Nizozemská vláda vs. Microsoft: příběh GDPR o diagnostických datech.

V loňském roce nizozemská vláda zadala posouzení dopadů na ochranu údajů (DPIA) společnosti s názvem Privacy Company o diagnostických údajích o používání Microsoft Office ProPlus, včetně samostatných Office 2016 a Office 365. Začátkem listopadu 2018 zpráva zveřejnění podrobností bylo zveřejněno a byly (překvapivě) ohromující a odhalily shromažďování osobních údajů.

Kredity: imgflip.com

Celkově se jedná o odhadovaná data, která společnost Microsoft shromažďuje kolem 25 000 typů událostí o používání softwaru. Ty jsou zasílány na servery prodejců a „jako základní bezpečnostní opatření Microsoft kóduje odchozí provoz“. Společnost pro ochranu soukromí uvádí, že k této sbírce dochází v mnohem větším měřítku ve srovnání s telemetrickými daty systému Windows 10, které při nastavení na „plné“ shromažďují více než 1000 typů událostí.

Výsledkem takového rozsáhlého sběru je podle DPIA 8 hlavních rizik ochrany údajů:

1. Žádný přehled konkrétních rizik pro jednotlivé organizace z důvodu nedostatečné transparentnosti (žádný nástroj pro prohlížení dat, žádná veřejná dokumentace);
2. Žádná možnost ovlivnit nebo ukončit sběr diagnostických dat (žádná nastavení úrovní telemetrie);
3. protiprávní ukládání citlivých / utajovaných / zvláštních kategorií údajů, a to jak v metadatech, tak v obsahu, jako jsou například předmětové řádky e-mailů;
4. Nesprávná kvalifikace společnosti Microsoft jako zpracovatele údajů namísto společného správce, jak je definován v článku 26 GDPR;
5. nedostatečná kontrola nad dílčími zpracovateli a faktickým zpracováním;
6. neexistence omezení účelu jak pro zpracování historicky shromážděných diagnostických údajů, tak možnost dynamicky přidávat nové události;
7. Předávání (všech druhů) diagnostických údajů mimo EHP, přičemž současným právním důvodem je ochrana soukromí a platnost této dohody podléhá řízení u Evropského soudního dvora;
8. Neomezená doba uchovávání diagnostických údajů a neexistence nástroje pro mazání historických diagnostických údajů.

Ve zprávě DPIA se uvádí, že ačkoli nástroj umožňující prohlížení shromažďovaných údajů neexistuje, bylo možné dojít k závěru, že diagnostická data mohou zahrnovat osobní a citlivá data. Mezi příklady patří e-mailové předměty a věty, které procházejí kontrolou pravopisu a gramatiky.

Příklad diagnostických údajů uvedených ve zprávě „Společnost poskytující soukromí“.

Pravděpodobně největším výsledkem této zprávy DPIA a „bitvy“ mezi nizozemskou vládou a společností Microsoft je to, že prodejce přezkoumal svůj předpoklad, že diagnostická data nebyla osobními údaji. Společnost Microsoft uznala, že „mnoho diagnostických údajů o používání softwaru sady Office a souvisejících služeb, včetně telemetrických dat, obsahuje osobní údaje“. Na základě této pozice to vypadá, že prodejce je ochoten uvolnit řádnou dokumentaci a nástroj pro prohlížení dat, který by měl zákazníkům umožnit přesně zobrazit, jaká data společnost Microsoft shromáždila.

Domnívám se, že tato zpráva je významným krokem k ochraně soukromí a ochraně osobních údajů, které velcí hráči často přehlížejí. Pro odborníky v oblasti informační bezpečnosti je to také výzva k pozornost při provádění hodnocení rizik nebo při psaní DPIA souvisejících s Microsoft Office, zejména s ohledem na projekty zahrnující přijetí Office 365.