европейски

Тази година е пикът на няколко всеобхватни нови регулации, които засягат всички, но особено банките и дигиталния бизнес. Високите разходи за спазване на законодателството отклоняват бизнеса от създаването на нови продукти и услуги; ще бъдат засегнати бизнес моделите.

Ако съществуваше надежден индикатор за измерване на регулаторното бреме, 2018 година сигурно щеше да счупи всички исторически рекорди и медиите можеха да изведат на първите си страници този процес, който все повече тегне върху нормалния бизнес у нас, а и в цяла Европа. Но такъв индикатор не съществува и затова не ни остава друго, освен да опишем непрекъснато растящите и променящи се регулации.


Търсения на GDPR и пране на пари в световен мащаб


Търсения на GDPR и на пране на пари в България


Интерес към някои местни теми

Докато българското законодателство става все по-хаотично и реагира на най-неочаквани поводи и лобистки натиск, откъм Брюксел се зададе истински ураган от нови регулации. Два сектора – дигиталната икономика и финансовите услуги, са изложени особено силно на неговото въздействие.

Степента на несигурност в българското законотворчество като че ли доближава точката на оптимизъм (защото не може да е по-зле) и, тъй като това е политически въпрос, той не подлежи на експертен коментар. Не е така с множащите се европейски регулации, които понякога напомнят за бълхата в юргана.

Мнозина вероятно ще възразят, че по-големият проблем са местните регулации, за които властите са по-мотивирани, отколкото преписаните европейски директиви. Но границите в ЕС все повече са размиват и европейските правила, особено когато преминават прага на приложимост, засягат немалка част от бизнеса. В същото време те създават алиби на местни законотворци да продължат с постоянното прекрояване на правните разпоредби. Понякога европейските директиви са само повод, за да се вмъкне някоя спорна промяна. Друг път те са толкова зле преписани, че се наложи, например, всяка българска компания, която има банкова сметка, да декларира изрично, че не е централна банка (по закона срещу тероризма). Затова нека да видим голямата картина.

Сега в устата на всички е Общият регламент за защита на личните данни (GDPR). През тази година всяка активна компания в ЕС трябва да инвестира значителни средства и усилия, за да го въведе до 25 май.

Голяма част от бизнеса, както и различни НПО, политически партии, спортни клубове и др. ще трябва да отговорят на новите правила срещу изпиране на пари. За организациите в България, където законът бе приет със закъснение, срокът изтича в края на лятото*.

GDPR е само част от вълна от нови регулации в дигиталната сфера. ЕК имаше намерение да въведе едновременно и новия e-Privacy регламент, на мястото на сегашната директива, която урежда електронните комуникации. През май влиза в сила директивата за мрежова сигурност (NIS), заради която българското правителство в края на март пусна за обсъждане проектозакон за киберсигурност. Освен това на дневен ред е директивата за авторското право, която може да задължи платформите да филтрират съдържание с неуредени авторски права – спорна реализация на добро намерение. Франция иска дигитален данък, който предполага други нови регулаци и т. н.

Финансовият сектор от своя страна е изправен пред новата платежна директива, която шефката на банка Santander Ана Ботин определи в интервю за FT като нечестна. Вече е в сила директивата за пазарите на финансови инструменти – MiFID. Секторът предстои да се справи и с променените правила на Базел ІІІ (след 2022 г., но все още няма яснота за някои елементи като риска по държавния дълг). (Още по темата)

Някои от новите регулации са глобални. Така поетапно влизат в сила нови Международни стандарти за финансово отчитане, които засягат основно големия бизнес. Отделно от това са в ход мерки срещу избягване на данъци, в това число по проекта BEPS, които са насочени срещу свиването на данъчната основа и неоснователното прехвърляне на печалби. В последния случай вече имахме промяна на ДОПК, която засяга отчитането на мултинационалните компании и се очаква сериозно да бъде засегнато изплащането на възнаграждения, лихви, дивиденти и пр. в чужбина, което се урежда от Спогодби за избягване на двойното данъчно облагане.

Предстои мащабна промяна на ДДС на европейско ниво, както и въвеждане на хармонизирана данъчна основа по ЗКПО. Това е само част от списъка със значими промени.

Разходите на бизнеса за справяне с новите регулации са значителни. Прилагането на директивата за мерките срещу изпиране на пари, например, ще струва на европейските финансови институции 83.5 млрд. долара (70 млрд. евро), съобщи Financial Times.
Само 500-те компании от Fortune 500 ще похарчат 7.8 млрд. долара за постигане на съответствие с GDPR, според оценка на Международната организация на специалистите по защита на лични данни (IAPP) и EY. Това означава среден разход от 16 млн. долара. За средните предприятия сумата е около 500 хил. долара, но все така мащабна.
Друго проучване – на McKinsey & Company твърди, че компаниите трябва да заделят по 10 млн. долара, за да се справят с GDPR и това ще им отнеме средно по 18 месеца.

Това роди цяла нова индустрия, а специалистите по кибер сигурност и ИТ се радват на добра реколта. Никой консултант не вдига телефона си за по-малко от 1 млн. евро, коментира бизнесмен в репортаж на Ройтерс. Агенцията цитира данни за Axiom, американска правна кантора, която твърди, че е отделила 200 адвоката (или една шеста от всички) да работят по GDPR.

За съжаление, не съществуват оценки за България, с изключение на твърдението, че бизнесът ще се нуждае от 50 хиляди до 80 000 нови служители заради GDPR, което далеч не изчерпва разходите му за постигане на съответствие. Това се прибавя към и бездруго високата бюрократична тежест в България (например, разходите за плащане на данъци са по-високи от средното в ЕС).

Като се вземат предвид общите разходи за спазване на законодателството и заплахата от санкции, които в случая с GDPR достигат до 4% от годишния оборот, новите регулации променят значително рисковия профил на организациите в Европа.

Те засягат едновременно малки и големи. И ако част от правилата се отнасят до институции, които работят с чувствителна информация, като здравни заведения или за които управлението на риска е част от дейността, като финансовите компании, за голяма част от малкия бизнес те идват изневиделица. Това не се отнася само за GDPR, а и за съществуващи вече правила като изискванията за здравословни и безопасни условия на труд и за трудова медицина, чието формално изпълнение е обществена тайна.

В някои случаи Брюксел смело прекрачва в територии, в които регулациите могат само да подпомагат намирането на пазарно решение. Такива примери са мерките срещу фалшивите новини и всякакви  регулации на пазари, които не са обременени от монопол – например, на храните. Но все по-често виждаме прекомерни регулации, водени от правилни подбуди.

Зад повечето регламенти стоят добри намерения и доказана необходимост. Приемането на GDPR, например, има сериозни основания. Данните са новата валута, както често твърдят еврокомисарят по цифрова икономика Мария Габриел и нейните колеги. Разкритията на Едуард Сноудън и случаят с Кеймбридж Аналитика подпечатват подобни заключения. Усилията за координиране на данъчното облагане на глобално ниво вземат добър повод от практиките на технологичните гиганти.

Чрез новите регулации европейските институции се опитват да търсят решения в следните четири области:
– намаляване и по-добро управление на рисковете във финансовия сектор като отговор на финансовата криза от 2007/8 г. и кризата в еврозоната;
– опит да се догони развитието на технологиите;
– мерки срещу избягването на данъци и сенчестия бизнес, чиито схеми – благодарение на глобализацията и нови дигитални инструменти, стават все по-трудно проследими;
– защита на потребителите.

Ако говорех добре езика на Европейската комисия и Европейския парламент, щях да обобщя, че тези регулации целят да помогнат на компаниите да отговорят на предизвикателствата на съвременния свят, като изградят капацитет за управление на процесите, свързани с цифровата икономика и да могат успешно да приложат мерки за защита на интересите на европейските граждани, като балансират рисковете и създадат условия за развитие на иновациите. Трудно е да се възрази на това.

И все пак висят съмнения, първо, за мярата и практическата приложимост на новите регулации, особено когато се засяга малкият бизнес, и второ, за съгласуването на правилата помежду им.

Фактът, че през последната година трудно може да се намери изследване, което да показва, че повече от половината фирми ще бъдат готови за GDPR, говори достатъчно за това колко реалистично е да се приложи от 25 май (виж и тук). Срокът от две години се оказа твърде кратък за толкова мащабна промяна и не говори добре за способността на европейските институции да преценяват последиците от действията си. Възможно бе, например, да се предвиди отсрочка за някои от най-тежките изисквания или те да се въведат първо за големите компании. В страни като България, където за GDPR се заговори едва през 2017 г. изоставането е още по-голямо. Водещи западни медии вече открито дискутират вероятността в първите месеци след влизане в сила на регламента той да не се прилага в цялост.

Макар и действие в правилна посока, GDPR е тежък и неясен и в редица случаи стоварва тежестта върху ползвателите на дигитални услуги, гравитиращи около гиганти като Facebook, вместо върху бизнеса, който наистина печели от посредничество с лични данни.  Прилагането на GDPR ще наложи пренаписването на всички бизнес процеси на организациите, които работят с данни – това не са само технологични компании, а и счетоводни къщи например. Те буквално трябва да спрат работа за известно време, за да се подготвят. Ефектът невинаги е ясен. Например, изискването за преносимост на данните е едно от тежките задължения по GDPR, което може да засегне дори онлайн магазин с един-единствен зает. Не е сигурно, че някой от клиентите на такава услуга някога ще поиска csv файл с данните за поръчките си, но регламентът защитава това негово право със същата неумолимост, с която забранява на компании като Google и Facebook да събират данни без позволение.

Друга директива – MiFID влезе в сила от началото на годината като по всеобщо признание организациите не успяха да се подготвят за прилагането й (виж тук и тук).

Един закон, който е прекомерен, не може да постигне целите си. Бизнесът може да го заобиколи, а тези, в чийто интерес се прави, ще го пренебрегнат. Тема за размисъл: скорошно изследване разкри, че ако един потребител чете правилата на защита на личните данни на всеки сайт, който посещава, това ще му отнема по 244 часа всяка година.

Несъгласуваността на правилата е другото изпитание за бизнеса. Например, докато от гледна точка на личните данни следва да събирате колкото може по-малко информация и да я пазите колкото може по-кратко, правилата срещу изпиране на пари и MiFID налагат запазване на информация и идентифициране на клиенти.  Компаниите трябва да са готови за постоянен одит на бизнес процеси, за да преценяват във всеки отделен случай кой закон е специален и има предимство.

Докато хиляди европейски компании трескаво инвестират в нов софтуер и кибер защита, прочистват базите данни и наемат скъпоплатени консултанти, те още не знаят дали когато влязат в сила новите правила за бисквитки или за таргетираната реклама, няма да се наложи да пренапишат отново документите, софтуера и дори бизнес модела си. Защото новите правила не носят само разходи за постигане на съответствие със законодателството, но и засягат сърцевината на бизнеса. За много компании – не само финансови и технологични, но и малки агенции, занимаващи се с маркетинг, новите дигитални правила или директивата за платежни услуги ще донесат и загуба на приходи.

Толкова много нови регулации наведнъж са твърде голямо съвпадение, а времето за приспобяване се оказва критично малко.

  • * Директивите за разлика от регламентите изискват законодателни решения, за да бъдат приложени в националното законодателство