Szakértők vs gyártók. Ki nyer ma? Avagy a GDPR sötét oldala

Amennyiben gonosz és demagóg újságíró lennék, akkor úgy kezdeném ezt a cikket, hogy most aztán majd kiderül, hogy a szakértői vagy a gyártói lobby az erősebb GDPR témában. Hiszen igazából az egész GDPR fejlövés rajtuk kívül mindenkinek úgy hiányzik, mint mondjuk halnak a bicikli, avagy ki nyeri a „Ki keres rajta többet?” versenyt. De szerencsére sem újságíró nem vagyok, sem pedig demagóg. Úgyhogy inkább teszek egy – nyilván többeket megdöbbentő – bejelentést. A sysadminforum.hu bár a mi fejünkből pattant ki, és igen, mindenki számára ingyen elérhető, de sem végtelen időnk, sem végtelen energiánk, sem pedig végtelen pénzünk nincs arra, hogy egyedül fenntartsuk, így mindenféle csillagháborús projekt keretein belül magunk mellé állítottunk mostanra egy csomó támogatót, akik bizony időnként megkérnek, hogy közöljük egy-egy témában az Ő véleményüket is. Ilyenkor a leadott anyagon nem változtatunk – persze feltétel, hogy ne pusztán marketingről szóljon, és tartalmazzon értelmes magyar mondatokat, azaz a szakmai szűrőn azért át kell mennie -, szóval ugyanúgy járunk el, ahogy a blogger kollégák rendelkezésünkre bocsájtott cikkeinél is. Ebből következik, hogy ilyen cikkek voltak, vannak és minden bizonnyal lesznek is. Ennyit a közérdekű részről.

Kaptunk hideget és meleget az elmúlt héten, egy cikk kapcsán. A kiber.blog.hu oldalon annak rendje és módja szerint különösen megkaptuk a magunkét. Természtesen az írást mi is átvettük. Hiszen az építő jellegű kritikára mindig nyitottak vagyunk. Gondolom az is természetes, hogy nekünk is van véleményünk, így most a személyes véleményem mindjárt meg is osztom Veletek. Mielőtt belemennénk hangsúlyoznám, hogy ezek a gondolatok nem változtatnak azon, hogy a GDPR feladatokat ró a cégekre, és a jogszabályt, jogkövető módon illik betartani, inkább csak azt boncolgatnám, hogy ez a történet az ágyúval verébre tipikus esete.

Na de akkor csapassuk 🙂

Ami a kérdéses cikkeket illeti. Én személy szerint örülök Tamás írásának. Abszolút hiánypótló, mert egyrészről mindenki számára egyértelművé teszi, hogy a GDPR nem vegytisztán informatikai probléma – sőt, elsősorban nem az –, másrészt komoly fegyverténynek tartom, hogy sikerült annyira felbosszantanom, hogy végre megírta az első részét annak az EDR cikknek, amelyet már nagyon régóta – nagyságrendileg az elmúlt év decembere óta – ígér nekem. Ezzel együtt én maradnék a GDPR vonalon, mert a világ nagyobb része szerint a ransomware őrület már lecsengett, de a GDPR itt van a nyakunkon, úgyhogy ez most rendkívül „fancy” téma. Aztán a világ rettentően meg fog lepődni a következő nagyszabású ransomware támadáson, ahogy szokott, de ez egy másik történet.

Kezdjük talán azzal, hogy én mit gondolok a GDPR kérdésről. Ahogy ezt már egy hozzászólásomban megfogalmaztam, nagyságrendileg azt, amit az Y2K problémáról gondoltam. Jó nagy habverést sikerült kreálni a téma köré, és erősen kétséges, hogy ebből bármi gyakorlati hasznot sikerül majd realizálni az adatvédelem tekintetében. Igaz, kétségtelenül szükség volt egy átfogó, egységes EU-s adatkezelési rendelkezésre, de azért az, hogy mindenkire válogatás nélkül ráküldjük a halálcsillagot, barokkos túlzás. Legalábbis ezt vizionálja a legtöbb gyártó, valamint a tanácsadó cégek nagy része is. Legalább ebben nagy az egyetértés közöttük. Tehát szerintük, aki nem tartja be tűpontosan a jogszabályt, olyan büntetést kap, hogy a fal adja a másikat. Úgyhogy tessék szépen mindenre kiterjedő átvilágítást rendelni. Meglátásom szerint persze nagyon nem mindegy, hogy az ember mondjuk választási adatokkal dolgozik, vagy éppen egy síromajom-díjas webshopot üzemeltet, és akkor még nem is beszéltünk arról, hogy egy olyan „iparágról” beszélünk, ahol a userek elsöprő többsége önként és dalolva adja meg az okostelefon app-jában a személyes adatait, ha kap három ingyen matricapakkot mondjuk a Viberen. Hogy ezt persze nem pont az EU-n belüli cégeknek szolgáltatják, akik majd ballisztikus ívben és magasról tesznek a mi kis GDPR szabályozásunkra, az egy dolog. Lásd Facebook botrány. Nagyságrendileg tíz éve próbáljuk meggyőzni az EU-n kívüli cégeket arról, hogy legalább abban az országban az EU-n belül, ahol szabad szemmel is jól látható nyereséget realizálnak, próbáljanak már egy kis adót fizetni. Mondanom sem kell, sikertelenül. Nyilván ezek után önként és dalolva mondanak majd igent az EU-n belüli adatvédelmi direktívákra. Persze a felhasználók simán feláldozzák az adataikat a költséghatékonyság oltárán is. Kíváncsi lennék, hogy hány olyan rendkívül olcsó IoT eszköz és okostelefon érkezett az országba a különböző keleti webshopokon keresztül, amelyeket csak azért adtak oda elképesztő áron, mert akkora biztonsági rések „maradtak” bennük, mint a Marianna-árok. Jó esetben nincs rajtuk előre telepített vírus, bár általában inkább van. Valószínűleg végtelen számú. Egyszóval szép gondolat, hogy megvédjük az állampolgárjainkat az EU-n belüli fenyegetettségektől, de mi lesz azokkal, amelyek nem innen jönnek? Illetve saját maguktól ki védi meg őket? Szerintem első körben itt van az eb elhantolva, és gyárthatunk végtelen szabályzatot, meg analízist és elméletet, végtelen pénzért,  amíg az emberek fejében nem teszünk rendet, addig a személyes adat cunami így is és úgy is elárasztja a világot. Bár lehet, hogy a GDPR után már kimondottan szabályozottan, és ami a fő: büntethető módon

Schneck Zsolt