За шесть лет власти Андалусии передали Microsoft данные 525 тысяч учеников и 74 тысяч учителей. Совет по защите данных выявил серьезные нарушения и вынес шесть санкций без штрафа. Новый план действий обязателен до конца июля.
Совет по прозрачности и защите данных Андалусии выявил масштабное нарушение: региональные власти в течение шести лет передавали Microsoft персональные данные 525 тысяч несовершеннолетних учеников, 74 тысяч преподавателей и сотрудников более тысячи школ. Это происходило в рамках соглашения о бесплатном использовании облачной платформы американской компании. По итогам проверки Совет вынес шесть санкций — две очень серьезные, три серьезные и одну легкую, но без наложения денежного штрафа.
В числе самых тяжелых нарушений — передача данных в третьи страны, такие как Объединенные Арабские Эмираты, Южная Африка и Индия, без достаточных гарантий безопасности. Кроме того, власти не информировали участников образовательного процесса о том, как используются их персональные данные. Совет подчеркивает, что Еврокомиссия не считает уровень защиты данных в этих странах достаточным.
Три серьезные санкции связаны с отсутствием мер по снижению риска утечки особо чувствительных данных, включая сведения о здоровье, а также с хранением неуместных изображений и видео в облаке Microsoft. Власти не провели обязательную оценку воздействия на защиту данных, как того требует европейское законодательство. Легкая санкция касается отсутствия регистрации международных передач данных несовершеннолетних.
Данные учеников и учителей передавались без их предварительного согласия. Взамен школы и педагоги получали бесплатный доступ к сервисам Microsoft Office, OneDrive и Teams. Совет отмечает, что регион не внедрил технических и организационных мер для ограничения рисков, связанных с обработкой особо чувствительных данных — например, сведений о здоровье, религии, убеждениях или расовом происхождении.
Проблема не нова: ранее аналогичные нарушения были выявлены при сотрудничестве с Google, когда в 2020 году данные почти 740 тысяч учеников и 43 тысяч учителей также оказались в распоряжении технологической корпорации. Тогда Совет по защите данных также вынес замечания, но без штрафных санкций.
Жалоба на соглашение с Microsoft поступила от преподавателя, который указал на рутинную передачу чувствительных данных через облачные сервисы — например, при обмене психолого-педагогическими отчетами или обсуждении политических взглядов в учебных заданиях. Совет объяснил отсутствие штрафа необходимостью сохранить доступ к образовательным сервисам и не нарушать право детей на обучение. Власти Андалусии обязаны до 31 июля представить новый план действий, согласованный с Microsoft, чтобы устранить выявленные нарушения.
Соглашение между Андалусией и Microsoft действует с 2020 года и продлевалось в 2022 и 2024 годах. Новое соглашение планируется подписать до ноября. Microsoft не прокомментировала причины несоблюдения европейских норм, ограничившись заявлением о приверженности требованиям по защите данных.
По мнению ряда экспертов, ситуация подчеркивает конфликт между интересами образовательной системы и коммерческими целями технологических гигантов. Совет по защите данных отмечает, что приостановка сервисов Microsoft могла бы негативно сказаться на праве детей на образование, поэтому выбрал путь предупреждения и корректирующих мер. В ближайшие месяцы региональные власти должны представить детальный план по минимизации рисков и защите персональных данных школьников и учителей.
Для справки: в Испании действует один из самых строгих режимов защиты персональных данных в Европе. Регламент ЕС (GDPR) требует обязательного согласия на обработку чувствительных данных и проведения оценки рисков при их передаче за пределы ЕС. Нарушения могут приводить к крупным штрафам, однако в случае с образовательными платформами регуляторы иногда делают исключения ради непрерывности учебного процесса. В последние годы школы по всей стране массово переходят на цифровые сервисы, что усиливает требования к безопасности и прозрачности обработки информации.