Voit tarkastella muiden lainkäyttöalueiden sääntöjä ja määräyksiä.
Fintech-yritykset keräävät, hallitsevat ja käsittelevät valtavia määriä henkilötietoja (mukaan lukien KYC-tiedot) ja tämän seurauksena niihin sovelletaan tietosuoja-asetuksen (GDPR) mukaisia tietosuojasääntöjä, jotka eivät koske vain vakiintuneita fintech-yrityksiä. EU:ssa, mutta myös EU:n ulkopuolelle sijoittautuneille yrityksille, jos niillä on asiakkaita EU:ssa ja asiakkaiden henkilötietojen käsittely tapahtuu näille rekisteröidyille palvelujen tarjoamisen yhteydessä riippumatta siitä, vaaditaanko tiedoista maksu aihe. Euroopan tietosuojalautakunta (EDPB) selvensi 16. marraskuuta 2018 antamassaan ohjeessa 3/2018 GDPR:n alueellisesta soveltamisalasta, että aikomus kohdistaa asiakkaita EU:ssa on keskeistä arvioitaessa, ovatko EU:n alueen ulkopuolelle sijoittautuneet yhteisöt alaisia. GDPR:ään.1
Joissakin tapauksissa henkilötietojen käsittely voi edellyttää asiakkaan suostumusta. Ennalta merkityt suostumus- tai opt-out-kentät eivät ole enää sallittuja, koska suostumuksen on oltava lausunnon tai selkeän myöntävän toimenpiteen muodossa. GDPR asettaa rekisterinpitäjille raskaita vastuuvelvollisuuksia, jotka liittyvät todisteiden noudattamiseen, mikä edustaa suurta paradigman muutosta tietosuojajärjestelmässä. Tämä sisältää tietosuojavaikutusten arviointien suorittamisen riskialttiimpia käsittelytoimia varten (kuten sellaiset, joihin liittyy henkilötietojen käsittelyä, joita voidaan käyttää talouspetokseen) ja tietoturvan toteuttamista sisäänrakennettuna ja oletusarvoisesti.1
Näitä yleisiä tietosuojasääntöjä täydentävät pankkisalaisuus- ja AML-säännöt, joita fintech-yritysten on noudatettava tarjoaessaan palveluita asiakkailleen.1
Pankkisalaisuussäännöissä todetaan, että pankkisalaisuuden suojaamien asiakkaiden henkilötietojen luovuttaminen (mukaan lukien rajat ylittävät siirrot) on sallittu vain asiakkaan etukäteen antamalla luvalla tai jos luovuttaminen on tarpeen jonkin seuraavista toimista:
Aiemmin Portugalin tietosuojaviranomainen (CNPD) päätti tietyssä tapauksessa, että kaikki pankin käsittelemät henkilötiedot ovat pankkisalaisuuden alaisia.1
Mitä tulee asiakastietojen käsittelyyn AML-raportointitarkoituksiin, tiettyjen asiaankuuluvien henkilötietojen luovuttaminen perustuu lainmukaisen velvoitteen täyttämiseen, joten rekisteröidyn suostumusta ei tarvita. Koska PSEMLF:n ja rahoituslaitosten oikeudellisen kehyksen mukainen "asiakkaan luvan" käsite eroaa GDPR:n "suostumuksen" käsitteestä, monet pankit ja muut rahoituslaitokset päättävät kerätä asiakkailta lupia pankkisalaisuustietojen paljastamiseksi asiakkaan yleisten ehtojen yhteydessä.1
Toinen tärkeä osa tietojenkäsittelyä fintech-liiketoiminnan yhteydessä on asiakkaiden profilointi ja liiketoiminnan segmentointi sekä automatisoitu profilointiin perustuva päätöksenteko. Mitään automatisoituja päätöksiä, jotka vaikuttavat tai merkittävästi vaikuttavat rekisteröityyn, ei sallita, jotka perustuvat yksinomaan automaattiseen tietojenkäsittelyyn, jonka tarkoituksena on arvioida häntä koskevia henkilökohtaisia näkökohtia.1
GDPR lisäsi uusia säännöksiä profilointiin ja automatisoituun päätöksentekoon liittyvien riskien käsittelemiseksi. Pohjimmiltaan GDPR:n mukaan tällainen päätöksenteko voi tapahtua vain, jos päätös on joko tarpeen sopimuksen tekemisen tai täytäntöönpanon kannalta tai jos se on valtuutettu rekisterinpitäjään sovellettavan EU:n tai jäsenvaltion lainsäädännössä, tai jos päätös perustuu lopulta nimenomaiseen suostumuskasvot. Jos jokin näistä perusteista täyttyy, on otettava käyttöön lisäturvatoimenpiteitä sekä annettava erityisiä tietoja automaattisesta yksittäisestä päätöksenteosta asianomaisille rekisteröidyille koskien logiikkaa, merkitystä ja suunniteltuja seurauksia. Tammikuussa 2020, vastauksena Euroopan parlamentin jäsenen Sophie in 't Veldin kirjeeseen epäreiluista algoritmeista siitä, riittääkö GDPR suojaamaan rekisteröityjä epäoikeudenmukaiselta automatisoidulta päätöksenteolta, Euroopan tietosuojavaltuutettu korosti, että "rekisterinpitäjillä on velvollisuus ottaa huomioon kaikki mahdollisuudet riskejä, joita tietyn algoritmin käyttö tai luominen voisi mahdollisesti aiheuttaa yksilöiden oikeuksille ja vapauksille, ja ryhtyä tarvittaessa toimenpiteisiin näiden riskien poistamiseksi."1
Erityisten tietoluokkien (kuten terveystietojen tai biometristen tietojen) käytölle henkilötietojen käsittelyssä on myös lisärajoituksia, mikä voi viime kädessä vaikuttaa siihen, miten fintech-yritykset ottavat käyttöön vahvoja asiakkaan todennusmekanismeja sääntelyteknisten PSD II -standardien mukaisesti. , koska tekniset sääntelystandardit edellyttävät maksupalvelunkäyttäjien biometristen tietojen käyttöä tässä yhteydessä. CNPD on johdonmukaisesti päättänyt, että taloustiedot ovat arkaluonteisia tietoja siinä mielessä, että ne paljastavat henkilön yksityiselämän näkökohtia, ja siksi niitä on suojattava Portugalin perustuslain nojalla. Koska Euroopan tietosuojavaltuutettu käsittelee myös taloudellisia tietoja erittäin henkilökohtaisina tietoina, tämä voi viime kädessä vaikuttaa niiden teknisten ja organisatoristen toimenpiteiden kurinalaisuuteen, joita rekisterinpitäjät ja käsittelijät toteuttavat tietojen suojaamiseksi, sekä tarpeeseen suorittaa tietojen todentaminen. suojavaikutusten arviointi (DPIA) ennen tietojen käsittelyä. Näin ollen taloustietojen käsittely voi aiheuttaa DPIA-asetuksen 1/2018 mukaisen DPIA:n tarpeen, jossa luetellaan pakollisen DPIA:n piiriin kuuluvat käsittelytoimet, koska asetuksessa viitataan puhtaasti henkilötietojen käsittelyyn. henkilökohtainen luonne. neljässä tapauksesta yhdeksästä.1
Portugalin GDPR:n täytäntöönpanolaki tuli voimaan 8.8.2019, sanotun kuitenkaan rajoittamatta edellä mainittua. Laki nro 58/2019 tuo joitain lisämuutoksia ja rajoituksia GDPR:n sääntöihin erityisesti kuolleiden henkilötietojen käsittelyn osalta. , sovellettavat tietojen säilytysajat ja alaikäisten suostumus tietojen käsittelyyn. Laissa nro 58/2019 sallitaan erityisesti, ja rajoittamatta GDPR:n käyttötarkoituksen rajoittamisen periaatetta, rekisterinpitäjät tai käsittelijät voivat säilyttää henkilötietoja lakisääteisten vanhentumisaikojen umpeutumiseen, jolloin heidän on ehkä käytettävä tietoja osoittaa laillisten tai sopimusvelvoitteiden noudattamisen.1
Ulkomaiset fintech-alustat Portugalin markkinoilla
Oikeudellinen tuki FinTech- ja Blockchain-projekteille
Kattavat lakipalvelut yrityksille yhtiö-, vero-, kryptovaluuttalainsäädäntöön, sijoitustoimintaan liittyen
Työskentelemme kansainvälisille pienille ja keskisuurille yrityksille, start-upille ja telekommunikaatioyrityksille
