Μπορείτε να δείτε κανόνες και κανονισμούς σε άλλες δικαιοδοσίες.
Οι εταιρείες Fintech συλλέγουν, ελέγχουν και επεξεργάζονται τεράστιες ποσότητες προσωπικών δεδομένων (συμπεριλαμβανομένων των δεδομένων KYC) και ως εκ τούτου υπόκεινται σε κανόνες απορρήτου δεδομένων βάσει του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), ο οποίος δεν ισχύει μόνο για καθιερωμένες εταιρείες fintech. στην ΕΕ, αλλά και σε εταιρείες εγκατεστημένες εκτός ΕΕ, εάν έχουν πελάτες στην ΕΕ και η επεξεργασία προσωπικών δεδομένων πελατών πραγματοποιείται στο πλαίσιο της προσφοράς υπηρεσιών σε αυτά τα υποκείμενα των δεδομένων, ανεξάρτητα από το αν απαιτείται πληρωμή από τα δεδομένα θέμα. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) διευκρίνισε στην Οδηγία του 3/2018 σχετικά με το εδαφικό πεδίο εφαρμογής του GDPR, που εγκρίθηκε στις 16 Νοεμβρίου 2018, ότι η πρόθεση στόχευσης πελατών στην ΕΕ είναι καθοριστική για την αξιολόγηση του κατά πόσον οι οντότητες που είναι εγκατεστημένες εκτός της επικράτειας της ΕΕ υπόκεινται στο GDPR.1
Σε ορισμένες περιπτώσεις, η επεξεργασία προσωπικών δεδομένων μπορεί να απαιτεί τη συγκατάθεση του πελάτη. Τα προσημειωμένα πεδία συναίνεσης ή εξαίρεσης δεν θα επιτρέπονται πλέον, καθώς η συγκατάθεση πρέπει να έχει τη μορφή δήλωσης ή σαφούς καταφατικής ενέργειας. Ο GDPR επιβάλλει επαχθείς υποχρεώσεις λογοδοσίας στους υπευθύνους επεξεργασίας δεδομένων σε σχέση με αποδεικτικά στοιχεία συμμόρφωσης, γεγονός που αντιπροσωπεύει μια σημαντική αλλαγή παραδείγματος στο καθεστώς προστασίας δεδομένων. Αυτό περιλαμβάνει τη διεξαγωγή αξιολογήσεων επιπτώσεων στην προστασία των δεδομένων για εργασίες επεξεργασίας υψηλότερου κινδύνου (όπως αυτές που περιλαμβάνουν την επεξεργασία προσωπικών δεδομένων που θα μπορούσαν να χρησιμοποιηθούν για τη διάπραξη οικονομικής απάτης) και την εφαρμογή της προστασίας δεδομένων από τον σχεδιασμό και από προεπιλογή.1
Αυτοί οι γενικοί κανόνες προστασίας δεδομένων συμπληρώνονται από κανόνες τραπεζικού απορρήτου και AML με τους οποίους θα πρέπει να συμμορφώνονται οι εταιρείες fintech όταν παρέχουν υπηρεσίες στους πελάτες τους.1
Οι κανόνες τραπεζικού απορρήτου ορίζουν ότι η αποκάλυψη προσωπικών δεδομένων πελατών που προστατεύονται από το τραπεζικό απόρρητο (συμπεριλαμβανομένων των διασυνοριακών μεταφορών) επιτρέπεται μόνο με προηγούμενη άδεια του πελάτη ή εάν η αποκάλυψη είναι απαραίτητη για την επίτευξη μίας από τις ακόλουθες ενέργειες:
Στο παρελθόν, η Πορτογαλική Αρχή Προστασίας Δεδομένων (CNPD) έκρινε σε μια συγκεκριμένη υπόθεση ότι όλα τα προσωπικά δεδομένα που επεξεργάζεται μια τράπεζα υπόκεινται σε τραπεζικό απόρρητο.1
Όσον αφορά την επεξεργασία δεδομένων πελατών για σκοπούς αναφοράς AML, η αποκάλυψη συγκεκριμένων σχετικών προσωπικών δεδομένων βασίζεται στην εκπλήρωση νομικής υποχρέωσης και επομένως δεν χρειάζεται να ληφθεί η συγκατάθεση του υποκειμένου των δεδομένων. Δεδομένου ότι η έννοια της «άδειας πελάτη» σύμφωνα με το PSEMLF και το νομικό πλαίσιο των χρηματοπιστωτικών ιδρυμάτων διαφέρει από την έννοια της «συναίνεσης» σύμφωνα με τον GDPR, πολλές τράπεζες και άλλα χρηματοπιστωτικά ιδρύματα επιλέγουν να συλλέγουν άδειες πελατών για την αποκάλυψη πληροφοριών τραπεζικού απορρήτου στο πλαίσιο των γενικών όρων και προϋποθέσεων του πελάτη.1
Μια άλλη σημαντική πτυχή της επεξεργασίας δεδομένων στο πλαίσιο των επιχειρήσεων fintech είναι το προφίλ πελατών και η τμηματοποίηση των επιχειρήσεων, καθώς και η αυτοματοποιημένη λήψη αποφάσεων με βάση το προφίλ. Δεν επιτρέπονται αυτοματοποιημένες αποφάσεις που επηρεάζουν ή επηρεάζουν σημαντικά το υποκείμενο των δεδομένων, με βάση αποκλειστικά την αυτοματοποιημένη επεξεργασία δεδομένων που έχει σχεδιαστεί για την αξιολόγηση ορισμένων προσωπικών πτυχών που το αφορούν.1
Ο GDPR εισήγαγε νέες διατάξεις για την αντιμετώπιση των κινδύνων που σχετίζονται με το προφίλ και την αυτοματοποιημένη λήψη αποφάσεων. Βασικά, σύμφωνα με τον GDPR, αυτός ο τύπος λήψης αποφάσεων μπορεί να λάβει χώρα μόνο εάν η απόφαση είναι είτε απαραίτητη για τη σύναψη ή εκτέλεση της σύμβασης, είτε έχει εξουσιοδοτηθεί από το δίκαιο της ΕΕ ή του κράτους μέλους που ισχύει για τον υπεύθυνο επεξεργασίας, είτε τελικά βασίζεται σε ρητή πρόσωπα συναίνεσης. Εάν ισχύει ένας από αυτούς τους λόγους, πρέπει να ληφθούν πρόσθετα μέτρα ασφαλείας, καθώς και η αποκάλυψη συγκεκριμένων πληροφοριών σχετικά με την αυτοματοποιημένη λήψη ατομικών αποφάσεων στα επηρεαζόμενα υποκείμενα των δεδομένων σχετικά με τη λογική, το νόημα και τις επιδιωκόμενες συνέπειες. Τον Ιανουάριο του 2020, απαντώντας σε μια επιστολή της ευρωβουλευτή Sophie in 't Veld σχετικά με τους αθέμιτους αλγόριθμους σχετικά με το εάν ο GDPR είναι επαρκής για την προστασία των υποκειμένων των δεδομένων από την άδικη αυτοματοποιημένη λήψη αποφάσεων, το EDPB τόνισε ότι «οι υπεύθυνοι επεξεργασίας έχουν την υποχρέωση να λαμβάνουν υπόψη όλα τα πιθανά κινδύνους που η χρήση ή η δημιουργία ενός συγκεκριμένου αλγορίθμου θα μπορούσε ενδεχομένως να δημιουργήσει για τα δικαιώματα και τις ελευθερίες των ατόμων και, εάν είναι απαραίτητο, να λάβει μέτρα για την εξάλειψη αυτών των κινδύνων».1
Υπάρχουν επίσης πρόσθετοι περιορισμοί στη χρήση ειδικών κατηγοριών δεδομένων (όπως δεδομένα υγείας ή βιομετρικά δεδομένα) για οποιαδήποτε επεξεργασία προσωπικών δεδομένων, που μπορεί τελικά να επηρεάσει τον τρόπο με τον οποίο οι εταιρείες fintech εφαρμόζουν ισχυρούς μηχανισμούς ελέγχου ταυτότητας πελατών σύμφωνα με τα ρυθμιστικά τεχνικά πρότυπα PSD II. , καθώς τα ρυθμιστικά τεχνικά πρότυπα απαιτούν τη χρήση βιομετρικών δεδομένων των χρηστών υπηρεσιών πληρωμών στο πλαίσιο αυτό. Το CNPD έχει αποφανθεί με συνέπεια ότι τα οικονομικά δεδομένα είναι ευαίσθητα δεδομένα με την έννοια ότι αποκαλύπτουν πτυχές της ιδιωτικής ζωής ενός ατόμου και ως εκ τούτου πρέπει να προστατεύονται από το πορτογαλικό Σύνταγμα. Δεδομένου ότι τα οικονομικά δεδομένα αντιμετωπίζονται επίσης ως άκρως προσωπικά δεδομένα από το EDPB, αυτό μπορεί τελικά να επηρεάσει την αυστηρότητα των τεχνικών και οργανωτικών μέτρων που λαμβάνουν οι υπεύθυνοι επεξεργασίας και οι υπεύθυνοι επεξεργασίας δεδομένων για την προστασία των δεδομένων, καθώς και την ανάγκη να υποβληθούν σε επαλήθευση δεδομένων. εκτίμηση επιπτώσεων προστασίας (DPIA) πριν από την επεξεργασία δεδομένων. Έτσι, η επεξεργασία των οικονομικών δεδομένων μπορεί να δημιουργήσει την ανάγκη για ΕΑΠΚ σύμφωνα με τον Κανονισμό CNPD 1/2018, ο οποίος απαριθμεί τις δραστηριότητες επεξεργασίας που εμπίπτουν στην υποχρεωτική ΑΠΔΠ, δεδομένου ότι ο κανονισμός αναφέρεται στην επεξεργασία δεδομένων ενός αμιγώς προσωπική φύση. σε τέσσερις από τις εννέα περιπτώσεις.1
Με την επιφύλαξη των ανωτέρω, η πορτογαλική νομοθεσία που εφαρμόζει τον GDPR τέθηκε σε ισχύ στις 8 Αυγούστου 2019. Ο νόμος αριθ. 58/2019 εισάγει ορισμένες πρόσθετες προσαρμογές και περιορισμούς στους κανόνες που ορίζονται στον GDPR, ιδίως όσον αφορά την επεξεργασία προσωπικών δεδομένων αποθανόντων. , τις ισχύουσες περιόδους διατήρησης δεδομένων και τη συγκατάθεση ανηλίκων για επεξεργασία δεδομένων. Ειδικότερα, και με την επιφύλαξη της αρχής του περιορισμού του σκοπού του GDPR, ο νόμος αριθ. αποδεικνύουν τη συμμόρφωση με νομικές ή συμβατικές υποχρεώσεις.1
Ξένες πλατφόρμες fintech στην αγορά της Πορτογαλίας
Εργαζόμαστε για διεθνείς μικρές και μεσαίες επιχειρήσεις, νεοφυείς επιχειρήσεις και εταιρείες τηλεπικοινωνιών
Συμμετοχή ως δικηγόρος σε επενδυτικά venture funds, διενέργεια επιχειρηματικών συμφωνιών συγχωνεύσεων και εξαγορών στον τομέα της πληροφορικής, υποστήριξη για iGaming και επιχειρηματικά περιουσιακά στοιχεία
Νομική υποστήριξη για έργα FinTech και Blockchain
