Egy friss felmérés tragikus képet fest arról, hogy a weboldalak milyen módon próbálják begyűjteni a sütik telepítéséhez szükséges felhasználói hozzájárulásokat.

Az általános európai adatvédelmi rendeletet (GDPR) már közel két éve alkalmazzák, ami azt jelenti, hogy az adatkezelőknek a rendelet hatályba lépését követő kétéves türelmi időszakot is beleszámítva majdnem négy éve kellene számolniuk az új feltételekkel. Hogy ez ilyen-olyan okokból nem mindig sikerül, arról redszeresen olvasni a vonatkozó kutatások kapcsán. Az ImmuniWeb tavaly nyáron például arra jutott, hogy még a banki alkalmazások közül is ötből négy megbukna egy GDPR-megfelelőségi teszten, sőt nem sokkal korábban az elektronikus adatvédelemre szakosodott Cookiebot adataiból az is kiderült, hogy az uniós kormányzati oldalak nem kis része is magasról tesz a saját szabályozására.

Bár időközben már mindenhol, így idehaza is indultak eljárások, és büntetéseket is kiszabtak a GDPR-t sértő gyakorlatok miatt, sem a megfelelőség, sem a szabályok alkalmazása, de még a a konzultációs jellegű megkeresések megválaszolása sem igazán zökkenőmentes, így a természetes személyek személyes adatait védő új szabályozást minden oldalon komoly hiányosságok jellemzik. Ebbe a képbe illeszkedik az MIT, a UCL és a dán Aarhus University közös kutatása, amely ezúttal a hozzájárulás-kezelő platformokat (Consent Management Platform, CMP) vizsgálta elsősorban abból a szempontból, hogy mennyiben érvényesül a felhasználók aktív beleegyezése az adatok gyűjtését és kezelését illetően.

Már a legelső pillanatban megbuknak

A dokumentum megfogalmazása szerint a jelenleg használatban lévő CMP-k jól illusztrálják, hogy az illegálisnak tekinthető gyakorlatok mennyire elterjedtek, ha még a hozzájárulás-kezelő platformok fejlesztői is figyelmen kívül hagyják – vagy rosszabb esetbenmaguk ösztönzik – a nyilvánvalósan szabálytalan konfigurációkat. A pdf dokumentum formájában itt olvasható anyag mások mellett megállapítja, hogy a sütik telepítéséről szóló tájékoztatások és figyelmeztetések valójában nem kínálnak érdemi döntési lehetőségeket az európai felhasználóknak, bár ezt a GDPR kifejezetten előírná a megfelelő információ, a szabatos megfogalmazás vagy az aktív felhasználói hozzájárulás tekintetében.

Mindez nem csak az előre bejelölt opt-in lehetőségeket zárja ki, de eleve azt feltételezi, hogy a hozzájárulásokat még a sütik telepítése előtt kell megszerezni, amennyiben azok nem alapvető fontosságúak az adott szolgáltatások működése szempontjából. A tanulmány szerint azonban már ezek a feltételek is csak ritkán teljesülnek: a kutatók megállapítják, hogy a vizsgált CMP-k alig több mint tizede (egész pontosan 11,8 százaléka) felel meg az európai szabályozáson alapuló minimális követelményeknek. A vizsgálat ebben az esetben öt nagy gyártó, a QuantCast, a OneTrust, a TrustArc, a már említett Cookiebot és a Crownpeak 680  különféle telepítésére terjedt ki az Alexa által legelőre rangsorolt 10 ezer brit weboldalon.

A dokumentum alapján már az implicit hozzájárulás is csaknem az átfésült oldalak harmadán felbukkant, még olyan esetekben is, amikor a rendszerek az IP-címek alapján belőtték, hogy európai felhasználókról van szó. Ugyanakkor a CMP-k túlnyomó többsége a nyomon követés teljes visszautasítását egyértelműen bonyolultabbá teszi, mint annak elfogadását, sőt az esetek felében nem is jelenik meg semmilyen "visszautasítás" gomb. Mindettől függetlenül elmondható, hogy a "minden visszautasítása lehetőség csak az oldalak 12,6 százalékának esetében érhető el ugyanannyi kattintással, mint a "minden elfogadása" opció – ez utóbbi egyébként soha, egyetlen esetben sem került a felületek második rétegébe.

Darabos szabályok és rossz gyakorlatok

A tanulmány egyebek mellett kiemeli, hogy a saját CMP-implementációkon túl szürke zónát jelentenek a harmadik féltől származó trackerek, amelyek komoly problémát jelentenek az uniós hozzájárulási modellben. Ennek egyik oka, hogy a felhasználók kimerítő tájékoztatása szinte lehetetlenné válik, ha az összes ilyen kód estében be kell gyűjteni a jogi értelemben is megfelelő hozzájárulásokat, hiszen ezek száma az oldalaktól függően tízes, de akár százas nagyságrendben is mozoghat. A dolgot jól szemlélteti, hogy a kutatók szerint az az oldal, ahol a legkevesebb ilyen tájékoztató-hozzájáruló procedúrára lett volna szükség, összesen 58 tételt vonultatott fel, vagyis a szabályok alkalmazása már ott sem lett volna életszerű, míg a rekord egyetlen CMP-hez kapcsolódóan 542 különböző gyártótól származó kód lett volna.

Itt érdemes azt is megjegyezni, hogy a hozzájárulásokat a GDPR szellemében minden egyes weboldalon be kellene gyűjteni, így előállna az az érdekes helyzet, hogy az egy-egy felhasználóra öntött információ- és kérdésmennyiség önmagában is érvénytelenné tenné a hozzájárulásokat – már ha lenne bárki, aki egyáltalán hajlandó ennyi űrlapot végigzongorázni. Persze a manipiulatív dizájnok és konfigurációk ettől még sorjáznak a különféle oldalakon: ezek a kutatók szerint általában ködösítenek az európai felhasználók tényleges jogaival kapcsolatban, és látványos, zajos, és megtévesztő "hozzájárulás-színházzal" próbálják elterelni a figyelmet. Ez felhasználói oldalról nem csak zavaró a mindennapi feladatok során, de a megfelelőség hamis érzetét is kelti bennük.

A TechCrunch múlt pénteki riportjában megszólalnak a kutatás szerzői is, akik sokkolónak nevezik, hogy milyen kevés GDPR-kompatibilis pop-uppal lehet találkozni, és a hozzájáruló pop-up megoldások szolgáltatói közül milyen sokan lehetővé teszik a rendszereik rossz irányba való átkonfigurálását – erre példa a már említett implicit hozzájárulás, ami teljesen egyértelműen szembemegy a GDPR-rel. Szerintük az adatvédelmi hatóságok egyelőre nem is tudják pontosan, hogyan álljanak neki az ennyire szerteágazó illegális gyakorlat felszámolásának, ennek hiányában viszont az sem világos, hogy miként fogják valaha is érvényesíteni a GDPR rendelkezéseit.

A kutatók megjegyzik, hogy ők maguk valószínűleg még túl is becsülik a megfelelőség szintjét, hiszen azt nem vizsgálták, mi történik a hozzájárulások megadása vagy megtagadása után.

Biztonság

Közelít az 1000 milliárdhoz a kínai Amazon

Az Alibaba sok szempontból hasonlít amerikai vetélytársára, ám lényeges különbségek is akadnak az üzleti modelljükben.
 
Hirdetés

Van olyan tanácsadó, aki pénzt hoz?!

Pedig külső szemlélőként csak annyit mutat meg, hogy miből van hiány és miből van fölösleg. Ám ha szoftverlicencekről van szó, ez százmilliókat is érhet – megtakarításban.

Elvben mindenki egyetért azzal, hogy egy vállalat informatikája optimális méretű és működésű kell legyen. A helyes arányok megtalálása azonban nehéz, különösen a szoftvereknél.

a melléklet támogatója az IPR-Insights

Nem általában a távmunkáé, hanem a mostani tipikus távmunka-helyzeteké. A szervezetek arra nem voltak felkészülve, hogy mindenki otthonról dolgozik.

Alapjaiban kell megújítani a biztonságról kialakított felfogásunkat

Tavaly január végétől megszűnt a Java SE 8 ingyenes frissítése, és a Java SE 11 sem használható ingyenesen üzleti célra. Tanácsok azoknak, akik még nem találtak megoldást. Hegedüs Tamás (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2020 Bitport.hu Média Kft. Minden jog fenntartva.