Пятая Директива по борьбе с отмыванием денег (5MLD) вступила в силу 10 января 2020 г. Лицам, желающим зарегистрировать компанию в ЕС и выйти на рынок произведений искусства, стоит учесть, что соблюдение требований по надлежащей проверке клиентов (KYC) согласно 5MLD является обязательным для всех участников арт-рынка.
Ключевые требования регламента GDPR для арт-рынка
5MLD представляет особые проблемы в отношении Закона о защите данных. Это связано с тем, что Пятая Директива по борьбе с отмыванием денег призывает к сбору и хранению большего количества персональных данных, тогда как актуальные требования защиты данных согласно GDPR в Евросоюзе и Великобритании направлены на устранение ненужного или чрезмерного сбора и использования персональных данных.
Также существуют конкретные требования GDPR к конфиденциальности и защите данных в Великобритании в рамках реализации 5MLD, Положений о AML/CTF и переводе средств (информация о плательщике) 2017 г. и Положений о AML/CTF (поправка) 2019 г. (вместе MLR). MLR предписывают конкретные шаги в отношении раскрытия информации и мер защиты данных, которые участники рынка предметов искусства должны выполнять, иначе они рискуют нарушить Закон о защите данных, со всеми возможными штрафами, претензиями и репутационным ущербом.
Эти проблемы стали еще более проблематичными из-за того, что пандемия Covid-19 оказала давление на соблюдение требований к защите данных в европейских учреждениях. Пандемия могла оказать значительное влияние на доступность европейского персонала (в том числе тех сотрудников, которые будут контролировать и обеспечивать соблюдение требований GDPR в Великобритании), а удаленная работа с увеличенными дистанционными продажами привела к электронной отправке личных данных в целях AML, что делает их уязвимыми для кибератак.
С 10 января 2020 г. 5MLD требует от участников рынка произведений искусства проводить комплексную проверку клиентов в рамках соблюдения режима KYC согласно GDPR в Великобритании и ЕС во всех случаях, когда стоимость транзакции или нескольких связанных транзакций составляет 10 тыс. EUR или более. Это будет включать сбор информации о физических лицах, которые являются клиентами, должностными лицами или бенефициарными владельцами корпоративного клиента, или связаны с клиентами. В некоторых случаях может потребоваться проверка отдельных сотрудников участника рынка предметов искусства.
Соблюдение новых правил защиты персональных данных на рынке произведений искусства
Проверки данных в ЕС и Великобритании согласно 5MLD обязательно будут включать сбор значительно большего объема личных данных клиентов и сотрудников, чем это было ранее. Типы информации, которую арт-дилеры и аукционные дома могут использовать для этих проверок AML, могут быть более конфиденциальными, чем типы информации, традиционно собираемой, что предполагает большую потребность в безопасности. Например, вместо имен и адресов дилерам теперь, возможно, придется получать и хранить паспортные данные людей, чтобы подтвердить их личность. Такая конфиденциальная информация требует еще более строгих мер безопасности.
Более подробную информацию вы можете получить во время консультации по соблюдению новых правил 5MLD на европейском арт-рынке с профильным экспертом.
Соблюдение требований европейского Регламента GDPR в Великобритании
Сбор и обработка персональных данных регулируется Общим регламентом по защите данных (EU GDPR), а также в Великобритании Законом о защите данных 2018 (DPA) и с 1 января 2021 г. GDPR внедрено в законодательство Великобритании. Если вы хотите открыть компанию в Великобритании или ЕС и выйти на европейские арт-рынки, стоит принять во внимание, что GDPR и DPA ограничивают способы, которыми организации могут собирать, хранить и использовать личные данные своих клиентов и сотрудников.
Требования GDPR и DPA в Великобритании и связанные с ними обязательства по защите данных в MLR могут создавать проблемы для арт-дилеров и аукционных домов, подпадающих под новые обязательства по AML, поскольку они налагают ограничения в отношении того, как личные данные собираются для целей AML.
Несоблюдение правил защиты данных в Великобритании при проведении комплексной проверки по AML приводит к серьезным последствиям для учреждений с обязательствами по AML: максимальные штрафы в 20 млн EUR или до 4% от общего мирового оборота за предыдущий год обеспечивают сильный стимул, не говоря уже о возможном ущербе репутации. Субъекты данных становятся все более активными в предъявлении судебных исков о возмещении ущерба организациям, в которых их личные данные были использованы неправомерно.
Проверка соблюдения правил GDPR британскими компаниями
Некоторые из ключевых требований означают, что участники рынка искусства должны:
- убедиться, что у них есть основания для обработки персональных данных, которые они собирают, хранят и получают в процессе проведения должной осмотрительности и проверок отдельных лиц;
- в своих политиках и процедурах следует четко указать, что права отдельных лиц не могут преобладать над противоречащими правовыми обязательствами;
- убедиться, что контракты с поставщиками услуг охватывают определенные предписанные области в соответствии с GDPR, например, при условии, что участник имеет право возражать против назначения субподрядчика поставщиком услуг;
- обеспечивать гарантии при передаче каких-либо личных данных за границу или предоставлении доступа к ним лицам за границей;
- предоставлять субъектам данных соответствующую информацию прозрачности о том, что делается с их данными (например, что в их уведомлении о конфиденциальности упоминается тот факт, что их данные будут использоваться для проведения проверок, требуемых законом, и могут быть переданы правоохранительным органам);
- сохранить все личные данные с использованием «технических и организационных мер»;
- соблюдать требования к хранению личных данных, собранных для целей AML-проверок, не дольше, чем необходимо для выполнения этой цели.
Требования к защите данных MLR в Великобритании
MLR предъявляют особые требования к защите данных участников арт-рынка в Великобритании дилерам и аукционным домам, помимо стандартных обязательств GDPR/DPA, изложенных выше. В частности, в MLR говорится, что персональные данные, полученные дилерами или аукционными домами для целей AML, могут обрабатываться только для предотвращения отмывания денег или финансирования неправомерных действий, если это не разрешено другим законом или пострадавшее лицо не дало согласия.
Актуальные требования по регулированию британских компаний в рамках MLR требуют, чтобы перед установлением деловых отношений или заключением случайных транзакций с новым клиентом дилеры и аукционные дома предоставляли клиенту заявление о том, что любые личные данные, полученные от него, будут обрабатываться в соответствии с изложенным выше.
Режим доверия в MLR может иметь последствия для защиты данных. Проще говоря, участник арт-рынка («Принимающий участник») может полагаться на проверки AML, проводимые другим регулируемым участником ЕС, с которым он работает («Раскрывающий участник»). Раскрывающий участник должен согласиться предоставить Принимающему участнику результаты AML клиента по запросу. Подобный обмен результатами проверок AML обязательно будет включать в себя передачу личных данных, что несет в себе элемент риска для Раскрывающего участника. Таким образом, Раскрывающий участник запросит некоторые гарантии от Получающего участника, например, что он будет использовать данные только для целей AML.
Вывод
Проверка соблюдения правил GDPR европейскими компаниями
Все организации должны знать европейские требования по защите персональных данных и быть готовы к их выполнению. Справедливо сказать, что увеличение объемов и более рискованные типы персональных данных, с которыми арт-дилерам и аукционным домам придется обращаться в рамках 5MLD, заставят их сосредоточиться на выполнении своих обязанностей по защите данных.
Для более детального ознакомления с новыми требованиями вы можете заказать консультацию по регулированию европейских компаний согласно GDPR или запросить консалтинг по регулированию компаний на рынке арт-услуг согласно AMLD 5 в Великобритании у специалистов IncFine.