„Každá firma bude mít se zavedením GDPR náklady v rozmezí od několika desítek tisíc až po řádově miliony korun,“ říká mluvčí hospodářské komory Miroslav Diro. „Razantní zdražení by kvůli tomu hrozit nemělo, nicméně některé firmy to budou muset promítnout do cen,“ dodává.
Největší náklady firmy budou muset vynaložit na právní a IT služby. A také na zaškolení zaměstnanců, kteří budou s osobními údaji přicházet do styku. Nařízení začne platit 25. května ve všech členských zemích EU.
Koho se GDPR týká?Nařízení o ochraně osobních údajů se dotýká všech, kdo shromažďují nebo zpracovávají osobní údaje Evropanů. A to včetně společností a institucí mimo EU, které působí na evropském trhu. A nemusí to být jen údaje o zákaznících, ale také o zaměstnancích či o dodavatelích. Týká se i každého živnostníka, který má více než jednoho zaměstnance. |
„Problém ale není jen v aktualizaci informačních systémů a zabezpečení IT infrastruktury. Mnohé firmy si to vůbec neuvědomují a myslí si, že bude stačit nahrát novou verzi softwaru,“ upozorňuje výkonný ředitel ABRA Software Martin Jirmann. Software podle něj může pomoci, ale vedle toho musí firmy počítat i s náklady na čas vlastních lidí, kteří budou mít přípravu na starosti.
„GDPR nepřestavuje revoluci, ale spíše evoluci ve světě zpracování osobních údajů. Mnoho společností horečně a se zvýšenými náklady dohání to, co už má mít podle stávající právní úpravy,“ upozorňuje Drahomír Tomašuk z advokátní kanceláře Kocián Šolc Balaštík.
Některé firmy kvůli tomu podle něj dělají spousty chyb. Když se začnou rozhodovat, jak situaci řešit, postupují nesystematicky. Chytnou se dílčího problému a na jiné důležité věci zapomenou. Hrozí, že v takovém případě podnikatelé naletí podvodníkům. Nebo zaplatí víc, než nutně musejí.
PŘEHLEDNĚ: Proč by i vás mělo zajímat, co se skrývá pod zkratkou GDPR |
„Setkali jsme se například s nabídkou konzultantských služeb, které nikdo nepotřebuje,“ popisuje Tomašuk. Potřeby velké firmy a živnostníka se značně liší a nedají se dělat podle jedné šablony.
„Pokud firma zpracovává pouze jméno, adresu a telefon osob, tak se jich nařízení dotkne minimálně oproti institucím, které zpracovávají zdravotnické informace včetně například psychologických testů, veškeré informace finančního charakteru anebo osoby z různých důvodů systematicky profilují,“ říká konzultantka Eva Škorničková, která založila web gdpr.cz.
Problém je mnohem větší
Průzkum hospodářské komory pro MF DNES mezi podnikateli sice ukázal, že se povědomí o nařízení mezi firmami postupně zvyšuje, pětina z nich ale novou úpravu ochrany osobních údajů vůbec neřeší. A navíc 34 procent podnikatelů stále netuší, jaká opatření mají zavést.
Míra aktivit přímo závisí na velikosti firem. Platí, že čím větší firma, tím komplikovanější situace. Například ČEZ s desítkami tisíc zaměstnanců začal s přípravami už loni v březnu. U firem do deseti zaměstnanců každá čtvrtá zatím žádná opatření neprovádí, byť nová legislativa se na ně vztahuje stejně jako na velké korporace. Pochopitelně v menším rozsahu.
Co víte o GDPR? Otestujte svoje znalosti |
„Pokud firmy nezačaly s přípravou na nová pravidla přinejmenším v loňském roce, tak nemají šanci dostat se do května do souladu s předpisem,“ varuje Škorničková. „Většina společností dosud nepochopila, do jaké hloubky a v jakém rozsahu se jich pravidla GDPR dotýkají,“ dodává.
Pro základní orientaci mohou podnikatelům posloužit například semináře, které obvykle vyjdou na několik tisíc. Oslovení právníci doporučují, aby podnikatelé oslovili konzultanty, kteří už mají praxi, či podle referencí. A semináře pořádá například i hospodářská komora.
Škorničková varuje před „experty“, kteří jako jediný motivační argument používají obří pokuty, které za nesplnění povinností hrozí. „U pokut existuje princip přiměřenosti,“ říká.
„Úroveň výstupů je určitě různá. U analýz lze doporučit jasnou domluvu, co má být výsledkem zadané práce, jestli identifikace nedostatků, analýza rizik, instrukce k nápravě nebo i samotná náprava. Tedy například sepsání smluvních dodatků,“ říká Jitka Kmošková z advokátní kanceláře Frank Bold Advokáti.
„Loni se uvádělo, že začít s implementací v květnu 2017 je nejzazší termín. Dnes už víme, že u mnoha společností to zabere výrazně méně času. S blížícím se květnem 2018 lze však počítat s tím, že kapacity advokátních kanceláří a IT společností budou přeplněny,“ upozorňuje místopředseda Asociace malých a středních podniků Zdeněk Tomíček.
Nejvíc času podle něj zabere zmapování společnosti, kde se spravovaná osobní data nacházejí. „Udělat si pořádek ve vlastních věcech trvá většinou déle než následné právní analýzy či úpravy dokumentů a IT optimalizace,“ dodává Tomíček.
