Регулирование финтех в Нидерландах: надзор в сфере защиты данных

Нидерланды — мировой лидер в области финтех-инноваций, что подтверждает их активное финтех-сообщество и частое проведение крупных финтех-мероприятий, такие как предстоящая Money20/20 Europe. В статье мы расскажем о регулировании финтех в Нидерландах, конкретнее о надзоре в сфере защиты данных.

Если вы хотите зарегистрировать компанию в секторе финтех в Нидерландах, Обращайтесь к экспертам портала International Wealth. Мы предоставим комплексное юридическое сопровождение, поможем провести процедуру учреждения фирмы в дистанционном режиме и открыть корпоративный счет в европейском банке.

Есть несколько процветающих хабов финтех в Нидерландах, включая центр финансового сектора в Амстердаме, технические университеты в Делфте и Эйндховене. Многие известные британские финтех-компании выбрали Амстердам в качестве своей новой штаб-квартиры после Брексита. Нидерланды являются домом для «традиционных» финтех-предприятий (платежи, управление активами, кредитование и т.д.), из которых компания-единорог Adyen является основным примером.

Здесь запускают более специализированные формы финтех-проектов, такие как InsurTech, BigTech, PensionTech, LegalTech и RegTech. Голландское правительство в настоящее время сотрудничает с несколькими группами пенсионных фондов по сервису обмена данными среди пенсионеров на основе блокчейна. Понятно, что частью каждого сектора экономики является финтех в Нидерландах. 

В целом мы видим, что финтех-среда становится все более зрелой и более профессиональной. Как доказывают новые бизнес-модели сами по себе, больше капитала, времени и усилий текут в финтех-компании. Голландские регулирующие органы и лица, принимающие решения, всегда восприимчивы к финтех-предприятиям и стараются способствовать созданию инициатив в максимально возможной степени. По мере развития сектора финтех в Нидерландах следует ожидать, что правила и регулирование будут играть более важную роль. 

Нет законодательства, специально предназначенного для сектора финтех в Нидерландах. Финтех-компании, которые предоставляют услуги для потребителей, могут подпадать, например, под действие Директивы ЕС о защите прав потребителей (2011/83 / EU), которая внедрена в Гражданский кодекс Нидерландов. Эта Директива устанавливает требования, например, к предоставлению информации потребителям. Финтех-компании, предоставляющие свои услуги потребителям онлайн, также могут подпадать под действие Директивы ЕС о конфиденциальности и электронных коммуникациях (2002/58 / EC). Эта Директива реализована в голландском законодательстве и требует от предприятий уведомлять потребителей и получать их согласие на использование файлов cookie.

Регулирование передачи личных данных в секторе финтех в Нидерландах

На текущий момент обработка персональных данных в секторе финтех в Нидерландах регулируются Общим регламентом по защите данных (GDPR) для всего Евросоюза. GDPR распространяется на всех членов ЕС. 

GDPR применяется как к компаниям, которые определяют цель и способы обработки персональных данных (контроллеры), так и к компаниям, обрабатывающим персональные данные от имени контроллеров (обработчики), таким как поставщики облачных услуг.

GDPR использует принципиальный подход к защите личных данных. Общие принципы и требования к участникам рынка следующие:

• обрабатывать персональные данные законным, справедливым и прозрачным способом;
• собирать личные данные только для указанных, четко определенных и законных целей;
• обрабатывать и хранить личные данные не дольше, чем требуется для цели обработки; 
• принять и поддерживать соответствующие меры для обеспечения безопасности личных данных.

Вместе с GDPR, вторая директива ЕС о платежных услугах (PSD2) регулирует обработку персональных данных в рамках платежных сервисов сектора финтех в Нидерландах. PSD2 требует, чтобы банки предоставляли сторонним поставщикам платежных услуг доступ к информации о платежных счетах пользователей, которые представляют собой личные данные. Согласно PSD2, поставщики платежных услуг могут только получать доступ, осуществлять обработку и хранение личных данных, необходимых для предоставления своих платежных услуг с явного согласия пользователей. Это согласие, истолкованное в соответствии с GDPR, следует рассматривать как договор пользователя с поставщиком платежных услуг. В соответствии с GDPR, соответствующим правовым основанием для доступа к личным данным пользователей поставщика платежных услуг является договор между двумя сторонами.

Центральный банк Нидерландов (DNB) и Нидерландский орган по защите данных (DDPA) опубликовали протокол сотрудничества, в котором обе стороны определяют, как они совместно будут контролировать обязательства по обработке личных данных, изложенные в PSD2 и GDPR. DDPA начало недавно общесекторальное расследование того, как поставщики информационных услуг в секторе финтех в Нидерландах соблюдают эти требования.

Распространение закона о конфиденциальности данных Нидерландов на иностранные компании

GDPR применяется к обработке персональных данных деятельности компании (контролера или обработчика) в ЕС, независимо от того, происходит ли обработка на территории Евросоюза или нет. Кроме того, GDPR распространяется также на компании (контроллеры или обработчики), учрежденные за пределами ЕС, если они:

• предлагают товары или услуги физическим лицам в ЕС;
• контролируют поведение клиентов в Евросоюзе. 

Таким образом, компания из сектора финтех в Нидерландах или Евросоюзе должна соблюдать GDPR, даже если она выполняет всю обработку личных данных за пределами ЕС. Точно так же финтех-компания из страны, не входящих в Евросоюз, должна соблюдать GDPR, если она предоставляет услуги европейским клиентам.

GDPR ограничивает передачу персональных данных за пределы ЕЭЗ, если только страна не имеет адекватного уровня защита персональных данных. Пока только 12 стран, в том числе Канада, Израиль, Новая Зеландия, Швейцария и Япония признаны имеющими адекватную защиту. Передача личных данных также не ограничена для получателей из США, которые придерживаются правила «Privacy Shield Framework». Для передачи личных данных в другие страны за пределами ЕЭЗ, контролеры должны принять соответствующие меры безопасности, такие как включение Стандартных договорных условий (SCC), принятых Европейской Комиссией в соглашении между договаривающимися сторонами. 

Тем не менее Privacy Shield Framework и SCC подвергались широкой критике за недостаточную защиту персональных данных на практике, и в настоящее время изучаются Европейским судом. На момент публикации Суд еще не принял решения о том, являются ли эти два режима юридически действительными.

Кроме того, согласно GDPR и Обязательными корпоративными правилами (BCR), кодексы поведения и схемы сертификации однозначно признаны соответствующими гарантиями. В отсутствии соответствующих мер безопасности, контроллеры данных  сектора финтех в Нидерландах могут передавать личные данные за пределами ЕЭЗ на основании конкретных отступлений, таких как явное согласие субъекта или необходимость передачи данных для заключения или исполнения контракта с субъектом данных. Эти отступления, однако, могут использоваться только для случайных переводов, а не для повторяющихся.

Санкции за несоблюдение законов о конфиденциальности данных

Общий регламент по защите данных GDPR предусматривает высокие штрафы за нарушение правил защиты личных данных в секторе финтех в Нидерландах и на всей территории Евросоюза. Они применяются как к контроллерам, так и к обработчикам. Компании, не соблюдающие GDPR, подлежат штрафам до 20 миллионов евро, или 4% от годового оборота предприятия по всему миру за одно нарушение, в зависимости от того, какая сумма больше. 

Европейские органы по защите данных (DPA) интерпретируют понятие «обязательство», заимствованное из закона о конкуренции ЕС, в широком смысле, чтобы включать всю «экономическую единицу», а не юридическое лицо контроллера или обработчика данных. В результате при определенных обстоятельствах DPA могут использовать выручку всей группы для расчета штрафов по GDPR. Кроме того, DPA также могут издавать временные или окончательные судебные запреты на обработку данных и проводить регулярные проверки юридических лиц.

Компании сектора финтех в Нидерландах также могут быть обязаны компенсировать материальный и нематериальный ущерб, понесенный физическими лицами в результате нарушения GDPR. Претензии о возмещении ущерба за нарушение защиты данных, поданные независимо или коллективно отдельными лицами или некоммерческими организациями от своего имени, представляют растущую угроза для компаний с большой потребительской базой, в том числе активно работающих в секторе финтех в Нидерландах. Эти иски можно подавать параллельно или в качестве дополнения к принудительному исполнению со стороны DPA.

Законы о кибербезопасности в Нидерландах

PSD2 требует, чтобы поставщики платежных услуг сектора финтех в Нидерландах имели обширные требования к безопасности и отчетности. 

Во-первых, платежные сервисы должны создать структуру с соответствующими мерами по смягчению последствий и механизмами контроля, включая эффективные процедуры управления инцидентами, для управления операционными рисками и рисками безопасности, связанными с предоставляемыми платежными услугами. Платежные организации сектора финтех в Нидерландах должны ежегодно предоставлять в DNB отчет о комплексной оценке этих рисков, а также об адекватности смягчающих мер и механизмов контроля. 

Во-вторых, как правило, платежные учреждения должны уведомлять DNB о любом крупном операционном инциденте или инциденте безопасности в течение четырех часов с момента первого обнаружения происшествия. Если инцидент может повлиять на финансовый интерес пользователей, поставщик платежных услуг должен без чрезмерной задержки также уведомить их о происшествии. Кроме того, участник рынка финтех в Нидерландах должен информировать пользователей обо всех мерах, которые они могут предпринять для смягчения неблагоприятных последствий инцидента.

В более общем плане Нидерланды внедрили Директиву ЕС по сетевой и информационной безопасности (NIS) на основании Закона о кибербезопасности. Оба законодательных акта требуют, чтобы операторы основных услуг и поставщики цифровых услуг сектора финтех в Нидерландах уведомляли о серьезных нарушениях кибербезопасности соответствующую группу быстрого реагирования по компьютерной безопасности и компетентные органы. Это обязательство распространяется на следующие категории учреждений сектора финтех в Нидерландах:

• кредитные учреждения;
• торговые площадки (регулируемые рынки, многосторонние торговые площадки или организованные торговые площадки);
• клиринговые учреждения центральных контрагентов;
• центральные депозитарии безопасности;
• провайдеры расчетных услуг.

Центральный банк DNB объявил, что создаст список конкретных организаций в секторе финтех в Нидерландах, подпадающих под это обязательство. На момент публикации список еще не был опубликован. Согласно голландскому Закону о кибербезопасности, штрафы за нарушение требований об уведомлении о нарушении кибербезопасности составляют до 5 миллионов евро.

Что касается безопасности личных данных, GDPR также определяет обязательства по обеспечению безопасности данных для компаний, которые обрабатывают личные данные, в том числе проекты финтех в Нидерландах. Эти компании должны внедрить «соответствующие технические и организационные меры» для обеспечения уровня безопасности личных данных. GDPR требует, чтобы контроллеры данных сообщали о нарушениях личных данных в DPA в течение 72 часов после того, как стало известно о них, а также субъектам данных «без неоправданной задержки», если их конфиденциальность находится под угрозой.

Узнайте, как вы можете получить бесплатную консультацию по открытию компании (проекта финтех в Нидерландах), в следующей статье по ссылке.

Подробная информация о получении вида на жительство в Нидерландах за инвестиции представлена по ссылке.

Для получения консультации от наших экспертов напишите письмо на электронную почту: info@offshore-pro.info.