Áprilisban egy a holland hatóságok által indított eljárás nyomán az Európai Bizottság is vizsgálni kezdte a Microsoft adatgyűjtési és adatkezelési szabályzatát. A hollandok szerint az Office 365 és az Office 365 ProPlus telemetriai adatgyűjtése nem áll összhangban a GDPR előírásaival, és végül ezt állapította meg az európai adatvédelmi biztos hivatala (EDPS) is a közelmúltban kiadott jelentésében.

A Microsoft a Reutersnek már a EDPS vizsgálatának közzététele után bejelentette, hogy módosítja a kereskedelmi felhőalapú szerződéseinek (Microsoft Online Services Terms – OST) adatvédelmi rendelkezéseit az EDPS kifogásainak figyelembe vételével. A módosításokat a holland igazságügyi és biztonsági minisztériummal közösen dolgozták ki.

Pontosították, hogy mi a felhőszolgáltató szerepe

A Microsoft ma kiadott közleménye hangsúlyozza: az új szerződéses feltételek nem csak a közszférára vonatkoznak, hanem globálisan minden kereskedelmi ügyfelének azonos feltételekkel biztosítja a szolgáltatásait. A változtatások célja, hogy biztosítsák az ügyfeleknek az adatkezelés fölött a maximális ellenőrzést.

Az alap a Microsoft szerint már eddig is megvolt. Az OST szerint ugyanis a Microsoft gyűjthet és felhasználhat ugyan vállalati szolgáltatásaiból származó személyes adatokat, de kizárólag az ügyfelek által igényelt online szolgáltatások biztosításához és az ügyfelek által meghatározott célokra.

Az OST frissítése pontosítja a Microsoft adatkezelői szerepét: szolgáltatóként elsősorban az a feladata, hogy biztosítja az ügyféladatok integritását és biztonságát, de magukat az adatok az ügyfél birtokolja, kezeli és ellenőrzi. A Microsoft csak pontosan meghatározott adminisztratív és operatív célokra gyűjt és dolgoz fel adatokat: kizárólag azért, hogy biztosíthassa ügyfeleinek a felhőalapú szolgáltatások (az Azure, az Office 365, a Dynamics, az Intune stb.) elérését. Ilyen cél például a szolgáltatásokhoz való hozzáférés biztosítása (fiókkezelés, számlázás stb.), a szolgáltatások naprakészen tartása, az esetleges hibák és egyéb problémák kijavítására, illetve a szolgáltatások biztonságának szavatolása (pl. kibertámadások megelőzése, elhárítása, illetéktelen hozzáférés megakadályozása).

Az új szerződési feltételek a tervek szerint 2020 elejétől lesznek globálisan érvényesek az összes állami és vállalati ügyfélnek.

Áprilistól több változás is történt

A holland kifogások miatt a Microsoft az év folyamán több változást is bevezetett az adatkezelésében. Április végén, az EDPS vizsgálatának elindulása után jelentették be, hogy az összes főbb termék esetében két kategóriába sorolják a gyűjtött adatokat.

Az egyik kategóriába azok az adatok tartoznak, melyek szükségesek ahhoz, hogy adott szolgáltatás az ügyfél elvárásainak megfelelően és biztonságosan működjön. Ide sorolják többek között a felhasználói eszközök IP-címét, típusát és verzióját (például a biztonsági javításokhoz), valamint az olyan diagnosztikai adatokat, melyek a szolgáltatás jelentős hibáinak beazonosítását segítik. Például ha egy vállalati ügyfél Office 365-öt használ, és a felhőben tárol és oszt meg dokumentumokat, akkor a Microsoft összegyűjti és feldolgozza azokat az adatokat, amelyek ahhoz kellenek, hogy az ügyfél a dokumentumokat képes legyen biztonságosan szinkronizálni minden eszközén. Az azonban az ügyfél számára is transzparens, hogy ehhez pontosan milyen adatokat használ a szolgáltatás.

A másik kategória az opcionális adatok köre, melyek gyűjtése nem elengedhetetlen a termék- vagy szolgáltatásélmény biztosításához. Az ilyen adatok gyűjtésének engedélyezéséről az ügyfél szabadon dönthet. Ebbe a körbe tartoznak például az olyan információk, melyeket a dokumentumok optimalizálásához lehet használni.

Az opcionális adatgyűjtés beállításához egy új felügyeleti eszközt is készítettek az Office-hoz. Emellett idén integrálták az Office-diagnosztikát is a 2018-ban kiadott Diagnostic Data Viewerbe, amelyben korábban csak a Windows diagnosztikai információit követhette nyomon a felhasználó.