Články odjinud

Kolik GDPR stálo firmy? Ty středně velké i stovky tisíc korun, říkají právníci

Kolik GDPR stálo firmy? Ty středně velké i stovky tisíc korun, říkají právníci

Minulý týden se začalo postupovat podle obecného nařízení o ochraně osobních údajů. Nová regulace stála středně velké firmy i stovky tisíc korun, shodují se právníci, které INFO.CZ oslovilo. Zobecňovat výši nákladů ale úplně nejde, řada firem patrně využila interní řešení, jejich náklady tak mohly být daleko nižší. Naopak v jiných případech šlo až o miliony korun.

INFO.CZ se zeptalo několika expertů na oblast ochrany osobních údajů a zároveň významných advokátů na to, na kolik vyšel přechod na pravidla spojená s GDPR českou středně velkou firmu. Níže tak nabízíme k přečtení odpovědi na otázku: Kolik řádově přechod na GDPR stál českou středně velkou firmu podle vašich poznatků z praxe?

Ivo Janda, partner, White & Case:

Nerozhoduje ani tak velikost firmy, jako spíš to, čím se firma zabývá a v jakém rozsahu osobní údaje zpracovává. U firmy, která zpracovává toliko zaměstnaneckou a smluvní agendu, se může jednat o náklady v řádech několika málo desítek tisíc korun; u společnosti, která musí jmenovat pověřence pro osobní údaje (tzv. DPO), přijmout potřebné směrnice a technické úpravy ve svých systémech, jdou částky do statisíců až milionů korun.

Ján Kuklinca, advokát, Deloitte Legal:

Výše nákladů na implementaci GDPR zejména závisí na vyspělosti ochrany osobních údajů v dané společnosti, na její velikosti, jakož i povaze a rozsahu zpracovávání osobních údajů. Od těchto faktorů se odvíjí také potřeba externí asistence s implementací, jejíž nabídku na současném trhu může představovat klasické právní poradenství, ale také inovativní způsoby analýzy prostřednictvím automatizovaných nástrojů na provedení počáteční analýzy. Náklady pro středně velké společnosti se tak můžou pohybovat od řádů několik stovek tisíc korun.

Zdeněk Kučera, advokát, Kinstellar:

Pokud si jako příklad vezmeme společnost s 50 zaměstnanci prodávající zboží na internetu, která zpracovává zejména osobní údaje zákazníků, tak cokoliv mezi interními náklady a půl milionem korun. Bohužel jsme svědky různých standardizovaných balíčků a dalších služeb, které sice stojí deseti až statisíce korun, ale společnostem nic nepřinášejí.

Co je GDPR?

Michal Nulíček, partner, Rowan Legal:

To je strašně závislé na celé řadě okolností – zejména do jaké míry taková společnost doposud dodržovala platný zákon, jaký je předmět její činnosti a jak rozsáhlé zpracování provádí. Závisí to samozřejmě i na tom, zda taková společnost zvládla GDPR implementovat vlastními silami, nebo s využitím externích sil.

Středně velkou výrobně-obchodní společnost, která doposud dodržovala platnou legislativu (a tomu odpovídaly její IT systémy), by přechod na GDPR nemusel na externích nákladech stát více jak desetitisíce korun, přičemž pokud má zaměstnance se zaujetím pro věc, nemusí utratit navíc ani korunu. Naopak třeba středně velký poskytovatel cloudových služeb nebo fintechová či datově-analytická společnost, které současnou legislativou nedodržovaly a jejichž IT systémy na GDPR nejsou připravené, mohou za implementaci GDPR utratit i statisíce korun.

Lenka Suchánková, partnerka, Pierstone:

Dle našich zkušeností se tyto náklady u středně velkých firem pohybují v řádech několika stovek tisíc. Další náklady vznikají, pokud přechod na GDPR znamená pro některé firmy rozsáhlejší zásah do IT systémů či povinnost zřídit funkci pověřence. 

Miroslav Uřičař, partner, Legalité:

Na tuto otázku neumím odpovědět – vynaložené prostředky se mohou velmi lišit podle odvětví, v němž společnost působí, a také, a to zejména, podle toho, nakolik konkrétní společnost splňovala již požadavky stávající právní úpravy, zákona o ochraně osobních údajů. Stavební společnost zaměstnávající několik desítek lidí z různých stavebních profesí může mít výrazně nižší náklady na splnění povinností dle GDPR než společnost s pěti zaměstnanci, která se ovšem zabývá např. průzkumy preferencí uživatelů sociálních sítí, směnárenskou činností či působí v jiném, silně regulovaném odvětví a musí plnit třeba požadavky boje proti praní špinavých peněz a za tím účelem zjišťovat o svých zákaznících řadu osobních údajů - zda jsou „politicky exponovanou osobou“, jaký je původ jejich finančních prostředků apod.