Saturday, June 2, 2018

GDPR, naeratusega

Tulin bloggerisse, et panna üles paar fotot.
Selle asemel lõugab Blogger, ehk siis Google, mulle:

European Union laws require you to give European Union visitors information 
about cookies used and data collected on your blog. In many cases, 
these laws also require you to obtain consent.
...
Learn more about your responsibilities. 


Kerige pimedasse haisvasse õõnsusesse, värdjad!!!

Mina, Kaur, ei paiguta kasutaja arvutisse ühtegi küpsist ega asja!!
Mina kirjutan päevikut - ja see on absoluutselt KÕIK.
Igasugu cookied ja sitt on teie platvormi väljamõeldis.
Nii et mis YOUR RESPONSIBILITIES?
Kõik on teie - platvorm, teostus ja kohustused.

===============

GDPR on palju asju korraga.
Google kollasest plärakast paistab üks aspekt: see on hierarhiline delegeerimis-mehhanism.

Privaatsus-otsused on kuramuse keerulised.
Eriti seepärast, et päris elu ja formaalsed reeglid on omavahel täiega vastuolus. (Sama seis või häda on veel autorikaitsega.)
EU ei lahenda seda vastuolu meie eest ära.
GDPR tekst on suuresti vaid tingimuslike soovituste jada.
Aga EU vähemalt annab (delegeerib) riikidele ja riikide andmekaitse-organitele õiguse seda teksti interpreteerida ja oma reeglid seada.
Aga ka riigid ega nende ametid ei suuda võimatut.
Seega delegeeritakse otsus edasi ettevõtte või asutuseni.
Kui ettevõte ise ei oska, delegeerib ta otsuse oma kliendi või alltöövõtja suunas edasi.
Ja nii ütleb suur Google mulle, et blah.blogspot.com cookied on kuidagi MINU mure ja vastutus.

Te kõik näete neid blogide "accept mingiasi eksju" dialooge eks?
Ja küsite endalt, miks ei võiks kogu blogspoti või wordpressi peale olla üks ja ainus?
Vot sellepärast.
Google / Wordpress loovad muljet, et need on lehe autori, mitte nende kui platvormi asi.

===============

Endomondo tegi enesetapu. Minu jaoks.
Ma olen seda aastaid kasutanud. 
Endo on mulle aastaid oma teenuse tasulist varianti pakkunud ja ma olen mitu korda mõtelnud, et võtaks.
Aga nüüd ei lähe Endomondo enam käima. 
Nõuab minged lisa-andmeid.
Kui ta lihtsalt "uued andmekaitse reeglid click ok" ütleks, siis ma saaks aru. 
EU nõuded noh, mis teha. 
Aga kasutada GDPR-i ettekäändena kliendilt ROHKEM isikuandmeid välja pommida?
Käige, eks.

Juristid 1 : 0 Sales.

===============

Ma olen GDPR teksti kahes keeles läbi lugenud.
Seadusena tundub ta - täiesti okei.
Riigi seisukohast on GDPR lihtsalt uus EU antud kang, mille abil riik saab enda jurisdiktsioonis olevaid ettevõtteid paremini mõjutada.
Lisaks on GDPR mõistlikult riskipõhine. Sisuliselt ütleb ta, et rakenda andmekaitset siis, kui sinu tegevus puudutab paljusid inimesi või et su vead on väga kallid. 

Aga:
Interpreteerimine on hetkel juristide ja konsultantide käes. Ja nende maailm on jäledalt must-valge. IGA risk on suur, IGA viga on fataalne ja vajab vältimist. Nii tõmmatakse GDPR müts pähe sirgelt KÕIGILE. Facebooki GDPR grupp pole leidnud veel ühtegi ettevõtet, kellele uued reeglid EI rakenduks. Ole või ühe kliendiga mikroettevõte - vahet pole - ikka rakendub. 

Seega võtame me meile antud kangi, aga kasutame seda kangi asemel kärbsepiitsana. 
Peksame kõiki, eriti kõige väiksemaid.

===============

Mis edasi?
Kardan, et kellegi sisulist käitumist GDPR niipea ei muuda.
Facebook ja Google, maailma reaalsed andme-hiiglased, panevad lepingutesse õiged punktid sisse ja delegeerivad kogu, KOGU vastutuse endalt ära - loe sissekande algust.
Väiksemad vennad on hetkel veidi ehmunud, aga see läheb kärmelt üle.
Audiitorid ja konsultandid lähevad rasva.

Ilmselt saavad keskmise suurusega ettevõtete infosüsteemid veidi paremaks: tekib pääsukontroll, logi, normaalne change management jne. 
Võimalik, et andmelekkeid jääb vähemaks. (Aga neid võib vähemaks jääda ka GDPR-ist sõltumatult, ja põhjuslikkuse mõõtmine on üks raske töö.)
Muud... ei juhtu.
Kliendi vaatest ei juhtu seega üldse midagi.

===============

Pikas plaanis on tegu aga ideoloogia muutusega: privaatsus on põhiõigus, kodaniku andmed on tema enda omad.
See muutus meeldib mulle ja peaks meeldima kõigile.
Ehk, maailm saab - loodetavasti - parem.

Kas ma olen kauge heaolu nimel nõus mõnda aega igast suunast suhu võtma?
Muidugi!
Seega.
Neelan Google kollase jälkuse alla.
Naeratan.

7 comments:

notsu said...

selle peale, kui mõni jurist arvab, et iga risk on suur jne, tahaks mina kui naiivne, aga siiski fun. lugemisoskusega õigustekstide lugeja kohe piiksatada: aga proportsionaalsuse põhimõte, mis on üks E-Liidu aluspõhimõtteid?

notsu said...

(fun. pidi olema lühend, mitte täisväärtuslik sõna ja naiivse kommentaarikirjutajana sain muidugi alles nüüd aru, et seda võib ka teisiti lugeda.)

Kaur said...

Mine piiksata, keegi ei keela. Tõsi, keegi ei kuula ka.

Anonymous said...

Kes saab kuulata piiksatust?

Kas see on:
1. riik/ametnik;
2. konsultant;
3. firma?

Lahkame.
1 - ei ole võimalik, ametnik on süüdi ja ei tohi eksida, karistatakse eksimust, põhjendamatut lubamist, mitte tegemata jätmist. Riigihange on värskendav kogemus.
2 - konsultant on elujõuline ja oskab luua turgu; yea right, isegi mõistlik konsultant räägib, kui keeruline see kõik on ja kui kindlasti on vaja x koolitust.
3 - firma, miks peaks firma uskuma kedagi muud, kui 1 või 2.? Kas tavalisel firmal jätkub võimsust palgata K, kes suudab ja soovib vaielda, küsida raskeid küsimusi?

Ainukene normaalne lahendus on riigiamet RIA vmt, kes vaatavad riigi demograafilist seisu, nn hädavajalikku maksude tõusu ja toovad mõistlikuse põhimõtte sisse, minnes siinjuures tülli konsultantidega.

Mis muide tekitab lausa küsimuse, kas peaks ise hakkama turvalisuse audiitoriks vmt asjapulgaks? Ma tahaks ka vasika sisefileed.

Muide, sellist reCaptcha poolset kiusamist pole ma varem saanud. Ajad muutuvad.

notsu said...

minu piiksumine on tühiasi, aga ma olen näinud hulgem Euroopa Kohtu vaidlusi, kus proportsionaaluse pm rikkumine on täiesti tõsiseltvõetav argument mingi meetme tühistamise või kohaldamatajätmise kasuks.

williambli92982 said...
This comment has been removed by a blog administrator.
fillikir72518 said...
This comment has been removed by a blog administrator.