Pembiayaan tertunda, investor memerlukan dokumen, namun jika diteruskan secara tidak wajar, ada risiko denda yang tinggi. Hal-hal yang perlu dipertimbangkan oleh startup dalam hal perlindungan data.

Sebuah artikel oleh Anne Leßner, pengacara di firma hukum Vogel Heerma Waitz di Berlin

Putaran pendanaan biasanya dimulai dengan uji tuntas investor. Sebab, mereka mempunyai kepentingan untuk mendapatkan gambaran mengenai situasi hukum perusahaan. Hasil uji tuntas mempengaruhi harga pembelian, ketentuan kesepakatan – apakah kesepakatan itu membuahkan hasil. Investor tidak mengetahui sebelumnya secara pasti apa dokumen awalnya dan oleh karena itu biasanya meminta sejumlah besar kontrak dan ikhtisar.

Ini berarti banyak pekerjaan yang harus dilakukan para pendiri selain operasional bisnis. Dan hal ini menyebabkan banyak orang memasukkan semua jenis dokumen ke dalam sistem tanpa memeriksanya Ruang data dalam kasus terburuk dengan tautan sederhana tanpa perlindungan kata sandi. Misalnya, ruang data berisi daftar panjang dengan nama, umur, gaji dan alamat seluruh karyawan.

Informasi mengenai orang tertentu atau yang dapat diidentifikasi tersebut adalah data pribadi. Peraturan Perlindungan Data Umum (GDPR) menyatakan bahwa startup hanya boleh menyebarkannya jika ada dasar hukumnya. Hanya dua dasar hukum yang memenuhi syarat untuk uji tuntas: persetujuan subjek data atau kepentingan sah perusahaan rintisan dan investor.

Namun, kepentingan sah hanya berlaku sepanjang transfer data “diperlukan” agar investor dapat membuat keputusan investasinya dan para pihak dapat membuat kontrak. Dalam praktiknya, hal ini menjadi pertimbangan untuk setiap jenis dokumen dan data. Oleh karena itu, kelompok kasus berikut ini dimaksudkan untuk memberikan pedoman kasar mengenai dokumen mana yang dapat diserahkan kepada investor dan sampai pada tingkat detailnya.

Data apa yang sebenarnya dibutuhkan investor?

• Informasi tentang pendiri dan direktur pelaksana: Pengunggahan data Anda (misalnya nama, alamat, rincian kontak, gaji, CV) umumnya diperbolehkan tanpa anonimisasi. Jika Anda memulai transaksi dan dapat mengontrol pengunggahan di ruang data, Anda dapat berasumsi bahwa Anda telah memberikan persetujuan. Bahkan jika hal ini tidak terjadi (misalnya dengan para pendiri yang merupakan pemegang saham minoritas dan hanya memiliki kontrak kerja biasa), seseorang akan dapat mengandalkan kepentingan yang sah, karena data tentang orang-orang tersebut (gaji, pengalaman profesional sebelumnya, dll.) ) biasanya mempunyai pengaruh yang signifikan terhadap keputusan investasi.
• Data Karyawan dan Freelancer: Investor umumnya tidak tertarik dengan data spesifik seperti nama, alamat, umur, rincian kontak, gaji dan CV individu. Oleh karena itu, data ini harus disamarkan di semua kontrak dan daftar yang diunggah. Pengecualian hanya berlaku jika orang tertentu (misalnya kepala arsitek perangkat lunak) mempunyai kepentingan tertentu bagi investor. Namun, investor berkepentingan untuk menerima setidaknya daftar karyawan anonim di mana dia dapat melihat berapa banyak karyawan yang ada, peran apa yang mereka miliki, berapa gaji atau bonus yang mereka terima, atau berapa banyak PHK yang terjadi baru-baru ini. Dalam situasi apa pun, startup tidak boleh memposting data sensitif karyawan (misalnya tentang penyakit, agama, atau keanggotaan serikat pekerja) di ruang data.
• Rincian kontak orang-orang dalam kontrak pelanggan dan pemasok: Untuk kontrak standar dengan pelanggan (terutama konsumen) atau pemasok, biasanya cukup menempatkan contoh kontrak yang tidak dibuat dengan orang tertentu di ruang data. Hanya dalam kontrak-kontrak penting, orang tertentu dapat terlihat pada saat kontrak dibuat (pertanyaan penting: apakah mereka memiliki kuasa untuk mewakili?) dan tanda tangan mereka (bukankah kontrak tersebut hanya berupa rancangan?). Dalam situasi apa pun investor tidak memerlukan data konkrit dari milis buletin, daftar peserta acara, atau salinan semua komunikasi email.

Pemilihan dan pengamanan ruang data yang benar

Startup tidak hanya bertanggung jawab untuk memastikan adanya dasar hukum dalam berbagi informasi. Menurut Peraturan Perlindungan Data Umum, Anda juga harus memastikan secara organisasi bahwa data dilindungi dari akses tidak sah.

Oleh karena itu, para pendiri harus memilih penyedia ruang data yang dapat memenuhi persyaratan perlindungan data. Penyedia ruang data bertindak sebagai apa yang disebut “pemroses” dalam undang-undang perlindungan data, yaitu sebagai semacam asisten teknis untuk startup. Startup tetap bertanggung jawab atas keamanan data berdasarkan undang-undang perlindungan data. Kontrak terkait harus diselesaikan dengan pemroses.

Karena di Jerman masih belum jelas bagaimana bentuk kontrak ini berlaku, sebaiknya kontrak ini ditandatangani oleh kedua belah pihak secara langsung atau ditandatangani dengan tanda tangan elektronik yang memenuhi syarat. Sebagian besar penyedia ruang data memiliki contoh kontrak yang dapat diakses di situs web mereka atau tersedia berdasarkan permintaan.

Perhatian dengan penyedia AS: Data hanya dapat ditransfer ke ruang data yang mengoperasikan server mereka di AS berdasarkan persyaratan khusus, seperti sertifikasi menurut “Perlindungan Privasi UE AS”.

Penting juga untuk melindungi ruang data dengan kata sandi yang baik dan membuatnya hanya tersedia bagi investor dan penasihatnya yang dipercaya untuk melakukan uji tuntas.

sangat rahasia

Banyak kontrak berisi klausul yang menyatakan bahwa informasi yang dipertukarkan dalam kolaborasi harus dirahasiakan (yang disebut kewajiban kerahasiaan atau perjanjian non-disclosure, atau disingkat NDA). Meskipun subjeknya tidak termasuk dalam perlindungan data dalam arti hukum (karena tidak lagi menyangkut perorangan), hal ini menimbulkan masalah praktis serupa bagi para pendiri. Dalam konteks ini juga, banyak kesalahan yang dapat dihindari terjadi selama uji tuntas.

Pengacara Christina Bauer baru-baru ini menjelaskan dalam webinar kami apa yang akan terjadi bagi para pendiri sebagai akibat dari GDPR:

Konten eksternal tidak tersedia

Apakah Anda sudah berlangganan contentpass tetapi masih tidak mau ketinggalan menampilkan konten eksternal dari penyedia pihak ketiga? Lalu klik “setuju” dan kami akan mengintegrasikan konten dan layanan eksternal dari penyedia pihak ketiga terpilih ke dalam penawaran kami untuk meningkatkan pengalaman pengguna Anda. Anda dapat melihat daftar terkini pihak ketiga ini kapan saja di privasi Anda (tautan ke privasi). Dalam konteks ini, profil penggunaan (termasuk berdasarkan ID cookie) juga dapat dibuat dan diperkaya, bahkan di luar EEA. Dalam hal ini, persetujuan Anda juga mencakup transfer data pribadi tertentu ke negara ketiga, termasuk Amerika Serikat sesuai dengan Pasal 49 Ayat 1 Huruf a) GDPR. Rincian lebih lanjut mengenai pemrosesan data dapat ditemukan di informasi perlindungan data dan kebijakan privasi kami, yang tersedia kapan saja di bagian bawah penawaran kami. Anda dapat menggunakan persetujuan Anda terhadap integrasi konten eksternal kapan saja di footer penawaran kami melalui tautan “Pelacakan pencabutan”.

Setuju dan lihat konten eksternal

Sebab, larangan mengungkapkan informasi mengenai suatu perusahaan terkadang juga mencakup isi kontrak itu sendiri atau keberadaannya. Dalam beberapa kasus, hukuman kontrak yang tinggi akan dikenakan jika terjadi pelanggaran. Sebelum mengunggah kontrak, para pendiri harus memeriksa apakah pengunggahan diperbolehkan atau tidak – dan jika tidak, mintalah izin kepada mitra kontrak. Jika perjanjian kerahasiaan disepakati, oleh karena itu disarankan untuk memasukkan pengecualian terhadap larangan pengungkapan demi kehati-hatian.

Perlindungan data sebagai kartu nama

Mengingat banyaknya kewajiban dalam putaran pendanaan, dapat dimengerti bahwa para pendiri ingin melakukan uji tuntas dan perlindungan data secara efisien. Namun, upaya ini tidak hanya bermanfaat bagi karyawan Anda sendiri dan pihak berwenang. Proses dan tingkat pengorganisasian uji tuntas merupakan semacam kartu nama bagi investor: Jika para pendiri hanya memberikan dokumen yang relevan dan menunjukkan bahwa mereka menghormati perlindungan data, hal ini memberikan kontribusi yang signifikan terhadap kesan keseluruhan yang positif. Terutama jika model bisnis perusahaan rintisan berbasis data, investor akan tetap memeriksa kepatuhan perlindungan data. Uji tuntas kemudian menjadi contoh pekerjaan pertama.

Gambar: Gambar Getty / Kuat / Adegan pendirian