5 hlavních regulací pro tento rok

Právní prostředí je poměrně složité. Pro podnikatele, veřejnou správu i jednotlivce. Kromě nařízení a směrnic EU zde máme české zákony, vyhlášky a nařízení, prováděcí předpisy a rozhodnutí k EU předpisům, metodiky, judikáty a výklady dozorových úřadů.

Obecně řečeno, regulatorní zátěž se zvyšuje. Komplexní regulace se rozšiřuje do dalších oblastí, jsou přijímána další a detailnější průřezová pravidla. A to vše většinou doprovází zvýšení možných pokut a dalších postihů. Už i pro větší firmy je poměrně obtížné to všechno sledovat. Stále platí, že neznalost zákona neomlouvá, takže žádnou oblast práva nelze úplně pustit ze zřetele.

Při plánování priorit, strategie a obvykle i rozpočtu lze ale doporučit, aby se firmy zaměřily zejména na tyto oblasti:

• Kybernetická bezpečnost
• Kontrola dodavatelského řetězce
• Nová datová regulace
• Nařízení o umělé inteligenci (AI Act)
• ESG

Kybernetická bezpečnost

Na podzim letošního roku by měl začít platit nový zákon o kybernetické bezpečnosti, který do českého práva převede směrnici NIS2. 

Rozsah povinností pro zajištění informační a kybernetické bezpečnsoti se s novým zákonem až tak nezmění. Co ovšem bude nové, bude počet regulovaných subjektů. V režimu současného zákona o kybernetické bezpečnosti jsou povinnosti ukládány několika stovkám větších firem a veřejných subjektů. Nový zákon dopadne na tisíce, ne-li desetitisíce organizací. Včetně řady středních a menších subjektů. A to i v oblastech, na které dosud žádná regulace týkající se přímo informační či kybernetické bezpečnosti nevztahovala, jako je například potravinářství, odpadní hospodářství, poskytování některých IT služeb, doprava atd.

Pro finanční trh je důležité i nařízení o digitální provozní odolnosti finančního sektoru, DORA. To bude účinné už za rok, tedy v lednu roku 2025. Nařízení DORA dopadá nejen na banky a pojišťovny, ale i na řadu dalších hráčů, jako jsou například platební instituce, fintechy, obchodníci s kryptoměnami, investiční podniky nebo zprostředkovatele pojištění. A také na významné IT dodavatele, kteří poskytují služby finančním institucím.

Řízení dodavatelů

Kontrola dodavatelského řetězce je vůbec velkým tématem. Řada podniků je závislá na vysokém počtu dodavatelů a jejich subdodavatelů, které často ani neznají. Výpadek kdesi daleko v dodavatelském řetězci ovšem může znamenat, že v České republice přestane fungovat továrna, nebudou dostupné náhradní díly do aut nebo, klíčové součástky pro zdravotnická zařízení, anebo třeba přestanou fungovat datová úložiště, která využívají některé finanční instituce.

Vztah odběratele a dodavatele je ovšem v kontextu České republiky důležitý i obráceně: Řada společností sídlících v České republice dodává i na zahraniční trhy, často velkým odběratelům. A musí garantovat dodržování řady standardů, regulací a interních postupů, často pomocí certifikace typu ISO. V některých případech to zahraniční odběratelé požadují ze svého rozhodnutí, ale například v Německu je od loňského roku účinný zákon o dodavatelském řetězci, který povinnost kontrolovat dodavatele ukládá stále většímu okruhu organizací. Německo je suverénně nejvýznamnějším obchodním partnerem českých firem, proto tento zákon dopadne na řadu českých podniků.

Pravidla regulující odpovědnost obchodních společností za své (sub)dodavatele se připravují i na úrovni Evropské unie. Již v roce 2022 byl představen návrh směrnice o náležité péči podniků v oblasti udržitelnosti. Směrnice je v současné době v Evropském parlamentu a v průběhu roku můžeme očekávat, že se v legislativním procesu posune o notný krok dále.

Datová regulace

Prudký rozvoj zpracování dat prakticky ve všech sektorech vede k přijímání řady nových regulací. Často velmi komplexních a detailních, zaměřených na využití různého druhu informací, jejich sdílení, odpovědnost za online obsah, upřesnění pravidel pro elektronickou identifikaci, snadnější přechod mezi poskytovateli podobných služeb atd. U všech nových povinností je rovněž nutné respektovat pravidla pro zpracování osobních údajů podle GDPR, autorské právo a zajistit bezpečnost dat.

AI Act

AI jako hrozba, AI jako příležitost, AI v marketingu, v datové analytice, v HR. Umělá inteligence kreslí obrázky a soudí se s velkými americkými vydavatelstvími o tom, zda se mohla trénovat na jejich dílech chráněných autorským právem. AI programuje, AI podvádí, AI brání firmy, AI je využívání k phishingu, k výrobě falešných videí…

Ano, algoritmy s prvky, které by se daly označit za strojové učení, někdy možná s náznakem něčeho umělého nebo něčeho inteligentního, se rozvíjejí poměrně bouřlivě. Volně dostupné nástroje, se kterými si řada z nás ráda hraje, představují jistá rizika. Pro osobní údaje, interní informace, autorská díla. Ale třeba také pro životní prostředí, protože zpracování jednoho požadavku na obrázek v populárním Midjourney spotřebuje stejně elektrické energie jako nabití mobilního telefonu.

Rychlý rozvoj různých AI i „AI“ nástrojů a aplikací trochu vyděsil i evropské normotvůrce. Donedávna celkem v klidu projednávaný AI Act, nové nařízení EU upravující základní pravidla pro vývoj, uvádění na trh a využívání AI nástrojů v Evropské unii, se stal předmětem ostrých debat, snah po zpřísnění a utažení šroubů.  Na přelomu roku se zřejmě důležití hráči v EU dohodli a nařízení pokračuje dále legislativním procesem.

ESG

• E jako environmentální (životní prostředí)

• S jako sociální

• G jako governance (vnitřní správa)

Regulace týkající se ESG je dosti zamotaná. Některé větší společnosti už musí, nebo jim tato povinnost brzy nastane, měřit a vykazovat ESG dopady své činnosti. Řízení ESG rizik v ostatních oblastech, například při výběru dodavatelů, jednotnou právní úpravu zatím nemá.

To všem neznamená, že se běžná česká firma nesetká s požadavky na doložení, jak řeší svoji uhlíkovou stopu či sociální odpovědnost. Stačí dodávat do větší, více regulované nebo nadnárodní firmy. Ta obvykle ESG oblast komplexně řeší a vymáhá to i po svých dodavatelích. 

S otázkami na ESG se ovšem podnik může setkat, i když si chce chtít úvěr (třeba na provozní financování), pojistku či má zájem o dotaci. V těchto situacích jsou často vyžadovány informace o interních ESG strategiích a politikách, snižování negativních dopadů činnosti na životní prostředí, procesech pro zajištění souladu s právními požadavky, předcházení diskriminace atd.

Jak z toho všeho ven?

Celý článek naleznete na www.gdpr.cz.