowanych w RFN. Według komisarza ds. ochrony danych i wolności informacji, mimo rozmów w tej sprawie, wymóg ten nadal nie jest spełniony, a dane przechowywane na serwerach Microsoftu mieszczących się w Stanach Zjednoczonych pozostają do dyspozycji amerykańskich agencji rządowych, co także ma naruszać niemieckie i europejskie standardy ochrony danych osobowych. Suma tych czynników zaważyła na decyzji, by całkowicie zakazać stosowania pakietu biurowego Office 365 w heskich szkołach.

„Opcje prywatności” w ustawieniach Windowsa 10.

Teraz piłka jest po stronie Microsoftu – aby uczniowie i nauczyciele mogli znów korzystać z Office’a, korporacja musi zapewnić lokalną infrastrukturę serwerową. Władze Hesji chcą także uzgodnień w sprawie telemetrii w Windowsie 10 oraz zaznaczają, że również usługi chmurowe dostarczane przez Apple czy Google nie są wystarczająco transparentne. Nie jest gwarantowana dostateczna rozpoznawalność procesów przetwarzania danych, wszystko dzieje się w zamkniętej własnościowej infrastrukturze. Proces opiera się, jak to niegdyś ujmowano w materiałach promocyjnych głośników Amazon Echo Dot, na zaufaniu. Później dowiedzieliśmy się, że nagrań z Echo Dot słuchają ludzcy pracownicy Amazonu i są one usuwane wyłącznie na żądanie użytkownika.

Myliłby się ten, kto sądzi, że sprawa nie jest powiązana z realiami polskimi. Otóż Microsoft bardzo często jest dostawcą usług pocztowych w ramach pakietu Office 365 także w szkołach i uczelniach nad Wisłą. Nierzadko konto mailowe jest zakładane bez wcześniejszej zgody ucznia czy studenta i stanowi wyłączny dozwolony sposób na komunikację z pracownikami placówki. Rzecz jasna w Polsce nikt jak dotąd nie zadaje sobie pytań o to, czy nie dochodzi tu do nieprawidłowości i naruszeń ochrony danych osobowych, zaś kwestia tego, czy dane są przechowywane w Polsce, czy w USA w ogóle nie jest podnoszona. Uczącym się w Hesji pozostaje zazdrościć.