Dnes som si prečítal tweet o tom, aké je GDPR super pre bezpečnosť a súkromie. Ako zakladateľ viacerých firiem, ktoré pomáhajú s bezpečnosťou (a sú na tej “prijímajúcej” strane tejto regulácie – ich služby musia klienti využívať, aby prešli GDPR checklistami), mám odlišnú skúsenosť.
Realita GDPR:
- Ide viac o papierovanie než reálne zvyšovanie bezpečnosti. Firmy síce investujú peniaze, ale väčšina končí v šuplíku ako dokumentácia pre prípadnú kontrolu
- GDPR najviac “potrebujú” štátne úrady a verejný sektor, ktoré zasahujú do súkromia najviac. Paradoxne, pre nich GDPR neplatí.
- Bezpečnosť je o manažmente rizík. GDPR prinieslo dve nové: riziko kontroly a pokuty, a riziko úniku dát a následnej pokuty. Rozpočet na ich pokrytie (riziko=náklad) často chýba v rozpočte na skutočnú bezpečnosť s reálnym dopadom.
- Stále klikáme na otravné cookie notices a podpisujeme súhlasy so spracovaním osobných údajov bez reálneho benefitu
- Väčšina podnikateľov osobné údaje ani nechce zbierať. K ich zberu ich núti štát, napríklad kvôli DPH: E-shop musí zozbierať fakturačnú adresu, platobnú metódu, telefón alebo IP adresu – rôzny počet týchto údajov podľa toho, či navzájom hovoria príbeh o rovnakej daňovej rezidencii. Ak chcem niekomu poskytnúť online službu (napríklad softvér), naozaj nepotrebujem jeho telefónne číslo a vedieť kde býva. Ale potrebuje to štát a chce, aby som to vedel ja.
Kde sa stala chyba?
Roky som chodil na hackerské konferencie, kde aktivisti poukazovali na problémy so súkromím. Z tejto komunity vznikli pracovné skupiny, ktoré chceli problém vyriešiť veľkou reguláciou. Nepochopili však dva kľúčové aspekty:
- Štát vyžaduje trackovanie. Potrebuje, aby banky, operátori a podnikatelia zbierali dáta. Všetky nákupy končia v systémoch štátu (eKasa), rovnako ako bankové transakcie. Cookie vo vašom prehliadači je oproti tomu maličkosť.
- Ekonomika internetu je postavená na službách “zadarmo”. Užívatelia a ich pozornosť sú produktom. Datacentrá sa samy neuživia a regulátor im nezabráni v monetizácii našej pozornosti. Len musíme vyplniť o jeden formulár viac.
Paradoxne jednou z najväčších regulácií sledovania bolo sprísnenie politiky Apple o tom, čo môže byť v App store. Lepšie ako GDPR.
Výsledok
- Máme menej súkromia ako pred GDPR
- Brutálne náklady na oboch stranách
- Peniaze, ktoré mohli ísť na reálne zvýšenie bezpečnosti, idú na byrokraciu
- Niektoré služby v EÚ nie sú dostupné vôbec – je lacnejšie ich zablokovať než splniť reguláciu
Vďaka korporáciám aspoň za zahraničné telefónne čísla a VPN. A mimochodom, ak telefónne číslo a IP adresa hovorí iný príbeh, účtuje sa aj iná DPH.