GDPR для стартапів: вимоги які ставляться перед новими проектами

01 Червня 2020

Перед стартом нового бізнесу або ж конкретного проекту, кожен власник планує стратегію дій, зокрема в юридичній та фінансовій площинах. Такі дії зазвичай спрямовані на забезпечення юридичних, фінансових та організаційних заходів, що допоможуть запустити стартап. Однак, останнім часом, актуальним також стало питання захисту персональних даних з якими працюють компанії.

Юридична та фінансова складові запуску стартапу

Будь-хто знає, що перед запуском кожного окремого стартапу, повинні бути враховані та реалізовані особливості щодо корпоративної структури новоствореного проекту, які полягають в розподіленні ролей кожного окремого учасника проекту, зокрема таких як засновники та інвестори. Необхідно, на самому початку запуску стартапу, розподілити частки учасників, а також вибудувати стратегію зміни відсоткового співвідношення часток у майбутньому, якщо такі умови передбачаються в рамках діяльності компанії. В цій ситуації мова, наприклад, може йти про інвесторів, які на підставі конкретних інвестиційних договорів, можуть збільшувати відсоткове співвідношення своєї частки  в статутному капіталі компанії, в залежності від динаміки отримання прибутків стартапу в рамка визначених етапів.

Так само повинні враховуватися і особливості залучення та вливання фінансових засобів, які найчастіше залучаються через різного типу інвестиційні контракти, стороною яких є стартап. Умови таких договорів є різні і можуть передбачати як входження інвестора в число учасників компанії, в залежності від конкретних умов, так і повернення коштів з певними відсотками у майбутньому. Однак, в цій статті ми поговоримо не про такі аспекти запуску стартапів, а про особливості організації  та регулювання захисту персональних даних, якими оперує компанія, для можливості уникнення відповідальності у майбутньому.

Організація захисту персональних даних

(і) Найважливішим і найпершим аспектом забезпечення захисту персональних даних в середині новоствореної компанії, є визначення об’єму та кількості персональних даних, якими оперує або може оперувати компанія в майбутньому. У зв’язку з цим, повинна бути проведена так звана інвентаризація даних (Data Inventory), якщо реалізація проекту розпочалася не з самого початку діяльності. Разом з тим, можу бути здійснене визначення та відображення можливого руху персональних даних, в рамках новоствореного проекту, в майбутньому (Data mapping).

(іі) Досить важливим є також питання визначення відповідальних осіб та підбір команди, так як забезпечення організації відповідності компанії вимогам GDPR потребує досвіду, певних знань та кваліфікації. Так спеціалістом по захисту даних, який буде відповідальним за реалізацію проекту (менеджер проекту), краще призначити керівника компанії, який пройде відповідний курс підвищення кваліфікації в області організації захисту даних, або ж конкретного спеціаліста з профільною освітою, навиками та відповідним досвідом. В будь-якому випадку, на цю особу покладатимемся вся відповідальність за реалізацію та забезпечення відповідності GDPR, як на стратегічному, так і тактичному рівнях.

В рамках компанії також повинні бути визначені технічні та інші спеціалісти, які б забезпечили практичну реалізацію завдань, в рамках проекту та мали можливість підтримувати відповідність компанії на належному рівні, протягом всієї її діяльності. При цьому, кваліфікація таких спеціалістів, не є визначальною, адже керівництво проектом, поставлення коректних завдань та контроль за їхнім виконанням покладаються на менеджера проекту.

Якщо говорити про роль Data Protection Officer, то його участь хоч і передбачається положеннями GDPR, однак не є критичною для всіх випадків. Так наприклад є ситуації, коли призначення DPO є обов’язковим, але, паралельно, існують випадки, коли призначення такої особи є бажаним, а ніж необхідним. Це наприклад випадки, коли компанія вагається в питанні призначення Data Protection Officer. Разом з цим, варто пам’ятати, що DPO ніколи не повинен виконувати роль менеджера проекту.

Про особливості залучення DPO, в контексті вимог GDPR, зокрема на контрактній основі та на умовах працевлаштування, ви можете почитати в інших наших статтях, розміщених на нашому сайті. 

Вжиття заходів безпеки та розробка відповідних документів для забезпечення GDPR compliance

(і) Вжиття технічних та організаційних заходів для забезпечення належної обробки персональних даних в рамках функціонування компанії, в контексті вимог GDPR, є ключовою вимогою General Data Protection Regulation, яка врегульовує це питання в цілій низці своїх норм.

Так наприклад стаття 32 GDPR передбачає, що і контролер і обробник персональних даних повинні здійснювати обробку персональних даних, враховуючи цілу низку факторів, що є життєво важливими для належної організації безпеки даних. Окрім цього, в рамках цієї статті, на ряду з іншими заходами, наводяться такі приклади технічних заходів як псевдонімізація та шифрування, що в свою чергу стає більш вимогою, а ніж рекомендацією для всіх компаній, які здійснюють обробку персональних даних.

(іі) Що ж стосується організаційних заході безпеки – до них відносяться всі заходи в рамках компанія, спрямовані на належну організацію процесу переміщення персональних даних в середині компанії, в руслі вимог GDPR, з моменту отримання даних, і аж до моменту їхнього видалення. До таких заходів ми можемо віднести як документарне розподілення ролей між всіма учасниками процесу обробки даних, так і навчання або підвищення обізнаності залучених осіб по питанням застосування GDPR.

Загалом же, перелік організаційних та технічних заходів, які можуть бути вжиті компанією не є вичерпним і кожна компанія індивідуально визначає перелік необхідних для себе дій, в залежності від специфіки свого бізнесу та оброблюваних персональних даних.

(ііі) Особливу увагу ми хотіли б приділити розробці документів, адже їхній перелік, наповнення та зміст можуть бути різними та мати свою власну специфіку. Однак, при цьому, основними документами завжди залишатимуться Privacy Policy, Cookie Policy та Information Security Policy. Тріо цих документів повинні становити основу вашої стратегії щодо організації відповідності компанії вимогам GDPR, а також служити підґрунтям для розробки більш деталізованих та вузькоспеціалізованих документів в рамках діяльності компанії. Політики, процедури, інформаційні таблиці, реєстри, накази та протоколи повинні доповнювати плеяду життєво важливих документів, які б забезпечували компанії повний GDPR compliance.

Розробка документів може мати певну специфіку, а отже використання встановлених мережею Інтернет шаблонів не буде панацеєю від застосування відповідальності з боку контролюючих органів, у випадку порушення правил обробки даних. Саме тому, ми радимо вам уважно готувати всі документи, адже вони є вашим «каркасом» в побудові міцної системи захисту персональних даних в рамках вимог GDPR. Разом з тим, консультація та практична порада кваліфікованих практикуючих спеціалістів ніколи не буде зайвою.