По данным DataGuidance, Австрийское управление по защите данных (DSB) постановило, что Microsoft незаконно внедрила файлы cookie отслеживания на устройства несовершеннолетних студентов, использующих Microsoft 365 Education Edition, без их согласия, что представляет собой нарушение закона. Это еще одна победа австрийской группы активистов в области цифровой конфиденциальности «Нет вашего дела» (нойб) в аналогичном деле.

Согласно официальной документации Microsoft, цели использования файлов cookie включают анализ поведения пользователей, сбор данных браузера и, таким образом, обеспечение поддержки рекламы. DSB приказал Microsoft прекратить отслеживание студента, подавшего жалобу, в течение четырех недель. Стоит отметить, что как школа, так и Министерство образования Австрии заявили, что им не было известно о существовании этих файлов cookie до того, как Noyb подал жалобу.


Это решение вытекает из соответствующего запроса на расследование, сделанного noyb в 2024 году. Тогда организация обратилась к австрийскому агентству по защите данных проверить, не нарушает ли Microsoft 365 Education положения о прозрачности Общего регламента защиты данных (GDPR). В нем указывалось, что Microsoft передала обязательства по защите данных школам, использующим ее систему, и не гарантировала право субъектов данных на доступ к собственным данным. Даже с помощью документов о конфиденциальности Microsoft, запросов на доступ и собственных исследований Noyb не удалось полностью выяснить, какие детские данные обрабатывала образовательная версия программного обеспечения.

На самом деле, это не первый случай, когда Microsoft проигрывает связанное с этим дело. В октябре прошлого года DSB постановил, что Microsoft «незаконно» отслеживала учащихся через образовательную платформу 365 и пыталась уклониться от ответственности за запросы на доступ к данным в местные школы. Он также приказал ему предоставить полную информацию о передаче данных и дать четкие объяснения таких терминов, как «внутренняя отчетность», «бизнес-моделирование» и «улучшения основных функций».

В ответ на последнее постановление представитель Microsoft заявил, что Microsoft 365 Education соответствует всем необходимым стандартам защиты данных и что образовательные учреждения могут продолжать использовать его в соответствии с GDPR. Компания изучает решение и в свое время примет решение о последующих мерах.

Юрист Noyb по защите данных Феликс Миколаш подчеркнул в своем заявлении, что отслеживание несовершеннолетних явно не соответствует принципам защиты конфиденциальности. Microsoft, похоже, не уделяет особого внимания защите конфиденциальности, и соответствующие меры больше предназначены для целей маркетинга и связей с общественностью.