Az általános európai adatvédelmi rendeletet (GDPR) már közel két éve alkalmazzák, ami azt jelenti, hogy az adatkezelőknek a rendelet hatályba lépését követő kétéves türelmi időszakot is beleszámítva majdnem négy éve kellene számolniuk az új feltételekkel. Hogy ez ilyen-olyan okokból nem mindig sikerül, arról redszeresen olvasni a vonatkozó kutatások kapcsán. Az ImmuniWeb tavaly nyáron például arra jutott, hogy még a banki alkalmazások közül is ötből négy megbukna egy GDPR-megfelelőségi teszten, sőt nem sokkal korábban az elektronikus adatvédelemre szakosodott Cookiebot adataiból az is kiderült, hogy az uniós kormányzati oldalak nem kis része is magasról tesz a saját szabályozására.

Bár időközben már mindenhol, így idehaza is indultak eljárások, és büntetéseket is kiszabtak a GDPR-t sértő gyakorlatok miatt, sem a megfelelőség, sem a szabályok alkalmazása, de még a a konzultációs jellegű megkeresések megválaszolása sem igazán zökkenőmentes, így a természetes személyek személyes adatait védő új szabályozást minden oldalon komoly hiányosságok jellemzik. Ebbe a képbe illeszkedik az MIT, a UCL és a dán Aarhus University közös kutatása, amely ezúttal a hozzájárulás-kezelő platformokat (Consent Management Platform, CMP) vizsgálta elsősorban abból a szempontból, hogy mennyiben érvényesül a felhasználók aktív beleegyezése az adatok gyűjtését és kezelését illetően.

Már a legelső pillanatban megbuknak

A dokumentum megfogalmazása szerint a jelenleg használatban lévő CMP-k jól illusztrálják, hogy az illegálisnak tekinthető gyakorlatok mennyire elterjedtek, ha még a hozzájárulás-kezelő platformok fejlesztői is figyelmen kívül hagyják – vagy rosszabb esetbenmaguk ösztönzik – a nyilvánvalósan szabálytalan konfigurációkat. A pdf dokumentum formájában itt olvasható anyag mások mellett megállapítja, hogy a sütik telepítéséről szóló tájékoztatások és figyelmeztetések valójában nem kínálnak érdemi döntési lehetőségeket az európai felhasználóknak, bár ezt a GDPR kifejezetten előírná a megfelelő információ, a szabatos megfogalmazás vagy az aktív felhasználói hozzájárulás tekintetében.

Mindez nem csak az előre bejelölt opt-in lehetőségeket zárja ki, de eleve azt feltételezi, hogy a hozzájárulásokat még a sütik telepítése előtt kell megszerezni, amennyiben azok nem alapvető fontosságúak az adott szolgáltatások működése szempontjából. A tanulmány szerint azonban már ezek a feltételek is csak ritkán teljesülnek: a kutatók megállapítják, hogy a vizsgált CMP-k alig több mint tizede (egész pontosan 11,8 százaléka) felel meg az európai szabályozáson alapuló minimális követelményeknek. A vizsgálat ebben az esetben öt nagy gyártó, a QuantCast, a OneTrust, a TrustArc, a már említett Cookiebot és a Crownpeak 680  különféle telepítésére terjedt ki az Alexa által legelőre rangsorolt 10 ezer brit weboldalon.

A dokumentum alapján már az implicit hozzájárulás is csaknem az átfésült oldalak harmadán felbukkant, még olyan esetekben is, amikor a rendszerek az IP-címek alapján belőtték, hogy európai felhasználókról van szó. Ugyanakkor a CMP-k túlnyomó többsége a nyomon követés teljes visszautasítását egyértelműen bonyolultabbá teszi, mint annak elfogadását, sőt az esetek felében nem is jelenik meg semmilyen "visszautasítás" gomb. Mindettől függetlenül elmondható, hogy a "minden visszautasítása lehetőség csak az oldalak 12,6 százalékának esetében érhető el ugyanannyi kattintással, mint a "minden elfogadása" opció – ez utóbbi egyébként soha, egyetlen esetben sem került a felületek második rétegébe.

Darabos szabályok és rossz gyakorlatok

A tanulmány egyebek mellett kiemeli, hogy a saját CMP-implementációkon túl szürke zónát jelentenek a harmadik féltől származó trackerek, amelyek komoly problémát jelentenek az uniós hozzájárulási modellben. Ennek egyik oka, hogy a felhasználók kimerítő tájékoztatása szinte lehetetlenné válik, ha az összes ilyen kód estében be kell gyűjteni a jogi értelemben is megfelelő hozzájárulásokat, hiszen ezek száma az oldalaktól függően tízes, de akár százas nagyságrendben is mozoghat. A dolgot jól szemlélteti, hogy a kutatók szerint az az oldal, ahol a legkevesebb ilyen tájékoztató-hozzájáruló procedúrára lett volna szükség, összesen 58 tételt vonultatott fel, vagyis a szabályok alkalmazása már ott sem lett volna életszerű, míg a rekord egyetlen CMP-hez kapcsolódóan 542 különböző gyártótól származó kód lett volna.

Itt érdemes azt is megjegyezni, hogy a hozzájárulásokat a GDPR szellemében minden egyes weboldalon be kellene gyűjteni, így előállna az az érdekes helyzet, hogy az egy-egy felhasználóra öntött információ- és kérdésmennyiség önmagában is érvénytelenné tenné a hozzájárulásokat – már ha lenne bárki, aki egyáltalán hajlandó ennyi űrlapot végigzongorázni. Persze a manipiulatív dizájnok és konfigurációk ettől még sorjáznak a különféle oldalakon: ezek a kutatók szerint általában ködösítenek az európai felhasználók tényleges jogaival kapcsolatban, és látványos, zajos, és megtévesztő "hozzájárulás-színházzal" próbálják elterelni a figyelmet. Ez felhasználói oldalról nem csak zavaró a mindennapi feladatok során, de a megfelelőség hamis érzetét is kelti bennük.

A TechCrunch múlt pénteki riportjában megszólalnak a kutatás szerzői is, akik sokkolónak nevezik, hogy milyen kevés GDPR-kompatibilis pop-uppal lehet találkozni, és a hozzájáruló pop-up megoldások szolgáltatói közül milyen sokan lehetővé teszik a rendszereik rossz irányba való átkonfigurálását – erre példa a már említett implicit hozzájárulás, ami teljesen egyértelműen szembemegy a GDPR-rel. Szerintük az adatvédelmi hatóságok egyelőre nem is tudják pontosan, hogyan álljanak neki az ennyire szerteágazó illegális gyakorlat felszámolásának, ennek hiányában viszont az sem világos, hogy miként fogják valaha is érvényesíteni a GDPR rendelkezéseit.

A kutatók megjegyzik, hogy ők maguk valószínűleg még túl is becsülik a megfelelőség szintjét, hiszen azt nem vizsgálták, mi történik a hozzájárulások megadása vagy megtagadása után.