Финтех Бельгии: защита личных данных и интеллектуальной собственности, кибербезопасность

Невзирая на пандемию COVID-19 рост капитала направленного в бельгийскую финтех-отрасль составил 600%, а в 2020 году в местные FinTech-компании было инвестировано 368 млн. EUR и в Бельгии появился свой первый «единорог» (по данным портала Fintechbelgium). Однако, чтобы достичь успеха в сфере финансовых технологий нужно обращать внимание не только на основные законы, регулирующие профильную деятельность. Большое значение для успеха бизнеса имеет также обеспечение защиты личных данных клиентов и интеллектуальной собственности.

Требования по защите личных данных финтех-компаниями в Бельгии

В Бельгии нет конкретных законов для финтех-компаний, однако они обязаны строго придерживаться законодательства по защите личных данных.

Общий регламент ЕС по защите данных (GDPR) полностью интегрирован в бельгийские законы. Реформа прошла в 2 этапы:

1. 03.12.2017 года создана Комиссия по конфиденциальности, которая была переименована на Управление по защите данных (DPA);
2. 30.08.2018 года принят Закон «О защите физлиц при обработке персональных данных».

Последний предусматривает 6 законных оснований для обработки личных данных потребителей:

• согласие физлица;
• необходимость исполнения контракта;
• необходимо для соблюдения юридического обязательства;
• защита жизненно важных интересов физлица;
• в общественных интересах или при исполнении служебных обязанностей;
• законный интерес контролера данных.

GDPR дает физлицам следующие права:

• на информацию;
• на доступ к информации;
• на исправление личных данных;
• на передачу личной информации;
• на удаление данных.

Правила обработки персональных данных в Бельгии предусматривают следующие принципы:

• справедливую, законную и прозрачную обработку;
• сбор для конкретных, явных и законных целей и не обрабатываться способом несовместимым с этими целями;
• адекватные, актуальные и не чрезмерные;
• точные и актуальные;
• хранение в идентифицируемой форме и не дольше нужного срока;
• хранение в безопасности. 

Ведомство по защите данных

Управление по защите данных (DPA) в Бельгии является федеральным независимым органом, контролирующим защиту прав граждан и неприкосновенность частной жизни при обработке персональных данных. Создано ведомство было 03.12.2017 года. Оно имеет право проводить расследования, давать рекомендации и предупреждения, а также штрафовать нарушителей.

В состав Управления входит: исполнительный совет, секретариат, фронт-офис, центр знаний, инспекционная служба, судебная палата.

Финтех-компании не обязаны уведомлять Управление об обработке персональных данных. Однако контролеры и обработчики обязаны вести учет своей деятельности и предоставлять по запросу надзорному органу.

26.11.2020 года DPA подписал соглашение о сотрудничестве с DNS Belgium и получил возможность приостанавливать работу веб-сайтов с доменом .be, нарушивших GDPR. Данное соглашение устанавливает 2-ухуровневую систему сотрудничества:

1. Сотрудничество со следственными органами DPA – предусматривает передачу всей необходимой информации о нарушении для проведения расследования.
2. Процедура «уведомление и действие» — если служба расследований либо судебная палата DPA считает финтех-компания, имеющая сайт с доменом «.be» нарушает GDPR, она направляет в DNS Belgium уведомление. Получив его последняя, уведомляет финтех-компанию, если он в течение 14 дней не исправляет нарушения, сайт отправляется на карантин.

Применение GDPR к иностранным финтех-компаниям

Законодательство по защите персональных данных в Бельгии распространяется на абсолютно все субъекты хозяйственной деятельности, которые обрабатывать личную информацию, независимо от места его регистрации: ЕС, Бельгия или другое государство.

Международная передача данных разрешается на определенных условиях, зависящих от страны-получателя информации.

Требования к согласию на обработку личных данных

В соответствии с законодательством Бельгии финтех-компании, работающие с потребителями, обязаны получать согласие. Оно должно быть написано на нормальном доступном языке и отделено от других вопросов. Согласие является недействительным если:

• отказ субъекту данных нанесет ущерб;
• существует дисбаланс сил;
• используется объединенное согласие для нескольких целей;
• согласие является условием заключения контракта.

Передача личных данных в третьи страны

Законодательство ограничивает подобные действия. Финтех-компаниям разрешается передавать информацию в следующих случаях:

• страна-получатель находится в белом списке;
• передача осуществляется в соответствии с условиями контракта;
• передача проходит в соответствии с обязательными корпоративными правилами;
• передается получателю, который прошел сертификацию или иным образом утвержден надзорным органом.

Санкции за нарушение правил GDPR

В Бельгии к финтех-компании нарушившим законодательство GDPR применяются следующие санкции:

• административный штраф – больше из значений: 10 млн. EUR либо 2-4% от годового оборота за предыдущий год;
• уголовное наказание – лишение свободы в Бельгии не применяется, однако на нарушителя накладывается штраф от 100 до 30 000 EUR + информация о санкции публикуется в одной или нескольких изданиях за счет нарушителя.

Учитывая столь большие штрафы за нарушение законодательства, мы рекомендуем обратиться за консультацией к нашим юристам для подготовки согласия на обработку персональных данных.

Защита прав интеллектуальной собственности в Бельгии

Участники рынка Финтех Бельгии обязаны соблюдать законодательство в сфере защиты прав интеллектуальной собственности. Речь идет об авторских правах, товарном знаке, дизайне, патенте, коммерческую тайну и т.д.

Программное обеспечение бельгийским законодательством относится к литературному произведению, что предусматривает его защиту законом об авторском праве. Последнее защищает:

• исходный код;
• объектный код;
• архитектуру программного обеспечения.

А изобретение, реализованное с помощью программного обеспечения, защищается патентом.

Базы данных защищаются авторскими правами, а при определенных обстоятельствах – правами на базы данных.

Защита брендов обеспечивается правами на товарный знак. Причем право на использование последнего в Бельгии удастся зарегистрировать на уровне Бенилюкса либо ЕС.

Кибербезопасность в Бельгии

Бельгия присоединилась к Конвенции Совета о киберпреступности от 23.11.2001 года. В законодательство были внесены поправки, которые внесли данных тип нарушений в Уголовный кодекс.

Главными задачами Совета являются:

• мониторинг кибербезопасности Бельгии;
• управление инцидентами;
• курирование различных проектов по кибербезопасности;
• формулирование законодательных предложений;
• утверждение стандартов и руководств по обеспечению безопасности IT-систем государственного сектора.

В соответствии с законодательством финтех-компании, работающие в секторе телекоммуникации, обязаны уведомлять об утечке информации Управление по защите данных (DPA) в течение 24 часов. Последнее обязано передать копию уведомления в Бельгийский институт почтовых служб и телекоммуникаций. В случае утечки личных данных, финтех-компания обязана уведомить субъектов, затронутых нарушением.

Контролеры данных в соответствии с GDPR обязаны передать информацию об утечке DPA не позднее 72 часов. В уведомлении должна подробно описана ситуация, возможные последствия и принятые меры. В случае публичных инцидентов DPA должно быть проинформировано в течение 48 часов.

Дополнительные законы, которые обязаны выполнять финтех-компании также очень важны. Их нарушение влечет за собой большие штрафы и существенные санкции. Избежать законодательных препятствий, дополнительных расходов и неприятностей удастся путем привлечения к подготовке корпоративной документации опытных юристов. Обращайтесь к нам уже сейчас, и мы поможем вам качественно подготовить документы к началу бизнеса в Бельгии, а еще открыть счета в банках и/или платежных системах, организовать администрирование компании.

Заказывайте консультацию в онлайн-чате либо оставляйте контактные данные в специальной форме. Мы обязательно свяжемся с вами.