GDPR — dvojitý meter pre štát a súkromné firmy

Leaking paradox aj v prípade v GDPR

Už pred viac ako 5-timi rokmi som zadefinoval tzv. “leaking paradox” (viac informácii v mojej prezentácii alebo článku). Ide o nasledujúci paradox:

  1. Ak únik osobných údajov v dôsledku nedodržania bezpečnostných opatrení sa dotkne súkromných firiem, tak súkromnej firme hrozí pokuta do výšky až 20 miliónov EUR alebo 4% jej ročného obratu.
    Dôležitá vec: Náklady na GDPR pokutu znášajú priamo majitelia/akcionári samotnej firmy. 
    Obrovská pokuta dokáže danú súkromnu firmu reálne zničiť alebo výrazne ohroziť jej konkurenčné postavenie na trhu.
  2. Ak únik osobných údajov v dôsledku nedodržania bezpečnostných opatrení sa dotkne štátnych inštitúcií, tak štátnej inštitúcii tiež hrozí pokuta až do výšky 20 miliónov EUR (pokuta 4% “z obratu” sa jej netýka). 
    Dôležitá vec: Náklady na GDPR pokuty neznášajú štátni úradníci, ale rozpočet samotnej štátnej inštitúcie. Ktorý je platený z peňazí daňových poplatníkov.
    Vyplýva z toho absurdný bizár: 
    Náklady na GDPR pokuty nie sú externalizované na vinníkov samotného úniku, ale nedobrovoľne na jeho obete (daňových poplatníkov, ktorí to zaplatia).

Bude mať závažné a opakované porušenie GDPR existenčný dopad aj na štátne inštitúcie?

Samozrejme nebude. A je to prudko nefér voči súkromných firmám, kde toto riziko reálne existuje.
Ak nejaká štátna inštitúcia opakovane a závažne poruší GDPR a výška udelenej pokuty (20 miliónov EUR) presiahne jej rozpočet, čo myslíte, skrachuje daná štátna inštitúcia? Zrušíme ju ako nezodpovednú firmu, ktorá nie je schopná chrániť osobné informácie svojich klientov?
Bohužiaľ nezrušíme. A je pravdepodobné, že maximálnu pokutu 20 miliónov EUR ani nikdy nedostane (tu by som podotkol, že únik osobných informácií zo štátnych inštitúcii sa reálne deje — Portál katastra zverejňoval rodné čísla).

Ukladanie GDPR pokút pre štátne inštitúcie je úplne nezmyselné

  1. Náklady na GDPR pokuty sú externalizované na samotné obete úniku, ktoré ich musia nedobrovoľne znášať, podobne nemôžu dať “opt-out” a prestať používať služby danej štátnej inštitúcie, ktorá nebude schopná ochrániť ich osobné informácie.
  2. Konkrétni viníci v prípade GDPR porušenia v štátnych inštitúciách nesú zanedbateľnú zodpovednosť na rozdiel od majiteľov alebo akcionárov súkromných spoločností.
  3. GDPR pokuty v štátnych inštitúciach nemôžu spôsobiť krach inštitúcie alebo jej výrazné konkurenčné oslabenie ako je to na voľnom trhu. Absentuje teda nevyhnutné riziko straty ich kompetitívnosti alebo ich krachu (kedže majú monopol), ktoré je kľúčové k tomu, aby inštitúcie brali GDPR skutočne vážne.
  4. Ide len o prelievanie peňazí z rozpočtu jedného orgánu verejnej moci (ktorému bola udelená pokuta) do celkového štátneho rozpočtu.