Az Európai Digitális Jogok Központja (noyb) újabb sikert könyvelhetett el a Microsoft 365 Education elleni eljárásában. Az osztrák adatvédelmi hatóság (DSB) ugyanis kimondta, hogy a vállalat hozzájárulás nélkül cookie-kat telepített egy diáklány eszközére.
Jogellenes a nyomon követés
A nyomon követés ezzel jogellenesnek minősül – olvasható a noyb honlapján közölt beszámolóban.
A Microsoft saját dokumentációja szerint ezek a cookie-k elemzik a felhasználói viselkedést, böngészési adatokat gyűjtenek, és reklámcélokra használják őket.
A bécsi döntést követően a Microsoftnak négy hete van, hogy eleget tegyen a határozatnak, és beszüntesse a nyomkövető cookie-k használatát.
A döntés hátteréről
A noyb még 2024 júniusában nyújtott be két panaszt a Microsoft 365 Education iskolai használatával kapcsolatban az osztrák adatvédelmi hatósághoz.
Az első panasz ügyében már 2025 októberében döntés született. Akkor a DSB megállapította, hogy a Microsoft megsértette a GDPR 15. cikke szerinti hozzáférési jogot.
A második panasz ügyében hozta meg a hatóság a mostani döntést. Ez a jogellenes nyomkövető cookie-k használatára vonatkozott a Microsoft 365 Educationben.
Ebben a legutóbbi határozatában a DSB ismét megállapította, hogy a Microsoft jogellenesen járt el.
Négy héten belül le kell állítani
A szoftveróriás konkrétan nyomkövető cookie-kat helyezett el egy kiskorú, a Microsoft 365 Educationt használó tanuló eszközén.
A Microsoft saját dokumentációja szerint ezek a cookie-k elemzik a használati szokásokat, böngészési adatokat gyűjtenek, és reklámcélokra használják fel őket.
A DSB emellett arra kötelezte a Microsoftot, hogy négy héten belül szüntesse meg a panaszos nyomkövetését.
Mind az iskola, mind az osztrák oktatási minisztérium azt közölte, hogy a noyb panaszai előtt nem volt tudomásuk ilyen nyomkövető cookie-k létezéséről.
Felix Mikolasch, a noyb adatvédelmi jogásza szerint a kiskorúak nyomon követése nyilvánvalóan minden, csak nem adatvédelem-barát.
Úgy tűnik, a Microsoft nem igazán törődik az adatvédelemmel, ha az nem marketingről vagy PR-üzenetekről szól – tette hozzá Mikolasch.
Az ír példa nem működik Bécsben
Az eljárás során a Microsoft azzal is érvelt, hogy Európában valójában az ír EU-leányvállalata felel a Microsoft 365 termékekért.
A DSB ezt az érvelést elutasította, és megállapította, hogy a lényegi döntéseket valójában a Microsoft USA hozza meg.
A nagy amerikai technológiai cégek rendszeresen azzal érvelnek, hogy az ír jog hatálya alá tartoznak, mivel az ír adatvédelmi hatóság köztudottan visszafogottan érvényesíti az uniós jogot.
A Microsoft 365 Educationt diákok és tanárok milliói használják Európa-szerte. Emellett további milliók használják a „Microsoft 365” alapcsomagot vállalatoknál és hatóságoknál. A felhasználók hozzájárulás nélküli nyomkövetése sérti az uniós jogot, ami problémát jelent minden olyan szervezet számára, amely Microsoft 365-öt használ.
A német adatvédelmi hatóságok már korábban megállapították, hogy a Microsoft 365 nem felel meg a GDPR követelményeinek.
(Kép: freepik)
