Navajamo celoten odgovor Informacijskega pooblaščenca.
Informacijski pooblaščenec (IP) je seznanjen s pomisleki, povezanimi z obdelavo osebnih podatkov pri uporabi oblačnih storitev Microsofta, zlasti glede pravne podlage za obdelavo osebnih podatkov za Microsoftove lastne namene in glede zakonitosti prenosa osebnih podatkov v tretje države, npr. v ZDA, kjer ima družba Microsoft svoj glavni sedež.
IP o pogojih za uporabo oblačnih storitev in s tem povezanimi dolžnostmi upravljavcev, ki uporabljajo storitve v oblaku, opozarja v svojih mnenjih, ki so objavljena na spletni strani IP, na naslovu: https://www.ip-rs.si/varstvo-osebnih-podatkov/iskalnik-po-mnenjih ter v svojih smernicah (https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/), kot so:
- Smernice za skladno uporabo informacijskih rešitev v šolstvu
- Smernice glede prenosa osebnih podatkov v tretje države
- Smernice za varstvo osebnih podatkov in računalništvo v oblaku
Kar zadeva uporabo oblačnih storitev v javnem sektorju, vam sporočamo, da se je IP 1. 3. 2022 pridružil širši pobudi Evropskega odbora za varstvo podatkov (EDPB), v okviru katere 22 njegovih članov, skupaj z Evropskim nadzornikom za varstvo podatkov, usklajeno obravnava skupno temo uporabe oblačnih storitev v javnem sektorju.
Pobuda EDPB je nastala znotraj Okvirja za usklajeno izvrševanje (Coordinated Enforcement Framework), ki je bil ustanovljen oktobra 2020 in skupaj s Podporno skupino strokovnjakov (Support Pool of Experts) predstavljata ključna ukrepa, začrtana v Strategiji Evropskega odbora za varstvo podatkov za obdobje 2021-2023. Cilj ukrepov je poenostavitev izvrševanja in sodelovanja med nadzornimi organi.
Po poročanju Eurostata se je uporaba oblačnih storitev s strani podjetij v zadnjih šestih letih kar podvojila. Epidemija je pospešila digitalno transformacijo organizacij, v tem času pa je tudi več organov javnega sektorja pričelo z uporabo oblačnih storitev. Ob tem se organi javnega sektorja na nacionalni in evropski ravni soočajo s težavami pri pridobitvi informacij in izdelkov ter storitev, ki so skladne z evropskimi pravili varstva osebnih podatkov. Iz navedenega razloga je cilj usklajenega ukrepa s strani nadzornih organov spodbujanje najboljših praks in zagotovitev ustreznega varstva osebnih podatkov.
Znotraj pobude je bilo v okviru Evropskega gospodarskega prostora naslovljenih preko 80 organov javne uprave, vključno z evropskimi institucijami, ki pokrivajo najrazličnejše sektorje, npr. zdravstveni, finančni, davčni, izobraževalni ter osrednje ponudnike IT storitev. IP se je odločil, da v okviru pobude naslovi visokošolski in raziskovalni sektor. S pomočjo vprašalnika se ocenjuje usklajenost s Splošno uredbo o varstvu podatkov pri uporabi oblačnih storitev, skupaj s postopkom in sprejetimi zaščitnimi ukrepi pri pridobivanju oblačnih storitev; naslovila se bodo tudi vprašanja, povezana z mednarodnimi prenosi in odnosi med upravljavci ter obdelovalci osebnih podatkov. Skupno poročilo te usklajene akcije bo na voljo predvidoma februarja.
Rezultati bodo obravnavani usklajeno na ravni EDPB, pri čemer se bo vsak član samostojno odločal, ali je v konkretnem primeru potreben nadaljnji inšpekcijski postopek. Skupni rezultati bodo prikazani v agregirani obliki, ki bodo podali globlji vpogled v področje in omogočili usklajeno spremljanje področja na evropski ravni.
Dostop do Microsoft 365 za šole praviloma zagotavljajo v Arnesu
Da bi preverili, kako je z varovanjem osebnih podatkov učencev ter zaposlenih v osnovnih šolah in drugih izobraževalnih ustanovah, kjer uporabljajo Microsoft 365, smo se obrnili na Arnes.
Arnes za potrebe izobraževalnega sektorja upravlja z infrastrukturo za overjanje istovetnosti (avtentikacijo) pri prijavi v različne storitve. Šole in univerze zaposlenim oziroma učencem dodelijo uporabniško ime, s katerim se lahko ti prijavijo v storitve različnih ponudnikov, na primer v Arnesove spletne učilnice, Arnes Splet, Arnesov video portal, ali pa v storitev 1KA, ki jo upravlja FDV ter v storitve Microsoft Office 365.
»Da lahko prijava v storitev Microsofta deluje - se pravi, da lahko učenec v Office 365 vstopa z uporabniškim imenom, ki mu ga je neodvisno od Microsofta dodelila šola, je Arnes s pomočjo zunanjega izvajalca vzpostavil premostitveno" storitev Oblak 365, ki pravzaprav ne naredi drugega, kot da vzpostavi povezavo med uporabniškim imenom učenca in licenco za Office 365, do katere je ta upravičen, neodvisno od Arnesa,« je povedal Tomi Dolenc, vodja oddelka za komunikacijo z uporabniki v Arnesu.
Pri Oblaku 365 ne gre za različico Office 365, ampak zgolj za način dostopa do storitve Microsofta z mehanizmom enotne prijave. Pri tem se, sledeč principu tega mehanizma (AAI - Authentication and Authorization Infrastructure), ponudniku oziroma storitvi, v tem primeru Office 365 posredujejo le tisti osebni podatki, ki so potrebni za delovanje storitve. To vključuje ime in priimek, elektronski naslov in še kaj. Kot pravi Dolenc, lahko šole storitve Office 365 uporabljajo tudi brez tega, le da v tem primeru dobi učenec uporabniško ime neposredno pri Microsoftu in pri tem morda posreduje še kak osebni podatek več.
V Arnesu so s pomisleki glede uporabe oblačnih storitev, ki so bazirane izven EU, ne le Microsofta, seveda seznanjeni. Diskusije o tem potekajo tudi na mednarodni ravni, tudi v skupnosti evropskih raziskovalnih in izobraževalnih omrežij, torej »arnesov«, ki tudi podpirajo izobraževanje na daljavo.
»Odločitev nemškega nadzornega organa se zdi dobro argumentirana, vendar kot kaže še ni soglasja na evropski ravni, kako ravnati,« meni Dolenc, ki ugotavlja, da tako velik trg, kot je Evropa, očitno težko doseže radikalnejšo spremembo politik velikih ponudnikov. Zato bi bilo nesmiselno pričakovati na primer od šole, ki je formalno po GDPR kot upravljavec osebnih podatkov odgovorna za zagotovitev skladnosti pri vseh storitvah, ki jih uporablja, da zahteva od korporacije ustrezne garancije v pogodbi.
Vir: Informacijski pooblaščenec, Arnes
