Pět hlavních technologických regulací pro tento rok

Rok 2024 přinese řadu výzev. Obchodních, geopolitických i technologických. A také právních. Jakým regulacím je třeba věnovat především pozornost?

---

Právní prostředí je poměrně složité. Pro podnikatele, veřejnou správu i jednotlivce. Kromě nařízení a směrnic EU zde máme české zákony, vyhlášky a nařízení, prováděcí předpisy a rozhodnutí k EU předpisům, metodiky, judikáty a výklady dozorových úřadů.

Obecně řečeno, regulatorní zátěž se zvyšuje. Komplexní regulace se rozšiřuje do dalších oblastí, jsou přijímána další a detailnější průřezová pravidla. A to vše většinou doprovází zvýšení možných pokut a dalších postihů. Už i pro větší firmy je poměrně obtížné to všechno sledovat. Stále platí, že neznalost zákona neomlouvá, takže žádnou oblast práva nelze úplně pustit ze zřetele.

Při plánování priorit, strategie a obvykle i rozpočtu lze ale doporučit, aby se firmy zaměřily zejména na tyto oblasti:

• Kybernetická bezpečnost
• Kontrola dodavatelského řetězce
• Nová datová regulace
• Nařízení o umělé inteligenci (AI Act)
• ESG

Kybernetická bezpečnost

Na podzim letošního roku by měl začít platit nový zákon o kybernetické bezpečnosti, který do českého práva převede směrnici NIS2.

Rozsah povinností pro zajištění informační a kybernetické bezpečnsoti se s novým zákonem až tak nezmění. Co ovšem bude nové, bude počet regulovaných subjektů. V režimu současného zákona o kybernetické bezpečnosti jsou povinnosti ukládány několika stovkám větších firem a veřejných subjektů. Nový zákon dopadne na tisíce, ne-li desetitisíce organizací. Včetně řady středních a menších subjektů. A to i v oblastech, na které dosud žádná regulace týkající se přímo informační či kybernetické bezpečnosti nevztahovala, jako je například potravinářství, odpadní hospodářství, poskytování některých IT služeb, doprava atd.

Pro finanční trh je důležité i nařízení o digitální provozní odolnosti finančního sektoru, DORA. To bude účinné už za rok, tedy v lednu roku 2025. Nařízení DORA dopadá nejen na banky a pojišťovny, ale i na řadu dalších hráčů, jako jsou například platební instituce, fintechy, obchodníci s kryptoměnami, investiční podniky nebo zprostředkovatele pojištění. A také na významné IT dodavatele, kteří poskytují služby finančním institucím.

DORA je, na rozdíl od směrnice NIS2, nařízením, tedy přímo závazným právním předpisem. Členské státy ho nemusejí nijak převádět (transponovat) do svého právního řádu, od 17. ledna 2025 bude DORA přímo zavazovat všechny nově regulované subjekty. Pokud působíte na finančním trhu, nebo finančním institucím poskytujete služby v oblasti IT, je nejvyšší čas začít se připravovat na plnění nových požadavků. A bude jich řada, ať už právních, organizačních či technických.

Řízení dodavatelů

Kontrola dodavatelského řetězce je vůbec velkým tématem. Řada podniků je závislá na vysokém počtu dodavatelů a jejich subdodavatelů, které často ani neznají. Výpadek kdesi daleko v dodavatelském řetězci ovšem může znamenat, že v České republice přestane fungovat továrna, nebudou dostupné náhradní díly do aut nebo, klíčové součástky pro zdravotnická zařízení, anebo třeba přestanou fungovat datová úložiště, která využívají některé finanční instituce.

Vztah odběratele a dodavatele je ovšem v kontextu České republiky důležitý i obráceně: Řada společností sídlících v České republice dodává i na zahraniční trhy, často velkým odběratelům. A musí garantovat dodržování řady standardů, regulací a interních postupů, často pomocí certifikace typu ISO. V některých případech to zahraniční odběratelé požadují ze svého rozhodnutí, ale například v Německu je od loňského roku účinný zákon o dodavatelském řetězci, který povinnost kontrolovat dodavatele ukládá stále většímu okruhu organizací. Německo je suverénně nejvýznamnějším obchodním partnerem českých firem, proto tento zákon dopadne na řadu českých podniků.

Pravidla regulující odpovědnost obchodních společností za své (sub)dodavatele se připravují i na úrovni Evropské unie. Již v roce 2022 byl představen návrh směrnice o náležité péči podniků v oblasti udržitelnosti. Směrnice je v současné době v Evropském parlamentu a v průběhu roku můžeme očekávat, že se v legislativním procesu posune o notný krok dále.

Datová regulace

Akt o datech, DMA, DGA, DSA… A třeba také PSD3, eIDAS2 či FIDA, neboli nařízení o rámci pro přístup k finančním datům. Točí se vám z těch zkratek hlava? Nejste sami. Prudký rozvoj zpracování dat prakticky ve všech sektorech vede k přijímání řady nových regulací. Často velmi komplexních a detailních, zaměřených na využití různého druhu informací, jejich sdílení, odpovědnost za online obsah, upřesnění pravidel pro elektronickou identifikaci, snadnější přechod mezi poskytovateli podobných služeb atd. U všech nových povinností je rovněž nutné respektovat pravidla pro zpracování osobních údajů podle GDPR, autorské právo a zajistit bezpečnost dat.

K nové datové regulace lze přistoupit v zásadě dvojím způsobem: Udělat si checklist a vyhodnotit, který nový předpis se organizace týká a která ne. A u těch prvních se s povzdechem připravit na implementaci dalších procesů a technických a organizačních pravidel.

Nebo checklist pojmout jinak: V datové regulaci se snažit najít možnost rozvoje a vylepšení svého vlastního fungování, procesů, produktu, služeb pro zákazníky. Umožňuje nová regulace efektivnější zpracování dat, usnadňuje klientům přístup k informacím o jejich produktech, přechod mezi poskytovateli služeb? Tak pojďme data využívat a klientům umožnit, aby toho viděli a mohli dělat víc. Určitě to ocení.

AI Act

Umělá inteligence, často pod „krycím jménem“ AI, je všude kolem nás. Zatím ani ne tolik v přístrojích, programech a aplikacích, ale o to více se o ní píše a mluví.

AI jako hrozba, AI jako příležitost, AI v marketingu, v datové analytice, v HR. Umělá inteligence kreslí obrázky a soudí se s velkými americkými vydavatelstvími o tom, zda se mohla trénovat na jejich dílech chráněných autorským právem. AI programuje, AI podvádí, AI brání firmy, AI je využívání k phishingu, k výrobě falešných videí…

Možná není od věci se trochu zastavit a podívat se na téma umělé inteligence s chladnou hlavou.

Ano, algoritmy s prvky, které by se daly označit za strojové učení, někdy možná s náznakem něčeho umělého nebo něčeho inteligentního, se rozvíjejí poměrně bouřlivě. Volně dostupné nástroje, se kterými si řada z nás ráda hraje, představují jistá rizika. Pro osobní údaje, interní informace, autorská díla. Ale třeba také pro životní prostředí, protože zpracování jednoho požadavku na obrázek v populárním Midjourney spotřebuje stejně elektrické energie jako nabití mobilního telefonu.

Rychlý rozvoj různých AI i „AI“ nástrojů a aplikací trochu vyděsil i evropské normotvůrce. Donedávna celkem v klidu projednávaný AI Act, nové nařízení EU upravující základní pravidla pro vývoj, uvádění na trh a využívání AI nástrojů v Evropské unii, se stal předmětem ostrých debat, snah po zpřísnění a utažení šroubů. Na přelomu roku se zřejmě důležití hráči v EU dohodli a nařízení pokračuje dále legislativním procesem.

Těm, kdo se snaží jít s dobou a AI prvky už nyní využívat, nebo dokonce vyvíjet a zabudovávat do svých produktů, přinese AI Act řadu nových povinností. Od organizačních opatření (řízení rizik, certifikace, posuzování dopadu AI na práva dotčených osob), přes administrativní (dokumentace, informační povinnost) až po opatření technická a bezpečnostní. Využití AI v některých oblastech bude zřejmě zcela zakázáno (např. biometrická identifikace lidí, vytváření tzv. sociálního kredite), v ostatních oblastech bude hodnocena podle míry rizika pro dotčené osoby. U těch více rizikových oblastí, například výběr nových zaměstnanců, rozhodování o přijetí do vzdělávací instituce, posuzování úvěruschopnosti nebo stanovení výše pojistného, bude nutné plnit právě řadu dodatečných povinností.

Investujete do AI? Tak kromě rizik spojených s ochranou informací, důvěrností dat či zavlečením provozních chyb počítejte i s novou regulací. AI Act může využití AI lehce zkomplikovat, prodražit, nebo dokonce někde i úplně zakázat.

ESG

Zkratku ESG jsme už asi všichni slyšeli.

Jen pro jistotu, jednotlivá písmena označují tyto druhy rizik a dopadů:

• E jako environmentální (životní prostředí)
• S jako sociální
• G jako governance (vnitřní správa)

Regulace týkající se ESG je dosti zamotaná. Některé větší společnosti už musí, nebo jim tato povinnost brzy nastane, měřit a vykazovat ESG dopady své činnosti. Řízení ESG rizik v ostatních oblastech, například při výběru dodavatelů, jednotnou právní úpravu zatím nemá.

To všem neznamená, že se běžná česká firma nesetká s požadavky na doložení, jak řeší svoji uhlíkovou stopu či sociální odpovědnost. Stačí dodávat do větší, více regulované nebo nadnárodní firmy. Ta obvykle ESG oblast komplexně řeší a vymáhá to i po svých dodavatelích.

S otázkami na ESG se ovšem podnik může setkat, i když si chce chtít úvěr (třeba na provozní financování), pojistku či má zájem o dotaci. V těchto situacích jsou často vyžadovány informace o interních ESG strategiích a politikách, snižování negativních dopadů činnosti na životní prostředí, procesech pro zajištění souladu s právními požadavky, předcházení diskriminace atd.

V současné době rezonuje zejména první oblast, dopad podnikání na životní prostředí. Ovšem ESG jako takové má řesah i do řady dalších oblastí, například řízení dodavatelů a odpovědnosti i za jejich činnost a fungování. Písmeno G (vnitřní správa společnosti) zase vyžaduje určitý stupeň vnitřního řízení a kontrol předcházejících porušení pravidel. Jinak řečeno, funkční compliance systém.

Jak z toho všeho ven?

Regulatorní vlna nepolevuje. Jak ji zvládnout a neutopit se?

Důležité je:

• V nové regulaci hledat příležitosti. Možnost, jak vylepšit svoje procesy, ušetřit, najít nové obchodní modely…
• Efektivita. Chytře zavedený systém pro kontrolu a ověřování dodavatelů splní požadavky řady právních předpisů.
• Přiměřenost. Zavádět skutečně jen to, co je nutné, podle vlastních podmínek, organizační struktury a vlastních potřeb. Nekupovat předražená a zbytečná řešení.
• Inspirovat se. V příbuzných oblastech, implementacích podobných požadavků, příkladech dobré praxe shrnutých v mezinárodních standardech a normách.
• Zachovat klid a nenechat se vystrašit (a vyfakturovat) různými rychloodborníky.

---

Více informací, které se týkají problematiky GDPR, naleznete ZDE.

---

František Nonnemann

GDPR.cz