С 25 мая 2018 года Общий регламент по защите данных (GDPR) применяется к оффшорным инвестиционным фондам, где присутствуют европейские инвесторы. Закон о защите данных на Каймановых островах («DPL»), который будет регулировать обработку всех персональных данных, должен был вступить в силу в январе 2019 года. В соответствии с Законом Великобритании о защите данных, DPL включает положения, очень похожие на GDPR, но с некоторыми отличиями.
Инвесторы должны предоставить удостоверение личности с фотографией, подтверждение доходов, контактные данные и информацию о налоговом резидентстве, или даже дополнительную информацию о трудоустройстве, информацию о членах своей семьи, доходах и целях инвестирования, которые обрабатываются и хранятся инвестиционным фондом или от его имени и/или одним или несколькими поставщиками услуг для Фонда. Некоторая обработка данных может выполняться в разных юрисдикциях.
Чтобы обеспечить соблюдение правил GDPR и/или DPL, Совет директоров инвестиционного Фонда должен рассмотреть договорные соглашения с этими сторонами и, возможно, потребуется назначить персонал по защите данных. Совет директоров обязан контролировать работу поставщиков услуг и обеспечивать принятие достаточных мер для защиты личных данных инвесторов. В документах необходимо будет прописать, что инвесторы были полностью осведомлены о том, где обрабатываются их личные данные, кем и с какой целью.
Ниже мы предлагаем рассмотреть какая разница между положениями защиты данных в Европе и на Каймановых островах.
| GDPR (Европа) | DPL (Каймановые острова) | |
| Персональные данные | Любая информация, касающаяся лица, которое может быть идентифицировано прямо или косвенно из этих данных (включая IP-адреса и файлы cookie, могут относиться к персональным данным, если они связаны с данным лицом). | Так же как и в GDPR. |
| Контроллер данных (Data Controller) | Лицо, которое самостоятельно или совместно с другими определяет цели, условия и средства обработки персональных данных. | DPL применяется к любому контроллеру персональных данных, (а) установленных и обработанных на Каймановых островах; или (b) обрабатываются на Каймановых островах для целей передачи. |
| Уведомление о конфиденциальности данных (Privacy Notice) | Во время сбора данных люди должны быть проинформированы о целях и деталях обработки, деталях передачи данных и мерах безопасности. Эта информация обычно предоставляется в отдельном уведомлении о конфиденциальности. | Так же как и в GDPR. |
| Право доступа к информации | Физические лица имеют право получить подтверждение того, что их Персональные данные обработаны, и получить к ним доступ. Контроллеры данных должны ответить в течение месяца после запроса. Копия данных предоставляется бесплатно. | Так же как и в GDPR, но DPL позволяет взимать плату за предоставление копии данных. |
| Срок хранения | Персональные данные не должны храниться дольше, чем это необходимо для достижения цели, для которой они были первоначально собраны. | Нет требований по сроку хранения данных. |
| Удаление данных | Если поступает заявление об удалении данных - то они должны быть стерты. | Так же как и в GDPR. |
| Передача данных | Передача данных разрешена третьим лицам. | Так же как и в GDPR. |
| Защита данных | Предусмотрены меры безопасности, возможность восстановления доступа к данным, регулярное тестирование и оценка мер безопасности. | Должны быть приняты соответствующие технические и организационные меры для предотвращения несанкционированной или незаконной обработки персональных данных и предприняты меры случайной потери, уничтожения информации. |
| Утечка данных | Контроллеры данных должны уведомлять регулирующий орган о нарушениях не позднее чем через 72 часа после того, как стало известно об утечке данных. | Уведомить регулирующие органы, а так же тех, кого касается утечка данных, не позднее чем за 5 дней после случившегося. |
| Обработка данных | Требования в отношении безопасности распространяются на лиц, обрабатывающих данные, а Так же на контроллеров данных. | Контроллеры не несут никакой ответственности, но могут быть привлечены к ответственности на основании подписанного договора или за положениями в гражданском праве. |
| Уведомление о нарушении | Уведомление должно содержать описание нарушения, его последствия, мер, предложенные или предпринятые Контроллером данных для устранения нарушения, и меры, рекомендованные Контроллером данных заинтересованному лицу для смягчения возможных неблагоприятных последствий. | Так же как и в GDPR. |
| Право быть забытым (Right to be Forgotten) | Физическое лицо может запросить удаление Персональных данных, если нет веских причин для их дальнейшей обработки. | Так же как и в GDPR. |
| Право на возражение (Right to Object) | Человек имеет право в любое время потребовать от Контроллера данных прекратить обработку своих Персональных данных. Нет никаких исключений или оснований для отказа. | Так же как и в GDPR. |
| Меры наказания/штрафы | Существует 2 вида санкций, с максимальными штрафами до 20 миллионов евро или 4% годового мирового оборота. | Контролер данных несет наказание в виде штрафа в размере до 100 000 долларов США или тюремное заключение сроком на 5 лет, или в некоторых случаях применяются сразу 2 наказания одновременно. |
Юристы IQ Decision UK активно следят за внедрением европейского закона про обработку и хранение персональных данных.
