Více než milion firem a živnostníků v Česku zasáhne od května příštího roku zpřísněné nařízení o ochraně osobních údajů (GDPR), které platí i pro úřady, orgány veřejné správy a další instituce. „Podnikatelé se začínají na změny postupně připravovat. Evidujeme zvýšený zájem o tak zvané vstupní audity, které mají odhalit slabá místa v jejich systému. Z výsledků analýzy si pak vedení firem snadněji určí, do jakých priorit investovat a kdy,“ říká Jakub Kejval z poradenské společnosti Bureau Veritas, která zabývá problematikou GDPR.
Ještě několik měsíců před začátkem platnosti nové úpravy tak podnikatelé musí platit náklady související s touto změnou. „Výdaje na samotné vstupní audity se na trhu pohybují v rozmezí třiceti až devadesáti tisíc korun,“ vypočítává Jakub Kejval. Živnostníkům navíc příprava na GDPR bere ještě další cenou komoditu – čas. Vstupní audit přitom trvá jeden až tři dny. Začíná pohovorem IT specialisty a právníka s odpovědným pracovníkem v organizaci.
„Auditoři přezkoumáním dokumentů a záznamů zjistí, jakou má firma úroveň bezpečnosti informací – například ve smyslu řízení rizik, ochrany informačních systémů, sítě nebo serverů. Experty bude dále zajímat, jak firma nakládá s osobními údaji, zaměří se například na komunikaci s klientem, na smlouvy a podobně. Výsledkem vstupního auditu bude zpráva, která identifikuje nesoulad firmy s GDPR, určí míru rizika a navrhne opatření,“ shrnuje Jakub Kejval základní kroky.
Vstupní audit až za stovky tisíc
Firmy, které si nechají zhotovit vstupní audit, získají rovněž konkrétní představu o tom, kolik je bude stát uvedení do souladu s nařízením GDPR. „Obecně půjde o průměrnou investici v řádu tisíců korun pro živnostníky a v řádu desítek až stovek tisíc pro firmy a veřejnou správu. V souhrnu se pak náklady mohou vyšplhat až na šest miliard,“ vypočítává Jakub Kejval.
Kompletní „jízdní řád“ zavedení GDPR je přitom ještě složitější. „Samotná implementace GDPR probíhá dokonce na základě oficiálních doporučení ve třech fázích. První fáze je onou analýzou, právní i IT, tato fáze je zpravidla velmi podstatná i pro samotné společnosti, protože jsou to právě ony, které si v rámci této fáze ujasní, kde všude osobní data uchovávají – v elektronické i písemné podobě – a kdo k nim má přístup. U větších společností je to práce i na řadu měsíců,“ podotýká Zdeněk Tomíček, místopředseda představenstva Asociace malých a středních podniků a živnostníků ČR.
Ve druhé fázi probíhá samotná implementace GDPR, tedy právní přenastavení dokumentace a nastavení IT systémů. „Fáze třetí se pak zabývá školením konkrétních pracovníků společnosti, kteří budou mít nadále GDPR na starosti a připravení krizového plánu pro případy porušení,“ doplňuje Zdeněk Tomíček.
Podnikatelé si stěžují, že opatření je další administrativní a finanční zátěží, která je v záplavě dalších regulací a povinných výdajů postihne.
„Ano, ve většině případů se skutečně jedná o komplikovanou a mnohdy nákladnou proceduru. Nestačí pouze IT audit, podniky se musí zaměřit i na právní a procesní stránku práce s daty, musí posuzovat rizika případ od případu tak, jak se vyskytují v dané firmě. Samozřejmě je to spojeno s finanční i administrativní zátěží. Kdyby bylo nařízení lépe připraveno, mohlo se mnohým komplikacím předejít,“ říká Milena Jabůrková, viceprezidentka Svazu průmyslu a dopravy ČR.
Nicméně vyhnout se plnění nového opatření podniky nemohou. „Společnosti se musí připravit na tuto novou dobu, kdy se data stávají novými ‚přírodním zdroji‘. Organizace, které schraňují osobní údaje a nakládají s nimi, budou muset provést kompletní revizi způsobu práce s osobními daty a jejich zpracováváním a nakládáním na všech firemních úrovních a ve všech systémech,“ zdůrazňuje Milena Jabůrková.
Ochrana údajů musí být pro firmy prioritou
Firmy se podle ní musí se zaměřit i na datovou architekturu a zařadit do své agendy téma ochrany osobních údajů a informační bezpečnosti. „To by mělo patřit mezi prioritní témata chodu organizace,“ zmiňuje Milena Jabůrková.
Firmy přitom nečeká jen jednorázový výdaj na audit a provedení opatření. Čekají je i náklady v personální oblasti. „Některé podniky musí nově zavést pověřence pro ochranu osobních údajů. Musí být nezávislý a ve firemní hierarchii bezprostředně spadat pod vedení firmy. Pokud společnosti budou zavádět nový proces, službu nebo produkt, který by mohl ohrozit ochranu osobních údajů, musí provést zhodnocení dopadů na ně,“ podotýká Milena Jabůrková.
Stát se podle ní snaží podnikatelům situaci alespoň trochu ulehčit. „Ministerstvo vnitra připravilo novelu zákona o ochraně osobních údajů, kde se to v rámci omezených možností stanovených nařízením daří. Dále může minimalizovat negativní dopady tím, že pomůže firmám se na nařízení připravit, například pomocí masivní vzdělávací kampaně. To se zatím bohužel neděje. Povědomí firem je prozatím stále velmi nízké, dopady přitom budou na firmy všech velikostí a oborů podnikání, kde se pracuje s osobními údaji,“ konstatuje Milena Jabůrková.
Rizika z opominutí této změny jsou přitom podle ní mnohem větší, než u jiných novinek, se kterými se museli podnikatelé vyrovnat. „Srovnáme-li EET a GDPR co do šíře rozsahu, hloubky dopadu a výše pokut za neplnění, je proti tomu EET procházka růžovým sadem. Je tak s podivem, že při zavedení EET stát zorganizoval masivní osvětovou kampaň, avšak nyní před nabytím účinnosti GDPR žádná systematická osvětová a vzdělávací kampaň neběží a ani se neplánuje,“ porovnává Milena Jabůrková.
Více informací k elektronické evidenci tržeb si můžete přečíst ve Speciálu k EET na BusinesInfo.cz.
Firmy tak podle ní často nevědí, co si počít, kam se obrátit. „Informace kolují spíše živelně bez záruky za jejich správnost. Svaz na to zareagoval spuštěním GDPR Akademie. Ve spolupráci s Úřadem na ochranu osobních údajů a dalšími partnery jsme vypracovali ucelený systém školení, kterého se zúčastnily již stovky firem. Nicméně nemůže nahradit stát a suplovat povinnost státu seznámit podniky i širokou veřejnost s novými pravidly ochrany osobních údajů,“ zmiňuje Milena Jabůrková.
Vlastní zavádění změn do počítačových systémů v souvislosti s GDPR se ve firmách bude lišit podle toho, jaké programy používají. „Z hlediska IT je třeba firmy dělit na společnosti používající značně rozšířený software, jako SAP, Microsoft a tak dále, a společnosti mající software na míru,“ upozorňuje Zdeněk Tomíček.
Podle toho pak bude příprava na GDPR náročná a nákladná. „První mohou do jisté míry spoléhat na to, že aktualizace pro plnou součinnost s GDPR obdrží od těchto společností v termínu a většinou i zdarma, podobně se někteří z těchto poskytovatelů software již vyjádřili. Druzí pochopitelně budou muset za aktualizaci či lépe řečeno úpravu svého software na míru zaplatit,“ konstatuje Zdeněk Tomíček.
Nejen počítače, ale i papír
Přestože je GDPR vnímáno především v souvislosti s počítači, internetem a ochranou dat před hackery či neoprávněným zasíláním nevyžádaných nabídek formou SPAMu, netýká se jen digitální oblasti.
„GDPR dopadá stejně tak i na podnikatele, kteří případně mají veškerá osobní data uchovávána ‚offline‘ – tedy v papírové podobě,“ zmiňuje Zdeněk Tomíček.
V souvislosti s přísnější ochranou osobních údajů rovněž pro firmy a podnikatele přibydou rizika spojená se správou a zpracováním dat třetích stran. Odborníci proto doporučují, aby se podniky proti možným negativním dopadům pojišťovaly. Pro firmy to ale znamená další náklady navíc.
„Pojištění dokáže pokrýt především samotné regulatorní sankce, stejně jako pestrou škálu dalších nákladů spojených s únikem dat, jejich neoprávněným nakládáním a následným zásahem dozorového orgánu. Jedním z největších přínosů pojistné ochrany je i krytí škod, ve kterých hraje zásadní roli lidský faktor, například vynesení dat úmyslně jednajícím zaměstnancem pojištěného,“ uzavírá Josef Majer z mezinárodní poradenské společnosti Marsh.
Za porušení závazné normy o ochraně osobních údajů mohou být udělovány pokuty až ve výši 20 milionů eur či 4 procent obratu za uplynulý finanční rok.
Dalibor Dostál