Форма заказа консультации по защите данных в ЕС
user
user
phone
comment

С 25 мая 2018 года Общий регламент по защите данных (GDPR) применяется к оффшорным инвестиционным фондам, где присутствуют европейские инвесторы. Закон о защите данных на Каймановых островах («DPL»), который будет регулировать обработку всех персональных данных, должен был вступить в силу в январе 2019 года. В соответствии с Законом Великобритании о защите данных, DPL включает положения, очень похожие на GDPR, но с некоторыми отличиями.

Инвесторы должны предоставить удостоверение личности с фотографией, подтверждение доходов, контактные данные и информацию о налоговом резидентстве, или даже дополнительную информацию о трудоустройстве, информацию о членах своей семьи, доходах и целях инвестирования, которые обрабатываются и хранятся инвестиционным фондом или от его имени и/или одним или несколькими поставщиками услуг для Фонда. Некоторая обработка данных может выполняться в разных юрисдикциях.

Чтобы обеспечить соблюдение правил GDPR и/или DPL, Совет директоров инвестиционного Фонда должен рассмотреть договорные соглашения с этими сторонами и, возможно, потребуется назначить персонал по защите данных. Совет директоров обязан контролировать работу поставщиков услуг и обеспечивать принятие достаточных мер для защиты личных данных инвесторов. В документах необходимо будет прописать, что инвесторы были полностью осведомлены о том, где обрабатываются их личные данные, кем и с какой целью.

Ниже мы предлагаем рассмотреть какая разница между положениями защиты данных в Европе и на Каймановых островах.

  GDPR (Европа) DPL (Каймановые острова)
Персональные данные Любая информация, касающаяся лица, которое может быть идентифицировано прямо или косвенно из этих данных (включая IP-адреса и файлы cookie, могут относиться к персональным данным, если они связаны с данным лицом). Так же как и в GDPR.
Контроллер данных (Data Controller) Лицо, которое самостоятельно или совместно с другими определяет цели, условия и средства обработки персональных данных. DPL применяется к любому контроллеру персональных данных, (а) установленных и обработанных на Каймановых островах; или (b) обрабатываются на Каймановых островах для целей передачи.
Уведомление о конфиденциальности данных (Privacy Notice) Во время сбора данных люди должны быть проинформированы о целях и деталях обработки, деталях передачи данных и мерах безопасности. Эта информация обычно предоставляется в отдельном уведомлении о конфиденциальности. Так же как и в GDPR.
Право доступа к информации Физические лица имеют право получить подтверждение того, что их Персональные данные обработаны, и получить к ним доступ. Контроллеры данных должны ответить в течение месяца после запроса. Копия данных предоставляется бесплатно. Так же как и в GDPR, но DPL позволяет взимать плату за предоставление копии данных.
Срок хранения Персональные данные не должны храниться дольше, чем это необходимо для достижения цели, для которой они были первоначально собраны. Нет требований  по сроку хранения данных.
Удаление данных Если поступает заявление об удалении данных - то они должны быть стерты. Так же как и в GDPR.
Передача данных Передача данных разрешена третьим лицам. Так же как и в GDPR.
Защита данных Предусмотрены меры безопасности, возможность восстановления доступа к данным, регулярное тестирование и оценка мер безопасности. Должны быть приняты соответствующие технические и организационные меры для предотвращения несанкционированной или незаконной обработки персональных данных и предприняты меры случайной потери, уничтожения информации.
Утечка данных Контроллеры данных должны уведомлять регулирующий орган о нарушениях не позднее чем через 72 часа после того, как стало известно об утечке данных. Уведомить регулирующие органы, а так же тех, кого касается утечка данных, не позднее чем за 5 дней после случившегося.
Обработка данных Требования в отношении безопасности распространяются на лиц, обрабатывающих данные, а Так же на контроллеров данных. Контроллеры не несут никакой ответственности, но могут быть привлечены к ответственности на основании подписанного договора или за положениями в гражданском праве.
Уведомление о нарушении Уведомление должно содержать описание нарушения, его последствия, мер, предложенные или предпринятые Контроллером данных для устранения нарушения, и меры, рекомендованные Контроллером данных заинтересованному лицу для смягчения возможных неблагоприятных последствий. Так же как и в GDPR.
Право быть забытым (Right to be Forgotten) Физическое лицо может запросить удаление Персональных данных, если нет веских причин для их дальнейшей обработки. Так же как и в GDPR.
Право на возражение (Right to Object) Человек имеет право в любое время потребовать от Контроллера данных прекратить обработку своих Персональных данных. Нет никаких исключений или оснований для отказа. Так же как и в GDPR.
Меры наказания/штрафы Существует 2 вида санкций, с максимальными штрафами до 20 миллионов евро или 4% годового мирового оборота. Контролер данных несет наказание в виде штрафа в размере до 100 000 долларов США или тюремное заключение сроком на 5 лет, или в некоторых случаях применяются сразу 2 наказания одновременно.

Юристы IQ Decision UK активно следят за внедрением европейского закона про обработку и хранение персональных данных.