GDPR - Regulace, která se kontroluje tak, že napíšete, že to děláte

O Sociálním Inženýrství
GDPR - Regulace, která se kontroluje tak, že napíšete, že to děláte

Největším přínosem směrnice GDPR je to, že může sloužit jako učebnicový příklad, jak nemá směrnice vypadat. Relativně jednoduše lze doložit, že taková směrnice naprosto zákonitě vyvolá tsunami neuvěřitelně neproduktivních činností, aniž by přinesla jen zlomek toho, proč byla zavedena.

GDPR

Cílem směrnice je donutit firmy, aby lépe chránily osobní data občanů, které od nich při různých příležitostech získají. Včetně třeba emailů nebo, a to je zvlášť zajímavé, IP adresy. IP adresa sama o sobě bez jakýchkoli dalších dat je považována za osobní údaj. Tak, což o to, cíl jistě šlechetný. Provedení děsivé.

Problém první: naprostá nejednoznačnost.Firmy mají například podle paragrafu 24 zavést „…vhodná technická a organizační opatření…“. Takováto věta sama o sobě dostává firmy pod obrovský stres. Bez jednoznačných pravidel, co se tím vlastně myslí, to může znamenat cokoli od Šumavy k Tatrám. Zároveň to dává obrovskou moc kontrolnímu orgánu, protože je jen na příslušném orgánu, jak si slovo vhodné vyloží.

Jak to proboha máme prokázat?

Problém druhý: zcela absurdní systém kontroly. Ten samý paragraf 24 říká, že firma musí být schopna doložit, že osobní data jsou zpracována v souladu s nařízením. Otázka je jak. Tak počkat, v čem je problém, to je přeci stejné jako kontrola požární prevence. Není. Kontrola požární prevence je násobně předvídatelnější. Má-li firma nezakryté únikové východy a řádně servisované hasicí přístroje na svých místech, ví, že projde. Řádně servisovaný hasičák je jasná definice. To se o kontrole zpracování osobních dat říci nedá.

Existují různé kombinace osobních dat, které firmy mohou zpracovávat. Existují tisíce možností, jak je řádně zabezpečit podle toho, jak je firma získává, kde je ukládá a co to je za data. Ale jak má firma vědět, jaká opatření jsou dostatečně vhodná pro kontrolní orgán?

V normálním světě by firma dostala volnou ruku při zabezpečení dat, ale kdyby jí, nedejbože, nějaká data unikla, dostala by flastr. Data unikla, nebo neunikla. Škoda vznikla, nebo nevznikla. Ovšem v tomto případě probíhá kontrola tak, že kontrolní orgán tvrdí, že opatření jsou nevhodná, a firma, že vhodná. Nevhodná, vhodná. Jako v Pyšné princezně. Prohraje firma, logicky.

Franto, najdi něco, co jim chybí!

Navíc kontrolní orgán v podstatě nemá, jak to kontrolovat. Žádná firma nepustí kontrolního úředníka, aby se díval do databáze na systém zabezpečení. „Dobrý den. Já jsem váš kontrolor. Dejte mi prosím přístupová práva na úrovni administrátora a já se podívám, jak dobře máte napsaný kód. Nebojte se, tlačítko DELETE se prý nemá mačkat."

Žádný úředník nikdy nezjistí, jestli nějaká data mohou být někam poslána, nebo ne. Respektive to zjistí pouze tak, že se něco stane a někdo to nahlásí. Ale při preventivní kontrole nemá sebemenší nárok. Kolektiv autorů směrnice si to zřejmě uvědomil, a proto tam vložil větu, že firma musí být schopna doložit, že to tak dělá.

Takže se to kontroluje tak, že firma předkládá směrnice, ve kterých říká, že to tak dělá. Kontrolní orgán se na ně podívá a přemýšlí, co zkotrolovat. Je těžké něco vymyslet. Takže se kontroluje, jestli byla směrnice aktualizována. Jestli s ní byli seznámeni všichni zaměstnanci. Jestli na prezenční listině ty podpisy nevypadají příliš stejně. Jestli byl ustanoven pověřenec pro ochranu dat.

Pokud nebyl, stačí říci, že byl, někoho tam přivést a rychle vytisknout jmenování do funkce. Než zkontrolují jmenování do funkce, ajťáci vytvoří novou adresu pověřenec@firma.cz. Nebojte se přivést kohokoli, protože pokud by se chtěl kontrolor pověřence na něco zeptat, řeknete, že pověřenec jede podle směrnice, která je zde.

Policie bude nově kontrolovat směrnice

U GDPR to lehce zanikne, ale představte si, kdyby policie řešila problém rychlé jízdy na dálnici podobným způsobem. To by totiž prosadila zákon, který by řidičům nařizoval přijmout vhodná opatření, aby nejezdili rychle, a že musí doložit, že to tak dělají. No a pak byste museli sepisovat pro každé auto směrnici, ve které se bude říkat, že když vidíte kulatou značku s číslem 80 uprostřed, mírně zvýšite tlak na brzdový pedál do okamžiku, kdy se ručička na tachometru zprava dotkne čísla 80. Aby to vypadalo složitěji a kontrolor byl spokojenější, můžete napsat ....dotkne zprava desetinásobku dvě na třetí. Takhle totiž ty směrnice na GDPR vypadají. Jen to není tak zřejmé.

Odpočet do tragického konce

Další problémy je možné vyjmenovat již stručně.

  • Trojka je exploze nesmyslných nákladů. Nejednoznačnost nařízení v kombinaci s drakonickými pokutami nedává vedení firem jinou možnost než utrácet peníze téměř bez ohledu na cokoli. Hlavně aby nebyl problém.
  • Do čtyřky dáme, že tohle je zatím ještě neúspěšný pokus o likvidaci drobných a středních podnikatelů.
  • Problém pátý je univerzální. Všechno nakonec zaplatí občan. Za svoje peníze si však může být jistý, že jeho email drak54@seznam.cz nikdo nezíská neoprávněně.

Co třeba kdyby vláda udělala anonymní průzkum mezi firmami na téma náklady a přínosy GDPR? Nebo studii, jaká rizika GDPR odvrátila? Jako ponaučení do budoucnosti.