Thêm một lần nữa Microsoft xâm phạm vào Quy định bảo vệ dữ liệu chung (GDPR) - một trong những đạo luật nghiêm ngặt nhất của EU liên quan đến vấn đề bảo vệ dữ liệu và quyền riêng tư cho tất cả các cá nhân sống trong lãnh thổ Liên minh châu Âu và Khu vực kinh tế châu Âu. Và sự việc lần này đã khiến họ phải trả cái giá rất đắt.
Theo đó, Văn phòng bảo vệ dữ liệu và tự do thông tin tiểu bang Hesse, thuộc Uỷ ban ban lý quyền riêng tư tiểu bang Cộng hòa Liên bang Đức mới đây đã chính thức ban hành lệnh cấm sử dụng đối với Windows 10 và Office 365 trong tất cả các trường học tại vùng Hesse, với cáo buộc 2 nền tảng này đã vi phạm nghiêm trọng một số quy định thuộc GDPR, do đó không đáp ứng đủ tiêu chuẩn để có thể được sử dụng trong trường học.
GDPR chính thức được áp dụng từ ngày 25/05/2018
Nhiều khả năng vấn đề trên có liên quan đến cả 2 giải pháp kết nối đám mây của Windows 10 và Office 365, cho phép gửi lại một vài thông tin về máy chủ Microsoft ở Hoa Kỳ. “Những thông tin này có thể bao gồm mọi thứ từ thông tin dự đoán phần mềm cho đến những nội dung bên trong các ứng dụng của Office 365 như các câu từ trong văn bản, email, đặc biệt là thông tin cá nhân về học sinh và giáo viên. Và phía nhận dữ liệu (tại Mỹ) sẽ “có thể truy xuất thông tin này” - một hành vi xâm phạm trực tiếp vào GDPR.
Trước đây, Microsoft cũng đã từng cung cấp một phiên bản đặc biệt của các ứng dụng phần mềm này, lưu trữ dữ liệu trong một số trung tâm dữ liệu đặt ngay tại châu Âu. Tuy nhiên gầy đây Châu Âu đã không còn cho phép Microsoft làm như vậy nữa, và dữ liệu được gửi trực tiếp đến Hoa Kỳ.
Trên thực tế, phán quyết này chính là kết quả tất yếu sau nhiều năm tranh luận nội bộ về việc có nên cho phép phần mềm của Microsoft được sử dụng rộng rãi trong các hệ thống trường học và và cơ sở giáo dục tại Đức hay không.
Michael Ronellenuitsch, Ủy viên Văn phòng bảo vệ dữ liệu và tự do thông tin tiểu bang Hesse, cho biết các tổ chức, cơ quan công cộng tại Đức buộc phải có trách nhiệm đặc biệt liên quan đến việc kiểm soát các hành vi truy xuất, xử lý dữ liệu cá nhân của các ứng dụng, phần mềm nước ngoài như Windows 10 và Office 365.
Cũng theo ông Ronellenuitsch, “quyền truy cập của bên thứ ba vào kho dữ liệu lưu trữ trên đám mây và vấn đề dữ liệu từ xa nên được giải quyết theo cách dễ hiểu và tuân thủ tuyệt đối các quy định bảo vệ dữ liệu cá nhân. Nếu đáp ứng được điều này, Office 365 hoàn toàn có thể được sử dụng như một giải pháp đám mây an toàn trong các trường học tại Hesse”. Đồng thời lưu ý rằng các vấn đề của Microsoft cũng ảnh hưởng đến nhiều nhà cung cấp giải pháp CNTT khác đang hoạt động tại Đức như Google và Apple. “Các giải pháp đám mây của một số nhà cung cấp dịch vụ lớn cho đến nay vẫn chưa được đặt ra một cách toàn diện và minh bạch. Do đó, việc tuân thủ quyền riêng tư tuyệt đối tại các trường học vẫn còn nhiều kẽ hở cần giải quyết”.
Windows 10 và Office 365 đã xâm phạm nghiêm trong một số quy định của GDPR
Lệnh cấm này đồng thời cũng khiến các trường học tại bang Hesse gặp một số khó khăn nhất định, ít nhất là cho đến khi Microsoft thực sự giải quyết được những vấn đề về dữ liệu nêu trên. Hiện tại, toàn bộ các trường học tại miền trung nước Đức đều phải tuân theo chỉ thị từ Văn phòng bảo vệ dữ liệu riêng tư Hesse, tức là sử dụng các phần mềm thay thế trong khi chờ phản hồi từ Microsoft.
Vẫn chưa rõ các bên bị ảnh hưởng sẽ đưa ra phản ứng thế nào với phán quyết này, cũng như những sự gián đoạn có thể xảy ra, nhưng theo giới quan sát, phương án khả dĩ nhất để khắc phục vấn đề này một cách nhanh chóng chỉ đơn giản là Microsoft quay trở lại đặt các trung tâm dữ liệu trong lãnh thổ châu Âu.