Rok a 1,5 milionu korun aneb jak se Lékárna.cz připravovala na GDPR

Nařízením o ochraně osobních údajů GDPR se Lékárna.cz, respektive firma Pears Health Cyber (PHC), do jejíž skupiny e-shop patří, začala zabývat už koncem loňského jara. V polovině letošního dubna skupina mohla oznámit, že všechny její procesy jsou kompletně v souladu s novou evropskou legislativou.

Pokud někomu připadá, že implementace je otázkou pár dní, krutě se mýlí. I v PHC, kde se agendě věnovali celý rok, jsme mohli „hotovo“ ohlásit až s dvoutýdenním zpožděním – původní termín totiž počítal s březnem.

V týmu nesmí nikdo chybět

Hned na začátku bylo jasné, že součástí týmu musí být každý odborný útvar, který s nějakými daty pracuje.

Členem týmu tak byl za každou divizi jeden projektový manažer (zastupující e-shopy Lékárna.cz a Mojalekáreň.sk, elektronickou univerzitu EUNI.cz, e-byznysová divize inPharma, NextForce, portál Ordinace.cz) a zástupci centrály PHC – externí právník, mzdová účetní, specialista pro komunikaci, jmenovaný pověřenec pro ochranu osobních údajů, šéf IT, a protože jsme hned od začátku brali GDPR vážně, byl součástí týmu i majitel společnosti.

Soukromí zákazníků je pro PHC dlouhodobě velkou prioritou, což s ohledem na působení v odvětví zdraví považujeme za samozřejmou součást podnikání.

Proč to trvalo rok?

Nechtěli jsme nechat všechno na poslední chvíli. Začali jsme rozsáhlým auditem, v rámci kterého jsme definovali všechny oblasti, kterých se to týká. Dali jsme dohromady přehled všech dat, se kterými pracujeme, jak je získáváme, proč je potřebujeme, jak s nimi pracujeme, kde je uchováváme a kteří lidé z týmu k nim mají přístup.

Celý harmonogram implementace zahrnoval řadu posloupných kroků, z nichž mezi ty nejdůležitější patřilo:

  • sestavení týmu,
  • sestavení projektového plánu procesů, práva, technologií a bezpečnosti,
  • nominování pověřence pro správu osobních údajů,
  • sestavení dokumentu shrnujícího, která data máme a v jakých systémech jsou uložená, jakou mají povahu,
  • ukončení stávajícího způsobu sběru dat,
  • revize stávajících smluv, souhlasů a SLA – jsou součástí obchodních podmínek? Jsou stávající souhlasy platné? Vytvoření nových souhlasů a smluv,
  • sběr souhlasů s GDPR,
  • nastavení ukládání a správy (jednotné ID pro subjekty napříč společností, ale s možností evidovat jednotlivé souhlasy, výmaz s právem být zapomenut, a to manuální žádost plus automatické skončení platnosti, on-line výmaz ihned, co evidujeme, k jakým účelům, historie přístupů, exportovatelnost, pseudonymizace a šifrování, reakce na incidenty, přístupová práva, vytvářet reporty, fyzická kontrola provedení),
  • programovací úpravy platforem PHC v souhladu s GDPR,
  • ochrana dat HW,
  • vytvoření interních norem a směrnic,
  • školení zaměstnanců, závazky mlčenlivosti zaměstnanců.

Dvacetina za půldruhého milionu

S ohledem na velikost firmy nebyl rozsah nutných změn nijak zásadní – týkal se zhruba pěti procent všech procesů a předpisů. I tak to pro firmu znamenalo investici ve výši 1,5 milionu korun, z čehož větší část představovaly personální náklady, 500 tisíc korun pak investice do hardwaru a softwaru.

Firma například vyměnila zhruba polovinu všech notebooků za modely podporující šifrování dat a musela také pořídit licence na Windows 10 Pro a Active Directory.

Z hlediska objemu práce nebo investic představovaly tři nejzásadnější změny právě investice do hardwaru a softwaru, programování a vyřešení problematiky sběru souhlasů podle GDPR. Souhlasy přitom představovaly největší oříšek celé implementace – hodně času jsme věnovali konzultacím jejich textů s právníky a formátům sběru souhlasů.

Jde hlavně o zákazníky

Součástí analýzy bylo i rozlišení, která data jsou osobní, která obchodní a která citlivá. Nejvíce dat přitom pochopitelně schraňuje e-shop – informace o zákaznících tvoří 90 % všech dat PHC.

Pochopitelnou součástí implementace GDPR bylo i sladění postupů s externími dodavateli zboží i služeb, kterých je u velké firmy několik stovek.

Užitečná inventura

Čistě z pohledu obchodu a marketingu implementace nařízení nic přínosného nepřinesla. Přesto ji považujeme ve firmě za užitečnou – pokud k tomu všichni přistoupili stejně zodpovědně, GDPR znamená standardizaci podmínek na trhu, což přispěje k tomu, že se všichni budeme k zákazníkům chovat stejně transparentně.

Diskuze k článku