Trestní oznámení podané na radu města Česká Lípa jí viní z toho, že s vámi uzavřeli nevýhodnou a předraženou smlouvu bez výběrového řízení. Co na to říkáte?
To trestní oznámení považuji za součást politického boje. Od ledna 2018 jsme prováděli pro město Česká Lípa a pro jeho 26 příspěvkových organizací analýzu GDPR v celkové hodnotě 250 tisíc korun. Pevně věřím, že naše firma odvedla svou práci dobře. To byl možná hlavní důvod, proč nás opět oslovili, když hledali někoho, kdo provede implementaci GDPR a proškolí stovky zaměstnanců. Představte si, že si chcete nechat postavit dům od firmy za dva miliony korun a otestujete si firmu tím, že si necháte nejdříve postavit garáž za 250 tisíc, s jejich prací budete absolutně spokojeni. Budete hledat jinou stavební firmu, nebo práci svěříte takto otestované firmě?
Přijde vám v pořádku, že smlouva byla uzavřena bez výběrového řízení takzvaně „napřímo“?
Rozhodnutí města chápu. Možná se rozhodli zakázku zadat přímo i proto, že když vybíráte z deseti firem, musíte těmto firmám poskytnout citlivé údaje o chodu úřadu. My jsme s nimi pracovali již v rámci vypracování analýz, znali jsme nedostatky a rizika. Ale pokusím se domyslet si, že to snad bylo v návaznosti i na časovou tíseň, v jaké se ocitli a hrozbě pokut, které by jim hrozily. Kdyby vypsali standardní výběrové řízení, také bychom se do něj přihlásili.
Abychom se v těch termínech neztratili: co všechno obnáší analýza GDPR, jeho implementace a práce pověřence?
Nejprve se dělá analýza GDPR. Zjistí se stávající stav zabezpečení v rámci nakládání s osobními údaji, jak v listinné, tak elektronické podobě. Analyzují se jednotlivé agendy, jaké osobní údaje se v nich zpracovávají a kdo s nimi pracuje. Potom následuje fáze implementace, kdy se musí v organizaci nastavit pravidla pro nakládání s osobními údaji. Jedná se zejména o správné proškolení lidí, kteří pracují s osobními údaji, nastavení vnitřních pravidel, předpisů a procesů. Musíme zajistit, aby byla přijata taková opatření, aby se zabránilo zneužití osobních údajů. S osobními údaji se totiž obchoduje. Práce pověřence spočívá především v kontrole dodržování těchto zásad, poskytování rad a komunikaci s ÚOOÚ (Úřad pro ochranu osobních údajů).
O co jde v kauze GDPR v České Lípě? Trestní oznámení podané na radu České Lípy viní její členy z toho, že zvýhodnili firmu VATAK, když jí zadali tři zakázky na analýzu GDPR, implementaci a práci pověřence. Nevypsali však standardní výběrové řízení. Měli se tím dopustit trestného činu zneužitím pravomoci úřední osoby a porušení povinností při správě cizího majetku. Při zadávání zakázek napřímo se využívá fígl, kdy se uvede, že hrozilo prodlení. Zákonodárci však nestihli ve věci GDPR přijmout místní úpravu, na kterou kraje a města čekala, proto se GDPR začalo na komunální úrovni řešit příliš pozdě. |
Interní směrnice České Lípy hovoří o tom, kdy lze zadat zakázku napřímo. Cituji: například v případě havárie, živelných pohrom, jediného dodavatele na trhu nebo nebezpečí prodlení. Nic z toho nenastalo. Lze argumentovat časovou tísní, když o GDPR se hovoří minimálně rok?
Za to Česká Lípa nemůže. Většina organizací a firem to začala řešit na poslední chvíli, neboť česká legislativa je v tom nechala. Zákonodárci začali GDPR řešit pozdě, nestihli schválit prováděcí zákon do doby účinnosti nařízení GDPR. Všichni čekali na stát, jak se k tomu postaví. Nařízení EU o GDPR se totiž vztahuje na všechny členské státy. Česká Lípa, stejně jako třeba Liberecký kraj, čekala do poslední chvíle, že bude úprava přijata. Nebyla. I pro nás jako firmu to bylo špatně – když jsou výběrová řízení na poslední chvíli.
Může mít vaše firma VATAK, jejíž tržby činily podle dostupných zdrojů v roce 2015 jen 155 tisíc Kč a v roce 2016 783 tisíc Kč, zkušenosti s takto velkou zakázkou?
Do roku 2017 firma téměř nepůsobila, takže se to tak může zdát. Když jsem do ní majetkově vstoupil ve stejném roce, činil obrat kolem 10 milionů, zkušenosti s problematikou ochrany osobních údajů máme z dlouhodobé praxe i při působení v jiných společnostech.
Vy jste ale v České Lípě získali celkem tři zakázky, které v součtu přesahují dva miliony korun, v nichž je zahrnuta analýza GDPR, implementace a práce takzvaného pověřence. Jak vysvětlíte, že stotisícový Liberec podle dostupných zdrojů zaplatil za totéž 1,9 milionu? Není to trochu nepoměr?
Ano, v České Lípě to bylo skutečně za tyto tři služby, ve třech zakázkách. Liberec ale zaplatil 1,9 milionu pouze za analýzu GDPR, kterou jsme my dělali v České Lípě za 250 tisíc korun. To by bylo míchání hrušek s jablky. Dále tu má Liberec zakázku na pověřence pro ochranu osobních údajů, která bude stát v součtu také okolo dvou milionů, což je taky vysoká částka, kdy třeba naše společnost tuto službu realizuje za řádově nižší částky. Zakázka se navíc nesoutěží, ale zaměstnanci města si uzavírají smlouvy s příspěvkovými organizacemi na sebe a město Liberec to celé platí.
Dobře, ale proč tedy nebyla vaší firmě zadána jediná zakázka, v níž by byly všechny tyto služby zahrnuty? Takhle to vypadá, že ji město záměrně rozdělilo na tři díly, aby spadly do zakázek malého rozsahu, byla podlimitní a mohli je tedy zadat napřímo bez výběrového řízení.
V Česku je trend, že zhruba polovina měst si GDPR vyřešila jako jednu zakázku, polovina jednotlivě jako Česká Lípa. Pokud to řešíte jednotlivě, máte možnost v případě, že s firmou provádějící analýzu nejste spokojeni, zadat implementaci jiné firmě. Nenazýval bych to dělení zakázky, protože jde o tři různé věci. Analýza je jedna věc, implementace druhá, práce pověřence věc třetí. Ono to v součtu vypadá jako velká částka, ale na jednu organizaci, kupříkladu školu, vyjde implementace na 40 tisíc korun.
Co je na analýze tak drahého?
My jsme vypracovali analýzu pro celé město Česká Lípa a jejích 26 příspěvkových organizací za 250 tisíc bez DPH. Vychází to tedy na částku pod deset tisíc za organizaci. Do každé organizace jsme museli zajet a získat data pro analýzu a ta následně vyhodnotit a předložit závěry a doporučení. Ta cena odpovídá.
Proč tedy dal Liberec jen za analýzu GDPR tolik peněz?
To bych taky chtěl vědět. Pro Liberec dělala analýzu Liberecká IS, tedy organizace vlastněná městem. Ta dostává každý rok zhruba 30 milionů korun za služby pro město, tedy bych očekával, že když mají přístup ke všem údajům potřebným pro GDPR, že budou levnější.
Vy jste prý na nestandardní postup Liberce upozornil zastupitele. Je to pravda?
Všechny liberecké zastupitele jsem mailem upozornil na to, že zakázka je problematická. Město si vybralo Libereckou IS a teprve potom udělalo poptávkové řízení. A vyšlo z něj, že Liberecká IS byla cenově až třetí v pořadí, ale zakázku jí stejně přiklepli. Odůvodněním bylo, že je to firma s místní znalostí. A takovou pikantností je, že při realizaci zakázky vystupují zaměstnanci města, přičemž zakázku má realizovat Liberecká IS, navíc jeden z nich byl dokonce odsouzený za manipulaci s výběrovým řízením. Navíc tito lidé uzavírají velmi mnoho dohod o provedení práce s městskými příspěvkovými organizacemi na poskytovaní služeb na pověřence ochrany osobních údajů, což by mohl být dokonce střet zájmů.
Nemluví z vás ješitnost, že jste v poptávkovém řízení nezvítězili?
Naopak, my jsme v tom poptávkovém řízení pro město Liberec ani nebyli. Takže by mi to mohlo být jedno, na výsledku by to nic neměnilo.
Podle webové aplikace Hlídač státu, kde jsou zveřejněny všechny smlouvy na GDPR, vyplývá, že jiná města získala srovnatelné služby levněji. Proč je v GDPR takový rozptyl cen?
Protože v tomto oboru poskytují firmy služby různé kvality. Ano, mohou vám řešit GDPR na dálku po telefonu, nechat vás vyplnit nějaký dotazník. Ale riskoval byste to, když za porušení pravidel GDPR hrozí velké pokuty? Sám jsem byl svědkem toho, jak levná firma poslala klientovi vzorové dokumenty se vzkazem „To si zapracujte“. Bez jakékoliv konzultace a školení, kdy lidé nevědí, co s tím. Takže ušetřit na tomto místě se nevyplácí. My to pro zákazníky řešíme komplexně, tedy včetně služeb bezpečnostních auditorů, IT specialistů a právní kanceláře.
Oslovení odborníci vyjádřili pochybnosti nad vaší firmou, jste prý velice malá společnost, která má záporný vlastní kapitál, a tedy nemá příliš dobrou ekonomickou kondici a pouze jednoho zaměstnance, což potvrzuje i obchodní rejstřík a registr smluv.
Dnes máme pět zaměstnanců na plný úvazek, přičemž jejich mzdy jsou na nadstandardní úrovni. Spolupracujeme i s několika externisty na živnostenský list a externími společnostmi, které pro nás pracují na auditech jako subdodavatelé, v případě, že jsme vytíženi. Jsme v dobré ekonomické kondici. Firmu jsem převzal na začátku roku 2017.
Kolik zakázek na GDPR jste již získali a pro jaké klienty?
Jde hlavně o obce a města, namátkou kromě České Lípy třeba mikroregion Tábor, domovy důchodců, střední školy, krajské organizace. Mezi naše zákazníky patří i komerční organizace, velké loterijní společnosti a provozovatelé velkých e-shopů.