de

Marktüberblick

Dieser Artikel ist keine Rechtsberatung.

Schutz personenbezogener Daten in Portugal

Demo

Fintech-Unternehmen erheben, kontrollieren und verarbeiten riesige Mengen an personenbezogenen Daten (einschließlich KYC-Daten) und unterliegen daher den Datenschutzbestimmungen der Datenschutz-Grundverordnung (DSGVO), die nicht nur für etablierte Fintech-Unternehmen gelten. in der EU, aber auch an Unternehmen mit Sitz außerhalb der EU, wenn diese Kunden in der EU haben und die Verarbeitung personenbezogener Daten von Kunden im Rahmen des Angebots von Dienstleistungen für diese betroffenen Personen erfolgt, unabhängig davon, ob aus den Daten eine Zahlung erforderlich ist Thema. Der Europäische Datenschutzausschuss (EDPB) hat in seiner am 16. November 2018 angenommenen Guidance 3/2018 zum räumlichen Geltungsbereich der DSGVO klargestellt, dass die Absicht, Kunden in der EU anzusprechen, entscheidend für die Beurteilung ist, ob Unternehmen mit Sitz außerhalb des EU-Gebiets betroffen sind nach DSGVO.1

In einigen Fällen kann die Verarbeitung personenbezogener Daten die Zustimmung des Kunden erfordern. Die vormarkierten Einwilligungs- oder Opt-out-Felder sind nicht mehr zulässig, da die Einwilligung in Form einer Erklärung oder einer eindeutigen bestätigenden Handlung erfolgen muss. Die DSGVO erlegt den Datenverantwortlichen belastende Rechenschaftspflichten in Bezug auf den Nachweis der Einhaltung auf, was einen großen Paradigmenwechsel im Datenschutzregime darstellt. Dies umfasst die Durchführung von Datenschutz-Folgenabschätzungen für Verarbeitungsvorgänge mit höherem Risiko (z. B. solche, bei denen personenbezogene Daten verarbeitet werden, die zur Begehung von Finanzbetrug verwendet werden könnten) und die Umsetzung von Datenschutz durch Design und durch Voreinstellungen.1

Diese allgemeinen Datenschutzregeln werden durch Bankgeheimnis- und AML-Regeln ergänzt, die Fintech-Unternehmen bei der Erbringung von Dienstleistungen für ihre Kunden einhalten müssen.1

Die Vorschriften zum Bankgeheimnis besagen, dass die Offenlegung personenbezogener Daten von durch das Bankgeheimnis geschützten Kunden (einschließlich grenzüberschreitender Überweisungen) nur mit vorheriger Zustimmung des Kunden zulässig ist oder wenn die Offenlegung erforderlich ist, um eine der folgenden Maßnahmen zu erreichen:

  • Einhaltung einer gesetzlichen Verpflichtung, die diese Geheimhaltungspflichten ausdrücklich einschränkt
  • Einhaltung der Anforderungen der Justiz im Strafverfahren
  • Einhaltung der Verpflichtung zur Offenlegung von Informationen gegenüber dem BOP, der CMVM oder den Steuerbehörden, wenn diese Organisationen in Übereinstimmung mit ihren Befugnissen handeln 1

In der Vergangenheit hat die portugiesische Datenschutzbehörde (CNPD) in einem konkreten Fall entschieden, dass alle von einer Bank verarbeiteten personenbezogenen Daten dem Bankgeheimnis unterliegen.1

Im Hinblick auf die Verarbeitung von Kundendaten für AML-Meldezwecke basiert die Offenlegung bestimmter relevanter personenbezogener Daten auf der Erfüllung einer gesetzlichen Verpflichtung und es ist daher nicht erforderlich, die Einwilligung der betroffenen Person einzuholen. Da sich das Konzept der „Kundenerlaubnis“ nach dem PSEMLF und dem Rechtsrahmen von Finanzinstituten vom Konzept der „Einwilligung“ nach der DSGVO unterscheidet, entscheiden sich viele Banken und andere Finanzinstitute dafür, Kundenerlaubnisse für die Offenlegung von Informationen zum Bankgeheimnis einzuholen Rahmen ihrer Allgemeinen Geschäftsbedingungen des Auftraggebers.1

Ein weiterer wichtiger Aspekt der Datenverarbeitung im Rahmen des Fintech-Geschäfts ist die Erstellung von Kundenprofilen und die Geschäftssegmentierung sowie die automatisierte Entscheidungsfindung auf der Grundlage der Profilerstellung. Es sind keine automatisierten Entscheidungen zulässig, die die betroffene Person betreffen oder erheblich beeinträchtigen, die ausschließlich auf einer automatisierten Datenverarbeitung beruhen, die darauf abzielt, bestimmte sie betreffende persönliche Aspekte zu bewerten.1

Die DSGVO führte neue Bestimmungen ein, um die mit Profiling und automatisierter Entscheidungsfindung verbundenen Risiken anzugehen. Grundsätzlich darf eine solche Entscheidungsfindung nach der DSGVO nur erfolgen, wenn die Entscheidung entweder für den Vertragsabschluss oder die Vertragserfüllung erforderlich ist oder durch das für die Verarbeitung Verantwortliche geltende Recht der EU oder der Mitgliedstaaten zulässig ist oder auf einer ausdrücklichen Grundlage beruht zustimmende Gesichter. Wenn einer dieser Gründe zutrifft, müssen zusätzliche Sicherheitsmaßnahmen ergriffen werden sowie spezifische Informationen über automatisierte Entscheidungen im Einzelfall an betroffene Personen hinsichtlich Logik, Bedeutung und beabsichtigten Folgen weitergegeben werden. Im Januar 2020 betonte der EDPB als Antwort auf einen Brief von MdEP Sophie in 't Veld zu unfairen Algorithmen, ob die DSGVO ausreicht, um betroffene Personen vor unfairer automatisierter Entscheidungsfindung zu schützen, dass „für die Verarbeitung Verantwortliche verpflichtet sind, alle potenziellen Risiken, die die Verwendung oder Erstellung eines bestimmten Algorithmus möglicherweise für die Rechte und Freiheiten des Einzelnen mit sich bringen könnte, und gegebenenfalls Maßnahmen zur Beseitigung dieser Risiken ergreifen.“1

Es gibt auch zusätzliche Einschränkungen für die Verwendung besonderer Datenkategorien (wie Gesundheitsdaten oder biometrische Daten) für die Verarbeitung personenbezogener Daten, die sich letztendlich darauf auswirken können, wie Fintech-Unternehmen starke Kundenauthentifizierungsmechanismen gemäß regulatorischen technischen PSD-II-Standards implementieren. , da technische Regulierungsstandards in diesem Zusammenhang die Verwendung biometrischer Daten von Zahlungsdienstnutzern erfordern. Die CNPD hat konsequent entschieden, dass Finanzdaten sensible Daten in dem Sinne sind, dass sie Aspekte des Privatlebens einer Person offenlegen und daher durch die portugiesische Verfassung geschützt werden müssen. Da Finanzdaten vom EDPB auch als hochgradig personenbezogene Daten behandelt werden, kann sich dies letztendlich auf die Strenge der technischen und organisatorischen Maßnahmen auswirken, die Datenverantwortliche und -verarbeiter zum Schutz der Daten ergreifen, sowie auf die Notwendigkeit, sich einer Datenüberprüfung zu unterziehen. Schutzfolgenabschätzung (DSFA) vor der Datenverarbeitung. Daher kann die Verarbeitung von Finanzdaten eine DSFA gemäß der CNPD-Verordnung 1/2018 erforderlich machen, in der die Verarbeitungstätigkeiten aufgeführt sind, die unter die obligatorische DSFA fallen, da sich die Verordnung auf die Verarbeitung von Daten einer reinen Datenverarbeitung bezieht persönlicher Natur. in vier von neun Fällen.1

Unbeschadet des Vorstehenden traten die portugiesischen Rechtsvorschriften zur Umsetzung der DSGVO am 8. August 2019 in Kraft. Das Gesetz Nr. 58/2019 führt einige zusätzliche Anpassungen und Einschränkungen der in der DSGVO festgelegten Regeln ein, insbesondere im Hinblick auf die Verarbeitung personenbezogener Daten verstorbener Personen. , geltende Datenaufbewahrungsfristen und Zustimmung Minderjähriger zur Datenverarbeitung. Insbesondere und unbeschadet des Grundsatzes der Zweckbindung der DSGVO erlaubt das Gesetz Nr. 58/2019 Datenverantwortlichen oder -verarbeitern, personenbezogene Daten bis zum Ablauf gesetzlicher Verjährungsfristen aufzubewahren, während derer sie die Daten möglicherweise verwenden müssen die Einhaltung gesetzlicher oder vertraglicher Verpflichtungen nachweisen.1

Ausländische Fintech-Plattformen auf dem portugiesischen Markt

Fintech in Portugal

Fintech in anderen Ländern

Lassen Sie uns Sie vorstellen

Fintech Anwälte in Portugal

Silvia Calls

Silvia Calls

Vi arbejder for internationale små og mellemstore virksomheder, start-ups og teleselskaber

Denis Polyakov

Denis Polyakov

Umfassende juristische Dienstleistungen für Unternehmen in den Bereichen Gesellschaftsrecht, Steuerrecht, Kryptowährungsrecht, Investitionstätigkeiten

Viacheslav Losev

Viacheslav Losev

Rechtliche Unterstützung für FinTech- und Blockchain-Projekte

Anmerkungen
  1. https://thelawreviews.co.uk/title/the-financial-technology-law-review/portugal