New Technologies

Potential Roadblocks for Startups

The author offers legal perspectives and data protection considerations for early-stage European startups.

The modern startup and entrepreneurship culture that has been blossoming in tech centres around the world has got plenty of attention, as if it is something entirely new and follows a completely different roadmap than other companies – often derisively called “old-economy” or “brick & mortar”. Indeed, certain aspects are unique to our time and technological environment: a single person or small team of two or three friends can develop a useful program, app or service that in previous generations would have required a large, highly trained team and the capital assets that required the resources of a large organisation.

But nearly every company that exists today started as a scrappy startup. This means that the small, nimble startup of today (if it succeeds) will become a more conventionally structured company. Even the most idealistic entrepreneur will admit that regulatory compliance, IP, personal data protection and other legal aspects will eventually become a necessity, but we believe that considering these issues early will avoid costly headaches down the road.

How IP relates to my startup

To secure the startup’s name, domain and trademark, entrepreneurs often focus only on the domain name; it is assumed that if the “.com” domain is available, this is sufficient. Next, a website is created showcasing a spiffy new logo. Very quickly this can be a modestly successful business with many customers, vendors and partners – all familiar with the name and logo created. However, due the visibility that the Internet affords, potential trademark infringements can just as readily be discovered by other parties. The startup is then not only hit with the potential fines and legal costs in dealing with this but also must do a rebranding that can potentially erase all their recently won brand recognition. Most of us have received an email from a startup that we have done business with announcing “we are now (new company name)” and proudly displaying a freshly designed logo. For each of these we remember, how many have we missed and therefore no longer consider its sender an ongoing concern?

Since many startups today are entirely based on software (websites, mobile apps, etc.), this should be a critical legal focus. Who holds the copyrights over the computer programmes, what is the agreement between the entrepreneur and the freelancers participating in the project, is there a use of open-source software? These gaps can easily sink a startup in an instant.

What if the startup involves use of personal data?

It is easy to think of the internet as a virtual world filled with anonymous users, but behind the avatar, the e-mail address and the user name often is a real person. As this user interacts with the startup, personal data is processed. Companies with hotlines and loyalty programmes, organising promotions and games, and participating in online sales inevitably process personal data. Since the internet knows no borders, companies often participate in personal data processing and transfer of personal data without knowing it.

But the risk for sanctions exists. Stories of security breaches are common and often could have been avoided if the company had taken the time to review and revise its personal data protection policies and contracts with its partners, or to undertake appropriate security measures to protect personal data against unlawful forms of processing. The loss of trust after such a breach can be an enormous issue for a large company, and fatal for a startup.

The European data protection reform

Currently, we are witnessing the development of a major European data protection reform, which (if the new General Data Protection Regulation comes into force) will facilitate innovation in EU businesses. If adopted, the General Data Protection Regulation will become the single European law regulating personal data. Even though the European personal data protection reform envisages severe sanctions for unlawful processing of personal data (up to EUR 100 mln or 5% of the annual worldwide turnover, whichever is greater), it also provides certain benefits for small and mid-sized enterprises (eg, no obligation to appoint a data protection officer if the data processing is not their core activity; no fines for a first and unintentional breach; etc.).

As an entrepreneur you are concerned with the big, strategic picture, and this is admirable. But it is often the little, seemingly insignificant legal issues that can be the roadblocks that make or break a business. Taking these and other issues into consideration from the earliest stages of your startup will save money and headaches in the long term.

Stories of security breaches are common and often could have been avoided if the company had taken the time to review and revise its personal data protection policies and contracts with its partners, or to undertake appropriate security measures to protect personal data against unlawful forms of processing. The loss of trust after such a breach can be an enormous issue for a large company, and fatal for a startup.

Потенциални пречки за стартъп (startup) компаниите

Въпроси от гледна точка на лични данни и правни проблеми от значение за Европейските стартъпи.

Културата на модерните стартъпи и предприемачеството, които разцъфтяват по света, придоби особена популярност, като нещо изцяло ново и следващо напълно различен път от другите компании – често иронично наричани “стара икономика” или т.нар. brick & mortar бизнес. Действително, някои аспекти са уникални за нашето време: едно лице или малък екип от двама / трима приятели, в днешно време, могат да разработят полезна програма, мобилна апликация или услуга, която преди би изисквала голям, високо квалифициран екип и финансови ресурси, отговарящи на стандарта на голяма компания.

Все пак не бива да забравяме, че всяка компания, която съществува днес, е започнала като малък прохождащ стартъп. Това означава, че малкият, адаптивен стартъп от днешния ден (ако успее) ще стане добре структурирана компания в бъдеще. Дори и най-идеалистичния предприемач ще се съгласи, че съответствието с правните изисквания по отношение на регулаторната рамка, интелектуалната собственост, защитата на личните данни и други правни аспекти, в един момент ще се превърне в необходимост, но ние смятаме, че предприемането на мерки на един по-ранен етап ще избегне излишни и скъпо струващи главоболия по нататък.

По какъв начин интелектуалната собственост рефлектира на моя стартъп?

Предприемачите често се фокусират само върху регистрацията на наименование на домейн, вместо да да регистрират своя търговска марка. Предполага се, че ако домейн “.com” е свободен, това е достатъчно. След това се създава уебсайт с определен дизайн и лого. Възможно е, много бързо, това да се превърне в успешен бизнес с много клиенти, търговци и партньори – всички запознати с наименованието и логото на стартъпа. Независимо от това, поради публичността, предоставяна от Интернет, потенциални нарушения, при използване на чужда търговска марка, биха могли да бъдат лесно открити. В резултат, на стартъпа се налагат не само потенциални санкции и адвокатски разноски, за да се справят с проблема, но и понякога необходимостта стартъпа да смени изцяло наименованието и логото си, което вече е набрало популярност. Повечето от нас са получавали имейл от компании, с които сме работили и които обявяват “ние сега сме (ново наименование)” и с гордост излагат напълно ново изработено лого. За такива компании си мислим – за колко ли от тях все още се сещаме и колко ли клиенти са изгубили заради тази промяна?

Tъй като повечето днешни стартъпи са до голяма степен базирани на софтуер (уебсайтове, мобилни апликации и др.), такъв би следвало да бъде и основния фокус от правна гледна точка. Кой е носител на авторски права по отношение на компютърните програми, какви са договорните взаимоотношения между предприемача и лицата, работещи по проекта на основата на граждански договори, използва ли се open-source софтуер? Тези празнини биха могли, лесно и мигновено, да заличат изцяло стартъпа.

Какво се случва, ако стартъпа обработва лични данни?

Би било по-лесно да си мислим, че Интернет е един виртуален свят с изцяло анонимни потребители, но зад даден аватар, имейл адрес и псевдоним често стои физическо лице, което може да бъде идентифицирано. Когато потребителят има взаимоотношения със стартъпа, по принцип се обработват лични данни. Дружества, които поддържат горещи линии, организират промоции и игри, участват в продажби онлайн, неизбежно обработват лични данни. Тъй като Интернет не познава граници, дружествата често участват в обработването и трансферирането на лични данни, без дори да знаят за това. Рискът от санкции обаче си остава. Историите за нарушения на сигурността (security breaches) са често срещани и в повечето случаи биха могли да бъдат избегнати, ако стартъпа провери и коригира политиките си за поверителност и договорите със своите партньори, както и ако предприеме необходимите технически и организационни мерки за сигурност да защити личните данни от незаконни форми на обработване. Загубата на доверие след такова нарушение би могла да представлява съществен проблем за една голяма компания, но би могла да бъде фатална за стартъпа.

Реформа в Европейското законодателство за защита на личните данни – какво се случва?

Понастоящем, ние ставаме свидетели на развитието на съществена и значима реформа в Европейското законодателство за защита на личните данни, което (ако новият Регламент за защита на личните данни влезе в сила) ще улесни иновациите за Европейския бизнес. Ако бъде приет, Регламентът за защита на личните данни, ще бъде законодателният акт, който ще бъде основно приложим по отношение на обработването на лични данни. Независимо, че реформата в Европейското законодателство за защита на лични данни, предвижда сурови санкции за незаконно обработване на лични данни (до 100 000 000 евро или до 5 % от годишния световен оборот, в зависимост от това кое е по-високо), също така предоставя някои ползи за малките и средните предприятия, например: освобождаване от задължение за назначаване на служител по защита на личните данни (data protection officer), ако обработването на лични данни не влиза в основната им дейност; не се налагат санкции за първо и неумишлено нарушение и др.

Като предприемач, Вие се интересувате от голямата картина и стратегия за развитие и това е достойно за уважение. Често обаче, малките и изглеждащи незначителни правни проблеми, биха могли да се окажат основното препятствие, което би унищожило даден бизнес. Вземането под внимание на тези проблеми, в най-ранен стадий на развитие на Вашия стартъп, ще Ви спести средства и главоболия в дългосрочен аспект.

Историите за нарушения на сигурността (security breaches) са често срещани и в повечето случаи биха могли да бъдат избегнати, ако стартъпа провери и коригира политиките си за поверителност и договорите със своите партньори, както и ако предприеме необходимите технически и организационни мерки за сигурност да защити личните данни от незаконни форми на обработване. Загубата на доверие след такова нарушение би могла да представлява съществен проблем за едно голямо дружество, но би била фатална за един стартъп.