Csodás látvány fogadott a postafiókomban a GDPR bevezetésének napján. Adatvédelmi tájékoztatás egy bírósági szerv sajtóosztályától, amiben mind a háromszáz címzett személyes adatai ott figyeltek. Ennél szebb adatvédelmi hibával aligha lehetne ünnepelni egy adatvédelmi törvény hatálybalépését. Külön pikantériája a dolognak, hogy egy jogalkalmazó szervezetnek sikerült elkövetnie, akiknek másoknál is jobban tisztában kellene lenniük az adatkezelési szabályokkal.
Pár éve már írtam a blogon arról, miért fontos a levelek címzettjeit elrejteni egymás elől – különösen a hivatalos sajtólistáknál és hírleveleknél, ahol a címzettek nem ismerik egymást és nem is cél, hogy megtudják egymás elérhetőségét, vagy éppen kilétét. (Nem csak jogi, technikai biztonsági kérdés is). Érdemes elolvasni a korábbi írást, de a lényege, hogy ha több címzettünk van és nem kifejezett célunk, hogy ők tudjanak egymásról és arról, hogy kik kapták meg az üzenetet és hogy ők egymással is kapcsolatba tudjanak lépni, akkor el kell rejteni a címzetteket és ehhez a To helyett a BCC (Titkos másolat) mezőbe kell írni a címüket. Hogy miért, azt a korábbi írásban kifejtettem, olvasd el!
Természetesen a képen minden email címet elrejtettem, hogy legalább én ne tetézzem az amúgy is megtörtént adatkezelési hibát (és újabbat se kövessek el az éppúgy szándékom, mint rám vonatkozó felhatalmazás nélkül hozzám került adatok kezelésével). Szándékosan nem árulom el azt sem, hogy melyik szerv sajtóosztálya követte el a bakit. Szerencsére van jó pár féle szintű és regionális bíróság az országban, hogy ebből ne derüljön ki, hogy ki volt a ludas. Viszont azt el kell árulnom, hogy eddig sem ez volt az egyetlen hivatal, ahol így leveleztek és van egy olyan érzésem, hogy a GDPR évek óta történő emlegetése ellenére sem ők maradtak az egyetlenek, akik így küldtek ki leveleket. (Annál is inkább, mert azóta is szinte naponta jönnek így levelek.)
Bevallom, évek óta minden alkalommal azon töröm a fejem, hogy egy ilyen levelükre csak vissza kéne írni a minden címzettnek szóló Válasz mindenkinek (Reply All) gombbal, hogy megkérdezzem, ők mit gondolnak az eljárásuk jogi megítéléséről. (Az egyik online szerkesztőség egyszer már meglépett egy hasonló, bár valamivel finomabb célzást, de abból sem értettek.)
Végül most is sikerült elfojtanom a bennem lakozó netes trollt és csak direktben kérdeztem meg őket. Választ eddig nem kaptam, viszont azóta küldtek egy újabb közleményt, ugyanúgy mind a háromszáz címzettet felfedő címzéssel. Arra tippelek, hogy vagy még nem olvasták a kérdésemet, vagy nem értették meg elsőre, de talán csak a rendszereiket nem sikerült még átállítaniuk, hogy GDPR kompatibilisek legyenek – nem mintha az eddigi adatvédelmi törvények szerint nem lett volna ugyanúgy jogosulatlan adatkezelés az ilyen levélküldés egy hivatal részéről.
Kiiegészítés: A GDPR bevezetése és az itt emlegetett eset óta is eltelt már egy hét, az emlegetett sajtóosztály azóta sem válaszolt a kérdésre, hogy szerintük megsértik-e a saját adatkezelési irányelveiket. Viszont azóta elkezdték elrejteni a címzetteket, tehát gondolom megkapták a levelem és átgondolták a felvetésemet.
Több más sajtóosztálynak is jeleztem a problémát a levelezési gyakorlatukkal kapcsolatban. A többségük nem reagált, de ők is változtatnak a hibájukon. Egy két olyan cég is volt, akik udvariasan válaszoltak, elnézést kértek és biztosítottak róla, hogy csak pillanatnyi hiba volt a részükről és a jövőben nem fordul elő.
