GDPR je zásadní změnou v ochraně osobních údajů občanů EU a výrazně ovlivní chod všech firem i státních či neziskových organizací, které evidují své zaměstnance, členy, zákazníky nebo příznivce. Nové nařízení si vyžádá nemalé finanční náklady na zavedení potřebných opatření i náklady na průběžné dodržování nově stanovených pravidel. Podle BDO systémová změna v EU přinese i negativa.

"I když je úmysl evropských orgánů dobrý, evropským firmám vzniknou nové náklady, které rozhodně nejsou zanedbatelné, a ve výsledku mohou dlouhodobě navyšovat ceny výrobků a služeb. Dá se předpokládat, že nařízení z hlediska světového obchodu ztíží postavení evropských firem, zejména vůči již dnes velmi levné produkci z Asie, které je velmi těžké konkurovat," uvedl Stanislav Klika z BDO.

Statisícové náklady

I malá firma může podle něj zaplatit za zavedení nutných opatření i statisíce korun. Hodně záleží na tom, do jaké míry jsou kvalitní její dosavadní procesní a softwarová opatření. "Využívá-li firma či jiná organizace kompatibilní software a má zavedené fungující procesy v oblasti ochrany osobních údajů, budou náklady bezvýznamné a půjde spíše jen o formality. Naopak zcela nepřipravená malá firma, která zanedbá přípravu a s prvními kroky začne teprve na jaře příštího roku, může zaplatit i statisíce korun navíc. Rozdíly mohou být opravdu propastné," upozornil Klika.

Do data účinnosti GDPR zbývá necelý rok a většina českých společností ještě tento problém vůbec nezačala řešit. Zavedení systémových změn, zejména v IT, si může v případě velkých společností vyžádat i rok příprav. Jejich odložení na později se nemusí vyplatit. Pokuty za nedodržování nového nařízení mohou dosáhnout až 20 miliónů eur, nebo čtyři procenta obratu firmy za uplynulý rok. Každá větší firma by si měla určit jednoho pracovníka, který bude na ochranu osobních dat dohlížet, dodal Klika.

GDPR není směrnicí, ale nařízením, které je automaticky použitelné bez nutnosti schvalování členskými státy EU. Státy ale mohou některá pravidla GDPR upřesnit formou národních zákonů.

Jasné pokyny chybí

Podle Jiřího Matznera z advokátní kanceláře Matzner et al hrozí, že výklad bude viset ve vzduchoprázdnu ještě před jeho vstupem v účinnost a interpretovat ji budou především soukromí konzultanti, IT společnosti a právníci, pro které tak vytvořila velký lukrativní trh. Státní záruka v podobě jasných pokynů, jak mají být data zabezpečena v národním legislativním rámci, totiž chybí. Je podle něho sice jasné, který z úřadů bude na její dodržování dohlížet a sankcionovat ty, kteří ji porušují, ale zájem by měl být na tom, aby k takovému postupu nemuselo dojít.

"Na celé situaci jsou tak paradoxně nejvíce bité ty firmy, které chtějí mít věci v pořádku v předstihu. Část jejich investic totiž může padnout vniveč," podotkl Matzner.