Aká je správna výška nákladov na GDPR

Kladiete si aj vy otázku, aká je správna výška nákladov na GDPR? Pozývam vás hľadať odpoveď do sveta filozofie práva. 

Filozofia práva je teória princípov práva a právnej vedy. Pýta sa napríklad, aký je vzťah morálky a práva, či je nutné dodržiavať zákon, ak je nespravodlivý, čo je to vlastne právo a kto ho tvorí a napokon čo s takým právom, ktoré nie je dostupné pre zraniteľné skupiny obyvateľov? 

Osobne ma najviac zaujala ekonomická analýza práva, ktorá sa – veľmi zjednodušene povedané – zaoberá myšlienkou, či sa oplatí dodržiavať zákony a kedy sa môže oplatiť nedodržiavať zákony či zmluvy, prečo ľudia (ne)dodržujú zákony a aká sankcia by bola kedy efektívna. 

A to je presne problém, ktorý s klientami riešime dnes a denne. Prečo majú investovať do GDPR? Prečo majú investovať do technických opatrení? Prečo majú meniť zabehnuté procesy a zosúladiť ich s GDPR?

Odpoveď, že im to prikazuje zákon, vyvolá akurát tak odpor a kŕč. O rizikách pokút hovorím len ak naozaj musím. Som presvedčená, že existuje dôvod, ako implementovať GDPR do organizácie bez odporu. Tým dôvodom je etika pretavená do firemnej kultúry a firemných hodnôt. 

Červená a zelená 

Pri školeniach rada používam zrozumiteľné metafory. Dodržiavanie dopravných predpisov je dobrou paralelou ku firemným procesom, dokonca aj ku efektívnej komunikácii. Zjednodušene – ak všetci dodržiavame rovnaké pravidlá, znížime riziko havárie na blízke nule a všetci sa dostaneme bezpečne do cieľa. 

Keď na semafóre naskočí červená, zastavíme a očakávame, že zastavia aj tí ostatní. Čo však, ak sa vážne ponáhľame? Čo riskujeme porušením predpisu, ak je noc a križovatka je prázdna? A čo ak sme chodec? A čo získame, ak porušíme predpis? Porušili by sme ho, aj keby sme vedeli, že príde postih? Dodržiavame predpisy len zo strachu z postihu? Alebo preto, že sme dobrí ľudia a veríme, že predpisy sa majú dodržiavať.

Rohlíčky obzvlášte vypečené … 

… si prial pán cisár v známej rozprávke a prajeme si ich aj my. Nakupujeme v reťazcoch, v ktorých využívame samoobslužnú pokladňu. Uvedieme vždy pravdivý počet rožkov. Namarkujeme si bagetky, ciabatty a croissanty, nie lacnejšie kaiserky a rožky. Prečo? Lebo nám nestojí za tú hanbu, keby nás prichytili? Alebo preto, že sme dobrí ľudia. Máme etiku a veríme, že klamať a kradnúť sa nemá.

Predstavitelia ekonomickej analýzy práva predpokladajú spolu s ekonómami, že človek sa bude rozhodovať racionálne. Ekonomická analýza práva sa preto – okrem iného – pýta, aké budú náklady, ak chcem dodržať zákon? Aké hrozia sankcie? A čo je lacnejšie? 

Je to otázka priority 

Výbornou pomôckou pri rozhodovaní pred a počas implementácie GDPR do organizácie je Handov vzorec, ktorý definuje štandart náležitej starostivosti. 

GDPR ukladá prevádzkovateľom povinnosť prijímať práve primerané, teda náležité technické a organizačné opatrenia. Nenúti malú firmu s jednoduchými činnosťami do robustných riešení. Inak povedané – čím sú robustnejšie spracovateľské činnosti, tým robustnejšie by mali byť opatrenia. 

A presne toto definuje aj Handov vzorec. P x L > B

Pravedepodobnosť (P) x závažnosť vzniknutej škody (L) musí byť väčšia než náklady adekvátnych preventívnych opatrení (B). 

Až sa najbližšie budete rozhodovať či kúpiť nejakú službu alebo nástroj, skúste si to vypočítať. 

  • Je vyššia investícia do prípravy a aktualizácie GDPR dokumentácie alebo pokuta za neschopnosť preukázať prijaté opatrenia v prípade kontroly?
  • Bude stáť viac dodržiavanie zásad kybernetickej bezpečnosti alebo obnova dát a prevádzky?
  • Akú hodnotu má reputácia našej firmy a koľko bude stáť jej vylepšenie?

 

Poďme počítať spolu. Nenechajte sa ukolísať pocitom, že práve vo vašej organizácii nenastane Situácia 21.