הגנה על נתונים אישיים בפורטוגל

חקיקת טכנולוגיה פיננסית

אתה יכול להסתכל על חוקים ותקנות בתחומי שיפוט אחרים.

כל המדינות

הגנה על נתונים אישיים בפורטוגל

Demo

חברות פינטק אוספות, שולטות ומעבדות כמויות אדירות של נתונים אישיים (כולל נתוני KYC) וכתוצאה מכך כפופות לכללי פרטיות הנתונים במסגרת תקנת הגנת המידע הכללית (GDPR), שאינה חלה רק על חברות פינטק מבוססות. באיחוד האירופי, אך גם לחברות שהוקמה מחוץ לאיחוד האירופי אם יש להן לקוחות באיחוד האירופי והעיבוד של נתונים אישיים של לקוחות מתבצע בהקשר של מתן שירותים לנושאי מידע אלה, ללא קשר אם נדרש תשלום מהנתונים נושא. מועצת הגנת המידע האירופית (EDPB) הבהירה בהנחיה 3/2018 על ההיקף הטריטוריאלי של ה-GDPR, שהתקבלה ב-16 בנובמבר 2018, כי הכוונה למקד ללקוחות באיחוד האירופי היא המפתח להערכת האם ישויות שהוקמה מחוץ לשטח האיחוד האירופי כפופות לכך. ל-GDPR.¹

במקרים מסוימים, עיבוד הנתונים האישיים עשוי לדרוש את הסכמת הלקוח. השדות המסומנים מראש של הסכמה או ביטול הסכמה לא יורשו עוד, שכן ההסכמה חייבת להיות בצורה של הצהרה או אפליה מתקנת ברורה. ה-GDPR מטיל חובות אחריות מכבידות על בקרי נתונים ביחס להוכחות לציות, המייצג שינוי פרדיגמה גדול במשטר הגנת הנתונים. זה כולל ביצוע הערכות השפעה להגנה על נתונים עבור פעולות עיבוד בסיכון גבוה יותר (כגון אלה הכרוכות בעיבוד של נתונים אישיים שיכולים לשמש לביצוע הונאה פיננסית) ויישום הגנת נתונים על ידי תכנון וכברירת מחדל.¹

כללי הגנת מידע כלליים אלה משלימים על ידי סודיות בנקאית וכללי AML שחברות פינטק יצטרכו לעמוד בהם בעת מתן שירותים ללקוחותיהן.¹

כללי הסודיות הבנקאית קובעים כי חשיפת נתונים אישיים של לקוחות המוגנים בסודיות בנקאית (כולל העברות חוצות גבולות) מותרת רק באישור מראש של הלקוח או אם יש צורך בחשיפה לשם השגת אחת מהפעולות הבאות:

עמידה בהתחייבות משפטית המגבילה במפורש את חובות הסודיות הללו
עמידה בדרישות הרשות השופטת בהליכים פליליים
עמידה בחובת חשיפת מידע ל-BOP, CMVM או רשויות המס כאשר ארגונים אלה פועלים בהתאם לסמכויותיהם ¹

בעבר, רשות הגנת המידע הפורטוגלית (CNPD) קבעה במקרה ספציפי כי כל הנתונים האישיים שעובדו בבנק כפופים לסודיות בנקאית.¹

בכל הנוגע לעיבוד נתוני לקוחות למטרות דיווח AML, חשיפת נתונים אישיים רלוונטיים ספציפיים מבוססת על מילוי חובה חוקית ולכן אין צורך בקבלת הסכמת נושא המידע. מאחר שהמושג "הרשאת לקוח" תחת ה-PSEMLF והמסגרת המשפטית של מוסדות פיננסיים שונה מהמושג "הסכמה" לפי ה-GDPR, בנקים רבים ומוסדות פיננסיים אחרים בוחרים לאסוף הרשאות לקוחות לצורך חשיפת מידע סודיות בנקאי ב- בהקשר של התנאים וההגבלות הכלליים של הלקוח.¹

היבט חשוב נוסף של עיבוד נתונים בהקשר של עסקי פינטק הוא פרופיל לקוחות ופילוח עסקי, כמו גם קבלת החלטות אוטומטית המבוססת על פרופיל. אסור לקבל החלטות אוטומטיות המשפיעות או משפיעות באופן משמעותי על נושא המידע, המבוססות אך ורק על עיבוד נתונים אוטומטי שנועד להעריך היבטים אישיים מסוימים הנוגעים לו.¹

ה-GDPR הציג הוראות חדשות לטיפול בסיכונים הקשורים לפרופיל וקבלת החלטות אוטומטיות. בעיקרון, על פי ה-GDPR, קבלת החלטות מסוג זה יכולה להתקיים רק אם ההחלטה נחוצה לצורך כריתת החוזה או ביצועו, או אושרה על ידי החוק של האיחוד האירופי או המדינות החברות החלים על הבקר, או לבסוף מבוססת על מפורש. פרצופי הסכמה. אם אחת מהעילות הללו חלה, יש להפעיל אמצעי אבטחה נוספים, כמו גם חשיפת מידע ספציפי על קבלת החלטות אינדיבידואליות אוטומטיות לנושאי המידע המושפעים לגבי ההיגיון, המשמעות וההשלכות המיועדות. בינואר 2020, בתגובה למכתבה של חברת הפרלמנט סופי ב"וולד בנושא אלגוריתמים לא הוגנים בנוגע לשאלה האם ה-GDPR מספיק כדי להגן על נושאי מידע מפני קבלת החלטות אוטומטיות בלתי הוגנת, הדגיש ה-EDPB כי "לבקרים יש חובה לשקול את כל הפוטנציאל סיכונים שהשימוש או היצירה של אלגוריתם ספציפי עלולים ליצור עבור זכויות וחירויות של יחידים, ובמידת הצורך, לנקוט באמצעים לביטול סיכונים אלו".¹

קיימות גם הגבלות נוספות על השימוש בקטגוריות מיוחדות של נתונים (כגון נתוני בריאות או נתונים ביומטריים) עבור כל עיבוד של נתונים אישיים, מה שעלול בסופו של דבר להשפיע על האופן שבו חברות פינטק מיישמות מנגנוני אימות לקוחות חזקים בהתאם לתקני PSD II טכניים רגולטוריים. , שכן תקנים טכניים רגולטוריים מחייבים שימוש בנתונים ביומטריים של משתמשי שירותי תשלום בהקשר זה. ה-CNPD קבע בעקביות כי נתונים פיננסיים הם נתונים רגישים במובן זה שהם חושפים היבטים של חייו הפרטיים של אדם ולכן חייבים להיות מוגנים על ידי החוקה הפורטוגלית. מכיוון שמידע פיננסי מטופל גם כאל נתונים אישיים ביותר על ידי ה-EDPB, הדבר עשוי בסופו של דבר להשפיע על קפדנות הצעדים הטכניים והארגוניים שנוקטים בקרי הנתונים והמעבדים כדי להגן על הנתונים, כמו גם על הצורך לעבור אימות נתונים. הערכת השפעת הגנה (DPIA) לפני עיבוד הנתונים. לפיכך, עיבוד הנתונים הפיננסיים עשוי להוליד את הצורך ב-DPIA בהתאם לתקנה CNPD 1/2018, המפרטת את פעילויות העיבוד הנכללות ב-DPIA המחייב, שכן התקנה מתייחסת לעיבוד נתונים של פרט גרידא. אופי אישי. בארבעה מתוך תשעה מקרים.¹

מבלי לפגוע באמור לעיל, החקיקה הפורטוגלית המיישמת את ה-GDPR נכנסה לתוקף ב-8 באוגוסט 2019. חוק מס' 58/2019 מכניס כמה התאמות והגבלות נוספות לכללים הקבועים ב-GDPR, בפרט בכל הנוגע לעיבוד נתונים אישיים של נפטרים. , תקופות שמירת נתונים החלות והסכמה של קטינים לעיבוד נתונים. בפרט, ומבלי לפגוע בעקרון הגבלת התכלית של ה-GDPR, חוק מס' 58/2019 מאפשר לבקרי נתונים או מעבדים לשמור נתונים אישיים עד לתום כל תקופת ההתיישנות החוקית שבמהלכה הם עשויים להצטרך להשתמש בנתונים כדי להוכיח עמידה בהתחייבויות משפטיות או חוזיות.¹

פלטפורמות פינטק זרות בשוק הפורטוגלי

פינטק בפורטוגל

פינטק במדינות אחרות