fenomén
GDPR v praxi Jakub Špaček
Konec letošního května se nesl ve znamení GDPR, tedy nařízení o ochraně osobních údajů. Redakce Reseller Magazinu se proto rozhodla, že se na tuto problematiku podívá trochu odlišným způsobem. Na následujících řádcích se nebudeme zaobírat tím, jak správně implementovat jednotlivá opatření, aby vaší organizaci zajistila soulad s GDPR. Zaměříme se na to, jak se s touto otázkou vypořádaly orgány státní správy a velké organizace. Pokud nakládáte s osobními údaji, musely přípravy na GDPR zasáhnout i vás. Pak musíte uznat, že implementace nejrůznějších opatření ani zdaleka nepřipomínala procházku růžovou zahradou. Jestli tomu tak bylo i u organizací, které disponují snad největším počtem soukromých údajů, které jsme kdy komu svěřili, jsme se rozhodli ověřit prostřednictvím několika krátkých otázek, jež jsme kladli firmám ze sektorů bankovnictví, e-shopů, zdravotnictví, ale i subjektům veřejné správy.
Nikdo nevěděl, jak na to
Implementace GDPR dala velkému množství firem zabrat. I přes náročnost a komplikace spojené se zaváděním těchto opatření ani jeden z námi oslovených subjektů nijak zvlášť nehanil GDPR jako takové. Maximálně si stěžovali na nedostatečnou připravenost příslušných orgánů při výkladu českého překladu nařízení. Dalším bodem, na nějž si některé organizace stěžovaly, pak byla absence podpory státních orgánů. Moravskoslezský kraj například v tomto ohledu otevřeně vyjádřil svou nespokojenost: „Po určitou dobu (cca do poloviny loňského roku) jsme věřili, že budou na úrovni státu učiněny nezbytné kroky pro jednotnou implementaci GDPR ve veřejné sféře. Pak jsme však usoudili, že se musíme spolehnout sami na sebe a, jak se ukázalo, bylo to správné rozhodnutí – aktivizace ústředních orgánů proběhla mnohem později než za 5 minut 12. Koneckonců stále nebyl schválen nový zákon o ochraně osobních údajů, který by např. pro veřejnou správu mohl modifikovat některé povinnosti či výši případných sankcí.“ Nedostatečná opora místních orgánů značně zkomplikovala život nejedné organizaci. GDPR, které se v posledních měsících řeší doslova na poslední chvíli, přitom bylo ve své finální podobě známo už od 24. května 2016, kdy po schválení Evropským parlamentem vstoupilo v platnost. I tak trvalo české legislativě přinejmenším rok a půl, než
16
Reseller Magazine
vydala metodiku posouzení vlivu zpracování dle čl. 35 nařízení. Ta podle informací od České průmyslové zdravotní pojišťovny vyšla až v únoru letošního roku, a to pouze jako návrh. Následovalo vydání její značné modifikace, které však vyšlo 1. června 2018, tedy až týden po datu účinnosti GDPR, kdy už měly být všechny organizace připraveny. Nedostatečná podpora ze strany státní správy naznačila přinejmenším dvě věci. Zaprvé v otázce GDPR neměl ještě donedávna zcela jasno ani příslušný kontrolní orgán, tedy ÚOOÚ, a zadruhé se můžeme podle dostupných informací domnívat, že to nebude (alespoň ze začátku) s kontrolováním až tak horké. Nedostatek pomoci od nadřízených orgánů územní samosprávy pocítili například na Plzeňsku. Naštěstí si však tamní krajský úřad dokázal poradit: „V počátcích příprav jsme pociťovali nedostatek metodické podpory a věci nepřispělo ani zdržení v procesu schvalování národní legislativy. Navíc od nás požadovaly pomoc nejenom naše příspěvkové organizace, ale i obce, zejména ty malé. Metodika pro veřejnou správu pak byla s předstihem před
účinností Obecného nařízení zveřejněna a i díky vzájemné spolupráci s ostatními krajskými úřady jsme přípravu zvládli.“ Jasně se k nedostatku informací vyjádřila také tisková mluvčí České průmyslové zdravotní pojišťovny Elenka Mazurová: „Nebylo včas k dispozici dostatek fundovaných zdrojů, metodik a jednoznačných postupů, kterých by se všechny organizace mohly držet a které by jednoduchou formou pomohly GDPR implementovat stejným způsobem ve všech organizacích v České republice. Existovalo velké množství nabídek poradenských společností a ne všechny se nám jevily jako cenově adekvátní a dostatečně fundované.“
GDPR? Za kolik?
Rozdílnost jednotlivých nabídek poradenských společností jsme mohli vidět i v rozdílu přibližných vyčíslených nákladů organizací, které jsme oslovili. Nejlépe najdeme případné rozdíly na organizacích podobného typu a velikosti. Ke znázornění nám poslouží kraje. Z celkem čtrnácti krajů jsme v šesti případech dostali červenec/srpen 2018 | www.rmol.cz
