Mohlo by vás také zajímat
Co vaši personalisté tuší, ale bojí se vám to říct. Jak na bezpečnost lidských zdrojů?
Petr Moroz 8. ledna 2024V posledních třech letech prošel svět personalistiky, lidských zdrojů a náboru radikálními změnami. Tento posun přinesl nové výzvy v oblasti…
Jakub Holub (IBM Consulting): Ukrajina bude jednou digitální lídr Evropy
Libor Akrman 22. prosince 2023„Nejsem ani tolik manažer, nebo ajťák, ale spíše tlumočník mezi světem technologie, světem byznysu a státní správou,“ říká v exkluzivním rozhovoru…
Krizová lekce roku 1907 je aktuální ve světě financí i dnes
Jan Kucharčík 3. října 2023Historie nám dává možnost se poučit. Jedna taková lekce spojená s nestabilitou a problémy bankovních institucí nás zavádí na začátek…
- KOMENTÁŘ
Kolik vlastně může stát nesoulad s nařízením na ochranu osobních údajů GDPR?
Cílem nařízení EU, které zpřísňuje pravidla pro ochranu osobních údajů (GDPR), bylo dát lidem větší kontrolu nad jejich osobními daty a přehled o tom, kdo a jak je používá. Po skoro roce a půl fungování se nad možnými finančními dopady při jeho nedodržení zamýšlí v komentáři Jan Krob, šéf Accenture Security.
Po déle než roce praktikování obecného nařízení o ochraně osobních údajů už můžeme na některé otázky odpovědět přesněji než jen odhady.
Jednou z nich je otázka, kolik nás vlastně může stát nesoulad s GDPR? Před dvěma lety při přípravě a plánování našich GDPR projektů jsme si tuto otázku také pokládali.
Odpověď se opírala víceméně o správní pokuty: tedy „až do výše 20 milionů EUR, nebo jedná-li se o podnik, až do výše čtyř procent celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší“.
Čtyři oblasti problému
Dnes už vidíme, že odpověď je složitější a můžeme ji vnímat nejméně v následujících čtyřech oblastech:
Správní pokuta
Správní pokuta samozřejmě zůstala stěžejní. Dvě starší kauzy, kde se objemy osobních dat pohybovaly ve statisících postižených osob, ukazují, že pokuta se pohybuje v řádu jednotek korun na postiženého občana.
Je ovšem nutné poznamenat, že obě správní řízení ještě nebyla řízena dle GDPR, ale starším zákonem, a správní pokuty dle GDPR se zatím spíše rozjíždějí.
Uvidíme, kde se budou v ČR pohybovat. Případy z Evropy jako třeba u aerolinek British Airways a nedávno potvrzené Rakouské pošty (Austrian Post) zatím naznačují jejich nezanedbatelnou výši.
Cena za prošetření incidentu a nápravu nesouladu
Poněkud skrytými náklady jsou čas a peníze na vyšetřování incidentu, jeho nápravu, případně změny v bezpečnostních opatřeních přímo související s jeho řešením. U ceny za vyšetřování jdou náklady přímo na účet incidentu, u ostatních věcí spíše platí, že investice prováděné pod časových tlakem, ať už časové, nebo finanční, jsou méně efektivní. Jde zejména o spontánní nákupy technologií nebo vytváření „potěmkiád“ před návštěvou regulátora.
VÍCE K TÉMATU:
Přichází nařízení GDPR: hysterie a panika pro firmy, nebo užitečný nástroj?
Obsáhlý průvodce evropským nařízením: GDPR v digitálním světě – jak na to?
Náhrada újmy poškozeným
Tady se nám objevila nová situace s odškodněním 10 000 korun za únik hesla. Vzhledem k tomu, že kauzy, které jsme dosud uváděli, se pohybovaly v řádech milionů postižených, šplhá se výše těchto nákladů potenciálně až k miliardě korun. Navíc jejich výše bude významně ovlivněna budoucím zákonem o hromadných žalobách, který poškozeným ulehčí proces žaloby.
PR a komunikace
V neposlední řadě je potřeba zmínit cenu komunikace incidentu trhu s poškozeným.
Praxe ukázala, že je klíčové realizovat správnou komunikaci ve správný čas a že může výrazně ovlivnit rozsah dopadu na PR a také na výši správní pokuty. Taková komunikace ale představuje další nezanedbatelné náklady.
Rozhodující rozhodování
Takže kolik nás vlastně může stát nesoulad s GDPR? Kolik sázíme na misku vah při rozhodování o kompromisech při práci s osobními údaji klientů, zaměstnanců a dalších osob, jejichž soukromí máme ve svých systémech?
Snažil jsem se odpovědi naznačit a je na každém, jak bude pracovat s miskou vah při rozhodování.
