GDPR优先事项

Craig Cordle撰文–欧洲的数据保护和隐私法已经通过法规（EU）2016/679进行了改革，该法规通常被称为通用数据保护法规（GDPR），该法规于2018年5月25日生效。GDPR建立在现有法规的基础上，旨在协调和加强整个欧盟的数据保护和隐私法律。它还对违规行为处以高额罚款。

几乎完全符合GDPR要求的《根西岛2017年数据保护（根西岛百利威克）法》于当天生效。《 DP法》在全球范围内适用GDPR的要求（即不仅限于与欧盟居民个人有关的数据）。重要的是，这意味着根西岛很可能会继续被欧盟委员会归类为可以向其传输数据的足够的第三国，这对根西岛服务提供商来说只是个好消息。

GDPR在欧盟成员国中具有立竿见影的效果，因此自动适用于在欧盟成立的组织。但是，它也具有域外范围，并适用于在欧盟设有机构或处理个人数据涉及以下方面的第三国组织：a）向欧盟居民提供商品或服务；或b）监视在欧盟发生的行为的欧盟居民的行为。

就投资基金而言，通常将提供基金的权益视为“提供商品或服务”，从而将资金纳入GDPR的范围。

个人数据是可以识别自然人的任何信息，例如其姓名，地址，识别号以及在线标识符（包括cookie）。通常在订阅过程中从投资者收集此类数据。

但是，GDPR对“特殊类别数据”施加了更高的合规负担，其中包括揭示种族出身，政治见解或宗教信仰的数据。后一种类别不太可能与大多数基金相关，尽管伊斯兰教法基金，具有社会责任感或道德的投资基金可能会发现它们拥有特殊类别的数据。此外，PEP的政治隶属关系可能会导致保留此类数据。

以下行动要点应有助于基金和服务提供商确定其优先事项：

•对收集到的个人数据的类型和来源进行全面映射，确定谁可能控制和/或处理数据，出于什么目的以及数据在基金与其服务提供商之间的转移方式。

•考虑处理数据的法律依据。在GDPR之前的制度下，通常将投资者同意作为处理个人数据的法律依据。这可能仍然是适当的，特别是在车辆非常紧密地持有或容易获得投资者同意（并在必要时进行更新）的情况下。

•准备一份符合GDPR中规定的披露规定的投资者通知（通常称为“隐私声明”）。隐私声明是篇幅冗长的文档，因为它们必须以清晰明了的语言详细说明详细信息，包括使用数据的目的，每次使用的法律依据，对投资者作为数据主体的权利以及如何行使的解释他们。

•修改基金文件。提供的文档可能包含需要更新的数据保护语言。

期望将依靠基金会管理者来提供这些活动所需的资源和基础设施，尽管必须指出的是，数据控制者对因违反GDPR进行数据处理而造成的损害承担责任。因此，基金和管理委员会也应接受GDPR要求的培训。