QualiBooth

compliance

Czego GDPR nauczyło nas o EAA

Europejski Akt o Dostępności podąża tą samą ścieżką egzekwowania co GDPR. Jeśli Twoja organizacja nauczyła się GDPR na własnych błędach, oto jak ich nie powtórzyć.

5 min read QualiBooth
Flaga UE przed europejskim budynkiem rządowym, symbolizująca unijne regulacje cyfrowe.

Już tu byliśmy

W 2018 roku GDPR weszło w życie, a reakcja większości organizacji przebiegała według przewidywalnego schematu. Okres niemal całkowitej ciszy. Potem, w miarę zbliżania się terminu, gorączkowe działania. A następnie, gdy egzekwowanie faktycznie nadeszło, prawdziwa presja i pośpiech, by osiągnąć zgodność w czasie znacznie krótszym, niż powinno to trwać.

Europejski Akt o Dostępności podąża tą samą trajektorią. Termin — 28 czerwca 2025 r. — minął. Egzekwowanie jest w toku. A organizacje, które traktowały dostępność jako sprawę typu “zajmiemy się tym kiedyś”, właśnie odkrywają, że to “kiedyś” już nadeszło.

Jeśli przeszedłeś przez GDPR, wiele z tego, co następuje, wyda Ci się znajome.

Co je łączy

Termin osiągnięcia zgodności, którego większość organizacji nie dotrzymała

Gdy GDPR weszło w życie w maju 2018 roku, badania pokazały, że większość firm w UE nie była zgodna z przepisami — w niektórych raportach odsetek ten przekraczał 60%. Historia z EAA wygląda podobnie. Badania opublikowane na krótko przed terminem w czerwcu 2025 r. konsekwentnie pokazywały, że jedynie niewielki ułamek firm objętych aktem osiągnął rzeczywistą zgodność.

Oba akty prawne mają ten sam podstawowy schemat: długi okres przygotowawczy, w którym większość organizacji podejmuje ograniczone działania, po którym następuje przypływ aktywności w miarę zbliżania się terminu, a następnie trwające egzekwowanie wobec tych, którzy nie działali wystarczająco szybko.

Zakres terytorialny, który wiele firm zlekceważyło

GDPR ma zastosowanie do każdej organizacji, która przetwarza dane mieszkańców UE, niezależnie od tego, gdzie ta organizacja ma siedzibę. EAA działa podobnie: jeśli Twój produkt lub usługa cyfrowa są sprzedawane klientom w UE, a Twoja organizacja spełnia progi wielkości (ponad 10 pracowników i ponad 2 mln euro obrotu), musisz zapewnić zgodność — niezależnie od tego, czy Twoja siedziba znajduje się w Monachium, czy w San Francisco.

Wiele firm spoza UE było zaskoczonych zasięgiem GDPR. To samo dzieje się w przypadku EAA.

Ramy kar z prawdziwymi zębami

Kary przewidziane w GDPR — do 4% globalnego rocznego obrotu lub 20 mln euro, w zależności od tego, która kwota jest wyższa — trafiały na czołówki gazet. Organizacje otrzymywały wielomilionowe kary za uchybienia, które w wielu przypadkach można było zapobiec.

Kary w ramach EAA są ustalane na poziomie krajowym, więc różnią się między państwami członkowskimi. Nie są jednak błahe. Zarówno Włochy, jak i Francja przewidują kary rzędu dziesiątek tysięcy euro za naruszenie. Niemieckie wdrożenie Barrierefreiheitsstärkungsgesetz (BFSG) obejmuje znaczące kary. I w przeciwieństwie do GDPR, gdzie wiele naruszeń wykrywano dzięki wyciekom danych lub skargom, uchybienia w dostępności są widoczne dla każdego, kto odwiedza Twoją witrynę z czytnikiem ekranu — w tym dla organizacji rzeczniczych na rzecz osób z niepełnosprawnościami, które składają skargi dotyczące dostępności.

Czym EAA różni się od GDPR

Naruszenia dostępności są widoczne z zewnątrz

Naruszenia GDPR często wymagały skargi osoby z wewnątrz lub zgłoszenia naruszenia, aby wyjść na jaw. Uchybienia w dostępności są publicznie wykrywalne. Każdy może otworzyć Twoją witrynę, uruchomić skanowanie automatyczne lub przetestować ją za pomocą czytnika ekranu i udokumentować to, co znajdzie. Grupy rzecznicze na rzecz osób z niepełnosprawnościami robią dokładnie to, systematycznie.

Oznacza to, że pula potencjalnych skarżących jest znacznie większa, a bariera złożenia skargi znacznie niższa. Nie potrzebujesz dostępu do systemów wewnętrznych ani wyciekłych dokumentów. Wystarczy Ci przeglądarka.

Standard techniczny jest już określony

GDPR wymagało od organizacji wdrożenia “odpowiednich środków technicznych i organizacyjnych” w celu ochrony danych — standardu celowo nieprecyzyjnego, aby uwzględnić zmiany technologiczne. EAA określa konkretny standard techniczny: EN 301 549, który odwołuje się do Wytycznych dotyczących dostępności treści internetowych (WCAG 2.1/2.2) na poziomie AA.

Ta jasność jest mieczem obosiecznym. Z jednej strony organizacje wiedzą dokładnie, co muszą osiągnąć. Z drugiej strony ułatwia to wykazanie niezgodności — narzędzia automatyczne mogą wygenerować szczegółowy raport o naruszeniach w kilka sekund.

Wczesne egzekwowanie już się dzieje

GDPR miało stosunkowo cichy pierwszy rok egzekwowania, zanim pojawiły się poważne kary. Egzekwowanie EAA postępuje szybciej. Francuskie organy zaczęły wydawać wezwania dużym sieciom handlowym wkrótce po upływie terminu. Sąd w Paryżu wydał orzeczenie w sprawie dostępności platformy szkolnej, które obejmowało potencjalne kary w wysokości 25 000 euro rocznie. Organizacje rzecznicze w państwach członkowskich UE aktywnie składają skargi.

Lekcje z GDPR, które mają zastosowanie do EAA

”Osiągniemy zgodność, zanim egzekwowanie do nas dotrze” nie jest strategią

Wiele organizacji dokonało tej kalkulacji w przypadku GDPR i przekonało się, że egzekwowanie było szybsze i bardziej ukierunkowane, niż oczekiwały. Skargi dotyczące dostępności są składane już teraz. Organizacje, które wyprzedzają ten problem, to te, które zaczynają audyt i działania naprawcze, zanim otrzymają formalne wezwanie.

Dokumentacja liczy się tak samo, jak poprawka techniczna

GDPR wymagało od organizacji prowadzenia rejestrów czynności przetwarzania, ocen skutków dla ochrony danych oraz dowodów zgody. EAA wymaga dostępnych platform oraz — w wielu krajowych wdrożeniach — deklaracji dostępności, które dokumentują aktualne poziomy zgodności, znane wyjątki i mechanizmy kontaktu umożliwiające użytkownikom zgłaszanie barier.

Posiadanie deklaracji dostępności, która dokładnie odzwierciedla Twój aktualny stan — oraz możliwość wykazania ciągłego doskonalenia — stanowi istotny dowód zgodności w dobrej wierze.

Zgodność to proces, a nie projekt

Pułapką myślową w podejściu do GDPR było traktowanie zgodności jako rubryki do odhaczenia: zaangażować zespół prawny, zaktualizować politykę prywatności, dodać banery cookie, gotowe. Wiele organizacji następnie zaprzestało działań — by odkryć, że muszą wrócić do kwestii zgodności przy wprowadzaniu nowych produktów lub aktualizacji istniejących.

Dostępność działa tak samo. Każda nowa funkcja, każdy komponent podmiotu zewnętrznego, każde odświeżenie projektu może wprowadzić nowe bariery. Trwała zgodność wymaga integrowania dostępności z procesami deweloperskimi i redakcyjnymi, a nie traktowania jej jako jednorazowej naprawy. Nasz przewodnik na temat dostępności w cyklu życia oprogramowania opisuje, jak wygląda to w praktyce.

Zacznij od punktu odniesienia

Zanim zaplanujesz działania naprawcze, musisz zrozumieć, na jakim etapie obecnie się znajdujesz. Oznacza to przeprowadzenie audytu — zarówno automatycznego, jak i manualnego — aby udokumentować uchybienia, ustalić ich priorytety według wpływu i częstotliwości oraz stworzyć realistyczny plan naprawczy.

Jeśli jeszcze tego nie zrobiłeś, najszybszym punktem wyjścia jest bezpłatne skanowanie automatyczne, które daje natychmiastowy obraz naruszeń możliwych do wykrycia automatycznie. Aby uzyskać pełny obraz — w tym około 60–70% barier, których narzędzia automatyczne nie potrafią wykryć — niezbędne są testy manualne prowadzone przez osoby korzystające z technologii wspomagających.

Organizacje, które dobrze poradziły sobie z GDPR, nie czekały na egzekwowanie. Oceniły swoją sytuację, opracowały plan i zrealizowały go z taką samą pilnością, z jaką podeszłyby do każdego innego istotnego ryzyka biznesowego. EAA zasługuje na takie samo podejście.

Sprawdź, czy Twoja witryna spełnia wymogi EAA