Rozporządzenie GPSR w sprawie ogólnego bezpieczeństwa produktów weszło w życie 13 grudnia 2024 roku. Uchyliło i zastąpiło dotychczas obowiązujące w UE przepisy tworzące ramy prawne w zakresie ochrony konsumentów, w tym wprowadzoną w 2001 dyrektywę w sprawie ogólnego bezpieczeństwa produktów (General Product Safety Directive, GPSD). Było to konieczne, ponieważ wytyczne GPSD, których przestrzegano już od ponad dwudziestu lat, wymagały uaktualnienia.
Celem nowej regulacji było wypełnienie luk w standardach bezpieczeństwa produktów powstałych na skutek zmian, które zaszły przez ten czas na rynku. Chodziło przede wszystkim o dostosowanie do realiów gospodarki cyfrowej, w tym zwłaszcza o fakt, że handel detaliczny w ogromnym stopniu przeniósł się do Internetu, zaś przepisy powinny zapewniać ochronę każdemu konsumentowi, bez względu na kanał sprzedaży, z którego skorzystał.
Żeby to uzyskać, rozporządzenie GPSR m.in. poszerza listę przedsiębiorców odpowiedzialnych za bezpieczeństwo i nakłada na nich dodatkowe obowiązki. Zwiększony jest również zakres sankcji za wprowadzanie do obrotu produktów niebezpiecznych.
Czym jest produkt bezpieczny?
GPSR stosuje się do nowych, używanych, naprawionych i odnowionych produktów, dostępnych do dystrybucji, konsumpcji lub użytkowania na terenie Unii Europejskiej, oferowanych konsumentom za pośrednictwem wszystkich kanałów sprzedaży. Nie dotyczy m.in. żywności, produktów leczniczych ani pasz.
Na rynek można wprowadzać tylko produkty bezpieczne. Podczas oceny, czy dany wyrób do takich się zalicza, pod uwagę trzeba wziąć kilka kwestii.
Są to właściwości produktu: jego projekt, parametry techniczne, skład, opakowanie, instrukcja montażu i, jeśli są dostępne, instrukcje dotyczące instalacji, używania oraz konserwacji. Istotne jest również jego oddziaływanie na inne wyroby, jeżeli można przewidzieć, że będzie używany wraz z nimi, jak również wpływ, jaki one mogą mieć na niego. Uwzględnić trzeba sposób prezentacji produktu, jego oznakowanie, ostrzeżenia oraz instrukcje jego bezpiecznego używania i utylizacji.
Ocenia się też kategorie konsumentów, w szczególności przez analizę ryzyka dla grup podatnych na zagrożenia. Ważny jest wygląd produktu, jeżeli może skłonić do używania go inaczej niż w sposób, dla którego został zaprojektowany. Jeżeli wymaga tego jego specyfika, ocenia się jego właściwości cyberbezpieczeństwa niezbędne do ochrony przed zewnętrznymi wpływami, mogącymi zagrozić bezpieczeństwu konsumenta. Pod lupą muszą się też znaleźć ewoluujące, uczące się i predykcyjne funkcje produktu, o ile go to dotyczy.
Obowiązki wynikające z nowych przepisów
Wprowadzając produkty na rynek, producenci gwarantują, że zaprojektowano je i wyprodukowano zgodnie z wymogami bezpieczeństwa. Wcześniej muszą przeprowadzić wewnętrzną analizę ryzyka i sporządzić dokumentację techniczną, z opisem produktu i jego właściwości istotnych dla oceny jego bezpieczeństwa, za której aktualność odpowiadają. Ich obowiązkiem jest również oznakowanie go numerem typu, partii, serii lub innym identyfikatorem i swoją nazwą oraz danymi kontaktowymi umożliwiającymi składanie skarg i informowanie o problemach. Jeżeli stwierdzą, że ich produkt jest niebezpieczny, odpowiadają za jego wycofanie i ostrzeżenie konsumentów.
Główne obowiązki importerów to natomiast: zapewnienie zgodności produktów z GPSR, odmowa ich wprowadzenia na rynek, jeśli nie spełniają tego wymogu, podanie swoich danych kontaktowych na produkcie, sprawdzenie, czy opatrzono go instrukcjami i informacjami na temat bezpieczeństwa, wzięcie odpowiedzialności za przedmioty pod ich opieką podczas transportu oraz przechowywania, poinformowanie producentów i krajowych organów nadzoru rynku, jeśli ich zdaniem niebezpieczny produkt jest na rynku i ostrzeżenie o tym opinii publicznej.
Również dystrybutorzy są odpowiedzialni za zapewnienie, że producenci i importerzy przestrzegają wymogów GPSR, odmawiając wprowadzenia na rynek produktów, które ich nie spełniają. Powinni też informować producentów, importerów i krajowe organy nadzoru, gdy uważają, że niebezpieczny produkt znajduje się w obrocie.
GPSR szczególne obowiązki nakłada na dostawców internetowych platform handlowych. Takimi są: wdrożenie punktów kontaktu do komunikacji w kwestiach bezpieczeństwa z organami nadzoru rynku i z opinią publiczną oraz zarejestrowanie się w dedykowanym portalu Safety Gate. Powinni też dopilnować, aby bez minimalnych informacji o bezpieczeństwie i identyfikowalności produktu nie można było opublikować oferty. Muszą losowo sprawdzać, czy oferowane produkty są bezpieczne, korzystając w tym celu z publicznych baz danych, w tym portalu Safety Gate. Mają też obowiązek reagować na zarządzenia rządowe i powiadomienia osób trzecich, dbać o to, aby oferty usunięte nie były publikowane ponownie i informować konsumentów w razie wycofania produktu ze sprzedaży.
Dyrektywa NIS 2
Dyrektywa NIS 2, która weszła w życie z początkiem 2023 roku, dotyczy poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej. Zastępuje ona wcześniejszy dokument – dyrektywę NIS z 2016 roku. NIS 2 wprowadzono jako odpowiedź na dynamicznie zmieniający się krajobraz cyfrowy, rosnące zagrożenia wynikające z cyberataków oraz ujawnione niespójności we wdrażaniu przez państwa członkowskie Unii Europejskiej przepisów, które dotyczą bezpieczeństwa w cyberprzestrzeni.
Głównymi założeniami i celami tej dyrektywy są: nałożenie minimalnych wymagań na państwa UE w zakresie wdrażania przepisów poprawiających cyberbezpieczeństwo, zwiększenie wiedzy oraz świadomości w tym temacie, a tym samym poprawa zdolności reagowania na incydenty oraz minimalizowania ich wpływu, harmonizacja systemów sankcji i obowiązków sprawozdawczych, wzmocnienie nadzoru nad organami zarządzającymi oraz ogólny wzrost zaufania do usług cyfrowych. Podmioty objęte zakresem stosowania NIS 2 zostały podzielone na dwie grupy: organizacje kluczowe i ważne. Do pierwszych zaliczono m.in. firmy z sektora energetycznego i transportu, a do ważnych – producentów elektroniki i urządzeń elektrycznych. Podział ten determinuje stopień odpowiedzialności i poziom kar administracyjnych przewidzianych w przypadku niedopełnienia obowiązków nałożonych przez dyrektywę.
Co nowego w NIS 2?
NIS 2 wprowadza znaczące zmiany w porównaniu do NIS z 2016 roku. Ważną różnicą jest większa liczba podmiotów zobowiązanych do przestrzegania przepisów. Nowa dyrektywa zawiera poza tym szczegółowe minimalne wymagania dotyczące środków zarządzania ryzykiem.
Zgodnie z wymogami NIS2 wszystkie podmioty powinny przyjąć odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem cyberbezpieczeństwa dla sieci oraz systemów informatycznych. Środki te obejmują: wdrażanie polityki bezpieczeństwa IT, zaktualizowanie procedur i rozwiązań technologicznych, analizy ryzyka cybernetycznego, przygotowanie planów ciągłości działania i zarządzania kryzysowego, audyty bezpieczeństwa i testy penetracyjne.
Oprócz tego NIS2 zapewnia ściślejszy nadzór i egzekwowanie przepisów przez organy krajowe i kładzie większy nacisk na zarządzanie ryzykiem w łańcuchu dostaw, obejmując swoim zakresem zagrożenia związane z relacjami między podmiotami i dostawcami. Przypisuje również szczególną wagę szkoleniom i higienie cybernetycznej.
Podsumowanie
Dzięki rozporządzeniu GPSR konsumenci mogą się poczuć bezpieczniej, bowiem zyskują pewność, że online kupują produkty, które są tak samo bezpieczne, jak te nabyte w sklepach stacjonarnych. Mają też gwarancję uzyskania jasnych informacji o produkcie, niezależnie od sposobu jego zakupu. Łatwiejsze identyfikowanie strony odpowiedzialnej za bezpieczeństwo produktu oraz uproszczone zgłaszanie niebezpiecznych produktów to kolejne korzyści dla kupujących.
Z punktu widzenia przedsiębiorców wdrożenie zaleceń GPSR oznacza nowe wyzwania. Z drugiej jednak strony wprowadzenie tego rozporządzenia zapewnia im szereg możliwości, m.in. zgodność z jego wytycznymi umożliwia producentom i dystrybutorom wzmocnienie zaufania konsumentów do ich produktów. To z kolei korzystnie wpływa na reputację ich marki. Gwarancja bezpieczeństwa produktów poprawia również ich konkurencyjność, ponieważ te zgodne z GPSR mają ułatwiony dostęp do rynków w krajach Unii Europejskiej. Jednocześnie przestrzeganie zaleceń rozporządzenia minimalizuje ryzyko prawne i wynikający z niego obowiązek zapłaty kar pieniężnych nakładanych przez organy nadzoru i odszkodowań dla klientów oraz ponoszenia kosztów wycofania produktów. Przedsiębiorcy mogą dzięki temu uniknąć strat finansowych, wzmacniając zarazem swoją pozycji na rynku w perspektywie długoterminowej.
Dyrektywa NIS 2 jest z kolei próbą uregulowania kwestii cyberbezpieczeństwa. W obliczu napięć geopolitycznych cyberataki są jednym z poważniejszych zagrożeń, z jakimi trzeba się liczyć, nie tylko w zakresie prywatności, ale i szeroko pojętego bezpieczeństwa, jeżeli dotyczą infrastruktury krytycznej lub są narzędziem wojny hybrydowej. Można mieć nadzieję, że dyrektywa ta zwiększy odporność państw UE w tym zakresie. W obu przypadkach pozostaje nam czekać na rzeczywiste skutki wprowadzenia GPSR i NIS 2 w życie.
Monika Jaworowska
