Office 365 dla Edukacji jako rozwiązanie do zdalnego nauczania – czy to zgodne z RODO?

piszące dziecko

Zdalną edukację można rozwiązać na wiele sposobów, jednym z nich jest Office 365.

Wielu dyrektorów uruchomiło tą lub inną usługę, jednak nie wszyscy analizują wybór narzędzia pod kątem bezpieczeństwa, prywatności i ochrony danych. Jest to duży błąd, gdyż za niektóre „darmowe” rozwiązania płacimy prywatnością i jako domowi użytkownicy mamy do tego pełne prawo, natomiast płacenie za system danymi uczniów czy nauczycieli jest niedopuszczalne.

 

Facebook logo

Problem pojawia się również kiedy chcemy skorzystać z takich narzędzi jak Messenger, gdzie Facebook jest samodzielnym ADO i nie mamy kontroli nad kontami uczniów. W sytuacji, gdy użytkownik ma poniżej 13 r.ż. problemów pojawia się jeszcze więcej.

Microsoft logo

Przyjrzyjmy się zatem jednemu z największych dostawców usług online na świecie Microsoft i jego ofercie dla szkół czyli Office 365 for Education A1.

Jak możemy przeczytać na stronie Microsoft:
cyt. „Szkoły oraz uczelnie, w tym wszyscy pracownicy, nauczyciele, uczniowie i studenci, mogą bezpłatnie korzystać z usługi Office 365 A1, zawierającej Microsoft Teams, aplikacje Word, Excel PowerPoint i OneNote w wersji online, oraz inne aplikacje i narzędzia do zdalnej edukacji.”

 

MEN w swoim poradniku dla dyrektorów wskazał Office 365 oraz Google G Suit jako przykładowe rozwiązania pozwalające zorganizować e-nauczanie.

office 365 logo

Czy używanie tych narzędzi jest zgodne z RODO oraz polityką i warunkami licencji  Microsoft?

Otóż w swoich regulaminach oraz warunkach licencji Microsoft ujął regulację wynikające z RODO, tarczy prywatności USA-UE oraz innych regulacji międzynarodowych. Usługa ta w pakiecie Office 365 A1 jest dla sektora edukacji darmowa

Oczywiście należy tutaj zadać odwieczne pytanie o to kto jest ADO?

W tej sytuacji bezsprzecznie Administratorem danych uczniów i nauczycieli przetwarzanych w ramach konta Office 365 dla szkoły jest Szkoła. 

Kim więc jest Microsoft?

Microsoft występuje w roli Podmiotu Przetwarzającego, podobnie jak to ma miejsce w przypadku elektronicznego dziennika.

Jak uregulowane są wymagania z art. 28 RODO?

Microsoft przygotował i na bieżąco aktualizuje Data Protection Assessment , który dostępny jest m.in. w języku polskim.

Jak to się ma do art. 28 ust. 3?

W dodatku dotyczącym ochrony danych (dodatek do Postanowień Dotyczących Usług Online), uregulowane są następujące kwestie dotyczące przetwarzania danych osobowych:

  • Zakres 
  • Charakter przetwarzania, własność 
  • Ujawnianie Danych Przetworzonych 
  • Przetwarzanie Danych Osobowych, RODO 
  • Bezpieczeństwo danych 
  • Powiadomienie o Naruszeniu Zabezpieczeń 
  • Lokalizacja i przekazywanie danych
  • Zatrzymywanie i usuwanie danych
  • Zobowiązanie podmiotu przetwarzającego do zachowania poufności
  • Powiadomienie i kontrole dotyczące korzystania z usług podmiotów podprzetwarzających
  • Instytucje edukacyjne
  • Umowa kliencka z CJIS
  • Partner Biznesowy w rozumieniu ustawy HIPAA
  • Postanowienia wynikające z ustawy California Consumer Privacy Act (CCPA)
  • Kontakt z Microsoft
  • Aneks A — Środki bezpieczeństwa

Tak, więc zapisy te spełniają wymagania, które stawia na regulacji ADO-PP rozporządzenie unijne.

Czy Microsoft rzeczywiście jest podmiotem przetwarzającym?

Wiele osób zadaje mi to pytanie argumentując, że to Microsoft stoi na pozycji „siły” i to on decyduje jak dane są przetwarzane.
Nie jest to jednak właściwa argumentacja, gdyż Microsoft nie decyduje o celach i sposobach przetwarzania danych, a jedynie przetwarza je dla Szkoły, czyli w jej imieniu, aby dostarczyć jej narzędzie do realizacji jej zadań i jej celów.
W związku z powyższym Microsoft dla konta Office 365 for Education A1, jest Podmiotem Przetwarzającym w rozumieniu art. 4 pkt. 8 RODO, gdyż zgodnie z art. 28 ust. 1 przetwarzanie jest dokonywane w imieniu administratora.
Należy pamiętać, że pozycja siły czy możliwości negocjacyjnych nie jest wyznacznikiem bycia Administratorem.

Microsoft ma pełno podwykonawców, jak to się ma do art. 28 ust. 4 RODO?

Microsoft jak większość firmy z sektora IT posiada rozbudowaną siatkę podwykonawców, którzy oczywiście posiadają również dostęp do danych klientów Microsoft, zawierając jednak umowę z Microsoft dajemy ogólną zgodę na powierzenie danych innym podmiotom, z których korzysta Microsoft w celu realizacji usługi zgodnie z art. 28 ust. 2 RODO. Jak Microsoft informuje o podwykonawcach, zgodnie z drugim akapitem art. 28 ust. 2 „…W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.” ?

Na swojej stronie internetowej publikuje aktualną listę podmiotów, którym powierzył dane, które przetwarza:
https://servicetrust.microsoft.com/ViewPage/TrustDocumentsV3, aktualną listę można również pobrać TUTAJ

Jak regulowane są transfery danych do Państw Trzecich?

Microsoft swoją siedzibę oraz dużą cześć zasobów posiada poza Europejskim Obszarem Gospodarczym, dochodzi do tzw. transferu danych, które są ściśle regulowane przez RODO.
Jak to jest w przypadku danych przetwarzanych w Office 365, większość danych przetwarzanych w Polsce jest zlokalizowanych na terenie Uni Europejskiej, oczywiście nie wszystkie, zakres jakie dane i gdzie są zlokalizowane można znaleźć na specjalnej stronie temu poświęconej

Ponadto Microsoft stosuje Standardowe Klauzule Umowne, które znaleźć można w Załączniku nr 2 do Dodatku dotyczącego Ochrony Danych w ramach Usług Online Microsoft (DPA)

Dla wszystkich osób, które chcą rozwiać inne wątpliwości zachęcam do zapoznania się z materiałami dotyczącymi przetwarzania danych osobowych w produktach Microsoft, które polski oddział Microsoft odpowiedzialny za sektor edukacji przygotował w związku z aktualną sytuacją epidemiczną. 

Materiał jest przygotowany w formie Q&A po polsku z użyciem bardzo prostego i zrozumiałego języka, stąd zachęcam wszystkich do zapoznania się z nim.

RODO Q&A (sektor edukacji)

Jak uzyskać dostęp, używać, zakładać konta uczniom i nauczycielom można dowiedzieć się na specjalnie w tym celu przygotowanej stronie internetowej AKA MS Zdalna Szkoła

Ponadto Microsoft we współpracy z x-kom świadczy darmowe wsparcie dla uczniów i nauczycieli w zakresie korzystania z oprogramowania Office 365, ale również z problemami z dostępem do Internetu czy ze sprzętem komputerowym

Wsparcie można uzyskać na stronie internetowe przygotowanej przez x-kom, mailowo pod adresem edukacja@microsoft.com lub telefonicznie 34 377 00 49

Wsparcie dedykowane jest nauczycielom oraz rodzicom i uczniom.

Oczywiście w przypadku pytań również służę pomocą.

infolinia x-kom dla produktów Microsoft

5 myśli na “Office 365 dla Edukacji jako rozwiązanie do zdalnego nauczania – czy to zgodne z RODO?”

  1. Dzień dobry

    Jak sytuacja się ma do wydanego przez TSUE wyroku, w którym stwierdza się, że Tarcza Prywatności jest niezgodna z RODO?

    1. Stosowanie narzędzi firmy Microsoft nie przestało być legalne. Dane osobowe co do zasady są przechowywane przez Microsoft w Europie, natomiast ewentualny transfer danych jest dokonywany na podstawie klauzul umownych zawartych w DPA.

    2. Obowiązują Standardowe klauzule umowne, Tarcza nie jest potrzebna. Jeśli administrator nie zaznaczył lokalizacji przetwarzania danych w USA, to problemu nie ma. Gorzej jak jest wysyłka do USA, to na ADO spoczywa obowiązek oszacowania przed wysyłką, czy przepisy i normy obowiązujące w USA gwarantują poziom ochrony danych opisanych w RODO i stosowanych w EU. Wyrok TSUE określił, że w USA takiej gwarancji nie ma. Pytanie, jak inaczej zapewnić, że poziom ochrony/prywatności danych w USA jest odpowiedni? Bo inaczej ADO powinien zaprzestać wysyłki do USA.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *