GDPR z pár jiných úhlů pohledu

GDPR z pár jiných úhlů pohledu

GDPR je tématem dneška a bude tématem i příštího roku. Jako firma podnikající na poli digitálních dat z toho máme radost. Etnetera Activate dlouhodobě prosazuje používání best practices pro práci s osobními daty. Klienty učíme, že nákup databázi se nevyplácí, vedeme je k používání double opt-inů, anonymizujeme web data atd. Věřím, že GDPR pomůže v tomto pročistit trh a my budeme mít náskok. Stejně tak jsem rád, že o moje osobní data bude snad o něco lépe postaráno.

Mnoho mých kolegů to vysloveně baví a těší se na zlepšení kvality správy dat u našich zákazníků. Vytváříme si metodiky jak správně implementovat GDPR ve světě dat digitálního marketingu a emailingu. Takže bych měl být šťastný.

Ale tak úplně šťastný nejsem a GDPR mi vadí hned z několika důvodů.

Pohled liberála

Je to z mého pohledu první velký zásah státu do internetového podnikání. Doposud jsme měli naprostou svobodu. Kódy jsme si psali v Javě nebo PHP, spouštěli to na svých serverech nebo cloudech v zahraničí, testovali jsme či netestovali dle metodik mimo státní dozor. Nikomu do toho nic nebylo, byl to čistě vztah obchodní. Fungovalo to tak 20let a v tomto svobodném prostředí vznikly milióny super projektů. GDPR je první opravdu vážný pokus státu toto regulovat. A stát jak známo má tendenci vždy chtít víc. Lze tedy logicky očekávat, že po této regulaci přijde další a další. Bude omezována svoboda volby technologie, budou předpisovány povinné bezpečnostní testy atd. Před mnoha lety, když se začala řešit hygiena v restauracích, to jistě bylo chválihodné. Dnes jsme se dostali do stavu, kdy je prakticky nemožné začít podnikat v souladu se všemi předpisy a většina restaurací riskuje postih. Protože nejde často ani zjistit, co je všechno potřeba, natož to splnit. Hrají pak hru „třeba hygiena nepřijde nebo to nějak ukecám.“ Obávám se, že přesně toto se stane i v IT.

Většina státních regulací je navíc nepovedených, obsahuje nejasnosti a je obtížně implementovatelných. Případně nezohledňuje realitu. Příkladem budiž celý zákoník práce a různé návazné balasty kolem typu bezpečnost práce, který garantuje mimo jiné měsíční příděl mýdla na zaměstnance. Wow a já to musím jako ředitel firmy podepsat. Vznikají normy, které se dodržují na oko, protože naprosto nereflektují realitu některých firem. Stejně tak může dopadnout i GDPR. Jediným efektem může být vznik spousty papírů a úředníků. Ve firmách vzniknou direktivy a data protection oficíři. Kolem vznikne spousta firem zajišťujících certifikace a audity. Přibude papírů, prodlouží se legal disclaimery v patičkách emailů. Firmy si mezi sebou vymění spousty smluv. Technicky se toho moc nezmění. Většina peněz půjde právníkům a auditorům. Naše osobní data budou dál svobodně létat internetem.

Pohled uživatelský

Uživatel bude zahlcen a paradoxně to přestane vnímat. GDPR vás bude nutit informovat subjekty o změnách v celém řetězci zpracování osobních informací. Takže si představte následující situaci. Na trhu je firma, jejíž služby používá hodně eshopů. Třeba taková Heuréka.cz. Eshopy Heuréce předávají osobní údaje a ta je dále zpracovává. Například se ptá na spokojenost s nákupem. Heuréka doposud – hypoteticky – tato data ukládala a rozesílala pomocí systému firmy X. Jeho provozovatel je též zpracovatelem osobních údajů a musí vyhovovat GDPR. Z nějakých důvodů se Heuréka rozhodne přejít na systém firmy Y. V takovém okamžiku musí o změně informovat všechny, pro koho spravuje osobní údaje. Tedy tisíce eshopů a ty musí o tomto faktu informovat své klienty. V důsledku pak každý eshop, kde jsme nakupovali (mimo Alzy, protože ta žije bez heureky.cz), pošle email s právnicky formulovanou informací o změně X na Y. Vy se budete moci rozhodnout a stáhnout na základě toho svůj souhlas. Dle mého očekávání dojde k totálnímu spamu a Gmail brzy zavede automatickou složku „GDPR oznámení“ do které se 99% lidí nikdy nepodívá. Stejně jako jsme se naučili bezmyšlenkovitě odklikávat hlášky webů na téma cookies.

Pohled bezpečnostní

GDPR vytváří dojem, že se stát postará o bezpečí na internetu. Vytváří tak falešný dojem bezpečí pro uživatele. GDPR budou dodržovat stejně jenom ti „relativně hodní“. Ti zlí nikoliv. Alza se o vaše data postará dobře a v souladu s GDPR. Amazon se o data postará asi také dobře, ale ne podle GDPR a Aliexpres si s vašimi daty udělá, cokoliv uzná za vhodné. Dokáže toto rozpoznat běžný uživatel? Ostatně i Facebook jak to tak vypadá, bude GDPR ignorovat. Přestanete na něj chodit? Začne EU regulovat přístup na non GDPR weby, jako zakazuje chodit na zahraniční sázkovky?

Ve skutečnosti potřebujeme, aby uživatelé přenesli na web bezpečnostní chování z reálného života. Přestože je ČR jednou z nejbezpečnějších zemí světa, každý zamyká dům, každý přemýšlí, kde parkuje auto. Zvažuje riziko vstupu do čtvrti s pochybnou pověstí. Vyhne se skupince podnapilých hromotluků. A pak si v bezpečí domova, schovaný za dveřmi se sedmi uzamykacími body, zapne počítač a přihlásí se do emailu heslem „karel123“, které má stejně napsané na monitoru. Odstranění tohoto rozporu v chování je hlavní priorita pro bezpečnost v kyberprostoru. Uživatel musí zodpovědnost za svá osobní data převzít sám. On se musí strachovat.

Když už bych měl navrhnout nějaký zákon, tak uzákoním povinnou přítomnost rozšíření typu ghostery. Ono by možná pár lidí začalo přemýšlet proč se 28 různých sledovačů mého chování muselo dozvědět, že jsem si četl o vražedné lahvi šlehačky. K čemu jim to bude? Oh wait …

Pohled marketingu

Když už jsme se pomalu naučili dělat remarketing a personalizaci dobře, vrátíme se zpět do doby necílené reklamy a stránek nepřizpůsobujících se zákazníkovi. Jistěže budou existovat nástroje a metody, jak toto nějak dělat i v souladu s GDPR. Jejich použití, ale bude omezováno interními předpisy firem a pochopitelně i jejich cena bude vyšší. Z pohledu koncového uživatele to tolik nevadí – prostě se jen zase o něco více rozšíří penetrace addblockerů. Navíc tento problém by postupně vyřešily prohlížeče samy. Apple již oznámil ve svém jádru webkit změny, které efektivně snižují schopnost dlouhodobého sledování prohlížeče pomocí 3rd party cookies. On by si trh poradil i bez regulátora.

Pohled technický

Vzhledem k času prostě není ve většině firem možné technicky splnit požadavky GDPR. Je to špatný důsledek předchozího nedodržování best practices. Ale těch šedých zón je prostě příliš mnoho. Systémy vznikající desetiletí jsou příliš roztříštěné. Propojenost sběru osobních dat a fungování aplikací je příliš velká. Představte si systémy náhodně vybrané korporace – od interního BI a legacy systémů, přes různé marketingové databáze po pokročilou web analytiku a personalizaci. A představte si, že je nutné je integrovat a umožnit konsistentní zjištění jaké osobní údaje se v nich nacházejí. A umožnit i jejich (částečné) vymazání. I mnohem méně náročné integrační projekty jsou na roky. Kde na to vzít peníze? A lidi?

Technologicky a procesně to prostě nepůjde zvládnout v tak omezeném čase. Důsledek bude, že mnoho firem bude v květnu 2018 vystaveno riziku drakonického postihu a likvidace.

Pohled futurologicko-ekonomicko-podnikatelský

Z GDPR se stalo velké téma. Nalije se do něj mnoho peněz. S trochou nadsázky lze říci, že do května 2018 (a dlouho poté) se do něj investuje mnoho peněz. Je opravdu v Evropě, která v inovacích zaostává za USA i Asií to hlavní chránit data? Dle mého GDPR omezí přístup evropských firem ke světovým technologickým inovacím a dále zbrzdí podnikání. Firmy soustředí část kapitálu na ochranu dat a budou se bát využívat služby v šedé zóně. Mohu třeba použít IBM Watson? Je dostatečně GDPR compliant? Ok, problém ochrany soukromí je palčivý. Je to ale opravdu tak zásadní? Opravdu teď není lepší se rok věnovat podnikání, řešit umělé inteligence, vytvářet patenty v robotice atd.

Inovace v posledních letech opět zrychlily. Blížíme se k opravdu funkčním umělým inteligencím, robotům, letu na Mars. Rakety konečně přistávají na sloupu plamenů, jak to podle sci-fi měly dělat již desetiletí. A Evropa bude řešit jak evidovat a papírovat. Jsem z toho trochu smutný. Co raději dotáhnout Galileo?

A jen tak mimochodem – představme si třeba český startup nabízející globální službu. Jeho pozice bude dále znevýhodněna oproti konkurenci. Mimo vyššího zdanění práce, různých regulací státu kolem zaměstnanosti bude muset navíc splňovat GDPR. Jeho konkurenceschopnosti to neprospěje. A nebo z Evropy odejde.

Pokud se podívám na naši firmu, tak pro Etnetera Activate je to skvělá šance. Klienti to řešit musí. Řada firem sice nějak řeší data v interních systémem, ale netuší jak se postavit k web analytics, emailingu a obecně datům ze zóny digitálního marketingu. Často ani neví, co vlastně marketing přes tag manager nasadil na stránky. S tím umíme pomoci a pochopitelně to nabízíme. Jenom mi přijde, že ty peníze jsou jaksi v rozporu s naším posláním. Chceme klientům pomáhat zlepšovat jejich podnikání na základě dat. A v tomto případě klient za své peníze nedostane nic co by jej posunulo z hlediska digitální dospělosti. Přijde mi to špatně.

Co bych tedy navrhoval?

Aniž bych zpochybňoval potřebu zodpovědnějšího nakládání s osobními údaji, tak GDPR vnímám jako byrokratickou překážku internetovému podnikání, jejímž reálným dopadem bude spousta papírů a noví úředníci.

Navrhoval bych namísto zavádění nové a drakonické legislativy důsledné vymáhání té stávající. Zde si dovolím analogii se zákonem o zbraních. Český zákon je dostatečně dobrý a odzkoušený časem. Měřeno množstvím zneužití legálně držených zbraní i úniky např. znehodnocených zbraní na černý trh. Proč měnit to co funguje? Stávající úprava ochrany osobních dat je naprosto dostačující a stačilo by, kdyby byla důsledněji vymáhána a prosazována. Zde bohužel zcela selhává ÚOOÚ, který nevytváří jasné prostředí a sám je klasická kovářova kobyla. Jen tak mimochodem – zaregistrujte se u nich do emailu. A zkuste si zjistit, kdy jste dali souhlas se zpracováním osobních údajů. O remarketingovém tagu od Gemiusu na stránkách ani nehovořím.

A pochopitelně silnou roli bychom měli hrát i my – firmy nabízející služby, které jsou v tomto ohledu rizikové. Budeme-li našim klientům nabízet řešení na hraně etiky, pak se nesmíme divit.

Nicméně pozdě plakat nad rozlitým mlékem. GDPR je realitou a nám nezbývá než toto akceptovat a připravit jak sebe tak naše zákazníky. Zjišťujeme, že díky dodržování best practices na tom jsme docela dobře technicky a doháníme právní část. A zkusíme i našim klientům pomoci s tím, aby se s GDPR vyrovnali se ctí a Nařízení EU bylo skutečným přínosem jak pro zákazníka, tak pro jeho business.

A co váš názor a zkušenosti s GDPR so far?


Komentáře

Your email address will not be published. Required fields are marked *