Az alábbi blogbejegyzésünk szerzője Keleti Arthur kibervédelmi szakértő. Írása a GDPR hatálybalépése után - az első tapasztalatok ismeretében - készült, a fentebbi videó pedig május 22-én, tehát még a nagy nap előtt.
***
Szakértői és nem szakértői körökben is látható, hogy a GDPR életbe lépése előtti utolsó napok a hozzájárulási levelek bűvöletében zajlottak. A felhasználók "megismerkedhettek" az adatvédelemmel kapcsolatos hozzájárulás szükségességével, meg azzal is, hogy hány millió cég tartja nyilván az adataikat. Na, persze kérdés, hogy tényleg minden címzett tudja-e, hogy mi zajlik körülötte.
Legtöbben ugyanis az egész adatvédelmi "izéből" annyit tapasztaltak, hogy napi 20-100 email érkezett a postaládájukba és az összes mindenféle szabályzat frissítésről vagy hozzájárulás kéréséről beszélt. Valamelyik jutalmakat ajánlott a közreműködésért (mellesleg szabálytalanul), valamelyik feltételeket szabott (szintén nem törvényes), de voltak kérlelő, sajnálkozó, über korrekt és még sok más jellegű email-ek is.
Az első "ipari" tapasztalatok azt mutatják, hogy a dömping hatása nem volt túl pozitív, sem adatvédelmi, sem üzleti szempontból. A leveleket a címzettek 20-30%-a nyitja meg, nem feltétlenül olvassák el az összeset és csak igen kevesen iratkoznak "vissza" a hírlevelekre. Sokan azt sem látják tisztán, hogy mit is kellene tenniük egy-egy levélben kértek alapján. Azok a szervezetek, akik korábban már GDPR-ra alkalmas módon kértek hozzájárulásokat az adatok kezeléséhez (vagy legalábbis ezt gondolják), most "csak" szabályzatokat frissítenek, de nem ritkák az olyan email-ek sem, amelyek egyszerűen csak szabályzat frissítéssel próbálják megúszni az hozzájárulások bekérését.
A Magyar Kormány hamar bejelentette, hogy igyekszik megvédeni a kisvállalkozásokat az EU haragjától és a hatalmas bírságoktól, miközben a NAIH (a Nemzeti Adatvédelmi és Információszabadság Hatóság, a GDRP betartásáért felelős hazai szerv) ezt megelőző álláspontja szerint a bírságok egységesek és az Európai Unió területén mindenhol ugyanolyan feltételek szerint kell büntetni.
Megtörtént az első feljelentés is, egy osztrák magánszféra védő Max Schrems hivatalosan követeli, hogy bírságolják meg a Facebook-ot 3,9 milliárd euróra, a Google-t pedig 3,7 milliárd euróra, amiért nem megfelelően gyűjtik a felhasználók adatait.
A sokféle levél kapcsán eszembe jutott Gombóc Artúr, Csukás István híres meseszereplője, amint sorolja, hogy mennyi fajta csokoládét szeret: "A kerek csokoládét, a szögletes csokoládét, a hosszú csokoládét, a rövid csokoládét, ... és minden olyan csokoládét, amit csak készítenek a világon." Talán nem véletlen, hogy én is mindenfajta csokoládét szeretek, végtére is valami miatt Arthurnak hívnak. De sajnos azt kell mondjam, hogy az első pár nap tapasztalata jobban hasonlít egy túlzottan keserű csokoládé nyelvfacsaró ízére, mint egy finom svájci csokoládé kényeztető selymességére.
Azért gondolom így, mert
1. a legtöbb felhasználó úgy "szabadult meg" a hírleveleitől, hogy fogalma sincs mikről nem fog többet információt kapni (mondjuk szerintem kb. 10-20%-a a nem olvasott emailjeinek),
2. a nagy levél és információ áradatban csak éppen azt nem értik még a felhasználók, hogy miről is van szó,
3. a cégek (hiányzó jogszabályok és ismeretlen jogalkalmazás miatt) bambán bámulnak maguk elé (remegő kézzel kapaszkodva a vállalati jogászuk mondataiba)
4. és mert nem gondolom, hogy egy filharmonikus koncert előtt a világhírű karmester beszédének közepén a koncertszervezőnek tényleg meg kell kérnie a közönséget, hogy regisztráljanak a hírlevelükre, különben nem tudják őket elérni.
Leszögezem, hogy a GDPR alapötlete nagyon jó. Hiszem, hogy meg kell védenünk a személyes adatokat, mert azoknak értéke van és nem mindig feltétlenül játék vagy közvetlen haszontermelés céljára adjuk ki őket. Ezt meg kell értenie minden szervezetnek. Eközben azonban úgy látom, hogy sem a cégek és kormányzatok, sem a civilek nem értik, hogy pontosan miről is van szó. De ha esetleg értik is, szervezeti oldalon komoly nehézségeik vannak abban, hogy ezt technológiai, folyamati szempontból értelmezzék és lekezeljék, a felhasználók pedig nehezen találnak fogást azon a fegyveren, amit a törvény most hirtelen a kezükbe nyomott.
Remélem, hogy a kezdeti "bénázást" felváltja majd egy tudatosabb, átgondoltabb adatkezelés. Ezért fogunk erről például kiemelten sokat beszélni az idei Informatikai Biztonság Napján (ITBN), szeptember 26-27-én, ahol egyébként számok és élmények formájában részletesen be fogunk számolni az ITBN saját belső GDPR projektjének érdekes és tanulságos tapasztalatairól bevonva a cég ügyvezetőjét, adatvédelmi tisztviselőjét, GDPR felkészítő cégét, projektvezetőjét és sok más érintettet.
Keleti Arthur
kibervédelmi szakértő
Íratkozz fel YouTube csatornánkra! Itt kattints a piros "Feliratkozás" (angol böngészőben: Subscribe) gombra: https://www.youtube.com/PosztmodeM
Lájkold Facebook oldalunkat! Itt: https://www.facebook.com/PosztmodeM