Markedsgennemgang

Demo

Bestemmelserne i den generelle databeskyttelsesforordning (GDPR) vedrørende behandling af personoplysninger (nu omdøbt til EU GDPR) er blevet slået sammen med den britiske version af GDPR (Data Protection Act 2018) til den britiske GDPR. Storbritannien er et af de mest forbundne lande i verden, og post-Brexit opretholdelse af datastrømme mellem Storbritannien og EU er fortsat en klar prioritet. Den 28. juni 2021 vedtog Europa-Kommissionen en beslutning om "tilstrækkelighed" for Storbritannien, hvilket betyder, at de fleste databeskyttelsesregler, der påvirker fintech før Brexit, forbliver de samme. Dette er dog underlagt løbende revision og under alle omstændigheder en opdatering hvert fjerde år. Hvis den britiske regering beslutter at ændre bestemmelserne i den britiske version af GDPR for at understøtte Storbritanniens nationale datastrategi, kan dette potentielt bringe den fortsatte gyldighed af beslutningen om tilstrækkelighed i fare.¹

Hvis EU ved udgangen af den fireårige periode beslutter ikke at forny tilstrækkelighedsbeslutningen, vil Storbritannien blive et tredjeland med hensyn til EU's datastrømme, og virksomheder skal implementere mere besværlige overholdelsesmekanismer for at styre dem, som f.eks. bindende virksomhedsregler, EU standard kontraktklausuler (SCC) eller andre godkendte aftaler. Den nylige Schrems II-beslutning vil også gælde for overførsler fra EU til Storbritannien og omvendt. Denne beslutning kræver, at organisationer vurderer, om disse SCC'er yder beskyttelse, der "i det væsentlige svarer til" den under den britiske databeskyttelsesordning og træffer yderligere foranstaltninger, hvor det er nødvendigt.¹

Februar 2022 forelagde Office of the UK Information Commissioner Parlamentet en ny international dataoverførselsaftale (IDTA) og en tilføjelse til de europæiske SCC'er for at støtte enheder, der overfører data uden for Storbritannien til lande, der ikke er underlagt beslutninger om tilstrækkelighed i lyset og i overensstemmelse med Schrems II's afgørelse. Ansøgningen skal bruges i tilfælde af overførsler af persondata, der er underlagt både EU GDPR og UK GDPR, mens IDTA kun er beregnet til overførsler, der er underlagt UK GDPR. Medmindre der er en indsigelse fra parlamentet, vil IDTA og tillægget træde i kraft den 21. marts 2022, og kommissærens kontor forventes at udsende vejledning om deres brug. Ikrafttrædelsen af IDTA og tillægget vil i høj grad forenkle udvekslingen af data for multinationale fintech-virksomheder, der er underlagt både EU GDPR og UK GDPR. Ligesom med intellektuel ejendom tester teknologier for finansielle tjenester også de eksisterende juridiske rammer vedrørende databeskyttelse, på trods af at GDPR er relativt nyere.¹

Informationskommissærens teknologiprioriteter for 2022 omfatter samarbejde med regeringen om at reformere Storbritanniens GDPR, som har meget at gøre med teknologi i finanssektoren, der håndterer enorme mængder personlige og pseudonymiserede data.¹

Ud over GDPR indeholder PSD II en række specifikke regler vedrørende behandling af personoplysninger. For eksempel giver PSD II mulighed for "eksplicit samtykke", hvilket rejser spørgsmålet om, hvorvidt dette begrænsede brugen af de forskellige andre behandlingsgrunde, der er anført i GDPR. Det Europæiske Databeskyttelsesråd har præciseret, at dette ikke er tilfældet. Det "eksplicitte samtykke", der henvises til i PSD II, er kontraktmæssigt samtykke, hvilket er et yderligere krav af kontraktmæssig karakter. Betalingstjenester leveres altid på kontraktbasis mellem betalingstjenestebrugeren og betalingstjenesten. Det er stadig nødvendigt at have det nødvendige grundlag for databehandling i henhold til GDPR; for eksempel behandling, der er nødvendig for udførelsen af en kontrakt, som den registrerede er part i.¹

Udenlandske fintech-platforme på det britiske marked

Fintech i Storbritannien

Fintech i andre lande

Noter

1. https://thelawreviews.co.uk/title/the-financial-technology-law-review/spain