V blogu o crony kapitalizme sa dočítate o tom ako tento problém súčasnej spoločnosti riešiť systematicky. To ale neznamená, že nie sú horšie a lepšie postoje k hľadaní renty (rent seeking).
Vyhľadávanie renty funguje tak, že firmy lobujú za nejakú reguláciu, ktorá im prinesie na trhu s danou reguláciou výhodu, vďaka ktorej zarobia viac. Väčšina odvetví je takýmto spôsobom ovplyvnená.
Napríklad – gastráče ako úplne zbytočná vec, ktorá sa dá vyriešiť jednou daňovou výnimkou prinášajú celkom slušné zisky firmám, ktoré vydávajú gastráče. To, či to pôvodne vylobovali oni alebo sa len na tejto “diere na trhu” zviezli a bránia tomu, aby bola zrušená neviem a nie je to podstatné.
Veľmi podobné je to s novou vychytávkou štátu eKasa. Príde k ďalšej zmene registračných pokladníc, podnikatelia budú “upgradovať” a to prinesie existujúcim aj novým firmám ďalší skvelý zisk. Benefit rent seekingu pre zákazníka alebo pre podnikateľa je minimálny, ak teda za benefit nepovažujeme odvrátenie ďalšej hrozby pokuty.
Nie je mojim cieľom moralizovať ohľadom firiem, ktoré nejakým spôsobom interagujú s vyhľadávaním renty, hlavne preto, že sa tomu dá vyhnúť iba veľmi ťažko – všetko je regulované. To, že nejaká firma za danú reguláciu nelobovala neznamená, že to nie je rent seeking. Tým nechcem povedať, že ak si to všimneme, nemáme to zakomponovať do biznis plánu firmu, to dokážu iba organizácie, ktoré sú postavené úplne inak (pre mňa napríklad Paralelná Polis).
Dôležité je to, aby sme si pamätali že to je rent seeking a treba to zrušiť, aj keď sa môže zdať že je to “biznis”.
Príklad do vlastných radov. Vzniklo GDPR ako regulácia na ochranu osobných údajov. Nám čo majú security firmy (u mňa Citadelo a Hacktrophy) to trochu pomohlo k biznisu. Riešime reálny problém firiem – ochranu pred pokutou za GDPR (o tom prečo GDPR v skutočnosti pramálo rieši ochranu osobných údajov viac v tejto prednáške).
Je dôležité aby sme mali stále na pamäti, že GDPR je obyčajná rent seeking schéma a to dokonca aj keď máme pocit, že prinášame hodnotu – prinášame ju v riešení problému zvaného GDPR. Ak sa nám vďaka tomu darí lepšie, je jednoduché začať obhajovať GDPR ako skvelú vec.
Firma, ktorá mala problém s ochranou osobných údajov má teraz dva do veľkej miery odlišné problémy – splniť GDPR a okrem toho ochrániť osobné údaje. Nie, nejde to ruka v ruke.
Ochrániť proti GDPR pokute sa dá spôsobmi, ktoré nemajú nič spoločné s ochranou osobných údajov. Jedno z najjednoduchších riešení je vypnúť službu pre európskych užívateľov alebo sa presmerovať do Švajčiarska. Okrem toho je možné vygenerovať množstvo papierových dokumentov a prípadnú pokutu na GDPR vyriešiť poistným produktom (čo i len interne, vyčíslením rizika a zarozpočtovaním ho). Alebo oddeliť firmy tak, aby prípadnú GDPR pokutu zniesla spoločnosť s ručením obmedzeným, ktorá na prípadnú pokutu nemá peniaze.
Problém ochrany osobných údajov sa dá riešiť rôznymi spôsobmi, ktoré nemajú nič s GDPR. Asi najlepší spôsob je nezbierať osobné údaje užívateľov. To je v niektorých odvetviach ťažké, pretože GDPR prikazuje chrániť osobné údaje, ale iné regulácie prikazujú osobné údaje zbierať – táto schizofrénia je OK, pretože vidieť údaje na občianskom človeka čo si kupuje SIM kartu je extrémne dôležité, ako inak by sme zabránili teroristickým útokom…
Pri eKasa to isté. Firmy čo ponúkajú eKasa / EET riešenia riešia jediný problém a to ako sa ochrániť pred rent seeking schémou, ktorú vymyslel štát – predpokladám v spolupráci s privátnym sektorom vyrábajúcim pokladne, ktoré sa dokážu napojiť na tento systém.
Je dôležité aby aj tie “dobré” firmy chápali, že produktom na eKasa jediná hodnota, ktorú prinášajú zákazníkovi je ochrana pred štátom. A že by bolo lepšie, keby ich nebolo treba chrániť.
Toto napríklad niektoré security firmy nepochopili a stále nechápu a propagujú GDPR ako najlepšiu vec na svete. Nie sú zlé v tom, že by za túto reguláciu lobovali dopredu, lobujú za to teraz tým ako predávajú svoje produkty.
Pritom správny prozákaznícky postoj, ktorý máme aj my je v prvom rade priznať problém a pokúsiť sa splniť do GDPR tak, aby to firme naozaj pomohlo aj v niečom inom.
Je fajn uznať ich trápenie (“áno, aj my si myslíme, že je to ďalšia z milióna nezmyselných požiadaviek”) a povedať im “je nám ľúto, že musíte podstupovať túto nezmyselnú reguláciu, preto vám ponúkame niečo navyše, čo vám naozaj pomôže”.
Pri ekasa to vidím podobne. Namiesto strašnia “ste pripravení….?” (Lebo ak si to od nás nekúpite, štát vám bude robiť problémy) je podľa mňa fajn iný postoj. “Je to hlúposť, je nám ľúto že také musíme riešiť. Náš produkt vám okrem toho že nedostanete pokutu pomôže akceptovať krypto, karty, zlepší evidenciu, zníži náklady, zjednoduší objednávanie priamo zákazníkmi, …”.
Takýto postoj som zatiaľ nevidel. Sme vo fáze strašenia. Aj keď pár firiem sa tvári, že by sa mal posunúť termín a sú naozaj “naprášky” z toho, ako amatérsky štát a výrobcovia “eKasa modulov” pristúpili k tejto regulácii, nemám pocit, že by vystupovali proti nej.
Mne sú sympatické firmy, ktoré chápu, že sú tu pre zákazníka a jasne pomenujú čo dodávajú (ochranu pred štátnym násilím) a k tomu pridajú aj niečo, čo ich odlíši od konkurencie tak, že naozaj pomôže niečo zlepšiť.
Ako podnikateľ som rád, keď veci pomenuvávam pravými menami a dodám klientovi aj hodnotu, ktorú chce, nie len to, že sa bojí štátu. A to je konkurenčná výhoda a prináša maximalizáciu zisku. V Citadelo sa nám bežne stáva, že zákazníkovi odporučíme, nech si nekupujú penetračný test, lebo im je zbytočný a z pohľadu toho ako vidíme do ich biznisu sa im podľa nás neoplatí. Tak isto zákazníkovi nerozprávame, že GDPR je pre nich super vec a jeho aplikácia magicky ochráni osobné údaje.
Kúpite si eKasu od firmy, ktorá straší “ste od prvého pripravení? Dostanete pokutu!” alebo od firmy, ktorá povie: “Je nám ľúto, že zase budete musieť plniť ďalšiu hlúpu reguláciu. Pozrite, tu je eKasa, ktorú keď budete používať, nielenže nedostanete pokutu, ale takto vám to zvýši zisk, zlepší XY, … Poďme sa spoločne pozrieť ako môžeme zlepšiť váš biznis a minimalizovať riziko buzerácie od štátu”. Mimochodom, jedným z riešení je zistiť, či nemôže firma potrebu eKasa obísť – tak, že firma zmení procesy takým spôsobom, aby žiadnu eKasu nepotrebovala.
Je len škoda, že proti veciam ako GDPR a eKasa v horšom prípade nevystupuje nikto a v lepšom prípade tí, ktorí by na nej mali akože zarobiť (napríklad moje security firmy). A do toho vám elitný štátny kyberúradník začne rozprávať, ako všetci chceme zarábať na GDPR.
Nie! My chceme robiť Internet bezpečnejším miestom, to je naša vízia a misia. Ani ja, ani hackeri, s ktorými spolupracujeme sa ráno nezobudia a nepovedia si “aký krásny deň, poďme napísať smernicu o ochrane osobných údajov, aby sme splnili GDPR”. Osobné údaje vieme ochraňovať lepšie ako aplikovaním regulácie. Hackeri budú radšej hackovať, navrhovať bezpečné riešenia, programovať, útočiť a zlepšovať systémy ich zákazníkov. Preto si vybrali toto povolanie.
Občas za nami príde niekto, kto chce vyriešiť problém GDPR papiermi. Posielame ho ku konkurencii. Lebo nás to nebaví, neprinášame hodnotu. Ak niekto príde a povie “chceme zlepšiť bezpečnosť a toto riešenie by nám malo pomôcť splniť GDPR”, je to náš zákazník – a pomôžeme mu najlepšie ako vieme.
Majitelia firiem, ktoré vyrábajú pokladnice predpokladám radšej riešia ako čo najviac spríjemniť svojim zákazníkom proces predaja, účtovania a podobne ako implementáciu ďalšej smernice. Majú radi inovácie, znižovanie transakčných nákladov a radi pomáhajú svojim klientom v zlepšovaní ich firiem. Bolo by fajn, keby sa proti eKasa jednoznačne vyjadrili. Pomôže im to získať lepších zákazníkov ako podnikateľov, ktorí sa boja pokuty.
Jedna odpoveď na “Rent seeking, eKasa a GDPR”
Problém GDPR vyjadrila jedna majiteľka e-shopu: “Už som našla nejaké tie hlody a dala som ich na stránku.” Právnici zbadali biznis, tak sa to celé zvrtlo na nejaký formulár. Formulár naozaj neochráni osobné údaje. Hoci najhorší vírus je medzi klávesnicou a stoličkou, mnohí právnici ani toto nechápu. Nehovoriac, že napr. FOB alebo dátová ochrana sú pre nich pojmy neznáme. Samozrejme, netreba hned robit penetračný test, ale mať nezaheslovaný IS, nezaheslované PC, bez firewallu, bez antivírusového softu, sú naozaj dosť veľké riziká. Hoci je vzorne vypracovaný formulár.