fi

Markkinakatsaus

Tämä artikkeli ei ole oikeudellinen neuvo.

Henkilötietojen suoja Portugalissa

Pääsivu

Fintech-yritykset keräävät, hallitsevat ja käsittelevät valtavia määriä henkilötietoja (mukaan lukien KYC-tiedot) ja tämän seurauksena niihin sovelletaan tietosuoja-asetuksen (GDPR) mukaisia tietosuojasääntöjä, jotka eivät koske vain vakiintuneita fintech-yrityksiä. EU:ssa, mutta myös EU:n ulkopuolelle sijoittautuneille yrityksille, jos niillä on asiakkaita EU:ssa ja asiakkaiden henkilötietojen käsittely tapahtuu näille rekisteröidyille palvelujen tarjoamisen yhteydessä riippumatta siitä, vaaditaanko tiedoista maksu aihe. Euroopan tietosuojalautakunta (EDPB) selvensi 16. marraskuuta 2018 antamassaan ohjeessa 3/2018 GDPR:n alueellisesta soveltamisalasta, että aikomus kohdistaa asiakkaita EU:ssa on keskeistä arvioitaessa, ovatko EU:n alueen ulkopuolelle sijoittautuneet yhteisöt alaisia. GDPR:ään.1

Joissakin tapauksissa henkilötietojen käsittely voi edellyttää asiakkaan suostumusta. Ennalta merkityt suostumus- tai opt-out-kentät eivät ole enää sallittuja, koska suostumuksen on oltava lausunnon tai selkeän myöntävän toimenpiteen muodossa. GDPR asettaa rekisterinpitäjille raskaita vastuuvelvollisuuksia, jotka liittyvät todisteiden noudattamiseen, mikä edustaa suurta paradigman muutosta tietosuojajärjestelmässä. Tämä sisältää tietosuojavaikutusten arviointien suorittamisen riskialttiimpia käsittelytoimia varten (kuten sellaiset, joihin liittyy henkilötietojen käsittelyä, joita voidaan käyttää talouspetokseen) ja tietoturvan toteuttamista sisäänrakennettuna ja oletusarvoisesti.1

Näitä yleisiä tietosuojasääntöjä täydentävät pankkisalaisuus- ja AML-säännöt, joita fintech-yritysten on noudatettava tarjoaessaan palveluita asiakkailleen.1

Pankkisalaisuussäännöissä todetaan, että pankkisalaisuuden suojaamien asiakkaiden henkilötietojen luovuttaminen (mukaan lukien rajat ylittävät siirrot) on sallittu vain asiakkaan etukäteen antamalla luvalla tai jos luovuttaminen on tarpeen jonkin seuraavista toimista:

  • noudattaa lakisääteistä velvoitetta, joka nimenomaisesti rajoittaa näitä salassapitovelvollisuuksia
  • oikeuslaitoksen vaatimusten noudattaminen rikosoikeudenkäynneissä
  • tietojen luovuttamisvelvollisuuden noudattaminen maksutaseelle, CMVM:lle tai veroviranomaisille, kun nämä organisaatiot toimivat valtuuksiensa mukaisesti 1

Aiemmin Portugalin tietosuojaviranomainen (CNPD) päätti tietyssä tapauksessa, että kaikki pankin käsittelemät henkilötiedot ovat pankkisalaisuuden alaisia.1

Mitä tulee asiakastietojen käsittelyyn AML-raportointitarkoituksiin, tiettyjen asiaankuuluvien henkilötietojen luovuttaminen perustuu lainmukaisen velvoitteen täyttämiseen, joten rekisteröidyn suostumusta ei tarvita. Koska PSEMLF:n ja rahoituslaitosten oikeudellisen kehyksen mukainen "asiakkaan luvan" käsite eroaa GDPR:n "suostumuksen" käsitteestä, monet pankit ja muut rahoituslaitokset päättävät kerätä asiakkailta lupia pankkisalaisuustietojen paljastamiseksi asiakkaan yleisten ehtojen yhteydessä.1

Toinen tärkeä osa tietojenkäsittelyä fintech-liiketoiminnan yhteydessä on asiakkaiden profilointi ja liiketoiminnan segmentointi sekä automatisoitu profilointiin perustuva päätöksenteko. Mitään automatisoituja päätöksiä, jotka vaikuttavat tai merkittävästi vaikuttavat rekisteröityyn, ei sallita, jotka perustuvat yksinomaan automaattiseen tietojenkäsittelyyn, jonka tarkoituksena on arvioida häntä koskevia henkilökohtaisia näkökohtia.1

GDPR lisäsi uusia säännöksiä profilointiin ja automatisoituun päätöksentekoon liittyvien riskien käsittelemiseksi. Pohjimmiltaan GDPR:n mukaan tällainen päätöksenteko voi tapahtua vain, jos päätös on joko tarpeen sopimuksen tekemisen tai täytäntöönpanon kannalta tai jos se on valtuutettu rekisterinpitäjään sovellettavan EU:n tai jäsenvaltion lainsäädännössä, tai jos päätös perustuu lopulta nimenomaiseen suostumuskasvot. Jos jokin näistä perusteista täyttyy, on otettava käyttöön lisäturvatoimenpiteitä sekä annettava erityisiä tietoja automaattisesta yksittäisestä päätöksenteosta asianomaisille rekisteröidyille koskien logiikkaa, merkitystä ja suunniteltuja seurauksia. Tammikuussa 2020, vastauksena Euroopan parlamentin jäsenen Sophie in 't Veldin kirjeeseen epäreiluista algoritmeista siitä, riittääkö GDPR suojaamaan rekisteröityjä epäoikeudenmukaiselta automatisoidulta päätöksenteolta, Euroopan tietosuojavaltuutettu korosti, että "rekisterinpitäjillä on velvollisuus ottaa huomioon kaikki mahdollisuudet riskejä, joita tietyn algoritmin käyttö tai luominen voisi mahdollisesti aiheuttaa yksilöiden oikeuksille ja vapauksille, ja ryhtyä tarvittaessa toimenpiteisiin näiden riskien poistamiseksi."1

Erityisten tietoluokkien (kuten terveystietojen tai biometristen tietojen) käytölle henkilötietojen käsittelyssä on myös lisärajoituksia, mikä voi viime kädessä vaikuttaa siihen, miten fintech-yritykset ottavat käyttöön vahvoja asiakkaan todennusmekanismeja sääntelyteknisten PSD II -standardien mukaisesti. , koska tekniset sääntelystandardit edellyttävät maksupalvelunkäyttäjien biometristen tietojen käyttöä tässä yhteydessä. CNPD on johdonmukaisesti päättänyt, että taloustiedot ovat arkaluonteisia tietoja siinä mielessä, että ne paljastavat henkilön yksityiselämän näkökohtia, ja siksi niitä on suojattava Portugalin perustuslain nojalla. Koska Euroopan tietosuojavaltuutettu käsittelee myös taloudellisia tietoja erittäin henkilökohtaisina tietoina, tämä voi viime kädessä vaikuttaa niiden teknisten ja organisatoristen toimenpiteiden kurinalaisuuteen, joita rekisterinpitäjät ja käsittelijät toteuttavat tietojen suojaamiseksi, sekä tarpeeseen suorittaa tietojen todentaminen. suojavaikutusten arviointi (DPIA) ennen tietojen käsittelyä. Näin ollen taloustietojen käsittely voi aiheuttaa DPIA-asetuksen 1/2018 mukaisen DPIA:n tarpeen, jossa luetellaan pakollisen DPIA:n piiriin kuuluvat käsittelytoimet, koska asetuksessa viitataan puhtaasti henkilötietojen käsittelyyn. henkilökohtainen luonne. neljässä tapauksesta yhdeksästä.1

Portugalin GDPR:n täytäntöönpanolaki tuli voimaan 8.8.2019, sanotun kuitenkaan rajoittamatta edellä mainittua. Laki nro 58/2019 tuo joitain lisämuutoksia ja rajoituksia GDPR:n sääntöihin erityisesti kuolleiden henkilötietojen käsittelyn osalta. , sovellettavat tietojen säilytysajat ja alaikäisten suostumus tietojen käsittelyyn. Laissa nro 58/2019 sallitaan erityisesti, ja rajoittamatta GDPR:n käyttötarkoituksen rajoittamisen periaatetta, rekisterinpitäjät tai käsittelijät voivat säilyttää henkilötietoja lakisääteisten vanhentumisaikojen umpeutumiseen, jolloin heidän on ehkä käytettävä tietoja osoittaa laillisten tai sopimusvelvoitteiden noudattamisen.1

Ulkomaiset fintech-alustat Portugalin markkinoilla

Fintech Portugalissa

Fintech muissa maissa

Esittelemme sinut

Fintech-lakimiehet Portugalissa

Kristina Berkes

Kristina Berkes

Osallistuminen lakimiehenä sijoituspääomarahastoihin, M&A-hankkeiden tekeminen IT-alalla, tuki iGamingille ja yritysomaisuudelle

Denis Polyakov

Denis Polyakov

Kattavat lakipalvelut yrityksille yhtiö-, vero-, kryptovaluuttalainsäädäntöön, sijoitustoimintaan liittyen

Viacheslav Losev

Viacheslav Losev

Oikeudellinen tuki FinTech- ja Blockchain-projekteille

Huomautuksia
  1. https://thelawreviews.co.uk/title/the-financial-technology-law-review/portugal
Lause fintech-aloitteille

Nopea aloitus 399 dollarilla

Ratkaisumme ilman koodia mahdollistaa joukkorahoitusalustan käynnistämisen 399 dollarilla kuukaudessa, ja ensimmäiset kaksi viikkoa ovat ilmaisia alustan tutustumista varten.