Надзорные органы могут и не добраться, но получит ли стартап инвестиции, если масштаб риска достигает миллионов евро?

Сергей Воронкевич, корпоративный тренер и консультант по GDPR, основатель компании Data Privacy Office, рассказал о ключевых факторах риска по GDPR для стартапа на 12 митапе A-Hub for Startup (совместный проект AngelsBAND и Alfa-bank).

 


 

Как только не называют данные — новая нефть, уран 21 века. Все заголовки кричат, что это важная тема современности, которая озадачивает и стартапы, и крупные бизнесы. Модератор митапа и менеджер проекта Юлия Нехай еще в самом начале беседы отметила, что Регламент охватывает неизмеримое количество аспектов работы стартапа. 

Как опытный тренер, Сергей решил стартовать с небольшой истории, как появилась приватность:

«Приватность — это реакция на нарушения. Поэтому как только появляются новые технологии, строгость регулирования увеличивается. Так вот, приватность зародилась вместе с мгновенной фотографией Kodak», рассказывал Сергей.

Говоря о законодательстве, GDPR простимулировало бизнес работать над защитой персональных данных

«До GDPR даже европейские компании считали экономически выгодным платить штрафы нежели выполнять все требования закона. Зато с 2018 года отношение к приватности резко изменилось. Вся причина оказалась в штрафах, которые могут достигать 20 миллионов евро», — комментировал спикер. 

Касается ли это стартапов? Конечно. Не факт, что доберутся надзорные органы, но будет ли вкладывать свои деньги инвестор, если масштаб риска достигает миллионы евро или больше?

«Условно, если вас купит google, то google рискует даже не миллионами, а 4% от годовой прибыли, что составляет около 3 млрд. 700 млн. евро», — уточнял Сергей.

privacy

Кроме того, спикер постарался развеять миф, что штрафуют только большие компании. Достаточно зайти на https://www.enforcementtracker.com, где аккумулируются все штрафы по GDPR и увидеть, что попадаются даже индивидуальные предприниматели.

При том, GDPR — это не тот закон, который говорит как и какие технические меры нужно внедрять. GDPR — это о самостоятельном проведении риск-факторов и определении плана работы и списка мероприятий к выполнению: «Учитывайте, что когда к вам придёт надзорный орган, то предоставить просто доказательства, что вы что-то правильно сделали недостаточно. Необходимо еще доказать, что компания следует требованиям не только по бумагам», — обратил внимание Сергей.

 

Также не забыли и о практических рекомендациях. 

1. Не нужно добавлять согласие повсюду, ведь за лишнее могут оштрафовать. Лучше сначала взвесить, не подходит ли одно из шести других оснований. 

2. GDPR запрещает обрабатывать медицинские данные, политические мнения. Вернее, можно только в крайних случаях.

 

За время митапа Сергей сравнил персональные данные с токсическим веществом, от которого надо избавляться как можно быстрее.

Расписание курсов загружается, подожди несколько секунд