Artykuły eksperckie

Dokumenty dla startupu – o czym musisz pamiętać?

⟨⟨ Powrót
Łukasz Kulicki

Łukasz Kulicki

RADCA PRAWNY

Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

Masz pytania do autora?
e-mail: kancelaria@afterlegal.pl
tel. +48 500 436 703

Opublikowano:

Funkcjonowanie startupu nie sprowadza się jedynie do przygotowania umowy lub statutu spółki. Konieczne staje się też opracowanie dodatkowej dokumentacji, która pomoże zabezpieczyć dane osobowe, zrealizować obowiązki w zakresie AML/CFT, a także związane ze świadczeniem usług elektronicznych. Brak spersonalizowanych dokumentów często może stanowić konkretne zagrożenie dla integralności biznesowej całego przedsięwzięcia. O czym przede wszystkim trzeba pamiętać?

Czego dowiesz się z tego artykułu?

  • Startup powinien zadbać o ochronę danych osobowych. W przeciwnym razie firma ryzykuje naruszenie RODO.
  • Działając online, przedsiębiorca potrzebuje regulaminu świadczenia usług drogą elektroniczną.
  • Wiele startupów powinno zwrócić uwagę na procedury AML.

Kiedy i w jaki sposób startup powinien chronić dane osobowe?

Unijny ustawodawca, projektując RODO, stworzył koncepcję ochrony danych osobowych by design. Oznacza to, że mechanizmy zabezpieczające dane osobowe przetwarzane przez startup powinny być wdrożone jeszcze na etapie projektowania modelu biznesowego. Dlatego koniecznie trzeba ustalić, jakie dane użytkowników będą gromadzone i jak długo startup będzie je przechowywał. Istotne są też technologie zaimplementowane w celu ochrony zasobów firmowych. Ma to szczególnie duże znaczenie w dobie cyberbezpieczeństwa.

Dobrze jest już na początku stworzyć plan audytów RODO, ponieważ procesy i dokumentacja w tym zakresie powinny być regularnie optymalizowane. Warto zlecić taki audyt kancelarii prawnej, która specjalizuje się w obsłudze prawnej startupów, zamiast realizować go samodzielnie. Spojrzenie na organizację z zewnątrz pozwala uzyskać obiektywny obraz sytuacji. Do podstawowych dokumentów związanych z RODO z pewnością należy zaliczyć:

  • rejestr czynności przetwarzania i kategorii czynności przetwarzania,
  • rejestr naruszeń danych osobowych i procedurę zgłaszania takich naruszeń do organu nadzorczego,
  • raporty z DPIA,
  • politykę prywatności.

W praktyce to właśnie polityka prywatności jest tym dokumentem, który w świetle RODO odgrywa największe znaczenie. Obowiązek jej sporządzenia powstaje za każdym razem, kiedy firma będzie przetwarzała dane użytkowników, np. udostępniając formularz kontaktowy, prowadząc bloga z możliwością komentowania wpisów, czy stosując narzędzia analityczne do przetwarzania danych osobowych osób odwiedzających stronę internetową. Co powinno się znaleźć w polityce prywatności? Przede wszystkim są to następujące elementy:

  • dane pozwalające na zidentyfikowanie administratora danych osobowych,
  • dane IOD, jeśli został on powołany,
  • zakres, cele i okres przechowywania danych osobowych,
  • informacja o stosowanym profilowaniu,
  • informacje dotyczące przekazywaniu danych osobowych użytkowników serwisu do państw trzecich,
  • prawa osób, których dane dotyczą (np. prawo złożenia skargi do organu nadzorczego).

Naruszenie obowiązków informacyjnych w zakresie RODO może skutkować nałożeniem dotkliwej kary finansowej w wysokości do 20 milionów euro lub 4% rocznego, światowego obrotu przez Prezesa Urzędu Ochrony Danych Osobowych.

O tym, że brak polityki prywatności jest karany świadczy sankcja nałożona przez hiszpański urząd zajmujący się ochroną danych osobowych na spółkę Techpump Solutions S.L. w wysokości przekraczającej pół miliona euro. Uchybienia obejmowały m.in. bezprawne przekazywanie danych klientów innym podmiotom, brak wskazania celu i zakresu przetwarzania danych osobowych i wymuszanie zgody na pliki cookies.

Sprawdź również: Outsourcing funkcji IOD do naszej kancelarii – czy sprawdzi się w Twoim startupie?

Kiedy startup potrzebuje regulaminu świadczenia usług drogą elektroniczną?

Wiele startupów opiera swoją działalność na projektowaniu różnego rodzaju usług świadczonych za pośrednictwem aplikacji webowych lub desktopowych. Taki model biznesowy należy uznać za świadczenie usług drogą elektroniczną, co pociąga za sobą konieczność wdrożenia stosownego regulaminu. Jego minimalny zakres określa ustawa o świadczeniu usług drogą elektroniczną, wymieniając w art. 8 minimalną treść regulaminu. Obejmuje ona:

  • rodzaj i zakres usług świadczonych drogą elektroniczną,
  • warunki świadczenia usług drogą elektroniczną,
  • warunki zawierania i rozwiązywania umów o świadczenie usług drogą elektroniczną,
  • tryb postępowania reklamacyjnego.

Nie można zapominać także o postanowieniach dotyczących konsumentów, którzy stanowią szczególnie uprzywilejowaną grupę odbiorców. Wprowadzenie informacji dotyczących prawa odstąpienia od umowy, czy uprawnień związanych z reklamacją towaru niezgodnego z umową umacnia sytuację przedsiębiorcy. Sam regulamin powinien być udostępniony usługobiorcy przed zawarciem umowy, a kiedy trzeba, przekazany mu w formie możliwej do utrwalenia (np. jako plik PDF).

W praktyce warto pamiętać o opracowaniu polityki cookies. Może ona stanowić element regulaminu świadczenia usług drogą elektroniczną, choć dla większej czytelności warto umieścić ją w osobnym dokumencie.

Sankcje za brak regulaminu być może nie są równie spektakularne, co w przypadku RODO, ale również mogą być bardzo dotkliwe. Jeżeli Prezes Urzędu Ochrony Konkurencji i Konsumentów uzna, że działanie przedsiębiorcy narusza zbiorowe interesy konsumentów, może – na podstawie art. 106 ustawy o ochronie konkurencji i konsumentów – nałożyć na podmiot karę pieniężną w wysokości nie większej, niż 10% obrotu osiągniętego w roku obrotowym poprzedzającym rok nałożenia kary.

Procedury AML w startupie

Ze względu na przedmiot działalności startup może zostać uznany także za instytucję obowiązaną w rozumieniu ustawy AML. Dotyczy to m.in. Małej Instytucji Płatniczej, Krajowej Instytucji Płatniczej, podmiotów świadczących usługi w zakresie wymiany walut wirtualnych, czy instytucje rynku kapitałowego. Obowiązków w zakresie AML jest wiele, wśród nich trzeba wymienić też konieczność sporządzenia szeregu dokumentów, jak:

  • procedura oceny ryzyka,
  • procedura AML,
  • oświadczenie beneficjenta rzeczywistego i PEP,
  • rejestr transakcji podejrzanych.

Zaniechanie przygotowania dokumentacji lub opracowanie jej niezgodnie z prawem również jest zagrożone wysokimi karami!

Obsługa prawna startupów – Kancelaria After Legal

Kancelaria After Legal specjalizuje się w kompleksowej obsłudze prawnej startupów. Jeśli chcesz, aby Twój biznes był nie tylko dochodowy, ale także solidnie zabezpieczony od strony prawnej, możemy Ci pomóc. Nasz zespół oferuje pomoc prawną na każdym etapie – od wyboru optymalnej formy prawnej, przez sporządzenie founders’ agreement, dokumentacji ESOP, po przygotowanie regulaminów i polityk uwzględniających specyfikę prowadzonej działalności gospodarczej. Od ponad dekady wspieramy przedsiębiorców prowadzących innowacyjny biznes, jak IT, e-commerce, czy firmy wdrażające technologię blockchain. Skontaktuj się z nami i sprawdź, co możemy dla Ciebie zrobić!