Fondsetableringer og GDPR

Forvaltere av alternative investeringsfond og deres tjenesteleverandører vil i sitt daglige virke behandle ulike typer personopplysninger. EUs personvernforordning 2016/679 (GDPR) medfører strengere rammevilkår for disse aktørene. GDPR stiller blant annet krav til informasjon som må gis i forbindelse med fondsetableringer og forvalters kontroll med personopplysninger som innhentes og behandles. Videre vil Datatilsynet håndheve GDPR overfor norske fond med utenlandske tilknytninger og overfor utenlandske fond med norske investorer.

1. Behandlingsansvarlig eller databehandler?

I forbindelse med en fondsetablering, samt ved utøvelsen av virksomheten til forvalter og fondet, vil et eller flere foretak behandle personopplysninger. Dette kan være navn, e-postadresse, 11-sifret fødselsnummer eller bankkontonummer. I tillegg til personopplysninger om fysiske personer tilknyttet investorer eller representanter for disse, behandles typisk også personopplysninger om egne ansatte, besøkende på nettsider og fysiske personer hos tjenesteleverandører.

En del av disse personopplysningene samles inn og lagres som følge av for eksempel hvitvaskingsloven, skatteforvaltningsloven eller lov om forvaltning av alternative investeringsfond. Andre personopplysninger samles inn på grunnlag av samtykke fra investor eller som følge av forvalters berettigede interesser.

I den forbindelse må det avgjøres om forvalter, fondet og/eller andre parter i fondsstrukturen opptrer som behandlingsansvarlige eller databehandlere. Behandlingsansvarlig er det selskapet som bestemmer formålet med behandlingen av personopplysninger og hvilke tekniske hjelpemidler som skal benyttes. Databehandler er det selskapet som behandler personopplysninger på vegne av og etter instruks av behandlingsansvarlig.

Grensedragningen har stor betydning for dokumentasjonen som må utarbeides og hvilke plikter som påligger det enkelte foretak. For eksempel skal behandlingsansvarlig informere enkeltpersoner om behandling av personopplysninger, og eventuelt varsle myndigheten ved sikkerhetsbrudd.

2. Felles eller selvstendig behandlingsansvar?

Det europeiske personvernråds og Datatilsynets retningslinjer tilsier at det skal foretas en helhetsvurdering av en rekke momenter for å avgjøre om et foretak er behandlingsansvarlig.  Dette kan lede til forskjellige utfall for nesten like fondsstrukturer, og det vil i mange tilfeller finnes flere behandlingsansvarlige. I denne sammenheng må det også vurderes om forvalter og fondet har felles behandlingsansvar (hvor det i så fall må inngås en avtale mellom to behandlingsansvarlige), eller om de har behandlingsansvaret hver for seg.

Sammenlignet med felles behandlingsansvar, er behandlingsansvar hver for seg en fordelaktig løsning fordi foretakene unngår å måtte utforme og følge opp en avtale mellom to behandlingsansvarlige. Behandlingsansvar hver for seg kan derfor redusere den regulatoriske risikoen for forvalter og fondet.

Videre kan det være at forvalter, fondet og eventuelle utenlandske tilknytninger er behandlingsansvarlige hver for seg, ved at ingen av disse behandler personopplysninger på vegne av de øvrige. Dermed vil ingen av dem regnes som databehandlere. Et slikt oppsett vil spare kostnader og redusere risikoen for brudd på GDPR.

Vi anbefaler at man avklarer rollen til aktørene i fondsstrukturen som behandler personopplysninger, og at dette blant annet baseres på rettighetene og forpliktelsene i fondsdokumentasjonen og relevant lovgivning. Færrest mulig databehandlere kan gi gevinst i form av mindre byråkrati og lavere regulatorisk eksponering.

Vi anbefaler videre at behandlingsansvarlige kartlegger hvilke personopplysninger som registreres og dokumenterer tilhørende rettslige grunnlag i en skriftlig personvernrutine. Dette gjelder forvaltere, men også fondet dersom det regnes som behandlingsansvarlig.

3. Krav til fondsdokumentasjonen

GDPR innebærer at det skal gi informasjon om hvordan og hvorfor personopplysninger behandles. I tillegg skal det gis informasjon om hvor lenge personopplysninger oppbevares, hvilke rettigheter fysiske personer har til informasjon og om personopplysningene deles med tredjeparter. Dette gjøres normalt i en personvernerklæring.

Det må derfor vurderes hvordan slik informasjon skal gis i forbindelse med en fondsetablering. Ofte vil en henvisning til en personvernerklæring være tilstrekkelig, men det bør også vurderes om separate samtykker må innhentes med tanke på markedsføring av andre fond og/eller tjenester som ligger utenfor det opprinnelige kundeforholdet.

4. Også internasjonale fondsstrukturer kan være omfattet

GDPR får anvendelse på behandling av personopplysninger som utføres av behandlingsansvarlige etablert i Norge, uavhengig av om behandlingen finner sted innenfor eller utenfor EØS.

Dette vil være aktuelt når forvalter setter ut tjenester til leverandører som er etablert i andre land. Mange leverandører av skytjenester vil typisk ha infrastruktur i land utenfor EØS.

Videre kan dette være aktuelt dersom forvalter er norsk og fondet er etablert utenfor EØS (f.eks. Guernsey eller Jersey) og hvor personopplysninger overføres til tjenestetilbydere (databehandlere) i det aktuelle land.

Forvalter som har overført personopplysninger til utenlandske tjenesteleverandører må påse at overføringene til utlandet er lovlige. Forvalter vil bli holdt ansvarlig hvis noe går galt, typisk at opplysninger om investorer havner på avveie.

Det må også i slike strukturer vurderes hvilke foretak som er behandlingsansvarlige. Dersom både forvalter og fondet er behandlingsansvarlige, vil en overføring av personopplysninger fra forvalter til fondet regnes som en overføring mellom to behandlingsansvarlige. Også her må overføringene til utlandet være lovlige.

Videre får GDPR anvendelse på behandling av personopplysninger om fysiske personer i EØS, som utføres av foretak som ikke er etablert i EØS, dersom behandlingen dreier seg om å levere tjenester til fysiske personer i EØS. Dette betyr at en utenlandsk fondsstruktur, hvor fondet og forvalter er etablert utenfor EØS og det behandles opplysninger om investorer bosatt i EØS, må følge GDPR og er underlagt sanksjonsregimet til europeiske datatilsynsmyndigheter.

Vi anbefaler at norske forvaltere av investeringsfond, som forvalter fond i utlandet, vurderer hvilke foretak som er behandlingsansvarlige i strukturen, samt sikrer lovlige overføringer av personopplysninger til utlandet. Dette kan være oppdaterte avtalemekanismer og tydelig informasjon til investorer. Videre anbefaler vi at disse også undersøker hvilke foretak i strukturen som leverer tjenester til EØS-borgere og påser at disse juridiske enhetene har oppdaterte personvernrutiner.

5. Avsluttende kommentarer

Datatilsynet foretar jevnlige kontroller av om GDPR er oppfylt. Myndighetspraksis indikerer at europeiske datatilsynsmyndigheter er villig til å gi overtredelsesgebyr i millionklassen. I alvorlige saker kan det være aktuelt med bot opptil 20 millioner euro eller 4% av den samlede globale årsomsetningen i forutgående regnskapsår.

En vurdering av GDPR i forbindelse med fondsetableringer bør omfatte en kartlegging av hvilke personopplysninger som behandles, hvilke foretak som er involvert i behandlingen, om personopplysninger vil deles med andre foretak, om personopplysninger skal sendes til utlandet, hvordan fondsdokumentasjonen skal utformes og om det foreligger tilfredsstillende tekniske og organisatoriske sikkerhetsrutiner.

Forvaltere bør ta med GDPR i sitt interne arbeid med compliance, blant annet i form av praktiske sjekklister og innebygd personvern som sikrer at GDPRs minimumskrav er oppfylt.

Advokater

Andreas Lowzow
Jeppe Songe-Møller

Publisert

02. april 2019