GDPR: halottnak a csók

„Két perce cseteltünk a haverommal a legújabb akkus ütvecsavarozóról, és most teli van OBI-hirdetésekkel a Facebookom, azért ez már ijesztő”. Biztosan mindenkinek van olyan ismerőse, aki részt vett már hasonló beszélgetésben. Mint ahogy az is nagyon valószínű, hogy ezek az ismerősök húzták fel magukat a legjobban, amikor egy helyett két, ne adj’ isten három kattintással lehetett csak eltüntetni a GDPR-határidő után mindenhol felbukkanó adatvédelmi tájékoztatókat.

De vajon ki hány, az új adatvédelmi szabályokra figyelmeztető felugró ablakot zárt be azonnal az elmúlt hetekben, és hányat olvasott el vagy legalább futott át? Az Európai Unió május végén életbe lépett rendeletcsomagja, a GDPR egyik fő célja az volt, hogy a techcégek, a weboldalak figyelmeztessék látogatóikat arra, hogyan bánnak az adataikkal  – ez megtörtént, ennél jobban nem lehet a felhasználók arcába tolni, hogy ide figyelj, tudj róla, hogy mindent tudunk rólad, itt vannak a részletek, kattints az okéra. Kattintott is mindenki.

Ha a közvetlen környezetünkben tapasztalt vállvonogatás nem lenne elég bizonyíték arra, hogy az embereket túlzottan nem érdekli saját adataik védelme, érdemes megnézni, hogyan alakult a Facebook felhasználóionak száma a legalább 2017 ősze óta tartó folyamatos adatvédelmi botrányok miatt. Néhány hírességen és statisztikailag elhanyagolható mennyiségű felhasználón kívül nem sokan hagyták ott a közösségi oldalt, miközben 2018 első negyedévében a Facebook naponta 48 millióval növelte aktív felhasználóinak számát – mintha mi sem történt volna.

A tiltakozások ellenére tovább nőtt a Facebook táboraFotó: JUSTIN SULLIVAN/AFP

A Facebook nem ingyenes, de miért is lenne az?

Amikor Mark Zuckerberget, a Facebook alapítóját május végén az Európai Parlamentben faggatták, az ülést vezénylő elnök, Antonio Tajani szépen összefoglalta, miért van nagy felelőssége a Facebooknak az adatvédelemben. Beszédének az volt a lényege, hogy az életünk szerves részévé vált közösségi oldalról sokan hiszik, hogy ingyenes, pedig csak az a helyzet, hogy pénz helyett az adatainkkal fizetünk érte, amit cserébe felhasználnak például a hirdetések optimalizálására, amiből pénze van a cégnek, ami lehetővé teszi azt, hogy a felhasználóktól ne kérjen pénzt.

A digitális innovációs guru, Greg Satell 2011-ben még a média aranyszabályaként írta le az alábbi tételt, amit könnyen rá lehet illeszteni a közösségi oldalakra vagy az internet szinte bármely területére:

„A hirdetők többet hajlandók fizetni a fogyasztókért, mint amennyit a fogyasztók hajlandók fizetni a tartalmakért.”

Ez persze így volt az internet előtt is, ezért tudtak megélni például az ingyenesen fogható tévé- és rádiócsatornák. Csakhogy amióta az emberek, legalábbis a hirdetők számára fontos emberek elsősorban az interneten tájékozódnak, szórakoznak és tartják a kapcsolatot az ismerőseikkel, és ezáltal lényegesen több tartalmat fogyasztanak, a hirdetéseknek sokkal nagyobb zajban kell célba érniük.

Ezért találták ki a targetálást, vagyis a célzott hirdetést, amely segítségével a felhasználóktól begyűjtött adatok alapján tudnak személyre szabott reklámokat célba juttatni. Ezzel elméletben mindenki jól jár: a hirdető nem pazarolja a pénzét olyan fogyasztókra, akiket nem érdekel, amit hirdet; a targetálást engedélyező felületeket ezért előnyben részesítik; a felhasználókat pedig elvileg csak releváns hirdetésekkel bombázzák. Ez így van minden közösségi médiummal és keresőmotorral, de mivel a teljes globális médiahirdetési piac bevételeinek 25 százaléka két céghez, a Google-t birtokló Alphabethez és a Facebookhoz folyik be, nyilván mindenki rájuk figyel.

Közösség > adatvédelem

Ahogy a volt CIA-ügynök, az USA-ban hősként és közellenségként egyaránt számon tartott Edward Snowden adatszivárogtatási botránya után sem lett mindenki digitális remete, és a kiszivárgott privát fotóik ellenére a hírességek sem követtek el szertartásos iPhone-kettétöréseket, úgy a Cambridge Analytica-botrány sem ösztönzött tömegeket arra, hogy elhagyják a Facebookot. A botrány után egy hónappal a cég globális marketingért felelős alelnöke azt mondta: „Nem láttunk jelentős változást a felhasználók viselkedésében arra vonatkozóan, hogy mennyi adatot osztanak meg a Facebookkal”. A Google idén januárban egy konferencián árulta el, hogy a Gmail felhasználóinak kevesebb mint 10 százaléka állította be az adatbiztonsági eszközként is felfogható kétlépcsős azonosítást, ami magától a Google-től ugyan nem védi a felhasználók adatait, de legalább a külső támadók dolgát megnehezíti.

A Facebook targetálási rendszerének kidolgozásában nagy szerepet játszó exalkalmazott, Antonio Garcia Martínez május közepén jelentette ki: „Az az igazság, hogy az emberek többségét nem érdekli az adatvédelem. A médiaelitet érdekli, a sok szabadidővel rendelkező eurokratákat érdekli, meg az egész adatvédelmi ipart. A kételkedőknek itt egy találós kérdés: az utóbbi két-három hétben mikor töltötték le a legtöbben a Facebookot Androidra? Konkrétan a #deletefacebook hashtag virálissá válása utáni napon”. Garcia Martínez, szerint, aki  könyvet is írt a Szilícium-völgyben eltöltött éveiről, az emberek örömmel adják fel az adataikat azért cserébe, hogy egy közösség részei legyenek.

Az ilyen okfejtéseknek általában az a megállapítás a vége, hogy nem tehetünk mást, nekünk kell óvatosabbnak lennünk az ügyben, hogy kivel mit osztunk meg. Martin Voelk kiberbiztonsági szakértő szerint például a következők betartásával érhető el a legnagyobb mértékű adatbiztonság:

  • Ne ossz meg semmit, ami nem tartozik a nyilvánosságra!
  • Tedd priváttá a közösségi profiljaid, hogy csak a valódi ismerőseid láthassák a posztjaidat!
  • Tanuld meg felismerni az adathalász emaileket, és ne dőlj be nekik!
  • Ne bízz az emailekben és az üzenetküldő appokban! A kényes információkat csak szóban, esetleg telefonon közöld!
  • Rendszeresen frissítsd a laptopod, tableted és telefonod!
  • Használj antivírus és antimalware szoftvereket a készülékeiden!
  • Soha ne használj olyan pendrive-ot, amit nem te vásároltál zárt csomagolásban!

Sok szerencsét hozzá!

Még az EU sem tudja betartani a saját szabályait

Hogy Magyarországon miért fulladt káoszba az egész, utolsó pillanatra hagyott GDPR-őrület, az az Átlátszó csütörtöki cikkéből szépen kiderül. Mivel az uniós rendelet szabályai enyhébbek a magyar infotörvénynél, mégis előrébb helyezkedik el a prioritási sorrendben. Több területen (pl. direkt marketing, biztonsági kamerás megfigyelések) még mindig nem egyértelmű, hogy az EU-s vagy a magyar előírásokat kell-e betartani. A magyar törvényalkotás csúszása miatt a Nemzeti Adatvédelmi és Információszabadság Hatóság nem tudta időben felkészíteni a gyakorlati tennivalókra az érintetteket, akik viszont részben ezért cserébe kitömték a – sok esetben adatvédelemmel nem is foglalkozó – jogászok és jogi tanácsadók zsebeit.

A nagyobb cégeknek, szervezeteknek sokszor egyenesen betarthatatlannak tűnhet a rendelet, de a Telegraph azt írja, hogy még a GDPR ötletgazdája, az Európai Bizottság oldalán is találhatók olyan dokumentumok, amelyek több száz európai állampolgár személyes adatait tartalmazzák. (A bizottság egyik szóvivője szerint egyrészt még náluk is folyamatban vannak a rendelet betartásához szükséges lépések, de egyébként a brüsszeli intézményekre jogi okokból egy másik, a GDPR-t tükröző törvény lesz érvényes, amely majd csak ősszel lép életbe.)

Sikerült a nagy cégeket tovább erősíteni, miközben teljes szektorokat hoztak nehéz helyzetbe

Általános vélemény, hogy a GDPR ötlete valahol ott kezdődött, hogy a brüsszeli jogalkotóknak szemet szúrt a Facebook és a Google monopol helyzete. Ezt a két cég hamar fel is ismerte, és ahelyett, hogy tiltakoztak volna a szigorítás ellen, a kezdetektől fogva azon dolgoztak, hogy az előnyükre váljon a felhasználói beleegyezés.

Fotó: ROLAND WEIHRAUCH/dpa Picture-Alliance/AFP

A Wall Street Journal csütörtöki cikkéből kiderül: a világ egyik legnagyobb reklámügynöksége, a Havas SA például két számjegyű százalékkal (értsd: legalább 10 százalékkal) növelte a Google targetált hirdetési rendszerén keresztül befolyó bevételeit – egy nappal a GDPR életbe lépése után. Ezzel szemben a hirdetési helyeket kínáló Dataxu által használt oldalak kétharmada nem rendelkezett a célzott hirdetésekhez szükséges felhasználói beleegyezéssel, így azokon csak általános reklámokat futtathatnak, amelyek négyszer-ötször kevesebbet érnek a targetált hirdetéseknél.

Az adatvédelmi aktivisták és a digitális jogokkal foglalkozó csoportok már a hatályba lépés utáni első percektől fogva házmester üzemmódba kapcsoltak, a Facebook és a Google mellett az Amazon, az Apple és a Microsoft ellen is panaszt tettek a helyi hatóságoknál arra hivatkozva, hogy nem részletezték eléggé, milyen módon használják fel a felhasználók adatait, ezzel pedig gyakorlatilag rákényszerítették őket a beleegyezésre. A legnagyobb kiszabható büntetés a cégek éves bevételének 4 százaléka, ami ezekben az esetekben több milliárd dollár lenne.

Egy hét után sok előnye még nem mutatkozott a nagy dobra vert rendeletnek, az okozott károk viszont már jól láthatók. A hackerek és egyéb kiberbűnözők elfogásában is nagy szerepet játszó Whois adatbázis, amelyen keresztül a domainszolgáltatóktól begyűjtött információk alapján lehetett lekérni egy-egy oldal tulajdonosának adatait, például már használhatatlan. Az adatmentéssel foglalkozó cégek az elfeledtetéshez való jog miatt vannak meglőve, a műholdas szektor szereplőinek fogalmuk sincs, hogy kezeljék a helyzetet, az eddig is szigorú beleegyezési szabályok mentén dolgozó fotósoknak még nehezebb lesz a munkájuk. Egyes nagy példányszámú amerikai lapok, mint a Los Angeles Times vagy a Chicago Tribune pedig egyszerűen úgy döntöttek, hogy egyelőre inkább kitiltják az oldalaikról az Európai Unióból érkező olvasókat, mint hogy megfeleljenek a GDPR által támasztott adatvédelmi követelményeknek.

A GDPR-ról az alábbi cikkben írtunk részletesen: