Можете да разгледате правилата и разпоредбите в други юрисдикции.
Финтех компаниите събират, контролират и обработват огромни количества лични данни (включително KYC данни) и в резултат на това са обект на правила за поверителност на данните съгласно Общия регламент за защита на данните (GDPR), който не се прилага само за установени финтех компании. в ЕС, но също и на компании, установени извън ЕС, ако имат клиенти в ЕС и обработването на лични данни на клиенти се извършва в контекста на предлагане на услуги на тези субекти на данни, независимо дали се изисква плащане от данните предмет. Европейският съвет за защита на данните (EDPB) изясни в своето Ръководство 3/2018 относно териториалния обхват на GDPR, прието на 16 ноември 2018 г., че намерението за насочване към клиенти в ЕС е ключово за оценката дали субектите, установени извън територията на ЕС, са обект на към GDPR.1
В някои случаи обработката на лични данни може да изисква съгласието на клиента. Предварително маркираните полета за съгласие или отказ вече няма да бъдат разрешени, тъй като съгласието трябва да бъде под формата на изявление или ясно потвърждаващо действие. GDPR налага тежки задължения за отчетност на администраторите на данни във връзка с доказателствата за съответствие, което представлява основна промяна на парадигмата в режима за защита на данните. Това включва извършване на оценки на въздействието върху защитата на данните за операции по обработка с по-висок риск (като тези, включващи обработка на лични данни, които могат да бъдат използвани за извършване на финансови измами) и прилагане на защита на данните по проект и по подразбиране.1
Тези общи правила за защита на данните се допълват от правилата за банкова тайна и AML, които финтех компаниите ще трябва да спазват, когато предоставят услуги на своите клиенти.1
Правилата за банкова тайна гласят, че разкриването на лични данни на клиенти, защитени от банкова тайна (включително трансгранични преводи), е разрешено само с предварителното разрешение на клиента или ако разкриването е необходимо за постигане на едно от следните действия:
В миналото португалският орган за защита на данните (CNPD) постанови в конкретен случай, че всички лични данни, обработвани от банка, са предмет на банкова тайна.1
По отношение на обработката на клиентски данни за целите на докладване на AML, разкриването на конкретни уместни лични данни се основава на изпълнение на правно задължение и следователно не е необходимо да се получава съгласието на субекта на данните. Тъй като концепцията за „разрешение на клиента“ съгласно PSEMLF и правната рамка на финансовите институции се различава от концепцията за „съгласие“ съгласно GDPR, много банки и други финансови институции избират да събират разрешения на клиенти за разкриване на информация за банкова тайна в контекста на техните общи условия на клиента.1
Друг важен аспект на обработката на данни в контекста на финтех бизнеса е профилирането на клиентите и бизнес сегментирането, както и автоматизираното вземане на решения въз основа на профилиране. Не се допускат автоматизирани решения, които засягат или значително засягат субекта на данните, базирани единствено на автоматизирана обработка на данни, предназначена за оценка на определени лични аспекти, засягащи него или нея.1
GDPR въведе нови разпоредби за справяне с рисковете, свързани с профилирането и автоматизираното вземане на решения. По принцип, съгласно GDPR, този тип вземане на решения може да се осъществи само ако решението е или необходимо за сключването или изпълнението на договора, или е разрешено от законодателството на ЕС или държавата членка, приложимо към администратора, или накрая се основава на изрично лица на съгласие. Ако е приложимо едно от тези основания, трябва да се въведат допълнителни мерки за сигурност, както и да се разкрие конкретна информация за автоматизирано индивидуално вземане на решения на засегнатите субекти на данни по отношение на логиката, значението и предвидените последствия. През януари 2020 г., в отговор на писмо от евродепутата Sophie in 't Veld относно несправедливите алгоритми по отношение на това дали GDPR е достатъчен за защита на субектите на данни от несправедливо автоматизирано вземане на решения, ЕКЗД подчерта, че „администраторите имат задължението да вземат предвид всички потенциални рискове, които използването или създаването на конкретен алгоритъм потенциално може да създаде за правата и свободите на лицата, и, ако е необходимо, да предприеме мерки за премахване на тези рискове.1
Съществуват и допълнителни ограничения за използването на специални категории данни (като здравни данни или биометрични данни) за обработка на лични данни, което в крайна сметка може да повлияе на начина, по който финтех компаниите прилагат силни механизми за удостоверяване на клиента в съответствие с регулаторните технически стандарти PSD II. , тъй като регулаторните технически стандарти изискват използването на биометрични данни на потребителите на платежни услуги в този контекст. CNPD последователно постановява, че финансовите данни са чувствителни данни в смисъл, че разкриват аспекти от личния живот на дадено лице и следователно трябва да бъдат защитени от португалската конституция. Тъй като финансовите данни също се третират като силно лични данни от ЕКЗД, това в крайна сметка може да повлияе на строгостта на техническите и организационни мерки, които администраторите и обработващите данни предприемат за защита на данните, както и на необходимостта от проверка на данните. оценка на въздействието върху защитата (DPIA) преди обработката на данните. По този начин обработката на финансови данни може да породи необходимост от DPIA в съответствие с Регламент 1/2018 на CNPD, който изброява дейностите по обработване, които попадат в обхвата на задължителния DPIA, тъй като регламентът се отнася до обработката на данни от чисто личен характер. в четири от девет случая.1
Без да се засяга гореизложеното, португалското законодателство за прилагане на GDPR влезе в сила на 8 август 2019 г. Закон № 58/2019 въвежда някои допълнителни корекции и ограничения на правилата, определени в GDPR, по-специално по отношение на обработката на лични данни на починали лица. , приложими периоди на съхранение на данни и съгласие на непълнолетни лица за обработка на данни. По-специално и без да се засяга принципът за ограничаване на целта на GDPR, Закон № 58/2019 позволява на администраторите на данни или обработващите лични данни да запазят лични данни до изтичането на всички законови давностни периоди, през които може да се наложи да използват данните, за да демонстрират спазване на законови или договорни задължения.1
Чужди финтех платформи на португалския пазар
Участие като адвокат в инвестиционни рискови фондове, провеждане на рискови сделки за M&A в областта на ИТ, поддръжка на iGaming и бизнес активи
Правна поддръжка на FinTech и Blockchain проекти
Работим за международни малки и средни предприятия, стартиращи фирми и телекомуникационни компании
