Forrás: bitport.hu | 2020.01.15.
Egy friss felmérés tragikus képet fest arról, hogy a weboldalak milyen módon próbálják begyűjteni a sütik telepítéséhez szükséges felhasználói hozzájárulásokat.
Az általános európai adatvédelmi rendeletet (GDPR) már közel két éve alkalmazzák, ami azt jelenti, hogy az adatkezelőknek a rendelet hatályba lépését követő kétéves türelmi időszakot is beleszámítva majdnem négy éve kellene számolniuk az új feltételekkel. Hogy ez ilyen-olyan okokból nem mindig sikerül, arról redszeresen olvasni a vonatkozó kutatások kapcsán. Az ImmuniWeb tavaly nyáron például arra jutott, hogy még a banki alkalmazások közül is ötből négy megbukna egy GDPR-megfelelőségi teszten, sőt nem sokkal korábban az elektronikus adatvédelemre szakosodott Cookiebot adataiból az is kiderült, hogy az uniós kormányzati oldalak nem kis része is magasról tesz a saját szabályozására.
Bár időközben már mindenhol, így idehaza is indultak eljárások, és büntetéseket is kiszabtak a GDPR-t sértő gyakorlatok miatt, sem a megfelelőség, sem a szabályok alkalmazása, de még a a konzultációs jellegű megkeresések megválaszolása sem igazán zökkenőmentes, így a természetes személyek személyes adatait védő új szabályozást minden oldalon komoly hiányosságok jellemzik. Ebbe a képbe illeszkedik az MIT, a UCL és a dán Aarhus University közös kutatása, amely ezúttal a hozzájárulás-kezelő platformokat (Consent Management Platform, CMP) vizsgálta elsősorban abból a szempontból, hogy mennyiben érvényesül a felhasználók aktív beleegyezése az adatok gyűjtését és kezelését illetően.
Már a legelső pillanatban megbuknak
A dokumentum megfogalmazása szerint a jelenleg használatban lévő CMP-k jól illusztrálják, hogy az illegálisnak tekinthető gyakorlatok mennyire elterjedtek, ha még a hozzájárulás-kezelő platformok fejlesztői is figyelmen kívül hagyják – vagy rosszabb esetbenmaguk ösztönzik – a nyilvánvalósan szabálytalan konfigurációkat. A pdf dokumentum formájában itt olvasható anyag mások mellett megállapítja, hogy a sütik telepítéséről szóló tájékoztatások és figyelmeztetések valójában nem kínálnak érdemi döntési lehetőségeket az európai felhasználóknak, bár ezt a GDPR kifejezetten előírná a megfelelő információ, a szabatos megfogalmazás vagy az aktív felhasználói hozzájárulás tekintetében.
Mindez nem csak az előre bejelölt opt-in lehetőségeket zárja ki, de eleve azt feltételezi, hogy a hozzájárulásokat még a sütik telepítése előtt kell megszerezni, amennyiben azok nem alapvető fontosságúak az adott szolgáltatások működése szempontjából. A tanulmány szerint azonban már ezek a feltételek is csak ritkán teljesülnek: a kutatók megállapítják, hogy a vizsgált CMP-k alig több mint tizede (egész pontosan 11,8 százaléka) felel meg az európai szabályozáson alapuló minimális követelményeknek. A vizsgálat ebben az esetben öt nagy gyártó, a QuantCast, a OneTrust, a TrustArc, a már említett Cookiebot és a Crownpeak 680 különféle telepítésére terjedt ki az Alexa által legelőre rangsorolt 10 ezer brit weboldalon.
A dokumentum alapján már az implicit hozzájárulás is csaknem az átfésült oldalak harmadán felbukkant, még olyan esetekben is, amikor a rendszerek az IP-címek alapján belőtték, hogy európai felhasználókról van szó. Ugyanakkor a CMP-k túlnyomó többsége a nyomon követés teljes visszautasítását egyértelműen bonyolultabbá teszi, mint annak elfogadását, sőt az esetek felében nem is jelenik meg semmilyen „visszautasítás” gomb. Mindettől függetlenül elmondható, hogy a „minden visszautasítása lehetőség csak az oldalak 12,6 százalékának esetében érhető el ugyanannyi kattintással, mint a „minden elfogadása” opció – ez utóbbi egyébként soha, egyetlen esetben sem került a felületek második rétegébe.
Az eredeti cikket a bitport.hu oldalon olvashatja el!