Markkinakatsaus

Demo

Yleisen tietosuoja-asetuksen (GDPR) henkilötietojen käsittelyä koskevat säännökset (nykyinen EU:n GDPR) on yhdistetty Yhdistyneen kuningaskunnan GDPR-versioon (Data Protection Act 2018) Yhdistyneen kuningaskunnan GDPR:ksi. Yhdistynyt kuningaskunta on yksi maailman verkostoituneimmista maista, ja brexitin jälkeisen tiedonsiirron ylläpitäminen Yhdistyneen kuningaskunnan ja EU:n välillä on edelleen selkeä prioriteetti. Euroopan komissio hyväksyi 28. kesäkuuta 2021 Isoa-Britanniaa koskevan "riittävyyden" päätöksen, mikä tarkoittaa, että useimmat Brexitiä edeltäneeseen fintechiin vaikuttavat tietosuojasäännöt pysyvät ennallaan. Tätä kuitenkin tarkistetaan jatkuvasti ja joka tapauksessa päivitetään joka neljäs vuosi. Jos Yhdistyneen kuningaskunnan hallitus päättää muuttaa GDPR:n Yhdistyneen kuningaskunnan version säännöksiä tukeakseen Yhdistyneen kuningaskunnan kansallista tietostrategiaa, tämä saattaa vaarantaa riittävyyttä koskevan päätöksen jatkuvan pätevyyden.¹

Jos EU neljän vuoden jakson päätyttyä päättää olla uusimatta riittävyyspäätöstä, Yhdistyneestä kuningaskunnasta tulee kolmas maa EU:n tietovirtojen suhteen ja yritysten on otettava käyttöön monimutkaisempia noudattamismekanismeja niiden hallitsemiseksi, kuten esim. sitovat yrityssäännöt, EU:n vakiosopimuslausekkeet (SCC) tai muut hyväksytyt sopimukset. Tuore Schrems II -päätös koskee myös siirtoja EU:sta Isoon-Britanniaan ja päinvastoin. Tämä päätös edellyttää, että organisaatiot arvioivat, tarjoavatko nämä SCC:t "olennaisesti vastaavan" suojan kuin Yhdistyneen kuningaskunnan tietosuojajärjestelmässä, ja toteuttavat tarvittaessa lisätoimenpiteitä.¹

Helmikuussa 2022 Yhdistyneen kuningaskunnan tietokomissaarin toimisto esitti parlamentille uuden kansainvälisen tiedonsiirtosopimuksen (IDTA) ja lisäyksen eurooppalaisiin SCC-sopimuksiin tukeakseen tahoja, jotka siirtävät tietoja Yhdistyneen kuningaskunnan ulkopuolelle maihin, jotka eivät ole riittävyyttä koskevien päätösten kohteena. ja Schrems II:n päätöksen mukaisesti. Sovellusta tulee käyttää henkilötietojen siirroissa, joihin sovelletaan sekä EU:n GDPR:ää että Yhdistyneen kuningaskunnan GDPR:ää, kun taas IDTA on tarkoitettu vain siirtoihin, joihin sovelletaan Yhdistyneen kuningaskunnan GDPR:ää. Ellei eduskunta vastusta, IDTA ja lisäys tulevat voimaan 21.3.2022 ja komissaarin kansliasta odotetaan ohjeistusta niiden käyttöön. IDTA:n ja lisäyksen voimaantulo yksinkertaistaa huomattavasti tiedonvaihtoa monikansallisten fintech-yritysten osalta, jotka ovat sekä EU:n GDPR:n että Yhdistyneen kuningaskunnan GDPR:n alaisia. Immateriaalioikeuksien tapaan myös rahoituspalveluteknologiat testaavat olemassa olevaa tietosuojaa koskevaa lainsäädäntökehystä huolimatta siitä, että GDPR on suhteellisen uusi.¹

Tietokomissaarin teknologiaprioriteetit vuodelle 2022 sisältävät yhteistyön hallituksen kanssa Ison-Britannian GDPR:n uudistamiseksi, jolla on paljon tekemistä finanssipalvelualan teknologian kanssa, joka käsittelee valtavia määriä henkilökohtaista ja pseudonyymidataa.¹

GDPR:n lisäksi PSD II sisältää useita henkilötietojen käsittelyä koskevia erityissääntöjä. Esimerkiksi PSD II:ssa säädetään "nimenomasta suostumuksesta", mikä herättää kysymyksen siitä, rajoittiko tämä GDPR:n sisältämien muiden käsittelyperusteiden käyttöä. Euroopan tietosuojaneuvosto on selventänyt, että näin ei ole. PSD II:ssa tarkoitettu "nimenomainen suostumus" on sopimukseen perustuva suostumus, joka on sopimusluonteinen lisävaatimus. Maksupalveluita tarjotaan aina maksupalvelun käyttäjän ja maksupalvelun välisen sopimuksen perusteella. GDPR:n mukaiseen tietojenkäsittelyyn tarvitaan edelleen tarvittava peruste; esimerkiksi käsittely, joka on tarpeen sellaisen sopimuksen täyttämiseksi, jonka osapuoli rekisteröity on.¹

Ulkomaiset fintech-alustat Ison-Britannian markkinoilla

Fintech Isossa-Britanniassa

Fintech muissa maissa

Huomautuksia

1. https://thelawreviews.co.uk/title/the-financial-technology-law-review/spain