Můžete se podívat na pravidla a předpisy v jiných jurisdikcích.
Fintech společnosti shromažďují, kontrolují a zpracovávají obrovské množství osobních údajů (včetně údajů KYC) a v důsledku toho podléhají pravidlům ochrany osobních údajů podle obecného nařízení o ochraně osobních údajů (GDPR), které se nevztahuje pouze na zavedené fintech společnosti. v EU, ale také společnostem usazeným mimo EU, pokud mají zákazníky v EU a zpracování osobních údajů zákazníků je prováděno v rámci nabízení služeb těmto subjektům údajů, bez ohledu na to, zda je z údajů vyžadována platba předmět. Evropský výbor pro ochranu osobních údajů (EDPB) ve svém Pokynu 3/2018 k územní působnosti GDPR, přijatém dne 16. listopadu 2018, objasnil, že záměr zaměřit se na zákazníky v EU je klíčový pro posouzení, zda subjekty usazené mimo území EU podléhají k GDPR.1
Některých případech může zpracování osobních údajů vyžadovat souhlas klienta. Předem označená pole souhlasu nebo odhlášení již nebudou povolena, protože souhlas musí mít formu prohlášení nebo jasného potvrzení. GDPR ukládá správcům údajů zatěžující povinnosti odpovědnosti ve vztahu k důkazům o shodě, což představuje zásadní změnu paradigmatu v režimu ochrany údajů. To zahrnuje provádění posouzení dopadu na ochranu údajů pro operace zpracování s vyšším rizikem (jako jsou ty, které zahrnují zpracování osobních údajů, které by mohly být použity ke spáchání finančních podvodů) a implementaci ochrany údajů již od návrhu a ve výchozím nastavení.1
Tato obecná pravidla ochrany údajů jsou doplněna o bankovní tajemství a pravidla AML, která budou muset fintech společnosti dodržovat při poskytování služeb svým zákazníkům.1
Pravidla bankovního tajemství stanoví, že zpřístupnění osobních údajů zákazníků chráněných bankovním tajemstvím (včetně přeshraničních převodů) je povoleno pouze s předchozím souhlasem zákazníka nebo pokud je zveřejnění nezbytné k dosažení některého z následujících úkonů:
Portugalský úřad pro ochranu osobních údajů (CNPD) v minulosti v konkrétním případě rozhodl, že veškeré osobní údaje zpracovávané bankou podléhají bankovnímu tajemství.1
Ohledem na zpracování údajů zákazníků pro účely hlášení AML je poskytnutí konkrétních relevantních osobních údajů založeno na splnění zákonné povinnosti a není tedy potřeba získávat souhlas subjektu údajů. Vzhledem k tomu, že koncept „svolení zákazníka“ podle PSEMLF a právního rámce finančních institucí se liší od konceptu „souhlasu“ podle GDPR, mnoho bank a dalších finančních institucí se rozhodlo shromažďovat zákaznická povolení pro zveřejnění informací o bankovním tajemství v kontextu jejich všeobecných obchodních podmínek klienta.1
Dalším důležitým aspektem zpracování dat v kontextu fintech podnikání je profilování zákazníků a segmentace podnikání a také automatizované rozhodování na základě profilování. Nejsou povolena žádná automatizovaná rozhodnutí, která ovlivňují nebo významně ovlivňují subjekt údajů, a to výhradně na základě automatizovaného zpracování údajů určeného k vyhodnocení určitých osobních aspektů, které se ho týkají.1
GDPR zavedlo nová ustanovení k řešení rizik spojených s profilováním a automatizovaným rozhodováním. V zásadě se podle GDPR může tento typ rozhodování uskutečnit pouze v případě, že je rozhodnutí buď nezbytné pro uzavření nebo plnění smlouvy, nebo je povoleno právem EU nebo členského státu, které se na správce vztahuje, nebo nakonec založené na výslovném souhlasné tváře. Pokud platí jeden z těchto důvodů, musí být zavedena další bezpečnostní opatření a také zpřístupnění konkrétních informací o automatizovaném individuálním rozhodování dotčeným subjektům údajů, pokud jde o logiku, význam a zamýšlené důsledky. V lednu 2020 v reakci na dopis poslankyně Evropského parlamentu Sophie in 't Veld o nespravedlivých algoritmech ohledně toho, zda je GDPR dostatečné k ochraně subjektů údajů před nespravedlivým automatizovaným rozhodováním, EDPB zdůraznil, že „správci mají povinnost zvážit všechny potenciální rizika, která by použití nebo vytvoření konkrétního algoritmu mohlo potenciálně vytvořit pro práva a svobody fyzických osob, a v případě potřeby přijmout opatření k odstranění těchto rizik.“1
Existují také další omezení týkající se používání zvláštních kategorií údajů (jako jsou zdravotní údaje nebo biometrické údaje) pro jakékoli zpracování osobních údajů, což může v konečném důsledku ovlivnit to, jak fintech společnosti implementují silné mechanismy autentizace zákazníků v souladu s regulačními technickými standardy PSD II. , neboť regulační technické normy vyžadují v této souvislosti používání biometrických údajů uživatelů platebních služeb. CNPD trvale zastává názor, že finanční údaje jsou citlivými údaji v tom smyslu, že odhalují aspekty soukromého života osoby, a proto musí být chráněny portugalskou ústavou. Vzhledem k tomu, že EDPB rovněž zachází s finančními údaji jako s vysoce osobními údaji, může to v konečném důsledku ovlivnit přísnost technických a organizačních opatření, která správci a zpracovatelé údajů přijímají na ochranu údajů, a také nutnost podstoupit ověření údajů. posouzení dopadu na ochranu (DPIA) před zpracováním údajů. Zpracování finančních údajů tak může vyvolat potřebu DPIA v souladu s Nařízením CNPD 1/2018, které uvádí činnosti zpracování, které spadají pod povinné DPIA, protože nařízení odkazuje na zpracování údajů čistě osobní povaha. ve čtyřech z devíti případů.1
Aniž je dotčeno výše uvedené, portugalská legislativa implementující GDPR vstoupila v platnost dne 8. srpna 2019. Zákon č. 58/2019 přináší některé další úpravy a omezení pravidel stanovených v GDPR, zejména pokud jde o zpracování osobních údajů zesnulých osob. , příslušné doby uchovávání údajů a souhlas nezletilých se zpracováním údajů. Zejména, a aniž by byla dotčena zásada omezení účelu GDPR, zákon č. 58/2019 umožňuje správcům údajů nebo zpracovatelům uchovávat osobní údaje až do uplynutí zákonných promlčecích lhůt, během nichž mohou potřebovat údaje použít k prokázat dodržování zákonných nebo smluvních povinností.1
Zahraniční fintech platformy na portugalském trhu
Pracujeme pro mezinárodní malé a střední podniky, start-upy a telekomunikační společnosti
Komplexní právní služby pro podnikatele v oblasti korporátního, daňového práva, kryptoměnové legislativy, investiční činnosti
Účast jako právník v investičních venture fondech, vedení M&A venture obchodů v oblasti IT, podpora iGamingu a obchodního majetku
