GDPR vstoupí v EU v platnost 25. května 2018.

Evropská směrnice na ochranu osobních údajů (GDPR) začne v Česku platit již 25. května bez ohledu na to, zda příslušný prováděcí zákon k této směrnici zvládne schválit tuzemský parlament. Vedle soukromých firem se na implementaci GDPR připravují i státní instituce a firmy ovládané státem.

Zákon o zpracování osobních údajů, který implementuje evropské nařízení GDPR, schválila Babišova vláda ve středu 21. března. Podle všech dostupných vyjádření se tento zákon nepodaří v Poslanecké sněmovně schválit před začátkem platnosti příslušné evropské směrnice.

Toto evropské nařízení reguluje zpracování osobních údajů a zavádí drastické pokuty za porušení. Směrnice nazvaná Obecné nařízení o ochraně osobních údajů (GDPR) si klade za cíl hájit práva občanů EU proti zneužívání jejich dat. Směrnice se dotkne úplně každé firmy, úřadu či instituce, která se pohybuje ve virtuálním prostoru a pracuje s osobními údaji.

Směrnice začne platit již 25. května bez ohledu na to, zda k tomu Česko schválí příslušnou prováděcí legislativu.

Na zavádění GDPR do praxe se proto připravují nejenom soukromé firmy, ale i státní instituce a firmy ovládané státem. Jejich náklady na implementaci a rozsah příprav jsou přitom značně rozdílné.

Ministerstvo financí

Ministerstvo financí ČR doposud investovalo do školení a analýz dopadu GDPR „značný objem vnitřních zdrojů“.

Za externí služby v této oblasti byly doposud hrazeny náklady nepřesahující 2 miliony Kč, informoval Filip Běhal z oddělení Vnějších vztahů a komunikace MF.

„Co se týče budoucích opatření, jejich konkrétní podoba je v současnosti předmětem intenzivních interních diskusí. Z toho důvodu nelze konkrétní způsoby řešení a související náklady v tuto chvíli předjímat,“ uvedl Běhal.

Finanční ředitelství

Odhadované náklady a další náležitosti přechodu na nový systém ochrany osobních údajů (General Data Protection Regulation – GDPR) komentovalo i Generální finanční ředitelství ČR (GFŘ).

Jak uvedl Lukáš Heřtus z odboru komunikace, GFŘ „řeší otázku souladu s požadavky GDPR vlastními personálními kapacitami, kdy je prováděna analýza postupů při zpracování a evidenci osobních údajů a datová analýza zpracování a evidence osobních údajů v informačních systémech“.

„Souběžně probíhá zpracování metodických postupů pro činnost pracovníků Finanční správy v souvislosti s požadavky GDPR. Na nákup externích služeb nebyly v souvislosti s GDPR vynaloženy žádné finanční prostředky,“ upřesnil Heřtus.

GFŘ také předpokládá „navýšení systemizace o dva pracovníky zajišťujícími oblast agendy GDPR, a realizaci detailní analýzy postupů a datových toků společně s projektovou přípravou Nového daňového infomačního systému“.

MŽP

Velmi stručná byla reakce ministerstva životního prostředí ČR.

„Vzhledem k tomu, že aplikace opatření s ohledem na GDPR je v realizaci, MŽP se na GDPR připravuje s využitím vlastních zdrojů, například personálních.“

„Nelze v tuto chvíli sdělit ani odhadnout kolik bylo a kolik bude na realizaci opatření vynaloženo finančních prostředků,“ uvedla Petra Roubíčková, tisková mluvčí a vedoucí tiskového a PR oddělení na MŽP.

Ministerstvo zemědělství

Ministerstvo zemědělství shrnulo, že na analýzy, školení, zpracování formuláře a plán implementace GDPR zatím vynaložilo celkem 111 tisíc Kč.

„V tuto chvíli není vyčíslena konkrétní částka, kterou ministerstvo v letošním roce vynaloží na pořízení bezpečnostních opatření,“ uvedlo tiskové oddělení MZ.

„Počítáme s tím, že odpovědné posouzení nákladů a následné pořízení konkrétních opatření bude dlouhodobý proces, který budou do velké míry ovlivňovat postupy pro zadávání veřejných zakázek,“ upřesnilo.

S tím, že další náklady na implementaci/analýzy a opatření budou kombinací nutných úprav informačních systémů, školení (pověřenec a zaměstnanci úřadu) a vytvoření formálních interních dokumentů a metodik.

„Je třeba poznamenat, že problematika GDPR je primárně o práci interních kapacit celého úřadu a to primárně právních, informatických a kapacit pověřence pro GDPR,“ podotklo ministerstvo zemědělství ČR.

Ústavní soud

Ústavní soud ČR doposud investoval do přípravy implementace obecného nařízení o ochraně osobních údajů finanční prostředky odpovídající nákladům na školení zaměstnance, který bude vykonávat funkci pověřence a dozorového orgánu nad ochranou osobních údajů při výkonu soudní moci.

V součtu se jedná o částku zhruba 17 300 Kč, informoval generální sekretář Ústavního soudu Ivo Pospíšil.
Ústavní soud dále plánuje provedení určitých dílčích úprav v informačních systémech. Cena těchto úprav bude dle kvalifikovaného odhadu odboru ICT činit 1,4 mil. Kč.

„Dále Ústavní soud ponese do konce roku platové náklady na zaměstnance, který bude vykonávat již zmíněnou funkci pověřence a dozorového orgánu,“ upřesnil Pospíšil.

MŠMT

Ministerstvo školství, mládeže a tělovýchovy utratilo přímo na GDPR celkem do této doby zhruba 70 tisíc korun. Prostředky byly vynaloženy na školení, nákup technických prostředků a podobné věci.

„V rámci problematiky ICT je GDPR řešeno v rámci kybernetické bezpečnosti,“ uvedlo oddělení vnějších vztahů a komunikace MŠMT.

S tím, že v dohledné době přepokládá přípravu dalšího školení s nálady zhruba 50 tisíc Kč.

„Také se připravují další kroky, které vyplynuly z analýzy rizik, ale které zatím nejsou finančně vyčísleny,“ upřesnil úřad.

Ministerstvo dopravy

Ministerstvo dopravy informovalo, že na úvodní studii k implementaci GDPR vynaložilo zhruba 50 tisíc korun.

Následovala smlouva nad dohledem implementace GDPR a eIDAS na MD v hodnotě cca 1, 848 mil. Kč. Jedná se o smlouvu do 30.5.2018, která ještě není dočerpána, upřesnil Zdeněk Neusar z tiskového oddělení ministerstva dopravy.

U státního podniku CENDIS (Centrum dopravních informačních systémů MD ČR) pořídilo ministerstvo v roce 2017 služby za dalších 236 454 Kč. Souhrnem tak v roce 2017 investovalo v souvislosti s GDPR 2,134 mil. Kč bez DPH.

V současné době má ministerstvo objednáno v rámci CENDIS pro rok 2018 služby v souhrnné výši asi 2,1 mil. Kč bez DPH.
„Přičemž je ovšem nutné uvést, že jde o rámce, tedy přidělený rozpočet a skutečné čerpání může být tedy nižší.

Další náklady v řádů statisíců korun si vyžádají náklady v rámci ministerstva dopravy,“ informoval Neusar.

ČEZ

Z oslovených, státem ovládaných soukromých firem se jako jediný k tématu nákladů na GDPR vyjádřil ČEZ.

„S ohledem na velikost ČEZ a šíři aktivit v celé Skupině byl v březnu loňského roku po přípravné fázi spuštěn samostatný projekt s interním projektovým týmem tak, abychom vše do května letošního roku stihli,“ konstatoval hlavní tiskový mluvčí ČEZ Ladislav Kříž.

„Náklady se pohybují v řádu desítek milionů. Projekt GDPR ale má navíc významné synergické efekty i v oblasti informační a kybernetické bezpečnosti,“ upřesnil.