Новые вызовы для комплаенса: CRS, развитие FATCA и GDPRКруглый стол16 марта 2018 г.

© 2018 ООО «Делойт Консалтинг» 2Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Программа круглого стола

Время Тема выступления Докладчик

10:00 – 10:30 Сбор и регистрация участников

10:00 – 10:05 Вступительное слово

Александр Синицын, Руководитель Группы по предоставлению услуг компаниям сектора ценных бумаг, банковского сектора и страхования Департамента консультирования по налогообложению и праву компании «Делойт», СНГ

10:35 – 11:05

Обзор основных положений Постановления Правительства РФ «О реализации международного автоматического обмена финансовой информацией в налоговых целях», проблемы и потенциальные риски, связанные с их практической реализацией

Александр Синицын

11:05 – 11:20Автоматизированное IT решение дляклассификации организаций по CRS

Левон Айрапетян, Ведущий консультант Группы по предоставлению услуг компаниям сектора ценных бумаг, банковского сектора и страхования компании «Делойт», СНГ

11:20 – 11:35 Кофе-брейк

11:35 – 12:05Сертификация ответственного сотрудника по FATCA: особенности процесса и проверка внедренных FATCA процедур

Александр Синицын,Дмитрий Иванов, Ведущий консультант Группы по предоставлению услуг компаниям сектора ценных бумаг, банковского сектора и страхования компании «Делойт», СНГ12:05 – 12:20

FATCA gross proceeds: к чему необходимо подготовиться до 2019 года?

12:20 – 12:50

Европейское законодательство по защите персональных данных (GDPR): требования и применимость к российским финансовым институтам

Александр Тюльканов, Старший менеджер Группы по оказанию юридических услуг для технологических проектов «Делойт», СНГНаталья Яковлева, Старший консультант Группы по оказанию юридических услуг для технологических проектов «Делойт», СНГ

Обзор основных положений Постановления Правительства РФ «О реализации международного автоматического обмена финансовой информацией в налоговых целях», проблемы и потенциальные риски, связанные с их практической реализацией

© 2018 ООО «Делойт Консалтинг» 4Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Докладчик

Александр Синицын, руководитель Группы по предоставлению услуг компаниям сектора ценных бумаг, банковского сектора и страхования Департамента консультирования по налогообложению и праву компании «Делойт», СНГ

Контактные данные:Tel: + 7 (495) 787 06 00ext. 2099asinitsyn@deloitte.ru

© 2018 ООО «Делойт Консалтинг» 5Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Стандарт ОЭСР об автоматическом обмене информацией о финансовых счетах

Стандарт ОЭСР об автоматическом обмене информации о финансовых счетах (Common Reporting Standard) (далее – «CRS» или «Стандарт») является глобальной инициативой, возглавляемой ОЭСР и направленной на увеличение налоговой прозрачности, участие в которой примут более 100 юрисдикций. Россия начнет обмениваться информацией в рамках CRS с 2018 года. CRS включает в себя рядключевых элементов, описанных ниже, являющихся правовой основной обмена информацией между участвующими юрисдикциями.

Model Competent Authority Agreement

Устанавливает юридическую основу для обмена информацией между

участвующими юрисдикциями

Common Reporting Standard

Определяет объем информации, которая должна включаться в отчет, а также устанавливает требования к процедуре «дью дилидженс» клиентов

CRS Commentary

Содержит детальные инструкции по применению Competent Authority

Agreement и Common Reporting Standard, включая соответствующие

примеры

CRS Schema and User Guide

Содержат общие требования и инструкции в отношении электронной передачи информации финансовыми институтами в налоговые органы

Стандарт

© 2018 ООО «Делойт Консалтинг» 6Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Последние новости (1/6)Model Disclosure Rules (MDR)

Лицо, ответственное за создание и продвижение

(Promoter)

Сервисная компания(Service Provider)

Посредники (Intermediaries)

«Непрозрачная» офшорная структура

Структура, направленная на уклонение от CRS

Локальная налоговая служба

Раскрытие информации

Лицо, в отношении которого раскрывается

информация

Налоговая служба юрисдикции-партнера

Обмен информацией

Раск

ры

тие

ин

фор

мац

ии

© 2018 ООО «Делойт Консалтинг» 7Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Последние новости (2/6)Model Disclosure Rules (MDR)

Объем раскрываемой информации

1. ФИО или наименование, адрес, юрисдикция налогового резидентства и ИНН (или аналог) в отношении следующих лиц: • лица, осуществляющего раскрытие (Promoter и Service Provider);• клиента лица, осуществляющего раскрытие (если клиент является лицом, в пользу которого создана соответствующая

структура, то необходимо также раскрыть информацию о дате рождения);• лица, которое использует структуру, направленную на уклонение от CRS, а также бенефициара «непрозрачной» офшорной

структуры; • лиц, являющихся посредниками (отличными от посредников, раскрывающих информацию).

2. Детальная информация в отношении структуры, направленной на уклонение от CRS, и «непрозрачной» офшорной структуры:

• в отношении структуры, направленной на уклонение от CRS, описание тех особенностей структуры, которые делают возможным уклонение от CRS;

• в отношении «непрозрачной» офшорной структуры признаки структуры, которые приводят к тому, что не позволяют определить бенефициара, или создают видимость того, что бенефициаром является иное лицо.

3. Юрисдикция (или юрисдикции), в которой возможно использование структуры, направленной на уклонение от CRS, и «непрозрачной» офшорной структуры.

© 2018 ООО «Делойт Консалтинг» 8Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Последние новости (3/6)CRS avoidance – риски RBI и CBI программ

Пример недобросовестного применения RBI & CBI

Физическое лицо Юрисдикция с RBI & CBI

Физическое лицо

Банк в третьей юрисдикции

Информация только по юрисдикции с

RBI/CBI

Местный налоговый орган

Юрисдикция с RBI & CBI

Россия

Информация только по юрисдикции с

RBI/CBI

Как правило, к RBI и CBI программам прибегают в целях: • повышения мобильности физических лиц /

передвижения без виз;• получения возможности жить в юрисдикции со

стабильным политическим режимом;• качественное образование и трудоустройство;• иные причины финансового характера.

При этом недобросовестные владельцы счетов могут:• отмывать доходы, полученные преступным путем;• уклоняться от уплаты налогов, в том числе путем

уклонения от CRS. RBI & CBI

19 февраля ОЭСР опубликовал консультативный документ об использовании «инвестиционного резидентства» (“residence by investment” – RBI) и инвестиционного гражданства (“citizenship by investment” - CBI) для целей уклонения от требований CRS. В рамках подобных программ иностранные граждане могут получать временное или постоянное право на проживание в юрисдикции в обмен на инвестиции или выплату фиксированной суммы. Широкое распространение подобных программ, ограниченная информация у банков об обстоятельствах их клиентов и применении к ним соглашений об избежании двойного налогообложения создают риск злоупотреблений.

© 2018 ООО «Делойт Консалтинг» 9Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Рекомендации для организаций финансового рынка при осуществлении процесса идентификации

Получать от клиента реальный адрес постоянного места проживания и подтверждать его соответствующими документами.

Информировать клиентов об обязательном указании в форме самосертификации всех юрисдикций, в которых клиент признается резидентом для целей налогообложения.

Следовать правилу, согласно которому финансовый институт не имеет права полагаться на самосертификациюи документы, предоставленные клиентом, если у него есть основания полагать, что они являются некорректными, не заслуживающими доверия или неполными.

Последние новости (4/6)CRS avoidance

Признаки RBI & CBI, представляющих высокий риск уклонения от CRS

Режим предоставления RBI & CBI не требует / устанавливает минимальные требования к физическому присутствию лица на территории юрисдикции / не осуществляется проверка факта физического присутствия на территории соответствующей юрисдикции.

Режим RBI & CBI предлагается:• низконалоговой юрисдикцией;• юрисдикцией, в которой не облагается налогом доход, полученный от источников в иностранном государстве;• юрисдикцией, предусматривающей специальный налоговый режим в отношении иностранных физических лиц, получивших

резидентство с помощью RBI;• юрисдикцией, не получающей информацию в рамках CRS.

Отсутствие механизмов минимизации рисков, в частности:• обмена информации в отношении лиц, получивших резидентство / гражданство в рамках RBI & CBI, с юрисдикцией

первоначального резидентства / гражданства;• отметки в сертификате налогового резидентства о том, что лицо получило статус в рамках RBI & CBI.

© 2018 ООО «Делойт Консалтинг» 10Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Применение wider approach

Нормы НК РФ в редакции 340-ФЗ и проекта Постановления:• отсутствие ссылок на соответствующий перечень юрисдикций, с которыми осуществляется автоматический обмен

финансовой информацией, при описании обязанностей организаций финансового рынка по выявлению иностранных налоговых резидентов среди клиентов (выгодоприобретателей и (или) лиц, прямо или косвенно их контролирующих);

• при определении понятия «налоговый резидент иностранного государства» не дана ссылка на соответствующий перечень юрисдикций, с которыми будет осуществляться автоматический обмен.

Информация от ФНС: • российские ОФР должны собирать информацию по всем лицам, которые не являются налоговыми резидентами Российской

Федерации.

Обновление портала с двусторонними отношениями по обмену Последние новости (5/6)

Заявление ФНС: Российская Федерация планирует осуществлять автоматический обмен со всеми участниками Соглашения компетентных органов об автоматическом обмене финансовой информацией (CRS MCAA).

Теперь мы знаем… • 21 декабря на официальном сайте ОЭСР опубликован обновленный список юрисдикций, между которыми будет происходить

автоматический обмен информацией о финансовых счетах в рамках CRS. • В обновленной версии списка указаны юрисдикции-партнеры, с которыми Россия будет обмениваться информацией в рамках CRS. В

частности, российские налоговые органы смогут получить информацию из таких юрисдикций, как Кипр, Люксембург, Швейцария и др. В отношении ряда юрисдикций также указаны сроки первого обмена.

• Как сообщает ОЭСР, по состоянию на 21 декабря 2017 года заключено более 2600 двусторонних отношений, предусматривающих автоматический обмен информацией в рамках CRS, между 78 юрисдикциями. Указанный список будет пополняться по мере дальнейшего номинирования странами-участниками партнеров по обмену. Следующий этап активации двусторонних отношений по обмену информации запланирован на март 2018 года.

© 2018 ООО «Делойт Консалтинг» 11Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Обновление FAQsПоследние новости (6/6)

• Счета открытые для ТСЖ / жилищных кооперативов для целей удовлетворения общедомовых нужд могут признаваться исключенными, так как могут относиться к счетам с низким риском их использования для целей уклонения от налогообложения.

• Возможность исключения таких счетов может быть предусмотрена локальным законодательством.

• Если локальным законодательством предусмотрен порог определения контролирующего лица ниже чем 25% владения, то должен применяться порог, установленный локальным законодательством о противодействии отмыванию доходов, полученных преступным путем (может быть менее 25%).

• Reportable Accounts остается таковым до тех пор, пока не наступили обстоятельства, изменяющие его статус Reportable (например, закрытие счета, несвязанное с ликвидацией), или пока он не закрыт в связи с ликвидацией / прекращением деятельности финансового института.

• Локальным законодательством юрисдикций могут быть предусмотрены особенности предоставления отчетности финансовыми институтами, находящимися в процессе ликвидации.

• Получение формы самосертификации является одним из основных обязательств в рамках CRS. В некоторых случаях представляется затруднительным получение формы в «день №1», поэтому CRS предоставляет возможность валидации формы в течение 90 дней с момента ее получения.

• Законодательством юрисдикций должны быть установлены «серьезные меры», направленные на обеспечение получения форм самосертификации в рамках открытия новых счетов.

• Содержание данных мер определяется тем, насколько они влияют на владельца счета / финансовый институт в части передачи / получения соответствующей формы (например, прекращение операций по счету в случае непредставления формы).

• Лицом, подлежащим включению в отчетность, является бенефициар, в пользу которого косвенно (через третьих лиц) осуществляется распределения дохода от траста.

Предоставление отчетности финансовыми институтами, находящимися в процессе

ликвидации

Срок для получения формы самосертификации

Определение контролирующего лица

Исключенные счета

Косвенное распределение дохода трастами

© 2018 ООО «Делойт Консалтинг» 12Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Текущий статус изменений в российском законодательстве, связанные с CRS

Международные нормативные правовые документы Статус

Соглашение компетентных органов об автоматическом обмене финансовой информацией от 29 октября 2014 года

Локальное законодательство

Федеральный закон от 27.11.2017 N 340-ФЗ "О внесении изменений в часть первую Налогового кодекса Российской Федерации в связи с реализацией международного автоматического обмена информацией и документацией по международным группам компаний"

Проект Постановления Правительства Российской Федерации «О реализации международного автоматического обмена финансовой информацией в налоговых целях»

Приказ ФНС России «Об утверждении перечня государств (территорий), с которыми осуществляется автоматический обмен финансовой информацией»

Проект Формата представления организацией финансового рынка уведомлений о финансовых счетах клиентов - нерезидентов Российской Федерации в уполномоченный орган в электронной форме и схемы

Проект Протокола информационного взаимодействия между ФНС России и организацией финансового рынка

Перечень международных организаций, утвержденный Министерством иностранных дел Российской Федерации совместно с Министерством финансов Российской Федерации

Порядок передачи финансовой информации компетентным органам иностранных государств (территорий), получения финансовой информации от таких компетентных органов, а также требования к защите передаваемой финансовой информации (акт Правительства РФ)

© 2018 ООО «Делойт Консалтинг» 13Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Основные датыХронология событий

2017 2018

27 ноября До 1 апреля Сентябрь

Вступление в силу изменений в НК РФ, касающихся внедрения CRS. Начало идентификации клиентов

Публикация окончательного варианта формата обмена

информацией между ОФР и ФНС

Обмен информацией между юрисдикциями (из РФ и в РФ)

2019

Текущий момент времени

Предоставление информации в отношении существующих «крупных» счетов

физических лиц (более 1 млн долларов США) и юридических лиц (более 250 тыс.

долларов США)

31 июля

Положения, касающиеся автоматического обмена финансовой информацией, распространяются на клиентов организаций финансового рынка,которые заключили договор, предусматривающий оказание финансовых услуг, до 27 ноября 2017 года.

В отношении правонарушений, выявленных в 2017, 2018 и 2019 гг. и связанных с ненаправлением (невключением) финансовой информации, а также с нарушением порядка установления налогового резидентства, не применяются установленные НК РФ меры ответственности.

2016

12 мая

Российская Федерация подписала Многостороннее

соглашение об автоматическом обмене

финансовой информацией в налоговых целях (MCAA)

31 декабря

Окончание grace period

Год начала международного

автоматического обмена информаций в рамках

международных обязательств РФ

31 мая

Предоставление отчетности в отношении новых

клиентов и существующих клиентов-физических лиц

© 2018 ООО «Делойт Консалтинг» 14Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Соотношение с CRSПроект Постановления

Дополнительные требования и возможности, которые могут быть предусмотрены локальным законодательством

Наличие в проекте Постановления

Необходимость подачи «нулевой» отчетности

Возможность осуществления третьими лицами запроса информации у клиентов, ее анализа и проверки

Возможность включения в определение существующих договоров новых договоров, заключаемых существующими клиентами, при выполнении определенных условий

Возможность применения порогового значения в 250 тыс. долл. США для существующих договоров юридических лиц

Возможность применения теста адреса места жительства в отношении существующих договоров с физическими лицами, по которым остаток средств на счете или сумма договора не превышает 1 млн долл. США (на агрегированной основе)

Формулировки проекта Постановления в части определения признаков клиентов, осуществляющих активную деятельность, отличаются от формулировок, приведенных в самом Стандарте

Отсутствие в российском законодательстве понятия «стартап»

Понятие «холдинговая компания», используемое в российском законодательстве, является узкоспециальным и не может применяться для целей правоотношений, возникающих в рамках исполнения требований CRS

© 2018 ООО «Делойт Консалтинг» 15Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Вопросы

Как понять, что организация или структура без образования юридического лица является ОФР и должна осуществлять процедуры идентификации и предоставления отчетности?

Как понять, что клиент является ОФР и в отношении него может не требоваться предоставление информации?

Как определить является ли иностранная организация или структура без образования юридического лица ОФР, в частности в отношении организаций, зарегистрированных в юрисдикции, не включенной в список государств (территорий), с которыми Российская Федерация активировала автоматический обмен финансовой информацией в налоговых целях?

Отличия от 173-ФЗОрганизации финансового рынка

173-ФЗ

• Закрытый перечень ОФР, состоящий исключительно из организаций

• В качестве ОФР не перечислены управляющие товарищи инвестиционного товарищества и центральный контрагент

Статья 142.1 НК РФ

• Открытый перечень

• Тест «деятельности»: отнесение тех или иных организаций к ОФР зависит от деятельности, которую они осуществляет

• К ОФР могут также относиться структуры без образования юридического лица

Перечень ОФР

Спорные моменты, которые могут возникать на практике: относится ли наследственный фонд к ОФР? Выгодоприобретателей можно признать клиентами или клиентом является наследодатель?

© 2018 ООО «Делойт Консалтинг» 16Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Сроки идентификации (в соответствии с проектом Постановления Правительства РФ)

Сроки идентификации

Существующие договоры с физическими лицами Сроки присвоения CRS статусов

Договоры с клиентами, являющимися владельцами «крупных» счетов (более 1 млн долларов США на дату вступления в силу Постановления Правительства) 31 июля 2018 года

Договоры с клиентами, остаток средств или сумма договора которых равна или менее 1 млн долларов США

В течение одного года следующего за отчетным периодом (до 31 декабря

2018 года)

Существующие договоры с юридическими лицами

Договоры с клиентами, являющимися владельцами счетов, остаток средств или сумма договора по которым более 250 тыс. долларов США

31 июля 2018 года

Договоры с клиентами, остаток средств или сумма договора которых равна или менее 250 тыс. долларов США*

В течение двух лет следующих за отчетным периодом (31 декабря 2019

года)

Договоры с клиентами, по которым на дату вступления в силу Постановления, остаток средств или сумма по договору не превышала 250 тыс. долларов США, однако превысила данный порог в течение любого последующего периода

В течение одного года следующего за отчетным периодом, в котором порог в

250 тыс. долларов США был превышен

* В отношении существующих договоров с клиентами – юридическими лицами остаток средств или сумма договора которых равна или менее 250 тыс. долларов США может применяться исключение: ОФР вправе не анализировать и не предоставлять информацию в отношении таких клиентов.

© 2018 ООО «Делойт Консалтинг» 17Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Проблемы, с которыми могут столкнуться финансовые институты, в связи с исполнением требований CRS

В чем сложности?

«Дата среза»

Применяется процедура идентификации, аналогичная применяемой в отношении существующих договоров (т. е. не обязательно запрашивать форму самосертификации)

• Данное правило не применяется в тех случаях, когда требуются дополнительные документы в рамках ПОД/ФТ;

• Вопрос: если предоставление дополнительных документов требуется в рамках иных отраслей законодательства?

Существующие договоры

Заключенные с клиентами до даты вступления в силу (?) Положения (основная часть проекта Постановления)

Новые договоры, приравненные к существующим

Новый договор с клиентом, с которым есть существующий договор, если при заключении нового договора не требуется предоставление дополнительных документов или информации в соответствии с законодательством о ПОД/ФТ

Договоры, которые заключены или будут заключены начиная с даты вступления в силу (?) Положения

Новые договоры

© 2018 ООО «Делойт Консалтинг» 18Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Договор, предусматривающий оказание финансовой услугиСостав финансовой информации

Незакрытый перечень договоров

• Договор банковского счета (вклада); • Договор добровольного страхования жизни;• Договор о брокерском обслуживании;• Договор доверительного управления (в том числе договор

доверительного управления паевым инвестиционным фондом, присоединение к которому осуществляется путем приобретения инвестиционных паев паевого инвестиционного фонда);

• Договор депозитарного обслуживания;• Пенсионный договор;• Договор с центральным контрагентом об оказании финансовых

услуг;• Договор инвестиционного товарищества;• Иной договор, в рамках которого организация финансового

рынка принимает от клиентов денежные средства или иные финансовые активы для хранения, управления, инвестирования и (или) осуществления иных сделок в интересах клиента либо прямо или косвенно за счет клиента

Договоры, подпадающие под исключение

• Договоры обязательного пенсионного страхования;• Договоры банковского вклада, открываемые для получения

компенсационных выплат по вкладам, действовавшим на 20.06.1991;

• Определенные договоры страхования жизни на случай смерти, договоры страхования на случай утраты трудоспособности и иные договоры;

• Определенные договоры счета эскроу;• Договоры банковского счета, заключаемые с головным

исполнителем, исполнителем для осуществления расчетов по государственному оборонному заказу;

• Договоры банковского счета, открываемого для учета средств материнского капитала;

• Договоры банковского счета для целей организации, подготовки и проведения выборов, референдумов, обеспечение деятельности избирательных комиссий и др.

Вопросы

• Что делать, например, со счетами, не предназначенными для учета прав на ценные бумаги?• Что делать со счетами, которые открываются для учета вариационной маржи в рамках требований об

обязательном маржировании?• Деривативы относятся к договорам об оказании финансовых услуг?

© 2018 ООО «Делойт Консалтинг» 19Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Обязанности ОФР

Согласно 340-ФЗ клиенты обязаны представлять в ОФР запрашиваемую информацию в отношении самих себя, выгодоприобретателей и (или) лиц, прямо или косвенно их контролирующих.

При непредставлении ОФР вправе:• отказать в совершении

операций;• расторгнуть договор.

Мероприятия, связанные с присвоением статуса клиенту

Анализ информации: способы анализа зависят от категории клиента, остатка средств на счете клиента или суммы договора

Хранение информации о действиях, предпринятых для установления связи клиента с иностранной юрисдикцией, и документов, на основании которых ОФР присвоила клиенту

статус налогового резидента иностранной юрисдикции, в течение 5 лет

Требования к процедуре «дью дилидженс» варьируются в зависимости от различных типов счетов, указанных на схеме ниже: Дью дилидженс

Существующиесчета физических

лиц

Новые счета физических лиц

Существующиесчета юридических лиц

Новыесчета юридических лиц

Запрос информации у клиентов / обработка имеющихся данных

• Присвоение статусов;• Подготовка и направление отчетности

© 2018 ООО «Делойт Консалтинг» 20Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Что делать, если клиенты не предоставляют информацию или предоставляют неполную / недостоверную информацию?

Запрос информации

ОФР вправе:• отказаться от заключения нового договора;• отказаться от совершения операций,

осуществляемых в пользу или по поручениюклиента по существующему договору;

• расторгнуть в одностороннем порядкесуществующий договор в порядке, предусмотренном законодательством РФ

«Перекладывание» штрафов, связанных с нарушением ОФР порядка установления налогового резидентства клиентов, на самих клиентов посредством: • включения в договоры с клиентами

определенных условий (в качестве заверений об обстоятельствах в рамках ст.431.2 ГК РФ);

• условия о возмещении потерь (ст.406.1 ГК РФ)

Альтернативные варианты

© 2018 ООО «Делойт Консалтинг» 21Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Состав информации, передаваемой ОФР в ФНС России

Информация о договоре/счете:• Номер и дата • Вид и валюта• Остаток средств на счете или

сумма договора (с учетом особенностей для отдельных видов счетов и договоров)

• Сумма доходов по счету/договору за отчетный период

Информация о клиенте –физическом лице:• ФИО• Дата и место рождения• Адрес места жительства

(регистрации) или места пребывания

• Юрисдикция налогового резидентства

• Иностранный ИНН (аналог)

Информация в отношении ОФР:• Наименование • ОГРН• ИНН• Контактные данные лица,

уполномоченного представлять сведения от имени ОФР

• Отчетный период

Информация о клиенте –юридическом лице или структуре без образования юридического лица:• Наименование• Адрес в стране регистрации• Юрисдикция налогового

резидентства• Иностранный ИНН (аналог)

© 2018 ООО «Делойт Консалтинг» 22Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Порядок предоставления информацииОбязанности организаций финансового рынка

Клиент – пассивная НФО

Договор, предусматривающий оказание финансовой

услуги

Лица, прямо или косвенно

контролирующие клиента

Отношения контроля (доля владения или иные

основания)

Информация предоставляется независимо от того, что непосредственный клиент –пассивная НФО является российским налоговым резидентом.

При этом информация может подаваться и в отношении самой пассивной НФО, если пассивная НФО является налоговым резидентом иностранной юрисдикции.

Лица, прямо или косвенно

контролирующие выгодоприобретателя

Отношения контроля

Выгодоприобретатель

Агентирование / поручение

и др. Информация предоставляется в отношении выгодоприобретателя и прямо или косвенно контролирующего лица

Информация предоставляется как в отношении лиц, являющихся иностранными налоговыми резидентами, так и в отношении лиц, не являющихся резидентами ни в одном государстве

Организация финансового

рынка

Организация финансового

рынка

Клиент

Договор, предусматривающий оказание финансовой

услуги

© 2018 ООО «Делойт Консалтинг» 23Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Порядок предоставления информацииОбязанности организации финансового рынка

Организация финансового

рынка

Договор, предусматривающий оказание финансовой услуги с несколькими

клиентами

КлиентыИнформация предоставляется в полном объеме в отношении каждого лица – резидента иностранного государства или не являющегося резидентом ни в одном государстве.

Практический пример: данное правило распространяется на любые совместные банковские счета, независимо от того, что договором может быть установлена непропорциональность

Организация финансового

рынка

Договор, предусматривающий оказание финансовой

услуги

Клиент – налоговый резидент в нескольких иностранных

юрисдикциях

Информация предоставляется отдельно по каждой юрисдикции, в которой клиент является налоговым резидентом

© 2018 ООО «Делойт Консалтинг» 24Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Порядок предоставления информации Обязанности организации финансового рынка

Существующий договор

Информация

Отсутствует возможность получения необходимой информации

ОФР сообщает о таком договоре как о незадокументированномдоговоре, в течение каждого последующего года, пока статус такого договора не будет изменен, в связи с появлением у ОФР новой информации

Незадокументированный договор «Спящий» договор

Организация финансового рынка

Клиент

Существующий договор

• В течение трех лет: клиентом не осуществлялись (инициировались) операции по такому договору или любому другому договору в ОФР;

• В течение шести лет: клиент не связывался с ОФР в отношении такого договора или любого другого договора в ОФР;

• В течение шести лет (для договоров добровольного страхования жизни): ОФР не связывалась с клиентом в отношении такого договора или любого другого договора этого клиента в ОФР

Организация финансового рынка

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Классификатор CRS Автоматическое определение и проверка CRS-статуса

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

Докладчик

Левон Айрапетян, Ведущий консультант Группы по предоставлению услуг компаниям сектора ценных бумаг, банковского сектора и страхования компании «Делойт», СНГ

Контактные данные:Tel: + 7 (495) 787 06 00ext. 1034layrapetyan@deloitte.ru

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 27

Классификатор CRS – решение для установления и проверки CRS-статуса

Классификатор CRS – это автоматизированный инструмент, разработанный специалистами «Делойт», который автоматически определяет статус юридического лица (или структуры без образования юридического лица) для целей CRS после ввода пользователем запрашиваемых данных

Юридическим лицам и их бенефициарам (вне зависимости от вида их деятельности) и структурам без образования юридического лица

Кому и для чего нужен Классификатор CRS?

1

2

Для заполнения форм самосертификации и обоснования CRS-статуса в рамках запросов финансовых институтов

Для установления необходимости раскрывать бенефициаров в соответствии с требованиями CRS

Финансовым институтам

Одно решение

1

2

Для предоставления своим клиентам возможности самоклассификации в целях CRS

Для проверки правильности статуса, указанного клиентом в предоставленной форме самосертификации

Классификатор CRS доступен по ссылке: https://www2.deloitte.com/

Сертификация сотрудника, ответственного за соблюдение требований FATCAОсобенности процесса и проверка внедренных FATCA-процедур

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 29

Докладчики

Александр Синицын, руководитель Группы по предоставлению услуг компаниям сектора ценных бумаг, банковского сектора и страхования Департамента консультирования по налогообложению и праву компании «Делойт», СНГ

Дмитрий Иванов, ведущий консультант Группы по предоставлению услуг компаниям сектора ценных бумаг, банковского сектора и страхования компании «Делойт», СНГ

Контактные данные:Tel: + 7 (495) 787 06 00ext. 2099asinitsyn@deloitte.ru

Контактные данные:Tel: + 7 (495) 787 06 00ext. 1169dmivanov@deloitte.ru

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 30

Основные термины и определенияСертификация ответственного сотрудника по FATCA

Квалификационная сертификация (Qualified certification) – сертификация, подготавливаемая RO в случае выявления невыполнения обязательств или существенного нарушения

Соглашение об участвующем FFI (FFI Agreement) – соглашение, заключенное между IRS и российским финансовым институтом для участия в FATCA

Сертификация в отношении эффективности внутреннего контроля (Certification of effective internal controls) – сертификация, подготавливаемая RO в случае выполнения требований FATCA

Material failures – существенные нарушения

FATCA review – проверка внедренных FATCA-процедур

Event of default – невыполнение обязательств

Ответственный сотрудник (Responsible officer, RO) – сотрудник участвующего FFI, обладающий полномочиями по выполнению требований FATCA, в т.ч. по периодическому подтверждению выполнения требований FFI Agreement

IRS (Internal Revenue Service) –Налоговая служба США

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 31

Историческая справкаСертификация ответственного сотрудника по FATCA

2014 2016

1 июля 2014 г.Вступление в силу

FATCA

20 января 2016 г.IRS выпускает Notice 2016-08, в котором пересматривает срокипервичной сертификации RO

30 декабря 2016Выпуск обновленного FFI

Agreement, устанавливающего сроки предоставления

сертификаций

1 июля 2018 г.Предоставление сертификации

за первый период

2019

30 июня 2014 г.Effective date of the

FFI agreement

2018

Первый период сертификации

Текущий момент времени

Второй периодсертификации

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 32

• В соответствии с требованиями FATCA, до 1 июля 2018 года RO необходимо будет сертифицировать, что:

‒ проверка владельцев «крупных» счетов была завершена в срок до 30 июня 2015 года; процедуры по идентификации и документированию владельцев всех остальных существующих счетов, были завершены в срок до 30 июня 2016 года;

‒ Начиная с 6 августа 2011 года финансовый институт не содействовал в уклонении владельцев счетов (формально или неформально) от выполнения требований FATCA (anti-avoidance).

Треб

ова

ния

Сертификация в отношении эффективности внутренних

контролей

Состав сертификацийСертификация ответственного сотрудника по FATCA

Первичная сертификация Периодическая сертификация соответствия

Ответственный сотрудник

Участвующий FFI

Квалифицированная сертификация (сертификация с

оговорками)

Все хорошо

В целом все хорошо, но …

(или все плохо)

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 33

Первичная сертификация: что необходимо сертифицировать? Сертификация ответственного сотрудника по FATCA

Сер

тиф

икац

ия

Осу

ществ

лен

ие

пр

оц

ед

ур

«Крупные» счета Остальные счета «Отказники»

RO

Клиенты Клиентскиеменеджеры

Разумное исследование(Reasonable inquiry)

Примеры недобросовестных практик:• Дробление счета на отдельные «небольшие» счета с целью

избежания классификации клиента в качестве владельца «крупного» счета;

• Проведение операций по закрытию, переводов и снятий денежных средств со счетов в целях избежания предоставления отчетности;

• Манипулирование объемом остатков на счетах клиентов для избежания достижения пороговых значений;

• Искажение признаков лица со статусом налогоплательщика США (US indicia) из учетной записи владельца счета.

Отсутствие практик по содействию клиентам в уклонении от выполнения требований FATCA

Завершение процедур идентификациисуществующих владельцев счетов

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 34

Периодическая сертификация соответствия: порядок действийСертификация ответственного сотрудника по FATCA

Проведение сертификации по соответствию требованиям FATCA

1

Выявлены существенные нарушения

2Существенных нарушений не выявлено?

2

Выявленные нарушения были устранены?

3

Квалифицированная сертификация

Сертификация в отношении эффективности внутренних контролей

Да

Нет

Корректировочныемеры

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 35

Существенные нарушения (material failures) Сертификация ответственного сотрудника по FATCA

Существенные нарушения – это нарушения участвующими FFI требований FFI Agreement, при условии, что нарушение является результатом умышленных действий со стороны одного или нескольких сотрудников участвующего FFI с целью уклонения от

выполнения требований, установленных FFI Agreement или ошибки, связанной с невыполнением участвующим FFI обязательств по внедрению мер внутренних контролей, достаточных для выполнения требований FFI Agreement, например:

Умышленное или систематическое невыполнение участвующим FFI требований в отношении предоставления отчетности по счетам США, удержания налога со «сквозных» платежей (passthru payments), депонирования удержанных налогов или предоставления достоверных сведений об «отказниках» или о получателях доходов, являющихся неучаствующими FFI

Уголовная или административная ответственность, наложенная на участвующий FFI (или его любой филиал) регулирующим органом или иным государственным органом или агентством, осуществляющим надзор за соблюдением участвующими FFI ПОД/ФТ процедур, в связи с неспособностью корректной идентификации владельца счета в соответствии с ПОД/ФТ процедурами

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 36

Примеры невыполнения обязательств (event of default)Сертификация ответственного сотрудника по FATCA

Невыполнение обязательств по своевременному применению мер по устранению существенных нарушений после составления квалифицированной сертификации

09

Невыполнение обязанности по своевременному предоставлению первичной или периодической сертификации

Невыполнение обязательств по получению согласия на передачу отчетности в отношении владельца счета США в Налоговую службу США или, в противном случае, невыполнение обязательств по закрытию или переводу таких счетов

01 05

Составление неправильных заявлений для возврата излишне удержанного налога в рамках процедур коллективного возврата излишне удержанного налога

Невыполнение обязательств по значительному сокращению количества владельцев счетов или получателей платежей, которые признаются «отказниками» или неучаствующими FFI, по прошествии определенного периода времени

02 06

Неисполнение обязательств по предоставлению дополнительной информации по запросу Налоговой службы США, составление сфальсифицированной отчетности или искажение каких-либо существенных фактов, направляемых в Налоговую службу США

Невыполнение обязательств по удержанию по счетам, владельцами которых являются «отказники» или неучаствующие FFI, в случаях, когда положениями законодательств иностранных юрисдикций запрещено удержание налога по таким счетам

03 07

Невыполнение обязательств по разработке и поддержанию комплаенс-программы для выполнения требований, установленных FFI Agreement, или для проведения периодических проверок в отношении соблюдения участвующими FFI таких требований

04 08Неисполнение обязательств по информированию Налоговой службы США об изменении в обстоятельствах в течение 90 дней

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 37

Периодическая сертификация: что необходимо сертифицировать? Сертификация ответственного сотрудника по FATCA

Существенные нарушения:• Выявлены, не удалось устранить на момент

сертификации,• Надлежащие меры по устранению будут

приняты.

Случаи невыполнения обязательств:• Выявлены.

Обязательства будут выполнены:• Удержание,• Отчетность,• Депонирование суммы налога.

Информация по запросу в случае Notice of default будет предоставлена IRS

= Квалифицированная сертификация

Сертификация в отношении эффективностивнутренних контролей

Комплаенс программа:

• Политики;• Процедуры;• Процессы

Требования FFI Agreement:

• Идентификация;• Мониторинг;• Отчетность;• Удержание.

3FATCA review – раз в года1

Комплаенс программа:• Разработана,• Внедрена,• Действует на дату сертификации,• Прошла периодическую проверку.

Существенные нарушения:• Отсутствуютили• Были устранены и приняты меры по пресечению их

возникновения в будущем, обязательства выполнены (удержание, отчетность, депонирование)

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 38

Проверка Налоговой службой США внедренных FATCA-процедурСертификация ответственного сотрудника по FATCA

Запрос дополнительной информации

Налоговая служба США

Отчетность по форме 1042-S

Результаты сертификации

Иная информация

Отчетность по форме

8966

01

02Описание или копию политик и процедур участвующего FFI для целей выполнения требований FFI Agreement

Описание процедур участвующего FFI для целей проведения периодических проверок

04

03Копии письменных отчетов, документирующих результаты периодических проверок для оценки достаточности комплаенс-программы участвующего FFI и проверки такой комплаенс-программы

Результаты выполнения специальных процедур проверки лицом (включая внешнего аудитора или независимого консультанта), которое Налоговая служба США рассматривает в качестве компетентного лица для выполнения таких процедур

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 39

FATCA gross proceeds К чему необходимо подготовиться до 2019 года?

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 40

Вступили в силу положения об удержании 30% налога с FDAP дохода от источника в США, выплачиваемых

в пользу NPFFI и «отказников»

Вступают в силу требования по удержанию 30% налога с gross

proceeds

Транзитные платежи?

Налогообложение дохода от реализации имуществаFATCA gross proceeds

2014 2019

Gross proceeds – любые доходы, полученные от продажи, операций обмена или в связи с иным отчуждением (реализацией,

погашением) имущества, в отношении которых требуется признание прибыли или убытка, независимо от того, является ли владелец такого имущества иностранным лицом, на которое не распространяются требования федерального законодательства США о подоходном налогообложении в отношении доходов от

продажи, операций обмена или иного отчуждения.

Понятие «gross proceeds» применяется к продаже, операциям обмена и иного отчуждения (реализации, погашения) имущества,

которое может генерировать процентный или дивидендный доход, признаваемый FDAP-доходом от источника в США (U.S.

source FDAP income).

1 января 1 июля

FFI обязаны обеспечить готовность выполнения

требований FATCA в отношении удержания налога с gross proceeds

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 41

FFI, осуществляющий операции, связанные с куплей/продажей ценных

бумаг эмитентов США

Для кого актуально на практике?FATCA gross proceeds

Ценные бумаги США

Погашение ценных бумаг

• Банк;• Брокер;• Инвестиционная компания;• Депозитарий;• и т.д.

Клиент/Контрагент:

• “Не участвующий” финансовый институт (NPFFI);

• Клиент – отказник (recalcitrant).

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 42

Разработка схемы взаимодействия с клиентами, включая анализ необходимости внедрения инвестиционных ограничений в рамках определенных продуктов, ограничений или изменений в договоры с клиентами и/или в условия обслуживания клиентов

Возможность отсутствия вышестоящего налогового агента

Определение подхода к процедуре удержания налога с учетом текущих ограничений российского законодательства

Выявление инструментов, транзакций и продуктов, подпадающих под влияние данных требований

Понимание требований по представлению отчетности по выплатам, подлежащим удержанию налога

Основные сложностиFATCA gross proceeds

05

03

02

01

04

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 43

Пример 1 – частичное погашение (redemption) американских ценных бумаг эмитентом

FATCA gross proceeds

Владелец ценных бумаг

Эмитент США

Депозитарий

FFI

Нал

ого

вы

е а

ген

ты

gross proceeds

Цепочка посредников

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 44

Пример 2 – реализация американских ценных бумагFATCA gross proceeds

продажа американских ценных бумагgross proceeds

FFI А FFI Б

Клиент(владелец американских ценных бумаг)

U.S.

Европейское законодательство по защите персональных данных (GDPR): требования и применимость к российским финансовым институтам Александр Тюльканов, Наталья Яковлева16 марта 2018 года

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 46

Докладчики

Александр Тюльканов, Старший менеджер Группы по оказанию юридических услуг для технологических проектов «Делойт», СНГ

Наталья Яковлева, Старший консультант Группы по оказанию юридических услуг для технологических проектов «Делойт», СНГ

Контактные данные:Tel: + 7 (495) 787 06 00ext. 5278atyulkanov@deloitte.ru

Контактные данные:Tel: + 7 (495) 787 06 00ext. 1421nyakovleva@Deloitte.ru

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 47

Территориальное действие GDPR

Потенциальное влияние GDPR на российские финансовые институты

Основные обязанности компаний при обработке персональных данных

Особенности трансграничной передачи данных в Россию

Последствия несоблюдения требований GDPR

Меры для соблюдения требований

Какие вопросы обсудим сегодня?

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 48

Территориальная применимость GDPR

Обработка персональных данных в контексте деятельности учреждения в ЕС

Обработка данных субъектов, находящихся в ЕС, когда оператор (контролёр) или обработчик не учреждены в ЕС и обработка связана с:

предложением товаров и услуг, даже если не требуется их оплата

мониторингом поведения физических лиц, находящихся в ЕС

Другие страныСтраны Европейского союза

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 49

• Предлагает ли компания (в том числе бесплатно) работы, услуги или товары физическим лицам, находящимся в ЕС?

• Использует ли компания в публичной коммуникации, в том числе на своем сайте, материалы на языках стран ЕС?

• Использует ли компания доменное имя в доменной зоне ЕС или

какой-либо из его стран?

• Использует ли компания целенаправленную рекламу в отношении физических лиц, находящихся в ЕС ?

• Упоминаются ли в качестве клиентов компании физические лица, находящиеся в ЕС (в маркетинговых материалах, на сайте и др.)?

Как определить, применяется ли GDPR к российскому юридическому лицу?

• Данные, обрабатываемые компанией, позволяют установить или спрогнозировать какие-либо аспекты поведения физических лиц на территории ЕС, например, их интересы, увлечения, опыт работы, состояние здоровья, потребительские предпочтения?

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 50

Виды мониторинга субъектов персональных данных онлайн

Анализ тепловых карт и метрик

Владелец сайта может записывать действия пользователей, выявляя сценарии использования.

Анализ посещаемости

Счётчики на сайтах предлагают информацию о демографии аудитории, аналогичную информации в рекламных сетях.

Информация о переходах по страницам

Владелец сайта может собирать данные о переходах с сайта, а также о внешних источниках трафика.

Сбор данных рекламными сетями

Рекламные сети подбирают рекламу, анализируя пол, возраст, локацию, язык, устройство и интересы.

Сбор данных социальными сетями

Кнопки «поделиться» отслеживают пользователей соцсетей, воссоздавая историю посещений сайтов.

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 51

Влияние GDPR на российские финансовые институты

Использование банковских

продуктов на территории ЕС

Сбор информации для противодействия

мошенничеству

Проверка кредитоспособности

клиентов

Выполнение требований

закона

Предложение банковских продуктов

для граждан РФ, находящихся в ЕС

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 52

обеспечивать определенный уровень защиты персональных данных

уведомить в течение 72 часов органы защиты персональных данных об утечке данных и в некоторых случаях – субъектов персональных данных

постоянно вести реестр всех процессов обработки персональных данных

проводить оценки последствий для защиты данных, чтобы спрогнозировать, как реализуемые проекты скажутся на конфиденциальности данных, и реализовывать необходимые меры по снижению рисков

обеспечить соблюдение новых прав субъектов персональных данных: право на удаление и исправление данных, право на переносимость данных

Обязанности компаний

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 53

Обязанность назначить представителя в ЕС

Компании, не имеющие учреждения в ЕС, должны в письменной форме назначить представителя в Евросоюзе.

NB! Однако, если компания не осуществляет массовую обработку персональных данных и не обрабатывает персональные данные особых категорий, то в таком случае можно не назначать представителя.

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 54

Передача данных в Россию

Адекватный уровень защиты персональных данных может быть подтвержден несколькими способами:

• путем согласования обязательных корпоративных правил;

• путем включения специальных условий в договоры между компаниями;

• путем утверждения кодексов поведения и сертификатов.

Передача персональных данных из стран Европейского союза на территорию России возможна только при соблюдении определенных условий:

• принятие мер по обеспечению адекватного уровня защиты переданных данных; или

• передача данных на основании существующих исключений.

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 55

Обязательные корпоративные правила

После одобрения обязательных корпоративных правил персональные данные возможно передавать на территорию России без дополнительного согласования со стороны компетентного органа.

Обязательные правила должны включать нормы, подтверждающие адекватный уровень защиты персональных данных, а также процессуальные нормы, обеспечивающие возможность эффективной коммуникации субъектов персональных данных и операторов персональных данных.

Трансграничная передача персональных данных в рамках одной мультинациональной корпорациивозможна на основании обязательных корпоративных правил (“binding corporate rules”).

Обязательные корпоративные правила должны быть одобрены органом по надзору за соблюдением законодательства о защите персональных данных на территории Европейского союза.

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 56

Исключения, разрешающие передачу персональных данных на территорию России

Персональные данные могут передаваться на территорию России, даже если надлежащий уровень защиты не обеспечивается, в том числе если:

• субъект персональных данных дает согласие на такую передачу;

• между компанией и субъектом персональных данных заключается договор, во исполнение которого необходимо передать персональные данные.

NB! Исключения рекомендуется использовать только для передачи персональных данных на нерегулярной основе.

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 57

Последствия несоблюдения требований GDPR

Проведение расследования

Предписание

Штраф

Иск от субъекта персональных данных

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 58

Размеры некоторых штрафов

млн евро

Неназначение представителя в Евросоюзе

Нарушение требований по трансграничной передаче данных

10 2%от оборота млн евро

20 4%от оборота

Новые вызовы в сфере комплаенс:CRS, развитие FATCA и GDPR

© 2018 ООО «Делойт Консалтинг» 59

Определить, применяется ли GDPR

Провести аудит персональных данных и понять, какие данные обрабатываются в компании и где они хранятся

Подготовить инфраструктуру компании для защиты персональных данных в соответствии с требованиями GDPR

Пересмотреть внутренние процессы компании для обеспечения соблюдения прав субъектов персональных данных

Хранить необходимую информацию о процессах обработки персональных данных

Какие меры предпринять?

deloitte.ruО «Делойте»

Наименование «Делойт» относится к одному либо любому количеству юридических лиц, включая их аффилированные лица, совместно входящих в «ДелойтТуш Томацу Лимитед», частную компанию с ответственностью участников в гарантированных ими пределах, зарегистрированную в соответствии с законодательством Великобритании (далее — ДТТЛ). Каждое такое юридическое лицо является самостоятельным и независимым юридическим лицом. ДТТЛ (также именуемая «международная сеть «Делойт») не предоставляет услуги клиентам напрямую. Подробная информация о юридической структуре ДТТЛ и входящих в нее юридических лиц представлена на сайте www.deloitte.com/about.

«Делойт» предоставляет услуги в области аудита, консалтинга, финансового консультирования, управления рисками, налогообложения и иные услуги государственным и частным компаниям, работающим в различных отраслях экономики. «Делойт» — международная сеть компаний, в число клиентов которой входят около четырехсот из пятисот крупнейших компаний мира по версии журнала Fortune. «Делойт» имеет многолетний опыт практической работы при обслуживании клиентов в любых сферах деятельности более чем в 150 странах мира и использует свои обширные отраслевые знания и опыт оказания высококачественных услуг для решения самых сложных бизнес-задач клиентов. Более 264 тысяч специалистов «Делойта» по всему миру привержены идеям достижения результатов, которыми мы можем гордиться. Для получения более подробной информации заходите на нашу страницу в Facebook, LinkedIn или Twitter.

Настоящее сообщение содержит информацию только общего характера. При этом ни компания «Делойт Туш Томацу Лимитед», ни входящие в нее юридические лица, ни их аффилированные лица (далее — «сеть «Делойт») не представляют посредством данного сообщения каких-либо консультаций или услуг профессионального характера. Прежде чем принять какое-либо решение или предпринять какие-либо действия, которые могут отразиться на вашем финансовом положении или состоянии дел, проконсультируйтесь с квалифицированным специалистом. Ни одно из юридических лиц, входящих в сеть «Делойт», не несет ответственности за какие-либо убытки, понесенные любым лицом, использующим настоящее сообщение.

© 2018 ООО «Делойт Консалтинг». Все права защищены.