Jak GDPR odměnilo viníky a potrestalo nevinné

22. 2. 2020 / Jiří Hlavenka

čas čtení 10 minut

Když jsem se poprvé setkal s plánem na vyšší ochranu osobních dat - později materializovanou jako “GDPR” - byl jsem rád. Konečně zde nědo adresuje závažný problém masivního, masového a hlubokého sbírání (lepší je originální termín “harvestování”, tedy sklízení, hluboké těžení) osobních dat lidí, údajů o jejich veškerém konání v online prostoru i mimo něj, následného spojování těchto dat získaných z řady zdrojů, identifikace s konkrétními osobami včetně veškerých identifikačních údajů a následné adresování pro obchod a marketing, ale klidně též k vydírání, přeprodávání těchto dat bez jakékoli kontroly a podobně. Těmto věcem se sice věnovaly zákony i před GDPR, ale nová norma měla za cíl dát práva do ruky uživatelům, adresovat problém systémově a celounijně. Stojí za to si těchto osm práv připomenout: právo být informován, právo přístupu, právo na nápravu, právo být vymazán (zapomenut), právo na přenos, právo zakázat zpracování, právo námitky a právo vzhledem k automatickému zařazování a profilování.


K tomu:

Zjistěte, jaká osobní data na vás Facebook shromažďuje od mimofacebookových serverů a firem. Je to ohromující   

 

Cílem GDPR měly být primárně velké korporace, v menší míře i velké instituce. Tam je totiž sbírání a vytěžování dat největší - jednak díky (sta)miliónovým počtům uživatelů, jednak díky financím, které do toho jsou ochotny dát. Cílem GDPR nebyly rozhodně malé firmy či instituce (školy, školky) - tohle je “česká cesta”, kterou jsme si na sebe ušili sami, více v závěru článku.

GDPR je pochopitelně reakcí na to co se událo v online světě, i když není vázané jenom na něj. Internet totiž zcela změnil pravidla hry v několika věcech a) sběr dat dramaticky zlevnil (je automatický, dělají jej stroje), b) dochází k němu bez vědomí těch, jejichž data se sbírají, c) sběr dat je možný v obrovské škále a intenzitě, tedy stovky miliónů osob denně, miliardy dat denně), d) dají se sbírat data o každém úkonu, který provedete, o každém “kliku”, e) přeprodejem dat a jejich mícháním (mash-up) z více zdrojů se nakonec vaše data mohou ocitnout (a taky ocitají) bez kontroly prakticky u kohokoli, f) online svět může na základě nasbíraných dat velmi snadno reagovat směrem vůči vám, a to nejen nějakými “hezkými obchodními nabídkami”, ale třeba i diskriminačně.

Omlouvám se za dlouhý úvod, pro mnohé samozřejmý. Vyplývá z něj toto: hlavním cílem jsou, respektive měli být, největší internetoví giganti, jako je Google a Facebook, v menší míře pak třeba Apple, Amazon, Microsoft, antiviráři, velké telco společnosti, velká online média.

K čemu došlo poté, co GDPR vstoupilo v platnost? Při vstupu na nějaký web na vás vyskakuje okénko, které říká něco jako “Vážíme si vašeho soukromí… cookies nám pomáhají přinášet vám ten nejlepší uživatelský zážitek…” (tj obojí očividné lži), a pak dvě možnosti. Jedna je “schválit všechna nastavení jak mě je navrhujete” a druhá je pak “konfigurovat cookies” (či jiná nesrozumitelná techno-hatmatilka). Nebo případně vedle volby OK dají volbu “Zjistit více informací”. Ale já jsem přišel na web si přečíst o poslední aféře princezny Meghan, ne “zjistit více informací” o něčem úplně jiném!

Jak zareaguje - troufám si drze tvrdit - 99% uživatelů? Schválí předvolené nastavení, a tím vlastně schválí danému webu sbírat o vás informace a dál je vytěžovat stejně jako předtím. Přičemž možná i pár procent lidí ze zájmu klikne na tu druhou volbu, načež zjistí, že na něj po několika dalších kliknutích vyskočí jakýsi nesrozumitelný a velmi dlouhý seznam služeb, o kterých nikdy předtím neslyšel, a které vesele registrují každý jeho klik. A může je vyškrtat - říci, že nechce aby sbíraly. Zabere mu to pár minut a je spokojený. Ale tohle musí provést na každém jednom webu na který přijde, a - největší fór nakonec - po nějaké doby mu totiž tyhle weby nabídnou tuto volbu ZNOVU. A ZNOVU tam bude předvolené “schválit vše” a ZNOVU, pokud nechce, aby o něm web sbíral informace, si musí projít procedurou odklikávání.

Takže prosím - tohle je totální fail implementace GDPR. Naprosté selhání napravit problém tam, kde je největší, nejmasivnější a nejškodlivější. Opravdu bych rád viděl statistiky, kolik uživatelů z miliónu poctivě při příchodu na každý web pokaždé vyklikává sbírací cookie. Řekl bych že to budou jednotky. (Má to samozřejmě systémové a plošné technické řešení na straně uživatele, ale k tomu nebylo potřeba GDPR!).

To že máte na něco právo - a nový zákon vám dává osm krásných práv - ještě neznamená, že je využijete, pokud cesta k jejich využití je krkolomná, pracná a otravná.

Jedním z cíl GDPR bylo oslabit největší hráče v oboru (“GAFA” = Google Amazon Facebook Apple, jde především ale o G a F). Data ale ukazují, že Google ve své pozici mezi adtrackery posílil, Facebook je cca na svém a ostatní výrazně oslabili. Tak tomu bývá: “plošnou” překážku překoná gigant se svými neomezenými prostředky snáze, ti menší krvácejí. (Chcete-li omezit giganta, nedělejte bariéru plošnou, ale individuálně cílenou na něj, na jeho dominanci - jinak to nebude fungovat).

Server Politico v článku “Jak Silicon Valley obehrálo evropské zákony soukromí” si nebere servítky. Cituji: “Giganti jsou deset kroků před kýmkoli dalším. A sto kroků před regulátory”. Rok po implementaci, přes mnoho pokusů, padla jen jedna (!) výraznější pokuta za porušování GDPR. To samozřejmě neznamená, že by hráči v online prostoru pokorně uposlechli, ale pravý opak: pojali GDPR jako intelektuální výzvu (typické pro programátory) s cílem najít způsoby, jak GDPR “prekabátiť”.

A našli je velmi snadno. Práva, která EU v dobré víře dala do rukou uživatelů, obrátili proti nim: udělali z jejich využití otravný opruz. Dosáhli pak toho, že naprostá, drtivá většina uživatelů okamžitě poté, co na ně vyskočí nějaký odkaz kde se píše něco jejich soukromí, automaticky klikají na OK a nic dál nečtou a nezkoumají.

Titulek článku odkazuje k proslulým pěti etapám budování socialismu: (1. Předprojektové nadšení. 2. Realizační vystřízlivění. 3. Odměnění viníků. 4. Potrestání nevinných. 5. Vyhodnocení nezúčastněných). Dnes máme odměněné viníky: velká čtyřka (“GAFA”) je silnější než kdykoli dříve. Potrestaní nevinní: jednak uživatelé, kteří jen dělají kliky navíc, jsou naštvaní na tenhle opruz - plus taky potrestané desítky tisíc firem, které ve skutečnosti žádná data nezneužívaly, neharvestovaly, a teď se musí podrobovat přísným procedurám. (Pátá etapa zatím chybí).

Prozradím na sebe, že já jsem velký příznivec EU, takzvaný eurohujer. Záměr byl dobrý. Ale Křemíkové údolí euroúředníky obehrálo. Pojďme si to přiznat jako sportovci, dostali jsme nabacáno.

A proč jsem příznivec EU? Protože není všem bitvám konec. Silicon Valley vyhrálo bitvu, ale EU může, když bude chytrá, vyhrát válku. Tak to ale v těchto sporech chodí: tah-protitah-tah-protitah. Výkonná moc je na straně EU, ne Silicon Valley. Takže pojďme udělat reparát, který nakonec nemusí být tak složitý:
Namísto opt-out bude opt-in. To znamená, že všechny sledovací mašiny budou defaultně zakázány a volba “OK” bude na potvrzení tohoto zákazu, a bude defaultní (tj. neudělám-li nic, platí OK).
Toto bude možné nastavit na úrovni prohlížeče nebo operačního systému a účtu (tj. pokud tohle zadáte na jednom přihlášeném zařízení, např. na PC, promítne se to i do všech dalších zařízení kde se sdílí přihlášení). Znamená to, že v nějaké prvotní volbě, kde bude default zákaz všech trackerů, se rozhodnete, zda to takto ponecháte (předvolené ANO), nebo zda například povolíte tracking daného webu, ale nikoli třetích (parazitujících) služeb a podobně.
Způsob obsluhy zákazníka v tomto bude předdefinován, nebudou si to moci firmy nějak vyčuraně přepisovat, jako že třeba předvolené tlačítko bude mít dva pixely a bude v levém dolním rohu, zatímco “Ne” nebude možné zaobalit do vět typu “Zlepši si práci s webem” a podobně. Prostě jak antireklama na cigarety: tvrdě, bez možnosti uniknout.

Jistě, bude to druhé kolo války a možná Silicon Valley zase něco vymyslí, jak to ožulit. Tak holt bude třetí, čtvré a páté kolo války. EU tohle nesmí vzdát, jinak se - tak jako obvykle - staneme nevědomými otroky , kteří si myslí, že jsou svobodní.

Poznámka k české cestě. Ta je totiž vskutku vykutálená. U nás došlo k nepochopení (za vydatného “FUDu” šířeného komerčními firmami) smyslu GDPR, a v naší přislovečné kombinaci alibismu a prosté zbabělosti začaly školky zakazovat rodičům říkat, jak se jmenuje vychovatel jejich dcery nebo syna, “protože GDPR!”. Současně pak fenoménu GDPR využily úřady a instituce k jednání, které se nebojím nazvat kriminálním, a to, že jej použily jako velké kladivo proti jakékoli transparentnosti a zveřejňování údajů, které z podstaty věci (zacházení s veřejnými penězi) mají a musí být veřejné. To je ale už trochu jiné téma.

0
Vytisknout
12186

Diskuse

Obsah vydání | 27. 2. 2020