Egy adatvédelmi tanácsadásra szakosodott cég megvizsgálta 250 magyar szervezet weboldalát. Arra voltak kíváncsiak, hogy az oldalak milyen mértékben felelnek meg az Európai Unió általános adatvédelmi rendeletének, a GDPR-nak. Megnézték például, hogy a cookie-k használatáról a rendelet előírásainak megfelelően tájékoztatják-e az oldalak üzemeltetői a felhasználókat. Az összkép nem túl biztató: mindössze minden tizedik weboldal kezeli az előírásoknak megfelelően a cookie-kat és a követőkódokat.

Az új szabályoknak megfelelés sehol sem ment zökkenőmentesen. A Cookieboot még 2019-ben (azóta is ez a legfrissebb vizsgálatuk) jutott arra, hogy még a kormányzati oldalak többsége sem felel meg a GDPR előírásainak.

Idáig jutottunk három év alatt

A Liftup magyar gyorstesztjének apropóját az adta, hogy kereken három éve, 2018. május 25-én élesedett élesedett a GDPR, ami szigorúan előírja többek között, hogy hogyan kell tájékoztatni a weboldalak látogatóit a személyes adataik kezeléséről. Az érintetteknek nincs könnyű dolguk: mint egy tavaly végzett kutatás kiderítette, a szabályokat szinte lehetetlen betartani, és nincsenek olyan bevált gyakorlatok, melyekre a weboldalak üzemeltetői támaszkodhatnának. Ezért aztán sokszor még a hozzájárulás-kezelő platformok (CMP – Consent Management Platform) sem biztosítják, hogy a felhasználónak érdemi választása legyen az adatai gyűjtését és kezelését illetően.

Az azóta eltelt időszak nem hozott számottevő javulást, legalábbis Magyarországon. A Liftup által megvizsgált oldalaknak mindössze 10 százalékán oldották meg technikailag úgy a sütik és követőkódok kezelését, hogy az maradéktalanul megfelel az adatvédelmi rendelet és a marketingszolgáltató platformok (például a Facebook) szabályzatának.

A kereskedelmi oldalak hajszálnyival jobban odafigyeltek. A hajszál azonban szinte láthatatlan, a kisszámú mintavétel miatt valójában értelmezhetetlen tizedesekben mérhető. A Liftup szerint az online kereskedők oldalainak 10,6 százaléka volt teljesen GDPR-kompatibilis (a teljes mintánál – azaz a 250 oldalnál – arányuk 10,4 százalék). A hoteleknek már csak a 4,5 százaléka volt képes megfelelni követelményeknek. A legrosszabbul a politikai oldalak, éttermek, panziók szerepeltek: egyetlen olyan weboldal sem volt a mintában, amely maradéktalanul megfelelt volna a GDPR előírásainak.

Engedélyezzük vagy sem, követnek!

A vizsgált weboldalak ötödén (kb. 22 százalék) nem volt cookie banner (a cookie-k beállítására szolgáló ablak), 18 százalékáról pedig az adatkezelési tájékoztató hiányzott. A vizsgált oldalak felén (Liftup: 50,8 százalék) úgy futott le a Facebook-képpont, hogy nem kérték hozzá a látogatók hozzájárulását.

Az oldalak 17 százalékánál vették komolyan, ha a látogató elutasította a követést, több mint négyötödük az elutasítás ellenére is követte a felhasználói tevékenységet. Az oldalak mintegy 13 százaléka pedig még akkor is futtatott olyan adatgyűjtő megoldásokat, melyek a Google-nek vagy a Facebooknak továbbítottak adatokat, ha a felhasználó az oldal sütibannerének technikai beállításaiban annak kifejezetten az ellenkezőjét kérte.

Az oldalak között mindössze két olyant találtak, amelyik egyáltalán nem alkalmazott olyan megoldást, ami felhasználói adatokat ad át harmadik feleknek (pl. nincs rajta Google térkép, nem használ YouTube videót, vagy nem követi a felhasználóit remarketing hirdetésekkel). A Liftup szerint a nagyobb méretű, esetleg nemzetközi háttérrel is rendelkező cégek általában nagyobb figyelmet fordítanak az adatvédelemre: ezeknek a cégeknek a 18 százaléka felelt meg technikailag maradéktalanul a GDPR-nek. A közigazgatási szervek, a politikai és a civil szervezetek oldalai között viszont nem volt egy sem, amely jól kezelte volna az adatvédelmet.