Για πολλές startups η συμμόρφωση με τους Ευρωπαϊκούς νόμους προστασίας δεδομένων είναι μικρής σημασίας και βρίσκεται στις χαμηλότερες θέσεις στη λίστα των προτεραιοτήτων τους. Πολλές startups μάλιστα πιστεύουν ότι τα πρόστιμα που επιβάλλουν τα αρμόδια όργανα για μη συμμόρφωση στους κανονισμούς προστασίας δεδομένων αφορούν μόνο τις μεγάλες εταιρίες. Αυτό όμως είναι λάθος. Οι νόμοι ισχύουν για όλες τις εταιρείες, ακόμα και τις πιο μικρές αλλά και τις startups. Οι γρήγορα αναπτυσσόμενες startups μπορούν μάλιστα να δεχθούν και αναδρομικές κυρώσεις για το συγκεκριμένο θέμα. Το οικονομικό κόστος αλλά και το πλήγμα στη φήμη της εταιρίας είναι αρκετά μεγάλα για να μη συμμορφώνονται οι startups με το GDPR.
Γιατί οι startups πρέπει να προσέξουν στο θέμα του GDPR
Πολλές startups επιλέγουν να λειτουργούν σε ρυθμιστικές ζώνες με θολά νερά με πολλούς CEOs να προτιμούν να συνεχίζουν τις δραστηριότητές τους και κατόπιν να ζητούν ρυθμιστικά πλαίσια από τις αρμόδιες αρχές. Ο έλεγχος συμμόρφωσης με το GDPR είναι θέμα χρόνου για τις νεοφυείς επιχειρήσεις και τα πρόστιμα μπορεί να φτάνουν ακόμα και ένα μεγάλο ποσοστό του κύκλου εργασιών της επιχείρησης.
Η συμμόρφωση μπορεί να είναι πιο περίπλοκη από την αρχική εκτίμηση, επειδή οι εταιρείες είναι υπεύθυνες για ολόκληρο τον κύκλο ζωής των δεδομένων των πελατών τους — ακόμη και εκτός της δικής τους εταιρίας. Οι εταιρίες πρέπει να διασφαλίζουν ότι οι τρίτες εταιρίες με τις οποίες μοιράζονται τα δεδομένα των πελατών τους βρίσκονται και εκείνες σε πλήρη συμμόρφωση με τους κανονισμούς GDPR.
Περισσότεροι επενδυτές βλέπουν την ελλιπή ή την καθόλου συμμόρφωση με το GDPR ως κόκκινη σημαία στις αναπτυσσόμενες εταιρείες, θέτοντας σε κίνδυνο την ικανότητα μιας startup να συγκεντρώσει κεφάλαια. Επίσης, οι αναφορές για μη συμμόρφωση μπορούν να δημοσιοποιηθούν, προκαλώντας έναν εφιάλτη για τη φήμη της εταιρίας.
Πώς να ξεκινήσει μια startup να συμμορφώνεται με το GDPR
Η εφαρμογή μιας αξιολόγησης επιπτώσεων προστασίας δεδομένων (DPIA ή PIA) είναι απαραίτητη για κάθε startup που διαθέτει ένα προϊόν. Είναι μια διαδικασία για εντοπιστούν τυχόν κίνδυνοι συμμόρφωσης δεδομένων και ασφάλειας. Η περισσότερη δουλειά είναι η ανάλυση της ροής των δεδομένων που αφορούν το προϊόν: τι, γιατί και πώς. Οι εταιρείες πρέπει να διασφαλίζουν ότι τα προσωπικά δεδομένα που συλλέγουν είναι πράγματι ζητούμενο, ότι αποθηκεύονται μόνο για τον χρόνο που χρειάζεται και ότι εφαρμόζεται το σωστό επίπεδο προστασίας ανάλογα με την ευαισθησία αυτών των δεδομένων. Η DPIA είναι συνήθως ευθύνη του υπεύθυνου προστασίας δεδομένων (DPO) ή του επικεφαλής του αντίστοιχου τμήματος. Οι περισσότερες startups δεν διαθέτουν ένα άτομο για το σκοπό αυτό αλλά υπάρχουν εταιρίες που μπορούν να αναλάβουν ως εξωτερικοί συνεργάτες.
Οι ιδρυτές των startups δεν πρέπει να ξεχνούν ότι το απόρρητο των δεδομένων δεν αφορά μόνο τη συμμόρφωση με τους νόμους, είναι δικαίωμα των πελατών τους. Και οι καταναλωτές ενδιαφέρονται ολοένα και περισσότερο για αυτό. Πάνω από 130 χώρες έχουν θεσπίσει νόμους για την προστασία των δεδομένων, επομένως οι νεοφυείς επιχειρήσεις θα πρέπει να ενσωματώνουν το απόρρητο των δεδομένων στις διαδικασίες τους από την πρώτη μέρα. Και αυτή είναι μια τάση που ήρθε για να μείνει.