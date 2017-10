Od května příštího roku vstoupí v platnost nařízení Evropské unie o ochraně osobních údajů (General Data Protection Regulation, GDPR). Mnoho serverů tuto věc označuje jako revoluční legislativu Evropské unie, která má zvýšit ochranu osobních údajů občanů.

Měl jsem možnost se zúčastnit několika seminářů na toto téma, abych mohl učinit tento závěr. Jde o věc, která prioritně, podobně jako EET, bude sloužit k tahání peněz z občanů, z firem. A zlikviduje nemálo dalších subjektů na trhu. Ne proto, že by se nechtěly přizpůsobit. Nebudou na to prostě mít.

A hned vysvětlím, proč si to myslím.

Kdysi dávno jsem ještě jako šéfredaktor Chipu organizovával na veletrhu Invex Antivirové semináře, kde vystupoval výkvět našich i zahraničních specialistů na boj s viry a virovými infiltracemi. Ponechme stranou, že veletrh Invex dnes už patří dávné minulosti, protože ICT technika se rozprostřela do všech oborů, a tak se dnes prezentuje jako součást řešení tu v rámci automatizace, tu v rámci HR, jindy zase v rámci podpory výrobních procesů. A tak dále. Prostě takový veletrh ztratil na významu, a tak zmizel. Přesto si ale dovolím upozornit na to, že to byla ve své sobě přelomová událost, která hýbala světem a penězi firem, které se především po Sametové revoluci (Invex byl totiž dávno ještě v temných dobách Husákovského režimu součástí Strojírenského veletrhu) hladově vybavovaly výpočetní technikou jako nástrojem pro zefektivnění firemních činností. Do jaké míry se to povedlo, jistě dokážete posoudit sami. Někteří s odstupem času.

Ale od počátku ICT existovaly bandy záškodníků, které se snažily krást data, nebo si jen tak pro zvýšení vlastního sebevědomí vytvářely aplikace, které jiným škodily. První viry byly značně imbecilní, ale postupem času se z jejich činnosti vyvinulo celé průmyslové odvětví, které dnes lze bez jakýchkoli skurpulí označit jako kybernetickou válku vedenou na všech sítích světa. Ale to je věc jiná, a můžeme si o ní popovídat jindy.

Od počátku firmy shromažďovaly data o klientech, partnerech, prostě data, určená k tomu, aby efektivně existovalo tržní hospodářství, postavené na marketingu a neustálém tlaku prodávajících na chudáky ostatní lidi, kteří jsou neuvěřitelně výhodnými nabídkami tlačeni k tomu, aby přemýšleli třeba o tom, proč si zrovna teď pořídit mobilní telefon za třicet tisíc nebo sadu hrnců za stejnou částku, když k tomu dostanou se slevou sadu 18 vidliček, s 50% slevou sadu nožů a s 80% slevou pak ještě sadu lžic na polévku a na kafe – a k tomu ještě navíc lžíci na mrkvový salát a kleště na servírování žížal po neandrtálsku.

Většina nabídek byla cíleně směřována na nic netušící zájemce a adresní seznamy se pořizovaly za těžké peníze, aby mohli prodávající oslovit kupující, kteří do té doby, než byli nuceni uvažovat o koupi nerozbitného mobilu se stěračem dotykové plochy a s ostřikovačem dodávaným zdarma navíc, žili počestným a nerušeným, naprosto spokojeným životem.

A právě proto, aby se zamezilo (jen tak mimo jiné, těch důvodů je samozřejmě víc) kuplířství s adresami potencionálních zájemců, kteří vlastně zatím zájemci nebyli, Evropská unie vymyslela právě GDPR, aby se údaje o počestných občanech nedostaly do rukou jiným, nepočestným, občanům, kteří by mohli ty počestné občany obtěžovat třeba právě nabídkami zboží či služeb, které ti nepočestní potřebují někde udat. A tak vzniklo – a opakuji, nejen kvůli tomu – nařízení GDPR, které firmy nutí, aby se o svá data s citlivými údaji staraly tak, aby nikdo jiný nemohl tyto údaje získat, a tak někoho třeba obtěžovat proti jeho vůli. Když půjdeme dál, jde ale o mnohem více. Tak třeba o to, že někdo zjistí, jaké máte návyky, jak tlustí jste, že hulíte jak fabrika nebo konzumujete nadmíru alkoholu a že vaše játra jsou natvrdlá, stejně možná ostatně jako někteří z nás. A tohle všechno jsou údaje, do kterých nikomu nic není.

Beru.

Na jedné konferenci o antivirové problematice vystoupil kdysi dávno jako hvězda dopoledního programu Eugen Kaspersky, zakladatel ruské firmy, bojující proti virům, aby vedle velikánů typu Miro Trnky (zakladatel ESET), Pavla Baudiše (jeden ze zakladatelů Alwilu, nyní Avast), Petrů Odehnala a Nádeníčka (pitvače virů a specialisty ve společnosti Grisoft, později AVG, později spolknuté Intelem, později mající sídlo snad v Holandsku nebo kde, kde byl větší počet manažerů, než výkonných pracovníků, poté koupené Avastem), prohlásil v počátcích internetu: „Žádný internet, maximální bezpečnost. Pokud chcete být na internetu, počítejte s tím, že všechny nebo většina vašich dat jsou volně přístupná v podstatě každému.“

Svatá pravda. Tak to bylo, je a bude.

A je jen na nás, jak se proti tomu chránit. A tak vznikla spousta firem, která se zabývají ochranou vašich dat, ale i spousta šlendriánu, který si na takové „taky odborníky“ hraje. A GDPR nyní ukazuje, jak se věci budou vyvíjet dál. Je známo, že pokuty za nesprávné a nedostatečné ochránění dat půjdou až do závratných výšin, počítaných z celosvětového obratu firem, které v podstatě znamenají likvidační pokutu pro mnoho z nich. Odvážím se tvrdit, že pro naprostou většinu z nich.

A EU nebude přihlížet ani k nějaké české cestičce nedej Bože uličce, kdy se všechno hezky po termínu za pár let nějak došmoulí. Přijede komisař, vyšetří – nefunguje, objeví byť jen jedno dato, které mělo být chráněno – a mlask! Pokuta je tu. Sbohem!

Jak jsem psal, účastnil jsem se několika seminářů o GDPR – ať jeho aktivní účastník či jako sledovač videí na VašíTrubce. A musím říci, že úroveň prezentací a to, co je nabízeno lidem konzultačními firmami, v mnoha případech považuji za naprostý šlendrián. Tak si například představte, že na seminář se vstupným několika tisíc korun přijdou zástupci škol, aby se dozvěděli, jak mají chránit data svých zaměstnanců a žáků či studentů. A jeden z přednášejících jim poradí: „Musíte si mezi sebou vyměňovat zkušenosti.“ BUM! Jak si mohou vyměňovat zkušenosti, když žádné nemají, a právě proto přišli na takový seminář, aby se zde něco KONKRÉTNÍHO dozvěděli? Přednášející tak z návštěvníků udělal úplné blbce.

Jediné, co se dozvěděli, bylo to, že existuje nějaký člověk, který bude mít funkci DPO (Data Protection Officer), který bude bdít ostřížím okem nad tím, jak jsou data uschována a zabezpečena. Ale pozor, odpovědnost nenese on, ale šéf firmy! A tak DPO se jeví jako umělá funkce, kterou bude jistě možné nabízet jako službu, tedy tady musíme poděkovat EU za podporu zaměstnanosti, protože si dokážu představit, jak jeden takový DPO ohlídá několik (desítek nebo až i stovek?) firem, vzájemně si třeba i konkurujících, a to za těžké prachy, které společnosti musejí vygenerovat, aby ho mohly zaplatit.

Stejně tak ochranné mechanismy a jejich implementace budou stát velké peníze. Ostatně mnoho specialistů tvrdí, že už dneska je pozdě začít. Takže je mi líto těch, kterých se GDPR týká. Třeba i majitelů malých e-shopů. Nějaké obecně nasaditelné řešení totiž v podstatě neexistuje, a tak si myslím, že po květnu následujícího roku skončí další velká várky podnikatelů, protože nebudou mít peníze na zaplacení DPO a implementaci ochranných mechanismů, odpovídajících GPDR.

Ostatně, kdysi existoval jeden časopis, který se zajímal o podniková řešení. A jeden novinář, specialista, sem psal informace o nasazení podnikových řídicích systémů. A byly zde – krom jiného – prezentovány tři společnosti, které ale do roku od uveřejnění článků o mohutném nasazení systémů pro řízení podniku zahynuly na úbytě. Zda to bylo špatnou nabídkou ve špatnou dobu nebo zda to bylo nutností platit obří částky za implementaci řídicích systémů s předchozí analýzou nebo placením dvou pevných linek s obří kapacitou (jedna musela být záložní), to nevím, ale jisté je, že tohle byla negativa doby Invexů. Mohutné systémy, které měly pomáhat, pomohly jejich výrobcům a implementátorů (neříkám rozhodně, že všem) k mohutnému zisku, ale zákazníci byli dohnáni až na kraj útesu. Nebylo jich moc, ale doplatili na to, že si blbě vybrali blbý produkt, a ještě navíc v blbou dobu.

A tak pozor, až budete zjišťovat, kudy dál. A protože není nikdy pozdě, začněte s tím něco dělat. Nechci totiž, aby – jako u EET, kde někteří jedinci slibovali, že to nic stát nebude, aby se pak nemalé částky přesunuly do nákupu pokladen a plateb za internet a vznikla neuvěřitelná pitomost ve formě účtenkové bonzácké loterie – začaly krachovat další firmy, protože nejsou schopny ochránit data svých klientů a zákazníků.

Něco pozitivního nakonec? Zopakuji to, co bylo vypuštěno před několika řádky: nikdy není na nic pozdě.

Dovětek: Mně je GDPR zcela ukradené. Poté, co mi už počátcích internetu jeden specialista na viry na internetu po zadání jména a příjmení mé bývalé ženy a jejího rodného čísla našel místo jejího narození, její vlastnické poměry, plat a přehled o tom, jak platí daně, a mnoho dalších údajů, ze kterých mi spadla čelist a přestalo mi na týden chutnat i pivo, jsem zcela rezignoval na ochranu mých osobních údajů. Všechno se dá najít. Tím nechci říci, že je GDPR zbytečné, ale: máme možnost vědět všechno, všude a ihned. To je ale naše daň. Takže za to musíme platit tím, že všichni – nebo ti, které to zajímá – o nás vědí všechno. A budou vědět i nadále. A s tím GDPR nic neudělá. Sorry.