A Gill and Murry teszt sorozatot indít a magyar GDPR felkészültség vizsgálatára. Célunk a Google első 26 találatának vizsgálata a gazdaság egy-egy fokozott adatkezelésű területén. Felmérjük az elmúlt 3 évben elvégzett tevékenységeket egy-egy gazdasági, valamint szolgáltatási területen. Az értékelés módszertana: Kiemeltük az adatkezelés külső szemszögből leginkább látszó feladatait és szükség esetén kiegészítjük az adatott terület működésére vonatkozó legjellemzőbb elemekkel. A gazdaság milyen területeket fogunk vizsgálni? Terveink szerint olyan területeket vizsgálunk, ahol jelentős személyes adatkezelés történik, többek között: sport webshopok, kórházak, iskolák, drogériák, televíziók, rádiók, önkormányzatok, vízművek, energia szolgáltató, nyugdíjpénztár, IT szolgáltatók, egyesületek, sportszövetségek, busztársaság, nyelvtanár, gázszerelő, vízszerelő, utazási iroda, minisztérium, fodrászat, kozmetikus, gyógytornász, hotel... Vizsgálati módszer: Az egyes csoportokra jellemző kereső szót alkalmazzuk a Google keresőben. Az első keresőszó „állat eledel webáruház” A Google első két oldalának organikus és hirdetési találatait vesszük górcső alá. Ez 26 lehetséges találatot jelent, de sok esetben a hirdetés és az organikus találat között átfedések vannak, így az első két oldalon ebben az esetben is csak 23 különböző weboldalt találtunk. Tisztában vagyunk vele, hogy a felmérés nem reprezentatív, de az első eredmények alapján az a tapasztalatunk, hogy a Google priorizálása alapján az eredmények jól értékelhetők. Az első felmérés értékelése: „állat eledel webáruház” 2021. 05. Összegzés Ami elsőre feltűnő, hogy a Google által top 23 cég 35%-ának értékelhetetlen a GDPR tájékoztatása, azaz a felkészültsége. A felkészültnek tekinthető cégek, vállalkozások közel 90%-a nem frissíti rendszeresen az adatkezelési tájékoztatóját, a legtöbb esetben a 2018-as állapot érhető el. A vizsgált cégek weboldalának 10%-a még ma is titkosítástalan csatornán kommunikál, ami egy pénzügyi forgalmat bonyolító webáruház esetében kritikus hibának tekinthető.
Az egyes vizsgált területek értelmezése: Van-e adatkezelési tájékoztató link feltüntetve a weboldalon? Sajnos sok esetben, sok helyen ma sincs semmilyen adatkezelési tájékoztatás. Így ez az adat kitűnően jellemzi egy szervezet a GDPR felkészültségét. Részleges adatkezelési tájékoztató: Az egyik leggyakoribb hiba, hogy csak a weboldallal kapcsolatos adatkezelésről tájékoztatják a látogatót, de a szervezet/webáruház/szolgáltató alaptevékenységével kapcsolatosan nem, pld. Termék eladása, ajánlat adás, vevő nyilvántartás, jelenléti ív stb. A weboldalon elhelyezett szöveg Nem minősíthető adatkezelési tájékoztatónak: Sok olyan weboldallal találkoztunk, ahol az adatkezelési tájékoztató link el van helyezve, de vagy nincs rajta tartalom, vagy teljesen más dokumentum pld. az ASZF érhető el. Adatkezelési tájékoztatónak minősíthető tartalom a weboldalon: Ez az a kategória, aminek esélye van egy NAIH vizsgálaton. Itt a legtöbb kötelező elem fellelhető. Nem vizsgáltuk, hogy az egyes adatkezelési célok esetében a megállapított jogalap és határidő megfelelő-e. Nem vizsgáltuk a megadott kezelt adatok teljességet és az adatfeldolgozók, címzettek kategóriáinak megfelelőségét. Nem frissítették a NAIH címet az adatkezelési tájékoztatóban: A NAIH 2020-ban elköltözött. Ahol a korábbi, a változás előtt érvényes cím van feltüntetve az egyértelműen bizonyítja, hogy nem vizsgáltak felül az oldalt a változtatás óta. Van-e Cookie banner a weboldalon?Szinte minden weboldal tesz le valamilyben cookie-t, ennek ellenére igen kevesen tájékoztatnak róla megfelelően. Negatív tapasztalatunk, hogy akinél nem volt cookie banner és tájékoztatás ennek ellenére rakott le cookie-t a weboldalon. Nem vizsgáltuk a cookie tájékoztatást és a valós működés relevanciáját. Csak azt vizsgáltuk, hogy az adott oldal annak ellenére, hogy nincs cookie banner tesz-e le valamilyen cookie-t. Ha van Cookie banner akkor a Marketing Cookie kategória előre be van-e pipálva? Marketing tevékenységet hozzájárulással lehet végezni. Az előre bepipált jelölő négyzet nem elfogadható működés, mert nem önkéntes a hozzájárulás. A weboldal védett kommunikációs csatornát használ-e a kommunikációra? Ha személyes adatot nyílt hálózaton küldünk akkor az a minimum információbiztonsági elvárás, hogy maga a csatorna titkosított legyen, hogy egy hacker ne tudja különösebb gond nélkül olvasni. Ennek a megoldása egy HTTPS: tanúsítvány beszerzése. A böngészők mindegyike kijelzi, hogy az oldal nem titkosított ha sima HTTP-n keresztül kommunikál. Közösségi oldal beépített plugin van-e? Az vizsgáljuk, hogy ha az oldal Facebook like gombot épít be az oldalba akkor ennek megfelelően ad-e tájékoztatást az adatkezelési tájékoztatóban az esetleges közös adatkezelésről. Van-e ASZF – weboldalon? Azért vizsgáltuk, hogy van-e mert sokan összekeverik-összevonják az adatkezelési tájékozgatóval és alapvetően egy webáruházban szükséges elem az ASZF.
Comments