Rok 2024 niewątpliwe upływa pod hasłem implementacji do polskiego porządku prawnego dyrektywy dotyczącej ochrony sygnalistów. Spóźnione i przeciągające się w czasie wprowadzenie polskiej ustawy o sygnalistach jest przedmiotem debaty toczącej się zarówno w środowisku prawniczym, jak i wśród przedsiębiorców, który będą objęci zakresem jej zastosowania. Bieżący rok niesie jednak ze sobą szereg innych regulacyjnych wyzwań dla biznesu, które jawią się jako dużo bardziej skomplikowane oraz złożone do wdrożenia.
DSA, czyli Akt o usługach cyfrowych

W dobie cyfryzacji oraz szeroko zakrojonego e-commerce nie sposób nie wspomnieć o rozporządzeniu Parlamentu Europejskiego i Rady z 19 października 2022 r. zwanym powszechnie „aktem o usługach cyfrowych” (DSA). Rozporządzenie to weszło w życie 17.02.2024 r. Czego konkretnie dotyczy? Wyznacza przede wszystkim liczne obowiązki dla przedsiębiorców dostarczających usługi za pośrednictwem Internetu lub pośredniczących w dostarczaniu treści użytkownikom. Dotyka ono zatem podmioty prowadzące różnorakie wirtualne platformy (w szczególności handlowe lub udostępniające treści np. oferty współpracy czy zakwaterowania) w tym serwisy społecznościowe. Celem DSA jest zwalczanie nielegalnych treści w Internecie i określenie odpowiedzialności dostawców usług online w tym zakresie.

Dostawcy ci zostali zobowiązani do bardziej przejrzystego informowania użytkowników o warunkach oferowanych usług, a także o tym, w jaki sposób wykorzystują algorytmy do rekomendowania określonych treści. DSA zawiera także zakaz stosowania tzw. „zwodniczych interfejsów” tj. wprowadzania użytkowników błąd lub manipulowania nimi, aby doprowadzić do niekorzystnego działania (np. poprzez nieświadomie zasubskrybowanie jakiejś usługi, bądź utrudnianie rezygnacji z niej). Dodatkowo wprowadza obowiązek wyraźnegooznaczaniatreścireklamowych oraz zakazuje kierowania reklam do dzieci i wykorzystywania dla celów reklamowych danych wrażliwych użytkowników (np. dotyczących ich wyznania , orientacji czy poglądów politycznych).

Powyższe kwestie powinny zostać stosownie zaadresowane i zabezpieczone w posiadanych przez dany podmiot wewnętrznych regulaminach i politykach.Pozwoli to na wykazanie, że dany przedsiębiorca dopełnił w zakresie zgodności z DSA należytej staranności. Może też uchronić firmę przed nałożeniem na nią kary, które w kontekście naruszeń DSA są bardzo wysokie i mogą wynosić nawet do 6% światowego obrotu danego przedsiębiorstwa.

NIS 2 - nowe spojrzenie na cyberbezpieczeństwo

Mniej niż pół roku dzieli nas od finalnego terminu implementacji do polskiego prawa dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. czyli dyrektywy NIS 2.

Co istotne, dyrektywa ta ma znaczenie nie tylko dla firm wymienionych wprost w jej treści jako objęte jej zakresem, ale także dla przedsiębiorstw, których NIS 2 dotyczy tylko pośrednio. Te ostatnie podmioty będą zobowiązane do uwzględnienia w swojej działalności przedmiotowej dyrektywy, tylko z racji tego, że będą one częścią łańcucha dostaw podmiotów objętych wprost zakresem oddziaływania NIS 2. Wymienione w NIS 2 firmy zostały bowiem zobowiązane do weryfikacji swoich dostawców również pod kątem spełnienia przez nich określonych wymogów w zakresie cyberbezpieczeństwa.

Powyższe oznacza, że przedsiębiorcy, którzy nie spełniają w tym zakresie określonych standardów, mogą być wykluczani z postępowań przetargowych, a ich pozycja rynkowa będzie słabnąć. Podkreślenia wymaga również znacznie poszerzony w NIS 2 (w stosunku do dyrektywy NIS) zakres podmiotów objętych jej zastosowaniem, a także niedookreślone jednoznacznie w pewnych aspektach oraz oparte na tzw. samoocenie kryteria obowiązywania NIS 2 i jej stosowania w odniesieniu do konkretnych gałęzi przemysłu. Ta ostatnia kwestia zapewne będzie spędzała sen z powiek działom compliance przedsiębiorstw, które staną przed koniecznością odpowiedzi na pytanie, czy i jak implementować NIS 2 w organizacji.

CSDD i rewolucja w raportowaniu niefinansowym

Roku 2024 to pierwszy okres, za który największe podmioty opracują swoje raporty niefinansowe według nowych zasad zawartych w dyrektywie CSRD. Niezależenie od powyższego w bieżącym roku czekać nas może kolejna rewolucja w zakresie ESG w postaci wejścia w życie innej dyrektywy - CSDDdot. należytej staranności w zakresie zrównoważonego rozwoju przedsiębiorstw. Dyrektywa ta zobowiąże firmy do zarządzania ich potencjalnym negatywnym wpływem na środowisko i społeczeństwo. W praktyce będzie to oznaczało obowiązki w zakresie: identyfikowania tego wpływu, oceny jego wielkości, a także monitorowania go i podejmowania działań zaradczych.

Negatywny wpływ będzie trzeba odnosić w szczególności do kwestii związanych z prawami człowieka, warunkami pracy, zarządzania łańcuchem dostaw czy różnorodności, a także kwestii związanych z zanieczyszczaniem środowiska. Zmiany, które niesie za sobą CSDD nie są aktualnie przedmiotem tak szerokiej dyskusji, jaka ma miejsce w przypadku dyrektywy CSRD. Nie do końca słusznie.

ikona lupy />
adwokat, radca prawny Aleksandra Czopik-Barecka Rubicon Legal / Materiały prasowe

Autor: adwokat, radca prawny Aleksandra Czopik-Barecka

Rubicon Legal

ikona lupy />
Materiały prasowe