שירות מקיף להכנה ולהתאמה של מסמכים עבור פרויקט פינטק, הזקוק לחבילת מסמכי GDPR.
השירות מתאים לפרויקטים שמטפלים בנתונים אישיים של לקוחות, משקיעים, לווים, משתמשי אפליקציות ועובדים.
ערכת GDPR לפרויקט פינטק - היא לא רק אופציה משפטית נפרדת, אלא הכנה של סט מסמכים ונהלים להגנת נתונים, שנדרשת כאשר חברה רוצה להיכנס לשוק באמצעות מודל ברור, ניתן לאימות ונשלט. שירות זה מועיל במיוחד לחברות שהמוצר שלהן כבר מתוכנן, אך חסרים להן מסמכים באיכות גבוהה, מדיניות פנימית ובסיס ראייתי לבנק, לשותף, למשקיע או לרגולטור. בפינטק ובתחומים רגולטוריים נלווים כמעט תמיד לא מספיק "רישום החברה" או "הכנת טופס". צריך לחבר זה לזה את המבנה התאגידי, שרשרת החוזים, תרחישי המוצר, קומפליינס, תשתית התשלומים, האתר והחלוקה בפועל של התפקידים בתוך העסק.
בסיס נורמטיבי. לעיבוד מידע אישי באיחוד האירופי ובעבודה מול משתמשים אירופיים, המעשה המרכזי הוא כמעט תמיד התקנה (EU) 2016/679 (GDPR). עבור פרויקט פינטק, זה כמעט תמיד אינו מספיק ברמת Privacy Policy אחת: נדרשת מפת תפקידים, בסיס משפטי, תקופות שמירה, לוגיקת העבודה מול ספקי עיבוד תשלומים (processing), העברות בינלאומיות של מידע, תיעוד פנימי לגבי גישה וסדר הפעולה במקרה של אירועים.
למי ולמה השירות הזה נחוץ. בדרך כלל פונים עבור חבילת gdpr לפרויקט פינטק בארבעה מצבים טיפוסיים. הראשון - הפרויקט נמצא בשלב הרעיון או ה-MVP ורוצה להבין עוד לפני הפיתוח והמשא ומתן עם בנקים איזו מודל בכלל בר-קיימא. השני - החברה כבר התחילה לפעול דרך שותפים, אך רוצה לעבור לרישיון משלה או למעטפת רגולטורית משלה. השלישי - לצוות יש מוצר, אתר ומצגת למשקיעים, אך אין מבנה משפטי מוסכם, ובגלל זה כל שותף חדש מתחיל לשאול שאלות לא נוחות. הרביעי - צריך להתכונן לדיאלוג עם הרגולטור, הבנק, שותף הסליקה, המבקר או המשקיע כך שהמסמכים לא יסתתרו למודל התפעולי האמיתי.
למה חשוב לעשות זאת נכון מההתחלה. הסיכונים הטיפוסיים הם לצמצם הכול לתבניות בלי התאמה למוצר אמיתי, להשתמש במסמכים שסותרים את התהליכים במערכת, ולהשאיר ללא תיאור את התפקידים הפנימיים, הבקרה וההסלמה. בפועל, טעויות כמעט אף פעם אינן נראות כמו "דחייה ברורה מסיבה אחת". לרוב הן מצטברות: במסלול המשתמש כתוב דבר אחד, בתנאי השירות - דבר אחר, בהסכם עם השותף - שלישי, ובמצגת לבנק - רביעי. כתוצאה מכך הפרויקט מאבד חודשים על תיקון חומרים שכבר הוכנו, משנה את המבנה לאחר ההתאגדות, כותב מחדש את תהליך ההצטרפות, משנה תעריפים או דוחה את ההשקה. בדיוק משום כך השירות בכיוון "חבילת GDPR לפרויקט פינטק" נדרש לא בגלל חבילה משפטית יפה, אלא בגלל מודל עבודה שאפשר באמת להביא לשוק.
מה בדיוק נבנה במסגרת השירות. השירות מתאים לפרויקטים שמעבדים נתונים אישיים של לקוחות, משקיעים, לווים, משתמשי אפליקציות ועובדים. חשוב שהיקף העבודה לא יחיה בנפרד מהעסק: כל מדיניות, כל חוזה וכל תיאור של תהליך חייבים לתת מענה לשאלות מעשיות - מי הוא ספק השירות, היכן נוצאות זכויות וחובות הלקוח, מי מאחסן כספים או נכסים, מי מבצע KYC, כיצד מטופלות תלונות, מי אחראי על ניהול אירועים וכיצד ייראה לאחר ההשקה מנגנון תאימות.
שירות זה מועיל במיוחד לעסק שכבר יש בו מוצר ומכירות, אך חסר אחד מהחבילות הקריטיות: AML/KYC, מסמכים עבור משתמשים, תבניות ארגוניות, חוזים מול ספקים או הגנת מותג. במצבים כאלה, הרכבה משפטית ממוקדת לעיתים קרובות מסירה את המכשול המרכזי לצמיחה.
הבלוק מתאים היטב למי שאחראים לכך שמסמכים לא יתנגשו עם המודל העסקי האמיתי, עם דרישות הבנק, הרגולטור, המשקיע או שותף התשלומים. עבורם הערך של השירות הוא שבסופו של דבר מתקבל לא רק טקסט, אלא מסמך עובד, משולב בתהליכים של החברה.
כאשר העסק עובר לשלב הבא של הבדיקה, דווקא המסמכים הם לרוב הגורם להערות ולעיכובים. לכן השירות חיוני במיוחד לחברות שמבינות: בלי בסיס תיעודי חזק אי אפשר להתקדם בביטחון לא לקראת רישוי, לא לעסקה, ולא להתרחבות.
לבעלי הנכסים עבודה כזו מועילה בכך שהיא הופכת אוסף אקראי של קבצים ותבניות למערכת ברורה: אילו מסמכים חובה, מי מעדכן אותם, כיצד הם קשורים למוצר ומתי יש להציג אותם בפני המשתמשים, הבנקים והצדדים השלישיים.
השירות בנושא "ערכת GDPR לפרויקט פינטק" מועיל במיוחד לצוותים שכבר מבינים את המוצר ואת המטרה המסחרית בתחום השיפוט שנבחר, אך עדיין לא קיבעו את הארכיטקטורה המשפטית הסופית. בשלב זה אפשר, ללא עלות מיותרת, להתאים את מבנה החברה, את לוגיקת ההסכמים, את האתר, את תהליך האונבורדינג ואת רצף העבודה מול הרגולטור או מול שותפים מרכזיים.
בשלב ההתחלתי עבור השירות "ערכת GDPR לפרויקט פינטק" בדרך כלל מנתחים data flows, בסיס משפטי, ספקים, אנליטיקס/cookies, שמירת מידע וזכויות נושאי הנתונים. מטרת בדיקה כזו היא להפריד בין פעילות אמיתית של החברה לבין האופן שבו השירות מתואר באתר, במצגת ובציפיות הפנימיות של הצוות. דווקא כאן מתברר איזה חלק מהמודל מוגן משפטית ואיזה דורש שכתוב עד להגשה או ההפעלה.
ניתוח משפטי מאוחר עולה ביוקר, כי העסק כבר מספיק לקשור את המוצר, השיווק וההסכמים המסחריים סביב הנחה שעלולה להתברר כשגויה. עבור "GDPR-комплект для финтех-проекта" טעות טיפוסית היא להשאיר את טקסטי הפרטיות דקורטיביים, בלי לקשור אותם לעיבוד הנתונים בפועל. לאחר השקה פעילה, טעויות כאלה כבר משפיעות לא על מסמך אחד, אלא על מסלול הלקוח, support, הגדרת ההסכמים עם קבלני משנה והבקרה הפנימית.
התוצאה המעשית של שירות "GDPR-ערכת לפרויקט פינטק" - אינה תיק מופשט עם טקסטים, אלא מבנה עובד לשלב הבא: מפת דרכים ברורה, סדרי עדיפויות לפי מסמכים ונהלים, רשימת נקודות תורפה של המודל ותפקיד חזק יותר במו״מ מול הבנק, הרגולטור, המשקיע או שותף תשתיתי.
מסגרת משפטית. עבור שירותים תיעודיים ושירותי תאימות, תוכן העבודה נקבע לא על ידי רישיון אחד, אלא על ידי שילוב של מספר התחייבויות מחייבות: דיני חוזים, הגנת מידע, AML/KYC, גילוי מידע לצרכן, ממשל תאגידי, יחסים עם קבלני משנה ומודל העסקי בפועל. ב-fintech המוסדר, המסמכים הם ברוב המקרים נקודת הבדיקה הראשונה מצד הבנק, שותף התשלומים, המשקיע, הרגולטור או המבקר.
לכן שירות כזה חייב להישען על מוצר אמיתי ותהליכים אמיתיים, ולא על תבנית. מסמכים טובים לא רק קיימים באופן פורמלי, אלא תואמים לדרך הלקוח, לממשקים של האתר, לנהלים הפנימיים, לתפקידי העובדים ולשרשרת החוזית עם ספקים.
עבור השירות "ערכת GDPR לפרויקט פינטק" סיכון בסיסי הוא לבנות מודל על סיווג שגוי של הפעילות העובדתית. אם הצוות לא פיצח data flows, legal basis, vendors, analytics/cookies, retention וזכויות נושאי הנתונים, הוא יכול בקלות לקבל את שם השיווק של השירות כמציאות משפטית ולהתחיל לנוע במסלול שגוי במסגרת השיפוט שנבחרה.
אפילו מוצר חזק נראה חלש אם האתר, ההבטחות הפומביות, תנאי השירות, הנהלים הפנימיים וההסכמים עם השותפים מתארים תפקידים שונים של החברה. במצב כזה, "ערכת GDPR לפרויקט פינטק" כמעט תמיד נתקלת בשאלות מיותרות במסגרת בדיקת נאותות, בדיקה בנקאית או במהלך תהליך קבלת האישור בתחום השיפוט שנבחר.
סיכון נפרד עבור השירות "ערכת GDPR לפרויקט פינטק" מתעורר בנקודות התלות בספקים ובבקרות פנימיות. אם מראש לא מגדירים מי אחראי על הפונקציות הקריטיות, כיצד מעודכנים הנהלים ואיפה מסתיימת האחריות של הספק, הפרויקט נשאר חשוף דווקא באותם צמתים שמרכיבים את זרימות הנתונים, הבסיס המשפטי, הספקים, analytics/cookies, השמירה והזכויות של נושאי הנתונים.
השגיאה היקרה ביותר עבור "ערכת GDPR לפרויקט פינטק" היא לדחות את בניית-המשפטים מחדש לשלב מאוחר. כאשר מתברר שמשאירים את פרטיות ה-texts כעיצובית, מבלי לקשר אותם לעיבוד נתונים אמיתי, החברות נאלצות לכתוב מחדש לא רק מסמכים, אלא גם את מסלול הלקוח, טקסטים של המוצר, סקריפטי התמיכה, אונבורדינג ולעיתים אף את המבנה הארגוני כולו בתוך תחום השיפוט שנבחר.
מה העסק מקבל בסוף. עם סיום השירות במסגרת "ערכת GDPR לפרויקט פינטק" החברה מקבלת לא רק אוסף של קבצים, אלא בסיס משפטי שאותו ניתן להשתמש עבור הצעדים הבאים: רישוי, רישום, משא ומתן עם בנקים ושותפי סליקה, הגדרה פנימית של תהליכים, דואו-דיליג'נס, שינוי מבנה תאגידי או השקת מוצר חדש לשוק.
למה זה נותן השפעה מעשית. התוצאה של שירות כזה עוזרת לצוות לקבל החלטות מהר יותר: נהיה ברור היכן עוברת הגבול בין מודל טכנולוגי מותר לבין activity שמוסדר, אילו מסמכים צריכים להתפרסם באתר, אילו נהלים יש להטמיע לפני ההפעלה, ואילו ניתן להפעיל בהדרגה. למשימות תיעודיות זה חשוב במיוחד, משום שטקסטים שהוכנו באיכות גבוהה משמשים לאחר מכן לא פעם אחת בלבד, אלא הופכים לחלק מסביבת התפעול היומיומית: האתר, אונבורדינג, בקרה פנימית, משא ומתן מול ספקים ו-due diligence.
מה חשוב לאחר סיום השירות. האריזה המשפטית לא צריכה להישאר כארכיון. התפקיד שלה הוא להפוך לכלי עבודה עבור מייסדים, operations, compliance, product ו-business development. רק אז מצטמצם הסיכון שבחלוף כמה חודשים הפרויקט ייאלץ לאסוף מחדש את האתר, החוזים, הנהלים ונתיב הלקוח בהתאם לדרישות של בנק חדש, רגולטור, משקיע או שותף אסטרטגי.
מה הלקוח מקבל בסיכום. הערך המרכזי של שירות כזה הוא לא אוסף של קבצים מפוזרים, אלא בסיס משפטי מתואם כדי להפעיל ולצמוח. לאחר הכנה נכונה, לפרויקט קל יותר להסביר את המודל שלו לבנקים, לשותפי EMI/PI, לספקי שירותי עיבוד, לספקי KYC/AML, למשקיעים ולרוכשים פוטנציאליים של העסק. גם אם האסטרטגיה הסופית כוללת התחלה דרך מסגרת שותפים, אריזת משפטית איכותית מפחיתה מראש את הסיכון שבחלוף כמה חודשים יהיה צורך לשכתב מחדש את האתר, החוזים, נוהלי AML ואת סביבת העבודה הפנימית של תהליכי העובדים מאפס.
למה לא כדאי לדחות את העבודה הזו. ככל שחברה מבצעת מאוחר יותר legal תקינה הגדרה של היקף המשימה עבור השירות "GDPR-комплект для финтех-проекта", כך התיקונים עולים יותר. אם קודם בונים את המוצר, הטקסטים השיווקיים, ה-onboarding והאינטגרציות, ורק אחר כך מתברר שהמודל דורש regulatory היקף רגולטורי אחר או חלוקת תפקידים אחרת, צריך לבצע מחדש לא רק את המסמכים, אלא גם את הממשקים, מסלול התשלומים, תהליכי ה-support, ה-accounting logic ולעיתים אפילו את ה-corporate setup. לכן נכון יותר לבצע עבודה כזו לפני הרחבה פעילה, לפני כניסה למדינה חדשה ולפני משא ומתן רציני עם בנקים או משקיעים.
איך להשתמש בתוצאה בהמשך. חומרים שהוכנו במסגרת השירות בדרך כלל הופכים לבסיס לשלבים הבאים: התאגדות, בנק-אונבורדינג, בחירת ספקי טכנולוגיה, איסוף בקשה רגולטורית, אישור הסכמים עם שותפים, הכנת data room ועבודה פנימית של הצוות. עבור המייסד זה חשוב גם מסיבות ניהוליות: מתקבלת בהירות לגבי אילו פונקציות נדרשות פנימית, מה מותר להעביר החוצה לאאוטסורסינג, אילו מסמכים חייבים להיות מפורסמים באתר, אילו תהליכים יש לאוטומט כבר מיד, ואילו ניתן להתחיל בהדרגה.
בנפרד על מסמכים וציות. אם השירות נוגע להכנת מדיניות, תנאי שירות, AML, GDPR או חוזים ארגוניים, אסור להתייחס אליו כאל משהו "טכני" בלבד. מסמכים טובים מתעדים תהליכים אמיתיים של החברה ומסייעים להוכיח את בשלות העסק כלפי חוץ. מסמכים גרועים עושים את ההפך: הם יוצרים הבטחות שווא ללקוח, מתנגשים עם המוצר ומקשים על בדיקה מצד הבנק, השותף או הרגולטור. לכן המטרה של עבודה כזו אינה פורמליות, אלא ניתנות לניהול והוכחה של התהליך.
עדיף להתחבר לפני הגשה, לפני חתימה על הסכמים מרכזיים ולפני הרחבה פומבית של המוצר. עבור השירות "GDPR-комплект для финтех-проекта" זה חשוב במיוחד בתחום השיפוט הנבחר, משום שהגדרה מוקדמת של היקף המשימה מאפשרת לשנות את המבנה והמסמכים בלי עיבוד מחדש מדורג של האתר, תהליך האונבורדינג, שרשרת ההסכמים והיחסים עם צדדים נגדיים.
כן, בכיוון "GDPR-комплект для финтех-проекта" אפשר לחלק את העבודה: בנפרד מזכר, מפת דרכים, חבילת מסמכים, ליווי ההגשה או בדיקה של חוזה מסוים. אבל לפני כן כדאי לבצע בדיקה קצרה של data flows, legal basis, vendors, analytics/cookies, retention וזכויות נושאי המידע, אחרת אפשר להזמין חלק שלא יבטל את הסיכון העיקרי דווקא במודל הזה בתחום השיפוט הנבחר.
ברוב המקרים הפרויקט נתקע לא בגלל טופס אחד ולא בגלל רגולטור אחד, אלא בגלל פער בין המוצר, טקסטים של המשתמשים, לוגיקת החוזים, נהלים פנימיים ותפקיד החברה במציאות. עבור "ערכת GDPR לפרויקט פינטק" דווקא הפער הזה הוא לרוב היקר ביותר, כי הוא משפיע הן על השותפים והן על הצוות, וגם על הקומפליאנס המתמשך בתחומי השיפוט שנבחרו.
תוצאה טובה עבור השירות "ערכת GDPR לפרויקט פינטק" היא כאשר לעסק יש מודל מוגן וברור של הצעדים הבאים: אילו פונקציות מותרות, אילו מסמכים ונהלים הם חובה, מה צריך לתקן לפני ההשקה ואיך לדבר על הפרויקט עם הבנק, הרגולטור, המשקיע או שותף טכנולוגי בלי עמימות פנימית בתוך הסמכות השיפוטית שנבחרה.
