Süti megfelelőség és GDPR felmérés az van...

A Liftup végzett el egy meglehetősen érdekes felmérést azzal kapcsolatban, hogyan felelnek meg a hazai weboldalak a GDPR sokak által pokolra kívánt elvárásainak.

A vizsgálat időszerű volt, mivel három éve, 2018 május 25-én lett alkalmazandó az Általános Adatvédelmi rendelet, azaz a GDPR.

A Liftup tehát elvégzett egy gyorstesztet és megvizsgált 250 hazai weboldalt. Nem meglepő az eredmény,  megvizsgált oldalaknak mindössze 10 százalékán oldották meg úgy a sütik és követőkódok kezelését, hogy az maradéktalanul megfelel az adatvédelmi rendelet és a marketingszolgáltató platformok (például a Facebook) szabályzatának.

A vizsgált weboldalak 22 százalékán egyáltalán nem volt cookie banner (a cookie-k beállítására szolgáló ablak), 18 százalékáról pedig az adatkezelési tájékoztató is hiányzott. A vizsgált oldalak felén úgy futott le a Facebook-képpont, hogy nem kérték hozzá a látogatók hozzájárulását.

 

A Liftup munkatársai a vizsgált 250-es mintából csak két oldalt találtak, amelyik egyáltalán nem alkalmazott olyan megoldást, ami felhasználói adatokat ad át harmadik feleknek (pl. nincs rajta Google térkép, nem használ YouTube videót, vagy nem követi a felhasználóit remarketing hirdetésekkel).

Összességében tényleg nem meglepő az eredmény. De azt azért látni kell, hogy a süti kezelés és az adatkezelési tájékoztató hiányánál (vagy nem megfelelőségénél) sokkal súlyosabb probléma, hogy a szervezetek a weboldalak és web alkalmazások sérülékenységvizsgálatára sem fektetnek nagyobb hangsúlyt, pedig egy feltört oldalból, vagy kompromittált adatbázisból hamarabb lesz data breach (és azzal együtt természetesen adatvédelmi incidens), mint a nem megfelelően kezelt sütikből. 

Sajnos amíg a NAIH vagy a feljelentésből sportot űző állampolgárok egyetlen pillantással megállapíthatják és leakciózhatják a sütikezelés vagy az adatkezelési szabályzat vélt vagy valós nem megfelelőségét, addig a webes alkalmazások sérülékenységeit élesben tesztelik (és használják ki) azok, akiktől egyébként meg kellene védeni a tárolt adatokat.

Szerencse, hogy az önjelölt adatvédelmi jogászok jórésze átépezte magát járványügyi szakemberré. 

Jó lenne, ha a GDPR 32. cikkelye (Az adatkezelés biztonsága) nagyobb hangsúlyt kapna. Nem akarom azt mondani, hogy a sütik megfelelősége és az adattovábbítási hozzájárulás nem fontos és nem kellene helyretenni ott a dolgokat. De egyetlen cookie policy meg adatkezelési tájékoztató sem védi meg az adatokat, szóval ha egyszer véletlenül ezeket rendbe is teszik az oldalon, attól még ugyanúgy el fogják lopni a felhasználók adatait. Legfeljebb, az érintettek pontosan tudni fogják, hogy kit kell majd felelősségre vonni.

Már ha legalább az adatkezelő neve benne van az adatkezelési tájékoztatóban.