Kolik nás vlastně může stát nesoulad s GDPR?

Po déle než roce praktikování obecného nařízení k ochraně osobních údajů už můžeme na některé otázky odpovědět přesněji než jen odhady. Jednou z nich je také otázka „Kolik nás vlastně může stát nesoulad s GDPR?“.

Před dvěma lety při přípravě a plánování našich GDPR projektů jsme si tuto otázku také pokládali a odpověď se opírala víceméně o správní pokuty: tedy „až do výše 20 milionů EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší“. Dnes už vidíme, že odpověď je složitější a můžeme ji vnímat nejméně v následujících 4 oblastech:

Správní pokuta

Správní pokuta samozřejmě zůstala stěžejní. Dvě starší kauzy, kde se objemy osobních dat pohybovaly ve statisících postižených osob, ukazují, že pokuta se pohybuje v řádu jednotek korun na postiženého občana. Je ale nutné poznamenat, že obě správní řízení ještě nebyla řízena dle GDPR, ale starším zákonem, a správní pokuty dle GDPR se zatím spíše rozjíždějí. Uvidíme, kde se budou v ČR pohybovat. Případy z Evropy, British Airways a Rakouské pošty ale zatím naznačují jejich nezanedbatelnou výši.

Cena za prošetření incidentu a nápravy nesouladu

Poněkud skrytými náklady jsou čas a peníze za vyšetřování incidentu, jeho nápravu, případně změny v bezpečnostních opatřeních přímo související s jeho řešením. U ceny za vyšetřování jdou náklady přímo na účet incidentu, u ostatních věcí spíše platí, že investice prováděné pod časových tlakem, ať už časové nebo finanční, jsou méně efektivní. Jde zejména o spontánní nákupy technologií nebo vytváření „potěmkiád“ před návštěvou regulátora.

Náhrada újmy poškozeným

Tady se nám objevila nová situace s odškodnění 10 000 korun za únik hesla. Vzhledem k tomu, že kauzy, které jsme dosud uváděli, se pohybovaly v řádech milionů postižených, šplhá se výše těchto nákladů potenciálně až k miliardě korun. Navíc jejich výše bude významně ovlivněna budoucím zákonem o hromadných žalobách, který poškozeným ulehčí proces žaloby.

PR a komunikace

V neposlední řadě je potřeba zmínit cenu komunikace incidentu trhu a poškozeným. Praxe ukázala, že je klíčové realizovat správnou komunikaci ve správný čas, a že může výrazně ovlivnit rozsah dopadu na PR a také na výši správní pokuty. Taková komunikace ale představuje další nezanedbatelné náklady.

Takže kolik nás vlastně může stát nesoulad s GDPR? Kolik sázíme na misku vah při rozhodování o kompromisech při práci s osobními údaji klientů, zaměstnanců a dalších osob, jejichž soukromí máme ve svých systémech? Snažil jsem se odpovědi naznačit a je na každém, jak bude pracovat s miskou vah při rozhodování.

JAN KROB, Accenture Security Lead

Komentáře