New Technologies

Potential Roadblocks for Startups

The author offers legal perspectives and data protection considerations for early-stage European startups.

The mod­ern start­up and entre­pre­neur­ship cul­ture that has been blos­som­ing in tech cen­tres around the world has got plen­ty of atten­tion, as if it is some­thing entire­ly new and fol­lows a com­plete­ly dif­fer­ent roadmap than oth­er com­pa­nies – often deri­sive­ly called “old-econ­o­my” or “brick & mor­tar”. Indeed, cer­tain aspects are unique to our time and tech­no­log­i­cal envi­ron­ment: a sin­gle per­son or small team of two or three friends can devel­op a use­ful pro­gram, app or ser­vice that in pre­vi­ous gen­er­a­tions would have required a large, high­ly trained team and the cap­i­tal assets that required the resources of a large organ­i­sa­tion.

But near­ly every com­pa­ny that exists today start­ed as a scrap­py start­up. This means that the small, nim­ble start­up of today (if it suc­ceeds) will become a more con­ven­tion­al­ly struc­tured com­pa­ny. Even the most ide­al­is­tic entre­pre­neur will admit that reg­u­la­to­ry com­pli­ance, IP, per­son­al data pro­tec­tion and oth­er legal aspects will even­tu­al­ly become a neces­si­ty, but we believe that con­sid­er­ing these issues ear­ly will avoid cost­ly headaches down the road.

How IP relates to my startup

To secure the startup’s name, domain and trade­mark, entre­pre­neurs often focus only on the domain name; it is assumed that if the “.com” domain is avail­able, this is suf­fi­cient. Next, a web­site is cre­at­ed show­cas­ing a spiffy new logo. Very quick­ly this can be a mod­est­ly suc­cess­ful busi­ness with many cus­tomers, ven­dors and part­ners – all famil­iar with the name and logo cre­at­ed. How­ev­er, due the vis­i­bil­i­ty that the Inter­net affords, poten­tial trade­mark infringe­ments can just as read­i­ly be dis­cov­ered by oth­er par­ties. The start­up is then not only hit with the poten­tial fines and legal costs in deal­ing with this but also must do a rebrand­ing that can poten­tial­ly erase all their recent­ly won brand recog­ni­tion. Most of us have received an email from a start­up that we have done busi­ness with announc­ing “we are now (new com­pa­ny name)” and proud­ly dis­play­ing a fresh­ly designed logo. For each of these we remem­ber, how many have we missed and there­fore no longer con­sid­er its sender an ongo­ing con­cern?

Since many star­tups today are entire­ly based on soft­ware (web­sites, mobile apps, etc.), this should be a crit­i­cal legal focus. Who holds the copy­rights over the com­put­er pro­grammes, what is the agree­ment between the entre­pre­neur and the free­lancers par­tic­i­pat­ing in the project, is there a use of open-source soft­ware? These gaps can eas­i­ly sink a start­up in an instant.

What if the startup involves use of personal data?

It is easy to think of the inter­net as a vir­tu­al world filled with anony­mous users, but behind the avatar, the e‑mail address and the user name often is a real per­son. As this user inter­acts with the start­up, per­son­al data is processed. Com­pa­nies with hot­lines and loy­al­ty pro­grammes, organ­is­ing pro­mo­tions and games, and par­tic­i­pat­ing in online sales inevitably process per­son­al data. Since the inter­net knows no bor­ders, com­pa­nies often par­tic­i­pate in per­son­al data pro­cess­ing and trans­fer of per­son­al data with­out know­ing it.

But the risk for sanc­tions exists. Sto­ries of secu­ri­ty breach­es are com­mon and often could have been avoid­ed if the com­pa­ny had tak­en the time to review and revise its per­son­al data pro­tec­tion poli­cies and con­tracts with its part­ners, or to under­take appro­pri­ate secu­ri­ty mea­sures to pro­tect per­son­al data against unlaw­ful forms of pro­cess­ing. The loss of trust after such a breach can be an enor­mous issue for a large com­pa­ny, and fatal for a start­up.

The European data protection reform

Cur­rent­ly, we are wit­ness­ing the devel­op­ment of a major Euro­pean data pro­tec­tion reform, which (if the new Gen­er­al Data Pro­tec­tion Reg­u­la­tion comes into force) will facil­i­tate inno­va­tion in EU busi­ness­es. If adopt­ed, the Gen­er­al Data Pro­tec­tion Reg­u­la­tion will become the sin­gle Euro­pean law reg­u­lat­ing per­son­al data. Even though the Euro­pean per­son­al data pro­tec­tion reform envis­ages severe sanc­tions for unlaw­ful pro­cess­ing of per­son­al data (up to EUR 100 mln or 5% of the annu­al world­wide turnover, whichev­er is greater), it also pro­vides cer­tain ben­e­fits for small and mid-sized enter­pris­es (eg, no oblig­a­tion to appoint a data pro­tec­tion offi­cer if the data pro­cess­ing is not their core activ­i­ty; no fines for a first and unin­ten­tion­al breach; etc.).

As an entre­pre­neur you are con­cerned with the big, strate­gic pic­ture, and this is admirable. But it is often the lit­tle, seem­ing­ly insignif­i­cant legal issues that can be the road­blocks that make or break a busi­ness. Tak­ing these and oth­er issues into con­sid­er­a­tion from the ear­li­est stages of your start­up will save mon­ey and headaches in the long term.

Stories of security breaches are common and often could have been avoided if the company had taken the time to review and revise its personal data protection policies and contracts with its partners, or to undertake appropriate security measures to protect personal data against unlawful forms of processing. The loss of trust after such a breach can be an enormous issue for a large company, and fatal for a startup.

Потенциални пречки за стартъп (startup) компаниите

Въпроси от гледна точка на лични данни и правни проблеми от значение за Европейските стартъпи.

Културата на модерните стартъпи и предприемачеството, които разцъфтяват по света, придоби особена популярност, като нещо изцяло ново и следващо напълно различен път от другите компании – често иронично наричани “стара икономика” или т.нар. brick & mor­tar бизнес. Действително, някои аспекти са уникални за нашето време: едно лице или малък екип от двама / трима приятели, в днешно време, могат да разработят полезна програма, мобилна апликация или услуга, която преди би изисквала голям, високо квалифициран екип и финансови ресурси, отговарящи на стандарта на голяма компания.

Все пак не бива да забравяме, че всяка компания, която съществува днес, е започнала като малък прохождащ стартъп. Това означава, че малкият, адаптивен стартъп от днешния ден (ако успее) ще стане добре структурирана компания в бъдеще. Дори и най-идеалистичния предприемач ще се съгласи, че съответствието с правните изисквания по отношение на регулаторната рамка, интелектуалната собственост, защитата на личните данни и други правни аспекти, в един момент ще се превърне в необходимост, но ние смятаме, че предприемането на мерки на един по-ранен етап ще избегне излишни и скъпо струващи главоболия по нататък.

По какъв начин интелектуалната собственост рефлектира на моя стартъп?

Предприемачите често се фокусират само върху регистрацията на наименование на домейн, вместо да да регистрират своя търговска марка. Предполага се, че ако домейн “.com” е свободен, това е достатъчно. След това се създава уебсайт с определен дизайн и лого. Възможно е, много бързо, това да се превърне в успешен бизнес с много клиенти, търговци и партньори — всички запознати с наименованието и логото на стартъпа. Независимо от това, поради публичността, предоставяна от Интернет, потенциални нарушения, при използване на чужда търговска марка, биха могли да бъдат лесно открити. В резултат, на стартъпа се налагат не само потенциални санкции и адвокатски разноски, за да се справят с проблема, но и понякога необходимостта стартъпа да смени изцяло наименованието и логото си, което вече е набрало популярност. Повечето от нас са получавали имейл от компании, с които сме работили и които обявяват “ние сега сме (ново наименование)” и с гордост излагат напълно ново изработено лого. За такива компании си мислим – за колко ли от тях все още се сещаме и колко ли клиенти са изгубили заради тази промяна?

Tъй като повечето днешни стартъпи са до голяма степен базирани на софтуер (уебсайтове, мобилни апликации и др.), такъв би следвало да бъде и основния фокус от правна гледна точка. Кой е носител на авторски права по отношение на компютърните програми, какви са договорните взаимоотношения между предприемача и лицата, работещи по проекта на основата на граждански договори, използва ли се open-source софтуер? Тези празнини биха могли, лесно и мигновено, да заличат изцяло стартъпа.

Какво се случва, ако стартъпа обработва лични данни?

Би било по-лесно да си мислим, че Интернет е един виртуален свят с изцяло анонимни потребители, но зад даден аватар, имейл адрес и псевдоним често стои физическо лице, което може да бъде идентифицирано. Когато потребителят има взаимоотношения със стартъпа, по принцип се обработват лични данни. Дружества, които поддържат горещи линии, организират промоции и игри, участват в продажби онлайн, неизбежно обработват лични данни. Тъй като Интернет не познава граници, дружествата често участват в обработването и трансферирането на лични данни, без дори да знаят за това. Рискът от санкции обаче си остава. Историите за нарушения на сигурността (secu­ri­ty breach­es) са често срещани и в повечето случаи биха могли да бъдат избегнати, ако стартъпа провери и коригира политиките си за поверителност и договорите със своите партньори, както и ако предприеме необходимите технически и организационни мерки за сигурност да защити личните данни от незаконни форми на обработване. Загубата на доверие след такова нарушение би могла да представлява съществен проблем за една голяма компания, но би могла да бъде фатална за стартъпа.

Реформа в Европейското законодателство за защита на личните данни – какво се случва?

Понастоящем, ние ставаме свидетели на развитието на съществена и значима реформа в Европейското законодателство за защита на личните данни, което (ако новият Регламент за защита на личните данни влезе в сила) ще улесни иновациите за Европейския бизнес. Ако бъде приет, Регламентът за защита на личните данни, ще бъде законодателният акт, който ще бъде основно приложим по отношение на обработването на лични данни. Независимо, че реформата в Европейското законодателство за защита на лични данни, предвижда сурови санкции за незаконно обработване на лични данни (до 100 000 000 евро или до 5 % от годишния световен оборот, в зависимост от това кое е по-високо), също така предоставя някои ползи за малките и средните предприятия, например: освобождаване от задължение за назначаване на служител по защита на личните данни (data pro­tec­tion offi­cer), ако обработването на лични данни не влиза в основната им дейност; не се налагат санкции за първо и неумишлено нарушение и др.

Като предприемач, Вие се интересувате от голямата картина и стратегия за развитие и това е достойно за уважение. Често обаче, малките и изглеждащи незначителни правни проблеми, биха могли да се окажат основното препятствие, което би унищожило даден бизнес. Вземането под внимание на тези проблеми, в най-ранен стадий на развитие на Вашия стартъп, ще Ви спести средства и главоболия в дългосрочен аспект.

Историите за нарушения на сигурността (security breaches) са често срещани и в повечето случаи биха могли да бъдат избегнати, ако стартъпа провери и коригира политиките си за поверителност и договорите със своите партньори, както и ако предприеме необходимите технически и организационни мерки за сигурност да защити личните данни от незаконни форми на обработване. Загубата на доверие след такова нарушение би могла да представлява съществен проблем за едно голямо дружество, но би била фатална за един стартъп.