„Privacy by design” czyli dlaczego prywatność jest istotna dla start-upów i inwestorów?

W ferworze walki o klienta, o inwestora, czy samej pracy nad genialnym rozwiązaniem, przedsiębiorcy często umyka temat zasad prywatności czy ochrony danych osobowych. Tymczasem, zasada privacy by design czyli uwzględnienie ochrony danych osobowych i prywatności w fazie projektowania jest jednym z istotniejszych wymogów, aby z sukcesem wejść na rynek zarówno w krajach UE jak i w USA, Kanadzie, Izraelu. Dziś, to już nie tylko dobra praktyka czy zalecenie działania, ale absolutny must have, który będzie weryfikowany przez klientów i inwestorów.

Praktycznie każde rozwiązanie czy to online czy offline angażujące konsumenta bądź którego end-userem jest konsument oznacza przetwarzanie danych osobowych, które z kolei znajduje się w obszarze rażenia rewolucyjnych zmian zachodzących dziś przede wszystkich w UE, ale nie tylko. Ponad rok temu, we wszystkich krajach Unii weszły w życie nowe przepisy Rozporządzenia Ogólnego o Ochronie Danych Osobowych (tzw. RODO).

O co chodzi?

Celem RODO jest oczywiście ochrona prawa do prywatności, ale również dążenie do stworzenia jednolitego rynku cyfrowego w UE i ochrona przed cyberprzestępczością, która coraz częściej dotyka nie tylko największych przedsiębiorców. RODO ma zbudować nowy porządek i wprowadzić nową jakość w kwestii prywatności. W szczególności, przepisy RODO wprowadzają szereg nowych obowiązków adresowanych do przedsiębiorców przetwarzających dane osobowe. Co istotne, pojęcie przetwarzania danych jest niezwykle szerokie i obejmuje nie tylko czynności powszechnie uważane za przetwarzania takie jak zbieranie, aktywne korzystanie czy też modyfikowanie danych, ale również mniej oczywiste sytuacje przechowywania danych czy też nawet hipotetyczną możliwość dostępu do danych (nawet jeżeli dane nie są wykorzystywane). W konsekwencji, przedsiębiorcy nieprzetwarzający danych osobowych i tym samym niepodlegający przepisom RODO należą do absolutnych wyjątków. Z dużym prawdopodobieństwem nie należą do nich start-upy z branży technologicznej.

Czym jest privacy by design?

Privacy by design zakłada, iż podstawowe założenia dotyczące bezpieczeństwa i ochrony danych klienta, zapewnienie oraz zarządzanie prywatnością powinny być rozważane i wdrażane już na etapie tworzenia koncepcji projektu. Następnie podczas jego testowania oraz dalszego budowania i rozwijania. Zgodnie z powiedzeniem „lepiej zapobiegać niż leczyć”, idea privacy by design promuje postawę proaktywną zamiast retroaktywnej czy też działania prewencyjne zamiast zaradczych. W ramach privacy by design, dążymy do tego, aby ochrona prywatności była niejako wbudowana w architekturę systemu, zaszyta w genach produktu, nie wolno jej fragmentarycznie tworzyć przez dodatki czy nakładki do systemu.

Stosowanie privacy by design obala też dwa główne mity związane z zapewnieniem właściwego poziomu ochrony danych osobowych: mit o braku możliwości pogodzenia funkcjonalności produktu z wymogami w zakresie ochrony danych osobowych oraz mit o kosztowności wdrożenia odpowiednich regulacji. Otóż, jest to prawdą, jednak wyłącznie wtedy, jeśli ustawienia prywatności są korygowane bądź nadbudowywane na system post factum, np. już w fazie komercjalizacji rozwiązania. gdy przychodzi refleksja, że rozwiązanie jest obaczone ryzykiem kary finansowej, kontroli organu, utraty reputacji, bądź chociażby utraty rynku, gdy wskaźnik UX u konkurencji, która pomyślała o prywatności z wyprzedzeniem, jest już nie do pokonania. W branżach typu FinTech, InsurTech, HealthTech,
e-commerce, czy nawet czasem IoT ma to ogromne znaczenie.

Jak się do tego zabrać? Intro to privacy.

Poniżej krótka check lista – o czym należy pamiętać:

1. Jeśli do działania Twojego produktu nie musisz posiadać danych użytkownika – to ich nie zbieraj – zasada minimalizmu.
2. Zastanów się komu będziesz przekazywał zebrane dane – informuj użytkowników o odbiorcach.
3. Przemyśl czy komuś będziesz zlecał jakieś operacje na danych (outsourcing pewnych czynności) – jeśli tak, podpisz z nim umowę i określ dokładnie zakres i cel tej współpracy – w razie incydentu musisz wiedzieć kto zawinił.
4. Ustal na jakich serwerach będziesz przechowywał dane i czy serwery będą w Europejskim Obszarze Gospodarczym czy poza? Sprawdź też umowy ze swoim dostawcą usług chmurowych.
5. Pamiętaj o informowaniu użytkowników o tym co robisz z ich danymi, gdzie one są przekazywane i jakie prawa mają użytkownicy. Stwórz łatwe kanały komunikacji z użytkownikiem.
6. Pamiętaj o prawidłowym sformułowaniu treści klauzul zgody na przetwarzanie danych.
7. Zaprojektuj realizację prawa do przenoszenia danych osobowych i prawa do bycia zapomnianym.
8. Przed dużymi krytycznymi projektami (w tym z wrażliwych branż typu zdrowie, ubezpieczenia, obsługa bankowa) zrób tzw. Privacy Impact Assessment – ocenę skutków przetwarzania danych tego projektu – stwórz dokumentację.
9. Zastosuj najwyższe środki zabezpieczenia systemu przed cyberatakami, monitoruj system i go aktualizuj.
10. Osoby w Twoim zespole muszą być przeszkolone i posiadać upoważnienia do przetwarzania danych – człowiek jest najsłabszym ogniwem w strukturze bezpieczeństwa informacji.

Czy inwestor weźmie na siebie ryzyko?

Po 25 maja 2018 roku, kiedy to w pełni stosujemy przepisy RODO zaczyna istnieć realne ryzyko kontroli przedsiębiorców, organ będzie badał także czy zasada privacy by design jest stosowana. Najlepiej na taką okoliczność posiadać dobrą dokumentację projektową bądź chociaż dowody w postaci np. ustaleń mailowych. Jednocześnie, za naruszenie obowiązku uwzględnienia prywatności w fazie projektowania, brak tego proaktywnego podejścia, przewidziano karę finansową do 10 mln EUR bądź 2 % światowego rocznego obrotu organizacji. .

Ryzyko finansowe ponoszone przez przedsiębiorcę nie jest jedynym czynnikiem, który powinien mobilizować do stosowania koncepcji privacy by design. Ryzyko nałożenia kary może być bowiem niezwykle skuteczną przeszkodą dla pozyskania finansowania z zewnętrznych źródeł, w szczególności od VC, PE i instytucji finansowych. Nie ma inwestora, który weźmie na siebie ryzyko takiej kary.

Projektując rozwiązanie zaplanuj jak rozwiążesz kwestie ochrony danych osobowych, wpisz w biznes plan, uwzględnij to w prezentacji dla inwestora, nie daj się zaskoczyć. Inwestor też nie powinien przeoczyć tego aspektu.

Dane osobowe są ważne. Zastosowanie podejścia privacy by design jest ważne. Przedsiębiorca będzie z tego rozliczony, jeśli planuje działalność w jakimkolwiek kraju UE, ale też jeśli przewiduje ekspansję np. do Kanady, Izraela, Australii czy USA.

Wioletta Kulińska, adwokat w Kancelarii Magnusson