GDPR v praxi - první část

4. 7. 2018. (redaktor: Jakub Špaček, zdroj: DCD Publishing)
Konec letošního května se nesl ve znamení GDPR, tedy nařízení o ochraně osobních údajů. Redakce Reseller Magazinu se proto rozhodla, že se na tuto problematiku podívá trochu odlišným způsobem. Na následujících řádcích se nebudeme zaobírat tím, jak správně implementovat jednotlivá opatření, aby vaší organizaci zajistila soulad s GDPR. Zaměříme se na to, jak se s touto otázkou vypořádaly orgány státní správy a velké organizace.

Pokud nakládáte s osobními údaji, musely přípravy na GDPR zasáhnout i vás. Pak musíte uznat, že implementace nejrůznějších opatření ani zdaleka nepřipomínala procházku růžovou zahradou. Jestli tomu tak bylo i u organizací, které disponují snad největším počtem soukromých údajů, které jsme kdy komu svěřili, jsme se rozhodli ověřit prostřednictvím několika krátkých otázek, jež jsme kladli firmám ze sektorů bankovnictví, e-shopů, zdravotnictví, ale i subjektům veřejné správy.

Nikdo nevěděl, jak na to

Implementace GDPR dala velkému množství firem zabrat. I přes náročnost a komplikace spojené se zaváděním těchto opatření ani jeden z námi oslovených subjektů nijak zvlášť nehanil GDPR jako takové. Maximálně si stěžovali na nedostatečnou připravenost příslušných orgánů při výkladu českého překladu nařízení. Dalším bodem, na nějž si některé organizace stěžovaly, pak byla absence podpory státních orgánů. Moravskoslezský kraj například v tomto ohledu otevřeně vyjádřil svou nespokojenost: „Po určitou dobu (cca do poloviny loňského roku) jsme věřili, že budou na úrovni státu učiněny nezbytné kroky pro jednotnou implementaci GDPR ve veřejné sféře. Pak jsme však usoudili, že se musíme spolehnout sami na sebe a, jak se ukázalo, bylo to správné rozhodnutí – aktivizace ústředních orgánů proběhla mnohem později než za 5 minut 12. Koneckonců stále nebyl schválen nový zákon o ochraně osobních údajů, který by např. pro veřejnou správu mohl modifikovat některé povinnosti či výši případných sankcí.“

Nedostatečná opora místních orgánů značně zkomplikovala život nejedné organizaci. GDPR, které se v posledních měsících řeší doslova na poslední chvíli, přitom bylo ve své finální podobě známo už od 24. května 2016, kdy po schválení Evropským parlamentem vstoupilo v platnost. I tak trvalo české legislativě přinejmenším rok a půl, než vydala metodiku posouzení vlivu zpracování dle čl. 35 nařízení. Ta podle informací od České průmyslové zdravotní pojišťovny vyšla až v únoru letošního roku, a to pouze jako návrh. Následovalo vydání její značné modifikace, které však vyšlo 1. června 2018, tedy až týden po datu účinnosti GDPR, kdy už měly být všechny organizace připraveny. Nedostatečná podpora ze strany státní správy naznačila přinejmenším dvě věci. Zaprvé v otázce GDPR neměl ještě donedávna zcela jasno ani příslušný kontrolní orgán, tedy ÚOOÚ, a zadruhé se můžeme podle dostupných informací domnívat, že to nebude (alespoň ze začátku) s kontrolováním až tak horké. Nedostatek pomoci od nadřízených orgánů územní samosprávy pocítili například na Plzeňsku. Naštěstí si však tamní krajský úřad dokázal poradit: „V počátcích příprav jsme pociťovali nedostatek metodické podpory a věci nepřispělo ani zdržení v procesu schvalování národní legislativy. Navíc od nás požadovaly pomoc nejenom naše příspěvkové organizace, ale i obce, zejména ty malé. Metodika pro veřejnou správu pak byla s předstihem před účinností Obecného nařízení zveřejněna a i díky vzájemné spolupráci s ostatními krajskými úřady jsme přípravu zvládli.“ Jasně se k nedostatku informací vyjádřila také tisková mluvčí České průmyslové zdravotní pojišťovny Elenka Mazurová: „Nebylo včas k dispozici dostatek fundovaných zdrojů, metodik a jednoznačných postupů, kterých by se všechny organizace mohly držet a které by jednoduchou formou pomohly GDPR implementovat stejným způsobem ve všech organizacích v České republice. Existovalo velké množství nabídek poradenských společností a ne všechny se nám jevily jako cenově adekvátní a dostatečně fundované.“

GDPR? Za kolik?

Rozdílnost jednotlivých nabídek poradenských společností jsme mohli vidět i v rozdílu přibližných vyčíslených nákladů organizací, které jsme oslovili. Nejlépe najdeme případné rozdíly na organizacích podobného typu a velikosti. Ke znázornění nám poslouží kraje. Z celkem čtrnácti krajů jsme v šesti případech dostali přibližné vyčíslení nákladů na implementaci GDPR. Přičemž rozdíly mezi jednotlivými náklady byly diametrálně odlišné. Tyto stěží zanedbatelné odchylky si však lze relativně jednoduše vysvětlit. Každý úřad své náklady totiž vyčísloval trochu odlišně. Například Zlínský kraj se téměř vyšplhal na částku dvou milionů korun za celkovou implementaci pravidel pro GDPR, nicméně pro porovnání může posloužit například Plzeňský kraj, který sice analýzu vykonanou externí firmou vyčíslil na pouhých 165 000 korun, ale vůbec nezapočítal čas a od toho odvíjející se finance na mzdy zaměstnanců kraje: „Přípravy si samozřejmě vyžádaly čas našich zaměstnanců, ale nepřistoupili jsme k navyšování pracovních míst. Finanční prostředky jsme vynaložili na specializované vzdělávání zaměstnanců přímo zapojených do dané problematiky a na pořízení rozdílové analýzy.“

Náklady na GDPR
KrajNáklady [Kč]
Hlavní město Prahacca 8 000 000
Jihomoravský378 000
Pardubický612 260
Zlínský1 965 040
Plzeňský165 000
Libereckýpřes 100 000

K poněkud odlišným částkám se dostali zástupci hlavního města, čemuž se ale opět nemůžeme divit, protože spravovali hned několik městských částí: „Vysoutěžili jsme společnost, která vytvořila nejen analýzu, ale pomohla nám identifikovat i veškeré procesy, kdy úřad pracuje s osobními údaji. Tuto společnost se nám podařilo vysoutěžit za 4,5 milionu korun. Další veřejné zakázky byly pro pomoc městským částem a dalším městským organizacím. Celkem jsme za pomoc s GDPR zaplatili kolem osmi milionů korun.“ Vyčíslení celkových nákladů veřejných útvarů je sice působivé, ale ani zdaleka nedosahuje výše, které musely zaplatit organizace velikosti Googlu nebo Facebooku. Pro představu jedna z největších českých bank, která se však svou velikostí ani zdaleka neblíží Googlu, ve spojitosti s GDPR utratila nemalou částku: „Samotná implementace podobných regulačních směrnic je pro nás z procesního hlediska standardem, jakkoli náklady spojené s regulací GDPR, které se v případě České spořitelny pohybují v řádech desítek miliónů korun, pro nás pochopitelně nebyly úplně zanedbatelné.“ O poznání lépe na tom pak byli profesně mladší konkurenti České spořitelny jako například Airbank: „Protože na trhu fungujeme teprve něco přes šest let, máme výhodu, že pracujeme s moderními technologiemi, díky kterým jsme mohli změny implementovat snadněji. Navíc klienty v našich systémech nevedeme pod rodnými čísly, jak to bývá někdy zvykem, ale při příchodu klienta do banky přidělujeme vlastní jedinečná klientská čísla, což nám také velmi ulehčilo práci.“

Na pokračování tohoto článku, v němž zjistíte například, zda se dalo GDPR vyřešit pouhým nákupem jednoho produktu, nebo co si o GDPR myslí námi oslovené subjekty, si budete muset ještě týden počkat. Druhý  a zároveň i závěrečný díl najdete už 11. 7. 2018 zde, na zpravodajském serveru RMOL.cz.

Štítky: 

Podobné články

Účtování aneb co přinesly tři roky s GDPR pro e-mailový marketing?

28. 5. 2021. (redaktor: František Doupal, zdroj: Webkomplet)
Den, po kterém již nebude nic jako dřív – tak byl mnohdy z pohledu e-mailingu vnímán 25. květen 2018. Na scéně se objevilo GDPR, jež zásadně promluvilo do možností fungování (nejen) tohoto marketingového nástroje. Čtěte více

Co přinesly dva roky s GDPR?

27. 5. 2020. (redaktor: František Doupal, zdroj: dTest)
Obecné nařízení o ochraně osobních údajů, neboli General Data Protection Regulation (GDPR), nabylo účinnosti 25. května 2018. Kolem tohoto data se zdálo, že nastává naprostá právní revoluce a „nezůstane kámen na kameni“. Dva roky účinnosti nařízení však ukázaly klidnější vývoj, i když rozhodně nelze tvrdit, že se nedělo nic zajímavého. Čtěte více

Spotřebitelé volají po důslednější ochraně osobních údajů

6. 12. 2019. (redaktor: František Doupal, zdroj: EY)
Devět 9 z 10 Čechů je velmi opatrných při zveřejňování osobních a finančních údajů na internetu, i když jde o web značky, kterou zná. Skoro třetina z nás (31 %) souhlasí s tvrzením, že nabídka komunikačních služeb je velmi složitá. Mimo televizi sleduje filmy přes jiná zařízení 62 % Čechů, v zahraničí je to třetina domácností. Čtěte více

GDPR: Zažíváme klid před bouří?

22. 7. 2019. (redaktor: František Doupal, zdroj: Zyxel)
Možná si ještě vzpomenete na všechny ty žádosti o souhlas se zasíláním emailů, které jste dostali loni na jaře, než 25. května 2018 nabylo účinnosti Všeobecné nařízení o ochraně osobních údajů (GDPR). Od té doby jakoby toto téma upadlo v zapomnění. Čtěte více