Po déle než roce praktikování obecného nařízení o ochraně osobních údajů už můžeme na některé otázky odpovědět přesněji než jen odhady.
Jednou z nich je otázka, kolik nás vlastně může stát nesoulad s GDPR? Před dvěma lety při přípravě a plánování našich GDPR projektů jsme si tuto otázku také pokládali.
Odpověď se opírala víceméně o správní pokuty: tedy „až do výše 20 milionů EUR, nebo jedná-li se o podnik, až do výše čtyř procent celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší“.
Čtyři oblasti problému
Dnes už vidíme, že odpověď je složitější a můžeme ji vnímat nejméně v následujících čtyřech oblastech:
Správní pokuta
Správní pokuta samozřejmě zůstala stěžejní. Dvě starší kauzy, kde se objemy osobních dat pohybovaly ve statisících postižených osob, ukazují, že pokuta se pohybuje v řádu jednotek korun na postiženého občana.
Je ovšem nutné poznamenat, že obě správní řízení ještě nebyla řízena dle GDPR, ale starším zákonem, a správní pokuty dle GDPR se zatím spíše rozjíždějí.
Uvidíme, kde se budou v ČR pohybovat. Případy z Evropy jako třeba u aerolinek British Airways a nedávno potvrzené Rakouské pošty (Austrian Post) zatím naznačují jejich nezanedbatelnou výši.
Cena za prošetření incidentu a nápravu nesouladu
Poněkud skrytými náklady jsou čas a peníze na vyšetřování incidentu, jeho nápravu, případně změny v bezpečnostních opatřeních přímo související s jeho řešením. U ceny za vyšetřování jdou náklady přímo na účet incidentu, u ostatních věcí spíše platí, že investice prováděné pod časových tlakem, ať už časové, nebo finanční, jsou méně efektivní. Jde zejména o spontánní nákupy technologií nebo vytváření „potěmkiád“ před návštěvou regulátora.
VÍCE K TÉMATU:
Přichází nařízení GDPR: hysterie a panika pro firmy, nebo užitečný nástroj?
Obsáhlý průvodce evropským nařízením: GDPR v digitálním světě – jak na to?
Náhrada újmy poškozeným
Tady se nám objevila nová situace s odškodněním 10 000 korun za únik hesla. Vzhledem k tomu, že kauzy, které jsme dosud uváděli, se pohybovaly v řádech milionů postižených, šplhá se výše těchto nákladů potenciálně až k miliardě korun. Navíc jejich výše bude významně ovlivněna budoucím zákonem o hromadných žalobách, který poškozeným ulehčí proces žaloby.
PR a komunikace
V neposlední řadě je potřeba zmínit cenu komunikace incidentu trhu s poškozeným.
Praxe ukázala, že je klíčové realizovat správnou komunikaci ve správný čas a že může výrazně ovlivnit rozsah dopadu na PR a také na výši správní pokuty. Taková komunikace ale představuje další nezanedbatelné náklady.
Rozhodující rozhodování
Takže kolik nás vlastně může stát nesoulad s GDPR? Kolik sázíme na misku vah při rozhodování o kompromisech při práci s osobními údaji klientů, zaměstnanců a dalších osob, jejichž soukromí máme ve svých systémech?
Snažil jsem se odpovědi naznačit a je na každém, jak bude pracovat s miskou vah při rozhodování.