GDPR v praxi – první část

Pokud nakládáte s osobními údaji, musely přípravy na GDPR zasáhnout i vás. Pak musíte uznat, že implementace nejrůznějších opatření ani zdaleka nepřipomínala procházku růžovou zahradou. Jestli tomu tak bylo i u organizací, které disponují snad největším počtem soukromých údajů, které jsme kdy komu svěřili, jsme se rozhodli ověřit prostřednictvím několika krátkých otázek, jež jsme kladli firmám ze sektorů bankovnictví, e-shopů, zdravotnictví, ale i subjektům veřejné správy.

Nikdo nevěděl, jak na to

Implementace GDPR dala velkému množství firem zabrat. I přes náročnost a komplikace spojené se zaváděním těchto opatření ani jeden z námi oslovených subjektů nijak zvlášť nehanil GDPR jako takové. Maximálně si stěžovali na nedostatečnou připravenost příslušných orgánů při výkladu českého překladu nařízení. Dalším bodem, na nějž si některé organizace stěžovaly, pak byla absence podpory státních orgánů. Moravskoslezský kraj například v tomto ohledu otevřeně vyjádřil svou nespokojenost: „Po určitou dobu (cca do poloviny loňského roku) jsme věřili, že budou na úrovni státu učiněny nezbytné kroky pro jednotnou implementaci GDPR ve veřejné sféře. Pak jsme však usoudili, že se musíme spolehnout sami na sebe a, jak se ukázalo, bylo to správné rozhodnutí – aktivizace ústředních orgánů proběhla mnohem později než za 5 minut 12. Koneckonců stále nebyl schválen nový zákon o ochraně osobních údajů, který by např. pro veřejnou správu mohl modifikovat některé povinnosti či výši případných sankcí.“

Nedostatečná opora místních orgánů značně zkomplikovala život nejedné organizaci. GDPR, které se v posledních měsících řeší doslova na poslední chvíli, přitom bylo ve své finální podobě známo už od 24. května 2016, kdy po schválení Evropským parlamentem vstoupilo v platnost. I tak trvalo české legislativě přinejmenším rok a půl, než vydala metodiku posouzení vlivu zpracování dle čl. 35 nařízení. Ta podle informací od České průmyslové zdravotní pojišťovny vyšla až v únoru letošního roku, a to pouze jako návrh. Následovalo vydání její značné modifikace, které však vyšlo 1. června 2018, tedy až týden po datu účinnosti GDPR, kdy už měly být všechny organizace připraveny. Nedostatečná podpora ze strany státní správy naznačila přinejmenším dvě věci. Zaprvé v otázce GDPR neměl ještě donedávna zcela jasno ani příslušný kontrolní orgán, tedy ÚOOÚ, a zadruhé se můžeme podle dostupných informací domnívat, že to nebude (alespoň ze začátku) s kontrolováním až tak horké.

Nedostatek pomoci od nadřízených orgánů územní samosprávy pocítili například na Plzeňsku. Naštěstí si však tamní krajský úřad dokázal poradit: „V počátcích příprav jsme pociťovali nedostatek metodické podpory a věci nepřispělo ani zdržení v procesu schvalování národní legislativy. Navíc od nás požadovaly pomoc nejenom naše příspěvkové organizace, ale i obce, zejména ty malé. Metodika pro veřejnou správu pak byla s předstihem před účinností Obecného nařízení zveřejněna a i díky vzájemné spolupráci s ostatními krajskými úřady jsme přípravu zvládli.“ Jasně se k nedostatku informací vyjádřila také tisková mluvčí České průmyslové zdravotní pojišťovny Elenka Mazurová: „Nebylo včas k dispozici dostatek fundovaných zdrojů, metodik a jednoznačných postupů, kterých by se všechny organizace mohly držet a které by jednoduchou formou pomohly GDPR implementovat stejným způsobem ve všech organizacích v České republice. Existovalo velké množství nabídek poradenských společností a ne všechny se nám jevily jako cenově adekvátní a dostatečně fundované.“

GDPR? Za kolik?

Rozdílnost jednotlivých nabídek poradenských společností jsme mohli vidět i v rozdílu přibližných vyčíslených nákladů organizací, které jsme oslovili. Nejlépe najdeme případné rozdíly na organizacích podobného typu a velikosti. Ke znázornění nám poslouží kraje. Z celkem čtrnácti krajů jsme v šesti případech dostali přibližné vyčíslení nákladů na implementaci GDPR. Přičemž rozdíly mezi jednotlivými náklady byly diametrálně odlišné. Tyto stěží zanedbatelné odchylky si však lze relativně jednoduše vysvětlit. Každý úřad své náklady totiž vyčísloval trochu odlišně. Například Zlínský kraj se téměř vyšplhal na částku dvou milionů korun za celkovou implementaci pravidel pro GDPR, nicméně pro porovnání může posloužit například Plzeňský kraj, který sice analýzu vykonanou externí firmou vyčíslil na pouhých 165 000 korun, ale vůbec nezapočítal čas a od toho odvíjející se finance na mzdy zaměstnanců kraje: „Přípravy si samozřejmě vyžádaly čas našich zaměstnanců, ale nepřistoupili jsme k navyšování pracovních míst. Finanční prostředky jsme vynaložili na specializované vzdělávání zaměstnanců přímo zapojených do dané problematiky a na pořízení rozdílové analýzy.“

K poněkud odlišným částkám se dostali zástupci hlavního města, čemuž se ale opět nemůžeme divit, protože spravovali hned několik městských částí: „Vysoutěžili jsme společnost, která vytvořila nejen analýzu, ale pomohla nám identifikovat i veškeré procesy, kdy úřad pracuje s osobními údaji. Tuto společnost se nám podařilo vysoutěžit za 4,5 milionu korun. Další veřejné zakázky byly pro pomoc městským částem a dalším městským organizacím. Celkem jsme za pomoc s GDPR zaplatili kolem osmi milionů korun.“ Vyčíslení celkových nákladů veřejných útvarů je sice působivé, ale ani zdaleka nedosahuje výše, které musely zaplatit organizace velikosti Googlu nebo Facebooku.

Pro představu jedna z největších českých bank, která se však svou velikostí ani zdaleka neblíží Googlu, ve spojitosti s GDPR utratila nemalou částku: „Samotná implementace podobných regulačních směrnic je pro nás z procesního hlediska standardem, jakkoli náklady spojené s regulací GDPR, které se v případě České spořitelny pohybují v řádech desítek miliónů korun, pro nás pochopitelně nebyly úplně zanedbatelné.“ O poznání lépe na tom pak byli profesně mladší konkurenti České spořitelny jako například Airbank: „Protože na trhu fungujeme teprve něco přes šest let, máme výhodu, že pracujeme s moderními technologiemi, díky kterým jsme mohli změny implementovat snadněji. Navíc klienty v našich systémech nevedeme pod rodnými čísly, jak to bývá někdy zvykem, ale při příchodu klienta do banky přidělujeme vlastní jedinečná klientská čísla, což nám také velmi ulehčilo práci.“

Na pokračování tohoto článku, v němž zjistíte například, zda se dalo GDPR vyřešit pouhým nákupem jednoho produktu, nebo co si o GDPR myslí námi oslovené subjekty, si budete muset ještě týden počkat. Druhý a zároveň i závěrečný díl najdete už 11. 7. 2018 zde, na zpravodajském serveru ProComputing.cz.