GDPR для стартапов: требования, которые ставятся перед новыми проектами

Перед запуском нового бизнеса или конкретного проекта, каждый владелец планирует стратегию действий, в частности в юридической и финансовой плоскостях. Такие действия обычно направлены на обеспечение юридических, финансовых и организационных мероприятий, которые помогут запустить стартап. Однако в последнее время актуальным также стал вопрос защиты персональных данных, с которыми работают компании.

Юридическая и финансовая составляющие запуска стартапа

Любой знает, что перед запуском каждого отдельного стартапа, должны быть учтены и реализованы особенности по корпоративной структуре нового проекта, которые заключаются в распределении ролей каждого отдельного участника проекта, в частности таких как основатели и инвесторы. Необходимо, в самом начале запуска стартапа, распределить доли участников, а также выстроить стратегию изменения процентного соотношения долей в будущем, если такие условия предусмотрены в рамках деятельности компании. В этой ситуации речь, например, может идти об инвесторах, которые на основании конкретных инвестиционных договоров, могут увеличивать процентное соотношение своей доли в уставном капитале компании, в зависимости от динамики получения прибыли стартапа в рамка определенных этапов.

Так же должны учитываться и особенности привлечения и вливания финансовых средств, которые чаще всего привлекаются за различного типа инвестиционные контракты, стороной которых является стартап. Условия таких договоров есть разные и могут предусматривать как вхождение инвестора в число участников компании, в зависимости от конкретных условий, так и возврат средств с определенными процентами в будущем. Однако, в этой статье мы поговорим не об такие аспекты запуска стартапов, а об особенностях организации и регулирования защиты персональных данных, которыми оперирует компания, для возможности избежать ответственности в будущем.

Организация защиты персональных данных

(i) Важнейшим и самым первым аспектом обеспечения защиты персональных данных внутри  компании, является определение объема и количества персональных данных, которыми оперирует или может оперировать компания в будущем. В связи с этим, должна быть проведена так называемая инвентаризация данных (Data Inventory), если реализация проекта началась не с самого начала деятельности. Вместе с тем, могу быть осуществлено определение и отображение возможного движения персональных данных, в рамках нового проекта (Data mapping).

(ii) Немаловажным является вопрос определения ответственных лиц и подбор команды, так как обеспечение организации соответствии компании требованиям GDPR требует опыта, определенных знаний и квалификации. Так, специалистом по защите данных, который будет ответственным за реализацию проекта (менеджер проекта), лучше назначить руководителя компании, который пройдет соответствующий курс повышения квалификации в области организации защиты данных, или же конкретного специалиста с профильным образованием, навыками и соответствующим опытом. В любом случае, на это лицо будет возлагаться вся ответственность за реализацию и обеспечение соответствия GDPR, как на стратегическом, так и тактическом уровнях.

В рамках компании также должны быть определены технические и другие специалисты, которые бы обеспечили практическую реализацию задач в рамках проекта и имели возможность поддерживать соответствие компании на должном уровне, на протяжении всей ее деятельности. При этом, квалификация таких специалистов, не является определяющей, ведь руководство проектом, поставленные корректных задач и контроль за их выполнением полагаются на менеджера проекта.

Если говорить о роли Data Protection Officer, то его участие хоть и предполагается положениями GDPR, однако не является обязательным для всех случаев. Так, например есть ситуации, когда назначение DPO является обязательным, но параллельно, существуют случаи, когда назначение такого лица является более желательным, нежели необходимым. Это, например случаи, когда компания колеблется в вопросе назначения Data Protection Officer. Вместе с тем, следует помнить, что DPO никогда не должен выполнять роль менеджера проекта.

Об особенностях привлечения DPO, в контексте требований GDPR, в частности на контрактной основе и на условиях трудоустройства, вы можете почитать в других наших статьях, размещенных на нашем сайте.

Принятие мер безопасности и разработка соответствующих документов для обеспечения GDPR compliance

(i) Принятие технических и организационных мероприятий для обеспечения надлежащей обработки персональных данных в рамках функционирования компании, в контексте требований GDPR, является ключевым требованием General Data Protection Regulation, которое регулирует этот вопрос в целом.

Так, например статья 32 GDPR предусматривает, что и контроллер, и обработчик персональных данных должны осуществлять обработку персональных данных, учитывая целый ряд факторов, которые являются жизненно важными для надлежащей организации безопасности данных. Кроме этого, в рамках этой статьи, наряду с другими мерами, приводятся следующие примеры технических мероприятий как псевдонимизация и шифрование, которое в свою очередь становится скорее требованием, нежели рекомендацией для всех компаний, осуществляющих обработку персональных данных.

(ii) Что же касается организации мероприятий по безопасности – то к ним относятся все мероприятия в рамках компания, направленные на надлежащую организацию процесса перемещения персональных данных внутри компании, в русле требований GDPR, с момента получения данных, и до момента их удаления. К таким мерам мы можем отнести как документарное распределения ролей между всеми участниками процесса обработки данных, так и обучения или повышения осведомленности привлеченных лиц по вопросам применения GDPR.

В целом же, перечень организационных и технических мероприятий, которые могут быть приняты компанией не является исчерпывающим и каждая компания индивидуально определяет перечень необходимых для себя действий, в зависимости от специфики своего бизнеса и обрабатываемых персональных данных.

(iii) Особое внимание мы хотели бы уделить разработке документов, ведь их перечень, наполнение и содержание могут быть разными и иметь свою собственную специфику. Однако, при этом, основными документами всегда будут оставаться Privacy Policy, Cookie Policy и Information Security Policy. Трио этих документов должны составлять основу вашей стратегии по организации соответствия компании требованиям GDPR, а также служить основой для разработки более детальных и узкоспециализированных документов в рамках деятельности компании. Политики, процедуры, информационные таблицы, реестры, приказы и протоколы должны дополнять плеяду жизненно важных документов, обеспечивающих компании абсолютно допустимый GDPR compliance.

Разработка документов может иметь определенную специфику, а значит использования установленных в сети Интернет шаблонов не будет панацеей от применения ответственности со стороны контролирующих органов, в случае нарушения правил обработки данных. Именно поэтому мы советуем вам внимательно готовить и кастомизировать все документы, ведь они будут служить вашим «каркасом» в построении крепкой системы защиты персональных данных в рамках требований GDPR. Вместе с тем, консультация и практический совет квалифицированных практикующих специалистов никогда не будет лишней.