GDPR ještě nezačala platit a už se firmám začíná prodražovat

Podnikatelé kritizují stát za to, že zaspal s informační kampaní k zásadní změně ochrany osobních dat. Postihy přitom mohou být pro firmy daleko citelnější, než například za chyby při nedávno zaváděné EET.

Více než milion firem a živnostníků v Česku zasáhne od května příštího roku zpřísněné nařízení o ochraně osobních údajů (GDPR), které platí i pro úřady, orgány veřejné správy a další instituce. „Podnikatelé se začínají na změny postupně připravovat. Evidujeme zvýšený zájem o tak zvané vstupní audity, které mají odhalit slabá místa v jejich systému. Z výsledků analýzy si pak vedení firem snadněji určí, do jakých priorit investovat a kdy,“ říká Jakub Kejval z poradenské společnosti Bureau Veritas, která zabývá problematikou GDPR.

Ještě několik měsíců před začátkem platnosti nové úpravy tak podnikatelé musí platit náklady související s touto změnou. „Výdaje na samotné vstupní audity se na trhu pohybují v rozmezí třiceti až devadesáti tisíc korun,“ vypočítává Jakub Kejval. Živnostníkům navíc příprava na GDPR bere ještě další cenou komoditu – čas. Vstupní audit přitom trvá jeden až tři dny. Začíná pohovorem IT specialisty a právníka s odpovědným pracovníkem v organizaci.

„Auditoři přezkoumáním dokumentů a záznamů zjistí, jakou má firma úroveň bezpečnosti informací – například ve smyslu řízení rizik, ochrany informačních systémů, sítě nebo serverů. Experty bude dále zajímat, jak firma nakládá s osobními údaji, zaměří se například na komunikaci s klientem, na smlouvy a podobně. Výsledkem vstupního auditu bude zpráva, která identifikuje nesoulad firmy s GDPR, určí míru rizika a navrhne opatření,“ shrnuje Jakub Kejval základní kroky.

Vstupní audit až za stovky tisíc

Firmy, které si nechají zhotovit vstupní audit, získají rovněž konkrétní představu o tom, kolik je bude stát uvedení do souladu s nařízením GDPR. „Obecně půjde o průměrnou investici v řádu tisíců korun pro živnostníky a v řádu desítek až stovek tisíc pro firmy a veřejnou správu. V souhrnu se pak náklady mohou vyšplhat až na šest miliard,“ vypočítává Jakub Kejval.

Kompletní „jízdní řád“ zavedení GDPR je přitom ještě složitější. „Samotná implementace GDPR probíhá dokonce na základě oficiálních doporučení ve třech fázích. První fáze je onou analýzou, právní i IT, tato fáze je zpravidla velmi podstatná i pro samotné společnosti, protože jsou to právě ony, které si v rámci této fáze ujasní, kde všude osobní data uchovávají – v elektronické i písemné podobě – a kdo k nim má přístup. U větších společností je to práce i na řadu měsíců,“ podotýká Zdeněk Tomíček, místopředseda představenstva Asociace malých a středních podniků a živnostníků ČR.

Ve druhé fázi probíhá samotná implementace GDPR, tedy právní přenastavení dokumentace a nastavení IT systémů. „Fáze třetí se pak zabývá školením konkrétních pracovníků společnosti, kteří budou mít nadále GDPR na starosti a připravení krizového plánu pro případy porušení,“ doplňuje Zdeněk Tomíček.

Podnikatelé si stěžují, že opatření je další administrativní a finanční zátěží, která je v záplavě dalších regulací a povinných výdajů postihne.

„Ano, ve většině případů se skutečně jedná o komplikovanou a mnohdy nákladnou proceduru. Nestačí pouze IT audit, podniky se musí zaměřit i na právní a procesní stránku práce s daty, musí posuzovat rizika případ od případu tak, jak se vyskytují v dané firmě. Samozřejmě je to spojeno s finanční i administrativní zátěží. Kdyby bylo nařízení lépe připraveno, mohlo se mnohým komplikacím předejít,“ říká Milena Jabůrková, viceprezidentka Svazu průmyslu a dopravy ČR.

Nicméně vyhnout se plnění nového opatření podniky nemohou. „Společnosti se musí připravit na tuto novou dobu, kdy se data stávají novými ‚přírodním zdroji‘. Organizace, které schraňují osobní údaje a nakládají s nimi, budou muset provést kompletní revizi způsobu práce s osobními daty a jejich zpracováváním a nakládáním na všech firemních úrovních a ve všech systémech,“ zdůrazňuje Milena Jabůrková.

Ochrana údajů musí být pro firmy prioritou

Firmy se podle ní musí se zaměřit i na datovou architekturu a zařadit do své agendy téma ochrany osobních údajů a informační bezpečnosti. „To by mělo patřit mezi prioritní témata chodu organizace,“ zmiňuje Milena Jabůrková.

Firmy přitom nečeká jen jednorázový výdaj na audit a provedení opatření. Čekají je i náklady v personální oblasti. „Některé podniky musí nově zavést pověřence pro ochranu osobních údajů. Musí být nezávislý a ve firemní hierarchii bezprostředně spadat pod vedení firmy. Pokud společnosti budou zavádět nový proces, službu nebo produkt, který by mohl ohrozit ochranu osobních údajů, musí provést zhodnocení dopadů na ně,“ podotýká Milena Jabůrková.

Stát se podle ní snaží podnikatelům situaci alespoň trochu ulehčit. „Ministerstvo vnitra připravilo novelu zákona o ochraně osobních údajů, kde se to v rámci omezených možností stanovených nařízením daří. Dále může minimalizovat negativní dopady tím, že pomůže firmám se na nařízení připravit, například pomocí masivní vzdělávací kampaně. To se zatím bohužel neděje. Povědomí firem je prozatím stále velmi nízké, dopady přitom budou na firmy všech velikostí a oborů podnikání, kde se pracuje s osobními údaji,“ konstatuje Milena Jabůrková.

Rizika z opominutí této změny jsou přitom podle ní mnohem větší, než u jiných novinek, se kterými se museli podnikatelé vyrovnat. „Srovnáme-li EET a GDPR co do šíře rozsahu, hloubky dopadu a výše pokut za neplnění, je proti tomu EET procházka růžovým sadem. Je tak s podivem, že při zavedení EET stát zorganizoval masivní osvětovou kampaň, avšak nyní před nabytím účinnosti GDPR žádná systematická osvětová a vzdělávací kampaň neběží a ani se neplánuje,“ porovnává Milena Jabůrková.

Firmy tak podle ní často nevědí, co si počít, kam se obrátit. „Informace kolují spíše živelně bez záruky za jejich správnost. Svaz na to zareagoval spuštěním GDPR Akademie. Ve spolupráci s Úřadem na ochranu osobních údajů a dalšími partnery jsme vypracovali ucelený systém školení, kterého se zúčastnily již stovky firem. Nicméně nemůže nahradit stát a suplovat povinnost státu seznámit podniky i širokou veřejnost s novými pravidly ochrany osobních údajů,“ zmiňuje Milena Jabůrková.

Vlastní zavádění změn do počítačových systémů v souvislosti s GDPR se ve firmách bude lišit podle toho, jaké programy používají. „Z hlediska IT je třeba firmy dělit na společnosti používající značně rozšířený software, jako SAP, Microsoft a tak dále, a společnosti mající software na míru,“ upozorňuje Zdeněk Tomíček.

Podle toho pak bude příprava na GDPR náročná a nákladná. „První mohou do jisté míry spoléhat na to, že aktualizace pro plnou součinnost s GDPR obdrží od těchto společností v termínu a většinou i zdarma, podobně se někteří z těchto poskytovatelů software již vyjádřili. Druzí pochopitelně budou muset za aktualizaci či lépe řečeno úpravu svého software na míru zaplatit,“ konstatuje Zdeněk Tomíček.

Nejen počítače, ale i papír

Přestože je GDPR vnímáno především v souvislosti s počítači, internetem a ochranou dat před hackery či neoprávněným zasíláním nevyžádaných nabídek formou SPAMu, netýká se jen digitální oblasti.

„GDPR dopadá stejně tak i na podnikatele, kteří případně mají veškerá osobní data uchovávána ‚offline‘ – tedy v papírové podobě,“ zmiňuje Zdeněk Tomíček.

V souvislosti s přísnější ochranou osobních údajů rovněž pro firmy a podnikatele přibydou rizika spojená se správou a zpracováním dat třetích stran. Odborníci proto doporučují, aby se podniky proti možným negativním dopadům pojišťovaly. Pro firmy to ale znamená další náklady navíc.

„Pojištění dokáže pokrýt především samotné regulatorní sankce, stejně jako pestrou škálu dalších nákladů spojených s únikem dat, jejich neoprávněným nakládáním a následným zásahem dozorového orgánu. Jedním z největších přínosů pojistné ochrany je i krytí škod, ve kterých hraje zásadní roli lidský faktor, například vynesení dat úmyslně jednajícím zaměstnancem pojištěného,“ uzavírá Josef Majer z mezinárodní poradenské společnosti Marsh.

Za porušení závazné normy o ochraně osobních údajů mohou být udělovány pokuty až ve výši 20 milionů eur či 4 procent obratu za uplynulý finanční rok.


Téma: Podnikání / Právo a zákony, Zdroj: BusinessInfo.cz, Obrázek: Pixabay
24.11.2017 (autor Redakce)



Související

Informace Úřadu pro zastupování státu ve věcech majetkových k nemovitostem s neznámými vlastníky

vydáno 30.11.2023

Úřadu pro zastupování státu ve věcech majetkových (ÚZSVM) se od roku 2014 do 31. října 2023 přispěl k vyřešení 59 037 nemovitostí s nesprávně zapsaným vlastníkem a zahájil šetření u 98 706 nemovitostí. Nejčastějším výsledkem šetření bylo podání podnětu k zahájení dědického řízení, protože vlastník již nežije (62 %...

Téma: Právo a zákony / Samospráva a regiony

Navýšení rodičovského příspěvku

vydáno 29.11.2023

Poslanci dnes v rámci novely zákona o státní sociální podpoře schválili navýšení rodičovského příspěvku. Ten se rodičům dětí narozených od 1. ledna 2024 navýší o 50 tisíc korun, tedy z původních 300 tisíc na 350 tisíc. Zároveň bude jeho čerpání zkráceno ze čtyř let na tři roky. MPSV tak pokračuje v podpoře rodin s...

Téma: Právo a zákony / Sociální zabezpečení

Všeobecná zdravotní pojišťovna upozorňuje na podvodné SMS

vydáno 27.11.2023

Kyberpodvodníci zkouší stále nové triky, momentálně lákají důvěřivce na finanční příspěvek z fondu prevence. Po příjemci zprávy vyžadují zejména přístupová hesla k bankovním účtům. Slibují až několik tisíc korun. VZP proto znovu varuje, aby lidé takové zprávy ignorovali.

Téma: Právo a zákony / Zdravotnictví


www.statnisprava.cz
© Copyright 2000 - 2024, všechna práva vyhrazena - European Business Enterprise, a.s., Spojovací 428, 251 63 Strančice
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz