Přežili jsme implementaci GDPR… ale tím to nekončí Part II
Možná se to zdá jako nemožné, ale GDPR už je s námi od roku 2016 – tedy 8 let. Po prvotních problémech a nesouhlasu se časem vše usadilo a nyní už firmy v souladu s nařízením jednají a všichni jsme prostě poupravili svůj náhled na to, jak můžeme s osobními daty nakládat. Jenže…
V minulém vydání jsme se vydali do nařízení ohledně dat a AI, dnes se zaměříme spíše na ta, která zahrnují nová pravidla pro trhy a konkrétní skupiny poskytovatelů.
- Nařízení o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky
- Nařízení o digitálních trzích
- Nařízení o digitálních službách
- Evropská strategie pro data
- Evropského kodexu chování cloudových poskytovatelů
Nařízení o horizontálních požadavcích na kybernetickou bezpečnost produktů s digitálními prvky
Toto nařízení je lépe známo jako Nařízení o kybernetické odolnosti. NÚKIB odhaduje, že vejde v platnost na podzim letošního roku. Jedná se o game changer pro výrobce zařízení připojených k internetu, ale také softwaru. Tak velký game changer, že na na internetu se objevily stránky, které pomáhají firmám odhadnout výši rozpočtu, kterou by si na toto nařízení měly vyčlenit.
Cílem tohoto aktu je
- Zlepšení bezpečnosti of fáze vývoje a během celého životního cyklu produktu
- Jeden rámec kybernetické bezpečnosti
- Větší transparentnost bezpečnostních vlastností
- Umožnit bezpečné používání produktů
Díky tomuto jednotnému rámci dojde k harmonizaci požadavků na jednotné povinné prvky bezpečnosti a také odstranění překážek volného pohybu zboží. Také dojde k zabezpečení celého dodavatelského řetězce, protože se podmínky nebudou vztahovat pouze na výrobce. Bude se vztahovat na všechny právnické osoby včetně živnostníků. U kritických produktů navíc bude nutné získat certifikaci.
V současné době se celý trh potýká s těmito problémy
- Obecně nízká úroveň kybernetické bezpečnosti
- Nedostatečný přístup uživatelů k informacím o bezpečnosti konkrétních produktů
Síť firem, na které se nařízení bude vztahovat, bude skutečně široká. Například si bude muset soulad ověřit a zajistit i firma, která není výrobcem, ale ale produkt si nechá vyrobit jako white label. To samé platí pro firmy, které nějaký produkt výrazně upraví. Kontrolu bude také muset provádět každá firma, která je součástí dodavatelského řetězce produktu, na který se nařízení vztahuje.
Zajímavý je také odstavec o nutnosti předvídat, jakým způsobem by uživatelé mohli produkt používat, a to správně i nesprávně. I tyto situace musí poskytovatel ohlídat.
Existují výjimky, ale i ty je potřeba ověřit v kontextu celého znění nařízení a konkrétního produktu.
Nařízení o digitálních službách
Toto nařízení začalo platit v únoru letošního roku pro všechny firmy, ačkoli pro některé velké služby již platilo od loňského srpna. Jeho cílem je zajištění bezpečného a důvěryhodného online prostředí, o které bude náležitě pečováno tak, aby bylo rychle postaráno o nezákonný obsah, dezinformace a další problémy.
Toto nařízení má pomoct s ochranou na přeshraniční úrovni, protože ani internet se nezaměřuje na státní hranice. Má podpořit inovace, zajistit větší jistotu pro vývojáře a také podpořit existenci jednotného vnitřního trhu – ačkoli se nařázení vztahuje na všechny firmy, které v Evropě působí, nejen na ty, které v EU sídlí.
Ačkoli se dají definovat digitální služby, na které by se toto nařízení mělo vztahovat, mnohem praktičtější je se podívat na klíčovou vlastnost služby – hlavním aspektem je veřejné šíření informací. Proto můžou být například některé hostingové služby zahrnuty a jiné ne.
Pravděpodobně největším přínosem pro uživatele je ale povinnost poskytovatelů služeb shrnout smluvní podmínky tak, aby bylo možné rychle se zorientovat v tom, jak odstoupit od nepovinných ustanovení.
Toto nařízení také klade větší podmínky, čím větší je společnost. Jinak se také přistupuje k platformám, které mohou používat nezletilí uživatelé. Obecně ale pomáhá uživatelům nestát se oběťmi nekalých smluvních praktik, ubližujících informací a manipulace v rozhodování. Zároveň by měli být na platformách prodejci dobře identifikovaní a ověření, takže uživatelé budou moct nakupovat pouze od důvěryhodných prodejců.
Každý členský stát má Koordinátora digitálních služeb, kterým je pro Českou republiku Český telekomunikační úřad (ČTÚ).
Nařízení o digitálních trzích
Tento akt začal platit již více než před rokem. Zaměřuje se především na malý počet velkých firem, kteří jsou poskytovateli platforem, které mají velký vliv na svůj trh, a na ochranu jejich uživatelů a zachování konkurenceschopnosti ostatních organizací.
Tyto velké platformy jsou v nařízení označeny jako „gatekeepers“ – strážci přístupu. Svým velkým vlivem dostávají do rukou kontrolu nad tím, jak mohou koncový uživatelé zacházet s digitálními produkty – tedy jim vlastně diktují podmínky využívání digitálních služeb.
Tento velký vliv narušuje otevřenou hospodářskou soutěž a také snižuje možnost výběru. Z pohledu ostatních firem je velmi těžké vstoupit na stejný trh jako jsou strážci přístupu, protože ti mají příliš velkou hospodářskou sílu. Z této nerovnováhy také vyplývá, že uživatelé mají velmi znevýhodněnou vyjednávací pozici, co se týče podmínek použití konkrétní platformy.
Cílem tohoto nařízení je tedy
- Vytvoření pravidel pro zajištění otevřenosti hospodářské soutěže v digitálním odvětví
- Definování regulačních záruk pro uživatele proti nekalým praktikám poskytovatelů platforem
- Zabránění roztříštěnosti vnitřního trhu v EU
Avšak spojení digitální trhy a platforma jsou velmi obecné. Toto nařízení se především, ale ne výlučně, zaměřuje na tato odvětví:
- Online zprostředkovatelské služby
- Internetové vyhledávací
- Operační systémy
- Sociální sítě
- Sdílení videonahrávek
- Komunikační služby nezávislé na číslech
- Cloud computing
- Virtuální asistenti
- Webové prohlížeče
- Online reklamní služby
Hlavním vodítkem pro určení, zda se na vás toto nařízení vztahuje, je podmínka, že na platformě se stýká velké množství koncových uživatelů a podniků a toto propojení jim přináší významné výhody.
Jedním z hlavních přínosů pro koncové uživatele je možnost využívat službu přes to, že uživatel neudělí souhlas se zpracováním jeho dat. Půjde o neindividualizovanou formu, ale nesdílení dat nemůže zabránit uživatelům platformu využívat. K využívání by nemělo být také nutné se registrovat nebo přihlásit.
Zároveň nemůže strážce přístupu používat svou pozici k tomu, aby podnikům a koncovým uživatelům vnucoval své další služby, protože má takovou pozici, že jsou firmy a uživatelé na jeho platformě závislí.
Celé nařízení je obecně o volnosti těch, kdo ji využívají. Volnost v nakládání s nesystémovými aplikacemi, výběru informací a zdrojů, migrace mezi systémy a nebo zrušení souhlasů a zrušení služby. Dává také uživatelům kontrolu nad daty a za žádnou cenu nesmí být jejich data z hlavní platformy používané v jiných systémech poskytovatele.
Pokud by Komise měla podezření na nekalé praktiky nebo problémy, může požádat a dostat přístup ke všem vnitřnostem dané platformy – včetně algoritmů.
Povinnost ohlídat si, zda se na firmu toto nařízení splňuje, je na firmě samotné. Komise ale bude provádět vlastní průzkumy, takže to není pouze na zodpovědnosti společností. Jakékoli nesplnění podmínek tohoto nařízení může vést k pokutám, které se můžou vyšplhat k 10 % celosvětového obratu.
Doplňující informace
Evropská Unie již několik let zpátky vydala strategii pro data. EU si uvědomuje, že svět se mění a základem všeho jsou a budou čím dál tím více data. Chce tedy stimulovat vznik společných datových prostorů a využívání dat pro:
- Zvýšení konkurenceschopnosti a výkonnosti průmyslu
- Efektivnější ochranu životního prostředí
- Rozvoj inteligentní dopravy
- Pokrok ve zdravotnictví
- Stimulovat finanční trh
- Dekarbonizaci energetiky
- Udržitelnost zemědělství
- Vyšší transparentnost veřejné správy
- Efektivnější trh práce
Na tuto strategii navazuje právě již z minula zmíněné Nařízení o datech.
Ještě stojí za zmínku Kodex chování pro poskytovatele cloudových služeb. Ten je dobrovolný a každý se k jeho dodržování může přihlásit. Ale na oficiální evropskou certifikaci si ještě musíme nějaký ten pátek počkat.
Co dál?
Dost často se ve firmách zasekneme na GDPR nebo NIS2, ale strategie EU zahrnuje mnohem více nařízení a směrnic, které ukazují nový směr. Udělejte si na ně čas.
