מיקרוסופט אוספת ומאחסנת נתונים על התנהגותם של משתמשיה בקנה מידה גדול - ללא כל תיעוד פומבי לכך. כך מצא דו"ח סקר סיכוני הגנת מידע (Data Protection Impact Assessment - DPIA) שנערך על-ידי חברת Privacy Company מטעם ממשלת הולנד, במטרה להכווין את מוסדותיה בנוגע לממשקים שלהם עם תוכנות Office של מיקרוסופט.
לפי הדו"ח, מיקרוסופט אוספת בסתר ובאופן שיטתי נתונים על השימוש של משתמשים בתוכנות Word, Excel, PowerPoint ו- Outlook, מבלי לידע אותם על כך. מיקרוסופט גם אינה מציעה למשתמשים אפשרות לשלוט בכמות המידע שנאסף עליהם, אפשרות לסרב לאיסוף המידע (Opt-out) או אפשרות לעיין במידע שנאסף.
הדו"ח מצביע על מספר סיכונים לנושאי המידע שעל אודותם נאספים נתונים. לטענתו –
- מיקרוסופט מאחסנת באופן בלתי חוקי מידע רגיש או מסווג (כדוגמת נתוני גלישה וכותרות של תכתובות אימייל);
- מיקרוסופט מעריכה בצורה שגויה את מעמדה לפי תקנות הגנת המידע האירופאיות (GDPR) ומגדירה עצמה כמעבדת מידע (Data Processor) במקום כבעלת שליטה במשותף במידע (Joint Data Controller) לפי ההגדרה בסעיף 26 ל- GDPR;
- למיקרוסופט אין שליטה מספקת על קבלני משנה שמעבדים מידע מטעמה ועל עיבוד המידע שמתבצע;
- מייקרוסופט אינה מגבילה את מטרות עיבוד המידע שלה;
- מיקרוסופט מעבירה נתונים מחוץ לאזור הכלכלי של האיחוד האירופי (EEA) בעוד הבסיס המשפטי לכך הוא תכנית ה- Privacy Shield שעתידה לעמוד לביקורת שיפוטית של בית הדין האירופי לצדק;
- מיקרוסופט שומרת על נתונים מסוג diagnostic data לזמן בלתי מוגבל ואין לה כלים למחיקת נתונים היסטוריים כאלו.
דובר של מיקרוסופט טען בתגובה כי החברה מחויבת למציאת פתרון לחששות שעלו בדו"ח ומסר כי "אנו מחויבים לפרטיות הלקוחות שלנו, נותנים להם שליטה על הנתונים שלהם ומבטיחים ש- Office ProPlus ומוצרים אחרים של מיקרוסופט יעמדו בתקנים של ה- GDPR וחקיקה נוספת שחלה עליה". מקור: TNW (מאת: מאר מאסון מאק).