Procjena učinka na zaštitu podataka pokazala kako postoje rizici za zaštitu privatnosti

Na zahtjev Ministarstva sigurnosti i pravde društvo Privacy Company provelo je procjenu učinka na zaštitu podataka sukladno Općoj uredbi o zaštiti podataka - GDPR (u nastavku: Procjena učinka) u odnosu na Microsoft Office ProPlus Enterprise (Office 2016 MSI i Office 365 CTR). Uz dozvolu Ministarstva, objavljujemo novosti u vezi procijenjenih rizika. Za sva pitanja u vezi s ovim istraživanjem možete se obratiti SLM Rijk (Strategic Vendor Management Microsoft Rijk), koji je dostupan putem Ureda za javnost Ministarstva pravde, +3170 370 73 45.

SLM Rijk vodi pregovore sa Microsoftom za oko 300.000 digitalnih radnih stanica nizozemske vlade. Enterprise verziju uredskog softvera koriste različite vladine organizacije, kao što su ministarstva, pravosuđe, policija i porezna tijela.
Rezultati Procjene učinka su alarmantni. Microsoft prikuplja i pohranjuje osobne podatke o ponašanju zaposlenika u velikim razmjerima, bez ikakve javne dokumentacije. Objavljena Procjena učinka je dostupna na engleskom jeziku: Link. Tijekom izrade ove Procjene učinka, Microsoft se obvezao da će poduzeti nužne mjere kako bi smanjio rizik za obradu osobnih podataka.

Office 2016 i Office 365

Većina vladinih organizacija u Nizozemskoj koristi verzije Office 2016 i Office 365 (ili čak i starije verzije) koje su instalirane na računalima zaposlenika. Organizacije pohranjuju podatke lokalno, u svojim vlastitim podatkovnim centrima. Međutim, to će se promijeniti jer SLM Rijk provodi pilot verziju sa pohranom podataka na Microsoft cloud-u, u SharePoint-u i na OneDrive-u. Također, provode se i test verzije Office 365 koja je namijenjena isključivo za Internet, gdje softver više nije instaliran na uređajima krajnjih korisnika.

Prikrivena obrada osobnih podataka velikih razmjera

Microsoft sistematično i prikriveno prikuplja podatke velikog razmjera o pojedinačnoj upotrebi Worda, Excela, PowerPointa i Outlooka. Pritom ne nudi nikakav izbor u vezi količine podataka, mogućnosti prestanka prikupljanja i uvida u podatke koji se prikupljaju, budući da je tok podataka kodiran. Sličnu praksu pronalazimo u Windowsu 10, gdje je Microsoft uključio odvojeni softver u Office softver koji redovito šalje telemetrijske podatke na vlastiti server u Sjedinjenim Američkim Državama. Primjerice, Microsoft prikuplja podatke o postupcima u Wordu, kada koristite tipku za razmak više puta zaredom, što vjerojatno znači da ne znate ispravan pravopis. Također se prikupljaju informacije o rečenicama prije i poslije riječi koju ste provjerili u mrežnom alatu za provjeru pravopisa ili u pružatelju usluga prevođenja. Microsoft ne prikuplja samo podatke putem telemetrije koja je ugrađena svakom korisniku, već dokumentira i pohranjuje individualno korištenje Povezanih usluga (eng. Microsoft Connected Services). Primjerice, ako korisnik pristupi Povezanoj usluzi, kao što je usluga prevođenja kroz Office softver, Microsoft može pohraniti osobni podatak o korištenju te usluge putem tzv. sistemski generiranih logova događaja.

Razlika između sadržaja, dijagnostike i funkcionalnih podataka

Microsoft pruža usluge putem Interneta. Iz tehničke perspektive, neizbježno je ustupanje vaših podataka poput zaglavlja e-pošte ili IP adrese Microsoftu, kako bi se tražena usluga mogla pružiti. Međutim, Microsoft ne bi trebao pohranjivati prijelazne-funkcionalne podatke, osim ako je njihovo čuvanje nesumnjivo potrebno, primjerice, u sigurnosne svrhe. U ovom izvješću o Procjeni učinka, podaci koje Microsoft prikuplja putem Office ProPlus-a raspoređeni su u tri kategorije:

Podaci o sadržaju: sadržaj datoteka i komunikacija koje su pohranjene u vašem podatkovnom centru ili cloud-u Microsoftovog računala.

Funkcionalni podaci: podaci koje morate prenijeti putem Interneta kako bi se mogli povezati sa Microsoftovim internetskim uslugama.

Dijagnostički podaci: podaci koje Microsoft pohranjuje radi analize korištenja usluga.

U ovom izvješću, Privacy Company koristi tri kategorije podataka u analogiji sa podjelom komunikacijskih podataka u skladu s europskim zakonima o elektroničkoj privatnosti. Navedeni zakoni razlikuju (i) sadržaj, (ii) promet/lokaciju podataka koji su generirani kao rezultat korištenja komunikacijskih usluga te (iii) podatke koji su nužno potrebni za prijenos komunikacije, ali moraju biti obrisani ili anonimizirani odmah po završetku prijenosa.

Microsoft naglašava kako ne koristi navedene kategorije podataka te da, između ostalog, koristi kategorije „Podaci o korisnicima“ i „Osobni podaci“. Microsoft koristi samo termin „Dijagnostički podaci“ za specifične telemetrijske podatke prikupljene putem softvera koji je ugrađen klijentu u lokalno instaliranom Office softveru.

Od 23.000 do 25.000 vrsta događaja

Microsoft (zasad) ne nudi mogućnost istraživanja sadržaja toka dijagnostičkih podataka. Microsoft je objasnio kako je od 23.000 do 25.000 vrsta događaja poslano na Microsoftove servere i kako 20-30 inženjerskih timova radi s tim podacima. Inženjeri mogu dinamički dodati nove događaje toku podataka sa svih računala na kojima je Office ProPlus. Prikupljanje podataka je puno specifičnije od telemetrije u Windowsu 10. Ako je telemetrija u Windowsu 10 podešena na „potpuno“, to uključuje od 1.000 do 1.200 vrsta događaja te 10 timova inženjera. Nizozemsko nadzorno tijelo za zaštitu podataka (u nastavku: DPA) u 2017. godini provelo je istragu o obradi telemetrijskih podataka u potrošačkoj verziji Windowsa 10 i verziji za mala poduzeća (Home i Pro).
Nizozemski DPA zaključio je kako je Microsoft prekršio zakon o zaštiti osobnih podataka na više načina, a najviše putem manjka transparentnosti i ograničenja svrhe te manjka pravnih temelja za obradu. Kao odgovor na navedeno istraživanje, Microsoft je napravio određene prilagodbe u novom izdanju softvera u proljeće 2018. godine. Nizozemski DPA zaključio je (prije izdavanja novog softvera, putem isključivo nizozemskih medija) kako će plan za unapređenje koji je prezentirao Microsoft zaustaviti sva utvrđena kršenja zakona. Nizozemski DPA nije istražio obradu podataka od strane Office softvera.

Microsoft kao (zajednički) voditelj, a ne izvršitelj obrade

Microsoft određuje svrhe obrade dijagnostičkih podataka u Office-ovom softveru te razdoblje čuvanja tih podataka (od 30 dana do 18 mjeseci ili i dulje, ako je to Microsoftu potrebno). Izvještaj Procjene učinka pokazuje kako Microsoft obrađuje osobne podatke u 7 svrha i u sve ostale svrhe za koje Microsoft smatra da su povezane. S obzirom na to da Microsoft određuje svrhe i sredstva (za razdoblje čuvanja), Microsoft ima ulogu voditelja, a ne izvršitelja obrade.
7 navedenih svrha su:

  1. Sigurnost - identificiranje i smanjivanje sigurnosnih prijetnji i rizika što je to brže moguće kroz ažuriranja Office Proplus i korekciju povezanih usluga.
  2. Ažurnost - isporuka i instaliranje najnovijih ažuriranja na Office Proplus bez prekida.
  3. Pravilno izvršavanje - identificiranje i smanjivanje anomalija, (eng. bugs) i ostalih problema proizvoda što je brže moguće kroz ažuriranja Office Proplus i korekciju povezanih usluga.
  4. Razvoj proizvoda - učenje radi dodavanje novih mogućnosti.
  5. Inovacije proizvoda - poslovna inteligencija, razvoj novih usluga.
  6. Generalni zaključci doneseni temeljem dugoročnih analiza - učenje kroz strojnu podršku.
  7. Prikaz ciljanih preporuka na ekranu korisnika.
  8. Svrhe za koje je Microsoft utvrdi da su povezane sa svih 7 navedenih svrha.

Softver Office ProPlus uključuje korištenje velikog broja mrežnih usluga. Međutim, Microsoft nudi i tzv. „diskrecijske“ (dobrovoljne) Povezane usluge, kao što su provjera pravopisa i usluga prijevoda. Microsoft se smatra voditeljem obrade samo u slučaju kada ljudi koriste tzv. diskrecijske Povezane usluge. U tom slučaju, Microsoft obrađuje osobne podatke o korištenju navedenih usluga u svih 12 svrha navedenih u svojoj općoj izjavi o privatnosti.

Veliki rizik za zaštitu osobnih podataka ispitanika

Izvješće o Procjeni učinka sadrži opsežan opis 8 visokih rizika za osobne podatke ispitanika. Vladine organizacije koje koriste Office trebale bi svaka za sebe odrediti koji su specifični rizici, u odnosu na specifične podatke koje obrađuju. Intencija izvješća je pomoći, a ne zamijeniti tu procjenu.

Tijekom pisanja izvješća o Procjeni učinka, Microsoft je već dostavio SLM Rijku obećanje da će napraviti sve bitne prilagodbe kako bi smanjio rizike. Microsoft je razvio tzv. zero-exhaust postavke. Microsoft namjerava pružiti odgovarajuće informacije, uključujući i alat za pregled podataka za telemetrijske podatke iz Office-a i pružiti mogućnost administratorima da odrede željeni nivo telemetrije. Dodatno, SLM Rijk i Microsoft Office će zajednički raditi na ispravnoj kvalifikaciji Microsofta kao (zajedničkog) voditelja obrade ili izvršitelja obrade.

Neki od preostalih rizika mogu se smanjiti tako što će organizacije koristiti nove postavke kako bi minimalizirale obradu telemetrijskih podataka. Preostalo je još 6 visokih rizika za ispitanike:

  1. Nezakonito čuvanje osjetljivih/povjerljivih/posebnih kategorija podataka, u meta-podacima i u, primjerice, naslovu e-pošte.
  2. Pogrešna kvalifikacija Microsofta kao izvršitelja obrade, umjesto kao zajedničkog voditelja sukladno članku 26. GDPR-a.
  3. Nedovoljna kontrola pod-izvršitelja i činjenične obrade podataka.
  4. Nedovoljno ograničenje svrhe, za obradu prethodno prikupljenih dijagnostičkih podataka te za mogućnost i dinamičnost dodavanja novih vrsta događaja.
  5. Prijenos (različitih vrsta) dijagnostičkih podataka izvan Europskog gospodarskog prostora za Office ProPlus temeljem Privacy Shield sporazuma dok je valjanost ovog sporazuma predmet postupka pred Europskim sudom pravde.
  6. Trajno čuvanje dijagnostičkih podataka i nedostatak alata za brisanje prethodnih/starih dijagnostičkih podataka.

Što administratori mogu napraviti kako bi smanjili rizik?

Administratori Enterprise verzije Office ProPlusa mogu poduzeti velik broj mjera kako bi smanjili rizik za privatnost:

  • Primijeniti tzv. zero-exhaust postavke.
  • Zabraniti korištenje Povezanih usluga.
  • Zabraniti mogućnost korisnicima da šalju osobne podatke Microsoftu za unaprjeđenje Office usluga.
  • Ne koristiti SharePoint Oneline/OneDrive.
  • Ne koristiti web-only verziju Office 365.
  • Periodično brisati Active Directory račune određenih VIP korisnika te kreirati nove račune, kako bi osigurali da Microsoft briše prethodne dijagnostičke podatke.
  • Uzeti u obzir samostalno raspoređivanje povjerljivih/osjetljivih podataka, bez Microsoft računa.
  • Uzeti u obzir probnu verziju alternativnog softvera, nakon provođenja procjene učinka na zaštitu podataka za tu specifičnu obradu.

Navedene mjere nisu u svim slučajevima realne ili izvedive te korisnici (Enterprise) Office usluga ne mogu sami riješiti sve probleme. U vezi s potrebnim ugovorima i prijenosom osobnih podataka u Sjedinjene Američke Države, moralo bi se težiti jedinstvenom rješenju za cijelu Europsku uniju.

Za više informacija o proizvodima i uslugama Privacy Company u Hrvatskoj, molimo obratite se na marija.boskovic@privacycompany.eu

Author image
Marija Boskovic Batarelo