Dlaczego VC zależy na GDPR
Niezgodność z GDPR to nie ryzyko teoretyczne — to realne zobowiązanie. Kary mogą sięgać 20 mln EUR lub 4% globalnych rocznych obrotów. Dla VC inwestujących w spółki we wczesnej fazie, luka w GDPR oznacza potencjalną ekspozycję finansową, ryzyko reputacyjne i problemy przy zamykaniu transakcji.
W praktyce niemal każdy due diligence do rundy A obejmuje teraz przegląd ochrony danych osobowych. Błędy niekoniecznie zabijają transakcję — ale mogą opóźnić zamknięcie, obniżyć wycenę lub skutkować konkretnymi wymogami indemnifikacyjnymi.
10-punktowa checklista audytu GDPR
1. Rejestr czynności przetwarzania (RCP)
Art. 30 GDPR wymaga udokumentowanego rejestru wszystkich czynności przetwarzania danych osobowych. To podstawowy dokument, którego audytorzy szukają w pierwszej kolejności. Minimalna zawartość: cele przetwarzania, kategorie podmiotów danych i danych osobowych, odbiorcy, transfery do państw trzecich, okresy retencji.
2. Polityka prywatności
Musi spełniać wymogi art. 13-14 GDPR. Częste braki: brak podstaw prawnych, niewystarczający opis praw podmiotów danych, brak danych kontaktowych IOD (jeśli dotyczy), brak wzmianki o zautomatyzowanym podejmowaniu decyzji.
3. Zgoda na cookies
Bannery cookies muszą oferować realny wybór (nie tylko „Akceptuj wszystko"). Cookies analityczne i marketingowe wymagają uprzedniej zgody. Wiele startupów wciąż korzysta z niezgodnych implementacji.
4. Umowy powierzenia przetwarzania (DPA)
Każdy podmiot przetwarzający (hosting chmurowy, analityka, CRM, usługi email) wymaga umowy powierzenia zgodnej z art. 28. Sprawdź, czy DPA są podpisane, aktualne i zawierają wszystkie obowiązkowe klauzule.
5. Podwykonawcy przetwarzania
Znaj swój łańcuch podwykonawców. Jeśli korzystasz z AWS, Stripe czy Google Cloud, ich podwykonawcy są też Twoją sprawą. Prowadź aktualną listę.
6. Międzynarodowy transfer danych
Po Schrems II transfery do USA wymagają oparcia na EU-US Data Privacy Framework (DPF) lub Standardowych Klauzulach Umownych (SCCs) z oceną wpływu transferu (TIA). Udokumentuj mechanizm transferu dla każdego odbiorcy spoza EOG.
7. Procedury realizacji praw podmiotów danych
Potrzebujesz udokumentowanych procedur obsługi wniosków o dostęp, usunięcie, przenoszenie i sprzeciwu. Termin odpowiedzi: 1 miesiąc (z możliwością przedłużenia do 3 w złożonych przypadkach).
8. Inspektor Ochrony Danych (IOD)
Obowiązkowy, jeśli przetwarzasz dane osobowe na dużą skalę lub przetwarzanie danych wrażliwych jest Twoją główną działalnością. Nawet jeśli nie jest obowiązkowy, rozważ powołanie — to sygnał dojrzałości dla inwestorów.
9. Ocena skutków dla ochrony danych (DPIA)
Wymagana przed przetwarzaniem „mogącym powodować wysokie ryzyko" — w tym profilowanie, monitoring na dużą skalę lub przetwarzanie danych wrażliwych. Jeśli Twój produkt obejmuje którekolwiek z powyższych, DPIA musi istnieć przed uruchomieniem.
10. Plan reakcji na naruszenia
Masz 72 godziny na zgłoszenie do organu nadzorczego po powzięciu wiedzy o naruszeniu danych osobowych. Przygotuj udokumentowaną procedurę, wyznaczony zespół i szablony zgłoszeń.
Harmonogram: 3 miesiące przed rundą
- Miesiąc 1 — Uzupełnij RCP, przejrzyj wszystkie DPA, zidentyfikuj luki
- Miesiąc 2 — Zaktualizuj politykę prywatności, wdroż zgodne cookie consent, udokumentuj mechanizmy transferu
- Miesiąc 3 — Przygotuj materiały do data room, przeprowadź próbny audyt, sfinalizuj plan reakcji na naruszenia
Przygotowujesz się do rundy finansowania? Przeprowadzimy pre-audyt GDPR, żebyś wszedł w due diligence z pewnością.