Make IT clear - 02/23

W rozporządzeniu proponuje się możliwość wprowadzenia nowego instrumentu prawnego - Europejskiego Konsorcjum na rzecz Infrastruktury Czipów (ECIC). ECIC byłoby podmiotem prawnym, który mógłby realizować działania i inne zadania finansowane w ramach inicjatywy „Czipy dla Europy”.

Niedawne globalne niedobory półprzewodników wymusiły zamknięcie fabryk w różnych sektorach gospodarki. Pokazało to, że cała gospodarka światowa jest uzależniona od łańcucha dostaw półprzewodników, w którym uczestniczy mała liczba podmiotów w złożonym kontekście geopolitycznym. Akt o czipach ma zaradzić obecnemu niedoborowi półprzewodników w Europie oraz zmniejszyć podatność Unii na zagrożenia i zależność od podmiotów zagranicznych.

Następnym krokiem jest przyjęcie stanowiska przez Parlament Europejski. Gdy już to się stanie, Rada i Parlament Europejski rozpoczną dyskusję.

DORA reguluje:

• Zarządzanie ryzykiem ICT m.in. wyznaczenie osoby albo funkcji odpowiedzialnej za monitorowanie ustaleń zawartych z zewnętrznymi dostawcami usług ICT, szkolenia personelu i kadry kierowniczej, rejestr systemów oraz identyfikacja procesów ICT.
• Zgłaszanie incydentów związanych z ICT m.in. klasyfikacja incydentów związanych z ICT i określanie ich wpływu na organizację, zasady informowania klientów i użytkowników usług o incydentach, wdrożenie i realizacja kompleksowej polityki ciągłości działania w zakresie ICT.
• Testowanie cyfrowej odporności operacyjnej m.in. częstotliwość przeprowadzania testów kluczowych systemów i aplikacji ICT, zakres i częstotliwość przeprowadzania testów penetracyjnych systemów informatycznych wspierających krytyczne procesy w organizacji, kompleksowy program testowania operacyjnej odporności cyfrowej oparty na analizie ryzyka, wymagania dla podmiotu prowadzącego testy odporności cyfrowej.
• Monitorowanie ryzyka ze strony zewnętrznych dostawców usług ICT m.in. wymagania umowne między bankiem a dostawcą ICT, inwentaryzacja umów, ocena ryzyka zewnętrznych dostawców ICT przed podpisaniem umowy, prawo podmiotów finansowych do audytu dostawców ICT.
• Międzybankowa wymiana informacji o cyberzagrożeniu i wyników analiz takiego cyberzagrożenia. 

DORA przyznaje uprawnienie państwom członkowskim do określenia kar administracyjnych lub środków naprawczych w przypadku naruszeń przepisów DORA, obejmujących co najmniej:

• wydawanie nakazów obejmujących zaprzestanie lub powstrzymanie się od podejmowania określonych działań;
• nakazanie tymczasowego lub stałego zaprzestania określonego działania;
• przyjęcie wszelkiego rodzaju środków, w tym o charakterze pieniężnym, mających zapewnić dalsze przestrzeganie wymogów prawnych przez podmioty finansowe;
• wnioskowanie o wydanie rejestrów telekomunikacyjnych; 
• wydawanie publicznych ogłoszeń, w tym podanie do wiadomości publicznej informacji wskazującej tożsamość osoby fizycznej lub prawnej oraz charakter naruszenia.

Zapraszamy do zapoznania się z Raportem EY Polska i Związku Banków Polskich „Rozporządzenie DORA – rewolucja czy ewolucja w polskim sektorze bankowym? Analiza dojrzałości sektora bankowego w zakresie cyfrowej odporności operacyjnej oraz przeprowadzenia badania w zakresie stanu odporności cyfrowej polskich banków”.

Raport zawiera wyniki i wnioski z ankiety przeprowadzonej przez EY Polska i Związek Banków Polskich wśród instytucji z polskiego sektora bankowego. Ponadto przedstawiono szereg założeń i obowiązków wynikających z DORA, a także wyzwania jakie niesie ze sobą nowe rozporządzenie.

Raport można ściągnąć pod linkiem: Raport EY i ZBP: Rozporządzenie DORA

Datatilsynet podkreślił rolę zaufania użytkowników do systemów sztucznej inteligencji.

Wątpliwości mogą powstać szczególnie względem niewłaściwego wykorzystania danych osobowych np. obawa pracownika przed użyciem jego danych przez pracodawcę do innych celów niż zostało to jemu przedstawione. Może to skutkować podawaniem nieprawidłowych informacji, a co za tym idzie, generowaniem nieprawidłowych wyników przez system.

Organ sugeruje przedstawienie obowiązku informacyjnego związanego z zastosowaniem SI w pierwszej kolejności grupie testowej, co pozwoli na zbadanie reakcji grupy docelowej m.in. w zakresie tego jakie dane będą niechętnie udostępniane, podkreślając tym samym znaczenie użytego przez administratora słownictwa przy spełnianiu obowiązku informacyjnego RODO.

Raport zawiera również listę kwestii do rozważenia podczas spełniania obowiązków wynikających z zasady przejrzystości RODO, z którą można zapoznać się tutaj.

Prezes UOKiK wezwał skontrolowanych przedsiębiorców do przedstawienia wyjaśnień i zmiany kwestionowanych praktyk. Jeśli się nie dostosują, Prezes UOKiK zapowiedział dalsze możliwe działania, w tym postawienie zarzutów naruszania zbiorowych interesów konsumentów.

Prezes UOKiK, w przypadku stwierdzenia naruszenia zbiorowych interesów konsumentów, może nałożyć karę w wysokości do 10 % obrotu na przedsiębiorstwo i do 2 mln zł na osobę zarządzającą.

Sprzedawca powinien prezentować najniższą cenę z okresu 30 dni przed wprowadzeniem obniżki w sposób czytelny i niebudzący wątpliwości konsumenta. Najniższa cena może być przekreślona (o ile jest nadal czytelna). 

Przedsiębiorca powinien wskazywać przy cenie eksponowanej jako cena odniesienia, że jest to najniższa cena z ostatnich 30 dni przed obniżką. Nieprawidłową praktyką jest prezentowanie tego komunikatu dopiero po rozwinięciu odsyłacza czy dużo mniejszą czcionką niż obniżona cena, przy użyciu nieczytelnego koloru lub niskiego kontrastu. Informacja o najniższej cenie powinna być prezentowana w bezpośrednim sąsiedztwie aktualnej ceny.

W przypadku gdy przedsiębiorca sprzedaje towary za pośrednictwem różnych kanałów (np. w sklepach stacjonarnych i w sklepie internetowym) i informuje w nich o obniżeniu ceny, to musi podać najniższą cenę obowiązującą w okresie 30 dni przed wprowadzeniem obniżki, adekwatną dla poszczególnych kanałów sprzedaży.

W najbliższym czasie Urząd będzie sprawdzał:

• czy i jak przedsiębiorcy działający w internecie, którzy udostępniają opinie konsumenckie, informują o sposobie weryfikacji ich rzetelności (jeśli nie przeprowadzają takiej weryfikacji, także powinni o tym wprost informować konsumentów);
• czy i jak platformy handlowe informują o głównych parametrach decydujących o kolejności pojawiania się produktów w wynikach wyszukiwania, a także czy i w jaki sposób ujawniają, które oferty są płatną reklamą lub uzyskały wyższe plasowanie w wyniku dokonanej płatności;
• czy i jak platformy informują o statusie osoby oferującej towary lub usługi – czy jest on przedsiębiorcą, czy osobą prywatną; w tym drugim przypadku mają też obowiązek informowania o niestosowaniu przepisów dotyczących ochrony konsumentów;
• czy przedsiębiorcy działający w internecie podają numer telefonu umożliwiający skuteczny kontakt z nimi.

Więcej informacji można znaleźć pod linkiem: UOKiK - Urząd - Informacje ogólne - Aktualności - #PrawaKonsumenta2023