Május 25-én volt a hároméves évfordulója annak, hogy Magyarországon bevezették a weboldalak egységes adatvédelmi szabályozását. Ez viszont nem jelenti azt, hogy azóta minden oldal megfelel az előírásoknak, sőt: nagyon is sok helyen vannak komoly gondok.
Ahogy jött, úgy távozott is az átlagfelhasználók tech-híreiből a GDPR kifejezés, pedig három évvel ezelőtt minden ettől a betűszótól volt hangos. A távozás pedig nem azt jelenti, hogy ma már nem aktuális a téma, hanem azt, hogy – elvileg – már a mindennapjaink része, és észre sem kéne vennünk, olyan természetes a magyar interneten is. De pontosan mi is az a GDPR, és miért beszélünk még mindig róla?
Értsd meg és kezeld az adataidat!
A GDPR lényegében az Európai Unió által hozott rendeletcsomag, amely nagyon leegyszerűsítve azt írja elő az internetes tartalomszolgáltatóknak és adatkezelőket, hogy az általuk használt felületeken hogyan kell kezelniük a felhasználóktól gyűjtött adatokat, és erről milyen formában kell tájékoztatniuk magukat a felhasználókat. Még egyszerűbben, a GDPR miatt van az, amikor először látogatunk el egy weboldalra, felugrik a sokakat idegesítő, de igazából elég fontos panel, amelyben el kell fogadnunk, vagy épp elutasítanunk azt a gyakorlatot, amellyel az oldal a rólunk szerzett információkat tárolja és hasznosítja.
Ilyen adat lehet például bármi, amit egy kérdőívben, űrlapon megadunk, egy blogban vagy egy közösségi felületen posztként, hozzászólásként írunk, de ugyanígy a meglátogatott aloldalak, lekattintott elemek is rólunk mondanak el sok mindent, és ezek az adott webhely üzemeltetői számára kifejezetten értékesek lehetnek. Egyrészt ugye saját használatra: így célozhatnak meg minket hírlevelekkel, hirdetésekkel, személyre szabott tartalmakkal és ajánlatokkal. De emellett az ilyen adat közvetlen pénzt is hozhat, hiszen “csomagban” értékesítve harmadik fél is kiválóan használhatja reklámozástól profilozáson át akár kevéssé etikus dolgokig.
A GDPR egyrészt azt igyekszik szabályozni, hogy a fentiek közül mire szabad és mire tilos használni az így megszerzett adatokat, másrészt megszabja, hogy a weboldalra belépéskor megfelelően világos tájékoztató álljon mindenki rendelkezésére, ahol egyrészt érthetően és egyértelműen szerepel, milyen adatokat rögzítenek az ott tartózkodás közben, és ezekkel mi történik. Emellett pedig itt van lehetőség arra, hogy a felhasználók hozzájáruljanak, vagy épp megtagadják, hogy az oldal a böngészés befejezése után sütik (cookie-k) formájában bármilyen információt megjegyezhessen róluk, ez az úgynevezett Consent Management Platform, azaz CMP, amelynek szintén kötelező jelleggel működnie kell az oldalakon. Alapvetően a dolog tehát nem hangzik bonyolultnak, de a jelek szerint mégsem ilyen egyszerű a helyzet.
Három év is kevés volt
Az átállás nem indult zökkenőmentesen: egy évvel a rendelet hatályba lépése után a Cookiebot uniós tagországok weboldalait vizsgálva még nagyon kaotikus összképet mutatott. Nem csak a kisebb, személyes weboldalak és a cégek oldalainak jó része esetében találtak megfelelőségi problémákat, de még a tagországok kormányzati weboldalainak legtöbbjénél sem volt rendben minden.
Oké, mondhatnánk, minden kezdet nehéz. De mi a helyzet három évvel a rendelet hatályba lépése után? Nos, a hazai Liftup által végzett felmérés szerint még mindig szép számmal vannak olyan weboldalak, ahol nem szabályszerűen működnek a dolgok. A vizsgált 250, magyarországi felhasználókra célzó oldal között jellemzően webáruházak, vendéglátáshoz köthető szolgáltatások voltak, és a teszt szerint mindössze 10,4 százalékuk volt olyan, ahol a sütik és egyéb követési megoldások terén minden megfelelt az adatvédelmi szabályoknak. Tehát mindössze minden tizedik – és ez 3 év távlatából bizony elég hervasztó.
Összevissza hibák
Érdemes azt is megnézni, milyen mélyebb tapasztalatokat szerzett az online marketinggel és tanácsadással foglalkozó cég az elemzések során. A weboldalak 18 százalékánál például nem találtak semmilyen adatkezelési tájékoztatót, 21,6 százalékán pedig nem jelent meg a sütik elfogadására figyelmet felhívó banner vagy egyéb üzenet.
Külön figyelemre érdemes, hogy az oldalak fele (pontosan 50,8 százaléka) használta a Facebook Pixel technológiát anélkül, hogy ezt külön jelezte volna, illetve engedélyt kért volna erre a látogatóktól. Ez ugyebár egy speciális kis trükk, ahol a Facebook apró beépülőkódja dolgozik az oldalon, és ha a felhasználó a weboldal látogatása közben a közösségi oldal felületére is be van jelentkezve, a tevékenységet a Zuckerberg-birodalom szépen eltárolja – elvileg arra, hogy ezzel is személyre szabottabb hirdetéseket jelenítsen meg.
Az úgynevezett cookie bannerek, tehát a sütik használatát jelző üzenetek közel harmada (28,9 százaléka) azért hibás, mert ezen szabályozás szerint a hozzájárulást konkrét felhasználói interakcióval kellene megoldani, tehát például egy OK gombra kattintani, de ezeknél legfeljebb annyi szerepelt, hogy az oldal további használata már konkrét hozzájárulással egyenértékű – ami bizony hibás gyakorlat.
Végül egy érdekesség: a vizsgált oldalak közül a kereskedelmi piacterek között volt a legtöbb, a szabályoknak teljesen megfelelő (10,6%), ezt követték a hotelek (9,1%), a webáruházak (8,8%), majd a média (6,7%). A minták között viszont nem volt egyetlen panzió, étterem, de még politikai oldal sem, amelyet rendben találtak volna GDPR-szempontból, ami bizony elég ciki.
A Liftup szakértője szerint a legtöbb helyen az is gondot okoz, hogy az oldalakon egy csomó külső megoldást is használnak YouTube-videóktól a beemelt közösségi posztokon át a Google térképekig, amivel máris automatikusan adnak át adatokat harmadik félnek.
Végeredményként kijelenthető, hogy ugyan egy viszonylag kis mintán végzett kutatásról van szó, az mindenképpen látszik belőle, hogy bármennyire kötelező érvényű az EU-szerte már három éve érvényes GDPR szabályozás, még mindig nagyon sokan gondolják úgy, hogy félmegoldásokkal (vagy akár teljes nemtörődömséggel) működtethetnek webes szolgáltatásokat. És ugyan a felhasználók legtöbbje számára egy cookie banner is csak olyan, semmitmondó extra kattintás, mint ahogy egy szoftver telepítésekor olvasatlanul fogadják el a felhasználási feltételeket, jogi szempontból igenis fontos szabályszerűen megadni a lehetőséget a látogatók tájékoztatására és választási lehetőséget adni számukra.
