ESG, czyli Environment (środowisko), Social (odpowiedzialność społeczna), oraz Governance (ład korporacyjny), to konkretne praktyki, które mają na celu kształtowanie strategii biznesowych przedsiębiorców, uwzględniając przy tym wpływ, jaki ich działania wywierają na otoczenie.
- Poziom inwestycji danej firmy w ESG ma świadczyć o poziomie dbania przez przedsiębiorcę o wpływ inwestycji na środowisko oraz zaangażowania w etykę, zrównoważony rozwój i utrzymanie zgodności z przepisami, w tym przepisami dotyczącymi ochrony danych osobowych i prywatności - mówi Julia Olszewska, aplikant adwokacki w PwC Polska.
Jak zmniejszyć swój ślad cyfrowy?
ESG to także istotne kryterium oceny firm, pozwalające na przyciągnięcie oraz utrzymanie inwestorów, konsumentów, użytkowników końcowych, a także wysoko wykwalifikowanych pracowników. - Zapewnienie wysokiego poziomu zgodności w zakresie ochrony danych osobowych i prywatności pracowników, konsumentów, użytkowników końcowych oraz innych podmiotów danych jest więc częścią komponentów "Social", jak i "Governance", czyli czynnika społecznego jak i zarządczego danej firmy, a także "Environment" - wymienia Julia Olszewska.
Zgodnie z szacunkami Międzynarodowej Agencji Energii, centra danych zużywają średnio 270 terawatogodzin energii elektrycznej, czyli około 1 proc. globalnego zapotrzebowania na energię elektryczną, przyczyniając się do 0,6 proc. wszystkich globalnych emisji gazów cieplarnianych. Ochrona danych osobowych oraz właściwe i regularne usuwanie niepotrzebnych danych może więc zmniejszać ślad cyfrowy i skutecznie przyczyniać się także do ochrony środowiska.
Paulina Komorowska-Mrozik, radca prawny w PwC Polska, zauważa, że ochrona danych osobowych i prywatności realizowana w ramach ESG to relatywnie nowe zagadnienie, niemniej szczególnie ważne z uwagi na coraz liczniejsze obowiązki regulacyjne w tym obszarze oraz rosnącą świadomość konsumentów i użytkowników końcowych dotyczącą przetwarzania ich danych osobowych.
- Odporność w zakresie cyberbezpieczeństwa i ochrony danych osobowych stanowi także niezwykle ważny element wizerunkowy przedsiębiorstw, zwłaszcza tych operujących w bardzo konkurencyjnej branży e-commerce, w której przetwarzanie danych osobowych stanowi istotny element strategii biznesowej – podkreśla ekspertka PwC Polska.
Ochrona danych na poważnie
W praktyce już teraz w swoich raportach o ESG na powyższy aspekt zwracają uwagę czołowe polskie spółki, które w rozdziałach poświęconych zarządzaniu ryzykiem, czy odpowiedzialnemu zarządzaniu, szeroko opisują swoje działania podjęte na rzecz ochrony prywatności, czy zapewnieniu cyberbezpieczeństwa. Wskazują przy tym na kluczowy zestaw narzędzi organizacyjnych, jakie pomagają im w osiąganiu tego celu. Są to przykładowo polityki zarządzania incydentami bezpieczeństwa danych, zasady przechowywania danych, czy polityki zapewniające ciągłości działania spółek.
Julia Olszewska wskazuje też na inną praktykę sprzyjającą zwiększeniu zgodności z prawem oraz umacnianiu dojrzałości przedsiębiorstwa w obszarze ochrony danych osobowych – jest nią przeprowadzanie regularnej, cyklicznej oceny programów ochrony prywatności i bezpieczeństwa, mającej na celu wykrycie obszarów szczególnie narażonych na wystąpienie nieprawidłowości.
- Utrzymanie zgodności w obszarze prywatności i bezpieczeństwa danych stało się więc elementem kształtowania wartości etycznych, społecznych i zarządczych firm, a przez to istotnym czynnikiem wpływającym na realizację strategii ESG przedsiębiorstwa - wskazuje Paulina Komorowska-Mrozik.
Raportowanie w obszarze ochrony danych osobowych i prywatności
Oprócz trendów rynkowych, na zwiększenie poziomu sprawozdawczości przedsiębiorstw w obszarze ESG istotnie wpływają także rosnące obowiązki regulacyjne, w tym te wynikające z dyrektywy Corporate Sustainability Reporting Directive (dyrektywa CSRD)1. Wprowadza ona bowiem nowe przepisy, które znacząco zwiększą liczbę firm w Unii Europejskiej zobowiązanych do raportowania w zakresie ochrony środowiska, odpowiedzialności społecznej i ładu korporacyjnego oraz zmienia zakres raportowania znany niektórym przedsiębiorcom do tej pory.
Przykładowo - dotychczas na gruncie prawnym obowiązki raportowe w zakresie ESG dotyczyły jedynie około 12 tysięcy firm takich jak banki, firmy ubezpieczeniowe czy fundusze inwestycyjne. Po wejściu w życie dyrektywy CSRD, szacuje się, że powyższe zobowiązanie dotyczyć będzie około 50 tysięcy spółek działających w Unii Europejskiej, a do 2027 roku obowiązkiem raportowania objęte zostaną również notowane na giełdzie małe i średnie przedsiębiorstwa zatrudniające powyżej 10 pracowników oraz przekraczające próg 3 mln złotych przychodu netto, bądź 1,5 mln złotych sumy aktywów.
Paulina Komorowska-Mrozik akcentuje, że chociaż dyrektywa CSRD nie stwarza bezpośrednio obowiązków raportowania w obszarze ochrony danych osobowych, to z przygotowanych przez EFRAG2 projektów Europejskich Standardów Raportowania Zrównoważonego Rozwoju (European Sustainability Reporting Standards, ESRS) mogą wynikać obowiązki m.in. w zakresie wpływu działalności spółki w obszarze ochrony danych osobowych i prywatności stron trzecich. Tym samym strategie ESG powinny uwzględniać te kwestie, by sprostać wymaganiom unijnego prawodawcy.
Kluczowe wnioski?
W związku ze wzrostem znaczenia zrównoważonego rozwoju w strategiach biznesowych firm oraz regularnym zwiększaniem inwestycji w obszar ESG, przedsiębiorcy powinni zintensyfikować swoje dotychczasowe działania w zakresie zarządzania ryzykiem dotyczącym cyberbezpieczeństwa oraz ochrony prywatności. Namacalnym przejawem tych działań może być:
- Przeprowadzanie cyklicznych szkoleń dla pracowników w zakresie danych osobowych i cyberbezpieczeństwa.
- Posiadanie kompleksowych oraz wdrożonych polityk dotyczących przetwarzania danych osobowych, w tym w szczególności w zakresie retencji danych, zarządzania incydentami ochrony danych osobowych, zapewnienia ciągłości działania w przypadku ich wystąpienia, czy procedury ich zgłaszania do organu nadzorczego oraz sprawnej realizacji praw podmiotów danych.
- Wdrożenie rozwiązań informatycznych, pozwalających na skuteczną realizację powyższych działań.
- Te i inne działania w zakresie odpowiedzialnego zarządzania danymi oraz cyberbezpieczeństwem, są nie tylko przejawem zaangażowania danej firmy w zrównoważone i odpowiedzialne zarządzanie przedsiębiorstwem, ale także elementem, który może być z powodzeniem odnotowywany w komunikacji do inwestorów oraz konsumentów – podsumowuje Paulina Komorowska-Mrozik, radca prawny w PwC Polska.
1 Dyrektywa parlamentu europejskiego i rady (ue) 2022/2464 z dnia 14 grudnia 2022 r. w sprawie zmiany rozporządzenia (ue) nr 537/2014, dyrektywy 2004/109/we, dyrektywy 2006/43/we oraz dyrektywy 2013/34/ue w odniesieniu do sprawozdawczości przedsiębiorstw w zakresie zrównoważonego rozwoju (dz. u. ue. l. z 2022 r. nr 322, str. 15).
2 The European Financial Reporting Advisory Group.
Zapisz się na newsletter PwC Retail Platform, aby na bieżąco dostawać najważniejsze analizy z sektora handlu detalicznego i dóbr konsumpcyjnych!
