مراجعة السوق

Demo

تقوم شركات Fintech بجمع كميات ضخمة من البيانات الشخصية (بما في ذلك بيانات KYC) والتحكم فيها ومعالجتها ، ونتيجة لذلك تخضع لقواعد خصوصية البيانات بموجب اللائحة العامة لحماية البيانات (GDPR) ، والتي لا تنطبق فقط على شركات التكنولوجيا المالية القائمة. في الاتحاد الأوروبي ، ولكن أيضًا للشركات التي تم إنشاؤها خارج الاتحاد الأوروبي إذا كان لديها عملاء في الاتحاد الأوروبي وتتم معالجة البيانات الشخصية للعملاء في سياق تقديم الخدمات لموضوعات البيانات هذه ، بغض النظر عما إذا كان الدفع مطلوبًا من البيانات موضوعات. أوضح مجلس حماية البيانات الأوروبي (EDPB) في توجيهه 3/2018 بشأن النطاق الإقليمي للائحة العامة لحماية البيانات ، المعتمد في 16 نوفمبر 2018 ، أن نية استهداف العملاء في الاتحاد الأوروبي هي المفتاح لتقييم ما إذا كانت الكيانات المنشأة خارج أراضي الاتحاد الأوروبي تخضع إلى اللائحة العامة لحماية البيانات.¹

في بعض الحالات ، قد تتطلب معالجة البيانات الشخصية موافقة العميل. لن يُسمح بعد الآن بحقول الموافقة المحددة مسبقًا أو إلغاء الاشتراك ، حيث يجب أن تكون الموافقة في شكل بيان أو إجراء إيجابي واضح. تضع اللائحة العامة لحماية البيانات (GDPR) التزامات مساءلة مرهقة على مراقبي البيانات فيما يتعلق بدليل الامتثال ، وهو ما يمثل نقلة نوعية رئيسية في نظام حماية البيانات. يتضمن ذلك إجراء تقييمات تأثير حماية البيانات لعمليات المعالجة عالية المخاطر (مثل تلك التي تنطوي على معالجة البيانات الشخصية التي يمكن استخدامها لارتكاب الاحتيال المالي) وتنفيذ حماية البيانات عن طريق التصميم وبشكل افتراضي.¹

تُستكمل قواعد حماية البيانات العامة هذه بقواعد السرية المصرفية ومكافحة غسل الأموال التي يتعين على شركات التكنولوجيا المالية الامتثال لها عند تقديم الخدمات لعملائها.¹

تنص قواعد السرية المصرفية على أنه لا يُسمح بالكشف عن البيانات الشخصية للعملاء المحمية بالسرية المصرفية (بما في ذلك التحويلات عبر الحدود) إلا بإذن مسبق من العميل أو إذا كان الإفصاح ضروريًا لتحقيق أحد الإجراءات التالية:

• الامتثال لالتزام قانوني يحد صراحةً من واجبات السرية هذه
• الامتثال لمتطلبات القضاء في الإجراءات الجنائية
• الامتثال للالتزام بالإفصاح عن المعلومات إلى BOP أو CMVM أو السلطات الضريبية عندما تتصرف هذه المنظمات وفقًا لسلطاتها ¹

في الماضي ، قضت هيئة حماية البيانات البرتغالية (CNPD) في قضية محددة بأن جميع البيانات الشخصية التي يعالجها البنك تخضع للسرية المصرفية.¹

فيما يتعلق بمعالجة بيانات العملاء لأغراض الإبلاغ عن مكافحة غسل الأموال ، فإن الكشف عن بيانات شخصية محددة ذات صلة يعتمد على الوفاء بالتزام قانوني ، وبالتالي ليست هناك حاجة للحصول على موافقة صاحب البيانات. نظرًا لأن مفهوم "إذن العميل" بموجب PSEMLF والإطار القانوني للمؤسسات المالية يختلف عن مفهوم "الموافقة" بموجب القانون العام لحماية البيانات ، فإن العديد من البنوك والمؤسسات المالية الأخرى تختار جمع أذونات العملاء للكشف عن معلومات السرية المصرفية في سياق الشروط والأحكام العامة للعميل.¹

جانب آخر مهم من معالجة البيانات في سياق أعمال التكنولوجيا المالية هو تحديد سمات العملاء وتجزئة الأعمال ، بالإضافة إلى اتخاذ القرار الآلي على أساس التوصيف. لا يُسمح بأي قرارات آلية تؤثر أو تؤثر بشكل كبير على موضوع البيانات ، استنادًا فقط إلى المعالجة الآلية للبيانات المصممة لتقييم جوانب شخصية معينة تتعلق به.¹

أدخلت اللائحة العامة لحماية البيانات (GDPR) أحكامًا جديدة لمعالجة المخاطر المرتبطة بالتوصيف واتخاذ القرارات المؤتمتة. في الأساس ، وفقًا للائحة العامة لحماية البيانات (GDPR) ، لا يمكن تنفيذ هذا النوع من اتخاذ القرار إلا إذا كان القرار ضروريًا لإبرام العقد أو تنفيذه ، أو مصرحًا به بموجب قانون الاتحاد الأوروبي أو قانون الدول الأعضاء المطبق على المتحكم ، أو في النهاية يستند إلى صريح وجوه الموافقة. في حالة تطبيق أحد هذه الأسباب ، يجب وضع تدابير أمنية إضافية ، بالإضافة إلى الكشف عن معلومات محددة حول اتخاذ القرار الفردي الآلي لموضوعات البيانات المتأثرة فيما يتعلق بالمنطق والمعنى والعواقب المقصودة. في كانون الثاني (يناير) 2020 ، رداً على رسالة من MEP Sophie in \ 't Veld بشأن الخوارزميات غير العادلة فيما يتعلق بما إذا كانت اللائحة العامة لحماية البيانات كافية لحماية موضوعات البيانات من اتخاذ القرار الآلي غير العادل ، أكد EDPB أن "المتحكمين ملزمون بالنظر في جميع الإمكانات المخاطر التي قد يخلقها استخدام أو إنشاء خوارزمية محددة لحقوق وحريات الأفراد ، وإذا لزم الأمر ، اتخاذ تدابير للقضاء على هذه المخاطر ".¹

هناك أيضًا قيود إضافية على استخدام فئات خاصة من البيانات (مثل البيانات الصحية أو بيانات القياسات الحيوية) لأي معالجة للبيانات الشخصية ، والتي قد تؤثر في النهاية على كيفية قيام شركات التكنولوجيا المالية بتنفيذ آليات قوية لمصادقة العملاء وفقًا لمعايير PSD II التنظيمية الفنية. ، حيث تتطلب المعايير الفنية التنظيمية استخدام البيانات البيومترية لمستخدمي خدمة الدفع في هذا السياق. حكمت CNPD باستمرار أن البيانات المالية هي بيانات حساسة بمعنى أنها تكشف عن جوانب الحياة الخاصة للفرد ، وبالتالي يجب حمايتها بموجب الدستور البرتغالي. نظرًا لأن البيانات المالية يتم التعامل معها أيضًا على أنها بيانات شخصية للغاية من قبل EDPB ، فقد يؤثر ذلك في النهاية على صرامة الإجراءات الفنية والتنظيمية التي يتخذها مراقبو البيانات والمعالجات لحماية البيانات ، فضلاً عن الحاجة إلى الخضوع للتحقق من البيانات. تقييم تأثير الحماية (DPIA) قبل معالجة البيانات. وبالتالي ، قد تؤدي معالجة البيانات المالية إلى نشوء الحاجة إلى DPIA وفقًا للائحة CNPD رقم 1/2018 ، والتي تسرد أنشطة المعالجة التي تندرج تحت قانون حماية البيانات الشخصية الإلزامي ، نظرًا لأن اللائحة تشير إلى معالجة بيانات طبيعة الشخصية. في أربع حالات من أصل تسعة.¹

دون الإخلال بما سبق ، دخل التشريع البرتغالي الذي ينفذ اللائحة العامة لحماية البيانات حيز التنفيذ في 8 أغسطس 2019. يُدخل القانون رقم 58/2019 بعض التعديلات والقيود الإضافية على القواعد المنصوص عليها في اللائحة العامة لحماية البيانات ، لا سيما فيما يتعلق بمعالجة البيانات الشخصية للأشخاص المتوفين. وفترات الاحتفاظ بالبيانات المعمول بها وموافقة القاصرين على معالجة البيانات. على وجه الخصوص ، ودون الإخلال بمبدأ تقييد الغرض من اللائحة العامة لحماية البيانات ، يسمح القانون رقم 58/2019 لمراقبي البيانات أو المعالجات بالاحتفاظ بالبيانات الشخصية حتى انتهاء أي فترات تقييد قانونية قد يحتاجون خلالها إلى استخدام البيانات من أجل إثبات الامتثال للالتزامات القانونية أو التعاقدية.¹

منصات التكنولوجيا المالية الأجنبية في السوق البرتغالية

Fintech في البرتغال

Fintech في بلدان أخرى

ملاحظات

1. https://thelawreviews.co.uk/title/the-financial-technology-law-review/portugal