|
2019年9月30日,《开曼群岛数据保护法(2017)》(“DPL”)正式生效。DPL首次建立开曼群岛数据保护的法律框架,未来对于在开曼群岛内设立的主体,包括在开曼群岛以各种载体设立的私募基金,其个人数据处理和保护将受到DPL的严格规范。本文将对DPL适用范围、数据保护原则和将会产生的影响作出解读,并就开曼基金如何应对DPL规定给出建议。 快来和基小律一起看看吧~ 2019年9月30日,《开曼群岛数据保护法(2017)》(“DPL”)正式生效。DPL首次建立开曼群岛数据保护的法律框架,未来对于在开曼群岛内设立的主体,包括在开曼群岛以各种载体设立的私募基金,其个人数据处理和保护将受到DPL的严格规范。DPL适用于数据控制者(“Data Controller”)或数据处理者(“Data Processor”)处理(“Processing”)的数据主体(“Processing”)的个人数据(“Personal Data”)。这里涉及到DPL的五个核心概念,其中:数据控制者,指单独或与其他人共同决定任何个人数据的处理目的、条件和方式的自然人、企业或公司。DPL适用于以下两类数据控制者:(1)在开曼群岛设立的数据控制者,且该等数据控制者处理个人数据;(2)在开曼群岛外设立的数据控制者,但该等数据控制者在开曼群岛内处理个人数据(仅通过开曼群岛传输个人数据为目的的除外)。数据处理者,指代表数据控制者处理个人数据的自然人、企业或公司,但不包括数据控制者的员工。需要注意的是,数据处理者不得为自己的目的或以与数据控制者的指令相违背的方式处理从数据控制者接收的个人数据。处理,指获取、记录或存有数据,或对个人数据进行任何操作或一系列操作,包括组织、调节、变更、检索、查询、使用、通过传输、传播或其他方式披露个人数据,或调整、合并、阻断、删除、销毁个人数据。数据主体,指任何被识别的在世的自然人,或任何可以被数据控制者或任何其他人通过合理方式直接或间接识别的在世的自然人。个人数据,指与可以被识别的在世的自然人相关的数据,包括以下数据:(1)在世的自然人的位置数据、在线识别符号或与在世的自然人的身体、胜利、遗传、精神、经济、文化或社会地位相关的一个或多个因素;(3)表明数据控制者或与在世的自然人相关的任何其他人的意图。需要注意的是,对于数据主体的个人数据中,属于敏感个人数据的部分,DPL要求给予额外的保护。敏感个人数据,包括以下数据:(8)犯罪或指控犯罪,或该等犯罪或指控犯罪的法律程序。DPL规定了八项数据保护原则,属于DPL适用范围的数据控制者应遵循以下数据保护原则:公平处理原则:指个人数据应被公平处理。具体而言,数据控制者处理个人数据应合法、透明、诚实,不得不利地、不可预期地或具有误导性地处理个人数据。目的限制原则:指个人数据仅应为一个或多个具体的合法目的处理。具体而言,数据控制者应告知数据主体并记载其处理个人数据的目的,且后续数据处理不得与前述目的相违背。适当相关原则:指个人数据应适当、相关且不过量。具体而言,数据控制者应确保处理的个人数据能够实现其目的,并与该等目的相关,且为实现该等目的所必需。准确及时原则:指个人数据应准确、及时。具体而言,数据控制者应采取合理措施以确保个人数据是准确的、不具有误导性的,并应及时更新。限期保存原则:指个人数据的保存不应超过必要期限。具体而言,数据控制者不得超过必要期限保存个人数据,如不再需要该等个人数据,应及时删除或匿名化处理。保障权利原则:指个人数据应根据数据主体的权利处理。具体而言,数据主体享有被告知权、访问权、变更、阻断、删除、销毁权、停止处理权、有权自动化决策权、停止直接市场推广权、诉请和索赔权等。数据保密原则:指对个人数据采取适当的技术和组织措施。具体而言,数据控制者应采取与处理个人数据声称的风险相适应的安全措施,包括物理和网络技术措施,且该等安全措施的有效性应通过适当的内部流程检验。跨境保护原则:指除非确保对数据主体的权利和自有的保护已达到充分标准,否则个人数据不得在开曼群岛外进行国际传输。具体而言,适用欧盟《通用数据保护条例》(“GDPR”)的成员国,及部分非欧盟国家和地区,包括泽西岛、新西兰和瑞典被视为数据保护达到充分标准。需要注意的是,对于个人敏感信息的处理,DPL要求给予额外的保护,除了满足一般的个人数据处理要求外,还需要满足以下任一前提:(2)个人数据处理对行使或履行任何与数据主体的雇佣相关的法律权利或义务是必要的;(3) 对于数据主体未同意或数据控制者不能合理预期取得数据主体同意的,个人数据处理对于保护数据主体或任何其他人的重要利益是必要的;(4)在非营利机构进行合法活动的过程中,且相关条件已满足的前提下进行个人数据处理;(6)个人数据处理对于法律程序、获取法律建议或设立、行使或保障法律权利是必要的;(7)个人数据处理对于司法行政程序或行使法定的、政府的或公共的职能是必要的;(8)个人数据处理是为医疗的目的,且为健康专业人士进行。根据DPL,任何在开曼群岛设立的主体,如果其处理个人数据,将负有个人数据保护义务,并遵循DPL规定的八项数据保护原则。开曼基金作为在开曼群岛设立的主体,将被认为属于DPL规定的数据控制者,而代表开曼基金进行个人数据处理的主体,比如行政管理人及其他服务提供者,将被认为属于DPL规定的数据处理者,均受到DPL的限制及应当遵循DPL关于数据保护的规定。如果开曼基金违反DPL的规定,比如非法获取、披露或出售个人数据、未符合个人数据保护原则、没有法定事由处理个人数据、违反使用个人敏感信息的额外规定等,将被处以10万开曼元(12.2万美元)的罚款及最长5年的监禁,在严重违反DPL并对数据主体造成严重影响的特定情形下,金钱性处罚可以高达25万开曼元(30.5万美元)。需要注意的是,作为开曼基金的董事、经理、秘书或其他公司人员,如果公司的违法行为被证明基于其同意、默许或疏忽,也将受到相应的处罚。因此,建议开曼基金采取以下行动,以确保符合DPL的规定:(1)对开曼基金内部的个人数据保护制度和措施进行审阅、梳理和更新;(2)准备或更新适用于投资者的隐私声明,告知投资者开曼基金保存的关于该等投资者的个人数据,及该等个人数据处理的目的;(3)审阅、梳理和更新与服务提供者签署的服务协议,确保该等服务提供者代表开曼基金处理个人数据符合DPL的规定;(4)开展有效的内部培训和合规计划,以应对DPL相关机构的监督和审查。特别声明
· 本文系基小律刘军律师原创。尊重原创,标明出处,严禁洗稿,侵权必究。 · 本文仅供一般性参考,不应视为特定事务的法律意见或依据。
|
