Du kan se på regler og bestemmelser i andre jurisdiktioner.
Fintech-virksomheder indsamler, kontrollerer og behandler enorme mængder af persondata (inklusive KYC-data) og er som følge heraf underlagt databeskyttelsesregler under den generelle databeskyttelsesforordning (GDPR), som ikke kun gælder for etablerede fintech-virksomheder. i EU, men også til virksomheder etableret uden for EU, hvis de har kunder i EU, og behandlingen af kunders personoplysninger udføres i forbindelse med at tilbyde tjenester til disse registrerede, uanset om der kræves betaling fra dataene emne. Det Europæiske Databeskyttelsesråd (EDPB) præciserede i sin vejledning 3/2018 om det territoriale anvendelsesområde for GDPR, vedtaget den 16. november 2018, at hensigten om at målrette kunder i EU er nøglen til at vurdere, om enheder etableret uden for EU's territorium er underlagt til GDPR.1
Nogle tilfælde kan behandling af personoplysninger kræve klientens samtykke. De forudmarkerede samtykke- eller fravalgsfelter vil ikke længere være tilladt, da samtykket skal være i form af en erklæring eller en klar bekræftende handling. GDPR pålægger dataansvarlige byrdefulde ansvarsforpligtelser i forhold til bevis for overholdelse, hvilket repræsenterer et stort paradigmeskift i databeskyttelsesregimet. Dette omfatter udførelse af databeskyttelseskonsekvensvurderinger for behandlinger med højere risiko (såsom dem, der involverer behandling af personoplysninger, der kan bruges til at begå økonomisk svig) og implementering af databeskyttelse ved design og som standard.1
Disse generelle databeskyttelsesregler suppleres af bankhemmelighed og AML-regler, som fintech-virksomheder skal overholde, når de leverer tjenester til deres kunder.1
Bankhemmelighedsreglerne siger, at videregivelse af personoplysninger om kunder, der er beskyttet af bankhemmelighed (herunder grænseoverskridende overførsler) kun er tilladt med kundens forudgående tilladelse, eller hvis videregivelse er nødvendig for at opnå en af følgende handlinger:
Tidligere afgjorde den portugisiske databeskyttelsesmyndighed (CNPD) i en konkret sag, at alle personoplysninger behandlet af en bank var underlagt bankhemmelighed.1
Med hensyn til behandling af kundedata til AML-indberetningsformål er videregivelsen af specifikke relevante personoplysninger baseret på opfyldelse af en juridisk forpligtelse, og der er derfor ikke behov for at indhente samtykke fra den registrerede. Da begrebet "kundetilladelse" under PSEMLF og de juridiske rammer for finansielle institutioner adskiller sig fra begrebet "samtykke" under GDPR, vælger mange banker og andre finansielle institutioner at indsamle kundetilladelser til videregivelse af oplysninger om bankhemmeligheder i konteksten af deres generelle vilkår og betingelser for kunden.1
Et andet vigtigt aspekt af databehandling i forbindelse med fintech-forretning er kundeprofilering og forretningssegmentering samt automatiseret beslutningstagning baseret på profilering. Ingen automatiske beslutninger er tilladt, der påvirker eller væsentligt påvirker den registrerede, udelukkende baseret på automatiseret databehandling designet til at evaluere visse personlige aspekter vedrørende ham eller hende.1
GDPR introducerede nye bestemmelser for at imødegå de risici, der er forbundet med profilering og automatiseret beslutningstagning. Grundlæggende kan denne type beslutningstagning ifølge GDPR kun finde sted, hvis beslutningen enten er nødvendig for indgåelse eller opfyldelse af kontrakten eller godkendt af EU- eller medlemsstatslovgivningen gældende for den registeransvarlige, eller endelig er baseret på eksplicit samtykke ansigter. Hvis en af disse grunde gør sig gældende, skal der indføres yderligere sikkerhedsforanstaltninger, samt videregivelse af specifik information om automatiseret individuel beslutningstagning til berørte registrerede vedrørende logik, mening og tilsigtede konsekvenser. I januar 2020, som svar på et brev fra MEP Sophie in 't Veld om urimelige algoritmer vedrørende, hvorvidt GDPR er tilstrækkelig til at beskytte de registrerede mod urimelig automatiseret beslutningstagning, understregede EDPB, at "kontrollanter har en forpligtelse til at overveje alle potentielle risici, som brugen eller skabelsen af en specifik algoritme potentielt kan skabe for enkeltpersoners rettigheder og friheder, og om nødvendigt træffe foranstaltninger til at eliminere disse risici."1
Der er også yderligere begrænsninger for brugen af særlige kategorier af data (såsom sundhedsdata eller biometriske data) til enhver behandling af personoplysninger, hvilket i sidste ende kan påvirke, hvordan fintech-virksomheder implementerer stærke kundeautentificeringsmekanismer i overensstemmelse med regulatoriske tekniske PSD II-standarder. , da reguleringsmæssige tekniske standarder kræver brug af biometriske data for betalingstjenestebrugere i denne sammenhæng. CNPD har konsekvent fastslået, at finansielle data er følsomme data i den forstand, at de afslører aspekter af en persons privatliv og derfor skal beskyttes af den portugisiske forfatning. Da finansielle data også behandles som meget personlige data af EDPB, kan dette i sidste ende påvirke strengheden af de tekniske og organisatoriske foranstaltninger, som dataansvarlige og databehandlere træffer for at beskytte data, samt behovet for at gennemgå dataverifikation. beskyttelseskonsekvensvurdering (DPIA) forud for databehandling. Behandlingen af finansielle data kan således give anledning til behov for en DPIA i henhold til CNPD-forordningen 1/2018, som opregner de behandlingsaktiviteter, der falder ind under den obligatoriske DPIA, eftersom forordningen henviser til behandlingen af data fra en ren personlig natur. i fire ud af ni tilfælde.1
Uden at det berører ovenstående trådte den portugisiske lovgivning, der implementerer GDPR, i kraft den 8. august 2019. Lov nr. 58/2019 indfører nogle yderligere justeringer og begrænsninger af reglerne i GDPR, især med hensyn til behandling af personoplysninger om afdøde personer. , gældende dataopbevaringsperioder og mindreåriges samtykke til databehandling. Især, og uden at det berører princippet om begrænsning af formålet i GDPR, tillader lov nr. 58/2019 dataansvarlige eller databehandlere at opbevare personoplysninger indtil udløbet af eventuelle lovbestemte forældelsesfrister, hvori de måtte have brug for at bruge dataene til at påvise overholdelse af juridiske eller kontraktlige forpligtelser.1
Udenlandske fintech-platforme på det portugisiske marked
Juridisk støtte til FinTech- og Blockchain-projekter
Vi arbejder for internationale små og mellemstore virksomheder, start-ups og teleselskaber
Omfattende juridiske tjenester til virksomheder om selskabsret, skatteret, lovgivning om kryptovaluta, investeringsaktiviteter