On Thursday, May 6, 2021 at 10:58:36 AM UTC+2, Wojciech Bancer wrote:
> On 2021-05-06, witrak() <w...@h...com> wrote:
>
> [...]
> >> Chciałbym by DUŻE FIRMY lepiej WERYFIKOWAŁY osoby które chcą od nich
> >> usługi/kasę, a nie żeby szło w kierunku że "skoro jest RODO, to my
> >> weryfikować specjalnie nie musimy".
> >
> > Ale w jaki sposób to ma być argument przeciwko RODO?
> Normalny. Otwiera drogę do olewania zabezpieczeń. I trzeba kolejnych
> ustaw by firmy do tego zmusić.

Nie rozróżniasz uregulowań RODO od innych obowiązków ustawowych, które byłyby
potrzebne. To, że telekom nie udostępnia twoich danych (nawet przez niedbałość), nie
zmienia nijak jego obowiązków, jeśli idzie o weryfikację Ciebie (albo oszusta) gdy
załatwiasz nową kartę SIM. Dla niego wystarczy mniej bezpieczna procedura weryfikacji
tożsamości niż chciałby bank, któremu jest wygodnie zakładać, że jak ktoś ma telefon
z danym numerem to jest on kowalksim, który ten numer podał do przesyłania SMSów
potwierdzających przelewy. I RODO *nie ma tu absolutnie nic do rzeczy,* bo dotyczy
ochrony danych klientów, a nie jakości procedury weryfikacji klienta w telekomie.
Klient może stracić parę stówek wskutek przejęcia karty telefonu, ale dziesiątki
tysięcy, jeśli tego telefonu używa do potwierdzania operacji bankowych. A ponieważ są
tysiące takich przypadków, albo banki, albo telekomy powinny zostać zmuszone do
wprowadzenia zmian na rzecz bezpieczeństwa procedur potwierdzania tożsamości.
Dyrektywa PSD2 zmusiła banki, ale odbyło się to kosztem klientów, którzy są obecnie
nakłaniani do stosowania apek, bo SMSowe potwierdzania - ze względu na opór telekomów
- nie są dostatecznie pewne.


>
> A pójdźmy w drugą stronę. Gdyby nie było RODO, ale też wyciek Twoich
> danych nie groził konsekwencjamim finansowymi, bo banki/telekomy/inne
> instytucje finansowe zmuszone byłyby do ponoszenia pełnej odpowiedzialności
> odszkodowawczej (a nie tylko "anulowania kredytu/lojalkowej umowy") w przypadku
> gdy źle kogoś zweryfikują. To po co byłoby Ci wtedy RODO?

Mam nadzieję, że poprzednia część odpowiedzi już ci to wyjaśniła, ale na wszelki
wypadek napiszę dużymi literami:
Gdyby nie RODO, telekomy i banki mogłyby - tak jak to dawniej bywało - przy ladzie
wypytywać Cię o wszystkie dane, potrzebne do weryfikacji, nie dbając o to, że
następny w kolejce to wszystko słyszy. Od wprowadzenia RODO z reguły proszą o
napisanie danych wrażliwych na kartce, która za chwilę wędruje do niszczarki. Owszem,
nie wszędzie i nie zawsze, ale dawniej tak nie bywało.

> > Firmy, zwłaszcza duże, mają w nosie dbanie o ochronę naszych danych.
> > Gdyby RODO nie było, miałyby jeszcze bardziej, bo nic by im nie
> > groziło (pamiętasz, że nie było nawet obowiązku powiadomienia
> > poszkodowanych o wycieku danych?).
> Obowiązku nie było, a i tak były takie informace podawane.

Bzdura. Czasem zdarzało się, ale nie było to żadną regułą, a raczej "wyjątkowym
wyjątkiem", a i to zwykle, jak ktoś inny puścił informację o wycieku.

> > Krajowe firmy tego się boją, więc zaczęły ryzyko z tym związane
> > brać pod uwagę w analizie ryzyka. Dzięki temu coraz częściej
> > fundusze są alokowane na bezpieczeństwo IT, robi się audyty
> > itd.
> Tak. A Ty znów o dużych firmach. A weź mały 1-osobowy sklep.

Ja mowię o firmach, na które RODO efektywnie nakłada jakieś obowiązki. A Ty nawet nie
wiesz, że na małe firmy ("1-osobowy sklepik") RODO nie nakłada prawie żadnych
obowiązków i nawet pomijając fakt, że taki sklepik nie ma potrzeby przechowywać
danych osobowych klientów (z wyjątkiem danych, które musi ze względu na inne przepisy
- co zwalnia z części obowiązków).

> >> Chciałbym żeby dane z dowodu nie wystarczały dowolnej średnio
> >> rozgarniętej grupie przestępczej do zagarnięcia mojego hajsu, czy
> >> wzięcia na mnie umowy telekom z drogim telefonem.
> >
> > To nie ma bezpośredniego związku z RODO.
> Nie musi mieć bezpośredniego. Ma pośredni.
> Powstają durne procedury bo jeden z drugim myśli "jest RODO".

Piszesz to samo już chyba trzeci raz. Jakiś przykład wreszcie?

> > Ale nawet w tym Twoi przykładzie to nie nadmiar, tylko
> > brak regulacji powoduje dla Ciebie ryzyko. Nie wiem,
> > czy to banki nie powinny mieć lepszych procedur - tak,
> Ale mówimy o nadmiarze regulacji dla małych i średnich firm
> cały czas! Nie dla wielkich banków i telekomów! Mówimy
...
> > Nie obraź się, ale właśnie do tej Twojej niezdolności
> > zauważenia pewnych - dość oczywistych - zależności piłem,
> > mówiąc o o płaskoziemcach i antyszczepionkowcach.
> Nie obraż się, ale masz tak wąski horyzont że Twoja argumentacja
> jest śmieszna. Jeszcze raz: Pisałem o MAŁYM BIZNESIE i uciążliwościach
> RODO z tym związanych.
> >> Jak zadzwoni do Ciebie zią
> >> z "fotowoltaiki", mimo że numeru nigdzie nie dawałeś.
> >
> > Czy Rodo ma wpływ na to, jak ludzie łamią zasady prawne?
> Ogranicza konkurencję.

Jeszcze raz: jakiś przykład?
...
> >> Raczej "nic się nie zmieniło" a mamy dodatkowe narzędzia do dojechania
> >> firm.
> >
> > Na czym to "dojechanie" miałoby polegać? Na ściganiu bezprawnego
> > zbierania danych i przechowywania ich w nieskończoność?
> Masz kontakty w skrzynce mailowej? W telefonie?
> Bezprawnie zbierasz dane i przechowujesz je w nieskończoność.
HAHAHA! Nie masz pojęcia o RODO. Poczytaj jakie są ograniczenia zbierania danych do
celów prywatnych...

> > karygodnego lekceważenia zasad bezpieczeństwa, które nader
> > często prowadzi do wycieków?
> To kwestia kosztów, nie RODO. Małe firmy na to nie stać, ryzykują swoje
> biznesy na zasadzie "może się uda".

Jakie koszty w przypadku "sklepiku"? Który ma dane klientów, bo im wystawia faktury?
A takich baz danych nawet zgłaszać nie musi...

> > Nie? No to na czym Twoim zdaniem?
> Już pisałem. Na przeregulowaniu względem MAŁEGO BIZNESU.

Frazes powtarzany wiele razy nie przestaje być frazesem. Konkrety proszę.


> > Czy powiesz, że nie należy za to karać?
> Małego biznesu? No niespecjalnie. Nic to nie da.
> > Bo że nie powinno to być robione w stylu od paru lat u nas
> > lansowanym - na polityczne zamówienie, z zastosowaniem, jak
> > kiedyś, zasady, że prawo nie musi być egzekwowane, chyba
> > że trzeba kogoś udupić - to chyba się zgadzamy.
> Ale właśnie tak jest. Masz teraz prawo hakowe, masz tyle regulacji że
> **** NIE MA **** w Polsce firmy działającej zgodnie z prawem. Fizycznie
> to jest niemożliwe.
> I RODO się dorzuca do tego stanu rzeczy.
> > Ale ja uważam, że żaden biznes nie będzie działał w imię abstrakcyjnych
> > zasad, chyba, że wisi nad nim kara finansowa, i to dotkliwa. A ty?
> A ja nie jestem zwolennikiem nic nie znaczących górnolotnych haseł
> ani polityki hakowej.
> >> Z onerwacji świata oraz z logicznego myślenia.
> >> Nadmierna regulacja = większe koszty wejścia = ograniczanie konkurencji
> >> = większa szansa na monopole. To są zasadniczo podstawy ekonomii.
> >
> > Wiesz, gdybyś zaczął od drugiego członu, to bym Ci przyznał rację.
> > Ale pierwszy jest z powietrza wzięty. Kiedyś śledziłem losy procesu
> > antymonopolowego Microsoftu. Nie było to łatwe (American legalese
> > jest równie przyswajalny - przynajmniej dla mnie - jak chiński),
> > ale przy tej okazji uzyskałem pewne rozeznanie w zasadach
> > amerykańskiego prawa antymonopolowego.
> To były lata 90-te ubiegłego wieku.

No, Polska jeszcze parę lat ma do dojścia do tego poziomu, więc te doświadczenia są
jak najbardziej aktualne dla nas...

> > Tam bardzo wyraźnie zaakcentowane jest, że podstawą uznania sytuacji
> > za wymagającą wkroczenia jest blokowanie konkurencji (które jak
> > wiadomo znacznie częściej zachodzi bez klasycznego monopolu).
> Nadmiar regulacji też blokuje powstanie konkurencji.
> BRAK regulacji też. Nie mówię, że należy przeginać w którąkolwiek ze
> stron. Ale na pewno należy rozgraniczyć regulacje dla małego i dużego
> biznesu.

To znaczy odpuszczać niektóre reguły "bo biznesik malutki"? A które?
Jest pewien podzbiór zasad, którym musi podlegać każdy biznes.
Dbałość od dobro klienta (zatem m.in. właściwa ochrona jego danych, powierzonych w
dobrej wierze, a nie zebranych z naruszeniem prawa) jest takim elementarnym
wymaganiem. Z faktu, że nie zawsze jest łatwo wyegzekwować taki obowiązęk nie wynika
w żaden sposób, że można odpuszczać.

> > Mimo to FANG (i przyjaciele) obchodzą te ograniczenia, m.in.
> > wykupując mniejsze firmy i przejmując albo niszcząc ich pomysły
> > ("strategia trzech e").
> Ale Ameryka jest od jakiegoś czasu (plus/minus ostatniego kryzysu)
> przykładem kraju, gdzie wprowadza się nadmierne regulacje i gdzie
> cementują się monopole.

Znowu ten sam frazes bez treści? Na czym w tej Ameryce nadmierna regulacja polega?

>
> I skutki już widać, mniej jest banków (u nas też ten trend jest widoczny),
> mniejsze są wpływy dla zwykłych ludzi, FANG monopolizuje kolejne obszary,
> służba zdrowia, chociaż prywatna - jest tak przeregulowana, że doprowadziło
> to do aliansów i monopoli (braku konkurencji) na rynku ubezpieczeń zdrowotnych
> i drastycznego zwiększenia kosztów.

W ubezpieczeniach zdrowotnych? Przeregulowanie??? Toż tam jest "wolna amerykanka"
właśnie! Ktoś (chyba jakiś fundusz) wykupuje jedynego producenta pierwszego
skutecznego leku na b.poważne schorzenie i nowy właściciel podnosi cenę
dziesięciokrotnie! Insulina w USA jest *parędziesiąt* razy droższa niż w Europie.
Rutynowe zabiegi medyczne są wielokrotnie droższe niż w Europie. Poczytaj co zwykli
Amerykanie o tym piszą...
Przeregulowanie! Dobre! :->

> Ale ciągle patrzysz ogólnie, a ja przypominam - rozmawiamy o małym
> biznesie. Naprawdę uważasz, że obciaenia legislacyjne powinny być
> takie same dla małego i dużego biznesu?
Generalnie nie, nie uważam. Ale akurat bezpieczeństwo danych - moich danych! - równie
dobrze może być naruszane prze brak odpowiedniej polityki wielkiej firmy, jak i
indolencję małego przedsiębiorcy.
Nawiasem mówiąc (nie pamiętam, czy to w końcu weszło w tej formie, czy udało się to
zablokować) przy wprowadzaniu do polskiego systemu prawnego dyrektywy RODO urzędnicy
tak dalece rozszerzali kategorię "małych przedsiębiorców", że wyjątki obecne w
dyrektywie miały objąć większość firm...

> >>> I co mogłeś wtedy zrobić?
> >>
> >> To samo co wtedy - zażądać by moje dane nie były przetwarzane w celach
> >> marketingowych.
> >
> > I na tym się zwykle kończyło: zażądałeś. A jak chciałeś doprowadzić
> > do tego, żeby faktycznie tak się stało, to musiałeś iść do sądu. Ty.
> Po pierwsze - do sądu szedłeś, bo chciałeś coś dodatkowo ugrać.
> Po drugie - dawało radę też w reklamacji.

Czasem. Niekiedy. Właściciel usunął Cię ze swoje spamerskiej bazy danych, ale już ją
przecież sprzedał 20 razy...

> Po trzecie - ew. korzyści z tego że TY się bujałeś osiągałeś Ty.
> > Teraz jednak wystarczy złożyć skargę - reszta idzie sama.
> I nic się nie zmienia, a ew. kara nie pójdzie do Ciebie
> (inaczej niż w przypadku skargi sądowej).

Ale ja nie potrzebuję niczego ugrać, ja chcę, żeby jak ktoś już dostał moje dane, to
żeby wiedział, że (a) będzie miał przez wiele miesięcy problem z tłumaczeniem się,
dlaczego nie zadbał o ich ochronę i być może zapłaci karę, a także, że (b) pójdzie z
torbami, jak moje dane sprzeda.

witrak()