Блог

Что значит GDPR для стартапа

GDPR является одним из основных вопросов, о которых должен подумать стартапер, прежде, чем запускать реализацию своей идеи.
Почему?
GDPR заставляет вас задуматься о том, как вы управляете персональными данными своих пользователей, соблюдаются ли принципы прозрачности и ответственности, гарантируете ли вы безопасность данных и так далее.
Регламент заставляет нас обратить внимание на тот неоспоримый факт, что мы несем ответственность за данные людей, и заставляет задуматься и спроектировать жизненный цикл данных в, так называемом, минималистичном стиле.
Если говорить простыми словами, вы должны запрашивать только те данные, которые вам необходимы и не брать лишнего. Пользователь, в свою очередь, должен иметь возможность воспользоваться своим правом быть забытым, управлять своими данными, отказаться от согласия и другими правами, которыми наделяет его Регламент.
Разумеется, GDPR важен для всех компаний, но для стартапов соблюдение требований Регламента приобретает особое значение.

Во-первых соблюдение требований закона – это укрепление доверия к вашему бренду и продукту
Во-вторых, еще при переговорах с потенциальными инвесторами вам обязательно зададут вопросы насчет соблюдения требований закона. И это понятно: кому нужно тратить свои инвестиции на штрафы, даже если идея сработала?
В третьих, разумеется, не только ваш инвестор, но и вы сами должны помнить об огромных штрафах, которые предусмотрены Регламентом за нарушение его требований.

Первое нарушение может привести к предупреждению. Но если вы повторно нарушаете GDPR, вы получаете штраф до 20 млн евро или 4% от вашего глобального дохода (в зависимости от того, что больше). Но и это еще не все. Вы можете подвергнуться аудиту, что может привести к тому, что вам будет запрещено использовать данные, если будет обнаружено нарушение какого-либо аспекта жизненного цикла ваших данных, и вы также будете открыты для судебных исков, поскольку GDPR дает пользователям право подавать жалобу и требовать возмещения убытков, если их данные не обрабатывались надлежащим образом.

Компании, которые работают на локальном рынке, как правило все еще задумываются, насколько требования GDPR относятся к ним. Если мы говорим о стартапе, здесь очевидно: как правило, стартап – дело международное.
 GDPR может применяться если:
• вы ведете деятельность в ЕС;
• вы не зарегистрированы в ЕС, но предлагаете товары или услуги (даже если предложение бесплатное) людям в ЕС;
• вы не зарегистрированы в ЕС, но отслеживаете поведение людей, находящихся в ЕС (при условии, что это поведение имеет место в ЕС).
Итак, учитывая все вышесказанное, на что в первую очередь должен обратить внимание стартапер?

1. Определить правовую основу для обработки персональных данных. В идеале это должно быть сделано с профессиональным юристом.
2) Внедрить соответствующую Политику приватности. В соответствии с GDPR уведомление о приватности  должно быть легкодоступными, легко читаемым и понятным, не должно содержать ненужных юридических выражений и должны быть актуальными. Политика приватности должна содержать:
• данные о владельце, включая адрес;
• цели сбора данных;
• правовая основа сбора данных;
• какие третьи стороны участвуют в обработке и для каких целей;
• права пользователей в отношении их данных;
• описание вашего процесса уведомления пользователей об изменениях в политике и дату вступления в силу вашей политики;
3) Проверьте участие третьих лиц в обработке данных. Убедитесь, что третьи стороны соблюдают требования, насколько вы можете обоснованно определить, поскольку ответственность за данные ваших пользователей в конечном итоге лежит в первую очередь на вас (контроллере данных). Обязательно заключите надлежащее Соглашение об обработке данных со всеми назначенными обработчиками (третьими сторонами), поскольку оно не только устанавливает условия и ответственность за обработку пользовательских данных, но также может служить для защиты вас.
• Следите за тем, с кем вы делитесь данными. Это очень важно, так как вы обязаны раскрывать эту информацию пользователям с помощью уведомления о конфиденциальности, а политики третьих лиц могут со временем меняться (что может повлиять на их уровень соблюдения или способность выполнять условия вашего соглашения).
• Убедитесь, что ваши системы  поддерживают возможность выполнения прав пользователя (например, если пользователь использует свое право на удаление, может ли ваш процессор выполнить этот запрос?)
4) Проверьте свои собственные процессы и системы для работы с правами пользователей.
5) Если вы используете согласие в качестве законного основания, убедитесь, что вы управляете согласием соответствующим образом и ведете действительные записи согласия.
Чтобы считаться действительным, согласие должно быть:
• конкретным;
• информированным;
• не основанным на принуждении;
• отзыв согласия должен быть таким же простым, как и само согласие
• согласие должно быть основано на механизме «включения», а не «отказа»
GDPR, помимо вашего спокойствия и спокойствия вашего инвестора,  может дать вам конкурентное преимущество, если стартап запущен с соблюдением всех требований. GDPR помогает стартапу снизить риски и сэкономить деньги в долгосрочной перспективе. 


Made on
Tilda