NexGarde — Sales Kit

01 · Продукт

02 · Клиенты

03 · Продажа

04 · Контент

05 · Автоматизация

Позиционирование

NexGarde — boutique consultancy specializing in privacy, SaaS compliance, and AI governance. We focus on embedding compliance into product and engineering workflows to support scalable growth. Наш AI автоматически анализирует сайт, инфраструктуру и вендоров — и собирает 65–80% необходимых данных до первого вопроса клиенту. Оставшиеся 20–35% — только то, что нельзя определить извне. CIPP/E-сертифицированный эксперт проверяет каждый выход. Результат: onboarding 10–15 минут вместо недель консультаций.

Как работает

Что анализирует AI — 4 блока

Блок	Что смотрим	Что даёт
Website & Technology	HTML, формы, cookies, tracking pixels, login flows, APIs	Какие данные собираются, какие трекеры стоят до consent
Infrastructure Discovery	DNS, CDN, hosting, TLS-сертификаты	Где хранятся данные — влияет на transfer disclosure
Vendor Intelligence	Stripe, HubSpot, Intercom, Segment, Auth0 и др.	Локация, DPA, transfer mechanism каждого вендора
Product Behaviour	Аккаунты, платежи, API-доступ, support, маркетинг	Черновик ROPA — реестра операций обработки данных

Что AI определяет автоматически

Категория	Уровень автоматизации	Что остаётся человеку
Cookies & trackers	100%	—
Tracking technologies	90%	—
Forms & data fields	90%	—
Vendors & subprocessors	80%	Подтверждение роли и договорного статуса
Hosting & infrastructure	80%	—
Data flows (ROPA draft)	60%	Подтверждение purposes и recipients
Legal entity identity	50%	Юридическое название, адрес, DPO
Lawful basis	0%	Клиент выбирает для каждой активности
Retention periods	0%	Клиент определяет по каждой категории данных

Ключевой принцип

AI never asks a question if it can detect the answer.

Пример: AI обнаружил Google Analytics на сайте. Клиенту не задаётся вопрос "используете ли вы analytics?" — вместо этого: "Мы видим Google Analytics. Подтвердите legal basis и цель обработки." Это сокращает onboarding с часов до 10–15 минут.

Три шага клиента

Step 1 → Step 2 → Step 3

Step 1Gap Analysis Report

AI сканирует публичный footprint до первого вопроса. Чёткая картина где стоит и что исправить первым.

Fee€1,500–2,500fixed · засчитывается в Step 2

Срок5–7 рабочих дней

Партнёрам€1,000–1,500wholesale

Что делаем

AI сканирует сайт, cookies, vendor stack
Маппинг на GDPR, ePrivacy, AI Act, MiCA
Gap analysis: что есть, чего нет, что критично
Приоритизированный roadmap
60-минутный разбор с экспертом

Клиент получает

Gap Analysis Report (10–20 стр)
Draft data flow overview
Roadmap с приоритетами
60 мин с экспертом

→ Продавать через дедлайн. «Когда DD? Сделаем скан сейчас — через 7 дней видишь где риски.»

Step 2Full Compliance Engagement

Полный compliance framework. Scope и fixed fee фиксируются после Step 1 — без сюрпризов.

Fee€5,000–15,000fixed · scoped after Step 1

Срок4–6 недельнед. 1–2 assessment · нед. 2–6 delivery

Payment40% signing · 30% drafts · 30% final

Воркстримы — €1,500–2,500 каждый

Workstream	Что включает	Для кого
GDPR Core	Privacy notice, data mapping, lawful basis, DSAR, data breach, vendor DPA	Все компании
Cookie & ePrivacy	Cookie audit, consent flow, cookie policy, banner и implementation guide	Любой сайт
Legitimate Interests	LIA framework, balancing tests, документация по каждой активности	B2B, analytics
Int'l Transfers	Transfer mapping, SCCs, TIA, UK addendum, DPF	US vendors, multi-jur
AI Act Readiness	AI system classification, transparency, governance checklist	AI-продукты
MiCA / Crypto	Privacy framework для CASP, data governance, regulatory disclosure	Crypto & Web3

Типичная цена по профилю

Профиль	Воркстримы	Fee
B2B SaaS, одна юрисдикция	GDPR + Cookie + LI	€5–6k
Fintech / PSP, EU + US vendors	GDPR + Cookie + LI + Transfers	€7–9k
AI SaaS, EU market	GDPR + Cookie + LI + AI Act	€7–9k
Crypto / Web3, multi-jurisdiction	GDPR + Cookie + Transfers + MiCA	€9–12k
Complex: AI + crypto + multi-jur	Все воркстримы	€12–15k

→ После Step 1: «Скан показал что не хватает — engagement это закрывает. Fixed fee, без сюрпризов.»

Step 3Fractional DPO / Ongoing Support

Compliance работает и управляется — не только задокументирован. Никогда не продавать cold.

Retainerот €2,000/мес1–3 дня + async

Project€15,000–30,0002–3 мес, fixed scope

Что включает

DPIAs, TIAs, DSAR support
Incident response
Регуляторная и investor отчётность
Обучение команды
Named DPO для решений

Для кого

Быстро масштабирующиеся компании
Нет внутреннего compliance-ресурса
Нужна ongoing investor отчётность

→ После Step 2: «Можем передать вам — или остаться и вести первые 3 месяца.»

Конкуренты

Почему не конкуренты

Альтернатива	Что делают	Чего не делают
OneTrust / Cookiebot / Osano	Сканируют cookies и banner UX	Не превращают scan в legal work product и compliance pipeline
iubenda / Securiti	Генерируют политики по шаблонам	Не начинают с public-domain evidence о конкретной компании
DataGrail / TrustArc	Data mapping для enterprise	Нужны внутренние интеграции, недели настройки, не для стартапов
Юрфирма	Legal opinion и консультации	Задают 200 вопросов руками. Мы задаём 20 — 70–80% уже знаем до звонка

Фокус · Этап 1

Почему Fintech и Crypto — приоритет сейчас

Приоритет 1 · Fintech & Payments

— Compliance блокирует конкретные сделки: DD или enterprise контракт
— Деньги уже на столе — compliance единственное что мешает
— Боль немедленная, решение конкретное, цикл короткий
— Нет специализированного конкурента под этот сегмент
— Высокий чек: GDPR + PSD2 + DORA + Transfers = €7–9k

Приоритет 2 · Crypto & Web3

— MiCA live с декабря 2024: CASP-лицензия требует GDPR-пакет как условие
— Регулятор запрашивает документы — это не "нужно бы", это блокер
— Уникальная компетенция: GDPR + MiCA в одном пакете — редкость
— Конкуренты работают с этим сегментом, но нет быстрого AI-first решения
— Высокий чек: GDPR + Cookie + Transfers + MiCA = €9–12k

Остальные когорты — в резерве

AI & Data SaaS
Дедлайн реальный, но большинство фаундеров ещё не чувствуют срочности. Цикл длиннее — нужно объяснять проблему до продажи. Возвращаемся через 2–3 месяца.

HR-tech & High-Risk AI
Горящий дедлайн, но узкий рынок и сложный продукт. Требует специализации в AI Act Annex III. Переходим после первых кейсов в Fintech/Crypto.

US/UK/Global → EU
Большой рынок, но конкурент VeraSafe уже занял эту нишу. Входим через партнёрский канал или после появления кейсов.

Дашборд

Все сегменты — выбери чтобы раскрыть

Сегмент 1

Fintech & Payments

PSP · EMI · Neobank · Lending · 30–150 чел

GDPR + PSD2 + Transfers · €7–9k

Сегмент 2 · 🔥 Дедлайн авг 2026

AI & Data SaaS

Analytics · LLM · Automation · 20–150 чел

GDPR + AI Act · €7–9k

Сегмент 3

Crypto & Web3

Exchange · Custodian · Tokenisation · 15–100 чел

GDPR + MiCA + Transfers · €9–12k

Сегмент 4 · 🔥 Дедлайн авг 2026

HR-tech & High-Risk AI

Recruiting AI · Employee analytics · 20–120 чел

GDPR + AI Act Annex III + DPIA · €10–15k

Сегмент 5 · Недооценённый рынок

US / UK / Global — EU entry

Американские, британские, израильские, канадские tech-компании с EU-пользователями. Часто не знают что уже под GDPR.

GDPR + EU Rep + Transfers · €6–9k

Логика сегментации

Три измерения — не одно

Клиентов нужно видеть в трёх измерениях: отрасль (что они делают), регуляторное давление (какие законы на них давят), стадия (что им нужно прямо сейчас). Одна и та же компания — разный разговор в зависимости от стадии.

Регуляторный пакет	Кто попадает	Workstreams	Чек
GDPR only	Любой SaaS/e-comm с EU-пользователями, нет AI и крипто	GDPR + Cookie + LI	€5–6k
GDPR + AI Act	AI-продукты с EU-пользователями, особенно employment/credit/health	+ AI Act Readiness	€7–9k
GDPR + MiCA	Crypto exchanges, custodians, PSPs с CASP-лицензией	+ MiCA / Transfers	€9–12k
GDPR + AI Act + спец. данные	Healthtech, HR-AI, edtech — высший уровень риска	Все воркстримы + DPIA	€12–15k

Сегмент 1

Fintech & Payments

Портрет

PSP, EMI, neobank, lending platform, payment facilitator. 30–150 сотрудников. Series A–B или активный fundraise. EU-лицензия или в процессе. US vendor stack: Stripe, Plaid, Twilio, AWS. Обрабатывают финансовые данные физлиц — это «обычные» персональные данные, но с жёстким regulatory overlay.

Регуляторное давление

GDPR + PSD2 + DORA (с января 2025). International transfers обязательны из-за US vendors. LIA нужна для fraud prevention и analytics. Enterprise клиенты всегда просят DPA перед подписанием контракта.

Триггер

Investor DD, enterprise deal заблокирован, PSD2 аудит, DORA compliance

Продукт

Step 1 → Step 2 GDPR + Cookie + LI + Int'l Transfers · €7–9k

5 типичных клиентов

Fintech 1B2B lending platformБерлин · Series A · 60 чел

Кредитование МСБ через API. AI-скоринг заёмщиков. Vendor stack: AWS (США), Stripe, Salesforce. Нет privacy notice, нет subprocessor disclosure. Investor DD через 10 недель — compliance blocking.

Fintech 2Cross-border payment providerКипр · Bootstrapped → Pre-Series A · 35 чел

PSP для e-commerce, обрабатывает транзакции EU и UK клиентов. EMI лицензия на Кипре. Enterprise клиент (немецкий ритейлер) требует подписанный DPA и compliance evidence.

Fintech 3Neobank для фрилансеровАмстердам · Series B · 120 чел

B2C финансовые сервисы, 200k+ EU-пользователей. Privacy notice устарела — не отражает реальные data flows после добавления новых vendor integrations. DORA вступил в силу, нет incident response процедуры.

Fintech 4Buy Now Pay LaterВаршава · Series A · 80 чел

BNPL для EU e-commerce. Обрабатывают кредитные решения — попадают под AI Act если используют алгоритмы. Нет LIA для fraud prevention. Expansion в Германию требует локального compliance.

Fintech 5Expense management SaaSЛондон · Series A · 45 чел

B2B spend management для EU компаний, post-Brexit. Обрабатывает данные EU-сотрудников через UK-серверы. UK GDPR + EU GDPR — нужен UK addendum к SCCs. Потенциальный enterprise клиент (EU корпорация) требует GDPR compliance.

Сегмент 2

AI & Data SaaS — ГОРЯЩИЙ ДЕДЛАЙН август 2026

Критично: AI Act high-risk obligations — август 2026. Осталось 5 месяцев. Большинство AI-фаундеров не знают попадает ли их продукт под high-risk. Это самый срочный сегмент прямо сейчас.

Портрет

AI-driven SaaS продукт с EU-пользователями. 20–150 сотрудников. Series A или активный growth. Продукт принимает решения на основе данных пользователей — analytics, recommendations, scoring, automation. Часто US-компания с EU-клиентами.

Регуляторное давление

GDPR (данные пользователей) + AI Act (если high-risk или GPAI). DPIA обязательна если обрабатывает данные в масштабе или принимает significant decisions. Transparency обязательства — нужно объяснить как работает AI.

Триггер

AI Act дедлайн, enterprise клиент спрашивает про AI governance, investor DD, EU market entry

Продукт

Step 1 → Step 2 GDPR + Cookie + LI + AI Act · €7–9k

5 типичных клиентов

AI SaaS 1Sales intelligence platformЛондон + EU · Series A · 55 чел

AI анализирует behaviour EU-пользователей и даёт sales recommendations. Нет чёткого lawful basis для behavioral profiling. Enterprise клиент (крупный EU ритейлер) требует AI Act compliance statement и DPIA. Не знают является ли продукт high-risk.

AI SaaS 2Customer data platform (CDP)Варшава · Series B · 90 чел

CDP для EU e-commerce, обрабатывает поведенческие данные миллионов пользователей. Cookie banner не соответствует CNIL/ICO требованиям. Нет subprocessor disclosure. GDPR fine risk — конкурент получил €1.2M штраф за аналогичное.

AI SaaS 3Document automation SaaSТель-Авив → EU expansion · Seed+ · 30 чел

Israeli SaaS с LLM-функциями, запускает EU продажи. Обрабатывает документы с персональными данными EU-клиентов. Нет EU privacy notice, нет DPA шаблона для enterprise клиентов, нет понимания GDPR экстерриториальности.

AI SaaS 4Marketing automation с AIАмстердам · Series A · 70 чел

Personalization engine для EU e-commerce. Использует Meta Pixel и Google Ads — трекеры грузятся до consent. Получили warning от DPA. Нужен срочный cookie audit + consent redesign + privacy notice update.

AI SaaS 5Contract intelligence platformБерлин · Pre-Series A · 25 чел

AI анализирует контракты EU-компаний — обрабатывает confidential business data и персональные данные физлиц. Потенциальный клиент из Fortune 500 требует security & privacy review как условие пилота.

Сегмент 3

Crypto & Web3

Портрет

Crypto exchange, custodian, broker, tokenisation platform, DeFi с EU-пользователями. 15–100 сотрудников. Зарегистрированы часто на Кипре, Мальте, ОАЭ, Люксембурге. Получили или в процессе CASP-лицензии под MiCA.

Регуляторное давление

GDPR + MiCA (CASP обязательства) + часто AML/KYC overlay. Обрабатывают финансовые данные + identity данные + transaction history. International transfers из-за global vendor stack. Privacy notice должна покрывать MiCA-специфику.

Триггер

CASP лицензия требует compliance package, MiCA аудит, investor DD, EU market entry

Продукт

Step 1 → Step 2 GDPR + Cookie + Transfers + MiCA · €9–12k

5 типичных клиентов

Crypto 1Retail crypto exchangeКипр · 80 чел · CASP pending

Биржа с 50k+ EU-пользователями, подала на CASP-лицензию. Регулятор (CySEC) запросил документацию по data protection как часть лицензионного процесса. Нет GDPR privacy notice, нет реестра обработок.

Crypto 2Tokenisation platformЛюксембург · Series A · 40 чел

Платформа для токенизации real-world assets (недвижимость, фонды). Работает с institutional investors. Investor DD требует полный compliance package. Нет DPA с вендорами, нет transfer механизмов для US cloud providers.

Crypto 3Crypto custody providerОАЭ + EU clients · Bootstrapped · 25 чел

Custodian для institutional crypto assets. EU-клиенты (family offices, hedge funds) требуют GDPR compliance как условие onboarding. Нет privacy notice, нет DSAR процедуры.

Crypto 4DeFi protocol с EU-пользователямиЗарегистрирован Кайманы · команда EU

DeFi протокол, frontend обслуживает EU-пользователей. Legal team предупредила: GDPR применяется несмотря на offshore регистрацию. Нуждаются в EU Representative (Article 27) + privacy notice.

Crypto 5Crypto payment gatewayМальта · Pre-Series A · 35 чел

Платёжный шлюз для crypto/fiat конверсий EU мерчантов. MiCA и GDPR одновременно. Enterprise мерчант (EU ритейлер) требует полный compliance пакет как условие интеграции.

Сегмент 4

HR-tech & High-Risk AI

Портрет

Платформы с AI, который влияет на employment decisions, кредитные решения, образовательные оценки, доступ к медицинским услугам. Это Annex III AI Act — максимальные compliance обязательства. Часто не осознают свой regulatory risk.

Регуляторное давление

GDPR Article 22 (automated decision-making) + AI Act Annex III (high-risk). DPIA обязательна. Human oversight обязателен. Explainability требования. Дедлайн август 2026 — осталось 5 месяцев.

Триггер

AI Act дедлайн, enterprise клиент требует AI governance документацию, DPA регулятор написал warning

Продукт

Step 1 → Step 2 GDPR + AI Act + LI + DPIA · €10–15k

5 типичных клиентов

HR-AI 1AI recruiting platformСтокгольм · Series A · 50 чел

AI скорит CV кандидатов для EU работодателей. Классический Annex III high-risk. Крупный EU корпоративный клиент приостановил пилот до получения AI Act compliance documentation. Нет DPIA, нет human oversight процедуры.

HR-AI 2Employee analytics platformАмстердам · Series B · 100 чел

Behavioral analytics сотрудников для EU компаний — productivity scoring, engagement prediction. Works council (рабочий совет) немецкого клиента заблокировал внедрение из-за GDPR и AI Act вопросов. Нужны DPA + DPIA + AI Act assessment.

HR-AI 3Skills assessment SaaSЛондон → EU · Pre-Series A · 30 чел

AI оценивает hard/soft skills кандидатов для EU компаний. Expansion в Германию — первый enterprise клиент требует полный compliance package как pre-condition. Нет ничего.

HR-AI 4AI interview platformВаршава · Seed · 20 чел

Video interviews с AI-анализом мимики и речи для оценки кандидатов. Biometric data — Article 9 GDPR special category. Emotion recognition в workplace — потенциально запрещено AI Act. Срочно нужна оценка risk уровня.

HR-AI 5Performance management с AIБерлин · Series A · 65 чел

OKR и performance platform с AI-прогнозами по карьерному росту. Используется EU корпорациями для оценки сотрудников. GDPR Article 22 + AI Act. Investor DD — VC спрашивает про AI governance.

Сегмент 5

US / UK / Global companies — EU entry

Портрет

Американские, британские, израильские, канадские tech-компании которые запускают EU-продажи или уже имеют EU-пользователей. Часто не осознают что уже подпадают под GDPR. Нет EU Representative (Article 27), нет EU privacy notice.

Регуляторное давление

GDPR применяется если сайт на EU-языках, цены в евро, или есть EU-пользователи. AI Act применяется если AI-система влияет на EU-резидентов. EU Representative обязателен если нет EU-присутствия. Штрафы применимы независимо от юрисдикции.

Триггер

Первый EU enterprise клиент, EU fundraise, EU market launch, EU-партнёр требует DPA

Продукт

Step 1 → Step 2 GDPR + Cookie + Transfers + EU Rep · €6–9k

5 типичных клиентов

Global 1US B2B SaaS · EU expansionСан-Франциско → Европа · Series B · 120 чел

Project management tool нанимает EU sales team и закрывает первые EU enterprise deals. EU procurement требует GDPR-compliant DPA и privacy documentation. Нет EU Representative, нет EU privacy notice, SCCs не подписаны.

Global 2Israeli cybersecurity SaaSТель-Авив + Лондон · Series A · 75 чел

Обрабатывает network logs EU-компаний. Израиль — adequacy decision есть, но нет правильно оформленных transfer mechanisms. EU enterprise клиент требует GDPR compliance как условие контракта на €200k ARR.

Global 3Canadian healthtechТоронто + EU patients · Pre-Series A · 40 чел

Telehealth платформа начала обслуживать EU-пациентов. Health data — Article 9 special category. Нет EU presence — нужен Article 27 EU Representative. EU hospital партнёр заблокировал интеграцию.

Global 4UK SaaS post-BrexitЛондон · Series A · 55 чел

Marketing analytics tool с EU-клиентами. После Brexit — UK не в EU. Нужен EU Representative + SCCs для transfers из EU в UK. EU enterprise клиент Legal team заблокировала renewal контракта.

Global 5US edtech · EU schoolsНью-Йорк → EU · Bootstrapped · 30 чел

Learning platform для EU школ — обрабатывает данные несовершеннолетних (children data — максимальная защита GDPR). EU school district требует full compliance перед закупкой. AI Act high-risk если есть AI-оценивание учеников.

Партнёры — первичный канал

Три типа партнёров Phase 1 · идти первыми

Partner ACrypto / MiCA юрфирмыКипр · Люксембург · ОАЭ

Почему партнёрятся

Клиенты просят MiCA + GDPR пакет. Консультируют по MiCA, но не делают privacy documentation в масштабе.

Модель

White-label · wholesale €1,000–1,500 за Scan · чек 50/50

Питч

«Мы делаем privacy execution, вы остаётесь MiCA-советником. Пилот: 2–3 ваших клиента.»

Partner BGDPR / privacy бутикиЕС

Почему партнёрятся

Дают legal opinion, но не автоматизируют. Мы закрываем execution gap и ускоряем их delivery.

Модель

Revenue share или фиксированная оптовая цена. 20–30% скидка от прайса.

Питч

«Мы AI-часть и документы, вы — final legal sign-off. Клиент быстрее, вы зарабатываете больше.»

Partner CFund administrators / бухгалтерские провайдерыЛюксембург · Кипр

Почему партнёрятся

Ведут портфели 5–20 компаний. Один партнёр = 5–20 тёплых интро. Инвесторы требуют compliance от портфельных.

Модель

Privacy Health Check пакет для портфельных: 3–5 Scan по wholesale + совместный вебинар для LP.

Питч

«Давайте пилот: 3 ваших портфельных, мы делаем Scan, совместный разбор. Без обязательств.»

Субподряд

Компании у которых мы можем быть подрядчиками

Приходим не как конкуренты — как execution partner. «Вы консультируете, мы делаем документацию и AI-scan под вашим брендом, быстрее и дешевле чем in-house.» White-label возможен.

Субподряд 1TechGDPRБерлин · ~10 чел

Их клиенты

Blockchain (Lightcurve, Zcash), AI, IoT стартапы, international tech входящие в EU. Преимущественно английский рынок.

Где overflow

Маленькая команда (8–10 чел). При росте клиентов — capacity проблема. Fintech и crypto клиенты — наш профиль.

Питч

«Мы делаем AI-scan и документацию для ваших crypto/fintech клиентов. Вы остаётесь DPO и лицом клиента.»

Субподряд 2VeraSafeБостон + EU · ~50 чел

Их клиенты

US компании входящие в EU, Fortune 500 до SME. Специализация: EU Representative (Art. 27), cross-border transfers, clinical trials.

Где overflow

Работают с любым размером. Но для быстрых небольших проектов (стартапы, €5–10k) — не их профиль. Там мы выигрываем по скорости и цене.

Питч

«Для ваших EU entry клиентов которым нужен быстрый пакет — мы делаем за 2 недели. Вы сохраняете клиента, мы закрываем execution.»

Субподряд 3Crypto / MiCA юрфирмы (Кипр, Люксембург, ОАЭ)Limassol · Luxembourg · Dubai

Их клиенты

CASP-лицензирующиеся компании. Юрфирмы консультируют по MiCA структуре, но не делают GDPR documentation в масштабе.

Где overflow

GDPR privacy pack — обязательная часть CASP-досье, но не их компетенция. Отдают на аутсорс или клиент ищет сам.

Питч

«Мы делаем GDPR-часть CASP-досье: privacy notice, ROPA, DPA templates, transfer mechanisms. Под вашим брендом или co-branded.»

Субподряд 4heyData / DataGuard (overflow)Берлин · Мюнхен

Их клиенты

heyData: SMB разных отраслей (e-commerce, consumer). DataGuard: EU mid-market (manufacturing, retail, automotive).

Где overlap

Их клиенты иногда нужно делать специализированные проекты — fintech с MiCA, AI Act assessment — вне их стандартного пакета.

Питч

«Для ваших fintech или crypto клиентов которым нужен MiCA + AI Act scope — мы берём этот модуль. Вы остаётесь основным провайдером.»

Субподряд 5GDPR / privacy boutiques EUEU · разные юрисдикции

Их клиенты

Tech-компании разных размеров. Дают legal opinion и DPO services. Execution — документы и процессы — часто аутсорсят или делают медленно.

Где overflow

Хотят дать клиенту быстрый результат, но нет AI-инструмента для скана. Мы ускоряем их delivery.

Питч

«Вашим клиентам нужна документация быстро. Мы делаем execution — быстро и дёшево из Португалии. Вы остаётесь их советником, они получают результат.»

Перед outreach

Ориентируемся по сигналам

Активные сигналы — кликни на кружок чтобы отфильтровать список компаний

🔴 Приоритет 1

🔴 Активный fundraise / Series A–B
🔴 Enterprise deal announced

🟡 Приоритет 2

🟡 CASP application / MiCA
🟡 EU expansion / new office
🟡 Job posting: DPO / Legal

🔵 Приоритет 3

🔵 AI Act дедлайн авг 2026
🔵 MiCA transitional period
⬜ Сбросить фильтр
✗ Есть DPO / Legal → пропускай

Как находить

Где искать компании с активными триггерами

🔴 Триггер 1 — Investor DD / активный fundraise

Crunchbase / Dealroom

Фильтр: funding round announced last 30–90 days, стадия Series A–B, отрасль fintech/crypto/AI, гео EU+UK+Israel. Бесплатный Crunchbase показывает раунды с задержкой 30 дней — платный в реальном времени. Dealroom лучше для EU.

Поиск по постам: "excited to announce", "we raised", "closed our Series" + название отрасли. Сортировка по дате — последние 30 дней. Находит раунды которых ещё нет в Crunchbase.

TechCrunch / Sifted / The Block

Google Alert: "Series A" OR "Series B" fintech EU site:techcrunch.com. Sifted — лучший источник по EU стартапам. The Block — crypto раунды.

⚠ Важно — от Томаса

Ищи не "раунд закрыт" а "раунд в процессе". Сигналы: новые hires в продажах, экспансия в новые рынки, job postings требующие "experience with investor relations". Это значит они fundraising прямо сейчас.

🔴 Триггер 2 — Enterprise deal announced / partnership

LinkedIn Posts

Поиск по ключевым словам в постах: "partnership with", "signed agreement", "enterprise client", "proud to announce" + название компании. Сортировка по дате.

Пресс-релизы

Google Alert: "partnership" OR "signed" fintech/crypto/AI EU site:prnewswire.com OR site:businesswire.com. Компании анонсируют enterprise deals через пресс-релизы.

LinkedIn Sales Navigator

Фильтр: "job title changed" у сотрудников — новый VP Sales, Head of Enterprise = они закрывают крупные сделки. Плюс "posted on LinkedIn" с ключевыми словами.

Конкретный workflow

Crunchbase → компания с раундом 60 дней назад → LinkedIn → посты последние 2 недели → "thrilled to partner with [German bank]" → это триггер 2 поверх триггера 1 → пиши сегодня.

Письма

Триггер → боль → письмо

Нашёл сигнал у компании — выбери триггер. В карточке: боль, портрет, как идентифицировать. Письмо раскрывается внутри.

Приоритет 1 — писать сегодня

🔴 Триггер 1

Investor DD

Раунд закрыт 1–3 мес назад. Деньги на счету — инвестор скоро спросит.

🔴 Триггер 2

Enterprise deal blocked

Enterprise deal анонсирован. Procurement требует DPA — контракт не подпишут.

Приоритет 2 — писать на этой неделе

🔴 Триггер 3

CASP / MiCA лицензия

CASP application подана. Регулятор запросит GDPR-пакет — без него лицензии нет.

🔴 Триггер 4

EU entry / expansion

EU launch / офис / hire объявлен. GDPR применяется сразу — они ещё не знают.

Приоритет 3 — в pipeline

🔵 Триггер 5

AI Act дедлайн

AI продукт с EU пользователями. Дедлайн август 2026 — 5 месяцев. Срочность растёт.

🔵 Триггер 6

Hiring Legal / DPO

Открыта вакансия DPO / Legal. Боль признана — но человек выйдет через 4–8 недель.

Компании

Единый список — фильтр по когорте и приоритету

Есть DPO / Legal → пропускай.

Когорта:

Приоритет:

Компания	Что делают	Гео	Когорта	Активный сигнал
Payrails	Payment orchestration для enterprise	Берлин	Fintech	🔴 Series A $32M июнь 2025
kevin.	A2A payment infrastructure	Вильнюс	Fintech	🔴 EU enterprise partnerships
Narvi Payments	EMI, IBAN/SEPA/SWIFT	Хельсинки	Fintech	🔴 Fastest growing EMI, scaling
Monite	Embedded finance APIs	Берлин	Fintech	🔴 Enterprise API clients требуют DPA
Weavr	Embedded finance для SaaS	Лондон	Fintech	🔴 Enterprise SaaS clients compliance
Flagright	AI-native AML monitoring	Берлин	Fintech	🔴 Fintech clients с EU данными
Roundtable	Community investment platform	Париж	Fintech	🔴 Series A, investor data compliance
Membrane Finance	Euro stablecoin / EMT	Хельсинки	Fintech	🟡 🔵 EMT под MiCA + GDPR overlap
OpenPayd	Banking-as-a-service, IBANs	Лондон/Кипр	Fintech	🔴 🟡 EU + UK operations
Billie	B2B BNPL для EU e-commerce	Берлин	Fintech	🟡 🔵 AI credit decisions = AI Act risk
Circula	Employee expense management	Берлин	Fintech	🟡 EU employee data processing
Soldo	Business spend management	Лондон/Дублин	Fintech	🔴 🟡 UK + EU post-Brexit
Striga	Crypto banking APIs	Таллин	Crypto	🔴 🟡 B2B EU clients требуют compliance
Archax	Digital asset exchange	Лондон	Crypto	🟡 EU expansion = GDPR + MiCA
Coinmetro	Retail crypto exchange	Таллин	Crypto	🟡 CASP process, EU retail users
Bitpanda Custody	Crypto custody institutional	Вена	Crypto	🔴 🟡 MiCA custodian + GDPR
BTSE	Crypto exchange + infrastructure	ОАЭ → EU	Crypto	🟡 EU market entry, GDPR + MiCA
Luno	Crypto exchange EU + Africa	Лондон	Crypto	🟡 EU retail users, MiCA CASP
Finst	Crypto investment platform	Амстердам	Crypto	🟡 Dutch regulated, MiCA update
CoinsPaid	Crypto payment processing	Таллин	Crypto	🔴 🟡 EU merchants как клиенты
Spectral Finance	On-chain credit scoring	Web3 / EU	Crypto	🟡 🔵 AI scoring + GDPR Art.22
Meria	Crypto staking & yield	Париж	Crypto	🟡 EU retail users, MiCA + GDPR
Tokenforge	Token issuance platform	Люксембург	Crypto	🔴 🟡 MiCA whitepaper + GDPR
Fireblocks (EU)	Digital asset custody infra	Израиль + EU	Crypto	🔴 EU institutional clients требуют DPA
Taktile	Decision automation для fintech	Берлин	AI SaaS	🔴 🔵 AI credit decisions = high-risk
Robin AI	AI contract review	Лондон	AI SaaS	🔴 🔵 EU contracts с персональными данными
Legl	Legal operations SaaS с AI	Лондон	AI SaaS	🔴 🔵 EU law firms как клиенты
Corti	AI для healthcare decisions	Копенгаген	AI SaaS	🔴 🔵 High-risk AI Act + health data
Craft.io	Product management AI	Тель-Авив → EU	AI SaaS	🔴 🟡 EU market entry, нет GDPR
Deepset	NLP/LLM infrastructure	Берлин	AI SaaS	🔴 🔵 Enterprise clients требуют GDPR
Sana Labs	AI for learning & knowledge	Стокгольм	AI SaaS	🔵 Education AI = AI Act risk
Phrasee	AI marketing content	Лондон	AI SaaS	🔴 🔵 EU marketing data, profiling
Harver	AI pre-employment assessment	Амстердам	HR-AI	🔴 🔵 AI hiring decisions = high-risk
Pymetrics	AI behavioral assessments	Лондон	HR-AI	🔴 🔵 EU enterprise, biometric-adjacent
HiBob	HR platform scale-ups	Тель-Авив + EU	HR-AI	🔴 🔵 EU employee data, GDPR gaps
Retorio	Video-AI для оценки кандидатов	Мюнхен	HR-AI	🔴 🔵 Behavioral AI + biometric, German
Skillate	AI resume screening	Индия → EU	HR-AI	🔴 🔵 EU expansion, AI Act + GDPR
Zavvy	Employee development AI	Берлин	HR-AI	🟡 🔵 EU companies как клиенты
Leapsome	Performance management	Берлин	HR-AI	🟡 🔵 AI scoring EU сотрудников
Recruitee	Collaborative hiring platform	Амстердам	HR-AI	🟡 🔵 EU HR data, compliance gaps
monday.com (EU)	Work OS platform	Тель-Авив + EU	Global→EU	🔴 🟡 EU enterprise deals
Fivetran	Data integration platform	US → EU	Global→EU	🔴 🟡 EU enterprise data pipeline
Coda	Document/collaboration platform	US → EU	Global→EU	🔴 🟡 EU enterprise требуют DPA
Hotjar (Contentsquare)	Analytics & heatmaps	Мальта → EU	Global→EU	🔴 🟡 Cookie/tracking compliance
Pendo	Product analytics	US → EU	Global→EU	🔴 🟡 EU enterprise требуют GDPR
Webflow	Website builder SaaS	US → EU	Global→EU	🔴 🟡 EU customers + cookie compliance
UserTesting	User research platform	US → EU	Global→EU	🟡 EU user data, GDPR + consent
Maze	Product research platform	US/Лондон → EU	Global→EU	🟡 EU users, behavioral data
Chargebee	Subscription billing	US/Индия → EU	Global→EU	🟡 EU billing data
Sendbird	Chat/messaging SDK	US/Корея → EU	Global→EU	🟡 EU messaging data

Субподряд

Кому предложить работу за ширмой

Заходим не как конкуренты — как execution partner. «Вы консультируете, мы делаем документацию под вашим брендом.» Первый шаг: один звонок, прямой вопрос — есть ли overflow.

1 · ПриоритетTechGDPRБерлин · techgdpr.com · ~10 чел

Их клиенты

Blockchain (Lightcurve, Zcash), AI, IoT стартапы, non-EU tech входящие в EU. Английский рынок.

Почему overflow

Команда 8–10 чел. Crypto/fintech профиль совпадает с нашим. При росте — capacity проблема.

Питч

«Ваши клиенты просят GDPR documentation — это не ваш core. Мы закрываем это быстро и дёшево (работаем из Португалии). Вы сохраняете клиента и фокусируетесь на MiCA/legal advice.»

2 · ПриоритетCrypto / MiCA юрфирмыКипр · Люксембург · ОАЭ

Их клиенты

CASP-лицензирующиеся компании. Консультируют по MiCA структуре — GDPR documentation не их core.

Почему overflow

GDPR privacy pack — обязательная часть CASP-досье. Отдают на аутсорс или клиент ищет сам.

Питч

«Ваши CASP клиенты нуждаются в GDPR-пакете как части досье. Мы делаем это быстрее и дешевле чем in-house. Вы решаете проблему клиента не отвлекаясь от MiCA структуры.»

3VeraSafeБостон + EU · verasafe.com · ~50 чел

Их клиенты

US компании в EU. EU Representative, cross-border transfers. Fortune 500 до SME.

Почему overflow

Быстрые небольшие проекты (стартапы, €5–10k) — не их профиль. Мы выигрываем по скорости и цене.

Питч

«Ваши US/UK клиенты входящие в EU просят GDPR compliance — это отдельный проект который мы закрываем за 2 недели. Вы сохраняете клиента и получаете referral fee.»

4GDPR / privacy boutiques EUEU · разные юрисдикции

Их клиенты

Tech-компании. Legal opinion + DPO services. Execution — документы — делают медленно без AI.

Почему overflow

Нет AI-инструмента для скана. Хотят дать клиенту быстрый результат — мы ускоряем delivery.

Питч

5heyData (fintech / crypto overflow)Берлин · heydata.eu · ~50 чел

Их клиенты

2,000+ SMB клиентов. Стандартный GDPR пакет для e-commerce, consumer, SaaS.

Почему overlap

Иногда нужен MiCA + AI Act scope — вне стандартного пакета. Мы заходим как модуль.

Питч

«У ваших fintech/crypto клиентов периодически возникает потребность в GDPR или AI Act documentation вне вашего стандартного пакета. Мы закрываем эти запросы — быстро и без overhead.»

Первый шаг: один звонок с TechGDPR и одной crypto юрфирмой на Кипре. Прямой вопрос: «У вас бывает overflow по GDPR documentation для crypto/fintech клиентов?»

Как находить и выходить на партнёров

TechGDPR и GDPR boutiques — как найти

Где искать

— IAPP Member Directory (iapp.org) — реестр сертифицированных privacy professionals и boutique фирм
— LinkedIn: поиск "GDPR consultant" + "blockchain" / "fintech" / "crypto" + EU
— Google: "GDPR compliance fintech boutique EU" — смотри кто занимает первые 5 позиций в поиске
— Directories: Chambers & Partners (Privacy & Data Protection), Legal 500

Как выйти

— LinkedIn: найди Managing Partner или Head of Privacy напрямую
— Первое сообщение: не питч — вопрос про overflow
— Конференции: IAPP Europe Data Protection Congress (ноябрь), Privacy Forum
— Предложи конкретный пилот: «2–3 ваших клиента, мы делаем scan, вы смотрите качество»

Crypto / MiCA юрфирмы — как найти

Где искать

— LinkedIn: "MiCA compliance" + "law firm" + Cyprus / Luxembourg / UAE
— CySEC authorised firms list (cysec.gov.cy) — реестр лицензированных на Кипре
— CSSF registered entities (cssf.lu) — Люксембург
— Directories: Chambers Fintech, Legal 500 Crypto
— The Block, Decrypt, CoinDesk — кто комментирует MiCA как эксперт

Как выйти

— LinkedIn: Managing Partner напрямую, не через сайт
— Крипто-конференции: Token2049, EthCC, Consensus — там эти юристы физически
— Referral через mutual contact в crypto space
— Pitchbook: посмотри кто legal advisor у crypto компаний в EU

VeraSafe и аналоги — как выйти

VeraSafe — американская компания, выход через LinkedIn (их team page). Фокус на: "we handle EU entry for US companies faster and cheaper than large firms — interested in referral arrangement for smaller deals?" Аналоги которых стоит искать так же: Bird & Bird (privacy team), Fieldfisher (data protection), Linklaters (EU entry).

Когда ответили

Алгоритм — ответили «интересно»

Чёткая последовательность. Цель: квалифицировать за один звонок и сделать оффер.

01

Ответить в течение 2 часов

Не "завтра". Пока интерес горячий. Предложи два конкретных слота на этой или следующей неделе. Прикрепи или упомяни что подготовишь полный scan до звонка.

02

До звонка — сделать полный scan

Не мини-scan — полный: cookies, trackers, privacy notice, vendor stack, forms, hosting. Записать 5–7 конкретных findings. Это основа разговора — не питч.

03

Звонок — 4 вопроса, 20 минут

Начни со scan findings — не с питча. Потом четыре вопроса:

1. «Что у вас происходит в ближайшие 2–3 месяца — fundraise, enterprise сделки, регуляторные дедлайны?»

2. «Кто-то из инвесторов или клиентов уже спрашивал про compliance?»

3. «Есть ли у вас сейчас privacy notice, реестр обработок, DPA с вендорами?»

4. «Кто в компании сейчас отвечает за compliance?»

Слушай дедлайн. Нет дедлайна = образовательный разговор, follow-up через месяц. Есть дедлайн = делай оффер до конца звонка.

04

Оффер — Gap Analysis, прямо на звонке

Если есть дедлайн — не жди письма с КП. Скажи прямо:

«Based on what I've seen and what you've told me — I'd suggest starting with a Gap Analysis. It's a fixed fee, I'll deliver a full report in 7 days with a prioritised roadmap. If you want to proceed to a full engagement after that, the Gap Analysis fee is credited in full. Want me to send you a one-pager with the scope?»

После звонка: одностраничный scope + цена — в течение 24 часов. Не PDF на 10 страниц.

Возражения

Все возражения

«У нас уже есть юрист»

Юристы советуют. Мы внедряем. Ваш юрист пишет opinion — мы строим data register, разворачиваем consent flow, настраиваем DSAR. Результат — документы которые проходят DD, а не legal memo.

«У нас есть Claude / ChatGPT»

ChatGPT напишет privacy notice за 5 минут. Проблема не в тексте — в том что он не знает ваши реальные data flows, вендоров, лицензионные обязательства. Инвестор на DD не читает документ — он проверяет что за ним стоит. Реестр обработок привязанный к реальным системам. DPA с каждым вендором. Правильный lawful basis под каждый processing activity. Это не генерируется — это строится.

«У нас есть Claude и юрист»

Отлично. Claude пишет текст. Юрист даёт opinion. Но кто сканирует ваш сайт и находит что Google Analytics грузится до consent? Кто маппит все 20 вендоров в стеке и проверяет DPA с каждым? Кто пишет ROPA привязанный к реальным системам? Юрист скажет что нужно сделать. Claude напишет шаблон. Мы делаем это руками — конкретно под вашу компанию, за 7 дней.

«У нас уже есть OneTrust / heyData / compliance tool»

Инструмент сканирует и хранит документы — он не закрывает юридические gaps. Инвестор на DD спрашивает не «есть ли у вас платформа» — а «покажите DPA с AWS, SCC для transfers в US, LIA под fraud prevention». Это не автоматизируется — это пишется под вашу конкретную ситуацию.

«Мы слишком ранние для этого»

DD случается быстро. Мы видели компании у которых был месяц. Gap Analysis занимает 7 дней. Лучше закрыть это сейчас пока нет дедлайна — чем в панике за 3 недели до закрытия раунда.

«Кто вы такие, покажите референсы»

Мы работали с ShiftGears AI (shiftgears.ai) — можем показать что сделали. Аня — CIPP/E certified, 7 лет DPO опыта, LL.M QMUL. Предложение: давайте я сделаю бесплатный мини-скан вашего сайта прямо сейчас и покажу на звонке что нашёл. Это демо работы — не питч.

«Сейчас не приоритет»

Когда следующий fundraise или enterprise сделка? Compliance становится срочным в худший момент — когда он что-то блокирует. Scan занимает 7 дней. Делайте пока есть время.

«Дорого»

По сравнению с чем? Один час с Big4-партнёром стоит как весь наш Gap Analysis. Отложенный funding round или потерянный enterprise контракт — на порядок больше.

«Сделаем сами»

Как давно это в списке задач? Большинство команд так говорят — и через 6 месяцев ничего нет. Мы делаем за 7 дней. Вы сохраняете ownership. Мы просто это закрываем.

«Пришлите больше информации»

Пришлю. Но 15-минутный звонок скажет мне больше о том что вам нужно, чем любой PDF. Я заранее сделаю scan вашего сайта — разговор будет конкретным. Когда удобно на этой неделе?

Стратегия

LinkedIn контент — принципы

Кто пишет

Только Аня. Личный голос DPO — не голос компании. Подпись всегда от первого лица. Экспертиза подтверждается конкретикой, а не credentials.

Цель этапа

Узнаваемость и построение воронки. Контент запускается после первого клиента — ShiftGears как основа. Каждый пост должен быть узнаваемым для founders у которых горит один из 6 триггеров.

Для кого конкретно — по триггерам

🔴

Founder который только что закрыл раунд

Деньги пришли — через 6–12 недель инвестор придёт с DD checklist. Compliance никогда не был приоритетом. Есть окно пока ничего не горит.

Сигнал: LinkedIn пост "we raised" / "excited to announce our Series A" · Crunchbase round last 1–3 months

🔴

CTO/COO у которого enterprise deal почти закрыт

Procurement прислал vendor questionnaire или попросил DPA. Контракт стоит. Дедлайн — вчера.

Сигнал: LinkedIn "proud to announce partnership with [enterprise]" · пресс-релиз о новом клиенте · "thrilled to sign" в постах

🟡

Founder crypto компании в активном CASP процессе

Уже подал или подаёт CASP application. Юрист делает MiCA структуру — GDPR privacy pack нужен как обязательная часть досье. Регулятор запросит.

⚠ Без активного CASP процесса — crypto компании не торопятся. Это не наша аудитория.

Сигнал: LinkedIn "we submitted our CASP application" · job posting "MiCA Compliance Officer" · юрист компании публично упоминает licensing process

🟡

Founder который объявил EU expansion

Открывает EU офис, нанимает EU sales, объявил launch в EU. Не знает что GDPR применяется уже сейчас. Первый EU enterprise клиент спросит DPA.

Сигнал: LinkedIn "we're opening a Berlin office" / "expanding to Europe" · новый EU hire объявлен · EU адрес появился на сайте

🟡

Founder который нанимает первого Legal / DPO

Боль уже признана публично — иначе зачем вакансия. Новый человек выйдет через 6–8 недель. До тех пор дыра открыта.

Сигнал: LinkedIn Jobs — открытая вакансия DPO / Head of Legal / Privacy Counsel / Compliance Officer

🔵

CTO AI SaaS с EU пользователями

Видел посты про AI Act август 2026. Не знает попадает ли продукт под high-risk Annex III. Начинает думать — ещё не паникует.

Сигнал: AI продукт + EU пользователи · посты про AI Act или EU compliance · enterprise EU клиент в pipeline

Ресёрч доноров

12 профилей — залётные посты и паттерны

Анализировали только посты с высоким engagement. Задача: найти темы и форматы которые работают в нашей нише.

Профиль	Фокус / Аудитория	Что залетает	Формат	Тон
Silvan Jongerius TechGDPR · Берлин	GDPR + blockchain/crypto · tech стартапы	Разбор регуляторных новостей (DPF, AI Act) с практическим выводом для tech компаний. "Что это значит для вас" — больше реакций чем просто новость.	Длинный текст · нет визуала	Экспертный · нейтральный
Rowenna Fielding Miss IG Geek · UK · 5,400 фол.	GDPR практика · SMB/consultants	Разоблачение мифов ("GDPR не требует список документов — он требует функции"). Провокационный тезис + объяснение. Rant-посты про compliance washing — высокий engagement.	Короткий текст · без визуала	Острый · разговорный
Gabriela Zanfir-Fortuna Future of Privacy Forum · DC/Brussels	AI Act · GDPR policy · global	Разбор конкретного регуляторного решения (DPA fine, CJEU ruling) с личным take. "Что это значит для AI компаний" — залетает у широкой аудитории включая founders.	Средний текст + ссылка	Академический · но доступный
Johnny Ryan ICCL · Дублин	GDPR enforcement · Big Tech · адтех	Конкретные факты о провалах регуляторов ("GDPR not actually real — we'd feel nothing if it were removed today"). Острые, провокационные, высокий share rate.	Короткий текст · факты	Очень острый · политический
Max Schrems NOYB · Вена · 60k+ фол.	GDPR enforcement · privacy rights · широкая аудитория	Победы против Big Tech — конкретные факты и суммы штрафов. "Meta fined €1.2B" — простая новость с контекстом залетает даже без объяснения. Аудитория: все кто следит за privacy.	Очень короткий · факт + ссылка	Активистский · прямой
Jan Philipp Albrecht Ex-EU Parliament · GDPR co-author	GDPR policy · EU digital regulation	Исторический контекст + текущие события ("As co-author of GDPR, I'm concerned about..."). Авторитет + личная позиция = высокий engagement.	Средний текст	Политический · авторитетный
Paolo Balboni ICT Legal Consulting · Брюссель	GDPR · fintech · data governance EU	Практические разборы кейсов с fintech клиентами. "3 вещи которые fintech компании делают неправильно с GDPR" — список-формат залетает у нашей аудитории.	Список / чеклист	Практический · профессиональный
Luca Bolognini Italian ICDP · Milan	AI Act · data protection · Italian DPA	Разбор решений Garante (Italian DPA) — конкретные кейсы. Нишевая аудитория, но высокое качество engagement.	Средний текст	Экспертный
Frederik Borgesius Radboud University · NL	cookies · adtech · behavioral profiling	Исследования с конкретными находками ("X% of top websites violate consent rules"). Факты из исследований залетают лучше чем мнения.	Факт + ссылка на исследование	Академический · сухой
Ann Cavoukian Privacy by Design · 20k+ фол.	Privacy by Design · широкая аудитория	Высокоуровневые тезисы про privacy как бизнес-ценность. Широкая аудитория, но слабое попадание в нашу нишу founders.	Вдохновляющий текст	Миссионерский
Wojciech Wiewiórowski EDPS · Брюссель	EU institutions · AI Act · GDPR policy	Официальные позиции регулятора — engagement от compliance community, не от founders. Не наша аудитория.	Официальный	Регуляторный
Nabanita De PrivacyLicense.ai · US/EU	AI privacy · fintech · startup аудитория	AI + privacy intersection для founders. "Your AI product and GDPR" — прямое попадание в нашу аудиторию. Стартап-тон, близко к нам по позиционированию.	Короткий · практический	Стартап-oriented

Паттерны

Что работает — 5 форматов с высоким engagement

F1

Разоблачение мифа

"X — это не то что вы думаете." Тезис который противоречит общему заблуждению + объяснение почему это важно. Rowenna Fielding: "GDPR не требует список документов" — сотни реакций. Работает потому что founders думают что у них "есть GDPR" если есть privacy notice.

Пример для Ани: "Having a privacy notice is not GDPR compliance. Here's what investors actually check."

F2

Конкретный scan / разбор сайта

"Я проверила сайт [название] — вот что нашла." Реальные findings без называния компании по имени. Конкретика (Google Analytics до consent, нет subprocessor list) залетает у founders потому что они узнают себя.

Пример: "I ran a scan of a Series A fintech this week. Found 7 gaps in 10 minutes. Here's the list."

F3

Регуляторная новость + практический вывод

DPA fine / CJEU ruling / AI Act update → "что это значит для fintech/crypto стартапов конкретно". Zanfir-Fortuna и Jongerius делают это регулярно. Engagement приходит от founders которые видят релевантность.

Пример: "CASP authorisation requires GDPR framework. CySEC just published the checklist. Here's what's on it."

F4

Список / чеклист

"5 вещей которые инвестор проверяет на DD" / "3 ошибки которые делают все fintech стартапы". Конкретный список без воды. Balboni и Jongerius — этот формат стабильно собирает saves и shares.

Пример: "Investor DD checklist for GDPR. 8 questions they'll ask. Are you ready?"

F5

Личная история / behind the scenes

"Я провела 7 лет DPO в fintech. Вот что я видела снова и снова." Личный опыт + конкретный insight. Это отличает Аню от всех остальных — у неё реальный опыт работы внутри таких компаний.

Пример: "7 years as a DPO in fintech. The one question I hear every time before a fundraise."

Контент-план · с 1 апреля 2026

10 недель · 2 поста в неделю · вторник + четверг

Правило: стабильность важнее частоты. 2 поста каждую неделю лучше чем 5 одну и тишина три. Готовим блоками по 2 недели вперёд. Публикация: вторник и четверг, 10–11am CET. ShiftGears — анонимно "EU AI SaaS" до отдельного решения.

                    F1 Миф · F2 Scan · F3 Новость+вывод · F4 Список · F5 Личная история
                

Донор-паттерн: Rowenna (F1) · Jongerius (F3) · Balboni (F4) · Ryan (острые факты) · Nabanita De (F2 startup tone)

Дата	Тема	Формат · Донор	Hook — первые 2 строки
Вт 1 апр	Введение — кто Аня и зачем NexGarde Только один раз. Личная история почему DPO, что видела за 7 лет, зачем NexGarde. Не питч — история.	F5 Личная история → Rowenna tone	"7 years as a DPO in fintech. Here's what I kept seeing — and why I decided to do something about it."
Чт 3 апр	Privacy notice ≠ GDPR compliance	F1 Миф → Rowenna	"Having a privacy policy on your website does not mean you're GDPR compliant. Here's what it actually means."
Вт 8 апр	Что инвесторы реально проверяют на DD	F4 Список → Balboni	"8 questions investors ask about GDPR in due diligence. Most Series A founders fail 5 of them."
Чт 10 апр	Scan findings — реальный fintech стартап	F2 Scan → Nabanita De	"I ran a scan of a Series A fintech this week. Found 7 gaps in 10 minutes. Here's the list."
Вт 15 апр	AWS, Stripe, HubSpot — у вас нет DPA ни с одним	F1 Провокация → Ryan острота	"Most startups use 15 US vendors. Almost none have proper transfer documentation. Here's why this matters."
Чт 17 апр	CASP лицензия — что CySEC реально запрашивает	F3 Новость+вывод → Jongerius	"Submitting a CASP application? CySEC requires a GDPR privacy framework as part of the package. Here's what's on the checklist."
Вт 22 апр	7 лет DPO — одна и та же ошибка снова и снова	F5 Личная история → Rowenna tone	"7 years, dozens of fintech companies. The same 3 mistakes every single time."
Чт 24 апр	AI Act август 2026 — кто под high-risk Annex III	F4 Список → Zanfir-Fortuna	"5 months until EU AI Act obligations apply. Does your product fall under Annex III? Here's how to check."
Вт 29 апр	Кейс: EU AI SaaS, DD за 3 недели Первое социальное доказательство. Конкретные findings, конкретный результат.	Case study → Balboni structure	"We helped an EU AI SaaS close their full GDPR + AI Act gap in 3 weeks before a fundraise. Here's exactly what we found."
Чт 1 май	Что я видела изнутри на Series B DD	F5 Личная история → Rowenna tone	"I was the DPO when the company went through Series B due diligence. Here's what I wish we'd done 6 months earlier."

Правило для каждого поста: один тезис — не три. Первые 2 строки останавливают скролл. Каждый пост заканчивается вопросом: "Does this apply to your company?" или "DM me — I'll run a quick scan."

Принцип

Ключевой принцип системы

"AI should never ask a question if it can detect the answer."

Пример: AI обнаружил Google Analytics → не спрашивает "используете ли вы analytics tool?" → спрашивает только "подтвердите цель обработки и lawful basis для аналитики." Именно поэтому onboarding занимает 10–15 минут вместо 2 часов.

Обзор

Как устроена работа

Fast Scan · Инструмент продажи · Бесплатно

Делается до звонка с клиентом. Не продаётся отдельно — открывает разговор о Full Engagement. Получает домен, сканирует публично за 10–15 минут, показывает 5–7 конкретных findings.

Клиент видит реальную проблему до питча. Аня приходит на звонок уже с результатом.

Fast Scan как самостоятельный платный продукт не продаётся — приходят только халявщики.

Full Discovery · Платная работа · После подписания

11 шагов — от домена до готовых документов. AI собирает 65–80% данных автоматически. Клиент отвечает только на 20–30 вопросов — те на которые нельзя ответить публично.

Аня проверяет каждый документ перед выдачей. Это не опционально — это дифференциатор.

Выход: Privacy Notice · Cookie Policy · Cookie Banner · ROPA · DPA · IT Guide

Автоматизация

Что AI определяет сам — точные цифры

Нули критически важны — клиент должен понимать что именно остаётся на нём. Lawful basis и retention не автоматизируются никогда.

Категория	Уровень	Что остаётся человеку
Cookies	100%	—
Trackers	90%	—
Forms / data fields	90%	—
Vendors / subprocessors	80%	Подтверждение роли и договорного статуса
Hosting / infrastructure	80%	—
Data flows (ROPA draft)	60%	Подтверждение purposes и recipients
Legal identity	50%	Юридическое название, адрес, регномер, DPO
Lawful basis	0%	Клиент выбирает для каждой processing activity
Retention periods	0%	Клиент определяет по каждой категории данных
Итого: 65–80% автоматически

Этап 0 · Пресейл

Fast Scan — функционал и технология

Что делает

→ Открывает сайт в headless браузере
→ Перехватывает куки и трекеры
→ Определяет подключённые сервисы
→ Проверяет privacy notice и footer
→ Сопоставляет с базой GDPR gaps
→ Формирует 1-страничный отчёт

Технология

→ Playwright (headless browser)
→ Network request analysis
→ EasyPrivacy / Disconnect.me lists
→ LLM — формулировка findings

Что нужно собрать

База gaps — ~20 типовых нарушений

Нет cookie consent · нет subprocessor list · GA до consent · нет EU transfer mechanism · нет privacy notice · нет EU Representative.
Аня · 🔴 · До первого клиента

Шаблон отчёта Fast Scan

1-страничный PDF с findings.
Аня + дизайн · 🔴

Этапы 1–11 · Платная работа

Full Discovery — шаг за шагом

Для каждого шага: что делает → источники данных → технология → уровень автоматизации → что нужно собрать

01–02

Домены и краулинг

Находит все домены компании (app, api, docs, status). Обходит весь сайт — все страницы, формы, links, JS-контент. Отвечает: есть ли аккаунты, формы, платежи, маркетинг-signup.

Источники: website · DNS records · TLS certificates · search engine indexing · security scanning APIs

Технология

dnspython · crt.sh API · Playwright crawler

Авто: 100%

Что собрать

Ничего — всё публичное

03

Категории данных

Анализирует все формы и поля. Определяет типы персональных данных которые компания собирает напрямую.

Источники: HTML form analysis

Технология

BeautifulSoup · LLM classifier

Авто: 90%

Что собрать

Маппинг fields → GDPR category

~150 полей. email → contact data, date_of_birth → identity, password → authentication.
Аня + dev · 🔴

04

Куки и трекеры

Запускает сайт, перехватывает все куки и network requests. Классифицирует: necessary / analytics / marketing. Детектирует: GA, GTM, HubSpot, Hotjar, Intercom, Segment, Mixpanel, PostHog и др.

Источники: browser automation · JavaScript execution · cookie storage · network requests

Технология

Playwright · EasyPrivacy list · Disconnect.me

Куки: 100% · Трекеры: 90%

Что собрать

База трекеров — берём готовую (EasyPrivacy, Disconnect.me). Не строим с нуля.

05

Вендоры / субпроцессоры

Определяет все внешние сервисы из network requests, scripts, embedded widgets, tracking pixels, CDN calls. AI обогащает каждого вендора из публичных источников — headquarters, DPA, transfer mechanism.

Источники: scripts · API endpoints · embedded widgets · tracking pixels · CDN calls

Технология

Network request analysis (primary) · Wappalyzer API (supplementary) · BuiltWith (supplementary)

Авто: 80%

Что собрать

Вендорная база — ~100 вендоров

Страна · роль · DPA ссылка · transfer mechanism (SCCs/DPF). AI частично обогащает автоматически, Аня верифицирует.
Аня · 🔴

06

Инфраструктура

Определяет где физически хранятся данные. AWS eu-west-1, Google Cloud US, Cloudflare CDN, Vercel. Напрямую влияет на international transfers секцию.

Источники: DNS records · IP addresses · CDN headers · TLS certificates · reverse DNS

Технология

DNS lookup · ipinfo.io API · HTTP headers

Авто: 80%

Что собрать

Ничего — всё через API

07

Юридическая сущность

Находит название компании, адрес, страну из footer и legal pages. Legal entity type, registration number, DPO — всегда требуют подтверждения человека.

Источники: website footer · legal pages · WHOIS · business registries · LinkedIn · domain ownership

Технология

Scraper · WHOIS API · LinkedIn

Авто: 50% · Аня подтверждает

Что собрать

Ничего. Человек всегда проверяет и дополняет юридические детали.

08

Черновик ROPA

На основе шагов 1–7 строит реестр обработок. "Stripe → payment processing, data: financial, recipient: Stripe USA, transfer: SCCs." Lawful basis и retention — 0% автоматизации, всегда спрашиваем клиента.

Источники: все outputs шагов 1–7

Технология

RAG + LLM — маппит outputs на типовые processing activities из базы

Data flows: 60% · Lawful basis: 0% · Retention: 0%

Что собрать

30–50 processing activities

По профилям: fintech / crypto / AI SaaS. Каждая: название, данные, типичный lawful basis, получатели. Ключевой RAG-документ.
Аня · 🔴

09

Gap Analysis

Сравнивает найденное vs GDPR requirements. Типичные gaps: lawful basis, retention periods, LIA explanation, security controls, DSAR handling, internal governance. Генерирует targeted вопросы для шага 10.

Источники: outputs шагов 1–8

Технология

LLM с GDPR requirements checklist как системным промптом

Авто: 60%

Что собрать

GDPR requirements base

Art. 13/14/30/32 структурированно. Отдельно: AI Act Annex III + MiCA/CASP checklist.
Аня · 🔴 base · 🟡 extensions

10

Вопросник клиенту

Только то что нельзя найти публично. Структура: corporate identity (3 вопроса) · lawful basis per activity (4) · retention (4 типа) · data subject rights (3) · security confirmations (4) · transfers (SCCs/DPF/UK Addendum) · LIA justification (3 области).

Технология

Typeform / Notion form или structured chat-бот с conditional logic

20–30 вопросов вместо 100+

Что собрать

Банк вопросов ~60 штук

С conditional logic по категориям выше. Если нет lawful basis для analytics → вопрос X.
Аня · 🟡

11

Генерация документов

Берёт все переменные из шагов 1–10. Вставляет в шаблоны. LLM дополняет специфику. Аня проверяет каждый документ.

Privacy Notice · Cookie Policy · Cookie Banner · ROPA · DPA (из vendor list + security measures) · IT Integration Guide

Технология

Jinja2 шаблонизатор + RAG + LLM для conditional блоков

Авто генерация: 70–85% по документу

Что собрать

Шаблоны + conditional blocks

Base template + crypto extension + AI Act extension. Самая трудоёмкая часть.
Аня + юрист · 🔴

База знаний

Что нужно собрать — по приоритету

Всё это нужно до того как система начнёт работать. Без базы — нет автоматизации.

Документ / база	Что это	Кто делает	Приоритет	Когда нужно
База gaps Fast Scan	~20 типовых нарушений которые ищем в каждом скане	Аня	🔴	До первого клиента
Маппинг form fields → GDPR	~150 полей → категория данных	Аня + dev	🔴	До Full Discovery
Вендорная база	~100 вендоров: страна, роль, DPA, transfer mechanism	Аня	🔴	До Full Discovery
30–50 processing activities	Типовые ROPA записи по профилям: fintech / crypto / AI SaaS	Аня	🔴	До ROPA генерации
GDPR requirements base	Art. 13/14/30/32 структурированно для gap analysis	Аня	🔴	До Gap Analysis
Шаблоны документов (base)	Privacy Notice, Cookie Policy, Cookie Banner, ROPA, DPA, IT Guide	Аня + юрист	🔴	До Document Gen
Шаблон отчёта Fast Scan	1-страничный PDF с findings	Аня + дизайн	🔴	До первого клиента
Банк вопросов	~60 вопросов по 7 категориям с conditional logic	Аня	🟡	До Questionnaire
AI Act checklist	Annex III high-risk classification + требования	Аня	🟡	При первом AI клиенте
MiCA/CASP checklist	Требования регулятора к GDPR-пакету в CASP досье	Аня	🟡	При первом crypto клиенте
Conditional extensions	Crypto, AI Act, MiCA блоки для шаблонов документов	Аня + юрист	🔵	По мере клиентов

Команда

Три профиля подрядчиков

Python / Scraping dev

Шаги 1–7. Playwright, BeautifulSoup, DNS/API integrations, network request analysis.

Где искать

Upwork · Toptal · LinkedIn "web scraping Python"

Объём

2–4 недели для MVP Fast Scan

LLM / RAG dev

Шаги 8–11. LangChain / LlamaIndex, RAG pipeline, prompt engineering, structured outputs, Jinja2. Ключевая роль.

Где искать

Toptal · LinkedIn "LangChain RAG" · AI dev communities

Объём

1–2 месяца для Full Discovery pipeline

Возможно один человек — full-stack AI developer закрывает оба профиля. Ищи кандидата с опытом scraping + LLM/RAG одновременно.