GDPR – ako chrániť súkromie užívateľov nesprávne

Dnes som si prečítal tweet o tom, aké je GDPR super pre bezpečnosť a súkromie. Ako zakladateľ viacerých firiem, ktoré pomáhajú s bezpečnosťou (a sú na tej “prijímajúcej” strane tejto regulácie – ich služby musia klienti využívať, aby prešli GDPR checklistami), mám odlišnú skúsenosť.

Realita GDPR:

  • Ide viac o papierovanie než reálne zvyšovanie bezpečnosti. Firmy síce investujú peniaze, ale väčšina končí v šuplíku ako dokumentácia pre prípadnú kontrolu
  • GDPR najviac “potrebujú” štátne úrady a verejný sektor, ktoré zasahujú do súkromia najviac. Paradoxne, pre nich GDPR neplatí.
  • Bezpečnosť je o manažmente rizík. GDPR prinieslo dve nové: riziko kontroly a pokuty, a riziko úniku dát a následnej pokuty. Rozpočet na ich pokrytie (riziko=náklad) často chýba v rozpočte na skutočnú bezpečnosť s reálnym dopadom.
  • Stále klikáme na otravné cookie notices a podpisujeme súhlasy so spracovaním osobných údajov bez reálneho benefitu
  • Väčšina podnikateľov osobné údaje ani nechce zbierať. K ich zberu ich núti štát, napríklad kvôli DPH: E-shop musí zozbierať fakturačnú adresu, platobnú metódu, telefón alebo IP adresu – rôzny počet týchto údajov podľa toho, či navzájom hovoria príbeh o rovnakej daňovej rezidencii. Ak chcem niekomu poskytnúť online službu (napríklad softvér), naozaj nepotrebujem jeho telefónne číslo a vedieť kde býva. Ale potrebuje to štát a chce, aby som to vedel ja.

Kde sa stala chyba?

Roky som chodil na hackerské konferencie, kde aktivisti poukazovali na problémy so súkromím. Z tejto komunity vznikli pracovné skupiny, ktoré chceli problém vyriešiť veľkou reguláciou. Nepochopili však dva kľúčové aspekty:

  1. Štát vyžaduje trackovanie. Potrebuje, aby banky, operátori a podnikatelia zbierali dáta. Všetky nákupy končia v systémoch štátu (eKasa), rovnako ako bankové transakcie. Cookie vo vašom prehliadači je oproti tomu maličkosť.
  2. Ekonomika internetu je postavená na službách “zadarmo”. Užívatelia a ich pozornosť sú produktom. Datacentrá sa samy neuživia a regulátor im nezabráni v monetizácii našej pozornosti. Len musíme vyplniť o jeden formulár viac.

Paradoxne jednou z najväčších regulácií sledovania bolo sprísnenie politiky Apple o tom, čo môže byť v App store. Lepšie ako GDPR.

Výsledok

  • Máme menej súkromia ako pred GDPR
  • Brutálne náklady na oboch stranách
  • Peniaze, ktoré mohli ísť na reálne zvýšenie bezpečnosti, idú na byrokraciu
  • Niektoré služby v EÚ nie sú dostupné vôbec – je lacnejšie ich zablokovať než splniť reguláciu

Vďaka korporáciám aspoň za zahraničné telefónne čísla a VPN. A mimochodom, ak telefónne číslo a IP adresa hovorí iný príbeh, účtuje sa aj iná DPH.