GDPR: Palebná příprava na digitální hranice? | Kapitola 4
Seznam kapitol
GDPR (General Data Protection Regulation) nám často vysvětlují jen jako banální věc, dobrou věc, věc sloužící k ochraně osobních údajů. To je v době, kdy si s daty dělal, kdo chtěl, co chtěl a masivní úniky byly na každodenním v pořádku, celkem pochopitelné. Problém s GDPR je v něčem jiném: V tom, že tiše zavádí do internetu digitální státní hranice
Neuronové sítě jsou extrémní příklad, ale kde kdo pracuje s agregovanými daty a v tom, že na vyžádání nepopisuje, jak to dělá, je jeho know-how, jeho konkurenční výhoda. Když studuji GDPR, mám pocit, že jako tradičně jde o dokument sepsaný lidmi bez větší fantazie a že je založený na paradigmatech informačních systémů starých asi tak 20 let – máte někde databázi, ve které držíte osobní data a chce se po vás, abyste databázi hlídali a někde měli uložené souhlasy ke zpracování. Zároveň se ale po vás chce, abyste drželi minimum dat a vysvětlili přesně, co s nimi chcete dělat. Říká se tomu „Deep Visibility“ a v podstatě to znamená, že když vám přidělený regulovčík chce vědět, co s daty děláte, musíte mu to říct, i kdyby šlo o patentovanou technologii.
Moderní IT nefunguje takhle jednoduše, ta sbírá mnohem víc dat a snaží se z nich extrahovat ještě víc znalostí. Na tom je založené moderní vyhledávání (profilování uživatelů podle jejich požadavků), doporučování produktů (profilování na základě nákupních zvyklostí), rozeznávání hlasu (analýza mnoha a mnoha vzorků za účelem zlepšení porozumění). To opravdu není o tom, že někde je databáze s vaším jménem, příjmením a rodným číslem, ale že na sebe máte navázanou horu digitálních stop a derivovaných informací.
Řada nepředpokládaných důsledků se objevuje už teď, například lékaři se bojí, že budou muset likvidovat data pacientů, kteří s nimi nebudou souhlasit. A takových pacientů bude dost, od psychiatrických pacientů, přes různé fanatiky až po zločince a drogově závislé, pro které bude vymazání lékařských dat představovat krátkodobé řešení nějaké jejich nepohody. Samozřejmě, z dlouhodobého hlediska je to riziko, protože později můžou umřít na něco, na co by nemuseli umřít, kdyby byla jejich dokumentace kompletní a vědělo se o všem, co podstoupili.
A stát se pochopitelně dostává do konfliktu sám se sebou, protože sám po vás chce spoustu dat, o kterých můžete být přesvědčeni, že mu potom nic není. Tak například sčítání lidu, kde vám hrozí pokuta 10000 Kč za nevyplnění dotazníku. A ten nechtělo už při posledním sčítání vyplňovat docela dost lidí, protože stát toužil vědět věci, po kterých mu fakt nic není. 233 lidí vyplnit odmítlo, další k tomu přistoupili kreativně a do dotazníku lhali, padla dokonce i ústavní stížnost. Ne, dělám si legraci: Samozřejmě, že statistické účely a další státní důvody mají rozsáhlé výjimky.
Řada otázek kolem GDPR je velice složitá a je prakticky vyloučeno, aby na dotazy uživatelů provozovatel služby „odpovídal jasným a jednoduchým jazykem“. Problém je v tom, že tahle legislativa sama není napsaná zrovna „jasným a jednoduchým jazykem“, nakonec má pouhých 99 článků a 88 stran. A jen preambule má 173 odstavců, které se potulují od výzkumu kardiovaskulárních chorob po problémy s pokutami v Dánsku.
Za porušení GDPR je možné udělit pokutu pokuta až 20 milionů Euro anebo až 4 % CELOSVĚTOVÉHO obratu firmy. Řada technologických firem má složitou strukturu, kdy je dělena na několik subjektů kvůli placení daní, držení patentů a tak podobně. U mnoha z nich je prakticky nemožné vybrat daně, protože jde o tak velké peníze, že se korporacím vyplatí držet specializovanou armádu právníků jen proto, aby placení daní co nejvíce limitovala. Dovedu si snadno představit, že GDPR je dovede k podobným opatřením, takže až dojde na placení pokut, ukáže se, že ta firma, která je zodpovědná za únik dat, je příjmově hluboko pod nulou.