Názory k článku
T-Mobile v USA řeší obří únik dat, útočníci získali údaje o desítkách milionů zákazníků

Dříve mi byly k smíchu různé paranoidní obavy lidí, kteří nechtějí mít ani své jméno na průkazu nebo se někam registrovat. Jak podobných úniků dat přibývá, už mi to tolik k smíchu není a jsem rád, že existuje aspoň GDPR.

GDPR sice máme, ale tak 90% eshopů požaduje jméno, email, telefon a fyzickou adresu i při doručení na pobočku…

Jméno a adresu chtějí do faktury. Ta ale dává smysl až v případě nákupu nad (snad, nepamatuji si to přesně) 20k Kč. Tedy pod tuto částku by vás toho mohli ušetřit a chtít po vás pouze nějaký identifikátor, podle kterého vyhledají vaši objednávku na místě (nebo vám sdělit přidělený identifkátor).

E-mail nebo Telefon teoreticky potřebují, aby vás mohli informovat o tom, že zboží je na pobočce připraveno nebo, že zboží je nedostupné, že museli udělat nějakou změnu v objednávce apod. (nicméně nepotřebují oboje a teoreticky, pokud s tím nesouhlasíte, mohli by se obejít bez toho s tím, že až dorazíte na tu pobočku, tak vám to vysvětlí na místě).

Toto je určitá lenost/nesyste­matyčnost ÚOOÚ, který se tím víceméně nezabývá a dává tomu čas. Oni nemohli od startu šlepat na každý z těch 20k eshopů a všem dávat pokuty, ona ta úprava toho rozhranní e-shopu není otázka pár korun ani několik dní.

Zpravidla většina organizací promítá opatření GDPR do svých systémů postupně, v rámci různých obměn a úprav, které postupně přicházejí na řadu a vyžadují třeba i změnu většiho množství návazných systémů apod. Znám poměrně dost společností, které teprve dojiždí druhou vlnu GDPR opatření (takové ty změny v interních systémech apod.) a ještě dost možná nikdy nebudou plně v souladu, protože v historii GDPR nebylo a legacy systémy už nikdo nechce (neumí/nevyplatí se to) upravovat.

Na druhou stranu některé z těchto výše zmíněných osobních údajů jsou i veřejně dostupné, a tak nevidím moc smysl je před e-shopem tajit. Útočníci na to, aby je získali nemusí hackovat daný e-shop, stačí jim použít strejdu Googla.

19. 8. 2021, 08:31 editováno autorem komentáře

GDPR je IMHO ukázka toho, jak by se to (chránění osobních údajů) nemělo dělat. Místo stanovení jednoduchých, jasných a snadno dodržovatelných pravidel vznikla soustava nečitetných, těžko pochopitelných, složitáých zákonů, s přísnými sankcemi i za drobné prohřešky. Je to nepraktické a dodržování vede k absurditám, kdy se stát bojí propojit své databáze a nutí občany přenášet údaje "od úřadu k úřadu", na druhé straně se řeší, zda na občance smí být uvedeno pohlaví, jak vykopat datum narození z rodného čísla - a nakonec tu občanku (i s bydlištěm) potřebujete ukázat při podpisu kdejaké smlouvy, často i s jejím okopírováním. A pak někdo ukradne databázi telefonního operátora... - a výsledkem bude jen pokuta za nedodržení GDPR, nejspíš aby se nasytila i státní kasa.

Toto mne pobavilo:
"Podle T-Mobilu zatím nejsou důkazy o tom, že by se útočníci dostali také informacím o platebních kartách a dalším finančním datům uživatelů."

Pokud by se ten únik týkal mne, už bych měnil kartu :), protože nikdo nepíše o důkazu, že se útočníci k údajům nedostali.