Ve velkých firmách, kterým s evropským nařízením o ochraně osobních údajů ("GDPR") pomáháme nejvíce, probíhají přípravné práce. S ohledem na to, jak jsou vnitřně složité a jak náročná je implementace GDPR úkonů, ale nestihnou do května všechno. Jednoduše to není možné. Strach ale není na místě. Všechno sice nebude v naprostém souladu s požadavky GDPR, zároveň si ale nemyslím, že by to automaticky znamenalo hrozbu sankcí, jak se někdy uvádí v médiích. Nejlepší variantou je v tuto chvíli vyřešit nejpalčivější problémy, které mohou danou organizaci ohrozit, a po květnu postupně řešit další otázky.

Vše nestihnete, soustřeďte se na to klíčové...

Nejprve je třeba se podívat alespoň na "základní" otázky. Například plnění informační povinnosti, tedy informovat, proč osobní údaje potřebuji a co s nimi budu dělat. Dále nepoužívání souhlasů, které jsou nadbytečné. To je mimochodem většina v současnosti sbíraných souhlasů. Dotkne se to úpravy papírových i elektronických formulářů, obchodních podmínek a podobně. Další povinností je připravit se umět reagovat na práva, která může kdokoliv uplatnit - například jaké osobní údaje o mně máte a proč, vymažte je prosím apod. Některé organizace budou muset jmenovat pověřence na ochranu osobních údajů.

Pokud bych měl vybrat jeden velmi komplikovaný problém související s GDPR, pak by to byl výmaz dat. Pokud se nestihne vyřešit do května, tak to může způsobovat kolizi v představách lidí, kteří se budou domáhat práva, a organizace to nebudou schopny z technických důvodů realizovat. Bohužel to je věc ve velkých firmách běžná. Většina z nich nebude schopna ten výmaz udělat. Některé firmy to může trápit klidně ještě dva roky.

Tři etapy přípravy

Našim klientům v souvislosti s GDPR navrhujeme postup, který je rozdělen do tří etap. V první fázi je potřeba analyzovat, co všechno bude třeba řešit. Ve druhé pak je třeba vytvořit návrh, jak GDPR řešit, a třetí fáze je už samotná implementace řešení. Právě třetí fáze je určitě nejtěžší. Mezi obvyklé komponenty řešení patří GDPR šest základních oblastí, kterými jsou zpracování osobních údajů, řízení ochrany osobních údajů, skupinový marketing a obchod, výkon práv subjektů údajů, zpracovatelé osobních údajů a IT řešení pro podporu GDPR. U každé společnosti je pak náročnost implementace různá, záleží to na její vnitřní složitosti a souladu se stávajícími předpisy na ochranu osobních údajů.

... a partner advokátní kanceláře Rowan Legal Michal Nulíček.

... a partner advokátní kanceláře Rowan Legal Michal Nulíček.
Foto: Lukáš Bíba

Náklady na implementace

Největší projekty, se kterými se setkáváme, konzumují zhruba sto milionů korun. Setkal jsem se přitom i s tím, že někteří lidé v managementu firem požadovali, aby to nestálo nic. To je nereálné. Vidíme ale velký zájem o optimalizační kroky, které ušetří nejen peníze, ale i čas celé organizaci. U optimalizace platí, že je hodně závislá na konkrétní situaci v konkrétní firmě. Mohu ale říci, že dokážeme dosáhnout až několikanásobných úspor. Pokud jsou například celkové náklady na začátku vyčísleny na sto milionů, tak se umíme dostat i na třetinu.

Jde to ve třech různých oblastech. První z nich je prioritizace jednotlivých problémů, které je potřeba vyřešit. Tím sice přímo nesnížíme celkové náklady, ale můžeme je rozložit tak, aby zásah do financí firmy nepřišel jednorázově.

Konkrétní úspory pak přináší tzv. synergické řešení více problémů GDPR. Stejné problémy související s GDPR se objevují ve firmách na několika místech, tudíž se vyplatí podobné nebo stejné problémy řešit jedním postupem. V této oblasti jsme identifikovali úspory třeba až polovičního rozsahu.

Třetí, naprosto zásadní oblastí, kde se dá ušetřit, je dopad na IT systémy, jejich zabezpečení a podobně. V této oblasti často kvůli nepřesnému pochopení toho, co GDPR chce, vznikají nadměrné požadavky na úpravy nebo nakupování nových IT systémů a technologií. V důsledku to způsobuje obrovské náklady. Proto doporučujeme maximálně využít systémy, které organizace už dnes mají.

Pro některé firmy bude omezení klíčové

A jaké jsou dopady GDPR na samotnou obchodní činnost společností? Řada tradičních firem získává klienty tak, že si koupí databázi lidí, kteří ještě nejsou jejich klienty. Pokusí se je oslovit a prodat jim svoje produkty. Tady bude omezení klíčové, a sice v tom, že ve většině případů nebudou mít legální možnost si takovou databázi koupit. Pokud to poruší, bude jim hrozit sankce. Takže budou muset hledat jiné cesty, jak získat klienty, a pokud je nenajdou, může to mít dopad na jejich prodeje.

... Jan Hruška z O2...

... Jan Hruška z O2...
Foto: Lukáš Bíba

Další, podobně zásadní problém je tzv. cross-sell. Jde o situace, kdy máte klienta a nabízíte mu nějaký další produkt. Rozlišuje se, zda se jedná o související, nebo nesouvisející produkt či službu. Pokud prodáváte plyn a nabídnete elektřinu, tak by to mělo být v pořádku, ale například když prodejce plynu bude nabízet i pojištění, tak to už může být problém a bude potřeba mít od klienta souhlas, že mu můžete nabídku dát. Přitom jsme se zatím nesetkali se situací, že by bylo možné využít souhlasů nasbíraných v historii, ty jsou obvykle neplatné podle GDPR. Ve výsledku to znamená, že místo oslovení sta procent klientů s nabídkou, jich oslovíte třeba jen 20 procent. To jsou dva případy vlivu GDPR na obchodní činnost firmy.

Martin Hladík, director, KPMG Česká republika

 

Článek byl publikovám v měsíčníku Právní rádce.