Látható rádió a digitális forradalom folytatásáról

Mit is ír a hogyishívják?

Az első napok GDPR tanulságai

2018. május 27. - Posztmodem

Az alábbi blogbejegyzésünk szerzője Keleti Arthur kibervédelmi szakértő. Írása a GDPR hatálybalépése után - az első tapasztalatok ismeretében - készült, a fentebbi videó pedig május 22-én, tehát még a nagy nap előtt.

***

Szakértői és nem szakértői körökben is látható, hogy a GDPR életbe lépése előtti utolsó napok a hozzájárulási levelek bűvöletében zajlottak. A felhasználók "megismerkedhettek" az adatvédelemmel kapcsolatos hozzájárulás szükségességével, meg azzal is, hogy hány millió cég tartja nyilván az adataikat. Na, persze kérdés, hogy tényleg minden címzett tudja-e, hogy mi zajlik körülötte.

Legtöbben ugyanis az egész adatvédelmi "izéből" annyit tapasztaltak, hogy napi 20-100 email érkezett a postaládájukba és az összes mindenféle szabályzat frissítésről vagy hozzájárulás kéréséről beszélt. Valamelyik jutalmakat ajánlott a közreműködésért (mellesleg szabálytalanul), valamelyik feltételeket szabott (szintén nem törvényes), de voltak kérlelő, sajnálkozó, über korrekt és még sok más jellegű email-ek is.

Az első "ipari" tapasztalatok azt mutatják, hogy a dömping hatása nem volt túl pozitív, sem adatvédelmi, sem üzleti szempontból. A leveleket a címzettek 20-30%-a nyitja meg, nem feltétlenül olvassák el az összeset és csak igen kevesen iratkoznak "vissza" a hírlevelekre. Sokan azt sem látják tisztán, hogy mit is kellene tenniük egy-egy levélben kértek alapján. Azok a szervezetek, akik korábban már GDPR-ra alkalmas módon kértek hozzájárulásokat az adatok kezeléséhez (vagy legalábbis ezt gondolják), most "csak" szabályzatokat frissítenek, de nem ritkák az olyan email-ek sem, amelyek egyszerűen csak szabályzat frissítéssel próbálják megúszni az hozzájárulások bekérését.

A Magyar Kormány hamar bejelentette, hogy igyekszik megvédeni a kisvállalkozásokat az EU haragjától és a hatalmas bírságoktól, miközben a NAIH (a Nemzeti Adatvédelmi és Információszabadság Hatóság, a GDRP betartásáért felelős hazai szerv) ezt megelőző álláspontja szerint a bírságok egységesek és az Európai Unió területén mindenhol ugyanolyan feltételek szerint kell büntetni.

Megtörtént az első feljelentés is, egy osztrák magánszféra védő Max Schrems hivatalosan követeli, hogy bírságolják meg a Facebook-ot 3,9 milliárd euróra, a Google-t pedig 3,7 milliárd euróra, amiért nem megfelelően gyűjtik a felhasználók adatait.

A sokféle levél kapcsán eszembe jutott Gombóc Artúr, Csukás István híres meseszereplője, amint sorolja, hogy mennyi fajta csokoládét szeret: "A kerek csokoládét, a szögletes csokoládét, a hosszú csokoládét, a rövid csokoládét, ... és minden olyan csokoládét, amit csak készítenek a világon." Talán nem véletlen, hogy én is mindenfajta csokoládét szeretek, végtére is valami miatt Arthurnak hívnak. De sajnos azt kell mondjam, hogy az első pár nap tapasztalata jobban hasonlít egy túlzottan keserű csokoládé nyelvfacsaró ízére, mint egy finom svájci csokoládé kényeztető selymességére.

Azért gondolom így, mert

1. a legtöbb felhasználó úgy "szabadult meg" a hírleveleitől, hogy fogalma sincs mikről nem fog többet információt kapni (mondjuk szerintem kb. 10-20%-a a nem olvasott emailjeinek),

2. a nagy levél és információ áradatban csak éppen azt nem értik még a felhasználók, hogy miről is van szó,

3. a cégek (hiányzó jogszabályok és ismeretlen jogalkalmazás miatt) bambán bámulnak maguk elé (remegő kézzel kapaszkodva a vállalati jogászuk mondataiba)

4. és mert nem gondolom, hogy egy filharmonikus koncert előtt a világhírű karmester beszédének közepén a koncertszervezőnek tényleg meg kell kérnie a közönséget, hogy regisztráljanak a hírlevelükre, különben nem tudják őket elérni.

Leszögezem, hogy a GDPR alapötlete nagyon jó. Hiszem, hogy meg kell védenünk a személyes adatokat, mert azoknak értéke van és nem mindig feltétlenül játék vagy közvetlen haszontermelés céljára adjuk ki őket. Ezt meg kell értenie minden szervezetnek. Eközben azonban úgy látom, hogy sem a cégek és kormányzatok, sem a civilek nem értik, hogy pontosan miről is van szó. De ha esetleg értik is, szervezeti oldalon komoly nehézségeik vannak abban, hogy ezt technológiai, folyamati szempontból értelmezzék és lekezeljék, a felhasználók pedig nehezen találnak fogást azon a fegyveren, amit a törvény most hirtelen a kezükbe nyomott.

Remélem, hogy a kezdeti "bénázást" felváltja majd egy tudatosabb, átgondoltabb adatkezelés. Ezért fogunk erről például kiemelten sokat beszélni az idei Informatikai Biztonság Napján (ITBN), szeptember 26-27-én, ahol egyébként számok és élmények formájában részletesen be fogunk számolni az ITBN saját belső GDPR projektjének érdekes és tanulságos tapasztalatairól bevonva a cég ügyvezetőjét, adatvédelmi tisztviselőjét, GDPR felkészítő cégét, projektvezetőjét és sok más érintettet.

Keleti Arthur
kibervédelmi szakértő

Íratkozz fel YouTube csatornánkra! Itt kattints a piros "Feliratkozás" (angol böngészőben: Subscribe) gombra: https://www.youtube.com/PosztmodeM 

 Lájkold Facebook oldalunkat! Itt: https://www.facebook.com/PosztmodeM

 

A bejegyzés trackback címe:

https://posztmodem.blog.hu/api/trackback/id/tr8014006954

Trackbackek, pingbackek:

Trackback: A GDPR Magyarországon 2018.05.28. 08:58:48

Megérkezett! 2018 május 25-től lejárt a türelmi idő és hatályba lépett az EU adatvédelmi rendelkezése, a GDPR. Ám a realitások szerint, a költő szavaival élve, karóval jött és nem virággal. A karót a kilátásba helyezett büntetési tételek jelentik. Amel…

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

nick066 2018.05.28. 10:50:11

Lenne egy kérdésem egy szakértöhöz. Egy egyszerű IGEN/NEM választ várok, nem linkeket 700-oldalas jogszabályokra, GDPR tudnivalókra, azokat már láttam, de okosabb nem lettem.
Van egy webáruház, ami x éve üzemel, tehát van jó sok regisztrált ügyfele. Ahogy azt illik, ők is kiküldték ezeket az idegesítő hozzájárulás-kérő emaileket, aminek a nagyrésze nyilván olvasatlanul a kukába került. Az embereknek tényleg elegük van már ebből, de most nem ez a kérdés.

Szóval kis részükre érkezett bárnmilyen válasz.

Mi a teendő azokkal az ügyfelekkel a jogszabály szerint, akik nem adtak válasz? Őket május 25-én éjfélkor törölni kellett az adatbázisból? egy egyszerü IGEN / NEM -et kérek.

Ha IGEN a válasz, akkor ugye most nem kellene hogy be tudjanak lépni, és nem kellene hogy lássák pl. az eddigi vásárlásaik történetét, ill. más tárolt személyes adataikat (pl. eltárolt szállitási cimeket, stb.) az áruházban.

Ha ez a helyzet, mert én csak így tudom értelmezni a jogszabályban irtakat, akkor most milliószámra történik nyilvánvaló jogsértés. Tehát vagy mindenki bűnöző, vagy lett egy hihetetlenül amatőr módon hozott, betarthatatlan jogszabályunk.

Zöldelve 2018.05.28. 10:50:36

Csak az a bökkenő, hogy a közvetlen üzletszerzés taxative jogos érdek jogalapot teremt, ami a meglévő adatok adattakaréskosság elve mentén a "hírlevél küldése" célra minimálisan szükséges (ami jellemzően egyetlen email cím és semmi több) részhalmazának további kezelését megalapozza, csupán egy átminősítés történik (vagy még az sem, ha megvan a korábbi hozzájárulás). Így csupán az adatnédelmi tájékoztató megváltozásáól (jelesül létrejöttéről, ha még nem lett volna), az átminősítés tényéről és a tiltakozás jogáról kell az érintettet tájékoztatni, újbóli hozzájárulásra nincs szükség.

Én még nem kaptam olyan gdpr-dömping emailt az utóbbi hetekben, amibe ne lehetett volna belekötni. De egy jó részük a fenti apróságot ki is használta. Aki meg béna módon újra hozzájárulásomat kérte... annak jellemzően nem adtam meg. Annyival is kevesebb olyan levél, ami jellemzően már nem érdekel, csak lusta voltam leíratkozni...

furious ewok 2018.05.28. 10:50:40

Végre egy józan cikk erről az adatvédelmi agyrémről.

Lord_M_ 2018.05.28. 10:50:44

de azt tegyük hozzá, hogy a GDPR 2016 àprilis 14 óta jelen van. a cégek két évet kaptak a felkészülésre, és mindenki most hullajtja a haját, mintha ez az egész dolog mindössze két hete született volna.
talán ha a cégvezérek nem hagytak volna mindent az utolsó pillanatra, akkor nem kellene most remegni és kapaszkodni a jogászok szavaiba...

egyszerűen nonsense hogy mindenki az utolsó hétre hagyott mindent, és utána a jogszabályt meg a jogalkotót hibáztatják, mert “nem volt idő” felkészülni.

(nálunk is vannak olyan dolgok, amitől legszívesebben a falnak mennék, amikor kollégák olyat mondnak, hogy ha valaki hallaná akkor felszántanák a céget...)

furious ewok 2018.05.28. 15:26:14

Nem az adatvédelmi törekvésekkel van a gond, hanem hogy homályos, alapelvi szintnél alig részletesebb szabályozásnak kell mindenkinek megfelelnie. Mindezt olyan szankciós fenyegetettség mellett kell megtenni, ami bármely céget azonnal tönkretehet. Ilyen helyzetben a hatóságon múlik minden, de azt, hogy ki kerül majd célkeresztbe és milyen bírságok lesznek végül kiszórva, még csak tippelni sem lehet... Csak remélni lehet, hogy a jogalkalmazás konstruktívan és objektíven áll hozzá a dologhoz, és nem lesz a GDPR végül a "leszámolások" eszköze.

rnz 2018.05.28. 15:26:30

@nick066: Sajnos erre nem lehet egy egyszerű igen/nem választ adni, mert több összetevő is van, amitől függ a válasz. Feltételezve, hogy az eddigi felhasználási feltétel kompatibilis volt a jelenlegi rendszerrel, akkor ha az ügymenet igényli, akkor például megtarthatod akár a nevet is (pl. számlázási adatok), de ha csak a regisztrációnál kellett megadni és más "haszna" nem volt, akkor törölnöd kell. De persze van rendhagyó eset gazdagon, például ha regisztrált és megadta a számlázási címet, de végül nem vett semmit, akkor törölni kell. Az már csak hab a tortán, hogy sok helyen elég pontatlanul, vagy túl lazán fogalmaz a jogalkotó.
Gondolod, hogy ha egy egyszerű igen-nem választ lehetne adni erre a kérdésre, akkor nem nevetve lenne rajta túl már mindenki?

Mérnork 2018.05.28. 15:26:39

"a GDPR alapötlete nagyon jó."
Ja, tipikus példája annak, amikor egy alapvetően jó ötlet gyakorlati megvalósítását agyhalott bürokratákra bízzák. Mint egy csomó más esetben már ezelőtt is megtörtént, mikor a zunijó próbált valamit egységesen szabályozni.

Bambano 2018.05.28. 15:26:52

@Zöldelve: "Csak az a bökkenő, hogy a közvetlen üzletszerzés taxative jogos érdek jogalapot teremt, ": amiért jól pofán kéne verni az összes eu-s politikust, akik hagyták ezt kilobbizni.

más kérdés, hogy a jogos érdeket érdekmérlegelési teszttel kellene bizonyítani, ahhoz pedig a hatóságnak is van pár szava.

Bambano 2018.05.28. 15:27:08

"a Nemzeti Adatvédelmi és Információszabadság Hatóság, a GDRP betartásáért felelős hazai szerv": ezt viszont nem ártana alátámasztani valamivel, merthogy jelenleg nincs hivatalosan kijelölt felelős hatóság.

naty77 2018.05.28. 15:28:57

@Lord_M_: Cégvezető vagyok és 2018 április közepén olvastam először egy ismerős blogján a GDPR-ről. Szállodát üzemeltetek. A szállodaszövetség április közepe után küldött egy levelet, amiben próbál segíteni. Tehát hivatalosan akkor hallottam róla először. Az elmúlt hetekben rengeteg mindent elolvastam, de a mai napig nem tudom a lényeges kérdésekre a választ.
Próbáltuk szakértőt hívni a céghez, de most mindenki ezen akar meggazdagodni és tulajdonképpen 3 lényeges kérdésemre a válaszért fizethetek alaphangon 250 ezret, de kaptunk több milliós ajánlatot is. Így amit tudtunk megcsináltunk magunk, kiokoskodtuk a megoldást és várjuk az ellenőrzést, hogy kiderüljön mit csinálunk rosszul. Jó esetben elsőre figyelmeztetéssel és javítási ötletekkel...

Before · http://azbeszt.blog.hu 2018.05.28. 19:02:27

@naty77: Nem akarlak elkeseríteni, de cégvezetőként kutya kötelességed lenne tájékozottnak lenned ilyen témákban. Sajnos ez nem úgy működik, ahogy sugalmazni szeretnéd, senkinek nem kötelessége Téged "hivatalosan" tájékoztatni egy érvénybe lépő jogszabályról, ez a Te felelősséged.

Bambano 2018.05.28. 19:09:58

@Before: kapott tájékoztatást. megjelent az eu hivatalos folyóiratában, ami olyan, mint a magyar közlöny.
vagy:
index.hu/tech/2016/05/24/europai_unio_adatvedelem_gdpr/

RHalacska 2018.05.29. 11:53:50

@Bambano: A magyar reklámtörvény pedig korlátozza. Ugyan kezelheted az adatot, de pl. reklám email-t nem küldhetsz. Postai küldeményt igen.

Exploiter 2018.05.29. 11:54:04

A szokásos eu balfaszkodás olyan bizottságokkal, akik abban sem tudnak megegyezni, hogy milyeb pogácsa legyen az ülésen.
És ezek akarnak adatvédelemmel foglalkozni a big data korszakban.
Pont úgy sikerült, ahogy várni lehetett.